Conocimiento · documents
Gestión documental y RGPD: en qué debes fijarte
DMS y protección de datos: ubicación del hosting, encargo del tratamiento, control de acceso y la tensión entre la obligación de borrado y los plazos de conservación.
Un sistema de gestión documental procesa casi inevitablemente datos personales: nombres en facturas, direcciones en contratos, datos salariales en expedientes de personal. Por ello se aplican las obligaciones del RGPD: necesitas un tratamiento seguro, accesos regulados, un contrato con el proveedor y un concepto que separe limpiamente las obligaciones de conservación y las obligaciones de borrado.
Por qué el DMS es automáticamente un tema de protección de datos
El RGPD no distingue entre «base de datos» y «archivo documental». Una carta escaneada con el nombre del remitente es tan personal como una entrada de CRM. Quien almacena documentos de forma centralizada, los hace consultables y los comparte en el equipo, procesa estos datos, y debe hacerlo de manera responsable. Esto no es un argumento en contra de un DMS, al contrario: un archivo central y regulado es mucho más fácil de gestionar conforme al RGPD que carpetas dispersas, copias locales y buzones de correo privados.
Los cinco puntos de comprobación más importantes en la selección
- Ubicación del hosting y derecho aplicable: ¿Dónde se encuentran físicamente los datos, qué derecho rige para el proveedor? El hosting en Alemania o en la UE te ahorra la comprobación de las transferencias a terceros países.
- Contrato de encargo del tratamiento (CET): el proveedor almacena documentos por encargo tuyo y es, por tanto, por regla general, encargado del tratamiento. Sin un CET falta la base contractual.
- Control de acceso: no todos en el equipo deben ver todo. Fíjate en los roles y las reglas de visibilidad: los expedientes de personal deben estar en otras manos que las facturas recibidas.
- Cifrado e inicio de sesión seguro: transmisión cifrada, accesos protegidos, por ejemplo mediante códigos de un solo uso en lugar de contraseñas compartidas.
- Trazabilidad: debe ser posible reconocer qué ha pasado con los documentos. Esto también ayuda en las solicitudes de información de los afectados.
La tensión: borrar frente a conservar
El RGPD exige borrar los datos personales cuando desaparece la finalidad. Al mismo tiempo, el derecho fiscal y mercantil exige conservar los justificantes durante años. La solución: las obligaciones legales de conservación son una base jurídica propia; los documentos relevantes a efectos fiscales permanecen en el archivo hasta que vence su plazo. Después se aplica la obligación de borrado. Un buen DMS apoya exactamente este ciclo de vida: conservación definida en lugar de «que se quede ahí sin más». Cómo funciona el archivado inalterable lo explica el artículo Archivado a prueba de auditorías.
Cómo lo implementa webRichtung documents
webRichtung documents se desarrolla y opera en Alemania y está diseñado para trabajar con conciencia del RGPD: los documentos de tu organización se encuentran de forma centralizada con vías de acceso claras, el inicio de sesión se realiza mediante códigos de un solo uso, y el archivo GoBD conserva los documentos de forma inalterable con Object Lock durante 6, 8 o 10 años, con un fin de plazo definido en lugar de un cúmulo de datos ilimitado. Encontrarás detalles sobre el manejo en la documentación.
Inicio práctico
Empieza con un breve inventario: ¿qué tipos de documentos con datos personales tienes (justificantes, contratos, expedientes de personal)? ¿Quién necesita acceso a qué? ¿Qué plazos de conservación rigen para cada tipo? Con estas tres respuestas puedes evaluar un DMS de forma estructurada, y documentar la implantación de forma limpia, por si la autoridad de control pregunta. Define además cómo terminan los accesos: cuando alguien deja el equipo, debe poder revocarse el acceso de forma centralizada. Esto también habla a favor de una plataforma con cuentas centrales en lugar de carpetas copiadas localmente cuyo paradero nadie puede ya rastrear.
Este artículo informa de forma general y no sustituye el asesoramiento jurídico o fiscal.
FAQ
¿Por qué un DMS es un tema de RGPD?
Las facturas, los contratos y la correspondencia contienen datos personales de clientes, proveedores y empleados. En cuanto un DMS almacena y procesa tales documentos, se aplican las obligaciones del RGPD.
¿En qué debo fijarme al elegir un DMS?
En la ubicación del hosting y el derecho aplicable, un contrato de encargo del tratamiento (CET), un control de acceso basado en roles, una transmisión cifrada y un registro trazable de los accesos.
¿Cómo encajan la obligación de borrado y los plazos de conservación?
Las obligaciones legales de conservación prevalecen sobre el borrado: los justificantes relevantes a efectos fiscales deben conservarse, aunque contengan datos personales. Tras vencer el plazo se aplica entonces la obligación de borrado.
¿Necesito un CET con mi proveedor de DMS?
Por regla general sí: si el proveedor almacena documentos con datos personales por encargo tuyo, es encargado del tratamiento; entonces el RGPD exige un contrato de encargo del tratamiento.
¿Es obligatorio un centro de datos alemán?
No, el RGPD no prescribe una ubicación. Sin embargo, el hosting en Alemania o en la UE simplifica considerablemente la evaluación jurídica, porque no hay que comprobar ninguna transferencia a un tercer país.