Imprimir

Destrucción de documentos conforme a la Ley Orgánica de Protección de Datos

19 Marzo 2014

Uno de los puntos clave en el cumplimiento de la Ley Orgánica de Protección de Datos, y que no se le da la importancia que realmente tiene, es la destrucción de los ficheros con datos personales. Todo el mundo empieza a tener conciencia de las obligaciones que debe cumplir a la hora de recabar y guardar datos personales, pero no así cuando esos datos deben ser destruidos.

Tanto para ficheros automatizados (soporte digital ó informático) como para ficheros no automatizados (principalmente papel), el Reglamento LOPD (Real Decreto 1720/2007) sólo nos indica que "deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior" (artículo 92.4). El Reglamento resulta, cuando menos, poco concreto: ¿cuánto hay que romper un papel para que no sea posible su recuperación posterior? ¿y un disco duro? ¿hay que quemarlo?...

Por suerte, existe una normativa, DIN 66399 (que reemplaza a la norma DIN 32757), que establece cómo debemos destruir los datos en función de:

- Clase 1: protección normal para datos internos (ej. correspondencia irrelevante, publicidad, catálogos, circulares, notas...). Nivel de Seguridad requerido: 1, 2 o 3.

- Clase 2: alta protección de datos confidenciales (ej. correspondencia relevante, ofertas, consultas, mensajes, datos personales...). Nivel de Seguridad requerido: 3, 4 o 5.

- Clase 3: protección muy alta de datos muy confidenciales y secretos (ej. documentos de gestión, datos financieros, información confidencial...). Nivel de Seguridad requerido: 4, 5, 6 o 7.

materiales

niveles de seguridad

Con esta normativa ya nos podemos hacer una idea de que, por ejemplo, para destruir papeles con datos personales (clase 2 en soporte P) necesitaríamos una destructora, como mínimo, con un nivel de seguridad P-3.