ES / CA

La LOPD
i la seva aplicació

La destrucció de documents,
un mecanisme de seguretat i de compliment de la Llei

Conceptes bàsics sobre protecció de dades (Nomenclatura de conceptes i / o paraules clau)

Dada personal: qualsevol informació, de qualsevol tipus (alfanumèrica, visual, acústica, ...), concernent a una persona física identificada o identificable, fins i tot de manera indirecta (nom i cognoms , adreça, matrícula de cotxe, adreça de correu electrònic, etc.)

Tractament: operacions i procediments tècnics automatitzats o no, que permetin recollir, gravar, conservar, elaborar, modificació, consulta, utilització, bloqueig, cancel·lació, supressió, cessions i transferències de dades personals (la Directiva 95/46 inclou la destrucció)

Fitxer: qualsevol conjunt organitzat de dades de caràcter personal, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés

Responsable del Fitxer o Tractament: Qui decideix sobre la finalitat, contingut i ús del tractament (persona física o jurídica, pública o privada)

Encarregat del tractament: Qui tracta les dades personals per compte del responsable

Comunicació de dades: qualsevol revelació de dades realitzada a una persona diferent de l'interessat (requereix consentiment previ, excepte Llei i altres excepcions). No es considera comunicació de dades quan l'accés a les dades sigui necessari per a la prestació d'un servei

Document: Tot escrit, gràfic, so, imatge o qualsevol altra classe d'informació com una unitat diferenciada.

Per l'obligació d'adoptar mesures que garanteixin el principi de seguretat de les dades i evitin el seu accés no autoritzat (art. 9.1 LOPD)

D'aquesta manera, estarem complint correctament amb la Llei Orgànica de Protecció de Dades, incrementant amb això la seguretat de la companyia, així com un millora de la seva imatge, la qual cosa genera una major confiança i seguretat.

Les dades de caràcter personal han de ser cancel·lades * quan hagin deixat de ser necessàries per a la finalitat per a la qual es van demanar (art. 4.5 LOPD) Finalitzat el termini les dades han de destruir-se.

* La cancel·lació és el cessament en l'ús de les dades pel responsable, implica el seu bloqueig pel temps de prescripció de les possibles responsabilitats nascudes del tractament. Transcorregut aquest termini es suprimiran (art. 5.1.b RLOPD)

Estan pensades per evitar l'accés a la informació, així com la seva possible recuperació posterior.

  • Quan s'acordi la supressió d'un fitxer públic de dades personals, s'establirà la seva destinació o, si escau, les previsions per a la seva destrucció (art. 54.3 RLOPD)
  • El document de seguretat ha de contenir les mesures que siguin necessàries adoptar per (...) la destrucció dels documents i suports (art. 88.3.c RLOPD)
  • En el trasllat de la documentació s’haurà d'adoptar les mesures dirigides a evitar la sostracció, pèrdua o accés indegut a la informació durant el seu transport (art. 92.3 RLOPD)
  • Sempre que es vagi a desfer un document o suport amb dades de caràcter personal haurà de destruir o esborrar mitjançant l' adopció de mesures que evitin l'accés a la informació o la seva recuperació posterior (art. 92.2 i 112.2 -aquest per a còpies desfetes- RLOPD)

Quan un responsable d'un fitxer contracti a un tercer la prestació del servei de destrucció de documentació que contingui dades de caràcter personal aquesta serà un Encarregat de tractament (informe 0227 / 2010de gabinet jdco. de laAGPD)

No obstant l'anterior, s'imposa reglamentàriament al responsable que contracti la prestació d'un servei una obligació de vigilància i poder de supervisió. Així “ha de vetllar perquè l'encarregat del tractament compleixi les garanties per al compliment ...” (art. 20.2 RDLOPD)

Necessitat d'inclusions en el contracte:

  • Únicament es tractaran les dades conforme a les instruccions del responsable
  • No s'utilitzaran amb finalitats diferents, ni es comunicaran a altres persones
  • Establir contractualment aquesta relació de manera expressa
  • Destrucció dels suports de dades, que és en el que consisteix la prestació del servei
  • Adopció de mesures de seguretat
  • Si l'encarregat del tractament destina les dades amb una altra finalitat, els comunica o els utilitza incomplint les estipulacions del contracte serà considerat responsable del tractament de respondre de les infraccions en què incorri

Mesures de seguretat i deure de secret

  • El responsable del fitxer i, si s'escau, l'encarregat del tractament han d'adoptar les mesures d'índole tècnica com organitzatives necessàries que garanteixin la seguretat de les dades i evitar la seva alteració, pèrdua, tractament o accés no autoritzat (art. 9 LOPD)
  • El responsable del fitxer i els que intervinguin en qualsevol fase del tractament estan obligats al secret professional, obligació que subsistirà després de finalitzar les seves relacions amb el titular del fitxer o, si escau, amb el responsable del mateix (art. 10 LOPD )

