¿QUIERES LLEVAR A CABO DESTRUCCIÓN SEGURA DE DOCUMENTACIÓN CON DATOS DE CARÁCTER PERSONAL?

En todas las entidades, bien sean del sector público o privado, se almacena documentación con datos de carácter personal, esto puede ser en formato papel o digital, pero independientemente del formato, se ha de cumplir con una diligencia debida por parte del responsable del tratamiento a la hora de deshacerse de documentación que contenga datos de carácter personal.

Es muy importante tener en cuenta que se ha de cumplir con los principios que establece el Reglamento Europeo en materia de protección de datos (RGPD) durante todo el ciclo de vida de los datos de carácter personal (hasta su destrucción):

  • Principio de “licitud, transparencia y lealtad”, que consiste en que los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
  • Principio de “finalidad” que implica, por una parte, la obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
  • Principio de “minimización de datos”, es decir, aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
  • Principio de “exactitud”, que obliga a los responsables a disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.
  • Principio de “limitación del plazo de conservación” que constituye una de las materializaciones del principio de minimización. La conservación de esos datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados.
  • Principio de “seguridad” que impone a quienes tratan datos el necesario análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.
  • Principio de “responsabilidad activa” o “responsabilidad demostrada” que obliga a los responsables a mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que el responsable pueda, tanto garantizar como estar en condiciones de demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGDD.

En aras de demostrar que el incumplimiento de estos principios puede suponer una infracción del RGPD y de la LOPDGDD vamos a analizar un procedimiento de la Agencia Española de Protección de Datos (AEPD) al respecto, PS00003-2023;

La denuncia comienza porque se recibe en la comisaria del lugar donde acaecieron los hechos una denuncia comunicando que habían sido encontrados en un descampado numerosos documentos con el anagrama del Ayuntamiento de La Nucia (en adelante Ayuntamiento). Esta documentación es depositada en el Ayuntamiento y custodiada por la Policía Local. Posteriormente se realizan otras inspecciones del lugar y se encuentran mas documentos por parte de la policía, finalmente se obtiene un inventario con la relación de toda la documentación y materiales encontrados, este documento se adjunta en la denuncia y consta de los siguientes campos:

  • Un identificador único para cada contenido encontrado.
  • Detalles sobre el tipo de contenido.
  • Descripción de la información sensible existente en el contenido.
  • Número de personas afectadas por esta información.
  • Número de documentos existentes en el contenido.

A este respecto, el Ayuntamiento reclamado, indica que no es el responsable de la violación de seguridad identificada, no obstante, la entidad local ha decidido comunicar violación de datos a la AEPD y mantener debidamente custodiada la documentación para evitar accesos no autorizados, asimismo, solicitan a la AEPD instrucciones sobre cómo proceder con la documentación encontrada.

A pesar de que el ayuntamiento ha indicado que no es el responsable de los hechos, se plantea llevar a cabo una serie de medidas para intentar evitar que sucedan estos incidentes, como son las siguientes:

  • Formación específica a las personas de la corporación municipal sobre el tratamiento de datos personales y seguridad de la información, y sus responsabilidades inherentes.
  • Reciclaje de formación a todo el personal del Ayuntamiento, pero enfocada al trabajo en las diferentes unidades administrativas.

Por lo anterior, se determina por parte de la AEPD que se ha de investigar al Grupo Político Municipal relacionado con el ayuntamiento, por lo cual se le hace un requerimiento de información:

  • Se le adjunta el inventario entregado por el Ayuntamiento conteniendo la documentación encontrada y se solicita confirmación de todos aquellos registros cuyo responsable de tratamiento es el propio partido PSOE.
  • Las medidas establecidas para destruir el material con datos personales.
  • Motivo de la extracción de esta documentación de su lugar destinado para su almacenamiento.
  • Conocer el Registro de Actividades de Tratamiento, la Política de Protección de Datos, el Análisis de Riesgos y la Evaluación de Impacto

