(La entrada de hoy es la quinta colaboración de Francisco Benet, que como ya les hemos comentado anteriormente es un amigo de algunos de nosotros y familia de algún otro que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)
La documentación de una empresa es como su vida misma, ya que define generalmente su negocio. Esta es la razón por la que la retención de documentos es un factor clave para las organizaciones. Podemos definir la retención de documentos como el periodo de tiempo que un documento (ya veremos cómo definir que es un documento) debe estar ‘vivo’ o ‘accesible’ para poder ser usado; es como aquel traje que sólo nos ponemos para ir a la misa del gallo: debe estar ahí para el día que lo necesitemos.
Hoy y aquí intentaremos acercar un poco más este aspecto legal y técnico tan poco ‘trabajado’.
Para empezar, todo este ’embrollo’ debe comenzar, cómo no, con la generación de una política, que esté en consonancia con la Política de Clasificación de la Información (ver estas dos entradas sobre el tema). Hay que destacar que un aspecto crítico en todo este jaleo es el aspecto legal, ya que el documento en sí mismo puede tener unos aspectos legales importantes que constituyen el principal handicap (y que veremos más adelante).
Por tanto, en la definición de dicha política esta altamente implicado el departamento legal, tanto para definir los periodos de retención, como para poder traducir todos los requerimientos legales en la definición del par categoría del documento-período de retención. Otros participantes deberán ser Dirección y el Responsable de Seguridad, como responsables y encargados de implantar y hacer cumplir dicha política (aunque la figura puede ser otra). Otro de los principales problemas que no debemos olvidar es la destrucción de la información no necesaria; esto deberá estar plasmado en la política.
El aspecto tecnológico que nos de soporte a nuestra política también es un factor clave. La tecnología para abordar este reto debe ser eficiente, escalable, debe reducir el almacenamiento y debe tener herramientas para poder acceder a los datos de manera ágil y sencilla (indexación). La solución debe reflejar el ciclo de vida del documento basándose en el par indicado anteriormente categoría del documento-período de retención. Puede parecer difícil, pero no tiene por qué ser imposible.
Resumiendo, nos vamos a enfrentar a estos problemas :
- Falta de clarificación de los requerimientos legales.
- La tecnología de almacenamiento se vuelve obsoleta rápidamente, cosa que legalmente no se admite como excusa… además ¿cómo certifico un documento como válido?
- Se almacena pero no se retiene (no hay ciclo de vida de los documentos). No es lo mismo, no señor…
- El nuevo documento es el e-mail, ya que se usa cada día más como elemento de negocio, pero no se define como documento. ¿Cómo lo retenemos?
- Problema en la destrucción de la documentación electrónica.
Un proyecto de retención de documentación debe tener estos aspectos en cuenta, y debe estar guiado por factores de gestión, legales y técnicos que permitan encontrar una solución óptima en cuanto a costes, aportando beneficio a negocio y evitando caer en la tecnología obsoleta.
Pero primero de todo, para hablar de retención de documentación debemos hablar de la definición de documento, registros y datos.
Los documentos se pueden definir como “cualquier medio en el que información de cualquier tipo es registrada“, ya sea papel o imágenes digitales; por su parte, los registros se pueden definir como “información creada, recibida y mantenida como evidencia y como información, tanto para obligaciones legales como para el negocio en sí“. Esto por supuesto incluye los logs de auditoría y los registros de transacciones. Finalmente, se puede definir datos como “información en sí misma usada principalmente para razonamiento (argumento), calculo o discusión“, lo cual incluye copias (no originales) e información electrónica.
Con esta base, estamos hablando que la retención de documentación debe contemplar todo el espectro de información de una empresa sin incluir copyright ni backups técnicos (de los sistemas) entre otros, definiéndose como “la necesidad de retener o destruir registros”. Debido a que la información puede ser de ámbito legal, negocio o únicamente registros de los sistemas la responsabilidad no cae únicamente en un departamento o rama de la organización sino en el conjunto de ésta.
