En los últimos meses, tanto los reguladores como las autoridades encargadas de hacer cumplir la ley de EE. UU. han señalado a través de acciones y pronunciamientos de cumplimiento que están prestando más atención a las prácticas de supervisión de las empresas con respecto al uso permitido de aplicaciones de mensajería de terceros por parte de los empleados, incluida la mensajería efímera.
La mensajería efímera se ha convertido cada vez más en una pesadilla para los equipos legales y de cumplimiento porque, por la naturaleza misma de su funcionalidad, los mensajes de chat caducan después de un breve período de tiempo o pueden ser autodestruidos de inmediato por los usuarios individuales, después de lo cual se eliminan dichas comunicaciones. permanentemente.
“Claramente, es muy problemático si las empresas permiten que los empleados los usen para comunicaciones comerciales, porque entonces no se conserva ningún registro para retenciones de litigios ni ningún tipo de supervisión regulatoria”, dijo April Goff, socia de Perkins Coie.
A pesar de los desafíos que plantean los mensajes efímeros, la Comisión de Bolsa y Valores de EE. UU. y el Departamento de Justicia han advertido a las empresas que, no obstante, deben hacer esfuerzos para preservar dichas comunicaciones.
En comentarios públicos, El fiscal general adjunto Kenneth Polite dijo que las empresas deben estar preparadas para demostrar a los fiscales su «configuración de conservación y eliminación» con respecto a las comunicaciones y los datos electrónicos relacionados con la empresa, así como sus políticas en torno a cualquier programa de traiga su propio dispositivo (BYOD, por sus siglas en inglés). podría tener en su lugar.
“Si las personas utilizan estas herramientas para comunicarse en nombre de su negocio y usted no tiene la capacidad de preservar o producir un registro histórico de lo que se discutió, está limitando su defensa si algo sale mal”, dijo Robert Cruz. , vicepresidente de gobierno de la información en Smarth.
De hecho, Polite advirtió que los fiscales no aceptarán al pie de la letra el hecho de que una empresa no produzca tales comunicaciones. “Las respuestas de una empresa, o la falta de respuestas, muy bien pueden afectar la oferta que recibe para resolver la responsabilidad penal. Entonces, cuando llegue la crisis, que esto sea lo más importante”, dijo.
Política de BYOD
Dada la creciente atención regulatoria que se está poniendo en las prácticas de supervisión de mensajes efímeros con fines comerciales, aquellos en industrias fuertemente reguladas «primero deberían considerar sus políticas y protocolos de gobierno de la información con respecto a la retención y eliminación de datos», dijo Al Park, director gerente sénior de Tecnología FTI.
Goff enfatizó de manera similar que una política de uso aceptable es el primer nivel de defensa de una empresa y la forma principal de gestionar los desafíos que plantean los mensajes efímeros. Sin embargo, tener una política de mensajería efímera por sí sola no es suficiente, dijo. “Tiene que ser práctico, obligatorio y tener algunos dientes detrás”.
Polite enfatizó este punto aún más en sus comentarios: “Nuestros fiscales también considerarán cómo las empresas comunican las políticas a los empleados y si las aplican de manera consistente”.
Consideraciones tecnológicas
Las políticas de BYOD deben complementarse con controles sólidos de preservación de datos, por ejemplo, «configuraciones de almacenamiento y archivo de datos que no pueden ser alteradas por el empleado o el usuario final», dijo Park. “Si las organizaciones han implementado aplicaciones de mensajería administradas centralmente, como Slack o Microsoft Teams, esas plataformas ofrecen controles integrados de gobernanza y cumplimiento que se pueden alinear con parámetros específicos de retención de datos”.
Además, agregó Park, las empresas deben dejar en claro a través de un programa BYOD que tienen derecho a «hacer cumplir el uso de aplicaciones de mensajería en toda la empresa sobre las cuales TI y legal tienen control administrativo con el fin de monitorear las comunicaciones y preservar los datos».
Las siguientes son algunas medidas adicionales a considerar:
Elige la herramienta adecuada. Desde un punto de vista de investigación y descubrimiento electrónico, capturar y almacenar datos es más fácil decirlo que hacerlo, ya que cada una de estas diversas aplicaciones proporciona un conjunto diferente de funciones para compartir información y diferentes formas para que los usuarios interactúen entre sí, creando océanos de datos no estructurados. —publicaciones en redes sociales, documentos, videos, archivos de audio y más.
“Se necesita un sistema que permita a la empresa conservar todos los elementos de metadatos únicos”, agregó Cruz. “Otras aplicaciones de mensajería de terceros, por ejemplo, WhatsApp, WeChat, Telegram, Signal y Discord, incluyen un conjunto único de funciones, métodos de acceso y una variedad de tecnologías para cifrar datos”.
Para este tipo de tecnologías, existen herramientas de terceros que permiten a las empresas capturar comunicaciones y datos con fines de conservación. “Muchas plataformas de mensajería efímera permiten a los usuarios desactivar la función de eliminación automática dentro de la aplicación”, dijo Park. Esto también se puede hacer cumplir mediante una política BYOD.