En este tiempo, el Grupo Político procedió al registro de la brecha ante la AEPD, indicando que habían vaciado una de sus sedes, procediendo a contratar una empresa de destrucción segura para que se hiciese cargo de la documentación;

  • Afirman que la brecha afecta a 17 personas físicas como consecuencia de la pérdida de confidencialidad. Indican que aún no se ha notificado a los afectados pero que se hará a más tardar el 29 de abril de 2022.
  • En relación con las consecuencias para los afectados indican que las personas no se verán afectadas o pueden encontrar algunos inconvenientes muy limitados y reversibles que superarán sin ningún problema (tiempo de reingreso de información, molestias, irritaciones, etc.), con una probabilidad baja de que el daño se materialice.
  • Afirman que los datos afectados son datos identificativos, DNI, NIE, Pasaporte y/o cualquier documento identificativo, datos de medios de pago y datos sobre opinión política.
  • Afirman que las personas afectadas son afiliados al partido político.
  • Afirman que la brecha se detecta el 25 de abril de 2022 de forma aproximada.
  • Entre las medidas de seguridad preventivas implementadas nos indican las siguientes:
  • Políticas de protección de datos y seguridad.
  • Formación en protección de datos y seguridad de la información al nivel adecuado.
  • Los sistemas informáticos se mantienen actualizados.
  • Registro de incidentes.
  • Auditorías periódicas.
  • Control de acceso físico y lógico.
  • Niveles de acceso a los datos.
  • Cifrado de los datos.
  • Copia de seguridad.
  • Anonimización.
  • Indican que esta notificación es inicial y dicha notificación esta firmada por el Delegado de Protección de Datos (DPD) del partido a nivel federal.

Desde el Grupo Municipal, se encuentran sorprendidos, puesto que contrataron una empresa de mudanzas para llevar a cabo el vaciado del local, en lo referente a muebles y a enseres, indicándoles que estos iban a ser llevados al punto limpio, pero en ningún caso acordaron que se llevase la documentación al punto limpio. La AEPD estima en este caso que Grupo Municipal afectado concertó verbalmente un contrato de mudanza para el traslado de la documentación desde su sede al Ecoparque, es decir, suscribió un contrato de transportes no un contrato de encargado de tratamiento para el expurgo o destrucción de la documentación. Ni siquiera consta acreditado que se hubiera concertado la destrucción de la documentación.

De las investigaciones realizadas por la AEPD, se consideran probados los siguientes hechos:

  1. Consta acreditado que el Grupo Municipal, contrató una empresa de portes y mudanzas para el traslado de la documentación desde su sede al parque donde se encontró la documentación y que la contratación con esta empresa se realizó a través de conversaciones de WhatsApp.
  • En fecha 10 de febrero de 2022, la AEPD tuvo conocimiento a través de una denuncia efectuada por parte del Ayuntamiento, del descubrimiento de diversa documentación abandonada en un descampado, que contenía un gran número de datos personales, algunos de categoría especial.
  • Entre la documentación encontrada se confirma la existencia de, como mínimo, la siguiente tipología de información personal responsabilidad del partido político: censos de los siguientes procesos electorales: Elecciones municipales de 2007, 2011 y 2019, Elecciones europeas de 2004,2009 y 2014, Elecciones generales de 2015, 2016, 2019, fichas de afiliados con DNI y otros datos personales, Fotocopias de DNI de los afiliados, Cargos de cuotas de afiliados con números de cuentas bancarias.
  • Si bien por parte del partido político general, se envió un comunicado conteniendo el procedimiento que debía seguirse para la destrucción de los censos electorales (inclusive aquellos que pudieran tener de procesos electorales anteriores y que no hubieran sido destruidos), consta probado el incumplimiento por parte del Grupo político Municipal de la obligación de destruir los censos electorales empleados en todos los formatos posibles.
  • El Grupo Político Municipal reclamado no ha comunicado la brecha de seguridad y sus posibles efectos adversos a los afectados como tampoco ha advertido de forma pública la incidencia detectada.

