Protección de datos, borrado de datos y equipos informáticos

Diferentes medios de comunicación se han hecho eco de la noticia esta semana: “El PP borró los discos duros de los dos ordenadores de Bárcenas” (Libertad Digital), “El PP asegura que la Ley de Protección de Datos obliga a borrar y formatear un ordenador cada vez que cambia de usuario” (lainformacion.com), “El partido asegura que la Ley de protección de Datos lo obliga a borrar la información y formatear los ordenadores cada vez que un usuario lo devuelve a la empresa para que lo pueda utilizar otro” (ABC.es), “El PP vació los ordenadores de Bárcenas en abril, al archivarse la denuncia de robo” (El País). Según dichas informaciones “El Partido Popular recuerda que por la Ley de Protección de Datos cada vez que un usuario deja de utilizar un equipo que le ha sido asignado, se reintegra al sistema —general, es decir, a la empresa— y esta debe borrar la información que contiene, formatearlo y ponerlo a disposición de otro usuario. Señalan, en este sentido, que eso se aplica a todos los medios de almacenamiento masivo de información como los pendrive, CDs o discos duros externos. En este sentido, explican que en la Ley de Protección de Datos hay una «guía sobre almacenamiento y borrado seguro de información» desarrollada en el Real Decreto de 21 de diciembre de 2007. En su artículo 92.4 dice que «siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior». Real Decreto de 21 de diciembre de 2007″.

Sin entrar en valoraciones de carácter político o en el fondo del procedimiento judicial en curso, cabe recordar que el citado artículo establece, bajo el título “Gestión de soportes y documentos”:

1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

De dicha destrucción debe dejarse la correspondiente constancia en el Documento de Seguridad del Responsable del Fichero, tal y como se desprende del artículo 88.3.g) del citado Real Decreto “las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos”.

Cierto es que el citado artículo hace referencia a las medidas de seguridad a adoptar para los datos de nivel básico en el momento de su destrucción, lo que no hace referencia dicho artículo es a la obligatoriedad de eliminar la información cuando haya cambios de personal. El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, entre sus definiciones, entiende por Fichero “odo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, y por Fichero de titularidad privada “los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica”, siendo el Responsable del Fichero, la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”.

En este sentido, los datos tratados por la organización política forman parte de los Ficheros de los que es responsable, y que deberán estar correctamente inscritos en el Registro de la Agencia Española de Protección de Datos. A dichos datos, dependiendo de la tipología y su finalidad de tratamiento, se les aplicarán diferentes niveles de seguridad, desde el nivel básico hasta el alto (aplicable a los datos de afiliación política y sindical). Lo que parece claro es que los empelados o colaboradores de una determinada organización política no tratan los datos por cuenta propia o con caracter personal, si lo hacen es dentro de una estructura en cumplimiento de una determinadas funciones, por lo que en el momento del cese hay determinada información que debe ser custodiada y necesariamente tratada por sus sustitutos en el cargo para el diario funcionamiento de la entidad.

Por otra parte existen una serie de obligaciones legales que instan a custodiar los datos durante un plazo determinado de tiempo, desde la finalización del tratamiento de los datos (cinco años como norma general conforme a la Ley de autonomía del paciente en el ámbito sanitario) o del cierre de un determinado año fiscal (en caso de obligaciones tributarias y contables). Dicha información no podrá ser cancelada o borrada sin más, ya que deberá quedar bloqueada a disposición de los jueces en los términos previstos por la Ley. En este sentido recordar el artículo 29.2.d) de la Ley 58/2003, de 17 de diciembre, general tributaria, donde se recoge “la obligación de llevar y conservar libros de contabilidad y registros, así como los programas, ficheros y archivos informáticos que les sirvan de soporte y los sistemas de codificación utilizados que permitan la interpretación de los datos cuando la obligación se cumpla con utilización de sistemas informáticos. Se deberá facilitar la conversión de dichos datos a formato legible cuando la lectura o interpretación de los mismos no fuera posible por estar encriptados o codificados”.

Debe recordarse el artículo 10.4. b) del Real Decreto citado “la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente”.

Lo que si establece el Real Decreto, en su artículo 113, en relación al acceso a la documentación “1. El acceso a la documentación se limitará exclusivamente al personal autorizado. 2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. 3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad”.

