La gestión documental corporativa, el aliado perfecto para el cumplimiento del nuevo RGPDCarmen Menchero de los Ríos 3 abril, 2018 El próximo 25 de mayo será de obligado cumplimiento el nuevo Reglamento Europeo de Protección de Datos, conocido como GDPR o RGPD en sus siglas en español, un revulsivo para las empresas equiparable al que en su día supuso la entrada en vigor de la Ley Sarbanes-Oxley (SOX) en lo referente a datos financieros y contables. En esta ocasión llega la reválida para los procesos que manejen datos de carácter personal con requisitos cuyo cumplimiento presupone que las organizaciones tienen un control riguroso de su documentación. Quien no haya hecho sus deberes a tiempo puede tener problemas porque la normativa endurece (y mucho) las sanciones por incumplimiento. Sin embargo, la dificultad para contabilizar los costes de tratamiento documental ha convertido a estos procesos en la cenicienta de muchos mapas de sistemas, más preocupados por automatizar operativas con un retorno de la inversión cien por cien tangible. El reto que plantea el nuevo RGPD es sobre todo poner orden en el batiburrillo de silos de información que han proliferado especialmente en las compañías de mayor tamaño que compiten en sectores muy agresivos, en los que es difícil hacer un alto en el camino para “ordenar el armario”. Y es que no basta con archivar las pruebas, hay que hacerlo de forma correcta. Un 25 por ciento de los contenidos almacenados nunca se encuentran por errores en su tratamiento o simplemente porque quien los necesita no sabe dónde acudir. El dato lo aporta Gartner que, en la otra cara de la moneda, también identificó el caso de una fábrica en la que el 60 por ciento de la información archivada podía perfectamente eliminarse. Son dos ejemplos elocuentes de ineficiencia que, con la entrada en vigor del nuevo reglamento europeo, ya no pueden permitirse las empresas. Pero ¿cómo puede aliviar la gestión documental la presión que impone la entrada en vigor del RGPD? Hay, al menos, seis razones: 1. Archivo de consentimientos La normativa gira alrededor de la exigencia de que el ciudadano consienta expresamente que sus datos personales sean tratados por parte de las empresas. Y éstas necesitan conservar la evidencia de que tal consentimiento se produjo. Esto implica, además de identificar los procesos susceptibles de manejar este tipo de información, diseñar la operativa que debe seguirse desde que se materialice el consentimiento hasta que se archive, teniendo en cuenta que en el futuro podrá necesitarse con diferentes finalidades y por ello debe archivarse junto a otros datos que permitan identificarlo de forma inequívoca. Si el consentimiento se ha recogido pero no se puede acreditar con pruebas válidas representará un problema, con el agravante del esfuerzo invertido tanto en su captura como en un almacenamiento incorrecto. 2. Política de retención La gestión documental trata el ciclo de vida completo del contenido, desde su origen hasta su destrucción. Por ello garantiza la conservación, pero también el expurgo (o eliminación) de aquellos documentos que ya no es necesario conservar o, como establece la normativa, que es preciso destruir. Este proceso se simplifica considerablemente en un entorno digital, no solo por el soporte, sino por la automatización de calendarios que fijan, según la tipología del contenido, el tiempo que debe conservarse y cuándo eliminarlo y facilita modificar los plazos si varía la legislación con el paso del tiempo. Obviamente es básico identificar el valor de cada documento para aplicar el tratamiento adecuado en cada caso. No todos los contenidos tienen la misma importancia. Si en el ámbito privado no prestamos la misma atención a las escrituras de nuestra vivienda que a la propaganda comercial, mucho menos en una empresa pueden dedicarse los mismos recursos (por exceso o por defecto) a conservar todos los contenidos. 3. Control de acceso Los sistemas especializados en gestión documental implementan de forma nativa mecanismos de control de acceso algo más sofisticados que las aplicaciones convencionales, ya que relacionan el perfilado de los usuarios con la tipología específica de cada contenido y con el criterio de clasificación por el que haya optado la empresa. Nadie no autorizado debe acceder a un contenido, pero quien lo necesite debe localizarlo en el menor tiempo posible. 