Medidas seguridad para documentación en papel

El Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal (LOPD), incluye medidas de seguridad de tratamientos no automatizados.

En este reglamento se hace alusión a los papeles que contenga datos de carácter personal. En el Capítulo 4 del Reglamento, titulado Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados, se especifican las obligaciones del responsable del fichero.

Se distinguen, para las medidas de seguridad a implantar al papel, tres niveles de seguridad: básico, medio y alto, en función de qué tipo de datos personales se traten. Estas medidas son en algunos casos similares a las de ficheros automatizados, como ocurre con las funciones y obligaciones del personal, el registro de incidencias, control de acceso, administración de soportes, y para el nivel medio y alto, el encargado de seguridad y la auditoría. En otros casos son específicas del tratamiento documental.

Datos de nivel bajo

Para el nivel bajo (datos básicos de facturación y contacto) encontramos tres artículos relevantes:

Artículo 106 Criterios de archivo

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Artículo 107 Dispositivos de almacenamiento

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Artículo 108 Custodia de los soportes

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

Datos de nivel medio

En lo que se refiere a nivel medio (datos financieros, penales, perfiles de personalidad, etc…), se aplican dos artículos relevantes:

Artículo 109 Responsable de seguridad

Se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 95 de este reglamento.

Artículo 110 Auditoría

Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Datos de nivel alto

Respecto a datos obligados a las máximas condiciones de seguridad y privacidad (datos de salud, ideología, religión, orientación sexual, etc…) encontramos:

Artículo 111 Almacenamiento de la información

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

Artículo 112 Copia o reproducción

1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.

2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

Artículo 113 Acceso a la documentación

1. El acceso a la documentación se limitará exclusivamente al personal autorizado.

2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Artículo 114 Traslado de documentación

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

¿Qué se debe destruir y quién es el responsable?

Muchos responsables de empresas ignoran qué información tiene relevancia y debe ser destruida para cumplir la actual legislación en materia de privacidad de las personas.

Aunque cada empresa debe ser sometida a un proceso de estudio individual en función de sus circunstancias y necesidades, podemos indicar que la documentación que habitualmente requiere mayor cuidado es la siguiente: listados de clientes del servicio, ofertas/concursos, listados de inventarios, facturas incorrectas, presupuestos, información contable, números de cuenta, informaciones de crédito, declaraciones, impuestos, informes médicos, nóminas, copias de D.N.I., historiales de personal, historiales médicos, tarifas, informes de I+D, planes de marketing, talones anulados, tarjetas de crédito, contratos, registros de seguridad, peticiones de empleo y firmas.

El reglamento ya citado responsabiliza de la destrucción al representante de la compañía que haya generado el archivo, aunque puede delegarlo en el responsable de tratamiento (empresa de destrucción de documentos homologada).

Entre los fallos más frecuentes en el momento de enfrentarse al desecho de la información confidencial encontramos el tirar o bien reciclar el papel sin destruir (sin saber dónde y en manos de quién terminará), confiar en el servicio de limpieza (que lo va a tirar sin más ni más a cualquier contenedor, sin confidencialidad y sin reciclarlo) o bien encargar a alguien de la compañía sin conocimientos específicos en la materia que lo destruya.

Cualquiera de estas opciones supone poner en riesgo la privacidad de su contactos y jugar con el fuego además de una posible sanción de la Agencia de Protección de Datos.

No se la juegue y confíe en una empresa de la garantía y solvencia de ByeFile.