PROTECCIÓN DE DATOS Y PRIVACIDAD Opiniones de los Expertos La protección de datos y la privacidad es hoy en día un tema candente. ¿Y por qué no habría de serlo? Como prácticamente todos los días aparecen en los medios noticias de violación de datos, no es de extrañar que la privacidad de la información personal y empresarial esté presente en las compañías de todo el mundo. En este libro electrónico reunimos análisis acerca de la privacidad y protección de los datos, tanto de expertos internos de Iron Mountain como de especialistas externos en la materia. Abordamos una gran variedad de asuntos, desde las nuevas directrices europeas que los responsables de gestionar la información deben conocer, hasta lo que tu equipo de TI debe saber acerca de la conservación de datos. PUERTO SEGURO 3 › Los Dictámenes en Materia de ‘Puerto Seguro’ Destacan las Discrepancias Entre las Leyes de Protección de Datos LOS DATOS PERSONALES 5 › Los Datos Personales no son una Mercancía LAS LEYES DE PRIVACIDAD DE DATOS 7 › ¿Cómo Afectan las Nuevas Leyes de Privacidad de los Datos a los Responsables de Documentación? 5 Cosas que Necesitas Saber 8 › 5 Cosas que tu Equipo de TI Tiene que Saber Acerca de la Privacidad de los Datos Definición de tus Políticas de Conservación 10 › 5 Pasos Para la Definición de tus Políticas de Conservación CONCLUSIÓN 13 › 2 LOS DICTÁMENES EN MATERIA DE ‘PUERTO SEGURO’ DESTACAN LAS DISCREPANCIAS ENTRE LAS LEYES DE PROTECCIÓN DE DATOS MICHAEL ZURCHER | Iron Mountain JULIAN CUNNINGHAM DAY | Linklaters A principios de octubre de 2015, una decisión fundamental que permitía transferir a EE.UU. los datos personales de residentes europeos del Espacio Económico Europeo (EEE), denominado ‘Puerto seguro’, fue invalidada por el más alto tribunal europeo. El Tribunal de Justicia de la Unión Europea (TJUE) dictó una resolución histórica invalidando el instrumento, en vigor desde 2000. El órgano judicial llegó a la conclusión de que la decisión de la CE no proporcionaba adecuada protección a los datos personales en el contexto del acceso a los mismos por parte de las agencias de inteligencia, un asunto ventilado por el ex contratista de la National Security Agency (NSA) estadounidense, Edward Snowden, y el estudiante austríaco Max Schrems, quienes presentaron una denuncia contra Facebook ante la entidad irlandesa de protección de datos después de las publicaciones de Snowden en 2013. Michael Zurcher Julian Cunningham Day de la norma de Puerto seguro, instándolas a implementar una solución compatible. Por su parte, el Reino Unido ha llamado a sus empresarios a no entrar en pánico. El así llamado Grupo de Trabajo del Artículo 29 (que representa a todas las APD de la Unión Europea) estableció como plazo final el mes de enero de 2016 para encontrar una solución alternativa adecuada a Puerto seguro. Aunque se sigue trabajando en la formulación de un ‘Puerto seguro 2’, la mayoría de las APD han manifestado que las transferencias a EE.UU. deben tratarse del mismo modo que las realizadas a la mayoría de las demás grandes economías fuera del EEE, y han legitimado el uso de una de las otras opciones de transferencia disponibles. ¿Y ahora qué? Las empresas tienen que encontrar otro mecanismo para “exportar” (o conceder el acceso a) datos personales, de manera legal, fuera del EEE. A continuación abordamos las diferentes opciones. Además, el TJUE confirmó que los organismos nacionales de protección de datos tienen autoridad para examinar si las transferencias de datos personales a terceros países cumplen o no los requisitos de la legislación europea en materia de protección de datos. Existen cuatro opciones básicas para el avance de Puerto seguro. Las reacciones a la sentencia de parte de diferentes países y organizaciones han sido muy variadas. Algunas autoridades de protección de datos (APD) han sugerido que supone la prohibición de la mayoría de las transferencias de datos a EE.UU.; otras se han dirigido a las empresas que han valido OPCIÓN 2: OPCIÓN 