El principio de seguridad definido en la LOPD y en su reglamento de desarrollo (RLOPD), obliga a los responsables de ficheros a adoptar medidas que garanticen la seguridad de los datos de carácter personal, y eviten accesos no autorizados (art 9.1 LOPD) cuya infracción está tipificada como grave (art 44.3.h LOPD) lo que puede suponer una sanción para el responsable del fichero de hasta 300.000 €.
Este principio se debe aplicar a todas las actividades de un negocio y afecta directamente al modo en que se deben de tratar aquellos soportes – en papel – en los que consten datos de carácter personal, una vez ha concluido su finalidad de recogida y tratamiento. Se debe cumplir con el art. 92.4 del RLOPD que dispone que, siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal, deberá procederse a su destrucción o borrado mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Las consecuencias de errar en este procedimiento se traduce en sanciones para nuestro negocio, además del daño reputacional que conlleva, tal y como ocurrió en los siguientes casos sancionados por la Agencia Española de Protección de Datos:
– En el primero de ellos (Resolución 01945/2014) se encontró un vehículo que contenía documentación de una empresa con fotocopias de DNIs y números bancarios, que –a su vez- el propietario del vehículo encontró en un contenedor; la empresa propietaria de la documentación incumplió las medidas de seguridad necesarias, para evitar que los datos de que dispone en formato papel, fuesen desechados correctamente, no dando lugar a su hallazgo por terceros, al haberlos depositado al alcance del público en una zona pública; fue sancionada con 6.000€.
– Otro caso reciente (Resolución 02664/2013) es el de la entidad Banco Santander, que fue sancionada también con 6.000€ por depositar en un contenedor de la vía pública documentos con el nombre y apellidos, números de DNI, domicilios, teléfonos, saldos, recibos, vencimientos impagados, créditos hipotecarios, contratos de cuentas a plazo, órdenes de domiciliación de recibos, ingresos netos, datos patrimoniales y laborales, accionistas, fondos de inversión, entradas a dudoso, etc. de sus clientes.
Tal y como establece la última de las resoluciones comentadas, no basta entonces con la adopción de cualquier medida: éstas deben ser las necesarias para garantizar aquellos objetivos que marcan los preceptos mencionados.
Normalmente la destrucción de documentación en soporte papel se puede realizar de dos maneras que garantizan el cumplimiento de las obligaciones LOPD:
– utilizando destructoras de papel, ubicadas en las mismas instalaciones de la empresa, que garanticen que el documento en cuestión queda totalmente destruido e irrecuperable, o
– a través del servicio de empresas especializadas.
Debido a la aparición masiva de dichas empresas, éstas basan su competitividad únicamente en el criterio de precio, y no todas ofrecen garantías del cumplimiento de la LOPD. Por lo tanto, es necesario seguir los siguientes pasos:
– Elegir diligentemente a la empresa que va a realizar el servicio, para que ofrezca las debidas garantías que cumplan con la LOPD.
- La destrucción documental estaba sujeta hasta ahora a la normativa DIN 32757, del Instituto Alemán para la Normalización (DIN) referente a la destrucción de documentos en papel; pero, recientemente, ha surgido otra normativa -la DIN 66399- para la destrucción de soportes con datos, debido a la evolución en los sistemas de registro de la información.
- La norma DIN 66399 establece tres posibles categorías de protección, el modo correcto de destrucción de otros soportes que no sean papel (USB, discos extraíbles), y siete niveles de seguridad para presentación de información en formato original. Estos niveles van desde hacer ilegible o invalidar documentos, a tomar medidas extraordinarias; la LOPD no indica el nivel de destrucción que debemos conseguir; por lo tanto, mientras los documentos se hagan ilegibles y se destruyan de forma que invaliden su uso o reconstrucción, es suficiente.
- Las tres posibles categorías de protección en las que se encuentran esos niveles se adoptan según el grado de necesidad de protección de los datos, teniendo en cuenta la LOPD en función de si los datos son de nivel básico, medio o alto:
- Clase de protección 1: garantiza la protección de datos personales y la no cesión de esos datos.
- Clase de protección 2: garantiza la protección de datos personales, la no cesión de esos datos, además de otras medidas extraordinarias.
- Clase de protección 3: protección con muy alta exigencia de datos muy confidenciales y secretos, accesibles a un círculo reducido de personas autorizadas, cuyos nombres se desconocen.
– Formalizar un contrato en base a las especificaciones del art. 12 de la LOPD y 20 a 22 del RLOPD. De acuerdo con el Informe Jurídico 0227/2010 de la AEPD, este tipo de proveedor se considera encargado del tratamiento.
– Exigir un certificado de destrucción una vez realizado el encargo.
