Saltar al contenido principal
Soluciones

Gestión de documentos
conforme al GDPR

No es solo una casilla de verificación del RGPD. Cada decisión arquitectónica —dónde residen los datos, cómo los procesa la IA, cómo funciona el cifrado— se tomó pensando en la legislación de la UE. Porque somos una empresa de la UE y es la única forma en que lo construiríamos.

Última actualización: abril de 2026

¿Realmente necesita un DMS que cumpla con el GDPR?

  • Si su negocio almacena documentos que contienen datos personales —nombres, direcciones, detalles financieros, registros de empleo—, el GDPR se le aplica. No importa si tiene 5 clientes o 50.000. Las sanciones alcanzaron los 1.145 millones de euros solo durante 2025, y los reguladores se dirigen cada vez más a las pymes, no solo a las grandes tecnológicas.
  • Un sistema de gestión documental compatible con el GDPR no le hace cumplir por sí solo. Pero elimina las barreras técnicas que hacen que el cumplimiento sea imposible: saber qué datos posee, encontrarlos cuando se le solicita, controlar quién accede a ellos y eliminarlos cuando sea necesario.
  • En conclusión: Si almacena documentos con datos personales en Google Drive, Dropbox o una carpeta compartida en un NAS, tiene un problema de GDPR del que quizá no sea consciente. Un DMS diseñado específicamente con alojamiento en la UE, cifrado y trazas de auditoría le proporciona la base técnica que exige el reglamento.

Los 7 principios del GDPR y lo que significan para la gestión documental

El Artículo 5 del GDPR define siete principios que rigen todo tratamiento de datos personales. Cada sistema de gestión documental que utilice debe respaldar estos principios, o estará construyendo el cumplimiento sobre una base que no se sostiene. Esto es lo que significa cada principio en la práctica al almacenar, organizar y recuperar documentos con datos personales.

Principio Artículo del GDPR Implicación en la gestión documental
Licitud, lealtad y transparencia Art. 5(1)(a) Debe tener una base legal para almacenar cada documento que contenga datos personales. Su DMS debe dejar claro qué datos se almacenan, por qué y cómo se procesan; las trazas de auditoría y los registros de actividad sirven para este requisito de transparencia.
Limitación de la finalidad Art. 5(1)(b) Los documentos recopilados para un fin (p. ej., cumplir un contrato) no pueden reutilizarse sin una nueva base legal. Su DMS no debe utilizar el contenido de los documentos para fines no relacionados, como el entrenamiento de modelos de AI con sus datos.
Minimización de datos Art. 5(1)(c) Solo almacene documentos que sean adecuados, pertinentes y necesarios. Un DMS con búsqueda de texto completo y clasificación por AI le ayuda a identificar documentos redundantes o innecesarios y eliminarlos, en lugar de guardarlo todo "por si acaso".
Exactitud Art. 5(1)(d) Los datos personales deben mantenerse exactos y actualizados. Cuando un interesado solicita la rectificación bajo el Art. 16, usted necesita localizar cada documento que contenga su información desactualizada. La búsqueda de texto completo en su archivo hace que esto sea factible.
Limitación del plazo de conservación Art. 5(1)(e) Los datos personales no deben conservarse más tiempo del necesario. Esto requiere calendarios de retención y la capacidad de encontrar y eliminar documentos por fecha, tipo e interesado. Sin un DMS, aplicar la retención en carpetas dispersas es prácticamente imposible.
Integridad y confidencialidad Art. 5(1)(f) Los documentos deben estar protegidos contra el acceso no autorizado, la pérdida accidental o la destrucción. Esto significa cifrado en reposo y en tránsito, controles de acceso basados en roles y seguridad de la infraestructura, no solo una contraseña en una carpeta compartida.
Responsabilidad proactiva (Accountability) Art. 5(2) Debe ser capaz de demostrar el cumplimiento, no solo afirmarlo. Las trazas de auditoría que registran quién accedió a qué documento, cuándo y qué acción realizó son esenciales. Si una autoridad de control pide pruebas, "seguimos las mejores prácticas" no es una respuesta válida.