1: Como ya hemos dicho, la Opción 1 es una segunda versión de Puerto seguro. Las partes esperan alcanzar un acuerdo a principios de 2016, pero es poco probable que pueda alcanzarse antes de finales de enero. La Opción 2 consiste en adoptar Normas corporativas vinculantes (NCV). Las NCV son un marco intragrupal con diferentes elementos (compromisos legalmente vinculantes, políticas, formación, auditorías, etc.) que 3 garantizan que los datos personales de los europeos serán debidamente protegidos dentro del grupo. La implementación de las NCV es un proceso de gran calado, y que requiere entre 12 y 18 meses para ser refrendados por las APD. Además, su alcance es solamente intragrupal y no queda claro cómo limitarían el acceso por parte de las agencias de inteligencia de EE.UU. La implementación de las NCV es un proceso de gran calado que requerirá entre 12 y 18 meses para ser refrendados por las APD. ¿Y en el peor de los casos? Si no se encuentra una solución viable, será necesario repensar las soluciones para el almacenamiento de datos. Podría resultar más sencillo alojar los datos europeos y permitir el acceso a los mismos solo en Europa. Esta solución es posible, aunque implicaría un significativo cambio estructural para muchas organizaciones. Los organismos reguladores de la UE parecen estar dispuestos a promover un desenlace mejor. Puerto Seguro: Deberes OPCIÓN 3: La Opción 3 está centrada en Contratos modelo. Se trata de una opción ampliamente adoptada por empresas que operan en el EEE y que posiblemente sea la alternativa más habitual a Puerto seguro. Esta opción implica la formalización de mecanismos bilaterales que podrán ser utilizados por sus afiliados, proveedores externos u otros con quienes las empresas deseen compartir datos. Entre los potenciales problemas se incluye el hecho de que, entre otras cosas, esta solución no impide el acceso por parte de agencias de inteligencia. Además, en algunos países se suman complicaciones adicionales derivadas de las formalidades administrativas (presentación y traducción de las cláusulas modelo y legalización de la documentación relativa a la autoridad para firmar de los directivos que formalizan las cláusulas). Como si esto fuese poco, según la sentencia del TJUE las APD podrían suspender su aprobación del uso de los Contratos modelo. OPCIÓN 4: La Opción 4 es, de hecho, una solución parcial centrada en permisos excepcionales individuales (consentimientos, necesidad contractual, etc.). Los problemas de esta solución incluyen, entre otros: dificultades para la obtención de un consentimiento válido de parte de las personas afectadas y el hecho de que otros permisos excepcionales (por ejemplo, el procesamiento necesario para el contrato con un particular) solamente tienen validez caso por caso. LOS DICTÁMENES EN MATERIA DE ‘PUERTO SEGURO’ DESTACAN LAS DISCREPANCIAS ENTRE LAS LEYES DE PROTECCIÓN DE DATOS En este momento nos encontramos en un período de gracia, durante el cual las autoridades europeas y estadounidenses intentan negociar una formulación alternativa al Puerto seguro (hasta finales de enero de 2016), aunque lo más probable es que se decida una prórroga. Hay que utilizar el tiempo que queda para seleccionar una opción viable para tu organización. Al igual que la mayoría de las empresas multinacionales, Iron Mountain se ha inclinado por la Opción 3 y ha ejecutado Contratos modelo. ¿Cuáles son las implicaciones para los Responsables de Documentación? Los Responsables de Documentación deben formularse las siguientes preguntas: • ¿En qué medida mi organización depende de proveedores externos de EE.UU. para el procesamiento de registros/datos de la UE? • ¿Sobre qué base exporta mi organización sus datos a dichos proveedores de EE.UU.? • ¿Sobre qué base estos proveedores europeos exportan sus datos a esos subcontratistas estadounidenses? • ¿Tenemos mecanismos de contratación que garanticen el cumplimiento normativo en todos los eslabones de la cadena de suministro? • ¿Hemos notificado a nuestras contrapartes de compras y cumplimiento normativo los potenciales problemas/cambios en materia de proveedores? 