ES / CA

La LOPD
y su aplicación

La destrucción de documentos,
un mecanismo de seguridad y de cumplimiento de la Ley

Conceptos básicos sobre protección de datos (Nomenclatura de conceptos y/o palabras clave)

Nomenclatura de conceptos y/o palabras clave)

Dato personal: cualquier información, de cualquier tipo (alfanumérica, visual, acústica,...), concerniente a una persona física identificada o identificable, incluso de manera indirecta (nombre y apellidos, dirección, matrícula de coche, dirección email, etc.)

Tratamiento: operaciones y procedimientos técnicos automatizados o no, que permitan recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, cancelación, supresión, cesiones y transferencias de datos personales (la Directiva 95/46 incluye la destrucción)

Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso

Responsable Del Fichero O Tratamiento: Quien decide sobre la finalidad, contenido y uso del tratamiento (persona física o jurídica, pública o privada)

Encargado Del Tratamiento: Quien trata los datos personales por cuenta del responsable

Comunicación De Datos: Toda revelación de datos realizada a una persona distinta del interesado (requiere consentimiento previo, salvo Ley y excepciones). No se considera comunicación de datos cuando el acceso a los datos sea necesario para la prestación de un servicio

Documento: Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información como una unidad diferenciada.

Por la obligación de adoptar medidas que garanticen el principio de seguridad de los datos y eviten su acceso no autorizado (art. 9.1 LOPD)

De esta forma, estaremos cumpliendo correctamente con la Ley Orgánica de Protección de Datos, incrementando con ello la seguridad de la compañía, así como un mejora de su imagen, lo cual genera una mayor confianza y seguridad.

Los datos de carácter personal serán cancelados* cuando hayan dejado de ser necesarios para la finalidad para la que se recabaron (art. 4.5 LOPD) Finalizado dicho plazo los datos deberán destruirse.

*La cancelación es el cese en el uso de los datos por el responsable, implica su bloqueo por el tiempo de prescripción de las posibles responsabilidades nacidas del tratamiento. Transcurrido este plazo se suprimirán (art. 5.1.b RLOPD)

Están pensadas para evitar el acceso a la información, así como su posible recuperación posterior.

  • Cuando se acuerde la supresión de un fichero público de datos personales, se establecerá su destino o, en su caso, las previsiones para su destrucción (art. 54.3 RLOPD)
  • El documento de seguridad deberá contener las medidas que sean necesarias adoptar para (...) la destrucción de los documentos y soportes (art. 88.3.c RLOPD)
  • En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte (art. 92.3 RLOPD)
  • Siempre que se vaya a desechar un documento o soporte con datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas que eviten el acceso a la información o su recuperación posterior (art. 92.2 y 112.2 –éste para copias desechadas- RLOPD)

Cuando un responsable de un fichero contrate a un tercero la prestación del servicio de destrucción de documentación que contenga datos de carácter personal esta será un Encargado de tratamiento (informe 0227/2010del gabinete jdco. De laAGPD)

No obstante lo anterior, se impone reglamentariamente al responsable que contrate la prestación de un servicio una obligación de vigilancia y poder de supervisión. Así “deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento…” (art. 20.2 RDLOPD)

Necesidad de inclusiones en el contrato:

  • Únicamente se tratarán los datos conforme a las instrucciones del responsable
  • No se utilizarán con fines distintos, ni se comunicarán a otras personas
  • Establecer contractualmente dicha relación de manera expresa
  • Destrucción de los soportes de datos, que es en lo que consiste la prestación del servicio
  • Adopción de medidas de seguridad
  • Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato será considerado responsable del tratamiento respondiendo de las infracciones en que incurra

Medidas de seguridad y deber de secreto

  • El responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica como organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado (art. 9 LOPD)
  • El responsable del fichero y quienes intervengan en cualquier fase del tratamiento están obligados al secreto profesional, obligación que subsistirá después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo (art. 10 LOPD)

La seguridad del procedimiento de destrucción confidencial certificada de documentos se basa en:

  • La confidencialidad de los datos.
  • Inmediatez en el procedimiento.
  • El Control y responsabilidad sobre los documentos.
  • Auditoría y comprobación:
    Externa.
    Interna.
    Monitorización del cliente.
  • Certificación e informe del proceso. La certificación no sólo de la empresa que va a llevar a cabo la tarea, sino también la del proceso en sí mismo