A partir de ahí se definen los elementos guías para la retención de documentación, que trataremos uno por uno:
- Elementos de gestión o negocio
- Elementos legales
- Elementos técnicos
Elementos de gestión o negocio
Cualquier organización dispone, por lo general, de requerimientos para retener documentación: retención de contratos como prueba de cumplimiento (acuerdos contractuales), defensa de la propiedad intelectual y patentes (u otros secretos), o mantener la reputación e integridad, entre otros.
Hay que hacer especial hincapié en el uso del e-mail como método más actual de intercambio de información, debido a que a través de éste se gestionan datos de negocio, contratos, etc., y a su vez se pueden provocar daños a la organización si se hace un mal uso de éste. Asimismo, el hecho de retener el e-mail como documento no está exento de problemas, ya que puede entrar en conflicto legalmente debido al componente de privacidad que éste tiene. Este aspecto suele ser de difícil resolución, y una de las aproximaciones que se están tomando es el de gestionar buzones de correo genéricos con acceso limitado a un conjunto de personas.
Otro principal handicap de este método de comunicación es el incremento de e-mail en la organización (hasta el 35% al año), lo que sugiere optar por un almacenamiento escalable y migrable en futuro a nuevas plataformas de almacenamiento.
Elementos legales
Los elementos legales que guían la solución son :
- Las leyes y órganos reguladores y la obligatoriedad de cumplimiento con ellos
- Retener documentación para abordar litigios legales y poder presentar evidencias
En este punto hay que tener en cuenta la variación de la norma legal, y se deberá tener en cuenta la puesta en marcha de un proceso de discovery, de forma que podamos cubrir las nuevas leyes o las variaciones de éstas que tengan impacto sobre los documentos y su política de retención. En este punto es interesante mencionar el procedimiento para descubrir todas las leyes que aplican a la organización, obteniendo así los requerimientos legales para la retención de documentación. Queda claro por tanto que es clave la intervención del área legal para clarificar y trasladar los requisitos legales de la documentación manejada por la organización, poder así reflejar este punto en la política de retención, e implantar correctamente dicha política.
Por otro lado, existe la posibilidad de que se dé una ‘colisión de leyes’ distintas que aplican al mismo documento definiendo periodos de retención distintos.
Por lo tanto, podemos definir los principios de retención como los siguientes :
- La retención legal es mínimo periodo de tiempo durante el cual el documento debe ser retenido. En el caso de conflicto de leyes debe tomarse la de mayor duración.
- Cuando se considere qué “hacer” con los documentos electrónicos debe seguirse el principio basado en el papel. Destruir la documentación electrónica es casi imposible debido a su facilidad de movimiento.
- El creador del documento es el responsable de su clasificación. Este factor es importante pero cae directamente sobre la política de clasificación de información. Si bien puede parecer muy duro responsabilizar al creador de ser el responsable de su clasificación, es una labor de concienciación que apoyada con una facilidad técnica (marcas de agua mediante un ‘click’) pueden ayudarnos a tener un porcentaje de acierto muy alto.
Otro aspecto muy importante a considerar dentro de este ámbito es el estado de la tecnología ya que como puede parecer obvio dentro de los ámbitos legales no se considera como razonable la argumentación de tecnología obsoleta cuando se trata de acceder a información pasada (p.e. microfichas). En este aspecto se ha avanzado mucho con formatos como el PDF/A, que nos permite asegurar la vida de un documento (o eso parece, ya veremos dentro de 150 años), y que permite afrontar el futuro más tranquilamente que los procesos de migración de información, procesos que por cuestiones del destino el autor de este documento ha acometido en más ocasiones de las que uno quisiera. Por otro lado, y esperando que dé lugar a otro post, hay que tener en cuenta que recuperar un documento debe tener una validez ‘jurídica’ y que esto, por lo tanto, también puede afectarnos a la hora de elegir el método de almacenaje de la información.