4 LOS DATOS PERSONALES NO SON UNA MERCANCÍA STEWART DRESNER | privacylaws.com La batalla, que se libra desde hace ya cuatro años, sobre la redacción de la nueva Directiva de Protección de Datos de la Unión Europea acabó, en gran medida, en diciembre de 2015. En consecuencia, es momento de pasar desde la retórica de las partes enfrentadas a la planificación para su implementación. Datos personales: la savia de la vida moderna Las empresas prefieren un único régimen jurídico para los datos personales vigente en toda Europa. Sin embargo, el documento final acordado se sitúa en un nivel incómodamente alto para numerosas empresas. El mes pasado, Paul Nemitz, Director de Derechos Fundamentales y Ciudadanía de la Comisión Europea, expresó una poco habitual felicitación a una empresa específica por sus prácticas de privacidad. Declaró: “Los datos personales no son una mercancía. Son la savia de la vida moderna en el siglo XXI. En la historia y la cultura europea, la persona no es un objeto... Los datos personales son como una bolsa de valores. Si desaparece la confianza, el valor de una empresa baja. Apple destaca en datos y cifrado, y es la mayor empresa mundial por valor bursátil”. De este modo quiso demostrar que el respeto por los datos personales es compatible con el éxito comercial. Para quien prefiera no sumergirse en el documento de 209 páginas, aquí presentamos algunos de los puntos estratégicos de la Directiva más importantes para tu organización: A la gente le preocupa lo que ocurre con sus datos personales. Esto puede conllevar desconfianza hacia las empresas y los gobiernos que poseen y procesan estos datos. En EE.UU., las violaciones de datos han sido el principal foco de atención para empresas y particulares, y combatidas por las legislaciones de los estados, empezando por California. Sin embargo, en Europa se pone el énfasis en los derechos individuales, lo que supone pesadas obligaciones legales para las empresas. Consentimiento inequívoco para la recogida de datos personales Hoy en día, los arraigados derechos de acceso y corrección han sido muy ampliados para incluir el “consentimiento inequívoco” para el uso de los datos de una persona y un derecho a la portabilidad de los datos. Esto implica que, por ejemplo, los particulares tendrán derecho de transferir los registros de sus dispositivos móviles de un proveedor para obtener un presupuesto de otro. Un caso que ilustra el problema del consentimiento inequívoco es la actual batalla legal entre Facebook y la Comisión para la Protección de la Privacidad de Bélgica, en virtud de la cual un tribunal belga impuso una multa de 250.000 euros diarios que deberán pagarse a la Comisión Europea. La posición de la APD belga se ha ganado el apoyo de otros organismos reguladores de la privacidad, como los de Francia, España y Países Bajos. 5 Facebook fue sancionada con una multa de 250.000 euros diarios por vulnerar las leyes de privacidad belgas. El tribunal belga dictaminó que la práctica de Facebook de insertar cookies en dispositivos de usuarios no registrados en Facebook que visitaban Facebook vulneraba las leyes de protección de datos belgas. Según Facebook, dichas cookies eran necesarias por motivos de seguridad. En tanto que los usuarios con cuentas de Facebook podrían mostrarse más propensos a entender este proceso, los visitantes de Facebook que no tienen cuenta posiblemente no comprenden las implicaciones que pueda tener su visita. La política de privacidad relevante para ellos está en la página 10 de una política de 10 páginas. Según el procedimiento de Facebook, incluso el hacer clic en un botón “Me gusta” de Facebook o elegir una opción de idioma se considera una inclusión voluntaria (opt-in). Este caso es un avance preliminar de lo que podría suceder cuando entre en vigor el Reglamento de Protección de Datos de la UE, en 2018. Las