En España existen dos leyes básicas relacionadas con la protección de datos que afectan a todas las organizaciones y a todos los departamentos dentro de la empresa, pero muy especialmente a aquellos relacionados con la gestión documental, ya que son los responsables de la guardia y custodia de la información sensible y amparada por estas normas:
- El Reglamento General de Protección de Datos (RGPD), de aplicación europea.
- La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que complementa a la anterior y que añade derechos adicionales como el de la desconexión digital.
Desde la entrada en vigor del RGPD en 2018, España ha sido uno de los países de la UE en los que más sanciones se han aplicado: casi 500 hasta finales de 2023 por un valor de más de 51 millones de euros, y el ritmo no cesa: de hecho, solo en 2023 se impusieron 357 sanciones por 16 millones de euros a empresas como Endesa, Openbank o BBVA.
Por eso, es fundamental conocer perfectamente la norma y cumplirla escrupulosamente, y evitar así cualquier tipo de sanción o conflicto relacionados con la reputación corporativa.
5 aspectos a tener en cuenta para cumplir con el RGPD
Los sistemas de gestión documental pueden ayudarnos a coordinar los flujos de trabajo y, mediante una correcta automatización de los procesos, pueden facilitar el cumplimiento de la norma, especialmente teniendo en cuenta una serie de puntos imprescindibles:
- El primer punto importante es la forma en la que se recogen y después se almacenan los datos. Los sistemas de gestión documental deben contener reglas para recopilar y almacenar solamente la información relevante. Además, se debe garantizar la seguridad en el acceso a la información para evitar que operadores no autorizados sean capaces de acceder a los datos.
- Se debe informar y, por lo tanto, garantizar, que los usuarios puedan acceder a sus propios datos, a rectificarlos y a eliminarlos (derecho al olvido) de forma rápida.
- Por otro lado, se debe almacenar también el consentimiento de los usuarios para utilizar sus datos personales, así como establecer el uso que se va a realizar de los mismos. Además, se debe permitir su revocación en cualquier momento.
- El reglamento de protección de datos exige que exista un registro detallado de las actividades realizadas con cada dato, un asunto que un sistema de gestión documental puede facilitar para realizar auditorías e informes en tiempo real.
- Finalmente, y tal vez, lo más importante, los sistemas de gestión documental deben contar con medidas exhaustivas de seguridad para evitar no sólo brechas de seguridad, sino también fugas de datos, accesos no autorizados y otras amenazas relacionadas con la ciberseguridad. En este sentido, es interesante contar con sistemas de gestión documental que cumplan con la norma de certificación ISO/IEC 27001, la norma internacional que define los requisitos de un Sistema de Gestión de la Seguridad de la Información.
Un sistema de gestión documental avanzado puede resolver todas estas preocupaciones de forma sencilla, garantizando el proceso de la información de forma confidencial, íntegra y con alta disponibilidad. Por eso, debemos exigir a nuestro proveedor que identifique los objetivos de control de referencia, que vigile e informe sobre los impactos de riesgo y que se comprometa a comunicar las políticas de seguridad y protección de datos en todo momento para mantener el sistema en las mejores condiciones.