Cuidado con el archivado de correos electrónicos: muchos servicios no son compatibles con RGPD

Cuidado con el archivado de correos electrónicos: muchos servicios no son compatibles con RGPD

Desde hace algún tiempo, ha existido un tema en particular en las empresas que ha preocupado a la dirección: se trata de la protección de datos y su reglamento general, que entró en vigor en mayo de 2018. Desde muchos puntos de vista, la ley de protección de datos a nivel europeo está ganando aprobación y elogios, ya que garantiza que el consumidor tenga el control sobre sus datos. Pero el asunto a menudo sigue causando dolores de cabeza a las empresas. Estas están sobrecargadas con reglamentos no transparentes y con el considerable trabajo y gasto adicional en que incurren.

Solo una cuarta parte de las empresas alemanas encuestadas cumplen con los requisitos de protección de datos de la UE. Este fue el resultado de un estudio de Bitkom en septiembre de 2019, en el que se preguntó a 500 empresas sobre la aplicación del RGPD.

La temida ola de reclamaciones no se ha materializado por el momento. En cambio, se impusieron multas más pequeñas. Sin embargo, esto cambió en noviembre de 2019. La asociación de viviendas Deutsche Wohnen fue multada con la mayor sanción jamás impuesta por una violación de la protección de datos en Alemania: 14,5 millones de euros. El motivo de esta enorme suma fue el sistema de archivado utilizado en toda la empresa, que no ofrecía ninguna posibilidad de eliminar los datos que ya no se necesitaban.

Exactamente este es el tema sobre el que queremos dedicarnos a continuación y mostrar qué funciones debe tener un archivo de correo electrónico para que esté a prueba de auditorías Y cumpla con la protección de datos.

Archivar correos electrónicos, ¡pero correctamente!

En la ajetreada vida empresarial, el correo electrónico como medio de comunicación se ha estandarizado. Se envían facturas de productos y servicios adquiridos a clientes, al igual que ofertas y consultas a proveedores, entre otras cosas. En el curso de estos acontecimientos, no es de extrañar que se haya ampliado el marco jurídico y reglamentario para el manejo de los correos electrónicos comerciales. Así pues, la base jurídica para el archivo de los mensajes de correo electrónico se deriva de los principios para la gestión y el almacenamiento correctos de libros, registros y documentos en forma electrónica, así como para el acceso a los datos, en resumen, la GoBD (Normativa de almacenamiento de datos en Alemania).

Por consiguiente, la obligación de archivado se aplica a todo comerciante, empresa comercial y también a las entidades jurídicas. La duración del archivado varía según el tipo de correspondencia. Si bien se prevé un período de archivo de seis años para las cartas comerciales y de negocios convencionales, los documentos contables, las facturas, así como los balances y los estados financieros anuales deben conservarse hasta 10 años.

Según la GoBD, los sistemas de archivo utilizados deben cumplir los siguientes criterios básicos para garantizar un archivo de correo electrónico a prueba de auditorías:

  • Los correos electrónicos deben archivarse sin cambios
  • Ningún correo electrónico debe perderse en el camino o en el archivo
  • Los correos electrónicos deben ser recuperables a corto plazo
  • Los mensajes de correo electrónico no pueden eliminarse durante la vida útil prevista
  • Los correos electrónicos deben poder ser visualizados e impresos exactamente como fueron redactados
  • La documentación de los cambios en la organización y estructura del archivo debe permitir restaurar su estado original
  • La migración a nuevas plataformas debe ser posible sin pérdida de información

Además, el cumplimiento de los reglamentos legales y operacionales del usuario en lo que respecta a la seguridad y la protección de los datos debe garantizarse durante toda la vida útil del archivo.

