Escrito por Ana Canteli el 22 de febrero de 2021
La protección de datos personales es una de las tareas más importantes que afronta una organización, se lo haya propuesto, o no. Poco importa si la entidad en cuestión se dedica a la producción hortofrutícola, la explotación forestal u ofrece servicios médicos.
Si creas, recibes o gestionas datos de carácter personal, estás obligado a cumplir con las obligaciones de protección de datos; desde estar al día en lo que respecta a la normativa vigente, hasta el desarrollo de una estrategia de cumplimiento, que garantice el respeto y aplicación de la normativa. Como puedes ver, se trata de un tema que afecta a todos, pero no a todos por igual y / o de la misma forma; lo que lo convierte en un asunto complejo que puede llegar a ser un verdadero quebradero de cabeza (hablamos de millones de €) si no se toma en cuenta la privacidad desde el diseño.
El cumplimiento de protección de datos es una parte de la seguridad de los datos centrada en la gestión adecuada de los mismos; es decir, todo lo que afecta a la notificación, consentimiento, control, cesión, tratamiento de tus datos y cumplimiento de la normativa vigente.
En concreto, el cumplimiento de protección de datos trata de definir si los datos se pueden compartir con terceros y cómo. Cómo se recogen, almacenan y gestionan de acuerdo a la normativa vigente. Y en ese aspecto, cuáles son las obligaciones de protección de datos personales que nos afectan. Porque no es lo mismo gestionar datos de ciudadanos miembros de la UE (GRPD) que de EE.UU ( HIPPA,GBL,CCPA ) u otros países.
Y en este sentido, un software de gestión documental, puede ser muy importante y útil a la hora de implementar un sistema de cumplimiento de protección de datos que prevenga de los riesgos derivados de incumplimiento o brechas de seguridad, a la vez que permite centrar los esfuerzos en las actividades productivas propias de la empresa.
Esto es más importante cuanto más fronteras nacionales o supranacionales crucen los negocios, pues las organizaciones tienen la obligación de monitorizar todos los requerimientos de privacidad. Si contamos con un sistema de gestión documental, que contribuye a implementar una sólida política de gestión de datos, será más fácil cumplir requerimientos adicionales, demandados por legislaciones nacionales.
Significa analizar la arquitectura de gestión de la información en toda la entidad. Si la directiva se interesa en este aspecto, aparte de abogar por la transparencia, la mayor parte de la batalla del cumplimiento de las obligaciones de protección de datos personales, está ganada. Esto puede significar también, establecer acuerdos con terceros en lo que respecta al procesamiento de datos personales. Porque una cosa es saber dónde están nuestras bases de datos con información sensible; pero a la vez hay que darse cuenta de que podemos tener datos personales en copias de seguridad, en la nube, en e-mails, etc. Y todo esto cuenta a la hora de proteger los datos de carácter personal contra brechas de seguridad e incluso distribución accidental.
Para nuestros usuarios o clientes, tiene que ser fácil solicitar y recibir la información que tenemos sobre ellos. Procesos como corregir o actualizar tus datos, eliminarlos e incluso oponerse al tratamiento de tus datos, también tienen que estar procedimentalizados y ser de fácil ejecución. Contar con un encargado de tratamiento de datos puede resultar muy efectivo para la gestión adecuada del acceso, rectificación o cancelación de datos personales. El responsable de tratamiento también estaría a cargo de la implementación de las medidas técnicas. No en vano, hay que tener siempre presente la existencia de diferentes categorías especiales de datos. En este sentido, debemos trabajar con sistemas de gestión documental escalables que se adapten al cambio de requerimientos en cantidad y calidad.
Si tomas decisiones sobre datos personales basados en procesos, estos tienen que alinearse con la protección de sus derechos. Además, el sistema de información, sea cual sea, debe incluir funcionalidades de auditoría a distintos niveles, para garantizar la trazabilidad de procesos y políticas y así; incluso en caso de desviación o incumplimiento, poder identificar la incidencia y neutralizarla o tratarla de otro modo conveniente. Sería ideal, que dicho sistema incluya la funcionalidad informes, de manera que los usuarios puedan obtener información sobre aquellos aspectos que les puedan afectar.
Es otro principio básico de la gestión de protección de datos de carácter personal; es decir que las personas tengan derecho a que sus datos personales se borren, se anonimicen o se les aplique un seudónimo; pero a la vez las organizaciones tienen que tener cuidado de no eliminar datos que deban ser retenidos, por motivos regulatorios o legales (principio de integridad). En este sentido, los sistemas de gestión documental deberían contar con un plan de archivo, que contribuya a gestionar el calendario de retención y la disposición final de los datos de carácter personal.
Reducir la cantidad de información que guardamos es una medida muy sencilla, a la par que efectiva, de protegernos del impacto en la protección de datos, en caso de litigio. Otra forma de aplicar esta medida, es conocer el periodo de tiempo que necesitamos o debemos guardar dichos datos.
Es verdad, que el bajo coste de los medios de almacenamiento, nos pueden llevar a guardar información en mayor cantidad y durante más tiempo del necesario, pensando en que podemos amortizar dicha información para propósitos nuevos. Pero gracias al nuevo marco legal, más preciso en todos los aspectos relacionados con la privacidad, esto ya no sólo se considera una fuente de oportunidades, si no que puede llegar a ser un foco de infracciones legales.
Designar a un responsable de la seguridad de la información o de la privacidad de los datos es recomendable. Lo más probable es que ya contemos con personas y departamentos que detenten estas responsabilidades; pero dado que ya contamos con un marco legal que demanda la designación de responsables de protección de datos (RGPD) no está de más reconocer la necesidad y dotarla de medios para abordarla, como un sistema de gestión documental que proteja la privacidad desde el diseño del propio software.