Llegamos a ustedes gracias a:



Reportajes y análisis

¿Su proveedor de nube está listo para Ediscovery?

Cinco pasos para asegurarse de ello

[24/09/2012] La identificación, recuperación y producción de información almacenada electrónicamente (ESI) en respuesta a una citación judicial puede ser algo muy costoso y que demanda largo tiempo. Procesar solo un gigabyte de datos en respuesta a una solicitud de descubrimiento electrónico (eDiscovery) puede costar al menos 30 mil dólares, de acuerdo con Sedona Conference Journal.
Entonces, no sorprende que pocos proveedores de nube hayan abordado la cuestión de las responsabilidades de eDiscovery en sus contratos. Pero eso deja en riesgo a las empresas con su ESI en la nube pública. "Los tribunales han mostrado poca paciencia con las empresas que no cumplen con sus obligaciones de descubrimiento", señala Kim Leffert, abogado en el área de litigios de Mayer Brown. "La excusa de que los datos están en un proveedor de sistemas de outsourcing probablemente caerá en oídos sordos".
Una empresa que externaliza su ESI a un tercero no tiene la misma obligación de conservar y producir información relevante como si la información se encontrara en sus propios servidores, agrega Leffert; incluso pueden enfrentar un mayor riesgo si la solicitud judicial de citación o descubrimiento va directamente al proveedor de la nube.
Si bien las responsabilidades de eDiscovery se negocian y se escriben en los contratos de outsourcing más tradicionales, los proveedores de computación en la nube se han mostrado renuentes a abordar el tema, ya que exigiría una mayor personalización de la que permite el diseño de sus modelos de negocios. Y eso es poco probable que cambie en el corto plazo. "Estamos probablemente en la primera ronda o dos de la computación en nube, y esta es una ronda de tres, cuatro, o cinco", indica Leffert. "Puede que los clientes de la computación en la nube tampoco estén pensando en ello. Puede que vean a las ofertas en nube como relacionada al almacenamiento -como tomar cajas de documentos y ponerlas en un almacén de registros".
Pero los líderes inteligentes de TI deben ser proactivos acerca de abordar la cuestión, ante la perspectiva de que surja un litigio o investigación gubernamental, sobre todo porque los plazos para responder a las solicitudes de descubrimiento electrónico suelen ser limitados. "Incluso si el plazo es de dos meses, podría ser muy corto si estamos hablando de la producción y revisión de dos millones de documentos", señala Leffert. "La solicitud para obtener seis meses de mensajes de correo electrónico de una persona es una cosa, tres años de correos electrónicos de 100 personas, es otra cosa. Todo es una cuestión de escala".
Hay varios pasos que los líderes de TI pueden tomar para asegurarse de no ir en contra de los requisitos de eDiscovery al almacenar sus datos en la nube:
1. Desarrolle un programa de gestión de documentos
No deje que la suerte de sus datos dependa del proveedor. "Las empresas tienen que pensar por adelantado acerca de cómo están manejando sus propios registros", señala Leffert. "¿Dónde están, cómo están organizados, y cuando -si alguna vez- deben ser descartados?" Ese conocimiento le hará responder a las solicitudes y citaciones de eDiscovery de una forma más eficiente, y también proporcionan una defensa potencial a las reclamaciones de destrucción indebida de pruebas.
2. Establezca un plan de respuesta ante litigios
Considere incluir una disposición para litigios en su contrato de computación en la nube, que requiera que el proveedor desarrolle e implemente un plan de respuesta ante un litigio. Ese plan podría incluir una lista de las responsabilidades para la conservación de datos, reuniones regulares para discutir y actualizar la estrategia y el nombramiento de un profesional con experiencia en eDiscovery en el lado del proveedor para supervisar el proceso.
3. Maneje los datos privilegiados con cuidado
Si el proveedor de la nube tiene acceso a información que podría caer en la categoría de privilegiados entre abogado-cliente o producto-trabajo, añada una cláusula contractual para proteger esos datos en particular. Eso podría venir en forma de restricciones sobre revelación privilegiada, la definición de todas las comunicaciones hacia y desde el departamento legal como privilegiada, o reservarse la opción de designar información protegida en una fecha posterior.
4. Aborde las solicitudes de terceros
El enfrentamiento de las partes en un pleito legal o las agencias de gobierno con poder de citación, pueden exigir el acceso a los datos de una empresa directamente desde sus proveedores de computación en la nube, lo que abre la posibilidad de que el proveedor pueda divulgar información que no debe ser compartida. Mitigue ese riesgo mediante la inserción de una disposición para que el vendedor se contacte inmediatamente con un representante de la compañía ante la recepción de cualquier solicitud de datos o una citación judicial, envíe una copia de la solicitud o la citación a la empresa (si es legalmente permitido), y consulte con el cliente antes de dar una respuesta.
5. Comuníquele a su proveedor si está a punto de ser demandado
Cuando el pleito se ha presentado -o se espera que ocurra- infórmele inmediatamente a su proveedor. Considere enviarle una copia del aviso del litigio que describa que todos los elementos se conservan, aconseja Leffert, y reúnase con el proveedor para responder a cualquier pregunta o preocupación.
Si el pleito avanza, es el momento de pedir más de su proveedor de nube, como las estimaciones de costos para la preservación de los datos y la producción y las explicaciones de por qué la conservación o la producción de determinados documentos no es posible o factible. También es buena idea exigirle al proveedor de nube que documente todas las medidas que está tomando para cumplir con sus obligaciones, señala Leffert. Esto ayudará a garantizar no solo que están respondiendo de buena fe a las solicitudes de eDiscovery, sino que también puede servir como prueba de la debida diligencia de los clientes en el cumplimiento de sus obligaciones.
Stephanie Overby, CIO (EE.UU.)