De manera similar, cuando los mensajes están encriptados, una política BYOD puede requerir que los empleados proporcionen a la organización sus claves de encriptación, «para que esos mensajes puedan recuperarse y accederse si surge la necesidad por motivos legales o de cumplimiento», agregó Park.
Perode nuevo, cada organización debe primero decidir qué datos necesita capturar para cumplir con sus obligaciones regulatorias o de cumplimiento, después de lo cual puede averiguar qué tecnología tiene la capacidad de «hablar con» el software API de la empresa para proporcionar un registro completo y preciso de las comunicaciones comercialesdijo Cruz. “La pregunta número uno es: ‘¿Se siente cómodo como empresa de que si permite que sus empleados usen un [third-party messaging application] que tiene las tecnologías apropiadas para saber cómo se está utilizando?” él dijo.
Dar sentido a los datos. En última instancia, durante una investigación interna o un descubrimiento electrónico, es fundamental comprender el contexto de la conversación La pregunta clave allí es: «¿Qué actividad tuvo lugar en esa plataforma?» Cruz dijo.
«IEs importante segmentar y presentar estos mensajes de manera significativa, para que puedan revisarse en contexto”, dijo Tim Anderson, director gerente sénior de FTI Technology. “Nuestros equipos utilizan análisis contextuales y de densidad para agrupar mensajes de chat relacionados y relevantes en una sola vista para que puedan entenderse en el contexto más amplio de una conversación, pero no confundirse con ruido irrelevante. De manera similar, estamos trabajando para estandarizar la representación de emojis y reacciones en todas las plataformas para que puedan buscarse y analizarse en busca de contexto y matices adicionales en conversaciones de interés”.
También se puede realizar un análisis multiplataforma «para maximizar la eficiencia al obtener información de los datos disponibles y conectar los puntos entre los mensajes y los usuarios que han saltado a través de múltiples canales», agregó Anderson. GRAMOLa actividad de usuario histórica ranular también se puede aprovechar «para comprender cuándo los participantes se unieron, abandonaron, publicaron o reaccionaron a los mensajes, todo lo cual se puede usar para enriquecer los hechos conocidos de un asunto».
Consideración de contratar a un experto forense digital. Particularmente durante una investigación de corrupción, la empresa puede querer contar con la ayuda de un experto en análisis forense digital con la experiencia para saber dónde buscar datos pertinentes, qué buscar y cómo recuperarlos. “Existen algunos métodos forenses digitales que hacen posible recuperar datos eliminados en algunos casos”, dijo Anderson.
“En otros casos, los expertos forenses digitales pueden, en ocasiones, encontrar evidencia de mensajes eliminados, uso de aplicaciones prohibidas o saltos de canal, lo que ayuda a contar una historia sobre la actividad de un usuario u ofrecer nuevas pistas a seguir, incluso cuando los datos han sido eliminado”, agregó Anderson.
Sin embargo, si una empresa elige trabajar con un experto forense digital, Goff enfatizó la importancia de tener un acuerdo de confidencialidad o procedimientos contractuales en relación con la divulgación de cualquier información sensible o confidencial.
Elementos del programa BYOD
La “Evaluación de los programas de cumplimiento corporativo” (ECCP) recientemente revisada del Departamento de Justicia, emitida en marzo de 2023, brinda más orientación para las empresas sobre cómo los fiscales evaluarán un programa BYOD. El ECCP ordena a los fiscales que consideren las siguientes preguntas específicas, lo que significa que las empresas también deberían pensar en estas preguntas:
- ¿Qué leyes o políticas relevantes del código de conducta, privacidad, seguridad y empleo rigen la capacidad de la organización para garantizar la seguridad o monitorear/acceder a las comunicaciones relacionadas con el negocio?
- ¿Cuáles son las políticas BYOD de la empresa que rigen la preservación y el acceso a los datos y comunicaciones corporativos almacenados en dispositivos personales, incluidos los datos contenidos en las plataformas de mensajería, y cuál es la razón de ser de esas políticas?
- ¿Las políticas de la organización le permiten a la empresa revisar las comunicaciones comerciales en BYOD y/o aplicaciones de mensajería?
- ¿Cómo aplica y hace cumplir la empresa las políticas de retención de datos y conducta empresarial en relación con los dispositivos personales y las aplicaciones de mensajería?
- Si la política requiere que los empleados transfieran mensajes, datos y otras comunicaciones desde sus dispositivos personales o aplicaciones de mensajería al sistema de mantenimiento de registros de la empresa para preservarlos y retenerlos, ¿cómo se hace cumplir?
Goff aconsejó trabajar con el equipo de TI o de adquisiciones antes de permitir el uso de cualquier aplicación de mensajería. Un programa BYOD también necesita un equipo interdisciplinario que lo respalde: los recursos humanos, el departamento legal, el cumplimiento y la tecnología deben trabajar de la mano, dijo.
“Alentamos a los clientes a limitar el tipo de aplicaciones hasta que estén completamente examinadas para garantizar que tengan la capacidad de trabajar con la API de la empresa o retener información según sea necesario para fines de litigio de retención de documentos o con respecto a la supervisión regulatoria”, agregó Goff. “Y, nuevamente, aún debe ser consistente con la política de uso aceptable de la empresa”.