Requisitos técnicos para una gestión documental conforme al GDPR

El GDPR no prescribe tecnologías específicas: el Artículo 32 exige "medidas técnicas y organizativas apropiadas" basadas en el estado de la técnica, el coste y el riesgo. En la práctica, para los sistemas de gestión documental que manejan datos personales, cuatro capacidades técnicas se han convertido en el estándar que esperan las autoridades de control. La plantilla estandarizada de EIPD (v1.0) del CEPD de marzo de 2026 refuerza esto al exigir a los responsables que documenten estas medidas exactas al evaluar el riesgo del tratamiento.

Cifrado en reposo y en tránsito

El Artículo 32(1)(a) menciona el cifrado como una medida de seguridad adecuada. El estándar de la industria es el cifrado AES-256 en reposo y TLS 1.2+ en tránsito. Veluvanto utiliza SSE-C (Cifrado en el lado del servidor con claves proporcionadas por el cliente) para los datos en reposo y TLS para todos los datos en tránsito. Sus documentos están cifrados desde el momento en que salen de su navegador hasta que se almacenan, y las claves de cifrado no se comparten con el proveedor de infraestructura.

Controles de acceso y autenticación

El Artículo 32(1)(b) exige la capacidad de garantizar la confidencialidad permanente de los sistemas de tratamiento. En la práctica, esto significa control de acceso basado en roles (RBAC): no todos en su organización deberían ver todos los documentos. Veluvanto implementa permisos a nivel de espacio de trabajo con roles de Administrador, Editor y Lector. Cada usuario se autentica individualmente: sin inicios de sesión compartidos ni acceso anónimo. Cada acción está vinculada a una identidad verificada.

Trazas de auditoría y registros de tratamiento

El Artículo 30 exige que los responsables mantengan un registro de las actividades de tratamiento. Para la gestión documental, esto se traduce en el registro automático de quién accedió a qué documento, cuándo y qué acción realizó (ver, editar, descargar, eliminar). Veluvanto mantiene registros de actividad por espacio de trabajo que sirven como base para sus registros del Art. 30. Estos registros no son editables y no pueden ser eliminados por los miembros del espacio de trabajo.

Acuerdos de encargo de tratamiento y subencargados

El Artículo 28 exige un Acuerdo de Encargo de Tratamiento (DPA) con cada encargado que maneje datos personales en su nombre. Esto incluye a su proveedor de DMS, su proveedor de infraestructura en la nube y cualquier servicio de AI utilizado para el procesamiento de documentos. El procesamiento de AI de Veluvanto utiliza la API Gemini Enterprise de Google bajo un acuerdo de procesamiento de datos con retención cero: sus documentos se procesan en memoria y se descartan inmediatamente. Nunca se almacenan en los servidores de Google y nunca se utilizan para el entrenamiento de modelos.

Gestión de solicitudes de los interesados: un proceso de 4 pasos

Bajo el GDPR, las personas tienen derecho a acceder a sus datos (Art. 15), solicitar la rectificación (Art. 16), exigir la supresión (Art. 17) y obtener sus datos en un formato portátil (Art. 20). Debe responder en un plazo de 30 días. Para las empresas que dependen de archivos de correo electrónico, unidades compartidas o archivos en papel, incluso localizar todos los documentos relacionados con una sola persona puede llevar días. Un DMS con búsqueda de texto completo reduce eso a minutos.

1

Identificar: encontrar cada documento que contenga información del interesado

Busque el nombre del interesado, dirección de correo electrónico u otros identificadores en todo su archivo documental. La búsqueda de texto completo de Veluvanto cubre el contenido de cada documento, incluidos los PDF escaneados procesados con OCR. Esto saca a la luz facturas, contratos, correspondencia y cualquier otro documento que mencione al individuo, independientemente del nombre del archivo o la ubicación de la carpeta.

2

Revisar: evaluar qué debe ser revelado, conservado o eliminado

No todos los documentos deben ser revelados o eliminados. Las obligaciones legales (requisitos de retención fiscal, obligaciones contractuales en curso) pueden prevalecer sobre el derecho de supresión según el Art. 17(3). Revise los resultados de la búsqueda y categorice: documentos a revelar para una solicitud de acceso, documentos a eliminar para una solicitud de supresión y documentos que está legalmente obligado a conservar. Documente su razonamiento: el principio de responsabilidad proactiva del Art. 5(2) lo exige.

