--- title: "Gestión documental y RGPD: en qué debes fijarte" description: "DMS y protección de datos: ubicación del hosting, encargo del tratamiento, control de acceso y la tensión entre la obligación de borrado y los plazos de conservación." type: "wissen" product: "documents" slug: "gestion-documental-rgpd" source_language: "de" target_languages: ["de", "en", "es", "pl", "tr"] published: "2026-06-10" status: "publish" faq_json: [{"q":"¿Por qué un DMS es un tema de RGPD?","a":"Las facturas, los contratos y la correspondencia contienen datos personales de clientes, proveedores y empleados. En cuanto un DMS almacena y procesa tales documentos, se aplican las obligaciones del RGPD."}, {"q":"¿En qué debo fijarme al elegir un DMS?","a":"En la ubicación del hosting y el derecho aplicable, un contrato de encargo del tratamiento (CET), un control de acceso basado en roles, una transmisión cifrada y un registro trazable de los accesos."}, {"q":"¿Cómo encajan la obligación de borrado y los plazos de conservación?","a":"Las obligaciones legales de conservación prevalecen sobre el borrado: los justificantes relevantes a efectos fiscales deben conservarse, aunque contengan datos personales. Tras vencer el plazo se aplica entonces la obligación de borrado."}, {"q":"¿Necesito un CET con mi proveedor de DMS?","a":"Por regla general sí: si el proveedor almacena documentos con datos personales por encargo tuyo, es encargado del tratamiento; entonces el RGPD exige un contrato de encargo del tratamiento."}, {"q":"¿Es obligatorio un centro de datos alemán?","a":"No, el RGPD no prescribe una ubicación. Sin embargo, el hosting en Alemania o en la UE simplifica considerablemente la evaluación jurídica, porque no hay que comprobar ninguna transferencia a un tercer país."}] language: "es" source_id: "wissen/dokumentenmanagement-dsgvo" source_hash: "7ce593ad9e6377eb7871080a6a9db14b4113dd23c4d1818a46719f161a4e0bf4" --- Un sistema de gestión documental procesa casi inevitablemente datos personales: nombres en facturas, direcciones en contratos, datos salariales en expedientes de personal. Por ello se aplican las obligaciones del RGPD: necesitas un tratamiento seguro, accesos regulados, un contrato con el proveedor y un concepto que separe limpiamente las obligaciones de conservación y las obligaciones de borrado. ## Por qué el DMS es automáticamente un tema de protección de datos El RGPD no distingue entre «base de datos» y «archivo documental». Una carta escaneada con el nombre del remitente es tan personal como una entrada de CRM. Quien almacena documentos de forma centralizada, los hace consultables y los comparte en el equipo, procesa estos datos, y debe hacerlo de manera responsable. Esto no es un argumento en contra de un DMS, al contrario: un archivo central y regulado es mucho más fácil de gestionar conforme al RGPD que carpetas dispersas, copias locales y buzones de correo privados. ## Los cinco puntos de comprobación más importantes en la selección - **Ubicación del hosting y derecho aplicable:** ¿Dónde se encuentran físicamente los datos, qué derecho rige para el proveedor? El hosting en Alemania o en la UE te ahorra la comprobación de las transferencias a terceros países. - **Contrato de encargo del tratamiento (CET):** el proveedor almacena documentos por encargo tuyo y es, por tanto, por regla general, encargado del tratamiento. Sin un CET falta la base contractual. - **Control de acceso:** no todos en el equipo deben ver todo. Fíjate en los roles y las reglas de visibilidad: los expedientes de personal deben estar en otras manos que las facturas recibidas. - **Cifrado e inicio de sesión seguro:** transmisión cifrada, accesos protegidos, por ejemplo mediante códigos de un solo uso en lugar de contraseñas compartidas. - **Trazabilidad:** debe ser posible reconocer qué ha pasado con los documentos. Esto también ayuda en las solicitudes de información de los afectados. ## La tensión: borrar frente a conservar El RGPD exige borrar los datos personales cuando desaparece la finalidad. Al mismo tiempo, el derecho fiscal y mercantil exige conservar los justificantes durante años. La solución: las obligaciones legales de conservación son una base jurídica propia; los documentos relevantes a efectos fiscales permanecen en el archivo hasta que vence su plazo. Después se aplica la obligación de borrado. Un buen DMS apoya exactamente este ciclo de vida: conservación definida en lugar de «que se quede ahí sin más». Cómo funciona el archivado inalterable lo explica el artículo [Archivado a prueba de auditorías](/es/wissen/revisionssichere-archivierung.html). ## Cómo lo implementa webRichtung documents [webRichtung documents](https://www.webrichtung.de/module/documents/) se desarrolla y opera en Alemania y está diseñado para trabajar con conciencia del RGPD: los documentos de tu organización se encuentran de forma centralizada con vías de acceso claras, el inicio de sesión se realiza mediante códigos de un solo uso, y el archivo GoBD conserva los documentos de forma inalterable con Object Lock durante 6, 8 o 10 años, con un fin de plazo definido en lugar de un cúmulo de datos ilimitado. Encontrarás detalles sobre el manejo en la [documentación](https://docs.webrichtung.de/documents/). ## Inicio práctico Empieza con un breve inventario: ¿qué tipos de documentos con datos personales tienes (justificantes, contratos, expedientes de personal)? ¿Quién necesita acceso a qué? ¿Qué plazos de conservación rigen para cada tipo? Con estas tres respuestas puedes evaluar un DMS de forma estructurada, y documentar la implantación de forma limpia, por si la autoridad de control pregunta. Define además cómo terminan los accesos: cuando alguien deja el equipo, debe poder revocarse el acceso de forma centralizada. Esto también habla a favor de una plataforma con cuentas centrales en lugar de carpetas copiadas localmente cuyo paradero nadie puede ya rastrear. Este artículo informa de forma general y no sustituye el asesoramiento jurídico o fiscal.