Las empresas se enfrentan a un desafío importante al aplicar el nuevo Reglamento de protección de datos de la UE a los registros en papel

Iron Mountain asesora sobre las áreas clave a abordar
A finales del año pasado, el Parlamento Europeo y el Consejo llegaron a un acuerdo sobre el Reglamento General de Protección de Datos (RGPD) propuesto por la Comisión Europea. Las nuevas reglas, que entrarán en vigor a principios de 2018, representan el mayor cambio en la legislación de protección de datos desde los albores de Internet. Afectarán a cualquier organización del mundo que maneje datos de origen europeo.
Según la empresa de gestión y almacenamiento de información Iron Mountain (NYSE: IRM), las reformas, que apuntan a reflejar las necesidades cambiantes de la economía digital y defender los derechos de privacidad de datos de las personas, podrían resultar difíciles de aplicar a la información en papel. Para ayudar a las empresas a garantizar que sus registros en papel no infrinjan las regulaciones, Iron Mountain ha preparado la siguiente guía sobre algunos de los componentes clave del GDPR:

1. Asegúrese de encontrar la información que necesita. Antes de que pueda desidentificar o eliminar información, debe poder encontrarla. Las reformas consagrarán el «derecho al olvido» del consumidor en la legislación europea y las empresas deberán responder a las solicitudes de eliminación de información personal. Desafortunadamente, si bien puede ser fácil eliminar datos digitales de un registro o base de datos, las copias impresas son mucho más difíciles de modificar. La investigación de Iron Mountain muestra que cerca de una cuarta parte (22 por ciento) de las empresas no tienen una política con respecto a la presentación en papel y permiten a los empleados decidir qué hacer por sí mismos. Como resultado, en muchas organizaciones, ninguna persona o equipo definido tiene una supervisión completa de qué información se almacena y dónde. Incluso cuando la información se puede localizar, existen los desafíos prácticos de tener que editar parcialmente los documentos, a menudo a mano.

Iron Mountain aconseja a las organizaciones que identifiquen los departamentos y áreas funcionales con mayor probabilidad de crear y almacenar registros que contengan información de identificación personal (PII) y que prioricen el escaneo y el almacenamiento seguro fuera del sitio para esos registros. Las organizaciones también deben implementar y hacer cumplir un sistema de archivo e identificación claro para todos los registros en papel, con etiquetas y metadatos marcados en archivos de caja y cartones, con derechos de acceso y responsabilidades claramente definidos.

2. Tenga en cuenta que el papel a menudo tiene una vida útil doble o triple. Los procesos claramente definidos para administrar la información desde la creación hasta la destrucción segura pueden no ser suficientes por sí solos. El papel puede escaparse por las grietas de las más estrictas políticas de clasificación y almacenamiento de información, simplemente por copiarlo o imprimirlo y dejarlo tirado, desecharlo sin cuidado o incluso sacarlo de un edificio seguro. El informe de seguimiento de la aplicación de la seguridad y la privacidad de 2015 de PwC revela que muchos incidentes de seguridad de datos europeos que resultan en una sanción provienen de errores humanos en el manejo de documentos en papel. En consecuencia, a pesar de las mejores intenciones de una organización para cumplir con una solicitud de eliminación de datos, los empleados pueden mantener los datos vivos en un cajón de escritorio o en un entorno de oficina en casa.

Iron Mountain aconseja a las empresas que complementen sus políticas y procesos de gestión de la información con la formación y la comunicación periódicas de los empleados que muestren al personal cómo gestionar la información de forma segura y respaldar una cultura empresarial de responsabilidad de la información. Todos los empleados deben comprender qué constituyen datos privados o confidenciales y cómo manejarlos.

3. Incorpore privacidad a sus procesos. El RGPD quiere que la privacidad sea una previsión de cómo se produce, gestiona y elimina la información. En el caso del papel, todo esto se tratará de los procesos de manejo de información. Iron Mountain advierte que las organizaciones deberían dificultar, si no imposibilitar, que personas no autorizadas accedan o hagan copias de documentos que contienen información de identificación personal. Los procesos de almacenamiento, retención y destrucción de información deben revisarse teniendo en cuenta los requisitos de privacidad y adaptarse cuando sea necesario.
4. Acepte que algunas reglas simplemente no se aplicarán. Los elementos del RGPD, como la portabilidad de datos, serán difíciles de aplicar a la información almacenada solo en papel. En algunos casos, esta falta de aplicabilidad es una ventaja. Por ejemplo, las demandas de medidas robustas de ciberseguridad no se aplican al papel, porque no se puede piratear.

“Existe una gran cantidad de asesoramiento empresarial disponible sobre cómo prepararse para la nueva legislación, pero casi todo se centra en los datos electrónicos y la seguridad de TI; ignore el papel bajo su responsabilidad”, aconseja Gavin Siggers, director de servicios profesionales de Iron Mountain. ”Las organizaciones continúan creando y procesando documentos en papel que contienen información personal. Muchos han acumulado vastos archivos en papel, que se remontan a décadas. Este legado presentará problemas para las organizaciones que ya no estén seguras de la información que tienen en el archivo. Ahora es más importante que nunca saber lo que tiene, saber dónde está y saber cómo llegar a él cuando lo necesite. «
www.ironmountain.co.uk