La protección de datos ha adquirido una relevancia angular en el día a día de las compañías. La normativa sobre protección de datos ha experimentado también un notable y minucioso desarrollo a nivel europeo, armonizando los ordenamientos jurídicos de los estados miembros con la finalidad de acercar posturas y formas de actuar.
De modo preliminar, debemos tener en cuenta algunas definiciones básicas sobre la materia. Por datos personales el RGPD entiende “toda información sobre una persona física identificada o identificable” y por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales”.
A pesar de esto, y de que la protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental protegido constitucionalmente y por la Carta de Derechos Fundamentales, hay muchas empresas que siguen haciendo cosas contrarias a la legislación vigente. Una de ellas tiene que ver con la manera en la que se suprimen los datos de los interesados una vez que finaliza o se revoca el derecho al tratamiento.
No es ningún secreto que en la mayoría de las empresas se almacenan una gran cantidad de documentos en formato físico (nóminas, contratos, poderes, facturas, currículums, etc.), y que, aunque ya no se utilicen, al tener datos personales, deben mantenerse protegidos. Por ello, si hay que suprimirlos, se debe hacer acorde a la normativa en materia de privacidad vigente, y no vale con deshacerse de ellos.
En este sentido, hay que mencionar que los interesados tienen derecho a pedir, y a conseguir que, sin dilación indebida, el responsable del tratamiento suprima los datos personales que les conciernan en caso de que, entre otros, ya no sean necesarios en relación con los fines para los que fueron recogidos, retiren el consentimiento o se opongan al tratamiento.
De no suprimir dichos datos de una manera correcta, y acorde a lo establecido en el RGPD, las compañías podrían ser objeto de sanciones que ascienden hasta los 20 millones de euros, o entre el 2% y el 4% de su facturación anual.
Según dicha normativa, cuando se suprimen documentos físicos que contienen datos personales, deben quedar totalmente inservibles e ilegibles, para mantener la confidencialidad de dichos datos. En este sentido, se contemplan tres formas diferentes de proceder con la destrucción de documentos:
- Incineración de documentos: esta opción, si bien destruye completamente los documentos, puede no ser la más recomendable, puesto que no se pueden quemar documentos en cualquier parte, y dejan múltiples residuos (cenizas) que luego no disponen de mayor utilidad y son difíciles de transportar y tirar.
- Trituración de documentos: esta opción es medianamente sencilla y se puede llevar a cabo en el seno de la compañía. Si bien es un proceso ruidoso, y requiere de maquinaria adecuada y espacio suficiente, una vez que se destruyen los documentos, se pueden reciclar.
- Contratación de una empresa externa: esta quizás sea la opción más sencilla y extendida en la actualidad. No sólo nos aseguramos de que un tercero cualificado destruya los documentos en sus propias instalaciones, y que este proceso sea periódico en el tiempo, sino que, además, dichas compañías emiten certificados que acreditan dicha destrucción.
Se realice como se realice, dicha supresión de documentos físicos que contengan datos personales, debe hacerse conforme a la legislación vigente, evitando así que puedan estar al alcance de cualquier persona no autorizada para su tratamiento. Además, la destrucción de estos documentos tiene otros múltiples beneficios para las empresas, como, por ejemplo:
- Mejora en el orden y en el espacio disponible de la compañía.
- Cumplimiento de la ley y evitar sanciones.
- Seguridad para que terceros no autorizados puedan disponer de documentación confidencial o sensible.
- Motivos económicos, ya que almacenar una gran cantidad de documentos en papel puede conllevar un importante gasto, tanto en espacio como en gestión.
- Preservación del medio ambiente y mejora de la sostenibilidad de la empresa.
No cumplir con las medidas de seguridad necesarias a la hora de destruir documentos no sólo puede suponer un incumplimiento de lo establecido en las normas de protección de datos, sino que, además, puede dar lugar a infracciones penales (delito de revelación de secretos).
En cualquier caso, lo que está claro es que, si se produjese un robo o acceso no autorizado a información personal, se originaria un riesgo para la reputación de la empresa que tendría importantes consecuencias para su imagen pública.
Por todo lo anterior, se hace esencial ser cuidadosos en la manera en la que se almacenan y destruyen documentos que contengan datos personales, ya que no todo vale y las multas están a la orden del día.