3

Actuar: exportar, rectificar o eliminar con una traza de auditoría

Para solicitudes de acceso (Art. 15): exporte los documentos pertinentes en un formato de uso común. La exportación de Veluvanto proporciona los archivos originales más metadatos estructurados. Para la rectificación (Art. 16): actualice o reemplace los documentos inexactos. Para la supresión (Art. 17): elimine los documentos identificados. Cada acción —exportación, edición, eliminación— queda registrada en la traza de actividad de Veluvanto con marca de tiempo e identidad del usuario.

4

Confirmar: responder al interesado y conservar la prueba del cumplimiento

Responda al interesado dentro del plazo de 30 días confirmando qué acción tomó. Conserve las entradas de la traza de auditoría como prueba de que cumplió con la solicitud. Si una autoridad de control investiga más tarde, deberá demostrar no solo que respondió, sino cómo buscó, qué encontró y qué hizo al respecto. El registro de actividad sirve como esa evidencia.

Alojamiento en la UE frente a EE. UU.: implicaciones legales para la gestión documental

La ubicación de los servidores de su gestión documental no es solo un detalle técnico: es una decisión legal con consecuencias reales. Bajo la Ley CLOUD de EE. UU. (Clarifying Lawful Overseas Use of Data Act, 2018), las autoridades estadounidenses pueden obligar a cualquier empresa con sede en EE. UU. a entregar los datos almacenados en sus servidores, independientemente de dónde se encuentren físicamente. Esto significa que almacenar documentos en Google Drive, Dropbox, OneDrive o Notion —todas empresas estadounidenses— expone sus datos a un posible acceso del gobierno de EE. UU., incluso si los servidores están en la UE. La sentencia Schrems II (TJUE, julio de 2020) invalidó el Escudo de Privacidad UE-EE. UU. precisamente por esta razón: se consideró que las leyes de vigilancia de EE. UU. eran incompatibles con los derechos fundamentales de la UE. El Marco de Privacidad de Datos UE-EE. UU. adoptado en 2023 proporciona una nueva decisión de adecuación, pero los desafíos legales continúan y el Comité Europeo de Protección de Datos sigue recomendando medidas suplementarias para cualquier transferencia de datos de la UE a EE. UU.

Veluvanto elimina esta complejidad legal por completo. Como empresa checa registrada y que opera bajo la legislación de la UE, Veluvanto almacena todos los datos exclusivamente en centros de datos de la UE. No hay una empresa matriz estadounidense, ni filial en EE. UU., ni estructura corporativa que someta sus datos a la Ley CLOUD. El procesamiento de AI utiliza la API Gemini Enterprise de Google bajo un acuerdo de retención cero: los documentos se procesan en memoria en la UE y se descartan inmediatamente. No se transfieren ni almacenan datos personales en los Estados Unidos en ningún momento. Para las organizaciones que necesitan demostrar el cumplimiento del GDPR ante clientes, socios o autoridades de control, el alojamiento exclusivo en la UE por parte de una empresa constituida en la UE es la posición legal más sólida disponible.

Lista de verificación de cumplimiento del GDPR: cómo se sitúa Veluvanto

La transparencia genera confianza. En lugar de afirmar un cumplimiento total sin matices, aquí tiene una evaluación honesta de cómo Veluvanto aborda cada requisito clave del GDPR para la gestión documental. Donde tenemos carencias, lo decimos.

