El principi de seguretat definit en la LOPD i la seva normativa de desenvolupament (RLOPD), obliga els responsables dels fitxers perquè prenguin les mesures que garanteixen la seguretat de les dades personals i evitar accessos no autoritzats (art 9.1 LOPD) que si s’infringeixen es tipificaria com infracció greu (art 44.3. h LOPD) suposant una sanció pel responsable del fitxer de fins als 300.000 €.
Aquest principi ha de ser aplicat a totes les activitats d’un negoci i afecta directament a la manera que s’han de tractar aquells suports – en paper – que contenen dades personals, una vegada conclòs el propòsit de recollida i tractament automatitzat. S’ha de complir l’article 92.4 del RLOPD el qual estableix que, sempre que s’elimini qualsevol document o suport que contingui dades de caràcter personal, s’haurà de procedir a la seva destrucció o esborrat mitjançant l’adopció de mesures dirigides a evitar l’accés a la Informació continguda o la seva recuperació posterior.
Les conseqüències d’errar en aquest procediment es tradueix en sancions per al nostre negoci, a més del dany a la reputació que comporta, tal com va ocórrer en els següents casos sancionats per l’Agència Espanyola de Protecció de Dades:
– En el primer d’ells (Resolució 01945/2014) es va trobar un vehicle que contenia documentació d’una empresa amb fotocòpies de DNIs i comptes bancaris, que el propietari del vehicle va trobar en un contenidor; l’empresa propietària de la documentació va incomplir les mesures de seguretat necessàries, per a evitar que les dades que disposa en format paper, fossin eliminades correctament, no donant lloc a la seva troballa per tercers, a l’haver-los dipositat a l’abast del públic en una zona pública; va ser sancionada amb 6.000€.
– Un altre cas recent (Resolució 02664/2013) és el de l’entitat Banc Santander, que va ser sancionada també amb 6.000€ per dipositar en un contenidor de la via pública documents amb el nom i cognoms, nombres de DNI, domicilis, telèfons, saldos, rebuts, venciments impagats, crèdits hipotecaris, contractes de comptes a termini, ordres de domiciliació de rebuts, ingressos nets, dades patrimonials i laborals, accionistes, fons d’inversió, entrades a dubtós, etc. dels seus clients.
Tal com estableix l’última de les resolucions comentades, no és suficient amb l’adopció de qualsevol mesura: aquestes han de ser les necessàries per a garantir aquells objectius que marquen els preceptes esmentats.
Normalment la destrucció de documentació en suport paper es pot realitzar de dues maneres que garanteixen el compliment de les obligacions LOPD:
– utilitzant destructores de paper, situades en les mateixes instal·lacions de l’empresa, que garanteixin que el document en qüestió queda totalment destruït i irrecuperable, o
– a través del servei d’empreses especialitzades.
A causa de l’aparició massiva d’aquestes empreses, aquetes basen la seva competitivitat únicament en el criteri de preu, i no totes ofereixen garanties del compliment de la LOPD. Per tant, és necessari seguir els següents passos:
– Triar diligentment a l’empresa que va a realitzar el servei, perquè ofereixi les degudes garanties que compleixin amb la LOPD.
- La destrucció documental estava subjecta fins a ara a la normativa DIN 32757, de l’Institut Alemany per a la Normalització (DIN) referent a la destrucció de documents en paper; però, recentment, ha sorgit altra normativa -la DIN 66399 – per a la destrucció de suports amb dades, a causa de l’evolució en els sistemes de registre de la informació.
- La norma DIN 66399 estableix tres possibles categories de protecció, la manera correcta de destrucció d’altres suports que no siguin paper (USB, discos externs), i set nivells de seguretat per a presentació d’informació en format original. Aquests nivells van des de fer il·legible o invalidar documents, a prendre mesures extraordinàries; la LOPD no indica el nivell de destrucció que hem d’aconseguir; per tant, mentre els documents es facin il·legibles i es destrueixin de manera que invalidin el seu ús o reconstrucció, és suficient.
- Les tres possibles categories de protecció en les quals es troben aquests nivells s’adopten segons el grau de necessitat de protecció de les dades, tenint en compte la LOPD en funció de si les dades són de nivell bàsic, mig o alt:
- Classe de protecció 1: garanteix la protecció de dades personals i la no cessió d’aquestes dades.
- Classe de protecció 2: garanteix la protecció de dades personals, la no cessió d’aquestes dades, a més d’altres mesures extraordinàries.
- Classe de protecció 3: protecció amb molt alta exigència de dades molt confidencials i secrets, accessibles a un cercle reduït de persones autoritzades, els noms de les quals es desconeixen.
– Formalitzar un contracte sobre la base de les especificacions de l’art. 12 de la LOPD i 20 a 22 del RLOPD. D’acord amb l’Informe Jurídic 0227/2010 de l’ AEPD, aquest tipus de proveïdor es considera encarregat del tractament.
– Exigir un certificat de destrucció una vegada realitzat l’encàrrec.