APD pretenden que una empresa, como Facebook, que no ha obtenido el “consentimiento inequívoco” para el uso de los datos de una persona, cumpla tales normas en todos los territorios de la UE, como medio para ajustarse de manera coherente a los requisitos del Reglamento de Protección de Datos de la UE. El Reglamento General de Protección de Datos entrará en vigor en 2018. Más atención se le ha prestado al Tribunal de Justicia de la Unión Europea. En octubre pasado se determinó, en el caso Schrems, que el acuerdo de Puerto seguro entre EE.UU. y la UE quedada LOS DATOS PERSONALES NO SON UNA MERCANCÍA invalidado como fundamento jurídico para la transferencia de datos personales desde el Espacio Económico Europeo a EE.UU. Como acuerdo especial para EE.UU. basado en la autorregulación, algunos comentaristas nunca consideraron al mecanismo de Puerto seguro “ni seguro ni puerto”. En consecuencia, muchas multinacionales estadounidenses –como Salesforce– han recurrido rápidamente a alternativas legales, como los contratos modelo de la UE y las Normas corporativas vinculantes. Los servicios europeos de almacenamiento y en la nube ganan en atractivo Considerando la dirección hacia la que van las negociaciones sobre el Reglamento de Protección de Datos de la UE, muchas empresas están encargando el procesamiento de los datos de sus clientes y empleados a un país de la Unión Europea. Esta medida les supone una mayor certidumbre acerca de un fundamento jurídico firme para el procesamiento de datos personales. Se trata de una sustancial oportunidad comercial para los servicios en la nube, que ofrecen a sus clientes la posibilidad de especificar el país en el que desean basar el servicio. Del mismo modo, algunos servicios en la nube tradicionalmente radicados en EE.UU. ofrecen ahora opciones basadas en la UE. Microsoft incluso está librando una prolongada batalla legal en los tribunales de Nueva York, rechazando que la ley estadounidense sea aplicable a estos servicios basados en la UE. Un servicio de archivado radicado en la UE es, en muchos aspectos, mucho más atractivo que uno basado en EE.UU. 6 ¿CÓMO AFECTAN LAS NUEVAS LEYES DE PRIVACIDAD DE LOS DATOS A LOS RESPONSABLES DE DOCUMENTACIÓN? GAVIN SIGGERS | Iron Mountain Últimamente, las leyes de privacidad de datos abundan en las noticias. La proliferación de datos y los cada vez más habituales casos de pirateo de los mismos han colocado a la privacidad de los datos en el candelero. Por consiguiente, muchas organizaciones se están pensando hacia qué dirección avanzar con sus actuales planes de privacidad, protección y cumplimiento normativo en materia de datos. La siguiente información está dirigida a los responsables de gestionar la documentación y la información, que posiblemente sean algunos de los grupos más ignorados en este tema. Asegúrate de tener voz en tu organización. Las nuevas leyes de protección de datos afectarán directamente la manera de conducir los negocios y es imprescindible que tu Departamento Jurídico, o que el despacho de abogados externo de tu compañía, se familiaricen con tus procesos cotidianos de gestión de la documentación. La tendencia general de las organizaciones es volcar todos los asuntos legales sobre abogados externos, pero estos abogados no abordarán sus necesidades operativas empresariales desde una perspectiva de gobierno de la información. El grupo involucrado en la gestión de la información debería incorporar la cuestión de la privacidad como parte de su cometido, y el Director de Documentación debería ser uno de los principales protagonistas de dicho grupo. Adopta una actitud pragmática. estarás preguntando a dónde quiero llegar con esto. La mayoría de la gente que habla de la protección de los datos no se centra en activos físicos, sino en datos digitales, ya que está expuesta a ciberataques de alto perfil que se producen prácticamente todas las semanas. Sin embargo, el papel también es importante en la esfera de la protección de datos, precisamente