Debido a los hechos probados se decide imponer al grupo político municipal las siguientes sanciones por incumplimiento de los siguientes preceptos del RGPD;

  • Por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD, una sanción de apercibimiento.

Se entiende incumplido el deber de confidencialidad por parte del reclamado, puesto que el precepto referenciado indica:

“Artículo 5 Principios relativos al tratamiento: 1. Los datos personales serán: (…) f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).” En relación con este principio, el Considerando 39 del referido RGPD señala que: “[…]Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento”.

  • Por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD, una sanción de apercibimiento.

Se entienden incumplidas las medidas de seguridad reflejadas en el precepto indicado por parte del reclamado, puesto que el precepto referenciado indica:

“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos,”

Se acredita en este caso, el quebrantamiento de las medidas técnicas y organizativas que para la fase de tratamiento de la destrucción de datos en papel ha tenido el grupo municipal, que en un caso como el analizado, debe ajustarse a unos mínimos que garanticen la efectividad de llevarse a cabo, tratándose de un gran volumen de documentación con datos de categoría especial, siendo imprescindible llevarlos a un punto de destrucción. Consta acreditado que el reclamado tenía contrato de encargado de tratamiento con una empresa de custodia, destrucción y digitalización de la información si bien dicho contrato no fue utilizado para la destrucción de la documentación hallada y que ha motivado las actuaciones de investigación, puesto que se contrató para la eliminación de la documentación en una empresa de mudanzas.

  • Por una infracción del artículo 34 del RGPD, tipificada en el artículo 83.4 del RGPD, una sanción de apercibimiento.

Se considera vulnerado lo reflejado el precepto indicado;

El artículo 34 “Comunicación de una violación de la seguridad de los datos personales al interesado” del RGPD establece: “1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida. 2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d)

En función del número de sujetos afectados y las categorías de los datos objeto de acceso, se considera que existe un alto riesgo para los derechos y libertades de las personas físicas y, en consecuencia, la brecha debió ser comunicada a todas las personas afectadas, lo cual no se realizó por parte del reclamado.

  • Por una infracción del artículo 28 del RGPD, tipificada en el artículo 83.4 del RGPD, una sanción de apercibimiento.

El artículo 28 del RGPD, “Encargado del tratamiento”, establece: “1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado. (…)

En este sentido, respecto de la contratación de la empresa de mudanzas, no se constata que se contengan todos los requisitos previstos en el artículo 28 del RGPD que, para el tratamiento de datos por encargo de tratamiento, supone hacerse cargo de la destrucción de documentos. No se acredita tampoco que se hubieran instaurado unas medidas técnicas y organizativas completas acorde con la normativa vigente que capaciten las garantías de salvaguarda de seguridad de los datos, específicamente en el ámbito de la seguridad de destrucción de documentos.

En conclusión, como hemos ido viendo a lo largo del presente artículo, el hecho de no cumplir con los preceptos referenciados a la hora de llevar a cabo la destrucción de documentación de una entidad puede acarrear una sanción por parte de la AEPD, por lo que si no quieres que tu empresa incurra en un incumplimiento en materia de protección de datos te recomendamos seguir las siguientes pautas:

  • Asegúrate de contar con una destructora de papel en tu entidad, de esta manera podrás ir destruyendo los documentos del día a día.
  • En el caso de que encomiendes a un tercero la destrucción de documentación de tu entidad, firma un contrato de encargo del tratamiento con la empresa que cumpla con los requisitos del Art. 28 RGPD.
  • Solicita a la empresa prestadora de servicios un certificado de destrucción segura.

Si quieres conocer otros casos similares sobre procedimientos sancionadores por no realizar una destrucción de documentación con datos de carácter personal de manera segura puedes leer otras entradas de nuestro blog pinchando aquí.