Destrucción de documentación y protección de datos personales.

Transcripción

1 Destrucción de documentación y protección de datos personales.

2 Barcelona, a 9 de marzo de 2012 Ponente: Jordi Saldaña. j.saldana@rocajunyent.com

3 Índice 1. Conceptos. 2. Régimen legal de protección de datos. 3. Destrucción interna. 4. Destrucción externa. 5. Conclusiones.

4 1. Conceptos. Concepto de destrucción: acción de destruir. Concepto de documentación: documento como soporte opuesto al formato digital. Concepto de datos personales: cualquier información relativa a una persona identificada e identificable (artículo 3 de la Ley 15/1999 de 13 de diciembre de protección de datos de carácter personal: LOPD).

5 2. Régimen legal de protección de datos y destrucción de documentación. Qué datos se han de destruir y cancelación de datos, artículo 22 del Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el desarrollo de la LOPD (RLOPD): no procederá la destrucción de los datos si existe una previsión legal que exija su conservación. Artículo 88.3.g del RLOPD: se deberán incluir en el documento de seguridad las medidas que sean necesarias adoptar para el transporte de soportes y documentos así como para la destrucción de los documentos y soportes, o la reutilización de estos últimos. Artículo 92.4 del RLOPD: siempre que alguien se quiera deshacer de cualquier documento o soporte que contenga datos personales deberá proceder a su destrucción o borrarlo, aplicando medidas dirigidas a evitar el acceso a la información que contengan o su recuperación posterior.

6 Artículo 112 del RLOPD, nivel alto no automatizado: se deberá proceder a la destrucción de las copias o reproducciones rechazadas de forma que se evite el acceso a la información que había contenida o su recuperación posterior. Conclusiones principales del régimen legal: 1.La destrucción ha de ser segura independientemente de la tipología de los datos y si estos son o no 2.No se recoge legalmente la obligatoriedad de la utilización de ningún sistema concreto de destrucción como las máquinas trituradoras. No obstante, el hecho que no sea obligatorio tenerlo no quiere decir que no sea más que aconsejable el hecho de poseerlas. La normativa de seguridad de protección de datos tampoco obliga a tener antivirus.

7 4. Destrucción interna. Las principales recomendaciones son las siguientes: - Realizar una metodología interna sobre destrucción de documentación por ejemplo: Cualquier documentación es confidencial y sujeta a deber de secreto. La documentación en soporte papel que no sea necesaria tendrá que ser destruida de forma segura para cada usuario en las trituradoras de papel existentes. La destrucción tendrá que ser realizada de forma que sea imposible el conocimiento de la información que contenía el documento. Queda prohibido tirar a les papeleras personales de cada usuario, o a cualquier otra que pueda existir cualquier documento en soporte papel. Todos los documentos tendrán que ser destruidos según lo especificado. - Informar debidamente a todos los usuarios de la metodología.

8 4. Destrucción externa. Prestaciones de servicios con acceso a datos de carácter personal: - Requieren que en el contrato conste lo establecido en el artículo 12 de la LOPD: (i) instrucciones; (ii) no utilizar les datos con otra finalidad; (iii) que se aplicarán medidas de seguridad necesarias; (iv) no comunicar los datos ni siquiera para su conservación; (v) al final del servicio se tendrán que destruir los datos (no devolver ya que el objeto del contrato es la destrucción). - Recomendaciones: incluir en el contrato el deber de secreto indefinido y que para cada destrucción se haga un certificado de destrucción. - Comprobar si la empresa destructora cumple la normativa de protección de datos: diligencia formal previa (artículo 20.2 del RLOPD).

9 Prestaciones de servicios sin acceso a datos personales (artículo 83 del RLOPD): -Incluir en el contrato la obligación de secreto y que el personal del prestador de servicios tiene prohibido el acceso a - Comprobar que cumpla la normativa de protección de datos. Conclusiones: -Si el servicio de destrucción es externo tendrá siempre que existir un contrato por escrito que recoja como mínimo lo establecido en el artículo 12 de la LOPD y la obligación de secreto. - Si se tiene la certeza absoluta que la documentación no tendrá datos personales entonces sólo incluir en el contrato lo establecido en el 83 del RLOPD. - Comprobar que la empresa de destrucción cumple con la LOPD.

10 5. Conclusiones. 1. La destrucción tiene que ser segura independientemente de la tipología de los datos, si estos son o no datos personales y de la forma de destrucción, que no es obligatorio que sea con trituradoras aunque es muy recomendable. 2. Destrucción interna: realizar una metodología interna sobre destrucción de documentación e informar debidamente a todos los usuarios. 3. Destrucción externa: (i) comprobar que la empresa cumple con la normativa de protección de datos; (ii) tener un contrato con el contenido del artículo12 de la LOPD más el deber de secreto (iii) en caso de estar seguros que los documentos a destruir no contienen datos personales incluir sólo lo exigido por el artículo 83 del RLOPD.

11 Jordi Saldaña. Abogado. ROCA JUNYENT Calle Aribau, nº 198. Cp 08036, Barcelona. Teléfono:

12 Gracias