DIN- Deutsches Institut für Normung (Instituto Alemán para la Estandarización)

  • DIN 32757-1995 que derivó en una nueva DIN 66399
  • Norma de fabricante, dividida en 3 apartados importantes
  • 66399.1 – Clasificación de Materiales
  • 66399.2 – Especificaciones Técnicas para la Destrucción
  • 66399.3 – Proceso de destrucción
  • En cualquier caso es un estándar de fabricante sin posibilidad de certificarse al respecto

Reglamento particular de la marca AENOR para la DESTRUCCION CONFIDENCIAL Y SEGURA DE INFORMACIÓN RP B50.01 Contenido de Auditoria

  • Categorías de Material de Carácter Confidencial.
  • Dependencias de la Compañía, Instalaciones, Seguridad.
  • Comprobaciones de Seguridad del Personal.
  • Aspectos básicos del Contrato de prestación del servicio.
  • Control de las operaciones de Recogida, Almacenamiento Temporal, Transporte y destrucción insitu.
  • Subcontratación.
  • Certificado de destrucción.
  • Eliminación del Producto Final.
  • Registros y Procedimientos de Gestión.
  • Formación adecuada del personal sobre P.D. y seguridad
  • Comunicación auditable y clara sobre las responsabilidades del personal
  • Nombramiento de un DPO (interno o externo) y de un interlocutor con afectados
  • Establecer contractualmente mecanismos de supervisión, verificación y auditoria de los tratamientos encargados a terceros.
  • Establecer mecanismos y procedimientos que garanticen el control sobre las actividades de los subcontratistas elegidos por el encargado
  • Seleccionar encargados del tratamiento que proporcionen garantías suficientes de cumplimiento de los contratos y adopción de las medidas de seguridad estipuladas a través, por ej., de la adhesión a códigos de conducta o certificación homologados y de acreditación de solvencia (ej: NORMA UNE EN 15713/2010, ISO 27001, ISO 9001, 14001, solvencia económica y profesional, seguros específicos a la actividad, ..).

DIN- Deutsches Institut für Normung (Instituto Alemán para la Estandarización)

  • Elementos de custodia sin seguridad (Papeleras, contenedores de cartón)
  • Tratamiento junto con otros tipos de residuos, se trata el papel como residuo NO como documento con datos.
  • Transporte y retirada de documentos realizada por empresas de mensajería o transportistas.
  • No adopción de medidas de seguridad para evitar los accesos tanto en la custodia, transporte y destrucción.
  • Confusión de conceptos de destrucción vs reciclaje.
  • Errores en las descripciones de procedimientos de contratación para la ejecución de los servicios, tanto en administraciones publicas como empresas privada. (por ejemplo: Limpiezas de oficinas, Reciclajes, Mudanzas, Transporte, etc.)
  • Omisión del deber de velar porque se cumplan las medidas de seguridad (art. 20.2 RDLOPD)
  • Inexistencia del contrato o sin las garantías del art. 12 LOPD</span>
  • Contratación de empresas no especializadas, incluso no adaptadas a la LOPD, sin medidas de seguridad, meros transportistas con el objetivo de conseguir un retorno de la valorización de la compraventa del papel.
  • Gestión deficiente de subcontrataciones.
  • Vaga referencia en los pliegos al “cumplimiento de la normativa en materia de protección de datos”
  • Certificado de Destrucción: No se contempla en la normativa. No exime de responsabilidad ni sustituye a la obligación de velar por el cumplimiento del art 20.2 RDLOPD.

Sectores en los que trabajamos

Hoy todas las empresas públicas o privadas tienen que destruir de forma segura y confidencial la documentación.
eco-Shredder tiene experiencia en la destrucción de documentos a domicilio, en muchos sectores profesionales, tanto públicos como privados.

Administración pública

Administración pública

Clínicas y hospitales

Clínicas y hospitales

Hoteles y parques temáticos

Hostales y parques temáticos

Compañías aseguradoras

Compañías aseguradoras

Bancos y entidades financieras

Bancos y entidades financieras

Sector industrial

Sector industrial

Pymes

Pymes

Aviso cookies. Para poder mejorar nuestros servicios, utilizamos cookies de terceros. Si continua navegando consideremos que accepta su utilización. Más información aqui