TIRAR DATOS A LA BASURA PUEDE SALIR MUY CARO

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una corporación local por arrojar documentos con datos personales a contenedores de la vía pública. El Ayuntamiento había contratado los servicios de una empresa especializada en destruir documentación, pero eso no ha impedido la consecución de la infracción.

En junio de 2019, la Guardia Civil y la Policía Local de Villafranca de los Barros hallaron, en unos contenedores de la calle, decenas de documentos pertenecientes al Ayuntamiento, incluyendo expedientes sancionadores, solicitudes administrativas, currículums y certificados que contenían importantes cantidades de datos personales. Informada la AEPD, ésta da traslado al Ayuntamiento en cuestión para averiguar la causa de los hechos; el consistorio, por su parte, señala que debe tratarse de un error puntual, dado que ya cuentan con un prestador de servicios de destrucción documental.

Finalmente, la AEPD resuelve sancionar a la corporación al considerar que el Ayuntamiento ha incumplido sus obligaciones en materia de seguridad de los datos personales. Sobre la existencia de una empresa especializada para eliminar la información, la agencia entiende ello no limita en absoluta la responsabilidad del consistorio, al no haber impedido que se produjeran los hechos sancionados y, además, no existir entre ambas organizaciones un contrato de encargado del tratamiento conforme a lo dispuesto en la normativa de protección de datos.

Si desea leer la resolución completa, puede acceder desde el siguiente enlace:
Ir a la resolución

¿Tengo obligación de deshacerme de la información personal?

El Reglamento General de Protección de Datos (RGPD) recoge, entre sus principios, el conocido como “principio de limitación del plazo de conservación”.

Artículo 5.1.e RGPD:

“Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”

Esto implica que las organizaciones deben analizar todos sus tratamientos y determinar los plazos de conservación de cada tipo de información procesada en sus actividades. Ello resulta imprescindible para cumplir el deber de información, estableciendo el RGPD que deberá informarse a los interesados de “el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo”.

Por supuesto, habrá situaciones en las que el plazo de retención de la información vendrá dado por una norma jurídica, como sucede con las imágenes de videovigilancia, los libros de contabilidad o el historial clínico. Sin embargo, habrá ocasiones en las que no exista una previsión legal semejante, por lo que será la propia empresa la que tendrá que evaluar cada tipo de información manejada y determinar durante cuánto tiempo será necesario conservarla. Este proceso de análisis es fundamental para garantizar el cumplimiento de la normativa de protección de datos, y será necesario abordarlo con sumo cuidado; al fin y al cabo, la eliminación de la información demasiado pronto puede constituir un tratamiento ilegítimo de los datos afectados e, igualmente, almacenarla por excesivo tiempo podrá suponer una vulneración del ya mencionado principio de limitación del plazo de conservación.

¿Cómo puedo destruir documentación de manera eficaz y conforme a los requisitos legales?

Determinado el plazo adecuado de conservación, queda dilucidar la manera adecuada de ejecutar la supresión de datos llegado el momento. Esta fase esconde sus dificultades, pues habrán de tomarse en cuenta múltiples factores, empezando por el soporte en el que se encuentra la información en cuestión.

Información almacenada en formato digital

Así, la información almacenada en formato digital – incluyendo directorios, correos electrónicos, logs, etc. – deberá someterse a un borrado lógico o físico que garantice que los datos no puedan ser recuperados. Evidentemente, la sensibilidad de los datos también influirá en la metodología específica a la que se recurra en este sentido; así, para mensajes ordinarios de correo electrónico que no contengan información sensible, puede bastar con un borrado simple que se irá consolidando a medida que se generen nuevos datos y se reescriba la información antigua. Por el contrario, si hablamos de información sumamente confidencial, puede ser necesario destruir físicamente los dispositivos de almacenamiento.

Información conservada en papel

La información conservada en papel deberá eliminarse garantizando que no sea posible acceder a su contenido. Para ello, debe triturarse la documentación antes de deshacerse de ella, pero puede que ello no sea suficiente en ciertos contextos. Por ello, lo más recomendable en contratar a empresas especializadas en destrucción de documentos, que deberán emitir un certificado constatando la supresión de la información a eliminar. De este modo, estaremos en condiciones de demostrar ante las autoridades que nuestra empresa cumple rigurosamente con el RGPD. Por supuesto, al contratar a esta clase de prestadores deberá suscribirse un contrato de encargado, tal y como establece la ley.

Finalmente, destacamos la importancia de disponer un procedimiento detallado para aplicar efectivamente a la organización todos los elementos mencionados, para así evitar situaciones como la que ha llevado a la AEPD a sancionar al Ayuntamiento de Villafranca de los Barros. Esta obligación no afecta únicamente a entidades públicas, como podemos ver a modo de ejemplo, las sanciones en este respecto pueden ascender a cuantías considerables en el ámbito de la empresa, por ejemplo:

Multa de 40.000 euros a entidad de crédito por conservar datos de un individuo que llevaba 16 años sin ser cliente. (ver resolución)
Multa de 500.000 euros a empresa de productos de bricolaje por conservar datos de clientes y usuarios de su página web sin establecer plazos concretos. (ver resolución)
Multa de 15.000 euros a empresa por no poder acceder al contrato suscrito con un cliente. (ver resolución)

En resumen, ya seas empresa o particular debes tener en cuenta lo siguiente:

Inventariar toda la información personal manejada y determinar los plazos de conservación adecuados en cada caso.
Desarrollar un procedimiento de eliminación de datos que establezca métodos eficaces de supresión, y garantizar que dicho procedimiento es aplicado efectivamente en la organización.
Contar con una empresa especializada en eliminación de datos que certifique su supresión, siempre con el correspondiente contrato de encargado.