Los datos personales no son para la papelera

Todo el mundo conoce la situación: el buzón está a rebosar y las cartas publicitarias acaban en la papelera, o ha llegado la hora de volver a vaciar el archivador de la empresa. Pero, ¿pueden tirarse a la papelera documentos que contienen datos personales (de terceros) como nombre, dirección, número de cliente o fecha de nacimiento? Y si no es así, ¿cómo se eliminan esos documentos de forma que se cumpla la normativa de protección de datos?

Eliminación en funcionamiento

Desde la entrada en vigor del GDPR, las empresas intentan mantener bajo llave los documentos sensibles, para cumplir con los plazos de conservación y proteger los derechos de los afectados. Con demasiada frecuencia, sin embargo, los documentos acaban en la papelera tras el periodo de almacenamiento, rotos en el mejor de los casos, mientras que los soportes de almacenamiento externo con copias de seguridad pueden encontrarse a menudo en la basura doméstica, incluso en condiciones de uso.

Se trata de una deficiencia importante que suele dar motivos de queja a las autoridades de control, sobre todo porque la papelera, situada en la vía pública, puede verse con bastante facilidad. Por supuesto, hay que evitar estas situaciones embarazosas.

Base jurídica

Uno de los derechos de los interesados en virtud del RGPD se encuentra en el artículo 17 I del RGPD, a saber, el derecho a la supresión o el "derecho al olvido". Tras la supresión con arreglo al GDPR, ya no debe ser posible acceder a los datos personales en cuestión sin un esfuerzo desproporcionado. El RGPD no especifica cómo debe hacerse. La idea básica es únicamente que resulte imposible para cualquiera tomar nota de los datos almacenados en cualquier momento. No importa si los datos podrían recuperarse teóricamente mediante un programa especial.

También se deriva del principio de limitación de la finalidad (art. 5 I DSGVO) que todos los datos que ya no sean necesarios para la finalidad original de la recogida deben suprimirse sin que el interesado lo solicite por separado. En la práctica, esto ocurre sobre todo cuando expiran las obligaciones de retención o finaliza una relación laboral o con un cliente.

En el Derecho nacional sólo existen normas especiales para los expedientes en papel con arreglo al artículo 35 I 1 de la BDSG, si la supresión sólo puede realizarse con un esfuerzo desproporcionado.

El incumplimiento de las obligaciones de supresión puede acarrear multas de hasta 20 millones de euros o el 4% del volumen de negocios anual total realizado en todo el mundo en el ejercicio anterior.

Además, los interesados también tienen derecho a una información transparente sobre el periodo de almacenamiento de los datos.

Aplicación práctica

En la práctica, la eliminación depende no sólo del factor de las posibilidades que existen en principio, sino también de los niveles de seguridad, el esfuerzo que supone y el equipo disponible. 

En el caso de las codificaciones o los enlaces virtuales, se necesita un proceso de borrado irreversible fiable. En el caso de soportes regrabables, debe utilizarse un software especial de borrado para evitar la recuperabilidad, pero esto debe evaluarse siempre caso por caso, especialmente en lo que respecta al esfuerzo necesario. En cualquier caso, no basta con adoptar únicamente medidas organizativas o simplemente eliminar los soportes de datos en su forma original. En el caso de documentos en papel, discos duros, cintas magnéticas, memorias USB, CD-ROM, DVD, soportes de almacenamiento óptico, películas y soportes de datos similares, la destrucción física es la opción principal.

Para la eliminación, pueden utilizarse como guía determinadas normas DIN (DIN EN 15713, DIN 66398 y DIN 66399). Aquí encontrará clasificaciones en niveles de seguridad y requisitos para las destructoras de documentos. Sin embargo, estas normas no tienen carácter de ley y el RGPD no hace referencia a ellas, por lo que sólo sirven de orientación.

Además, la Oficina Federal de Seguridad de la Información (BSI) ha publicado la directriz técnica BSI-TL 03420, relativa a la eliminación y destrucción de información en soportes de datos que requieren protección. Esto también puede ayudar a orientarse.

En la práctica, siempre se debe consultar al responsable de protección de datos o a otros especialistas para desarrollar el concepto más adecuado para la propia empresa.

Eliminación en hogares privados

Incluso en un contexto privado, las cartas publicitarias o documentos similares que contienen datos personales suelen tirarse con demasiado descuido a la basura de papel sin que los datos personales queden irreconocibles. Recuerde siempre que es muy fácil acceder a un cubo de basura abierto junto a la carretera. Mejor vaya sobre seguro y destruya los documentos que contengan su nombre, dirección, número de cliente, fecha de nacimiento u otros datos.