4. Trazabilidad La gestión documental se encuentra emparentada directamente con la gestión de “evidencias” y, por ello, implementa mecanismos de trazabilidad que van más allá de la mera auditoría de movimientos sobre un contenido. Permiten garantizar que un documento no se ha alterado y, si es preciso, habilitar un registro de borrado, además de la posibilidad de activar la traza de las operaciones de escritura o lectura para obtener informes. El control de versiones también facilita la reconstrucción del historial de cambios y servir el contenido siempre actualizado. 5. Disponibilidad Los plazos de atención estipulados para un requerimiento de este tipo son muy exigentes, por lo que interesa unificar no solo la ubicación del archivo sino los criterios de búsqueda. Si al crear el contenido no se analizaron cuidadosamente los escenarios de uso en el futuro es posible que llegado el momento ya sea tarde. Desde el minuto cero es preciso garantizar que el documento es original y se encuentra completo y sin ningún tipo de alteración. Puede que intervengan varios sistemas con distintas funciones pero el tratamiento debe ser homogéneo para evitar que en toda la cadena se escatimen o desperdicien esfuerzos. 6. Eficiencia El equilibrio entre productividad, inversión y eficacia es esencial no solo en cuanto a los procesos, sino para la sostenibilidad de los sistemas que los soportan. Hablamos de un volumen ingente y en constante crecimiento de ficheros y datos asociados a ellos. Escalabilidad, tiempo de respuesta y fiabilidad son requisitos inexcusables, por lo que interesa no inventar la rueda y apoyarse en sistemas especializados en esta problemática. La buena noticia es que hablamos de procesos ya estandarizados. Hoy en día las empresas se encuentran familiarizadas con las normativas de calidad y en particular con la ISO9001, que se centra en los registros documentales que es necesario generar. De la misma forma, los estándares ISO30300 lo hacen en los requisitos de las políticas de gestión documental y de los sistemas que la soportan. En uno y otro caso se incide en la necesidad de conjugar estrategia y tecnología para diseñar operativas eficientes. Pero la automatización, hoy en día imprescindible, no es suficiente. Una herramienta no soluciona carencias en los procesos y éstas surgirán si la estrategia no es transversal. Afecta a los sistemas, pero también a los recursos humanos, el departamento jurídico y las áreas de calidad. Sin su concurso, es fácil que el procedimiento haga aguas y, si por ello no se puede probar que se ha actuado de forma correcta, con el nuevo RGPD puede salir muy caro. En el peor de los casos por 20 millones de euros o un 2 por ciento de la facturación global, la cifra que sea más alta. Es para pensárselo. Todo un reto para la transformación digital con mayúsculas. Imagen: nicdalic Los eSports, un modelo de negocio sostenibleLa era de los asistentes virtuales
Guillermo Bielsa DNS como dispositivo de seguridad Para poder disfrutar de Internet, uno de los elementos indispensables es el Sistema de Nombres de Dominio, o DNS (Domain Name System). En un artículo anterior ya se explicaba...
Roberto García Esteban La cultura del teletrabajo como ventaja competitiva “Hay diversos grados de preparación para implementar rápidamente el teletrabajo como herramienta para sobrellevar la pandemia en las regiones europeas”. Ésta es la principal conclusión del artículo sobre el...
Mercedes Núñez Tecnología para la gestión del talento La semana pasada escribía de la ponencia sobre people analytics del evento “Human Tech Day”, organizado por IEBS Digital School. En el post de hoy recojo nuevos ejemplos del...
Alejandro de Fuenmayor Cloud es una prioridad estratégica ampliamente demostrada Hace unos días la Asociación Española de la Economía Digital (Adigital) presentaba en un encuentro online sus recomendaciones para impulsar la adopción de la tecnología en la nube. Cloud...
Equipo Editorial Digitalización y sostenibilidad: el pasaporte al futuro Digitalización y sostenibilidad son las palabras del momento aunque, en realidad, llevan largo tiempo ahí y solo han saltado a primer término. En noviembre de 2019 ya se afirmaba...
Mercedes Núñez People Analytics y su impacto en el negocio People analytics ayuda a los departamentos de Recursos Humanos o área de Personas, como se han renombrado, a ser data driven y tomar decisiones basadas en datos y no...
Sin duda, el mejor post sobre el RGPD que he leído hasta el momento. Una visión crítica. Un saludo. Responder