Crear y mantener su política de retención de registros es una de esas tareas que lleva un poco de tiempo, pero puede ahorrar mucho tiempo y confusión más adelante. Es esencialmente una forma de garantizar que todos en una organización estén en sintonía sobre cómo manejar toda la información confidencial, incluidos los documentos en papel y los registros digitales. Tener una política de retención de registros brinda a todos una imagen clara de los pasos que deben seguir para proteger los datos corporativos, desde la creación de nuevos registros hasta que los servicios de destrucción de datos los trituran o destruyen.
Las personas que intentan revisar muchos archivos tienen preguntas sobre el cumplimiento de los datos. En algunos lugares y en algunas industrias, las leyes de cumplimiento de datos exigen que las organizaciones conserven los archivos durante un cierto período de tiempo. Pero incluso las empresas que no se ocupan de los registros de salud o financieros deben tener políticas básicas de retención de registros, siempre que los empleados no tengan que perder el tiempo buscando respuestas cada vez que se preguntan si algún archivo confidencial debe conservarse o eliminarse. Tener un enfoque claro y consistente para la retención y administración de registros también puede ser útil si alguna vez estuvo involucrado en alguna acción legal o auditoría que requiera que entregue registros específicos.
¿Cuál es su política de retención de registros?
Una política de retención de registros no tiene que ser un documento largo o complejo. Solo necesita contener algunos elementos centrales. El primer elemento esencial de una política de retención es una lista de tipos de registros y el tiempo mínimo que debe conservarse cada tipo.
Algunas cosas, como los estados financieros y los documentos fiscales, deben conservarse para siempre, pero muchos documentos comerciales, como los registros de nómina y las facturas, pueden desecharse después de tres a siete años. Asegúrese de que los registros digitales también se manejen aclarando que el contenido, como correos electrónicos y archivos PDF, tiene el mismo programa de retención que los documentos en papel. (Consulte a las personas que administran su TI para asegurarse de que sus políticas reflejen con precisión cómo su empresa administra y conserva la información digital).
Si no está sujeto a ninguna ley de cumplimiento de datos específica de la industria que pueda afectar los plazos específicos de su política, puede buscar ejemplos de políticas de retención de registros en línea para obtener orientación. Siempre es mejor consultar con su asesor legal para asegurarse de que no solo conoce las reglas de cumplimiento de datos que se aplican a usted, sino que no está ignorando nada que pueda hacerlo responsable.
Cómo encajan los servicios de destrucción de datos
"Política de retención y destrucción de registros" podría ser un nombre más exacto para este documento. Una vez que su negocio ya no esté obligado a mantener registros, su política debe abordar los procedimientos apropiados para eliminar registros.
Aferrarse a registros digitales y en papel antiguos durante demasiado tiempo solo ocupa espacio de almacenamiento y crea confusión que puede dificultar la búsqueda de los documentos que realmente necesita. Una vez que los registros ya no sean útiles (de acuerdo con el cronograma de su póliza), deben destruirse de manera segura. Aborde las mejores prácticas de destrucción de datos en sus políticas para que el cumplimiento de los datos y la seguridad de los datos no se vean comprometidos cuando los empleados procesan los datos.
Asimismo, la destrucción de datos no tiene por qué ser una parte larga o compleja de una política de retención de registros. Los elementos clave que quizás desee abordar en esta parte de la política incluyen:
El departamento o título de la persona responsable de supervisar los problemas de destrucción de datos en la organización.
Información sobre cuánto tiempo se deben conservar los diferentes tipos de archivos.
Información sobre cómo se deben destruir los documentos en papel obsoletos (triturados por un servicio de destrucción de datos).
Información sobre cómo deben destruirse los dispositivos de almacenamiento de datos obsoletos, como los discos duros (nuevamente, idealmente, estos deben ser triturados por un servicio de destrucción de datos).
Información sobre la frecuencia con la que se eliminan los correos electrónicos y otros registros digitales de sus sistemas (bajo la dirección del personal de TI que lo atiende).
Confirme que los registros relacionados con cualquier procedimiento legal o auditoría en curso no serán destruidos (bajo la dirección de su asesor legal).
Después de completar su política de retención de registros, incluida la sección sobre destrucción de datos, asegúrese de que todos en su organización obtengan una copia. Incluso los trabajadores remotos deben recibir capacitación sobre sus políticas de retención para que todos los que puedan tener acceso a sus registros comerciales conozcan las mejores prácticas para proteger sus datos confidenciales.