DESTRUCCIÓN DE DOCUMENTACIÓN

SONIA3   Artículo de Sonia GRACIA, Abogada

 

DESTRUCCIÓN DE DOCUMENTACIÓN COMO MEDIDA DE SEGURIDAD, según la LOPD y la norma DIN 66399

El principio de seguridad definido en la LOPD y en su reglamento de desarrollo (RLOPD), obliga a los responsables de ficheros a adoptar medidas que garanticen la seguridad de los datos de carácter personal, y eviten accesos no autorizados (art 9.1 LOPD) cuya infracción está tipificada como grave (art 44.3.h LOPD) lo que puede suponer una sanción para el responsable del fichero de hasta  300.000 €.

Este principio se debe aplicar a todas las actividades de un negocio y afecta directamente al modo en que se deben de tratar aquellos soportes – en papel – en los que consten datos de carácter personal, una vez ha concluido su finalidad de recogida y tratamiento. Se debe cumplir con el art. 92.4 del RLOPD que dispone que, siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal, deberá procederse a su destrucción o borrado mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Las consecuencias de errar en este procedimiento se traduce en sanciones para nuestro negocio, además del daño reputacional que conlleva, tal y como ocurrió en los siguientes casos sancionados por la Agencia Española de Protección de Datos:

En el primero de ellos (Resolución 01945/2014) se encontró un vehículo que contenía documentación de una empresa con fotocopias de DNIs y números bancarios, que -a su vez- el propietario del vehículo encontró en un contenedor; la empresa propietaria de la documentación incumplió las medidas de seguridad necesarias, para evitar que los datos de que dispone en formato papel, fuesen desechados correctamente, no dando lugar a su hallazgo por terceros, al haberlos depositado al alcance del público en una zona pública; fue sancionada con 6.000€.

Otro caso reciente (Resolución 02664/2013) es el de la entidad Banco Santander, que fue sancionada también con 6.000€ por depositar en un contenedor de la vía pública documentos con el nombre y apellidos, números de DNI, domicilios, teléfonos, saldos, recibos, vencimientos impagados, créditos hipotecarios, contratos de cuentas a plazo, órdenes de domiciliación de recibos, ingresos netos, datos patrimoniales y laborales, accionistas, fondos de inversión, entradas a dudoso, etc. de sus clientes.

Tal y como establece la última de las resoluciones comentadas, no basta entonces con la adopción de cualquier medida: éstas deben ser las necesarias para garantizar aquellos objetivos que marcan los preceptos mencionados.

Normalmente la destrucción de documentación en soporte papel se puede realizar de dos maneras que garantizan el cumplimiento de las obligaciones LOPD:

-utilizando destructoras de papel, ubicadas en las mismas instalaciones de la empresa, que garanticen que el documento en cuestión queda totalmente destruido e irrecuperable, o

-a través del servicio de empresas especializadas.

Debido a la aparición masiva de dichas empresas, éstas basan su competitividad únicamente en el criterio de precio, y no todas ofrecen garantías del cumplimiento de la LOPD. Por lo tanto, es necesario seguir los siguientes pasos:

1-Elegir diligentemente a la empresa que va a realizar el servicio, para que ofrezca las debidas garantías que cumplan con la LOPD.

  •  La destrucción documental estaba sujeta hasta ahora a la normativa DIN 32757, del Instituto Alemán para la Normalización (DIN) referente a la destrucción de documentos en papel; pero, recientemente, ha surgido otra normativa -la DIN 66399- para la destrucción de soportes con datos, debido a la evolución en los sistemas de registro de la información.
  •  La norma DIN 66399 establece tres posibles categorías de protección, el modo correcto de destrucción de otros soportes que no sean papel (USB, discos extraíbles), y siete niveles de seguridad para presentación de información en formato original. Estos niveles van desde hacer ilegible o invalidar documentos, a tomar medidas extraordinarias; la LOPD no indica el nivel de destrucción que debemos conseguir; por lo tanto, mientras los documentos se hagan ilegibles y se destruyan de forma que invaliden su uso o reconstrucción, es suficiente.
  •  Las tres posibles categorías de protección en las que se encuentran esos niveles se adoptan según el grado de necesidad de protección de los datos, teniendo en cuenta la LOPD en función de si los datos son de nivel básico, medio o alto:
  1. Clase de protección 1: garantiza la protección de datos personales y la no cesión de esos datos.
  2. Clase de protección 2: garantiza la protección de datos personales, la no cesión de esos datos, además de otras medidas extraordinarias.
  3. Clase de protección 3: protección con muy alta exigencia de datos muy confidenciales y secretos, accesibles a un círculo reducido de personas autorizadas, cuyos nombres se desconocen.

2-Formalizar un contrato en base a las especificaciones del art. 12 de la LOPD y 20 a 22 del RLOPD. De acuerdo con el Informe Jurídico 0227/2010 de la AEPD, este tipo de proveedor se considera encargado del tratamiento.

3-Exigir un certificado de destrucción una vez realizado el encargo.

 

 

MARCA TERRITORIO: REGISTRA TU “MARCA”

De acuerdo, eres el propietario del dominio de tu sitio web (…en el mejor de los casos).

Pero… ¿ TIENES REGISTRADA TU “MARCA” ?.

No nos referimos a tener registrada tu “denominación social”; hablamos de registrar tu “marca”: el nombre por el que se te conoce, por el que se te reconoce, por el que se te distingue… Aquello que te da “VALOR”.  Lo mismo que tener registrado tu logotipo (la imagen, su diseño, sus colores, el distintivo de la “marca”) aquella imagen por la que indefectiblemente se te reconoce, lo que te da “VALOR”. Seguro que ahora mismo te vienen a la mente multitud de marcas diferentes, reconocibles… únicas. MARCAS REGISTRADAS.