A prueba de auditorías, no es lo mismo que conforme a protección de datos

El lector atento se hará la siguiente pregunta más adelante en este punto del artículo: ¿Cómo se puede notificar a un sistema de archivado sobre el incumplimiento de las obligaciones de supresión – si los mensajes de correo electrónico – se van a archivar de forma completa y a prueba de auditorías?Una pregunta legítima.  Aquí la respuesta:

El reglamento general de protección de datos establece la obligación de eliminar todos los datos personales que ya no se utilicen. Esto también incluye toda la comunicación por correo electrónico. Según el RGPD, el almacenamiento y el procesamiento de estos datos es siempre para un propósito específico. El propósito puede, por ejemplo, estar relacionado con la prestación de un servicio específico que no sería posible sin el tratamiento de los datos del cliente. Si este propósito dejara de existir después de algún tiempo, estos datos deben eliminarse.

U

Un ejemplo del departamento de RRHH:

Mónica M. solicita un trabajo como encargada en una empresa mediana del sector turístico. Por lo general, la solicitud contiene datos personales pertinentes, como la dirección, la fecha de nacimiento y mucho más. Los documentos son comprobados por el departamento de RRHH y el respectivo departamento especializado.

Si Mónica M. resulta convincente, se le invita a una entrevista y, en el mejor de los casos, obtendrá el puesto. Para poder actuar como empleada de la empresa y ser pagada por ello, la empresa debe seguir almacenando y procesando los datos de Mónica.

Sin embargo, si Mónica no resulta convincente en la entrevista, el motivo para el almacenamiento de los datos ya no se aplica. Por lo tanto, la compañía debe eliminar completamente los datos a más tardar seis meses después de la negativa a la solicitud de empleo. Y aquí se pone el énfasis en «eliminar». Esto incluye todos los documentos disponibles en papel o en formato digital, como cartas de presentación, currículum vitae, copias de certificados, notas tomadas en la entrevista, documentos de prueba y todos los correos electrónicos relacionados que se hayan recibido.

Además de la situación que se acaba de describir aquí, hay otros dos casos en los que el archivo está restringido o no está permitido en absoluto. Esto incluye, por un lado, la comunicación por correo electrónico entre los empleados y el comité de empresa o el médico de empresa. Además, si los empleados están generalmente autorizados a enviar y recibir correos electrónicos personales, la empresa tampoco puede archivarlos.

El sistema de archivado conforme a auditorías y a la protección de datos

Como ya se ha descrito, el almacenamiento de datos personales está vinculado a un propósito específico. Como hemos visto, este propósito puede cambiar. Por lo tanto, la obligación impuesta por la ley de retener los datos puede considerarse también como un propósito para el almacenamiento de datos personales.

Para poder cumplir con las obligaciones de almacenamiento y eliminación, una empresa debe tener en cuenta tres aspectos importantes al archivar los mensajes de correo electrónico. En primer lugar, debe ser posible reconocer y marcar la información personal, como la comunicación privada por correo electrónico de los empleados. Los datos deben clasificarse de tal modo que pueda responderse a la pregunta de cuál es el asunto tratado. Por último, pero no menos importante, deben definirse los períodos de retención, por ejemplo, para los períodos de almacenamiento.

Por lo tanto, es particularmente importante prestar atención tanto a la conformidad de las auditorías como a la protección de los datos al seleccionar el sistema de archivado de toda la empresa, porque no todos los sistemas de archivado pueden eliminar datos y, como hemos visto, ¡esto puede terminar siendo muy costoso!

Servicio de Archiving de Hornetsecurity

Hornetsecurity Archiving es un sistema de archivado que cumple con todos los requisitos y que además requiere un bajo esfuerzo de administración y mantenimiento. Todos los correos electrónicos entrantes y salientes se archivan de forma totalmente automática y segura en la nube. Esto asegura la inmutabilidad y la integridad de los correos electrónicos sin ningún esfuerzo.

Otras características del archivado son la marcación de los correos electrónicos privados, así como la exclusión completa de ciertos usuarios del archivo, como los miembros del comité de empresa. De esta manera, los datos personales pueden protegerse en conformidad con RGPD. El período de archivo de los correos electrónicos puede configurarse por adelantado entre seis meses y 10 años. La actual función de búsqueda de texto completo permite encontrar los correos electrónicos corporativos de manera rápida y específica. Por último, Hornetsecurity Archiving también tiene una función de importación y exportación segura con un formato estandarizado.

