¿Es tu sistema de gestión documental compatible con la GDPR​?

La nueva GDPR va a tener un impacto considerable en buena parte del mundo empresarial. Cualquier empresa que almacene o procese información personal se verá afectada. Por ejemplo, si tenemos documentación de clientes con datos personales, nos veremos afectados. ¿Es tu sistema de gestión documental compatible con la GDPR?

La nueva ley de protección de datos de la Unión Europea, conocida como GDPR, entrará en vigencia el 25 de Mayo de 2018, y uno de los puntos más relevantes de la misma, tiene que ver con las fuertes sanciones económicas que acarrea su incumplimiento, razón por la cual, las empresas han comenzado a tomar en serio las medidas necesarias para evitar ser sancionadas.

Las soluciones de gestión documental, desempeñan un papel esencial en el rastreo, almacenamiento y procesamiento de los datos personales de usuarios, por ejemplo cuando almacenamos o tratamos datos de clientes. Por lo tanto, es muy importante que tu solución de gestión documental cuente con las capacidades necesarias para apoyar a tu compañía en el cumplimiento de la GDPR.

¿Qué son los datos personales?

El término “datos personales” se refiere a cualquier tipo de información mediante la cual una persona sea identificable. Los nombres, apellidos, identificadores de red como direcciones IP, así como aspectos específicos de la identidad física, mental, genética, económica del usuario, son considerados datos personales. También podemos incluir en esta categoría cualquier comportamiento o hábito que identifique al usuario, por ejemplo, compras en línea, destinos de viajes, entre otras señales.

Un expediente de cliente, un expediente médico, expedientes de estudiantes, expedientes de siniestros, pólizas, solicitudes de crédito y otros documentos contienen información considerada de carácter personal.

¿A quién afectará la GDPR?

El alcance de la GDPR abarca a cualquier organización que almacene o procese datos personales de individuos que residan en la Unión Europea, sin importar si la empresa tiene o no establecimiento físico en algún país miembro de la Unión Europea.

En otras palabras, si tienes en tu gestor documental información que pueda considerarse de carácter personal y ésta información pertenece a ciudadanos europeos, vuestra empresa se va a ver sujeta al cumplimiento de esta nueva legislación. Deberás preguntarte en este caso si tienes un sistema de gestión documental compatible con la GDPR.

¿Quién es responsable del cumplimiento de la GDPR?

Independientemente de que utilicéis proveedores para almacenar, procesar o tratar información personal, debéis tener claro que es la propia organización la responsable de cumplir con esta ley.

Según lo establecido en la GDPR, se considera como “controlador de datos” al ente que determine los propósitos y los medios de procesamiento de los datos personales, es decir, tu organización, al recopilar datos de clientes u otros usuarios, se convierte en el controlador de datos y, en consecuencia, en responsable del cumplimiento de la GDPR.

¿Tienes un sistema de gestión documental compatible con la GDPR?

La GDPR establece ciertas reglas de juego que las organizaciones deben estar preparadas para ejecutar en lapsos limitados de tiempo. A continuación veremos algunas de ellas y el papel que debe jugar en su cumplimiento el gestor documental.

• Los usuarios pueden exigir en cualquier momento que sus datos personales sean corregidos o inclusive eliminados en cualquier momento y las organizaciones tendrán un tiempo no mayor de 30 días para dar respuesta a este tipo de solicitudes. En este sentido, tu sistema de gestión documental debe estar preparado para localizar la documentación relacionada con las peticiones de los usuarios. Para ello, la inclusión de metadatos que permitan una recuperación rápida de la documentación y capacidades de búsqueda avanzadas van a ser primordiales. Así mismo, va a ser de gran ayuda para cumplir con los tiempos exigidos por la ley, que implementemos flujos de trabajo específicos que aseguren la aplicación de un procedimiento específico cada que entre una nueva solicitud.
• Los usuarios están en potestad de solicitar la descarga de sus datos personales en un formato común y legible, por ejemplo, un fichero .csv, y es obligación de la empresa u organización, entregar esta información al usuario sin costo alguno. Una vez localizada la información en el gestor documental, este debería permitir la exportación de dicha información de manera que pueda ser entregada al solicitante.
• Todos los datos personales deben ser etiquetados de manera tal que los usuarios sean identificables de manera inequívoca. La utilización de metadatos permitirá una recuperación inequivoca de la documentación.
• Ofrecer la posibilidad de recopilar los datos personales desde distintas ubicaciones y a través de distintos formatos de datos, agrupándolos en un producto final en formato común y legible, como por ejemplo un fichero .csv. Un sistema de gestión documental compatible con la GDPR debe permitir recuperar toda la información almacenada sobre el usuario aunque esta se encuentre en espacios diferentes. Para ello, las capacidades de búsqueda deben permitirnos explorar toda la documentación sin penalizaciones de rendimiento.
• Es importante que tu sistema de gestión documental te permita registrar metadatos relacionados con la GDPR que faciliten la identificación de la documentación y del usuario propietario.
• Los consentimientos otorgados por los usuarios para el almacenamiento y/o procesamiento de sus datos personales deberían poder ser almacenados y recuperados desde el gestor documental.
• Tu sistema de gestión documental debería permitirte generar de manera automática o manual, metadatos que permitan clasificar e identificar la sensibilidad de la información de los usuarios.
• La generación de informes sencillos también será de gran ayuda para el seguimiento y control del cumplimiento de la normativa, ya que estos darán la posibilidad de demostrar el correcto cumplimiento de la GDPR en auditorías y frente a los entes reguladores correspondientes.
• Los flujos de trabajo van a ser claves para gestionar operaciones regulares de la GDPR como, por ejemplo, captura de consentimientos, atención de las solicitudes de entrega datos, modificación o eliminación de los mismos, respetando los lapsos de tiempo establecidos por la GDPR. Un sistema de gestión documental compatible con la GDPR deberá permitirte la implementación de dichos flujos de trabajo.

Como véis, estas nuevas reglas de juego, empujan a las organizaciones a contar con sistemas automatizados que les permitan atender de manera rápida y oportuna con las solicitudes realizadas por los usuarios. El sistema de gestión documental no debe ser la excepción, sino todo lo contrario, una herramienta imprescindible en la estrategia corporativa para cumplir con la legislación.

En Athento podemos ayudarte a contar con un sistema de gestión documental compatible con la GDPR. Puedes probar nuestro software inteligente de gestión documental por 30 días.