Es posible que, sí, en su momento hayas inscrito tu marca, pero con la denominación de tu razón social. Y no, no es lo mismo. La “marca” es la “marca”. No es lo mismo “El Labriego de Oro, S.L.” que la marca “El Labriego de Oro”, por ejemplo.

Quizás hayas olvidado registrar tu “marca”… y sea demasiado tarde cuando quieras hacerlo. Podemos ayudarte a regularizar la situación. Consúltanos.

REGISTRA TU “MARCA”, PROTEGE TU “MARCA”: ES TU VALOR.

 

RESUMEN NOTICIAS DICIEMBRE 2014

PROTECCIÓN DE DATOS PERSONALES

LA AUDIENCIA NACIONAL CONFIRMA MEDIANTE SENTENCIA LA MULTA A CARREFOUR-LUGO POR DESTRUIR HISTORIAS CLÍNICAS DEL PERSONAL. Carrefour-Lugo ha sido condenada a pagar 20.000 euros por destruir las historias clínicas de 22 de sus trabajadores que reclamaron esa documentación. La empresa incurrió en una infracción del artículo 4.5 de la Ley Orgánica de la Protección de Datos que obliga a conservar los datos personales hasta que éstos hayan dejado de ser necesarios para la finalidad con la que fueron recabados.La empresa manifestó que cuando acabó la prestación del servicio de atención médica al personal efectuado por una empresa, el archivo de las historias clínicas y el equipo informático quedaron custodiados por la jefa de recursos humanos a la que le entregaron las llaves del archivo y que posteriormente fueron eliminados. El fallo de la AN establece que las historias debieron conservarlas como mínimo cinco años, y recuerda que el servicio de salud laboral prestado a los trabajadores desde el año 1993 hasta el 2010 dio lugar a que se generase un expediente por cada trabajador que contenía copia de los actos médicos.

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) SANCIONA CON 50.000 EUROS A “EL COBRADOR DEL FRAC” Y A GESTIÓN Y RECUPERACIÓN M-1. Ya que El Cobrador del Frac colocó un papel en el portal del acreedor al que reclamaba la deuda, domiciliado en Valencia, en el que se desvelaba su situación de morosidad, cometiendo así   una infracción al artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), que garantiza la adopción de las medidas necesarias para salvaguardar los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

LA AEPD INICIA UN PROCEDIMIENTO CONTRA EL MINISTERIO DEL INTERIOR AL DETECTAR IRREGULARIDADES EN LAS CÁMARAS DE SEGURIDAD DE INSTITUCIONES PENITENCIARIAS. En concreto, el expediente analiza la presunta infracción del artículo 5 de la LOPD y de la Instrucción 1/2006 de la AEPD, que obliga a colocar, en la zonas video vigiladas, carteles informativos ubicados “en lugar suficientemente visible” y a tener a disposición de las personas que pudieran resultar grabadas impresos con la información relacionada con sus derechos en este sentido, cosa que no se produce en muchos centros penitenciarios, captando imágenes de forma irregular de trabajadores, presos y visitantes.

EL TRIBUNAL SUPREMO DA DERECHO A LOS PADRES DE UNA JOVEN FALLECIDA A ACCEDER A SU TELÉFONO MÓVIL para defender sus intereses y averiguar la identidad de uno de los traficantes de droga. Así lo recoge la sentencia en la que confirma las penas de cárcel que la Audiencia Provincial de Baleares impuso a siete acusados de inducir a varias menores de edad, una de ellas discapacitada psíquica, a prostituirse a cambio de dinero y drogas. La Sala de lo Penal considera una prueba lícita los mensajes SMS aportados por los padres de la joven y que fueron obtenidos de su teléfono una vez fallecida. Los magistrados asimilan las copias de estos mensajes con la correspondencia y entienden que su acceso no vulnera el derecho a la intimidad ni al secreto de las comunicaciones.

DELITOS INFORMÁTICOS

 LOS DELITOS INFORMÁTICOS MÁS COMUNES. “Algunos quieren engañarte, y no solo el Día de los Inocentes, #nopiques”. Bajo este lema, la Policía Nacional ha lanzado una campaña con la que pretende alertar a los ciudadanos de los fraudes más frecuentes que circulan por la red. El servicio de mensajería instantánea WhatsApp se posiciona como el soporte ideal para los “timos 2.0” para la distribución de malware cuyo fin es la obtención de beneficios mediante el engaño al usuario. Mensajes con las falsas promesas de espiar números ajenos o aplicaciones fraudulentas que aseguran, por ejemplo, eliminar el “doble check” azul (antes de que no fuera posible desde la aplicación oficial), son los ganchos más habituales, así como ofertas de empleo que “obligan” a pagar algún trámite o curso previo.

PREVENCIÓN DE BLANQUEO DE CAPITALES

 EL SEPBLAC RECIBE UN 75% MÁS DE COMUNICACIONES POR INDICIOS DE BLANQUEO DE CAPITALES. Las entidades de pago que operan en España comunicaron en 2013 un total de 755 comunicaciones por indicios de blanqueo al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC). Según la última memoria de la organización, esta cifra representa un aumento de casi el 75% con respecto a las 432 comunicaciones presentadas en el año 2012. Este crecimiento, explica la Sepblac, se debió a la “mayor sensibilización” de las principales entidades que integran el sector.