La destrucción de la información confidencial

1.- Normativa aplicable

•  Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (LOPD).

•  Real Decreto 994/99, de 11 de Junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

2.- Introducción

Actualmente nos encontramos ante una situación peculiar por lo que a esta materia se refiere. La Ley Orgánica tiene por objeto los tratamientos automatizados y no automatizados de datos de carácter personal, pero tan sólo existe desarrollo reglamentario de medidas de seguridad para los ficheros automatizados de datos, existiendo a fecha de hoy, un vacío legal por lo que se refiere a la protección de los ficheros manuales o no automatizados en soporte papel que contengan datos de carácter personal.

La Agencia Española de Protección de Datos tiene elaborado un borrador de Reglamento de desarrollo de la LOPD que prevé un amplio abanico de medidas de seguridad para aquellos ficheros que contengan datos personales y no se encuentren automatizados. Asímismo, el Ministerio de Justicia está preparando el nuevo reglamento de seguridad de la LOPD que tiene previsto su entrada en vigor a lo largo de este año.

Ante esta realidad, la Agencia entiende, que en la medida que sea posible, deberá aplicarse analógicamente lo previsto para los ficheros automatizados. Y que la lógica va marcando una serie de pautas que deberían seguirse en el seno de cada empresa.

3.- Destrucción de la documentación

De acuerdo con lo previsto en el artículo 4 de la Ley Orgánica de Protección de Datos de carácter personal: "Los datos(personales) ... no serán conservados en forma que permitan la identificación del usuario durante un período superior al necesario para los fines sobre la base de los cuales hubieran sido recabados o registrados". Ello quiere decir, que en el momento que los datos de carácter personal hayan dejado de ser necesarios para la finalidad para la cual habían sido recabados, éstos deberán ser cancelados y destruidos, de tal manera que sea imposible la identificación de la persona cuyos datos se estaban utilizando.

Es de extrema relevancia, que las empresas asuman la importancia práctica de preservar la integridad y confidencialidad de los datos personales que se contengan en los documentos de soporte papel, desde que se tiene conocimiento de los mismos, hasta que ya no son necesarios seguir conservándolos.

Las empresas deberían tener documentado el procedimiento de generación, uso y destrucción de los documentos concernientes a personas físicas así como las medidas que deberían adoptarse para garantizar la integridad, confidencialidad, disponibilidad, archivo, gestión y condiciones de acceso a la información de que se dispone.

Sí la destrucción de los documentos que ya no son necesarios no se lleva a cabo de una forma idónea, podríamos encontrarnos ante el incumplimiento de lo previsto en el Artículo 9 de la LOPD, relativo al principio de seguridad de los datos.

La Agencia Española de Protección de Datos realiza la siguiente interpretación de dicho artículo: "El artículo 9 de la LOPD establece el principio de seguridad de los datos imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el acceso no autorizado ".

Así mismo, la LOPD establece que los directivos de compañías y los propietarios de empresas pueden ser procesados sí la información personal o confidencial de que disponen no está bien gestionada.

Las indemnizaciones previstas pueden llegar hasta los 600.000,00 euros según se impute una infracción muy grave, grave o leve. La cuantía se determinará en función de los derechos personales afectados, del volumen de los tratamientos afectados, de los beneficios obtenidos, del grado de intencionalidad, de la reincidencia, de los daños y perjuicios ocasionados y cualquier otra circunstancia relevante.

El reciente estudio realizado por Landwell-PWC ("Tratamiento de datos personales e información confidencial en soporte papel en la empresa española") pone de manifiesto que los departamentos empresariales que mayoritariamente poseen un protocolo de actuación para la destrucción de documentos confidenciales en papel son la Dirección General, el departamento de Recursos Humanos y los de Asesoría Jurídica. Mientras que los departamentos que llevan el tema del comercio, compras y marketing, la existencia de este tipo de protocolos es prácticamente inexistente. Por lo que se refiere a los sectores, los que ofrecen mayor seguridad en el tratamiento y la destrucción del papel son el farmacéutico, el financiero, el de salud y el de telecomunicaciones.