porque ahora es fácil pasarlo por alto. Esto propicia potenciales amenazas de que la documentación caiga en manos equivocadas. Aunque las organizaciones están reduciendo su dependencia del papel, prácticamente todas lo siguen utilizando en un formato u otro. Este soporte desechable supone un riesgo desapercibido. Es en ese soporte que hubiésemos escrito este blog hace unos 15 años, y no podemos olvidarlo. Es el motivo por el cual es tan importante la destrucción de la información sensible. Además, el papel supone un riesgo por el hecho de que puede resultar bastante difícil de encontrar una vez que se ha extraviado. Si no has implementado planes de indexación y digitalización para mantener organizada tu información, es posible que te veas en camisa de once varas el día en que se reciba un formulario o un auto de divulgación o de acceso a datos. Por octavo año consecutivo se ha incrementado el coste medio por documentos robados o extraviados. Estas cifras treparon desde 122 € por documento en 2014 a 133 € en 2015, según Information Security Buzz. Cuanto más tiempo tengas un papel sin incorporarlo a ningún plan, mayor será el riesgo. Después de todo, muchas veces no sabrás que algo se ha perdido sino hasta que lo necesites. Asegúrate de conectarte con personas de tu empresa que entiendan las operaciones y estrategias empresari- Estas cifras treparon hasta 133 € en ales y de obtener las aportaciones de 2015, según Information Security Buzz. estas personas. Los involucrados en el gobierno de la información que abordan los problemas de la Fomenta la responsabilidad por la privacidad son los más indicados para aportar soluinformación. ciones en un contexto más amplio que conjugue No perder los papeles, literalmente, es tan importante estas necesidades estratégicas y operativas. como proteger tus datos digitales. Y tu cometido, como responsable de gestionar la documentación, es priorizar No te olvides del papel. del mismo modo el papel. El papel y la privacidad de los datos: seguramente te 7 5 COSAS QUE TU EQUIPO DE TI TIENE QUE SABER ACERCA DE LA PRIVACIDAD DE LOS DATOS JOHN WOOLLEY | Iron Mountain Con el surgimiento de las nuevas leyes de privacidad de los datos en toda Europa, para un responsable de TI puede resultar tentador considerar que la cosa no va con uno. Después de todo, ¿qué tienen que ver esas batallas contigo y tu empresa? En una palabra: mucho. A continuación presentamos una serie de sugerencias para que tu Departamento de TI preste atención a la cuestión de la privacidad de los datos. Conoce a fondo las unidades de 1. Fully negocio y sus funciones. Si no entiendes el funcionamiento de tus unidades de negocio, nunca entenderás realmente qué datos necesitan conservarse, por qué ni durante cuánto tiempo. Para hacerlo, haz hincapié en la capacidad de comunicar cuáles son las repercusiones de mantener datos a nivel de tiempo, dinero y riesgo. Cuanto mejor conozcas las funciones de los distintos departamentos, más podrás influir en la mentalidad de los altos niveles ejecutivos y en sus aliados comerciales... Y poder controlar los datos, antes de que los datos te controlen a ti. las políticas de conservación de 2.Conoce datos de tu empresa y de tu sector. Es de atento a los cambios legislativos. 3.Estate Es fundamental estar al día en los cambios legislativos que afectan a tu sector en particular y a las organizaciones en general. La Unión Europea ha aprobado significativos cambios en las leyes de datos, dirigidos a que los particulares puedan volver a controlar sus datos. Según los expertos, esta situación representa el mayor sacudón en las normas de privacidad de los últimos 20 años. En virtud de este nuevo instrumento (que entrará en vigor en 2018), las empresas podrían exponerse a multas de hasta el 4% de su facturación global durante el proceso de obtención de medios de prueba en medios fundamental importancia entender cuáles son las necesidades y obligaciones de tu organización en términos de cumplimiento normativo. Ten presentes las leyes que rigen la prescripción extintiva, contratos generales y otras cuestiones legales. En mi próximo blog se presentará más información acerca de este tema. electrónicos (“e-Discovery”). A continuación exponemos algunas otras maneras en las que este proceso puede cambiar la manera en que las organizaciones abordan la privacidad de los datos: Las firmas tecnológicas estarán obligadas a comunicar a las autoridades reguladoras cualquier vulneración seria en sus sistemas de datos en un plazo de 72 horas. 