Adiós a los archivos de datos
El 19% de las medianas empresas españolas incumple el nuevo reglamento de protección de datos de la UE. Las compañías pierden casi 9 millones de euros por la mala gestión de sus documentos.
Menos de dos años de vida le queda al síndrome de Diógenes que padecen las empresas con los archivos de datos. Al menos, si no se quieren enfrentar a multas de hasta 20 millones de euros o un 4% de su facturación anual. Así se establece en el nuevo reglamento de protección de datos de la Unión Europea que, si bien entró en vigor el pasado 25 de mayo, no será efectivo hasta 2018.
Dos años durante los que, tal y como se extrae de un estudio realizado por la consultora PwC y la empresa de custodia y gestión de la información Iron Mountain, un 11% de las medianas empresas europeas tendrá que adaptarse a los plazos de entre 3 meses –para quejas y reclamaciones de clientes- y más de 20 años –para acuerdos confidenciales y patentes-, establecidos por de cara a la conservación de documentos e información.
En el caso de España, el 19% de las sociedades de entre 250 y 2.500 empleados custodia la información “por si acaso”, un porcentaje que sube ocho puntos respecto del europeo. De estas, el 89% reconoció que sus intenciones era la de “extraer valor en un futuro” y el otro 42% tenía la intención de “emplear los datos electrónicos como pruebas en procesos legales”.
Más de la mitad de las compañías permiten que sus empleados decidan borrar o guardar los correos electrónicos, un riesgo para las empresas
Sin embargo, este afán por acumular papeles perjudica la competitividad de las empresas. “Es posible que estemos yendo directos a una tormenta perfecta si no se pone remedio”, afirma Ignacio Chico, director general de Iron Mountain.
“La información significa ventaja competitiva. Ahora bien, el problema reside en que muchas veces no se sabe cómo gestionarla. Los documentos que se conservan durante demasiado tiempo corren el riesgo de vulnerar la privacidad y las leyes de protección de datos, y los que se destruyen demasiado pronto podrían contravenir la ley de prueba electrónica. Es esencial que las empresas reaccionen y adopten un enfoque responsable y proactivo”, advierte.
En este sentido, el estudio Minería en profundidad: redescubrir el archivo de datos, elaborado por Iron Mountain junto con IDC, pone de relieve que las empresas están perdiendo casi 9 millones de euros debido a una mala gestión de sus datos.
Y es que contar con procesos bien definidos para el archivo de información permite “conseguir valor a través de dos vías: el ahorro de costes y la entrada de ingresos adicionales, provenientes de la monetización de archivos”, apostilla Chico.
Derecho al olvido
El nuevo reglamento tiene como base las políticas de prevención. Así, entre las novedades que se incorporan, destaca el reconocimiento del derecho al olvido, o lo que es lo mismo, la empresa deberá eliminar de forma ágil los datos personales del solicitante. Asimismo, tendrá la obligación de bloquearlo en buscadores, redes sociales, vínculos, etc.
Se añade además el derecho a la portabilidad. Es decir, tanto clientes como empleados podrán solicitar la recuperación sus datos en un formato que sea trasladable. El reglamento apela al principio de responsabilidad activa, por lo que las compañías deberán incorporar toda una batería de medidas.
Entre ellas, contempla desde la protección de datos en la parte del diseño, el nombramiento de un delegado encargado de custodiar la información, la implementación de medidas de seguridad, evaluaciones de impacto y registros de tratamiento, hasta la notificación de violaciones de la seguridad de los datos o promover códigos de conducta y esquemas de certificación.
Jordi Juan Guillem, director de riesgo tecnológico en el sector aseguradorde PwC, pone el acento en el principio de accountability, que implica que las organizaciones tendrán que guardar todos los registros de auditorías y controles el tiempo que consideren prudencial. No obstante, “cabe destacar que, según la Agencia Española de Protección de Datos, en principio, el reglamento vigente en España no se derogaría, por lo que las organizaciones tendrán que mantener un documento de seguridad y auditar medidas cada dos años”.
Por otra parte, y respecto a la información de negocio y backoffice, Guillem aclara que “es un tema complejo y requiere un análisis detallado de las normativas legales e internas para dar cumplimiento a los diferentes requerimientos de negocio, según las especificaciones de conservación de cada legislación sectorial”.
Formación para resolver el galimatías
Implicar y formar a los todos los empleados en las políticas de gestión de la información será algo esencial en el futuro más inmediato. Un estudio de AIIM revela que el galimatías normativo ha llevado al 55% de las empresas de todo el mundo a dejar que sean los propios trabajadores quienes decidan si guardan o borran los correos electrónicos. Circunstancia que, sin el debido control, pone a las compañías en la línea de fuego. “Muchas empresas no tenían claro o eran incapaces de saber o demostrar si habían borrado información importante según la normativa”, lamenta Chico.
Desde Iron Mountain destacan, además, que el 22% de las empresas no tiene políticas para el archivo del papel, lo que hace “muy probable que no haya ni una sola persona, ni un equipo definido capaz de tener una visión completa de dónde está almacenada la información o si el lugar donde está es seguro”.