Opinión

GDPR: derechos ciudadanos que obligan a las empresas

Jesús Cabañas, responsable de ventas en Iberia de PFU Fujitsu, habla de los retos que tienen las empresas con la nueva normativa de protección de datos (GDPR)

La adopción de nuevas tecnologías numerosas veces ha venido de la mano de un marco regulatorio o una directiva europea. A esta lista se añade ahora el Reglamento General de Protección de Datos (RGPD o GDPR siglas en inglés). Para aplicar con éxito la normativa hay que tener en cuenta a los ciudadanos y a las empresas que gestionan los datos y que deben garantizar su cumplimiento. Y también a los proveedores de servicios y soluciones TI que dotarán a la ley de soporte tecnológico.

Básicamente, la ley establece y define que “tus” datos son “tuyos” y tienes derecho a” conocer qué” datos y “cómo” se utilizan, “rectificarlos” y/o “eliminarlos” (derecho al olvido), y que las organizaciones son responsables al tratarlosNo todas las empresas están preparadas para poder hacer frente a este gran reto. Existe la tecnología necesaria para cumplir con la ley, el problema es que los datos personales fluyen en las organizaciones de forma transversal y no siempre de forma controlada y estructurada.

El papel de las empresas TIC

El riesgo de multas (hasta un 4% de la facturación), y el desconocimiento de por dónde empezar ha llevado a muchas TIC en cierta medida a pintar todo de RGPD. Todo ayuda, un firewall, un antivirus o cualquier otra medida que pueda soportar el control de la seguridad de los datos, pero el foco debe estar en el contenido. Pero hoy el papel sigue siendo el soporte de muchos procesos de negocio y se sigue utilizando la fotocopiadora para quedarse con alguna copia e igualmente existen muchos archivos digitalizados con contenido desconocido. Un gran reto es garantizar el derecho del ciudadano a eliminar datos que no tengo bajo control.

Estamos en la recta final hacia la oficina sin papeles, ya que su uso de forma generalizada es incompatible con el RGPD. De nada me sirve tener un papel en un archivo con un consentimiento de un cliente si no soy capaz de encontrarlo para consultarlo o bien para eliminarlo. Esto mismo es aplicable a la gran mayoría de documentación que se maneja en las empresas.

¿Cómo puede ayudar la tecnología?

1: Analizar la situación: Identificar qué datos de negocio son críticos para nosotros y están afectados por el RGPD. Quién tiene acceso a los mismos y quién los procesa.

2: Revisar/definir procesos: Revisar posibles deficiencias o procesos no compatibles con el RGPD y los sistemas existentes, incluyendo almacenamiento de los mismos, seguridad y políticas de acceso.

3: Implantación y formación: Formación de usuarios en RGPD indicando, si fuera necesario, las nuevas políticas y procesos asociados, y herramientas afectadas.

¿Papel y RGPD?

Hay muchos sectores de actividad que todavía siguen funcionando con procesos basados en papel, lo que conlleva una serie de riesgos en lo que se refiera a RGPD que podrían ser evitados en su mayoría, bien con una digitalización en origen o al menos una digitalización tan cercana al origen como sea posible.

Riesgo 1: Desconocimiento de la información contenida ¿Qué hay dentro?

Un CV, un parte de baja médica, etc., son datos que deben de ser controlados. Catalogar la información de forma manual, clasificando por confidencialidad, es algo muy costoso si no se hace por profesionales cualificados y/o medios automáticos. La digitalización es previa con el correspondiente proceso OCR (Optical Character Recognition). La indexación permitirá realizar de forma eficiente la catalogación de la información.

Riesgo 2: ¿Quién accede?

Históricamente en la fotocopiadora ha estado la mayor fuga de información. Controlar el acceso a la información en papel no es algo sencillo, ni económico. Es difícil controlar quién accede a la información y/o a su fotocopiado, ya que no hay trazabilidad de quién y cuándo ha accedido a qué datos.

Los sistemas de gestión documental permiten controlar la documentación y tener trazabilidad de quién ha accedido a qué información y en qué momento. Es posible incluso controlar a qué tipo de dato se accede, no siendo visibles para todos los usuarios los datos de carácter más seguro. El paso previo es la digitalización inmediata, su indexación y la asociación de metadatos para controlar accesos. Los programas de software incluidos en nuestros escáneres profesionales, como Paperstream Capture, permiten facilitar la catalogación previa de la información, paso necesario al control.

Riesgo 3: ¿Cómo recupero la información?

El derecho al olvido implica que puedo acceder a mis datos. El papel, por su naturaleza, muchas veces se almacena por fecha de llegada y no por contenido, dificultando mucho cumplir con el RGPD. Una copia digitalizada del documento permite tener localizados y seguros los archivos. Como especialistas en digitalización convertimos la información en papel en contenido y datos gestionables y auditables. La última generación de escáneres inteligentes asegura la integridad de que lo que se escanea es lo que se archiva y el software específico permite indexar el dato y facilitar su catalogación conforme al RGPD. Gestionar documentación escrita y ser escrupulosos con el RGPD puede ser un gran problema, por lo que las organizaciones deben conseguir que la información llegue digital nativa y, en el caso de que se reciba en papel, digitalizarla inmediatamente y devolver los originales al usuario. Definitivamente, el RGPD será la clave para mejorar los procesos de negocio y conseguir una oficina con menos papel.

LA PREGUNTA
¿Está interesado como partner en explotar el negocio de servicios de seguridad gestionados?