Elementos técnicos
Los elementos técnicos son aquellos que son necesarios para poder obtener una solución efectiva, eficiente y que pueda cumplir con todos los requisitos legales y de negocio. Estos elementos se enfocan en una solución que tenga en cuenta :
- Acceso a documentos individuales
- Uso efectivo del almacenamiento en base al coste
- Protección contra la facilidad de quedarse obsoleta la tecnología de almacenamiento (y acceso) de los documentos
- Proveer capacidad de análisis forense (trazabilidad y auditoría)
El gran problema de la tecnología es su tendencia a quedar obsoleta en un corto espacio de tiempo (en comparación con la necesidad u obligación de retener documentos durante décadas), lo que unido a la no ‘argumentación’ en caso de requerimientos legales que hemos comentado antes produce un efecto peligroso en la elección de la tecnología, teniendo en cuenta el alto coste que suele tener la migración de estos elementos. En este aspecto, dos de los factores más delicados podríamos decir que son:
a) El incremento de volumen de los documentos.
b) El almacén de e-mails como documentos.
Y son de los más delicados debido al peso que pueden tener en la elección de una plataforma que nos permita almacenar un gran conjunto de documentos, securizarlos, dotarlos de transformación a formatos estándares, que sea escalable …
Política de Retención de Datos.
La política de retención de datos es indispensable en el ámbito de la retención de la documentación, y debe proveer de las siguientes características:
a) Debe estar escrita.
b) Debe reflejar la actual práctica de la empresa.
c) Debe incluir el proceso de ‘descubrimiento’ de requisitos legales.
Además, debe definir :
- Responsabilidades en la retención de documentación.
- Definición de políticas de retención para cada tipo de documento. En este caso debe ser el departamento Legal/Jurídico el que defina la retención de los documentos principalmente, aplicándoles al resto de documentos que no entran en el ámbito legal una política por defecto en base a la política de clasificación de la información de la empresa.
- Debe contener el alcance de la política. Tipologías de documentos, el medio en el que residen, etc., definiéndolo a un nivel ‘alto’.
- Debe contener el responsable de la definición del periodo de retención para cada tipo de documento : legal, técnico, contractual, etc.
- Debe hacer referencia a la política de clasificación.
- Debe definir el cómo recuperar la información, cómo acceder a ella. La información se retiene y se puede archivar, estando accesible de modo diferente a como lo está on-line.
- Debe referir también al ciclo de vida del documento : creación, retención, archivado, destrucción, etc.
Soluciones para la retención de documentación
Sin ánimo de ser demasiado optimista, una buena solución para retención de la documentación debe cumplir correctamente con los tres aspectos mencionados: gestión, legal y técnicos.
En la gestión:
a) Debe reducir la acción manual.
b) Debe facilitar el cumplimiento de la política de retención de documentos.
c) Debe ser efectiva en costes y proveer de funcionalidad a negocio.
d) Debe retener y proteger documentos que puedan ser solicitados en cualquier momento.
En ámbito legal:
a) Debe cumplir los requerimientos legales.
b) Debe dar solución a nuevos requisitos legales (futuros)
En el ámbito tecnológico:
a) Debe ser flexible.
b) Debe ser escalable.
c) Debe tener en cuenta criterios de disponibilidad y rendimiento
d) Debe permitir reducir el espacio necesario para el almacén de documentos.
e) Debe dar solución a los requisitos de negocio.
Una buena solución debe definir el ciclo de vida del documento aplicando la política por medio del par categoría-retención, añadiendo etiquetas de legal cuando el documento así lo requiera. Es importante saber que un documento está afectado por la política desde el momento en que se crea.
Para acabar, no hay que olvidar los principales problemas que todos solemos tener: la no-destrucción de documentación que no es necesario almacenar. Este aspecto no es nada fácil de resolver, y francamente no creo que exista una solución, ¿o acaso ustedes no guardan en casa aquellos objetos que no necesitan para nada?
(N.d.E. Debido a la longitud de la entrada, esto es todo hasta el lunes. Pasen un buen fin de semana.)
Buenos días.
Soy responsable del Dep. de Prevención en una empresa de instalaciones eléctricas. Tengo mucha documentación relacionada con la Seguridad, pero no encuentro un lugar donde me salgan lor requisitos legales sobre el tiempo que tengo que tener almacenada cierta documentación (entrega de epis, formación de los trabajadores, actas de reuniones, etc…) ¿Podría alguien ayudarme sobre donde podría encontrar esta información?
Muchas gracias.