Los documentos que recibe y genera una empresa tienen un ciclo de vida, que finaliza cuando estos documentos ya no son útiles para la empresa o cuando ya no es necesario seguir guardándolos; en ese momento, se debe proceder a su destrucción. Sin embargo, cuando esos documentos contienen datos personales, esta destrucción debe hacerse de acuerdo a la normativa de protección de datos, para garantizar que esa información no queda expuesta a terceros.
En este artículo vamos a explicar cómo cumplir con la LOPDGDD y el RGPD en la destrucción de documentos.
En este artículo hablamos de:
¿Qué dice la normativa de protección de datos sobre la destrucción de documentos?
Ni la LOPDGDD ni el RGPD hablan explícitamente de la destrucción de documentos, pero sí establecen el derecho de supresión de los interesados, así como la obligación de suprimir o eliminar los datos personales cuando estos ya hayan cumplido la finalidad para la que fueron recogidos, dejando la decisión de ese plazo para la destrucción en manos de responsables y encargados del tratamiento.
Por lo tanto, en cierto sentido, sí establecen una normativa sobre la destrucción de documentos que contengan información o datos de carácter personal, es decir, datos que puedan servir para identificar a una persona física, como los que podemos encontrar en facturas, nóminas, contratos, fichas de empleados, fichas de clientes, etc.
Tanto la LOPDGDD como el RGPD hacen referencia a cualquier soporte que pueda contener datos personales, lo que engloba a dispositivos digitales (ordenadores, discos duros, memorias externas, etc.), y documentos físicos. En este artículo nos vamos a centrar en la destrucción de documentos físicos, es decir, en papel, puesto que, pese a la transformación digital que viven muchas empresas, estas todavía generan gran cantidad de documentación física.
Cabe señalar que existen otras normas o estándares para la destrucción de documentos que debemos conocer, especialmente si vamos a contratar este servicio a una empresa externa. Estos estándares o normas, que además son certificables, son la Norma DIN 66399, la Norma ISO 27001 y la Norma UNE 15713.
¿Qué documentos deben destruirse según el RGPD y la LOPDGDD?
De acuerdo a la normativa de protección de datos, deberán destruirse todos aquellos documentos que contengan datos personales, como son:
- Listas de clientes
- Facturas
- Presupuestos
- Fichas de empleados
- Informes médicos
- Curriculums
- Nóminas
- Correos electrónicos
- Solicitudes de empleo
- Informes de candidatos
- Contratos
- Informes de recursos humanos, etc.
Siempre que un documento contenga algún tipo de dato personal, debemos proceder a su destrucción cuando el documento haya finalizado su ciclo de vida para la empresa o cuando la normativa de protección de datos nos indica que debemos eliminarlos.
Clasificación de la información
Más allá de establecer la definición de datos personales, ni el RGPD ni la LOPDGDD nos ofrecen una clasificación de la información, pero si los estándares que señalamos más arriba sí lo hacen, de manera que a través de esa clasificación se establece cómo debe ser la destrucción de documentos, básicamente, dicen cómo debe resultar dicha destrucción (tamaño de las partículas, método más adecuado, etc.).
Dependiendo del estándar escogido para el protocolo de destrucción de documentos, la empresa se atendrá a una u otra clasificación. Así, la Norma DIN 66399 establece 3 clases de documentos y 7 niveles de seguridad para ellos. Mientras que la Norma UNE 15713 establece 8 clases de soportes, siendo la Clase A la correspondiente a los documentos en papel y la H a radiografías y diapositivas.
¿Cómo deben destruirse los documentos con información personal?
A la hora de proceder con la destrucción de datos personales, las empresas pueden recurrir a dos vías, bien hacerlo ellas mismas o bien contratar los servicios de una empresa externa especializada en la destrucción de documentos.
Empresa externa
Recurrir a los servicios de una empresa externa se recomienda especialmente cuando la empresa genera una gran volumen de documentación, puesto que estas empresas, especialmente las certificadas por la Norma UNE 15713, cuentan con un protocolo que garantiza la seguridad y confidencialidad de la información contenida en los documentos a destruir desde el mismo momento en que estos se desechan por parte de la empresa, depositándose en contenedores específicos y sellados para ello, que después recoge la empresa de destrucción.
La certificación asegura que la empresa procederá a la destrucción de la documentación aplicando todas las medidas de seguridad y garantías necesarias. Y si se produce algún fallo y filtración, será esta empresa la responsable y no nosotros. Así mismo, también garantiza una destrucción eficaz y de acuerdo a las normas de medioambiente.
Trituradora de papel o quema de papel
Cuando nos preguntamos por primera vez ¿cómo puedo destruir los documentos obsoletos de mi empresa?, las trituradoras de papel son normalmente la primera respuesta y si nuestra empresa o negocio son pequeños y no generamos una gran cantidad de documentación en formato físico, la trituradora de papel es una solución muy válida, aunque consume tiempo y también debemos asegurarnos de que el papel queda destruido de acuerdo a los estándares, es decir, no se puede recomponer fácilmente para recuperar la información destruida. Así, cuanto más sensibles sean los datos, más pequeñas deben resultar las partículas de papel destruido (en este caso no servirían las trituradoras que hacen tiras de papel).
La segunda opción sería la quema de los documentos. Esta forma asegura, cuando se lleva a cabo de forma adecuada, la completa destrucción de los documentos, pero, a no ser que la actividad de tu empresa implique tener un horno o caldera donde poder destruir los papeles de forma segura, la quema puede resultar peligrosa y no siempre hacerse de acuerdo a las leyes medioambientales.
No destruir documentación con datos personales puede ser motivo de sanción
No destruir documentos que contengan datos personales siguiendo la normativa, es motivo de sanción, de hecho ha habido casos de empresas sancionadas por tirar este tipo de documentos al contenedor de basura. La protección de datos personales, como hemos visto en este artículo, también implica su destrucción de manera que terceros no puedan acceder a ellos.
Las sanciones que establecen el RGPD y la LOPDGDD pueden alcanzar hasta los 40.000 euros por infracciones leves, y hasta los 20 millones de euros (o el 4% de la facturación anual) por infracciones muy graves. Por lo tanto, la cuantía que se puede imponer por no destruir de forma adecuada o en plazo la documentación con datos personales dependerá la gravedad de la situación y de la cantidad de datos que hayan podido verse afectados, así como de su categoría.
Es importante señalar que, aunque la LOPDGDD y el RGPD obliguen la destrucción de documentos que contengan datos personales, debemos tener en cuenta también los diferentes plazos de conservación de documentación que establecen otras leyes, antes de proceder a su eliminación.