La gestión documental corporativa, el aliado perfecto para el cumplimiento del nuevo RGPD

El próximo 25 de mayo será de obligado cumplimiento el nuevo Reglamento Europeo de Protección de Datos, conocido como GDPR o RGPD en sus siglas en español, un revulsivo para las empresas equiparable al que en su día supuso la entrada en vigor de la Ley Sarbanes-Oxley (SOX) en lo referente a datos financieros y contables. En esta ocasión llega la reválida para los procesos que manejen datos de carácter personal con requisitos cuyo cumplimiento presupone que las organizaciones tienen un control riguroso de su documentación.

Quien no haya hecho sus deberes a tiempo puede tener problemas porque la normativa endurece (y mucho) las sanciones por incumplimiento. Sin embargo, la dificultad para contabilizar los costes de tratamiento documental ha convertido a estos procesos en la cenicienta de muchos mapas de sistemas, más preocupados por automatizar operativas con un retorno de la inversión cien por cien tangible. El reto que plantea el nuevo RGPD es sobre todo poner orden en el batiburrillo de silos de información que han proliferado especialmente en las compañías de mayor tamaño que compiten en sectores muy agresivos, en los que es difícil hacer un alto en el camino para “ordenar el armario”.

Y es que no basta con archivar las pruebas, hay que hacerlo de forma correcta. Un 25 por ciento de los contenidos almacenados nunca se encuentran por errores en su tratamiento o simplemente porque quien los necesita no sabe dónde acudir. El dato lo aporta Gartner que, en la otra cara de la moneda, también identificó el caso de una fábrica en la que el 60 por ciento de la información archivada podía perfectamente eliminarse. Son dos ejemplos elocuentes de ineficiencia que, con la entrada en vigor del nuevo reglamento europeo, ya no pueden permitirse las empresas. Pero ¿cómo puede aliviar la gestión documental la presión que impone la entrada en vigor del RGPD? Hay, al menos, seis razones:

1. Archivo de consentimientos

La normativa gira alrededor de la exigencia de que el ciudadano consienta expresamente que sus datos personales sean tratados por parte de las empresas. Y éstas necesitan conservar la evidencia de que tal consentimiento se produjo. Esto implica, además de identificar los procesos susceptibles de manejar este tipo de información, diseñar la operativa que debe seguirse desde que se materialice el consentimiento hasta que se archive, teniendo en cuenta que en el futuro podrá necesitarse con diferentes finalidades y por ello debe archivarse junto a otros datos que permitan identificarlo de forma inequívoca. Si el consentimiento se ha recogido pero no se puede acreditar con pruebas válidas representará un problema, con el agravante del esfuerzo invertido tanto en su captura como en un almacenamiento incorrecto.

2. Política de retención

La gestión documental trata el ciclo de vida completo del contenido, desde su origen hasta su destrucción. Por ello garantiza la conservación, pero también el expurgo (o eliminación) de aquellos documentos que ya no es necesario conservar o, como establece la normativa, que es preciso destruir. Este proceso se simplifica considerablemente en un entorno digital, no solo por el soporte, sino por la automatización de calendarios que fijan, según la tipología del contenido, el tiempo que debe conservarse y cuándo eliminarlo y facilita modificar los plazos si varía la legislación con el paso del tiempo. Obviamente es básico identificar el valor de cada documento para aplicar el tratamiento adecuado en cada caso. No todos los contenidos tienen la misma importancia. Si en el ámbito privado no prestamos la misma atención a las escrituras de nuestra vivienda que a la propaganda comercial, mucho menos en una empresa pueden dedicarse los mismos recursos (por exceso o por defecto) a conservar todos los contenidos.

3. Control de acceso

Los sistemas especializados en gestión documental implementan de forma nativa mecanismos de control de acceso algo más sofisticados que las aplicaciones convencionales, ya que relacionan el perfilado de los usuarios con la tipología específica de cada contenido y con el criterio de clasificación por el que haya optado la empresa. Nadie no autorizado debe acceder a un contenido, pero quien lo necesite debe localizarlo en el menor tiempo posible.

4. Trazabilidad

La gestión documental se encuentra emparentada directamente con la gestión de “evidencias” y, por ello, implementa mecanismos de trazabilidad que van más allá de la mera auditoría de movimientos sobre un contenido. Permiten garantizar que un documento no se ha alterado y, si es preciso, habilitar un registro de borrado, además de la posibilidad de activar la traza de las operaciones de escritura o lectura para obtener informes. El control de versiones también facilita la reconstrucción del historial de cambios y servir el contenido siempre actualizado.

5. Disponibilidad

Los plazos de atención estipulados para un requerimiento de este tipo son muy exigentes, por lo que interesa unificar no solo la ubicación del archivo sino los criterios de búsqueda. Si al crear el contenido no se analizaron cuidadosamente los escenarios de uso en el futuro es posible que llegado el momento ya sea tarde. Desde el minuto cero es preciso garantizar que el documento es original y se encuentra completo y sin ningún tipo de alteración. Puede que intervengan varios sistemas con distintas funciones pero el tratamiento debe ser homogéneo para evitar que en toda la cadena se escatimen o desperdicien esfuerzos.

6. Eficiencia

El equilibrio entre productividad, inversión y eficacia es esencial no solo en cuanto a los procesos, sino para la sostenibilidad de los sistemas que los soportan. Hablamos de un volumen ingente y en constante crecimiento de ficheros y datos asociados a ellos. Escalabilidad, tiempo de respuesta y fiabilidad son requisitos inexcusables, por lo que interesa no inventar la rueda y apoyarse en sistemas especializados en esta problemática.

La buena noticia es que hablamos de procesos ya estandarizados. Hoy en día las empresas se encuentran familiarizadas con las normativas de calidad y en particular con la ISO9001, que se centra en los registros documentales que es necesario generar. De la misma forma, los estándares ISO30300 lo hacen en los requisitos de las políticas de gestión documental y de los sistemas que la soportan.

En uno y otro caso se incide en la necesidad de conjugar estrategia y tecnología para diseñar operativas eficientes. Pero la automatización, hoy en día imprescindible, no es suficiente. Una herramienta no soluciona carencias en los procesos y éstas surgirán si la estrategia no es transversal. Afecta a los sistemas, pero también a los recursos humanos, el departamento jurídico y las áreas de calidad. Sin su concurso, es fácil que el procedimiento haga aguas y, si por ello no se puede probar que se ha actuado de forma correcta, con el nuevo RGPD puede salir muy caro. En el peor de los casos por 20 millones de euros o un 2 por ciento de la facturación global, la cifra que sea más alta. Es para pensárselo. Todo un reto para la transformación digital con mayúsculas.

Imagen: nicdalic