Líderes en
soluciones para el CUMPLIMIENTO

¿Cómo procederemos para destruir documentos que contengan datos sensibles si queremos cumplir con la normativa de protección de datos?

11 de Julio

En el siguiente post hablaremos de cómo tenemos que actuar y qué medidas llevaremos a cabo si queremos destruir y/o eliminar documentación sensible que contenga datos personales... >> Ver Más

 
Zona Clientes
 
User
 
Password
 
Campus e-Learning
 
 
User
 
Password
Noticias PrevenSystem

¿Cómo procederemos para destruir documentos que contengan datos sensibles si queremos cumplir con la normativa de protección de datos?

destrucción de documentos, protección de datos, RGPD, LOPDGDD, DPO,

En publicaciones anteriores hacíamos referencia al significado de dato personal; según la Ley Orgánica de Protección de Datos y garantía de los derechos digitales y en relación a lo establecido en el artículo 4 del Reglamento General de Protección de Datos se entiende como dato personal a “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”. Es decir, se considera dato personal cuando incluya cualquier tipo de información que haga referencia a una persona física o identificable.

En este post vamos a ver cómo gestionar aquella documentación que no necesitemos así como las opciones que tenemos para destruir dicha información. A día de hoy, tanto Internet como el mundo digital se han convertido en parte de nuestras actividades profesionales y personales, aunque todavía parte de la información que utilizamos se archiva en papel. Por lo que la destrucción de dicha documentación es fundamental tanto para las empresas como organismos públicos.

El responsable del tratamiento será el que determinará si debe de destruir o devolver a los titulares cualquier documento o soporte que contenga datos personales.

Aquellas entidades o empresas que traten con datos personales estarán obligadas a demostrar que dichos datos los han conseguido de forma legítima (artículo 8 de la LOPDGDD).

La Ley de Protección de Datos y garantía de los derechos digitales establece en el artículo 33 que, una vez cumplida la prestación contractual entre la empresa y el cliente, será el responsable del tratamiento el que determinará si debe de destruir o devolver a los titulares cualquier documento o soporte que contenga datos personales. Por otro lado, “no se procederá a la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista”.

Además, varios motivos que podrían llevar a las empresas, organismos públicos y/o particulares a destruir documentos que contengan información personal sería establecer una seguridad ya que muchos de los documentos con los que se trata en el día a día pueden contener información que sea de carácter sensible y/o confidencial; y también por la concienciación que existe a día de hoy en cuanto a preservar el medio ambiente, digitalizando la documentación e intentando utilizar lo menos posible y/o eliminando los documentos en papel.

La destrucción de documentosy en concreto cuando contengan algún tipo de dato personal, va a ser un aspecto importante que tendremos que tener en cuenta a la hora de gestionar los datos personales correctamente. No sólo desde el punto de vista normativo, sino también para no exponernos a sanciones por infracciones leves, graves y muy graves, las cuales están reguladas en el título IX de la LOPDGDD y a su vez en el artículo 83 del RGPD. Se establecen multas administrativas que pueden alcanzar los 20.000.000 o 10.000.000 de euros o si se trata de una empresa, de una cuantía equivalente al 4% o al 2% de la facturación.

Por lo tanto, es fundamental que sepamos cuáles son las opciones existentes para eliminar archivos y/o documentos en lo que tengamos almacenados datos personales

Mencionar que en cuanto a los plazos de conservación y posterior destrucción de los datos de salud en España, el artículo 17 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, indica que en general, “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha de alta de cada proceso asistencial”. No obstante, el artículo 14 de la Ley citada anteriormente establece que, “cada centro archivará las historias clínicas de sus pacientes y serán las Comunidades Autónomas las que aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas y evitar su destrucción o su pérdida accidental. Es decir, en España serán las propias Comunidades Autónomas las que establezcan dichos plazos de destrucción.

Destruir documentos, ya sea en formato papel como formato digital o audiovisual, consiste en eliminar de forma definitiva los datos personales a los que se tiene acceso simplemente por ser responsable de los mismos.

La entrada en vigor, el 5 de Diciembre de 2018, de la nueva Ley de Protección de Datos, la LOPDGDD, ha hecho que se creé una mayor relevancia en cuanto a la destrucción de documentos que contengan datos confidenciales. Se intenta evitar, a su vez, posibles sanciones económicas por parte de la AEPD. Por lo que, los principales métodos que existen para destruir documentos en formato papel son:

  • Contratar una empresa externa especializada: A día de hoy encontramos diferentes empresas que se dedican a la destrucción confidencial de documentación. Para ello habrá que formalizar un contrato de prestación de servicios para la destrucción de documentos. La empresa externa facilitará un contenedor de seguridad donde se depositarán los documentos que contengan datos personales y, por último, dicha empresa se llevará el contendor y procederá a la destrucción final de los documentos. Por otro lado, para asegurarnos que la empresa mantendrá el deber de confidencialidad podríamos contratar estos servicios a entidades que nos garanticen que cumplen con norma UNE-EN 15713-2010, dicha norma garantiza que la empresa cumple con los requisitos necesarios para realizar la destrucción de documentos mediante el uso de buenas prácticas.
  • Máquinas parar destruir/ triturar papel: Es la forma más sencilla pero a su vez la más tediosa; únicamente se necesita adquirir una máquina trituradora de papel. Estas máquinas se encuentran fácilmente en el mercado y no tienen un coste elevado. La destrucción la podremos hacer nosotros mismos introduciendo los documentos que queremos destruir en la máquina. Por otro lado, en función de los datos que tratemos, es decir, si almacenamos datos de alto riesgo tendremos que adquirir una destructora que sea capaz de garantizar que una vez destruidos los documentos no puedan volver a ser reconstruidos.
  • Incineración: El método de quemar documentos es el más drástico y complicado de llevar a cabo ya que no todas las empresas tienen la opción de acceder a sistemas que permitan la quema de documentación, pero a su vez nos garantiza al 100% que esos documentos van a ser destruidos.

A la hora de decidir cuál de estos métodos instaurar en la empresa, únicamente tendremos que analizar las ventajas e inconvenientes de cada uno de ellos y valorar cual se adaptar mejor a la características de nuestra empresa o entidad.

Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos, además podemos ayudarte a que aprendas a gestionar de manera correcta como empresa que trata con datos personales de terceros y, por tanto, como responsable de los mismos.

Podéis visitar nuestra web donde encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD.

 

 

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por PS Formación S.L (PREVENSYSTEM), para tramitar su solicitud de información respecto al asunto indicado.

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los interesados. PREVENSYSTEM únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni PREVENSYSTEM ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su candidatura, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a PS Formación S.L (PREVENSYSTEM), en Calle Antonio Gaudí y Cornet, nº 113 Nave 1 (Esquina Benjamín Franklin) P.I. Roces C.P. 33211 Gijón (Asturias), o a través de la dirección de correo electrónico info@prevensystem.com. Además, en caso de que usted nos autorice expresamente, PREVENSYSTEM podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés. Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, PREVENSYSTEM pone a disposición de los interesados, a través de su página web, su política de privacidad.

 


Empresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAUniversidad de San JorgeIntedya

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios.
Si continúas navegando consideramos que aceptas su uso. Más información X Cerrar