8 El derecho de los consumidores a ser olvidados se extenderá más allá de los motores de búsqueda para incluir todos los aspectos de su historial en Internet. Ejemplo: un usuario podrá exigir la eliminación de su perfil de Twitter. pueden archivarse para su almacenamiento a largo plazo. Mantén una copia fácilmente accesible en línea, con lo suficiente para cumplir los requisitos y, al mismo tiempo, reducir la exposición a clientes/empleados. De este modo te asegurarás de no resultar demasiado afectado por una vulneración (y que tus clientes y empleados se mantengan protegidos). Se trata de conseguir un equilibrio entre los requisitos legales y la latencia de recuperación de la copia fuera de línea completa. Si te preocupa la gestión de la información archivada en cintas porque careces de recursos internos y/o deseas centrarte en tus actividades específicas, considera contratar a un proveedor que pueda ofrecer un servicio de cintas gestionado. Los consumidores tienen derecho a transferir sus datos de una empresa a otra. Ejemplo: Un consumidor podrá solicitar que la totalidad o parte de sus datos relacionados con compras por Internet le sean enviados, de modo que sus preferencias personales puedan ser utilizadas por el nuevo comerciante de su preferencia. Las empresas que manejan significativos volúmenes de datos tendrán que contratar a un responsable de protección de datos. Stewart Room, Director de Privacidad de Datos en PwC, explica que: “La escala y alcance de los cambios implementados por la UE en las normas de privacidad supondrán retos sin precedentes para las empresas y para toda entidad que utilice y mantenga datos personales de europeos tanto dentro como fuera de la UE” — BBC qué información es necesario 4.Reconsidera mantener, y cómo. Algunos datos tienen que ser mantenidos en línea, en tanto que otros 5 COSAS QUE TU EQUIPO DE TI TIENE QUE SABER ACERCA DE LA PRIVACIDAD DE LOS DATOS a los empleados y clientes. 5.Prioriza Averigua cuántos datos personales mantiene tu organización sobre sus empleados y clientes y cuáles son las prácticas actuales relativas a esta información. Estructura las contraseñas y servidores de seguridad de tu organización e impón el cumplimiento de las buenas prácticas en materia de privacidad de datos. También resultará conveniente acudir a los altos directivos de la organización para que apoyen tu política de privacidad de datos, y mantenerlos informados sobre el particular. 9 5 PASOS PARA LA DEFINICIÓN DE TUS POLÍTICAS DE CONSERVACIÓN JOHN WOOLLEY | Iron Mountain Tengo una opinión tajante acerca de por qué las organizaciones continúan almacenando tantos datos no estructurados. Muchos profesionales informáticos sencillamente no tienen tiempo para dedicar a la cuestión de buenas prácticas de conservación, ni tampoco han recibido una orientación sólida por parte de sus empresas... salvo que se haya hecho una significativa inversión en un equipo de cumplimiento normativo. El peligro surge cuando la ausencia de políticas conlleva la decisión predeterminada de mantener todos los datos para siempre. En tal caso, las soluciones de almacenamiento y copia de seguridad se convierten en una pesada carga financiera para la organización. ¿Cómo empezar a definir las políticas de conservación? Recomendamos seguir estos cinco pasos: 1. Establece políticas de conservación de referencia a nivel global. Empieza por establecer una norma básica (mínima, o de referencia) para la conservación. Si tu organización es multinacional, tendrás que ÍTICAS RO DE GIST IM RE N CI ÓN OS EST PU OS I O NE AC S LIMIT OL FU CUMENT P conocer la potencial aplicabilidad global de determinados tipos de registros. Tus políticas deben incorporar un grado de flexibilidad que permita a diferentes países ejercitar su discreción para ampliar o prorrogar los DO períodos de conservación básicos, sobre la base de necesidades legales o comerciales válidas. a los registros contables y fiscales. 