Cumplimiento del RGPD y control de los documentos (y 2)
En el apunte anterior hemos comentado la evaluación de los riesgos asociados al tratamiento de datos personales a partir de cuestiones como el registro de actividades de tratamiento, el ciclo de vida de los datos o la legitimidad para su tratamiento. En este apunte planteamos cómo minimizar estos riesgos aplicando criterios de creación y control de la información documentada a los documentos que contienen datos personales, con independencia de que se mantengan en papel o en soporte electrónico.
El primer paso consiste en la identificación de aquellos documentos que estén relacionados con las actividades de tratamiento de datos. Para ello, se puede elaborar una lista o inventario de los documentos que incluya, al menos, la siguiente información:
Una vez hemos preparado esta relación de los documentos que contienen datos personales, se deberían evaluar las medidas de control apropiadas para asegurarse de que la información esté:
- disponible cuando una persona autorizada la necesite;
- protegida adecuadamente, a fin de evitar los riesgos que puedan derivarse de la pérdida de integridad o de confidencialidad o bien de un uso incorrecto.
Para llevar a cabo el control de los documentos es importante tener en cuenta las siguientes operaciones:
- Distribución y acceso. Una cuestión que se debería plantear es la distribución de los documentos cuando en su elaboración, revisión y aprobación intervienen varias unidades de negocio o personas, de manera especial la realización de copias, que debería estar regulada y controlada. Por otro lado, con independencia del medio utilizado para almacenar los documentos, al establecer reglas de acceso para delimitar los usuarios o grupos de usuarios con autorización para acceder a ellos, conviene valorar si es necesario trabajar con diferentes tipos de permiso (lectura, modificación, eliminación, etc.). Respecto del control del acceso, habría que determinar si es preciso registrar las ocasiones en las que los usuarios acceden a los mismos, cuando los riesgos asociados así lo requieran.
- Almacenamiento y preservación. A fin de asegurar que los documentos están protegidos frente a una pérdida o destrucción accidental o no autorizada, se deberían adoptar medidas técnicas encaminadas a garantizar que los medios y entornos son apropiados y a establecer procedimientos de seguridad de la información, incluida la seguridad física de los depósitos de archivo en el caso de los documentos en papel.
- Conservación y disposición. La destrucción de los documentos se debería llevar a cabo de acuerdo al período de conservación fijado en el registro de actividades de tratamiento. Las buenas prácticas de gestión documentos recomiendan que las operaciones de eliminación de documentos se efectúen de acuerdo a los siguientes criterios (ISO 15489-1):
- la destrucción de los documentos debería estar siempre autorizada;
- los documentos relacionados con investigaciones, acciones legales o litigios en curso no se deberían destruir hasta que estas acciones no hayan concluido;
- la destrucción de los documentos se debería llevar a cabo de manera que se asegure su completa destrucción, cumpliendo cualquier restricción de acceso a los mismos;
- la destrucción se debería documentar.
En ciertas aplicaciones de gestión documental, aun cuando se destruye el contenido de un documento se siguen manteniendo metadatos residuales asociados al mismo que permiten demostrar que ese documento ha existido y que se aplicaron correctamente las acciones de disposición previstas. Para evitar que estos metadatos revelen información o permitan reconstruir el contenido original (por ejemplo, a través de datos identificativos del interesado), se deberían tomar medidas para que su configuración sea la apropiada en el momento en que se procede a la eliminación del documento.