Destruccion de documentos LOPD

Principio seguridad LOPD
Principio de seguridad LOPD

No por gusto le insisto yo a mis clientes en el tema de la confidencialidad, la seguridad y la destrucción de documentos que contienen datos de carácter personal.

El 99% de las veces, su respuesta es la misma: “por supuesto” o “mujer, claro, aquí con eso tenemos mucho cuidado” o “yo tengo una destructora y lo destruyo todo antes de tirarlo”.

Sí, sí.

Seguro que el MINISTERIO DE INSDUSTRIA, TURISMO Y COMERCIO también decía estas cosas y sin embargo, aquí lo tenéis, expedientado por la Agencia Española de Protección de Datos, por poner documentos sin destruir en el contenedor de la basura:

http://www.agpd.es/portalwebAGPD/resoluciones/admon_publicas/ap_2014/common/pdfs/AAPP-00003-2014_Resolucion-de-fecha-08-07-2014_Art-ii-culo-9-LOPD.pdf

Ojo, que estas cosas pasan y mucho.

Desde aquí vuelvo a hacer una llamada de atención a responsables de fichero y/o de seguridad: mucho cuidado con la forma en que se gestionan los datos en soportes no automatizados. Es decir: la documentación en papel que contenga datos de carácter personal.

Si al Ministerio le puede pasar, seguro que a ti también.

Por qué unos documentos acaban en el contenedor de basura que hay frente a tu local, probablemente no lo sepamos nunca.

Los del Ministerio tampoco se lo explican.

Pero ahí estaban y ahí fueron encontrados por un mendigo que rebuscaba en la basura y finalmente, por la policía local.

El Ministerio contaba con destructoras de papel y se conocía la obligación de eliminar los documentos, sin embargo, algo falló.

El resultado:

– Para ti, probablemente una sanción por cometer una infracción grave (multa de 40.001 a 300.000 euros).

– Para el Ministerio de Industria, una resolución declarando que ha infringido (infracción grave) el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (principio de SEGURIDAD) y solicitud de remisión de una Instrucción de Seguridad.

La resolución de referencia, que es la nº 1435/2014 de la AEPD, determina que:

El artículo 44.3 h) califica como infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. De acuerdo con los fundamentos anteriores, se deduce que por parte del se ha producido una vulneración de la de seguridad de los datos, que ha tenido como consecuencia que los datos de carácter personal, cuya custodia era responsabilidad de esa entidad, acabaran siendo recuperados.

Notificacion quiebras seguridad

Si eres un proveedor de servicios de comunicaciones electrónicas, lo más probable es que hayas oído hablar del tema de las notificaciones de quiebras de seguridad que estás obligado a hacerle a la Agencia Española de Protección de Datos.

Y si el tema no te suena, más te vale que empiece a sonarte y prestes atención.

Esta obligación la introdujo el Real Decreto-Ley 13/2012, de 30 de marzo (que tiene un título larguísimo), que modificó el artículo 34 de la Ley 32/2013, de  3 de noviembre, General de Telecomunicaciones. A su vez, la reforma trae causa del mandato establecido por la Directiva 2002/58/CE, que exigía la notificación de los incidentes de seguridad que pudieran afectar a datos de carácter personal, y no sólo a los usuarios del servicio, sino también a las autoridades nacionales competentes.

Así queda redactado finalmente el artículo 34.4 de la LGT, que es lo que aquí nos interesa:

4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la Agencia Española de Protección de Datos podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.

En la notificación al abonado o al particular se describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación. En la notificación a la Agencia Española de Protección de Datos se describirán además las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.

Los operadores deberán llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del inventario.

A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.

¿Y cómo se lleva a cabo esta notificación a la AEPD, en la práctica? Pues muy fácil: accediendo a la sede electrónica de la Agencia en:

https://sedeagpd.gob.es/sede-electronica-web/

Tendrás que seleccionar la opción NOTIFICACIÓN PRECEPTIVA DE QUIEBRAS DE SEGURIDAD y cumplimentar el formulario.

Y ojo, porque el plazo que tienes para notificar es muy breve: 24 horas.

Medidas Seguridad LOPD y multas


Cuando asesoro a médicos, abogados, procuradores y otros profesionales o entidades que tratan datos de nivel alto, suelen preguntarme  si deben o no poner cerraduras en las puertas de las habitaciones donde se contienen datos de carácter personal en formato no automatizados (es decir: en papel).

Mi respuesta no puede ser otra que por supuesto que deben, porque así lo exige el artículo 111 del Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la LOPD.

Literalmente, exige ese precepto que:

Artículo 111 Almacenamiento de la información

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

Por tanto, la norma es que los documentos estén en áreas cerradas, salvo que por las características del local eso no sea posible y se implanten medidas de seguridad alternativas. Una medida de seguridad alternativa podría ser, por ejemplo, la custodia de las zonas mediante personas destinadas a tal fin. Otra cosa es que luego eso se pueda demostrar ante una inspección, claro está…

Suelen decirme los que me consultan que para ellos es un problema tener que cambiar instalaciones, estructuras y poner cerraduras en las puertas. Cosa que imagino que ocurrirá de verdad en algunos casos, pero intuyo que en otros el problema no es tanto y que más les valdría –para evitar problemas-buscar un cerrajero, comprar pomos con cerradura, instalar algún dispositivo externo con cerradura, o similar…

La cuestión es que mucha gente cree que es una medida de seguridad poco importante, porque “total, nadie va a saber si tengo o no puertas con cerraduras”.

Ya.

Lo mismo nadie lo sabe, o lo mismo acaba trascendiendo y  te imponen una multa por infracción grave (de 40.001 a 300.000 euritos de nada), cuya existencia –por poner un caso- se declaró en el caso  de un Centro de Salud de Lerma (Burgos), mediante la Resolución nº 2560/2012 de la Agencia Española de Protección de Datos (procedimiento nº AP/12/2012).

Se trata de un caso real en el que alguien sustrajo 16 expedientes médicos de los cajones de la mesa de una consulta del referido centro de salud. La consulta tenía dos puertas de acceso que no cerraban bien y bastaba con empujar para acceder a ellas. Además, los cajones de la mesa no tenían cerradura ni equivalente.

Se vulneró por tanto el artículo 9 de  la LOPD, que se refiere al principio de seguridad y que impone al responsable de fichero la obligación de implantar medidas de seguridad físicas que impidan el acceso no autorizado a los datos.

Y sí, podría ocurrirte a ti, y podrías ser sancionado “de verdad”.