Protección de datos fuera de la UE

Protección de datos fuera de la UE

Los datos – el oro del mundo digital, el petróleo de la industria 4.0 y la base del modelo de negocio de Google y Facebook. Ya hemos explicado por qué los datos son insustituibles para el mundo de los negocios en los tiempos modernos. Con la adopción de la GDPR, el gobierno europeo ha considerado que los datos son especialmente dignos de protección y ha llamado la atención de los consumidores sobre la importancia de esta protección. Pero ¿se trata la información personal con la misma sensibilidad más allá de las fronteras europeas? ¿Dónde están las diferencias? Echamos un vistazo a la comprensión y la importancia de la protección de datos en otros países y mostramos lo que esto significa para la población, entre otras cosas.


EE.UU. – Leyes de protección de datos específicas del sector




A diferencia de la regulación básica de protección de datos en Europa, la protección de datos en los Estados Unidos está regulada sobre una base sectorial. Las empresas en los EE.UU. están generalmente obligadas a garantizar la seguridad de los datos personales y están sujetas a la obligación de informar en caso de fugas de datos. Sin embargo, las empresas deben o pueden determinar su propio nivel de protección de datos. ¿Pero de dónde provienen estos diferentes enfoques para el manejo de los datos? La protección de los datos personales en Europa está establecida en la constitución alemana como un derecho fundamental de autodeterminación informativa. En los Estados Unidos, en cambio, la protección de datos forma parte de la ley de protección del consumidor y, por lo tanto, es más parte de la vida económica. La supervisión en virtud de la ley de protección de datos está en manos de la Comisión Federal de Comercio, por lo que la cuestión de la protección de datos se considera desde una perspectiva económica y no tanto como un derecho personal. La Ley Patriota de los Estados Unidos fue aprobada después de los ataques terroristas del 11 de septiembre de 2001 y causó un gran revuelo más allá de las fronteras del país. Las autoridades de seguridad, como la NSA, podían acceder a los datos almacenados en los servidores locales sin una orden judicial en los casos sospechosos. Los proveedores de Internet y los proveedores de nubes también podrían ser obligados a revelar datos personales. En determinadas condiciones, las autoridades de investigación también podían obligar a las empresas a entregar datos sin siquiera informar a las personas afectadas por medio de la llamada Carta de Seguridad Nacional.


Con las revelaciones de Edward Snowden en 2013, la población estadounidense se ha vuelto mucho más cuidadosa en lo que respecta a la vigilancia estatal. En junio de 2015, el entonces presidente Barack Obama firmó la Ley de la Libertad de Estados Unidos, que volvió a restringir las facultades de las autoridades investigadoras.


El escándalo de Cambridge Analytica siguió en 2016. La empresa de análisis había obtenido acceso inadvertido a los datos de 87 millones de usuarios de Facebook y alimentó con ellos la campaña electoral presidencial de Donald Trump. Poco después del anuncio, el estado de California redactó una ley estricta para proteger los datos de los usuarios, que entrará en vigor en enero de 2020. La llamada Ley de Privacidad del Consumidor de California tiene como objetivo permitir a los consumidores saber qué datos son recogidos y utilizados por qué compañías y cómo, y exigir que sean eliminados si es necesario. Actualmente no existe una ley nacional, pero los Estados Unidos ya han dado un gran paso hacia los estándares europeos de la GDPR.

China – ¿vigilancia absoluta?




