Paso a paso: Destrucción de soportes y documentos conforme a la normativa de protección de datos personales

En este sentido, independientemente de que la destrucción de dichos documentos y/o soportes sea realizada por la propia entidad, o por un proveedor de servicios externo, es necesario considerar la aplicación de las medidas de seguridad jurídicas, técnicas y organizativas que, conforme al art. 9 de la LOPD: "… garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado…".

A tal efecto, conviene implantar las medidas de seguridad que se detallan a continuación:

• Medidas Organizativas: (i) Autorización de salida de soportes para su destrucción (art. 92.2 RLOPD): previo a la destrucción de los soportes y/o documentos, es necesario verificar que la salida de los mismos se encuentra debidamente autorizada por el responsable en quien se hayan delegado dichas funciones, y que se ha dejado constancia de dichas salidas en el Documento de Seguridad de la entidad; (ii) Registro salida de soportes (art. 97.2 RLOPD): es necesario hacer constar en el registro de salida de soportes, los documentos o soportes automatizados que hayan sido trasladados fuera de las instalaciones para su correspondiente destrucción; (iii) Actualización del inventario (art. 92.1 RLOPD): cada vez que se haya procedido a la destrucción de un soporte o documentación que incluya datos de carácter personal, es necesario actualizar el inventario de soportes vigente en la Organización.

• Medidas Jurídicas: (i) Plazo aplicable a la destrucción de los soportes (art. 8.2 RLOPD): previo a la destrucción de la documentación y/o soportes, conviene verificar que la información incluida en los mismos ha cumplido el correspondiente plazo legal de conservación y, consecuentemente, puede ser destruida de forma definitiva; (ii) Regulación contractual (art. 12 LOPD y 83 RLOPD): en caso que la destrucción de soportes y/o documentos sea efectuada por terceras entidades, es preciso regular contractualmente dicha prestación de servicios (encargo de tratamiento, o prestación de servicios sin acceso a datos), especificando las medidas de seguridad e instrucciones aplicables durante el traslado y destrucción definitiva.

• Medidas técnicas: (i) Mecanismos de destrucción segura (art. 92.4 RLOPD): es necesario obtener garantías suficientes de que el mecanismo o procedimiento utilizado, no permitirá la recuperación futura de la información incluida en tales soportes/documentos; (ii) Acceso a la información incluida en los soportes (art. 92 del RLOPD): se deberán adoptar medidas dirigidas a evitar el acceso a la información contenida los soportes o documentos que van a ser destruidos, por lo tanto, en caso de utilizar contenedores especiales, éstos deberán disponer de mecanismos de cierre que garanticen su seguridad y eviten el acceso a la información contenida en los mismos; (iii)Traslado de soportes (art. 114 del RLOPD): siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. En este sentido, es conveniente que todas las operaciones de recogida, carga y descarga de los soportes y/documentos o sus contenedores, así como la conducción de los vehículos que los transportan, sean realizadas por personal debidamente autorizado y fácilmente identificable.

Con carácter adicional al cumplimiento de las medidas antedichas, es recomendable evaluar la efectividad de los procedimientos o técnicas de destrucción que vayan a adoptarse, a fin de asegurar que la información no podrá ser recuperada posteriormente, y que la destrucción será realizada de forma confidencial y segura.

Procedimientos seguros de destrucción de soportes magnéticos. En el caso de soportes magnéticos, equipos antiguos u ordenadores personales que vayan a ser desechados, es necesario garantizar que la información incluida en los dispositivos de memoria, será suprimida de manera definitiva. A tal efecto, dentro de los procedimientos seguros comúnmente utilizados en el sector, cabe destacar los siguientes: (i) Presión neumática: perforación física del disco, mediante presión; (ii) Degaussing: borrado de la información mediante aplicación de campos electromagnéticos; (iii) DiskWiping: mecanismo de borrado físico de los datos empleando herramientas software adecuadas como: PGP Wipe, Eraser, SDelete.

Procedimientos seguros de destrucción de documentación en papel. La destrucción de los documentos en papel deberá ser inmediata e impedir la reconstrucción de la información incluida en los mismos. Al respecto, conviene tener en cuenta las recomendaciones emitidas por el Ministerio de Cultura, a partir de las cuales se recomienda aplicar la normativa europea DIN 32757 (que establece cinco niveles de seguridad, en atención a la información incluida en los documentos), para la destrucción de documentos o expedientes administrativos en papel.

En este sentido, y aunque no exista una equivalencia necesaria entre los niveles de la norma DIN 32757 y los niveles de seguridad aplicables a los ficheros de datos personales, una práctica razonable podría ser optar por el nivel 4 (partículas de un máximo de 2×15 mm), o el nivel 5 (partículas de un máximo de 0,8×12 mm), para acreditar la destrucción segura de documentos que incluyan datos de carácter personal.

Finalmente, en caso que la destrucción de soportes y/o documentos sea efectuada por un proveedor externo, es recomendable obtener un certificado de destrucción segura y confidencial, que haga constar los procedimientos o mecanismos adoptados y el momento en que se efectuó la destrucción definitiva.

Conforme a lo expuesto, tanto durante recogida, como en el traslado y destrucción definitiva de los soportes y/o documentos que incorporan datos de carácter personal, es preciso actuar diligentemente y adoptar buenas prácticas que permitan salvaguardar la seguridad y confidencialidad de la información, a fin de acreditar un óptimo nivel de cumplimiento normativo, incluso en el último tramo de su ciclo de vida o tratamiento.