2.Accede Los gobiernos imponen un requisito legal para proteger sus posibilidades de recaudar impuestos. Para ello, deben tener acceso a registros contables para indagarlos durante auditorías tributarias. Por consiguiente, los registros contables y fiscales son el principal objetivo de la conservación de registros. Prácticamente todos los países han promulgado leyes que obligan a la conservación de libros mayores y diarios, así como otros libros contables, y documentación adicional, como cupones, balances, registros de compraventa de bienes e inventarios de existencias. Estos requisitos se encuentran en los códigos mercantiles y/o tributarios. Normalmente, el período de conservación es de 5 a 10 años; sin embargo, ello no es aplicable a todos los sistemas y datos englobados en los registros contables, tanto estructurados como no. Por último, hay que tener en cuenta que hasta la fecha no he conocido ningún departamento de contabilidad que esté dispuesto a borrar datos de un sistema financiero. Es importante recordarlo cuando están implicados archivos derivados de copias de seguridad. las repercusiones de la 3.Conoce documentación legal general/corporativa. Después de los registros contables, la documentación legal general/corporativa es el objetivo más frecuente de las leyes de conservación de datos. 10 Normalmente, los requisitos tocantes a esta documentación suelen aparecer en las leyes de sociedades o en los códigos mercantiles de los países en los que operan las organizaciones. Además, lo habitual es que sean de aplicación a todas las empresas radicadas en el país, incluyendo las unidades de corporaciones multinacionales de propiedad extranjera. Aunque varía en cobertura y especificidad, esta legislación obliga a la conservación de registros tales como libros de actas, estatutos, registros de accionistas, estados financieros, poderes y otros documentos que sirvan como prueba del estado jurídico y de la propiedad de la sociedad. Algunos países tienen leyes específicas en materia de conservación de registros, en tanto que en otros la legislación reviste un carácter más general. Los períodos de conservación pueden variar desde 3 años hasta permanente. La media es de 10 años. El período medio de conservación es de 10 años. E n este caso, la intención es el mantenimiento de registros de empresas cerradas durante el período concursal y de pago a los acreedores, u otra distribución legal de activos. los estatutos de limitaciones. 4.Cumple Los estatutos de limitaciones –o períodos de prescripción, como se denominan en los países de derecho civil– son un importante factor en el establecimiento de los períodos de conservación de registros comerciales. Estas leyes no constituyen requisitos de conservación de registros, sino que simplemente especifican durante cuánto 5 PASOS PARA LA DEFINICIÓN DE TUS POLÍTICAS DE CONSERVACIÓN tiempo las partes pueden demandar, o ser demandadas, con respecto a determinado asunto. Las multinacionales tienen un gran interés en la conservación de tales registros, ya que pueden ser necesarios para emprender acciones legales contra otras partes, o bien defenderse contra demandas de terceros. Estos registros pueden definir y limitar los riesgos y responsabilidades en lo tocante a conservación. Las siguientes cuestiones son las más relevantes en materia de conservación de registros: C ontratos generales: Los requisitos de conservación van desde un año desde la detección de la vulneración (en China) hasta una media de seis años desde la última