Su destrucción se puede llevar a cabo a través de una empresa externa o de forma interna; pero siempre se deberá tener en cuenta la aplicación de las medidas de seguridad jurídicas, técnicas y organizativas que recoge el artículo 9 de la LOPD: "... garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado...".
En consecuencia, se deben respetar la siguientes medidas de seguridad:
Procedimientos seguros de destrucción de soportes magnéticos. En el caso de soportes magnéticos, equipos antiguos u ordenadores personales que vayan a ser desechados, es necesario garantizar que la información incluida en los dispositivos de memoria, será suprimida de manera definitiva. A tal efecto, dentro de los procedimientos seguros comúnmente utilizados en el sector, cabe destacar los siguientes: - (i) Presión neumática: perforación física del disco, mediante presión
- (ii) Degaussing: borrado de la información mediante aplicación de campos electromagnéticos; (iii) DiskWiping: mecanismo de borrado físico de los datos empleando herramientas software adecuadas como: PGP Wipe, Eraser, SDelete.
Procedimientos seguros de destrucción de documentación en papel. La destrucción de los documentos en papel deberá ser inmediata e impedir la reconstrucción de la información incluida en los mismos. Al respecto, conviene tener en cuenta las recomendaciones emitidas por el Ministerio de Cultura, a partir de las cuales se recomienda aplicar la normativa europea DIN 32757 (que establece cinco niveles de seguridad, en atención a la información incluida en los documentos), para la destrucción de documentos o expedientes administrativos en papel.
En este sentido, y aunque no exista una equivalencia necesaria entre los niveles de la norma DIN 32757 y los niveles de seguridad aplicables a los ficheros de datos personales, una práctica razonable podría ser optar por el nivel 4 (partículas de un máximo de 2x15 mm), o el nivel 5 (partículas de un máximo de 0,8x12 mm), para acreditar la destrucción segura de documentos que incluyan datos de carácter personal.
Finalmente, en caso que la destrucción de soportes y/o documentos sea efectuada por un proveedor externo, es recomendable obtener un certificado de destrucción segura y confidencial, que haga constar los procedimientos o mecanismos adoptados y el momento en que se efectuó la destrucción definitiva.
Conforme a lo expuesto, tanto durante recogida, como en el traslado y destrucción definitiva de los soportes y/o documentos que incorporan datos de carácter personal, es preciso actuar diligentemente y adoptar buenas prácticas que permitan salvaguardar la seguridad y confidencialidad de la información, a fin de acreditar un óptimo nivel de cumplimiento normativo, incluso en el último tramo de su ciclo de vida o tratamiento.
- Medidas Organizativas:
- (a) Autorización de salida de soportes para su destrucción (art. 92.2 RLOPD): previo a la destrucción de los soportes y/o documentos, es necesario verificar que la salida de los mismos se encuentra debidamente autorizada por el responsable en quien se hayan delegado dichas funciones, y que se ha dejado constancia de dichas salidas en el Documento de Seguridad de la entidad
- (b) Registro salida de soportes (art. 97.2 RLOPD): es necesario hacer constar en el registro de salida de soportes, los documentos o soportes automatizados que hayan sido trasladados fuera de las instalaciones para su correspondiente destrucción
- (c) Actualización del inventario (art. 92.1 RLOPD): cada vez que se haya procedido a la destrucción de un soporte o documentación que incluya datos de carácter personal, es necesario actualizar el inventario de soportes vigente en la Organización.
- Medidas Jurídicas:
- (a) Plazo aplicable a la destrucción de los soportes (art. 8.2 RLOPD): previo a la destrucción de la documentación y/o soportes, conviene verificar que la información incluida en los mismos ha cumplido el correspondiente plazo legal de conservación y, consecuentemente, puede ser destruida de forma definitiva
- (b) Regulación contractual (art. 12 LOPD y 83 RLOPD): en caso que la destrucción de soportes y/o documentos sea efectuada por terceras entidades, es preciso regular contractualmente dicha prestación de servicios (encargo de tratamiento, o prestación de servicios sin acceso a datos), especificando las medidas de seguridad e instrucciones aplicables durante el traslado y destrucción definitiva.
- Medidas técnicas:
- (a) Mecanismos de destrucción segura (art. 92.4 RLOPD): es necesario obtener garantías suficientes de que el mecanismo o procedimiento utilizado, no permitirá la recuperación futura de la información incluida en tales soportes/documentos
- (b) Acceso a la información incluida en los soportes (art. 92 del RLOPD): se deberán adoptar medidas dirigidas a evitar el acceso a la información contenida los soportes o documentos que van a ser destruidos, por lo tanto, en caso de utilizar contenedores especiales, éstos deberán disponer de mecanismos de cierre que garanticen su seguridad y eviten el acceso a la información contenida en los mismos
- (c)Traslado de soportes (art. 114 del RLOPD): siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. En este sentido, es conveniente que todas las operaciones de recogida, carga y descarga de los soportes y/documentos o sus contenedores, así como la conducción de los vehículos que los transportan, sean realizadas por personal debidamente autorizado y fácilmente identificable.
Procedimientos seguros de destrucción de soportes magnéticos. En el caso de soportes magnéticos, equipos antiguos u ordenadores personales que vayan a ser desechados, es necesario garantizar que la información incluida en los dispositivos de memoria, será suprimida de manera definitiva. A tal efecto, dentro de los procedimientos seguros comúnmente utilizados en el sector, cabe destacar los siguientes: - (i) Presión neumática: perforación física del disco, mediante presión
- (ii) Degaussing: borrado de la información mediante aplicación de campos electromagnéticos; (iii) DiskWiping: mecanismo de borrado físico de los datos empleando herramientas software adecuadas como: PGP Wipe, Eraser, SDelete.
Procedimientos seguros de destrucción de documentación en papel. La destrucción de los documentos en papel deberá ser inmediata e impedir la reconstrucción de la información incluida en los mismos. Al respecto, conviene tener en cuenta las recomendaciones emitidas por el Ministerio de Cultura, a partir de las cuales se recomienda aplicar la normativa europea DIN 32757 (que establece cinco niveles de seguridad, en atención a la información incluida en los documentos), para la destrucción de documentos o expedientes administrativos en papel.
En este sentido, y aunque no exista una equivalencia necesaria entre los niveles de la norma DIN 32757 y los niveles de seguridad aplicables a los ficheros de datos personales, una práctica razonable podría ser optar por el nivel 4 (partículas de un máximo de 2x15 mm), o el nivel 5 (partículas de un máximo de 0,8x12 mm), para acreditar la destrucción segura de documentos que incluyan datos de carácter personal.
Finalmente, en caso que la destrucción de soportes y/o documentos sea efectuada por un proveedor externo, es recomendable obtener un certificado de destrucción segura y confidencial, que haga constar los procedimientos o mecanismos adoptados y el momento en que se efectuó la destrucción definitiva.
Conforme a lo expuesto, tanto durante recogida, como en el traslado y destrucción definitiva de los soportes y/o documentos que incorporan datos de carácter personal, es preciso actuar diligentemente y adoptar buenas prácticas que permitan salvaguardar la seguridad y confidencialidad de la información, a fin de acreditar un óptimo nivel de cumplimiento normativo, incluso en el último tramo de su ciclo de vida o tratamiento.
No hay comentarios:
Publicar un comentario