¿Se almacenan todos los datos dentro de la UE? — Sí. Todo el almacenamiento de documentos y las copias de seguridad se encuentran en centros de datos de la UE. Ningún dato sale de la UE. Veluvanto es una empresa checa: sin entidad matriz en EE. UU., sin exposición a la Ley CLOUD.
¿Están los datos cifrados en reposo y en tránsito? — Sí. Cifrado SSE-C (AES-256) en reposo con claves proporcionadas por el cliente. Cifrado TLS para todos los datos en tránsito. Las claves de cifrado no se comparten con el proveedor de infraestructura.
¿Pueden los interesados ejercer sus derechos (acceso, supresión, portabilidad)? — Sí. La exportación completa de datos admite la portabilidad (Art. 20). La eliminación de documentos con traza de auditoría admite la supresión (Art. 17). La búsqueda de texto completo permite localizar todos los datos relacionados con un individuo específico para solicitudes de acceso (Art. 15).
¿Se registran las actividades de tratamiento (Art. 30)? — Sí. Los registros de actividad graban quién accedió, modificó o eliminó cada documento, con marcas de tiempo. Estos registros son inmutables y sirven como base para sus registros de actividades de tratamiento.
¿Cumple el procesamiento de AI con los requisitos de protección de datos? — Sí. La AI utiliza la API Google Gemini Enterprise con un acuerdo de retención cero. Los documentos se procesan en memoria y se descartan inmediatamente: nunca se almacenan, se guardan en caché ni se utilizan para el entrenamiento de modelos. El sistema también está diseñado para cumplir con la Ley de AI de la UE.
¿Están disponibles políticas automatizadas de retención y eliminación? — Aún no. Veluvanto no ofrece actualmente calendarios de retención automatizados ni reglas de eliminación basadas en el tiempo. Puede eliminar documentos manualmente y usar la búsqueda para identificar registros caducados, pero la aplicación automatizada de la limitación de conservación del Art. 5(1)(e) está en nuestra hoja de ruta, aún no implementada.
¿Tiene Veluvanto la certificación ISO 27001 o SOC 2? — No. Veluvanto en sí no tiene la certificación ISO 27001 o SOC 2. Nuestro proveedor de infraestructura sí posee la certificación ISO 27001. Implementamos medidas de seguridad consistentes con estos estándares, pero no nos hemos sometido a una certificación independiente. Si su organización requiere la certificación del proveedor, esto es una carencia.
¿Proporciona Veluvanto una plantilla de Acuerdo de Encargo de Tratamiento (DPA)? — No como una plantilla de autoservicio. Un DPA que cubre el tratamiento de sus datos por parte de Veluvanto está disponible bajo petición. Actualmente no proporcionamos una plantilla de DPA preestablecida para sus propias relaciones de responsable-encargado con terceros.

Cuándo Veluvanto no es la opción adecuada para el cumplimiento del GDPR

Veluvanto es un sistema de gestión documental para autónomos, familias y pequeñas empresas. Cubre la base técnica para el almacenamiento y la recuperación de documentos conforme al GDPR. Pero no es una plataforma de cumplimiento empresarial, y hay escenarios en los que no es suficiente.

Procesa categorías especiales de datos a gran escala (Art. 9) — Si maneja grandes volúmenes de registros de salud, datos biométricos, datos genéticos o datos que revelen el origen racial o étnico, necesita un sistema con controles de acceso de grado sanitario, infraestructura de auditoría dedicada y probablemente certificaciones específicas del sector (p. ej., ISO 27799 para informática de la salud). Los controles de acceso de Veluvanto son a nivel de espacio de trabajo, no a nivel de campo.
Necesita políticas de retención automatizadas con bloqueo legal — Si su programa de cumplimiento requiere que los documentos se eliminen automáticamente después de un período de retención definido —con excepciones para el bloqueo legal durante litigios—, necesita un software de gestión de registros empresariales (p. ej., OpenText, M-Files). Veluvanto aún no admite la funcionalidad de retención automatizada o bloqueo legal.
Sus clientes o reguladores exigen la certificación ISO 27001 o SOC 2 — Algunas industrias y procesos de contratación empresarial exigen que los proveedores posean la certificación ISO 27001 o SOC 2 Tipo II. Veluvanto no tiene estas certificaciones. Si este es un requisito estricto en su proceso de selección de proveedores, Veluvanto no pasará su cuestionario de seguridad.

Ser honestos sobre las limitaciones es parte de generar confianza. Si sus necesidades superan lo que ofrece Veluvanto, preferimos decírselo de antemano que dejar que lo descubra después de migrar sus documentos. Para la mayoría de autónomos, familias y pequeñas empresas, Veluvanto proporciona una base sólida conforme al GDPR. Para empresas reguladas con requisitos de cumplimiento complejos, las plataformas empresariales especializadas son la mejor opción.

Guías relacionadas

Archivo de documentos digitales

Retención, trazas de auditoría y almacenamiento a largo plazo: cómo el archivo digital apoya el cumplimiento del GDPR.

Software de gestión documental

Qué hace el software DMS, cómo elegir uno y por qué la AI lo cambia todo en 2026.

Directiva NIS2 y gestión documental

La NIS2 y el GDPR comparten un solapamiento documental significativo; esto es lo que añade la directiva de ciberseguridad.

