Protección de Datos Personales en la Custodia y Destrucción documental

El cumplimiento con la Ley Orgánica de Protección de Datos(en adelante LOPD) es un requisito fundamental en los servicios de custodia y destrucción documental,operaciones propias del tratamiento de la documentación,producida en el Archivo de Oficina. Al tratarse en muchos casos de documentación que contiene datos sensibles o que conservan valor probatorio, hay que poner especial cuidado en que los datos que contienen no lleguen a manos de terceros para evitar situaciones problemáticas como la suplantación de personalidad, que produzcan una violación del artículo 18 de la Constitución Española, relativo al derecho al honor, la intimidad personal y familiar, a la preservación de la propia imagen, a la inviolabilidad del domicilio y a la salvaguarda y secreto de las comunicaciones.

Casi cualquier empresa y entidad pública tendrá que estarcertificada en la LOPD y disponer de ficheros registrados en laAgencia Española de Protección de Datos, ya que la ley regula toda aquella documentación que contenga datos personales identificados o identificables de las personas. El tipo de información que contengan los documentos que genere y maneje en su gestión diaria, determinará el nivel de protección concreto al que tendrá que estar suscrita según el Reglamento de desarrollo de la LOPD:

  • Nivel de protección bajo (artículos 89-94 y 105-108).
  • Nivel de protección medio (art. 95-100 Y 109-110)
  • Nivel de protección alto (artículos 101-104 y 111-114)

Resulta determinante para asignar la protección media o alta, el que los documentos identifiquen los rasgos de las personalidad de las personas, su contenido se derive de la comisión de delitos o contengan datos relevantes relativos a la deología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, entre otros factores.

La misma ley define como fichero (art. 3) el  <<conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso>>. Esta consideración puede ser adapatada en la mayoría de los casos a los archivos de documentos que las empresas y entidades españolas producen en su actividad diaria de gestión empresarial.

En lo que respecta a la Custodia y Destrucción Documental, interesan las recomendaciones de medidas de seguridad, criterios de archivo y las relativas a  eliminación y almacenamiento, que pueden extraerse de los artículos 89 a 114 del Reglamento de desarrollo de la Ley.

En primer lugar, tenemos los factores relacionados con laseguridad, respecto al control de acceso y la identificación y autenticación del personal que gestiona los documentos. Entre las medidas a tomar, tendrá que asegurarse que cada usuario del sistema acceda únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. Además de que en el nivel medio, únicamente el personal autorizado podrá acceder a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información y si se trata de medidas de nivel alto, además hay que guardar un mínimo de 2 años, un registro con la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

Proteccion de datosLos sistemas de información actuales ofrecen medidas deseguridad de infraestructuracomo comunicaciones seguras con https y certificado SSL y encriptación de los datos almacenados, que evitan que un usuario no autorizado se conecte a la red y pueda captar datos o documentos cuando transitan por ella.

El acceso seguro a los entornos electrónicos supone la verificación de que quién accede a los servicios y documentos del sistema es quién dice ser (autenticación) y que está autorizado para realizar determinadas operaciones (Hierro, J., 2014; Eíto-Brun, 2013). Ello supone seguir el mandato de la LOPD en cuanto a la asignación de usuario y contraseña inequívocos, el uso de sistemas de acceso restringido a los lugares físicos (tarjeta de identificación, escáner biométrico, etc) y listas de control de acceso.

En segundo lugar, interesan las medidas específicas decustodia archivística y eliminación de los documentos, que implica atender a las cuestiones relativas a gestión de soportes y documentos, criterios de archivo, traslado de documentos, dispositivos de almacenamiento y custodia de los soportes.

  • Medidas de Custodia Documental

    • Los soportes y documentos que contengan datos personales deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado.
    • En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida, manipulación o acceso indebido de la información. En el nivel alto de protección, se cifrarán los  soportes con datos personales que se distribuyan, los dispositivos portátiles cuando se encuentren fuera de las instalaciones y la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, evitando en todo momento que la información sea inteligible o manipulada por terceros.
    • La identificación de los soportes que la organización considerase especialmente sensibles, se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado identificar su contenido, y que dificulten la identificación para el resto de personas .
    • Los soportes de custodia archivo en ficheros no automatizados deberán garantizar la correcta conservación de los documentos y la localización y consulta de la información. Asímismo, los dispositivos de almacenamiento deberán disponer, en lo posible, de mecanismos que obstaculicen su apertura. En el nivel alto, los armarios y archivadores empleados, deberán situarse en áreas cuyo acceso físico esté protegido. Mientras la documentación no se encuentre archivada deberá ser custodiada por la persona que se encuentre a cargo de la misma.
    • A partir del nivel medio, se establecerá un sistema de registro de entrada y salida de soportes que aporta información acerca del tipo de documento o soporte, la fecha y hora, el emisor o destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

En relación con la destrucción documental,  básicamente lo que hay que hacer es que siempre que vaya a desecharse cualquier documento o soporte, deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

La empresa Normadat, que ofrece servicios de Custodia yDestrucción certificada de documentos, participa con éxito en varios proyectos en los que han aplicado convenientemente los criterios recomendados por la LOPD y otros estándares específicos.

contenedores-destruccion-documentos-NormadatUn ejemplo es el acuerdo de colaboración con el Colegio Profesional de Administradores de Fincas de la Comunidad de Madrid(CAFMadrid) por el que sus los colegiados se benefician de precios especiales en el servicio de destrucción confidencial certificada con los contenedores Normadat de 70L y 240L metálicos para documentación confidencial y de 120L de cartón para documentación no confidencial. Como complemento, Normadat ha confeccionado una aplicación web que permite sustituir los contenedores llenos por otros nuevos.

Los contenedores ofrecidos están debidamente señalizados y precintados, para evitar la manipulaciónb indebida del contenido del contenedor hasta su colocación en la máquina destructora. La posterior destrucción la realizará personal debidamente autorizado, con el fin de evitar posibles fugas de datos sensibles. La trituración del papel se realiza cumpliendo con el nivel 5 de la norma UNE-EN 15713:2010, que certifica que los documentos originales no pueden ser reconstruidos.

La garantía de la seguridad de su información en la custodia integral de los documentos de archivo, hace necesario complementar la LOPD con otros textos legislativos en materia de patrimonio histórico, administración electrónica, legislación del ámbito administrativo y geográfico del archivo y normativa estandarizada . Algunas de estas disposiciones son:

  • El art. 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español .
  • Los artículos 4 y 31 de la Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los servicios públicos.
  • La legislación propia de Archivo y Gestión Documental de cada Comunidad Autónoma, incluidas las tablas de valoración documental o documentos similares.
  • El Esquema Nacional de Interoperabilidad y sus Normas de desarrollo
  • La norma ISO 27001, de Sistemas de Gestión de Seguridad de la Información.
  • La norma ISO 15713:2010, de Destrucción segura del material confidencial. Código de buenas prácticas.

Referencias adicionales

La información relativa a Seguridad de Sistemas de Información está inspirada en el trabajo de Joaquín HierroSeguridad en Gestión Documental en BiblogTecarios  y la obra de síntesis Gestión de Contenidos de Ricardo Eíto- Brun, publicada en la colección de libros de El Profesional de la Información.

Fuente:Dokumentalistas

Deja un comentario