La seguretat del procediment de destrucció confidencial certificada de documents es basa en:

  • La confidencialitat de les dades.
  • mmediatesa en el procediment.
  • El Control i responsabilitat sobre els documents.
  • Auditoria i comprovació:
    Extern.
    Interna.
    Monitorització del client.
  • Certificació i informe del procés. La certificació no només de l'empresa que va a dur a terme la tasca, sinó també la del procés en si mateix

DIN-Deutsches Institut für Normung (Institut Alemany per a l'Estandardització)

  • DIN 32.757-1995 que va derivar en una nova DIN 66.399
  • Norma de fabricant, dividida en 3 apartats importants
  • 66399.1 - Classificació de Materials
  • 66399.2 - Especificacions Tècniques per a la Destrucció
  • 66399.3 - Procés de destrucció
  • En qualsevol cas és un estàndard de fabricant sense possibilitat de certificar al respecte

Reglament particular de la marca AENOR per a la DESTRUCCIÓ CONFIDENCIAL I SEGURA d'INFORMACIÓ RP B50.01 continguts d'Auditoria

  • Categories de Material de Caràcter Confidencial.
  • Dependències de la companyia, Instal·lacions, Seguretat.
  • Comprovacions de Seguretat del Personal
  • Aspectes bàsics del Contracte de prestació del servei.
  • Control de les operacions de Recollida, Emmagatzematge temporal, Transport i destrucció in situ.
  • Subcontractació.
  • Certificat de destrucció.
  • Eliminació del Producte Final.
  • Registres i Procediments de Gestió.
  • Formació adequada del personal sobre PD i seguretat
  • Comunicació auditable i clara sobre les responsabilitats del personal
  • Nomenament d'un DPO (intern o extern) i d'un interlocutor amb afectats
  • Establir contractualment mecanismes de supervisió, verificació i auditoria dels tractaments encarregats a tercers.
  • Establir mecanismes i procediments que garanteixin el control sobre les activitats dels subcontractistes elegits per l'encarregat
  • Seleccionar encarregats del tractament que proporcionin garanties suficients de compliment dels contractes i adopció de les mesures de seguretat estipulades a través, per ex., de l'adhesió a codis de conducta o certificació homologats i d'acreditació de solvència (ex: NORMA UNE EN 15713/2010, ISO 27001, ISO 9001, 14001, solvència econòmica i professional, assegurances específiques a l'activitat, ..).
DIN-Deutsches Institut für Normung (Institut Alemany per a l'Estandardització)

  • Elements de custòdia sense seguretat (Papereres, contenidors de cartró)
  • Tractament juntament amb altres tipus de residus, es tracta el paper com a residu NO com a document amb dades.
  • Transport i retirada de documents realitzada per empreses de missatgeria o transportistes.
  • No adopció de mesures de seguretat per evitar els accessos tant a la custòdia, transport i destrucció.
  • Confusió de conceptes de destrucció vs reciclatge.
  • Errors en les descripcions de procediments de contractació per a l'execució dels serveis, tant en administracions públiques com empreses privada. (per exemple: Neteges d'oficines, Reciclatges, Mudances, Transport, etc.)
  • Omissió del deure de vetllar perquè es compleixin les mesures de seguretat (art. 20.2 RDLOPD)
  • Inexistència del contracte o sense les garanties de l'art. 12 LOPD</span>
  • Contractació d'empreses no especialitzades, fins i tot no adaptades a la LOPD, sense mesures de seguretat, mers transportistes amb l'objectiu d'aconseguir un retorn de la valorització de la compravenda del paper.
  • Gestió deficient de subcontractacions.
  • Vaga referència en els plecs al “compliment de la normativa en matèria de protecció de dades”.
  • Certificat de Destrucció: No es contempla en la normativa. No eximeix de responsabilitat ni substitueix l'obligació de vetllar pel compliment de l'art 20.2 RDLOPD.

Sectors en els quals treballem

Avui totes les empreses públiques o privades han de destruir de forma segura i confidencial la documentació.
eco-Shredder té experiència en la destrucció de documents a domicili, en molts sectors professionals, tant públics com a privats..

Administración pública

Administració pública

Clínicas y hospitales

Clíniques i hospitals

Hoteles y parques temáticos

Hostals i parcs temàtics

Compañías aseguradoras

Companyies asseguradores

Bancos y entidades financieras

Bancs i entitats financeres

Sector industrial

Sector industrial

Pymes

Pimes

Avís de cookies. Per poder millorar els nostres serveis, utilitzem cookies de tercers. Si contínua navegant considerem que accepta la seva utilització. Més informació aqui