Publicado el: 19/02/2014 / Leido: 11231 veces / Comentarios: 0 / Archivos Adjuntos: 0
El principio de seguridad definido en la LOPD y en su reglamento RLOPD obliga a los responsables de ficheros a adoptar medidas que garanticen la seguridad de los datos y eviten accesos no autorizados (art 9.1 LOPD), cuya infracción está tipificada como grave (art 44.3.h LOPD) y por tanto sancionable con hasta 300.000 €. a responsables de ficheros privados y una vergonzante publicidad a los responsables de ficheros públicos.
Las referencias legales al soporte en papel nos obligan a destruirlo una vez concluida la finalidad de su recogida y tratamiento, tras los correspondientes plazos de conservación y esto se debe hacer de manera que la información y los datos sean irrecuperables. En caso de realizarlo a través de un encargado del tratamiento (terceros) dicho proveedor debe reunir las garantías suficientes. No solo se trata de destruir, sino de depositar, custodiar o almacenar adecuadamente la documentación, trasportarla con seguridad y ya finalmente proceder a su destrucción de manera adecuada y documentada, es decir necesitamos controlar la trazabilidad de todo el proceso.
Las consecuencias de errar en este procedimiento ya las conocemos, no son solo las posibles sanciones sino el daño a la imagen corporativa y el desprestigio, ya que son situaciones muy deseables en la prensa por su alcance entre el público.
El efecto de la crisis ha provocado la proliferación de empresas prestadoras de estos servicios que lejos de dar un servicio de calidad, comprometen a las organizaciones por el desajuste entre su procedimiento de destrucción y las obligaciones legales. Basan su competitividad únicamente en el criterio de precio, saltándose cualquier medida de seguridad que les implique coste adicional. Así empresas dedicadas a las mudanzas, limpieza o al reciclaje se han subido al tren de la destrucción de documentos, pero no con intención de prestar un servicio profesional, sino de obtener pingues beneficios derivados de la venta del papel “al peso”, sin tener el coste de adoptar las exigidas medidas de seguridad, por no hablar de incumplimientos en la normativa medioambiental. También reducen costes al utilizar compactadoras en vez de destructoras, almacenaje inadecuado, trasporte sin seguridad ni trazabilidad, pero eso sí, al final entregan a sus clientes un “certificado” de destrucción. Pero, cuidado, este “certificado” no exime de responsabilidad ni sustituye a la obligación de velar por el cumplimiento del art 20.2 RDLOPD que se impone al responsable de los ficheros o tratamiento.
Los potenciales clientes también acosados por la crisis y los recortes ven aquí una partida donde sacar la tijera y lo que costaba 100 lo encuentran ahora a 0, si si a 0, porque muchas de estas empresas prestan el servicio a coste cero ya que su beneficio procede de la venta de dicho papel.
¿De quién es la culpa entonces? Pues básicamente de todos, unos por desconocimiento o descoordinación y de otros por incompetencia. Mientras los responsables de compras no se coordinen con los responsable de seguridad, la contratación se verá dirigida por el criterio basado únicamente en el precio y mientras las autoridades competentes no sancionen ejemplarmente estas prácticas y el responsable se vea obligado económicamente al cumplimiento de una Ley Orgánica, estos prestadores de servicios chapuceros seguirán vendiendo papel al peso, sin tener en cuenta lo que realmente contiene ese papel. Para que lo entendamos mejor, son gestores de papel no de información.
Con esta problemática, podemos encontrar noticias como estas:
2011.-Listados de morosos y datos confidenciales de bebés, en el contenedor de la calle: Listados de morosos o informes médicos de trabajadores, en el contenedor. Eso es algo ilegal. Las empresas deben destruir los documentos que contengan datos personales de sus empleados antes de tirarlos a la basura. Sin embargo, sólo una de cada cinco lo cumple. En los cubos de basura se encuentran demasiados datos privados.
2010.- aparición de documentos municipales en un vertedero
2009.-Hallazgo en la vía pública de envases con biopsias médicas. Todos los botes tienen etiquetas con números de historiales clínicos, constando datos de pacientes y facultativos, así como nombres que identifican el contenido de los mismos.
2008.-Expedientan a un juzgado y a la Junta por tirar datos personales a la basura: En mayo de 2008 un reportaje de una cadena de televisión descubrió en cinco ciudades distintas, entre ellas Sevilla, documentos judiciales en la basura. La Agencia Española de Protección de Datos (AEPD) abrió una investigación que ha derivado en la apertura de un procedimiento contra diversas consejerías de Justicia, entre ellas la andaluza, y los juzgados y que finalmente terminó en el CGPJ
2013.- O lo que es mucho más grave, concursos públicos con objetos tales como “servicio de retirada, traslado, y en su caso, destrucción de residuos de los órganos judiciales de la provincia de …” detallando como servicios a acometer “ la recogida, transporte y destrucción de documentación en soporte papel y digital” con un presupuesto base de licitación de 0,00€.
Para evitar estas situaciones tan bochornosas el procedimiento recomendado sería el siguiente:
• Elegir diligentemente al encargado que va a realizar el servicio para que ofrezca las debidas garantías.
• Que cumpla con la LOPD, será un indicativo mínimo de solvencia. Solicitar auditoria bienal.
• Formalizar un contrato en base a las especificaciones del art. 12 de la LOPD y 20 a 22 del RLOPD.
• Exigir y verificar medidas de seguridad en la custodia (contendores seguros), transporte (vehículos y personal identificados y adecuados) y fundamentalmente en la destrucción.
• Tener instalaciones propias de destrucción, con maquinarias adecuadas (trituración) y capacidad suficiente para el volumen de destrucción y cumplimiento de las recomendaciones de la Norma UNE EN 15713/2010.
• Reservarse la posibilidad de auditar y visitar al proveedor elegido.
• Solicitud de solvencia financiera ante cualquier incidencia. Seguro específico por daños LOPD.
• Exigir un certificado de destrucción una vez cumplido y verificado todo lo anterior.
• Exigir el fin medioambiental del residuo final.
http://www.dpoprivacidad.com/
Dejar comentario