Desde 2015, la cobertura con cámaras de vigilancia en la capital Beijing es del 100 por ciento, muchos de los dispositivos funcionan con software de reconocimiento facial. Los ciudadanos de la República Popular China son vigilados en todas partes. Además, actualmente se está estableciendo un sistema para evaluar el comportamiento de las personas en China. El sistema de crédito social es para registrar y analizar no sólo la moral de pago, sino también los antecedentes penales, los hábitos de compra e incluso la lealtad. ¿Suena como una extraña serie de ciencia ficción crítica con la sociedad? Sin embargo, un sistema de crédito social de este tipo es una realidad en la ciudad costera de Rongcheng desde 2014. Los aproximadamente 670.000 habitantes tienen que mostrar su puntuación regularmente a las autoridades. Si el número de puntos no es correcto, una promoción en el trabajo o la solicitud de un préstamo del banco podría verse afectada negativamente. En Europa, un sistema de crédito social de este tipo sería ilegal, ya que violaría los principios de protección de datos y, por tanto, también la Ley Fundamental.

En septiembre de 2019, la App china Zao atrajo la atención internacional. Mediante el uso de la inteligencia artificial, el software permitió a los usuarios transferir sus propios rostros a los de las estrellas de Hollywood en las escenas cinematográficas. Cuando de repente aparecieron en Internet extractos de las películas más famosas de Leonardo DiCaprio en las que la cara de un usuario de Zao se adaptaba de forma engañosamente realista a la de un actor de Hollywood, la aplicación se hizo viral. Sin embargo, rápidamente surgieron preocupaciones en relación con las condiciones de uso. Los usuarios de la aplicación aparecieron. Los usuarios de la aplicación cedieron «derechos completamente gratuitos, irrevocables, perpetuos, transferibles y re-licenciables» a los desarrolladores de la aplicación. Según Zao, se han eliminado los pasajes controvertidos, pero todavía existe la preocupación de que los ciberdelincuentes puedan utilizar el contenido generado para burlar el software de reconocimiento facial que, por ejemplo, da acceso a las cuentas bancarias. El peligro de informes falsos, que podrían ser generados por falsificaciones profundas, también está creciendo a medida que esta tecnología se desarrolla.

Además de Zao, la subsidiaria de la plataforma de comercio de Alibaba, Ant Financial, también enfureció a varios ciudadanos chinos. Con «Sesame Credit» Ant Financial introdujo un servicio que verifica la solvencia de los usuarios evaluando sus actividades en línea. Después de que los usuarios descubrieron que habían sido incluidos en el sistema por defecto sin su consentimiento, Alibaba se disculpó debido a la creciente presión pública.

China se está convirtiendo cada vez más en un estado de vigilancia digital. Pero la República Popular también cuenta con algunas leyes sobre ciberseguridad: el 1 de junio de 2017 entró en vigor la Ley de Ciberseguridad. Entre otras cosas, el objetivo era la seguridad de la red y el fortalecimiento de la protección de datos. En 2018, el Congreso del Pueblo Chino anunció que estaba prevista una ley general de protección de datos. La Ley de Ciberseguridad y partes de la Ley de Comercio Electrónico a partir de 2018 tienen como objetivo proporcionar un marco para la ley prevista sobre la protección de datos personales. Mientras se redactaba la nueva ley, la Administración del Ciberespacio de China (CAC), el máximo organismo administrativo regulador de Internet, publicó en junio de 2019 la Directriz Reguladora de Protección de Datos. Establece las normas para la recogida y el tratamiento de los datos de los clientes. La Directriz constituye la base para la futura orientación del derecho aplicable a nivel nacional.

GDPR crea transparencia




«Con la GDPR, no sólo aumenta la confianza de los usuarios hacia las empresas, sino también la confianza de las empresas entre sí. El procesamiento de los datos de los clientes está ahora uniformemente regulado y ofrece más transparencia en esta área», dice el CISO (Chief Information Security Officer) de Hornetsecurity, Olaf Petry, sobre la ley. «Las leyes de protección de datos como la GDPR aseguran el manejo uniforme de información sensible a través de las fronteras. Además de las ventajas que la GDPR ofrece a las empresas y a los particulares en Europa, los países fuera de la UE también pueden beneficiarse de ella. La GDPR ya es un modelo clave para futuros proyectos de legislación.​


Más información: