La nueva normativa, que entrará en vigor a principios de 2018, afectará a cualquier empresa u organismo en cualquier parte del mundo que opere con datos de origen europeo.
Las reformas, cuyo objetivo es reflejar las necesidades cambiantes de la economía digital y defender los derechos a la privacidad de los datos de las personas, podrían ser difíciles de aplicar en el caso de la información en papel.
En un entorno cada vez más conectado y digital, las empresas podrían estar subestimando el alcance de este reto. En primer lugar, podrían no ser conscientes de la gran cantidad de papel que generan y usan los empleados a diario. Según la Asociación del Sector de la Gestión de la Información, AIIM, el 40% de los oficinistas siguen prefiriendo archivar su información más importante en papel. Además, mientras que un 40% de las empresas afirman que más de la mitad de sus facturas se envían electrónicamente, el 35% admiten que casi todas ellas terminan por ser impresas.
En segundo lugar, muchas empresas tienen procesos robustos para la gestión de la información, pero no todas verifican que estos procesos sean efectivos. En un estudio con PwC, descubrimos que el 79% de la mediana empresa en Europa y Norteamérica decía contar con un inventario detallado de la información que poseen, pero cerca de la mitad no verifican la certeza de esta afirmación.
El comportamiento humano no siempre encaja de forma eficiente con el proceso. La gente se olvida, ignora o trabaja obviando una normativa que les parece demasiado compleja o restrictiva y gestiona los documentos en papel de forma que las mejores intenciones del equipo de gobernanza de la información se ven frustradas.
Entre las empresas que no tienen procesos implementados los riesgos pueden ser incluso mayores. Un estudio de Iron Mountain muestra que un 22% de las empresas no tienen políticas para el archivo del papel y permiten a los empleados decidir por sí mismos. En tal entorno es muy probable que no haya ni una sola persona ni un equipo definido capaz de tener una visión completa de dónde está almacenada la información o si el lugar donde está es seguro.
A esto se añade que el papel puede tener una doble o triple vida. Diferentes personas pueden copiarlo e imprimirlo varias veces y sacarlo de forma sencilla del entorno de trabajo. A menudo esto lo hacen empleados que se llevan trabajo a casa o también empleados temporales que no saben qué es información confidencial o delicada. También puede ser personal que no tiene tiempo de gestionar la información de forma correcta. O, a veces, simplemente la falta de sentido común o cuidado.
Si los empleados intentan aplicar algunos aspectos del Reglamento General de Protección de Datos (RGPD), como el “derecho al olvido”, pueden descubrir que incluso después de que los archivos digitales estén corregidos, podría ser que aún tuvieran esta información viva en formato papel en un cajón o en la oficina de su casa.
La combinación de la vulnerabilidad del papel con el comportamiento humano ha resultado en un gran número de brechas de datos. Las multas por brechas aumentarán considerablemente con la llegada de la RGPD. El informe anual de PwC sobre la Aplicación de la Privacidad y la Seguridad proporciona una visión fascinante de las formas en que los empleados ponen en riesgo los datos en formato papel.
Para que las medidas de protección tengan éxito, cada empleado tiene que entender qué son datos privados o confidenciales y cómo se han de gestionar. Las empresas tienen que asegurarse de que sólo personas autorizadas puedan acceder o hacer copias de documentos en papel que contengan información personal identificable. Además, el almacenamiento, la conservación y los procesos de destrucción del papel deberían ser revisados para que cumplan los requisitos de privacidad y se adapten a los mismos si es necesario.
Muchas empresas han acumulado grandes archivos de papel que se remontan a décadas atrás. Esto incluye información personal que la empresa tiene derecho a mantener pero también podría contener datos que quizás tendrían que haberse eliminado. Ahora que la RGPD está a la puerta de cualquier empresa es más importante que nunca saber lo que se tiene, dónde y quién lo tiene, cómo extraerlo cuando se necesita y cuándo hay que borrarlo, lo que significa eliminarlo de forma permanente y completa, independientemente de dónde esté.
FUENTE: Revista Gestión Digital
AUTOR: Gonzalo Rivas
