Destrucción de documentos

Normativa Aplicable

El objetivo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), es

1. Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
2. El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
3. Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

Y establece la obligación tanto de la conservación de los datos personales como de la destrucción de documentos que contengan dichos datos. 

La obligación de cumplir la LOPD y de los reglamentos que la desarrolla es esencial para no vernos inmersos en problemas con la Agencia de Protección de Datos.

Reglamento 1720/2007  de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal clasifica los niveles de seguridad de los datos de carácter personal contenidos en los ficheros del siguiente modo:

• Nivel de seguridad básico: se deberán aplicar a todos los ficheros o tratamientos de datos de carácter personal.
  
• Nivel de seguridad medio: además de las medidas de seguridad de nivel básico, se aplicarán las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

1. Los relativos a la comisión de infracciones administrativas o penales.
2. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.
3. Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
4. Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
5. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
6. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

• Nivel de seguridad alto: además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

1. Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
3. Aquéllos que contengan datos derivados de actos de violencia de género.

A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.

En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.

A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad.

La Norma UNE 1573   

La norma UNE 15713 de “Destrucción segura de material confidencial. Código de buenas prácticas” proporciona recomendaciones para la gestión y control de la destrucción de material de carácter confidencial para asegurar que el material se destruye de forma segura y sin peligro.

Entre otras cosas, la norma establece que:

1. El material de carácter confidencial debe proteger contra el acceso no autorizado desde la recogida hasta su destrucción. 
2. Cuando sea posible debe almacenarse en contenedores con cerradura de seguridad o con un sellado de número individualizado.
3. Los vehículos de recogida deberán ser rígidos y cerrados.
4. Las empresas de destrucción de documentos deberán disponer de un centro de destrucción con acceso restringido, un sistema de alarma anti-intrusión y circuito cerrado de video-vigilancia.

La norma establece para cada clase de material el método de destrucción de documentos adecuado con el fin de garantizar la imposibilidad de reconstrucción del residuo para que éste sea ilegible o irreconstruible.