Bienvenido a mi página personal. Mi espacio web para compartir contigo mi visión de la abogacía, algunas conclusiones jurídicas, impresiones y estudios. A través de esta página puedes acceder a mi perfil profesional y personal; y contactar conmigo si lo deseas.

domingo, 4 de marzo de 2012

Cómo llevar a cabo la destrucción de soportes y papel de forma adecuada

Contínuamente ponemos las precauciones necesarias para tratar de forma adecuada los datos personales en la empresa... pero, ¿cómo debemos destruir los soportes en los que se almacenan?
Su destrucción se puede llevar a cabo a través de una empresa externa o de forma interna; pero siempre se deberá tener en cuenta  la aplicación  de las medidas de seguridad jurídicas, técnicas y organizativas que recoge el artículo 9 de la LOPD: "... garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado...".
En consecuencia,  se deben respetar la siguientes medidas de seguridad:

  • Medidas Organizativas:
    • (a) Autorización de salida de soportes para su destrucción (art. 92.2 RLOPD): previo a la destrucción de los soportes y/o documentos, es necesario verificar que la salida de los mismos se encuentra debidamente autorizada por el responsable en quien se hayan delegado dichas funciones, y que se ha dejado constancia de dichas salidas en el Documento de Seguridad de la entidad
    • (b) Registro salida de soportes (art. 97.2 RLOPD): es necesario hacer constar en el registro de salida de soportes, los documentos o soportes automatizados que hayan sido trasladados fuera de las instalaciones para su correspondiente destrucción
    • (c) Actualización del inventario (art. 92.1 RLOPD): cada vez que se haya procedido a la destrucción de un soporte o documentación que incluya datos de carácter personal, es necesario actualizar el inventario de soportes vigente en la Organización.
  • Medidas Jurídicas:
    •  (a) Plazo aplicable a la destrucción de los soportes (art. 8.2 RLOPD): previo a la destrucción de la documentación y/o soportes, conviene verificar que la información incluida en los mismos ha cumplido el correspondiente plazo legal de conservación y, consecuentemente, puede ser destruida de forma definitiva
    • (b) Regulación contractual (art. 12 LOPD y 83 RLOPD): en caso que la destrucción de soportes y/o documentos sea efectuada por terceras entidades, es preciso regular contractualmente dicha prestación de servicios (encargo de tratamiento, o prestación de servicios sin acceso a datos), especificando las medidas de seguridad e instrucciones aplicables durante el traslado y destrucción definitiva.
  • Medidas técnicas:
    •  (a) Mecanismos de destrucción segura (art. 92.4 RLOPD): es necesario obtener garantías suficientes de que el mecanismo o procedimiento utilizado, no permitirá la recuperación futura de la información incluida en tales soportes/documentos
    • (b) Acceso a la información incluida en los soportes (art. 92 del RLOPD): se deberán adoptar medidas dirigidas a evitar el acceso a la información contenida los soportes o documentos que van a ser destruidos, por lo tanto, en caso de utilizar contenedores especiales, éstos deberán disponer de mecanismos de cierre que garanticen su seguridad y eviten el acceso a la información contenida en los mismos
    • (c)Traslado de soportes (art. 114 del RLOPD): siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. En este sentido, es conveniente que todas las operaciones de recogida, carga y descarga de los soportes y/documentos o sus contenedores, así como la conducción de los vehículos que los transportan, sean realizadas por personal debidamente autorizado y fácilmente identificable.
A mayor abundamiento, se deberá llevar a cabo la correcta evaluación de la efectividad de los procedimientos de destrucción que se vayan a utilizar; y verificar que se lleve a cabo de forma segura y confidencial.

Procedimientos seguros de destrucción de soportes magnéticos. En el caso de soportes magnéticos, equipos antiguos u ordenadores personales que vayan a ser desechados, es necesario garantizar que la información incluida en los dispositivos de memoria, será suprimida de manera definitiva. A tal efecto, dentro de los procedimientos seguros comúnmente utilizados en el sector, cabe destacar los siguientes: - (i) Presión neumática: perforación física del disco, mediante presión
- (ii) Degaussing: borrado de la información mediante aplicación de campos electromagnéticos; (iii) DiskWiping: mecanismo de borrado físico de los datos empleando herramientas software adecuadas como: PGP Wipe, Eraser, SDelete.

Procedimientos seguros de destrucción de documentación en papel. La destrucción de los documentos en papel deberá ser inmediata e impedir la reconstrucción de la información incluida en los mismos. Al respecto, conviene tener en cuenta las recomendaciones emitidas por el Ministerio de Cultura, a partir de las cuales se recomienda aplicar la normativa europea DIN 32757 (que establece cinco niveles de seguridad, en atención a la información incluida en los documentos), para la destrucción de documentos o expedientes administrativos en papel.

En este sentido, y aunque no exista una equivalencia necesaria entre los niveles de la norma DIN 32757 y los niveles de seguridad aplicables a los ficheros de datos personales, una práctica razonable podría ser optar por el nivel 4 (partículas de un máximo de 2x15 mm), o el nivel 5 (partículas de un máximo de 0,8x12 mm), para acreditar la destrucción segura de documentos que incluyan datos de carácter personal.

Finalmente, en caso que la destrucción de soportes y/o documentos sea efectuada por un proveedor externo, es recomendable obtener un certificado de destrucción segura y confidencial, que haga constar los procedimientos o mecanismos adoptados y el momento en que se efectuó la destrucción definitiva.

Conforme a lo expuesto, tanto durante recogida, como en el traslado y destrucción definitiva de los soportes y/o documentos que incorporan datos de carácter personal, es preciso actuar diligentemente y adoptar buenas prácticas que permitan salvaguardar la seguridad y confidencialidad de la información, a fin de acreditar un óptimo nivel de cumplimiento normativo, incluso en el último tramo de su ciclo de vida o tratamiento.