ARTÍCULO: DESTRUCCIÓN DE DOCUMENTACIÓN COMO MEDIDA DE SEGURIDAD, según la LOPD y la norma DIN 66399. (Sonia Gracia, Abogada).
El principio de seguridad definido en la LOPD y en su reglamento de desarrollo (RLOPD), obliga a los responsables de ficheros a adoptar medidas que garanticen la seguridad de los datos de carácter personal, y eviten accesos no autorizados (art 9.1 LOPD) cuya infracción está tipificada como grave (art 44.3.h LOPD) lo que puede suponer una sanción para el responsable del fichero de hasta 300.000 €.
Este principio se debe aplicar a todas las actividades de un negocio y afecta directamente al modo en que se deben de tratar aquellos soportes – en papel – en los que consten datos de carácter personal, una vez ha concluido su finalidad de recogida y tratamiento. Se debe cumplir con el art. 92.4 del RLOPD que dispone que, siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal, deberá procederse a su destrucción o borrado mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Las consecuencias de errar en este procedimiento se traduce en sanciones para nuestro negocio, además del daño reputacional que conlleva, tal y como ocurrió en los siguientes casos sancionados por la Agencia Española de Protección de Datos:
En el primero de ellos (Resolución 01945/2014) se encontró un vehículo que contenía documentación de una empresa con fotocopias de DNIs y números bancarios, que -a su vez- el propietario del vehículo encontró en un contenedor; la empresa propietaria de la documentación incumplió las medidas de seguridad necesarias, para evitar que los datos de que dispone en formato papel, fuesen desechados correctamente, no dando lugar a su hallazgo por terceros, al haberlos depositado al alcance del público en una zona pública; fue sancionada con 6.000€.
Otro caso reciente (Resolución 02664/2013) es el de la entidad Banco Santander, que fue sancionada también con 6.000€ por depositar en un contenedor de la vía pública documentos con el nombre y apellidos, números de DNI, domicilios, teléfonos, saldos, recibos, vencimientos impagados, créditos hipotecarios, contratos de cuentas a plazo, órdenes de domiciliación de recibos, ingresos netos, datos patrimoniales y laborales, accionistas, fondos de inversión, entradas a dudoso, etc. de sus clientes.
Tal y como establece la última de las resoluciones comentadas, no basta entonces con la adopción de cualquier medida: éstas deben ser las necesarias para garantizar aquellos objetivos que marcan los preceptos mencionados.
Normalmente la destrucción de documentación en soporte papel se puede realizar de dos maneras que garantizan el cumplimiento de las obligaciones LOPD:
-utilizando destructoras de papel, ubicadas en las mismas instalaciones de la empresa, que garanticen que el documento en cuestión queda totalmente destruido e irrecuperable, o
-a través del servicio de empresas especializadas.
Debido a la aparición masiva de dichas empresas, éstas basan su competitividad únicamente en el criterio de precio, y no todas ofrecen garantías del cumplimiento de la LOPD. Por lo tanto, es necesario seguir los siguientes pasos:
1-Elegir diligentemente a la empresa que va a realizar el servicio, para que ofrezca las debidas garantías que cumplan con la LOPD.
La destrucción documental estaba sujeta hasta ahora a la normativa DIN 32757, del Instituto Alemán para la Normalización (DIN) referente a la destrucción de documentos en papel; pero, recientemente, ha surgido otra normativa -la DIN 66399- para la destrucción de soportes con datos, debido a la evolución en los sistemas de registro de la información.
La norma DIN 66399 establece tres posibles categorías de protección, el modo correcto de destrucción de otros soportes que no sean papel (USB, discos extraíbles), y siete niveles de seguridad para presentación de información en formato original. Estos niveles van desde hacer ilegible o invalidar documentos, a tomar medidas extraordinarias; la LOPD no indica el nivel de destrucción que debemos conseguir; por lo tanto, mientras los documentos se hagan ilegibles y se destruyan de forma que invaliden su uso o reconstrucción, es suficiente.
Las tres posibles categorías de protección en las que se encuentran esos niveles se adoptan según el grado de necesidad de protección de los datos, teniendo en cuenta la LOPD en función de si los datos son de nivel básico, medio o alto:
Clase de protección 1: garantiza la protección de datos personales y la no cesión de esos datos.
Clase de protección 2: garantiza la protección de datos personales, la no cesión de esos datos, además de otras medidas extraordinarias.
Clase de protección 3: protección con muy alta exigencia de datos muy confidenciales y secretos, accesibles a un círculo reducido de personas autorizadas, cuyos nombres se desconocen.
2-Formalizar un contrato en base a las especificaciones del art. 12 de la LOPD y 20 a 22 del RLOPD. De acuerdo con el Informe Jurídico 0227/2010 de la AEPD, este tipo de proveedor se considera encargado del tratamiento.
