No abandones documentos, te volverán como multa

En el procedimiento sancionador PS/00574/2014, instruido por la Agencia Española de Protección de Datos (AEPD) a una empresa de trabajo temporal.

Se trata de un nuevo caso de sanción provocada como consecuencia de la escasa diligencia mostrada en el cuidado y destrucción de documentación en papel con datos personales.

La denuncia fue presentada por UNITAT DEL COS NACIONAL DE POLICIA (CONSELLERIA DE GOVERNACIO I JUSTICIA) tras localizar durante una inspección en el interior de un vehículo gran cantidad de documentos con datos de personas físicas. Los ocupantes del vehículo manifestaron que dichos documentos fueron encontrados por ellos amontonados en la acera. Se comprobó por los agentes que los documentos tenían alguna vinculación con una ETT ya que aparecía esos datos en membretes de sobres, nominas o contratos laborales

Entre la documentación localizada figuran:

• Impresos de la Agencia Tributaria
• Certificados de IRPF
• Declaraciones laborales de renuncia a reconocimientos médicos
• Nominas
• Fotocopia de DNI, Permisos de residencia, Tarjetas SIP de la Conselleria de Sanidad
• Contratos de Trabajo
• Cartas de despido a trabajadores
• Resoluciones de alta en la TGSS
• Resoluciones de reconocimiento de bajas en el MTSS
• Cuestionarios de evaluación a distancia
• Fotocopia de cheque bancario

La documentación encontrada procedente de esa entidad entra en la consideración de documentación en soporte papel, contiene datos personales, debiéndosele aplicar las medidas de seguridad previstas reglamentariamente.

Ante estos hechos debe tenerse en cuenta lo establecido tanto en el artículo 106 del RD 1720/07 de desarrollo de la LOPD que establece:

Artículo 106. Criterios de archivo.
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Y el art 92.2, 3 y 4, (de aplicación a los ficheros no automatizados en virtud de lo establecido en el artículo 105), que disponen:

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.”

En conclusión, es de aplicación lo dispuesto en artículo 92.4 que regula las obligaciones que tendrán que aplicarse cuando vaya a desecharse cualquier documento o soporte que contenga datos personales. Estableciéndose, aunque no se definen en concreto las medidas, que serán aquellas que eviten el acceso a la información contenido en los mismos, así como su posible recuperación posterior. En este caso, la aparición de documentación con datos de carácter personal que aun cuando se encontraba en un solar urbano, al estar parte del vallado derribado era de fácil acceso por un tercero se puede deducir que el denunciado, como responsable de la debida custodia de dicha documentación, no se observó la diligencia adecuada, ya que tenía que haberse adoptado las medidas necesarias que imposibilitaran la recuperación posterior de la misma.

El hecho constatado en el presente procedimiento, relativo al abandono de documentación conteniendo datos de carácter personal en un solar y accesible a terceros supone una inobservancia del deber de adoptar las medidas de seguridad pertinentes por parte de la responsable de la misma.

Y como consecuencia el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad TEMPORIS LABORIS ETT, S.L., por una infracción del artículo 9 de la LOPD, tipificada como GRAVE en el artículo 44.3.h de dicha norma, una multa de 4.000 € (cuatro mil euros) de conformidad con lo establecido en el artículo 45.4 y 5 de la citada Ley Orgánica.