Cómo afecta la reforma del código penal a la gestión documental y de la información

Hace poco más de 6 meses (el 1 de julio) entró en vigor la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. La ley es muy amplia y aborda muchos aspectos.

Buena parte de las modificaciones llevadas a cabo están justificadas por la necesidad de atender compromisos internacionales, como es el caso de la Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información y la interceptación de datos electrónicos cuando no se trata de una comunicación personal. En estos delitos se prevé la responsabilidad de la persona jurídica.

Más en detalle, el artículo clave que se refiere a la responsabilidad penal de la persona jurídica es el modificado artículo 31 bis que establece que las personas jurídicas serán plenamente responsables de “los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma”.

Solo la persona jurídica quedará exenta de responsabilidad si, entre otros, la empresa “ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas” para prevenir los delitos o reducir el riesgo de que se cometan.

1. Dicho esto, los modelos de organización y gestión a deberán cumplir los siguientes requisitos:
2. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
3. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
4. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
5. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
6. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
7. Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

A la vista de esta reforma, Iron Mountain España hizo hincapié en la importancia de implementar medidas robustas para garantizar una gestión documental eficaz y segura. La empresa ha presentado recientemente un estudio conjunto con IDC recomendando a las organizaciones implementar los siguientes procesos:

• Contrate a un responsable de Datos para supervisar y obtener valor de su archivo de datos, colaborando con el responsable de Operaciones y el responsable de Información con el fin de establecer estrategias de negocio y datos a largo plazo.
• Desarrolle mapas de información de todas las fuentes y almacenes de datos (y su valor) que hay en su empresa.
• Implemente una estrategia holística y consistente de archivo de información que dé respuesta a los calendarios de conservación de datos, casos de éxito, el valor de los datos, la necesaria accesibilidad y los costes del almacenamiento.
• Comunique de forma clara a los empleados las políticas y normativas.
• Considere trabajar con un proveedor externo con experiencia específica capaz de ayudar a optimizar sus soluciones de archivo a la vez que se liberan los recursos internos de TI para poder centrarse en un trabajo más estratégico e innovador.