Preguntas frecuentes

¿Dónde se almacenan exactamente mis datos?
Todos los datos se almacenan en centros de datos de la UE operados por proveedores de infraestructura con sede en la UE. Las copias de seguridad se guardan en un proveedor de la UE independiente. Ningún dato —documentos, metadatos o entradas de procesamiento de IA— sale jamás de la Unión Europea. Veluvanto está constituida en la República Checa sin empresa matriz ni filial en EE. UU.
¿El procesamiento de IA envía mis datos fuera de la UE?
No. El procesamiento de IA utiliza la API de Google Gemini Enterprise bajo un acuerdo de procesamiento de datos con retención cero. Los documentos se procesan en memoria y se descartan inmediatamente; nunca se almacenan en los servidores de Google, nunca se guardan en caché y nunca se usan para el entrenamiento de modelos. El procesamiento ocurre dentro de la UE.
¿Puedo exportar todos mis datos si me voy?
Sí. Veluvanto admite la exportación completa de datos según el Artículo 20 (derecho a la portabilidad de los datos). Recibirá todos los documentos originales en sus formatos originales más metadatos estructurados (etiquetas, fechas, entidades extraídas). Formatos estándar, sin dependencia de proveedor, sin necesidad de contactar con soporte.
¿Está Veluvanto certificado (ISO 27001, SOC 2)?
No. Veluvanto en sí no posee la certificación ISO 27001 o SOC 2. Nuestro proveedor de infraestructura tiene la certificación ISO 27001. Implementamos medidas de seguridad alineadas con estos estándares —cifrado en reposo (SSE-C/AES-256), TLS en tránsito, RBAC, registros de auditoría inmutables— pero no nos hemos sometido a una certificación independiente. Si la certificación del proveedor es un requisito de contratación para su organización, esta es una carencia sobre la que somos transparentes.
¿Cómo se compara Veluvanto con las alternativas alojadas en EE. UU. respecto al GDPR?
Los servicios alojados en EE. UU. (Google Drive, Dropbox, Notion, Evernote) son operados por empresas estadounidenses sujetas a la Ley CLOUD, que permite a las autoridades de EE. UU. acceder a los datos independientemente de la ubicación del servidor. La sentencia Schrems II consideró esto incompatible con los derechos fundamentales de la UE. Veluvanto es una empresa checa con datos exclusivamente en la UE: solo se aplica la legislación de la UE. Sin decisiones de adecuación, sin medidas suplementarias, sin incertidumbre legal.
¿Qué sucede en caso de una brecha de seguridad de los datos?
Según el Artículo 33, los responsables deben notificar a su autoridad de control en un plazo de 72 horas tras tener conocimiento de una brecha de datos personales. Los registros de actividad y de acceso de Veluvanto le ayudan a evaluar el alcance de cualquier incidente: qué documentos se vieron afectados, quién tuvo acceso y cuándo. Como encargado, Veluvanto le notificará sin dilación indebida si tenemos conocimiento de una brecha que afecte a sus datos, proporcionándole la información necesaria para cumplir con sus obligaciones de notificación.
¿Necesito realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) para usar Veluvanto?
Depende de la naturaleza y el volumen de los datos personales que procese. Según el Artículo 35, se requiere una EIPD cuando el tratamiento sea "probable que entrañe un alto riesgo" para los derechos de las personas; por ejemplo, el seguimiento sistemático o el tratamiento a gran escala de datos sensibles. Para la mayoría de autónomos y pequeñas empresas que almacenan facturas, contratos y correspondencia comercial, no se requiere una EIPD. El CEPD publicó una plantilla de EIPD estandarizada (v1.0) en marzo de 2026, que simplifica el proceso si llegara a necesitar una.
¿Cumple Veluvanto con la Ley de AI de la UE?
Las funciones de AI de Veluvanto —clasificación de documentos, extracción de metadatos y el asistente de AI— están diseñadas teniendo en cuenta el cumplimiento de la Ley de AI de la UE. El sistema de AI es transparente (puede ver lo que la AI extrajo y modificarlo), no toma decisiones autónomas con efectos legales y utiliza un procesamiento de retención cero para que sus documentos nunca se utilicen para el entrenamiento de modelos. El uso de la AI se registra y es auditable.

Deja de cazar documentos. Empieza a encontrarlos.

Prueba gratuita. Sin tarjeta de crédito. Pásate a un plan superior solo cuando estés listo.

Probar gratis — sin tarjeta Ver precios

🔒 Nube en la UE · Sin tarjeta de crédito · Garantía de reembolso de 14 días