Como consecuencia a las malas acciones cometidas tanto por empleados como por representantes de la empresa en materia de protección de datos, uso indebido de la información o la mala conservación documental, será a partir de ahora responsabilidad penal de la persona jurídica, gracias a que el pasado 1 de julio entró en vigor la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Esta ley aborda aspectos interesantes respecto a la gestión de la información y datos electrónicos.

Una de las partes del texto que ha sufrido más cambios ha sido la Directiva 2013/40/UE relativa a los ataques contra los sistemas de información y la interceptación de datos electrónicos, más concretamente el artículo 31bis en el que establece que las personas jurídicas serán plenamente responsables de los delitos.

¿Qué requisitos deberán cumplir los modelos de organización y gestión?

·         Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

·         Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos.

·         Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

·         Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

·         Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

·         Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Tras la implementación de esta nueva reforma, la empresa Iron Mountain España quiso recalcar la importancia de tomar una serie de medidas para garantizar una gestión documental eficaz y segura. Para ello la empresa ha presentado un estudio conjunto con IDC recomendando a la organización implementar una serie de procesos.

·      Contratar a un Responsable de Datos para supervisar y obtener valor de su archivo de datos, colaborando con el Responsable de Operaciones y el Responsable de Información con el fin de establecer estrategias de negocio y datos a largo plazo.

·      Desarrollar mapas de información de todas las fuentes y almacenes de datos (y su valor) que hay en su empresa.

·      Implementar una estrategia holística y consistente de archivo de información que dé respuesta a los calendarios de conservación de datos, casos de éxito, el valor de los datos, la necesaria accesibilidad y los costes del almacenamiento.

·      Comunicar de forma clara a los empleados las políticas y normativas.

·      Considerar trabajar con un proveedor externo con experiencia específica capaz de ayudar a optimizar sus soluciones de archivo a la vez que se liberan los recursos internos de TI para poder centrarse en un trabajo más estratégico e innovador.

Esta nueva ley, junto con la propuesta realizada por Iron Mountain España, tienen como objetivo dar un toque de atención a todas aquellas empresas que se tomen en serio la gestión documental y garantizar que dichas organizaciones no utilicen de forma fraudulenta la información, además de cumplir con las normas legales de conservación de documentos.

Saúl Gómez Sánchez