Publicado el 6 de marzo de 2018 por Guillermo en Privacidad, Software libre
Quedan apenas tres meses para la entrada en vigor del RGPD (Reglamento General de Protección de Datos). Una de las novedades que introduce esta norma es el principio de protección de datos por diseño y por defecto, también denominado privacidad por diseño, que obliga a las empresas y organizaciones a planificar las medidas de seguridad antes de recabar los datos. Como nos contó Joaquín Hierro en este blog, la seguridad es uno de los aspectos en los que más hincapié se ha hecho en la construcción de OpenProdoc y hoy aprenderás cómo prepararte para el RGPD gracias a este gestor documental 100% open source.
Una de las funcionalidades esenciales de las herramientas de gestión documental es implementar permisos de acceso a los documentos.
Aunque en ocasiones nos interesa facilitar el acceso a los documentos que ha producido nuestra organización (por ejemplo, si se trata de procedimientos que los trabajadores deben conocer), muchas veces estamos obligados a limitar el acceso a los documentos a determinados perfiles. Es el caso, por ejemplo, de los documentos que contienen datos personales sensibles, definidos por el RGPD como aquellos datos “que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales”.
OpenProdoc trabaja con 3 permisos básicos (lectura, actualización y eliminación), que se gestionan desde el ACL, y 22 permisos adicionales, que se gestionan desde la lista de roles. Esta granularidad hace posible aplicar reglas de acceso complejas como las que encontramos en las organizaciones, donde no sirve la lógica del “todo o nada” de la mayoría de sistemas, incluidas algunas aplicaciones vendidas como software de gestión documental.
Puedes leer un análisis más extenso de la gestión de permisos en OpenProdoc en la entrada que escribí al respecto.
Otra de las funcionalidades que ofrecen los gestores documentales es la generación automática de trazas de auditoría. Estas trazas de auditoría son metadatos que registran la actividad realizada por los usuarios sobre un documento y nos ayudan a prevenir, notificar e investigar posibles violaciones de seguridad.
Estos metadatos también nos permiten cumplir la obligación de registrar las actividades de tratamiento, que el RGPD limita a las empresas con más de 250 empleados o al tratamiento de datos sensibles.
OpenProdoc puede registrar 4 eventos diferentes:
Para ello, solamente tenemos que seleccionar las trazas que queremos que el programa genere en la pantalla de definición del tipo documental.
En este ejemplo, hemos indicado a OpenProdoc que guarde una traza de auditoría cada vez que se añade, elimina, actualiza o consulta en el sistema un contrato de trabajo.
Estas trazas de auditoría pueden consultarse en la opción “Trace Logs” del menú de administración. La pantalla nos permite filtrar por tipo de documento y fechas, así como exportar los resultados en formato CSV para analizarlos más detalladamente con ayuda de una herramienta externa.
En este ejemplo, observamos que el usuario “root” ha añadido un contrato laboral el 5 de marzo a las 10:04 y que lo ha consultado a las 10:05. Vemos también que ese mismo documento ha sido consultado por el usuario “bob” a las 10:06.
Además de guardar trazas de las operaciones, OpenProdoc también permite encriptar el contenido de un repositorio. Para ello, solamente hay que indicar la opción correspondiente al dar de alta un nuevo repositorio documental.
Todas estas funcionalidades hacen de OpenProdoc una herramienta muy indicada para adaptar a tu organización a las obligaciones del RGPD. Recuerda que absolutamente todo el código de este gestor documental profesional está publicado en GitHub, por lo que el coste ya no será una barrera para cumplir la normativa de protección de datos.
Espero que esta entrada te haya resultado interesante. Como de costumbre, te animo a compartir en la sección de comentarios tus dudas y sugerencias.
Deja un comentario