SUBMENÚ

La GDPR exige una revisión de la gestión de información

Los datos personales se recopilan y procesan a gran escala en los negocios. El Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR) se aplica desde el 25 de mayo de 2018. Esta nueva ley comprende nuevas reglas para la recopilación y tratamiento de datos. Es más estricta, y las violaciones de dicha ley recibirán multas más severas. Por lo tanto, las empresas tienen un gran interés en evaluar su gestión de la información.

Lee también el artículo general sobre la nueva GDPR.

La influencia de GDPR en la gestión documental

Toda empresa, desde una empresa unipersonal hasta una multinacional, tiene que tratar con datos personales. Sin embargo, una compañía no siempre entiende completamente qué está sucediendo exactamente con los datos recopilados. Por lo general, una empresa tiene una política de privacidad, pero a menudo falla cuando se lleva a la práctica.

gestion-informacion-gdpr-politica-proteccion-privacidad

Un sistema de gestión documental (DMS) puede ayudar a una empresa a cumplir técnicamente con su política de privacidad. Este sistema controla la mayor parte del tratamiento de datos de una empresa, y muestra lo que ocurre con la información personal. En la Guía de Gestión Documental 2019 se encuentran tres consejos para configurar el software de gestión documental con vistas a la GDPR.

Otorgar solicitudes relacionadas con datos personales con un DMS

Con la GDPR, las empresas están obligadas a garantizar aún más los derechos de los implicados. Un cliente o un (antiguo) trabajador puede solicitar, ver, eliminar o, incluso, manejar los datos. Con un gestor documental, una empresa puede recuperar rápidamente la información y manejar las solicitudes eficientemente. En casos excepcionales, se puede escoger no otorgar ciertas solicitudes de información. En este caso, el sistema de gestión documental tiene que generar un motivo. De esta manera, la empresa puede justificarse en caso de disputa.

Las peticiones de los clientes pueden llegar por diferentes canales: por e-mail, teléfono, en local, etc. Sin embargo, un sistema de gestión documental puede vincular un portal web. Este portal web ahorra tiempo tanto a los interesados como a la empresa.

peticion-gdpr-portalweb-dms

El sistema de gestión documental controla el cumplimiento de la política de privacidad

Para las empresas es, a menudo, todo un reto mantener una visión del tratamiento de datos. Sin embargo, es la base de lo que el GDPR exige de las organizaciones. Las empresas deben controlar en todo momento la recopilación y el tratamiento de los datos personales.

Las tres preguntas clave que una empresa debe poder responder:

  • ¿Qué datos se guardan?
  • ¿Qué ocurre con esos datos?
  • ¿Por qué se procesan los datos?

Centralizando el tratamiento de datos

Para algunas empresas es difícil evitar que los datos personales tengan vida propia. Muchos departamentos, desde el de facturación hasta el de marketing y relaciones públicas, hacen uso de este tipo de datos (frecuentemente, sensibles). A menudo sucede que ciertos departamentos, o incluso empleados, llevan a cabo el tratamiento de datos a su manera o en sus propios sistemas. Esto puede derivar en caos o, incluso, en pérdida de información.

Consejo: la centralización de los datos personales en el sistema de gestión documental puede prevenir la pérdida de datos (a gran escala). Sin embargo es importante considerar también aspectos de seguridad para este software. En la Guía de Gestión Documental 2019 se encuentran 5 consejos de seguridad a la hora de configurar un software de gestión documental (DMS).

Lo ideal es que el tratamiento de la información se centralice, pero el sistema de gestión documental no es el único software empresarial donde se pueden almacenar los datos personales. Un DMS puede gestionar los documentos relacionados con los clientes y el personal (como contratos, certificados e informes de personal o de cliente). Sin embargo, el software de Recursos Humanos o el de CRM cumplen a menudo funciones más específicas. La administración de nóminas o la reclutamiento son ejemplos de funciones que es mejor que se realicen con un paquete de RRHH. Para mantener la misma forma de control, se puede optar por una vinculación.

Documentando el tratamiento de actividades

Con la GDPR hay un mayor control sobre las actividades de tratamiento a las que se someten los datos personales. Para las empresas, este control es toda un deber de responsabilidad. Es decir, ellas tienen que poder contestar por qué y cómo se llevan a cabo ciertos tratamientos. Muchas organizaciones incluso tienen que nombrar un delegado de protección de datos (DPD).

responsabilidad-gdpr-datos-personales-gestion-documental

La responsabilidad de las actividades de tratamiento de informes individuales son más fáciles cuando la gestión de documentos es administrada por el sistema de gestión documental. Los cambios, las eliminaciones y versiones antiguas pueden ser solicitadas. Además, los flujos de trabajo o procedimientos pueden ser motivo de queja. Por ejemplo, se puede demostrar que las tallas y preferencias de un cliente de una tienda de ropa se almacenan y procesan, porque el cliente ha dado permiso para ello.

A gran escala es más difícil justificar las actividades de tratamiento. Sin embargo, la Autoridad de Control (de cada comunidad), las autoridades encargadas de regular la GDPR, pueden solicitar un informe de las actividades de tratamiento. En la Guía de Gestión Documental 2019 se encuentran las diferentes posibilidades para realizar este tipo de registro de tratamiento.

Finalmente, un sistema de gestión documental puede minimizar las consecuencias de una posible pérdida de datos. Según la GDPR, una pérdida de datos debe ser reportada en 72 horas a la autoridad de control pertinente. Además, hay que demostrar que se han tomado medidas para evitar una (mayor) pérdida de datos, como la encriptación de los datos en el DMS. Estas medidas puede salvar la reputación de una empresa e, incluso, en ciertas ocasiones puede reducir la multa.

Costes de un gestor documental concienciado con el GDPR

Cada software requiere una cierta inversión, de modo que también el de gestión documental. En vista de la nueva legislación y las altas multas que pueden imponerse, el retorno de la inversión (ROI) de esta inversión se centra principalmente en evitar violaciones.

Un DMS puede ayudar a prevenir violaciones al:

  1. Crear menos desviaciones de la política de privacidad debido al establecimiento de tratamiento de datos;
  2. Ayudar a cumplir con ciertos requisitos técnicos de GDPR (por ejemplo, el almacenamiento de certificados de permiso en el archivo digital;
  3. Usar un sistema de gestión de la información de confianza para el GDPR;
  4. Poder justificar y probar por qué es necesario procesar ciertos datos.

Los costes reales de un sistema de gestión documental pueden variar mucho dependiendo de los requisitos y deseos de una empresa. Además, no todas las organizaciones se enfrentan a riesgos del mismo nivel con respecto al tratamiento de datos personales. Dependiendo de la escala del tratamiento de datos y el tipo de actividad, se tomarán unas u otras funcionalidades. A través del ejemplo de cálculo que se encuentra en la Guía de Gestión Documental 2019, una empresa puede comprobar qué inversión representa en su caso un paquete de gestión documental.