3-Exigir un certificado de destrucción una vez realizado el encargo.
PROTECCIÓN DE DATOS PERSONALES
DENUNCIA ANTE LA AEPD TRAS ENCONTRAR CIENTOS DE DOCUMENTOS CON DATOS PERSONALES EN UN CONTENEDOR. El pasado 17 de enero se encontraron cientos de documentos oficiales en un contenedor cercano al Ayuntamiento de San Andrés del Rabanedo (León). Ante la falta de información de un hecho tan grave, Ciudadanos ha presentado una denuncia a la AEPD para que -si lo estima oportuno- abra una investigación y aclare cómo llegaron esos documentos oficiales con datos personales a un contenedor y porqué no se ha seguido el protocolo de destrucción de los documentos oficiales de las administraciones públicas. Para más información puede acudir a nuestro artículo analizando los puntos más importantes de la destrucción de documentación al inicio de estas noticias.
ESPAÑA CREARÁ UN FICHERO DE VIAJEROS DE AVIÓN PARA DETECTAR A YIHADISTAS, QUE LA AEPD CONSIDERA DESPROPORCIONADO. El director de la AEPD, José Luis Rodríguez, ha asegurado que la creación de un fichero de viajeros (llamado Passenger Name Record – PNR) tras los ataques yihadistas sucedidos en Francia, suscita muchas dudas sobre su eficacia para este tipo de terrorismo y comporta una desproporcionada injerencia en la vida privada de todos los viajeros. Para la AEPD, al recopilar todos los datos de la reserva del viaje se puede conocer el teléfono, el correo electrónico, el domicilio, el número de la tarjeta de crédito o la identidad de los acompañantes en el viaje; éste es un hecho desproporcionado, que no tiene porqué ser efectivo para la lucha antiterrorista.
LA AUDIENCIA NACIONAL APLICA LA DOCTRINA EUROPEA SOBRE EL DERECHO AL OLVIDO. La Sección Primera de la Sala Contencioso-Administrativa ha dictado 18 sentencias, en 14 de las cuales desestima los recursos de Google, reconociendo el derecho de los particulares. La cancelación de datos, según la Audiencia Nacional, estará justificada cuando las circunstancias de cada caso concreto así lo determinen, ya sea por la naturaleza de la información, su carácter sensible para la vida privada del afectado, por la no necesidad de los datos en relación con los fines para los que se recogieron o por el tiempo transcurrido, entre otras razones.
COMERCIO ELECTRÓNICO
EL IVA APLICADO A LAS VENTAS ON-LINE SERÁ EL DEL PAÍS DEL COMPRADOR. Con el cambio de año, según Directiva europea, el IVA que se aplique a las compras de productos por comercio electrónico será el del país de origen del comprador. Es decir, los compradores españoles pagarán un IVA del 21% (o el que corresponda en cada caso al artículo adquirido) en sus adquisiciones, con independencia de cuál sea el lugar en el que reside la empresa vendedora, como sucedía hasta ahora. Dicha Directiva, a la que se denomina de forma informal “Tasa Amazon” (porque el gigante del comercio electrónico será uno de los más afectados), encarecerá especialmente los libros digitales, aunque afecta también a aplicaciones para móviles, contenidos DLC, juegos digitales, música o servicios de alojamiento web, entre otros bienes digitales.
DELITOS INFORMÁTICOS
LOS DELITOS MÁS COMUNES EN ESPAÑA son el fraude y las amenazas, aunque según advierte una de las responsables de la unidad de fraudes informáticos de la Policía Nacional, a través de Internet se puede cometer casi cualquier crimen que antes se debía producir físicamente. El año pasado se registraron más de 42.000 delitos informáticos y más de la mitad fueron fraudes o estafas. No existe un perfil concreto de víctima, dado que los delincuentes buscan robar al mayor número de personas.
PREVENCIÓN DE BLANQUEO DE CAPITALES
GRAN OPERACIÓN POLICIAL CONTRA EL BLANQUEO DE CAPITALES EN ESPAÑA Y FRANCIA. Un total de 35 personas han sido detenidas en Cataluña y Andalucía, acusadas de blanquear en España dinero obtenido por la venta de vehículos de alta gama en Francia e Italia. Esta red habría defraudado unos 20 millones de euros por el impago de IVA en la compraventa de estos vehículos, según fuentes de la investigación, que han explicado que el grupo los compraba en Alemania, Eslovenia, Rumanía y Bulgaria, y los vendía después en Francia e Italia sin pagar el IVA correspondiente, en lo que los especialistas denominan un “fraude carrusel“, con la utilización de un entramado de empresas.