fecha en que tuvo lugar una actuación (en el Reino Unido). F iscalidad: Los requisitos de conservación fluctúan desde una media de 5 años en Brasil y Alemania, hasta 10 años, en los casos en los que los contribuyentes omiten declarar, o presentan una declaración falsa con el objetivo de evadir impuestos en Tailandia. Responsabilidad por producto: Los requisitos de conservación van desde los 3 años desde el momento en que el demandante toma conocimiento de los daños (Finlandia) hasta 30 años en casos en que los defectos de un producto han sido ocultados de manera fraudulenta por el vendedor (Alemania). Lesiones: Los requisitos de conservación van desde los 3 años desde la fecha en que se produjo la causa de la actuación (Irlanda) hasta los 20 años desde la incidencia que provocó las lesiones (Países Bajos). Una vez estudiados los instrumentos legales relevantes, los Responsables de Documentación de las empresas multinacionales deberían colaborar con sus asesores jurídicos para incorporarlos a las políticas en materia de conservación de cobertura global. 11 ONES I C N U CIO/F O G E DE N S E DAD I N U la evaluación de las funciones 5.Incorpora de la unidad de negocio. Una vez determinada la base de referencia, con la debida consideración de la protección legal, podrás empezar a profundizarte en el resto de las unidades de negocio. Además, el análisis jurídico debería estar definido por las funciones empresariales. Se trata de: • Gestión medioambiental / Gestión de instalaciones y bienes raíces • Recursos Humanos • Salud y seguridad de los trabajadores • Seguros/Gestión de riesgos • Propiedad intelectual (patentes, derechos de autor y marcas comerciales) • Fabricación • Nóminas/Administración de remuneraciones, pagas y salarios • Gestión de bienes raíces/terrenos, Compras/abastecimiento • Control de calidad • Asuntos reglamentarios • Investigación y desarrollo • Ventas/Marketing • Seguridad • Relaciones con los accionistas 5 PASOS PARA LA DEFINICIÓN DE TUS POLÍTICAS DE CONSERVACIÓN Una vez implementadas las medidas de conservación deberías considerar una sólida política de automatización de la eliminación de datos que estén en línea o archivados, a menos que dispongas de un proveedor como Iron Mountain que gestione el ciclo de vida en tu lugar. Considera las repercusiones de tener implementadas las políticas de conservación adecuadas, las herramientas correctas para el movimiento de datos, la posibilidad de incorporar funciones de búsqueda y el soporte de mejor calidad-precio para el almacenamiento de datos. ¿En qué medida esto aliviaría los continuos problemas de almacenamiento, copia de seguridad y recuperación de desastres? 12 Los cambios en las leyes de privacidad de datos afectan a diversas funciones empresariales de una gran variedad de sectores. Tanto si estás elaborando las políticas de conservación de tu departamento de TI como adecuando sus actividades a los requisitos legales, esperamos que esta guía te haya resultado útil. Consulta más Información…. Visita Nuestra Zona Privacidad y Protección de Datos. VER IRON MOUNTAIN. En Iron Mountain Incorporated (NYSE: IRM) prestamos servicios de gestión de la información que ayudan a las empresas a reducir los costes, los riesgos y las ineficiencias de la gestión de sus datos físicos y digitales. Iron Mountain, fundado en 1951, gestiona miles de millones de activos de información, como datos de archivo y copias de seguridad, documentos electrónicos, digitalización de documentos, documentos de empresas, servicios de destrucción segura y mucho más, para organizaciones de todo el mundo. Visita el sitio web de la empresa en www.ironmountain.es para obtener más información. ©2015 Iron Mountain Incorporated. Reservados todos los derechos. Iron Mountain y el logotipo de la montaña son marcas registradas de Iron Mountain Incorporated en el Reino Unido y en otros países. Todas las demás marcas comerciales y registradas pertenecen a sus respectivos propietarios 900 22 23 24 | Ironmountain.es