Lo que dice la Ley

Debemos tener presente, que independientemente de lo que nos dice la ley, cualquier acto de pérdida de información en una organización o empresa dañan la imagen y reputación de la misma, además de mermar la confianza del consumidor y el cliente, pudiendo acarrear pérdidas de contratos o de altas cuantías económicas o de tiempo.

Nuestra normativa, sobre protección de datos es muy estricta respecto al tratamiento de desecho de la información y datos personales, exigiendo altos niveles de seguridad en la destrucción de documentos no sólo con soporte en papel, sino también contenida en plásticos, microfichas, formatos de almacenamiento ópticos -CD, CD-RW, HD DVD, VMD y Blue Ray-, cintas de video, placas médicas, películas de triacetato y cualquier otro medio de almacenamiento, unidades flash USB, discos externos e internos, teléfonos móviles, PDA’s, contendores multimedia, etc…

La Ley Orgánica 15/1999 de Protección de Datos Personales y su reglamento de desarrollo, el Real Decreto 1720/2007, imponen una serie de medidas de carácter obligatorio a las empresas y Administraciones Públicas, para garantizar la seguridad de los datos personales que manejan de los ciudadanos. Entre estas medidas, el legislador ha querido reflejar el problema de los datos almacenados en dispositivos y soportes informáticos respecto a la insuficiente eliminación de los mismos por los medios que habitualmente se emplean, el borrado sencillo.

Disponen los artículos 4.5 de la Ley Orgánica de Protección de Datos y 8.6 del Reglamento de desarrollo de la ley, que habrá que cancelar los datos personales que se hubieran recogido, cuando estos dejen ser necesarios para los fines por los que se recogieron, momento en que habrá que conservarlos durante un periodo mínimo de 3 años, si no existe otra ley que determine el tiempo en que se podrían ejecutar acciones de responsabilidad donde pudieran verse involucrados los documentos en que se encuentren los datos personales.

Transcurrido el tiempo legalmente estipulado, los datos deberán destruirse –salvo que se disocien-, por un procedimiento seguro que impida la reutilización de los mismos o vulnere el deber de secreto del artículo 10 de la Ley Orgánica de Protección de Datos. El legislador ha querido reforzar especialmente esta medida de eliminación segura de documentación y soportes o equipos informáticos, y de tal forma lo ha incluido entre las medidas a desempeñar, en el artículo 92 del Reglamento de desarrollo de la ley, “Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.”.

La Agencia Española de Protección de Datos, ha impuesto muchas sanciones -ej. PS/00534/2008 o PS/00137/2010- relacionadas con documentos o equipos informáticos de los que se ha podido recuperar la información, “debió, por ello, adoptar las medidas necesarias para impedir cualquier recuperación posterior de la información que contenían dichos documentos. Tales medidas no fueron adoptadas totalmente en el presente caso, como lo acredita el hecho que dicha documentación fue encontrada por la entidad denunciante, en la vía pública, fuera de los contenedores y dispersa.”.

La Audiencia Nacional también ha resuelto diferentes recursos de entidades sancionadas por no haber eliminado correctamente soportes o documentos; 1182/2001, 1517/2001, 160/2006; dictaminando en común que “No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. (…) se trataba de documentos de uso interno a los que no debían tener acceso personas ajenas al organigrama de…y si lo tuvieron fue de manera anómala, esto es, por una insuficiencia o deficiente puesta en práctica de las medidas de seguridad” y su consagrada doctrina de deudor de la seguridad “Como ha dicho esta Sala en múltiples sentencias…se impone, en consecuencia, una obligación de resultado, consistente en que se adoptan las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros…la recurrente es, por disposición legal una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y se ejecuten con rigor.”

Si una empresa o administración, no cumpliera lo dispuesto por el Artículo 10 –deber de secreto- y 9 de la Ley o lo desarrollado en el Real Decreto 1720/2007, respecto al desecho de soportes o documentos, estaría incurriendo en dos infracciones tipificadas en el artículo 44.2 e) o 44.3 g) y 44.2. h) de la Ley Orgánica 15/1999, pudiendo ser calificadas como infracción grave, que podrían ser sancionadas con una multa que oscilaría entre los 60.101,21€ a los 300.506,05 €.

Las organizaciones –públicas y privadas- deben tener un adecuado sistema de tratamiento de los datos y garantizar un pleno cumplimiento de las medidas que impone la legislación, pero en especial se debe:

Clasificar la información y tratarla conforme a su nivel de seguridad.
Velar por el cumplimiento de la normativa específica conexa.
Destruir o borrar la información según el soporte en el que se encuentre de una manera segura y que impida su recuperación posterior.

De nada han servido a muchas empresas o Administraciones, presentar certificados o facturas de empresas de reciclaje o borrado, que prestaron servicios a las mismas, pero no con la eficacia que impone la ley, porque lo cierto es que los procedimientos realizados deben asegurar el resultado, no solo el mero intento.

 

Pero debemos ser conscientes, que la obligación legal recae sobre todo tipo de soportes, donde se pueda almacenar datos, y desde un punto de vista de equipamiento informático, incluye Información en discos duros y removibles, Información en teléfonos móviles, Información en PDAs, Información en imágenes, videos y similares.

Scroll al inicio