Paso a paso: Destrucción de soportes y documentos conforme a la normativa de protección de datos personales

‘Paso a paso: Destrucción de soportes y documentos conforme a la normativa de protección de datos personales’, por Henry Velasquez, abogado de Governance, Risk & Compliance de ECIJA, publicado en ECIJA 2.0, blog de ECIJA y LegalToday, portal de tendencias jurídicas de la editorial Thomson-Reuters Aranzadi.

El artículo constituye una guía práctica sobre la aplicación de las medidas de seguridad jurídicas, técnicas y organizativas, conforme al art. 9 de la LOPD, necesarias para la supresión de datos personales en cualquier organización, con independencia del soporte o de si la destrucción se realiza por la propia entidad, o por un proveedor de servicios externo: ‘… garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado…’.

A tal efecto, en opinión de Henry, ‘conviene implantar las medidas de seguridad que se detallan a continuación:

• Medidas Organizativas: (i) Autorización de salida de soportes para su destrucción (art. 92.2 RLOPD): previo a la destrucción de los soportes y/o documentos, es necesario verificar que la salida de los mismos se encuentra debidamente autorizada por el responsable en quien se hayan delegado dichas funciones, y que se ha dejado constancia de dichas salidas en el Documento de Seguridad de la entidad; (ii) Registro salida de soportes (art. 97.2 RLOPD): es necesario hacer constar en el registro de salida de soportes, los documentos o soportes automatizados que hayan sido trasladados fuera de las instalaciones para su correspondiente destrucción; (iii) Actualización del inventario (art. 92.1 RLOPD): cada vez que se haya procedido a la destrucción de un soporte o documentación que incluya datos de carácter personal, es necesario actualizar el inventario de soportes vigente en la Organización.

• Medidas Jurídicas: (i) Plazo aplicable a la destrucción de los soportes (art. 8.2 RLOPD): previo a la destrucción de la documentación y/o soportes, conviene verificar que la información incluida en los mismos ha cumplido el correspondiente plazo legal de conservación y, consecuentemente, puede ser destruida de forma definitiva; (ii) Regulación contractual (art. 12 LOPD y 83 RLOPD): en caso que la destrucción de soportes y/o documentos sea efectuada por terceras entidades, es preciso regular contractualmente dicha prestación de servicios (encargo de tratamiento, o prestación de servicios sin acceso a datos), especificando las medidas de seguridad e instrucciones aplicables durante el traslado y destrucción definitiva.

• Medidas técnicas: (i) Mecanismos de destrucción segura (art. 92.4 RLOPD): es necesario obtener garantías suficientes de que el mecanismo o procedimiento utilizado, no permitirá la recuperación futura de la información incluida en tales soportes/documentos; (ii) Acceso a la información incluida en los soportes (art. 92 del RLOPD): se deberán adoptar medidas dirigidas a evitar el acceso a la información contenida los soportes o documentos que van a ser destruidos, por lo tanto, en caso de utilizar contenedores especiales, éstos deberán disponer de mecanismos de cierre que garanticen su seguridad y eviten el acceso a la información contenida en los mismos; (iii)Traslado de soportes (art. 114 del RLOPD): siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. […].’

Enlace al artículo: ‘Paso a paso: Destrucción de soportes y documentos conforme a la normativa de protección de datos personales’