Al cesar la relación con un empleado o colaborador que accede a información corporativa y datos de la organización para su gestión, en medios corporativos, habrá que dar de baja el perfil de acceso, custodiando los datos de acceso, atendiendo al nivel de seguridad, para depurar posibles responsabilidades, así mismo se podrá eliminar la información personal del mismo (en determinados foros se recomienda la inclusión del termino personal en correos personales enviados desde un mail corporativo), todo ello sin detrimento de las posibles normativas de seguridad firmadas por los empleados o cargos que hagan referencia a la utilización de correos corporativos o hardware y software de la organización.

Cuando se habla en el Real Decreto de baja de soportes y destrucción de información o soportes, se hace referencia al hardware en el que se almacenan los datos siempre y cuando estos vayan a ser dados de baja o vayan a pasar a otro empelado, entiendo que con diferente nivel de acceso a la información, no excluye la Ley la posibilidad de hacer copia de seguridad o respaldo de dicha información para ser custodiada el tiempo necesario a nivel interno o legalmente establecido.

En caso de que los equipos informáticos reseñados en las informaciones periodísticas fueran reutilizados para otros empleados con diferente nivel de acceso, deberá hacerse constancia en el correspondiente inventario de soportes informáticos, conforme a los recogido en el artículo 101 del Reglamento, sobre gestión y distribución de soportes:

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

El artículo 102 establece, no obstante, que “deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación”, esta obligación viene a completar la conservación de los datos, pese a que el equipo haya sido reutilizado, al tener una copia de respaldo externa, podrá recuperarse la información si fuese necesaria, o requerida judicialmente..

El diario lainformación.com, se hacia eco de las palabras del portavoz de Jueces para la Democracia, Joaquim Bosch, quien ha subrayado en declaraciones a Europa Press que el precepto invocado por la formación política relativo a la Ley de Protección de Datos se refiere a la destrucción de datos personales. “No se entiende que se haya destruido absolutamente todo”, ha remachado. “Aquí se han borrado no datos de carácter personal, sino todo el disco duro”, ha señalado Bosch, para plantear que “si Bárcenas trabajaba en un espacio del PP y a las órdenes del PP con esos ordenadores, hay que presumir que no era información mayoritariamente personal, sino datos correspondientes al PP”.

Sobre las informaciones vertidas en los diferentes medios de comunicación, se debe hacer referencia a que la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal no establece una guía sobre almacenamiento y borrado seguro de la información, esta fue publicada por INTECO (Instituto Nacional de Tecnologías de la Comunicación), en la misma se proponen algunos métodos de destrucción de la información seguros, ya sea por desmagnetización, destrucción física o sobreescritura. A la vez hace un repaso de algunos métodos de borrado de datos que no son seguros para las empresas.

La citada guía en su epígrafe 5.3 recoge que la “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD), obliga a las empresas a custodiar la información de modo que no pueda ser accedida por terceros no autorizados. Hace referencia a la legislación aplicable en cuanto al uso y difusión de datos personales de un tercero sin previa autorización (por ejemplo, publicar fotografías de un cliente en el perfil social de la empresa o difundir datos personales de un socio empresarial sin previa autorización, entre otros). Además, es importante tomar en consideración que las empresas e instituciones de cualquier tamaño son responsables de todos los datos informáticos almacenados en sus equipos. Cada día más, los empleados almacenan grandes cantidades de información en los discos duros de sus equipos informáticos, que en muchos casos, contienen a su vez datos personales o privados que les confieren características de confidencialidad. La eliminación no segura de la información puede ocasionar una posterior recuperación no autorizada, ocasionando grandes perjuicios comerciales, de imagen y, por supuesto, legales. El Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD) desarrolla de forma completa la LOPD. Específicamente en el artículo 92.4 se expone lo siguiente: siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. Las sanciones por el incumplimiento de obligaciones legales en materia de protección de datos pueden variar entre 900 euros a 40.000 euros (infracciones leves), entre 40.001 a 300.000 euros (infracción grave) y entre 300.001 a 600.000 euros (infracción muy grave), siendo la Agencia Española de Protección de Datos la entidad encargada de su aplicación. Por las razones expuestas anteriormente, es de gran importancia realizar un borrado seguro de datos, no sólo desde el punto de vista de la privacidad de los usuarios y la seguridad de las empresas, sino que, además, constituye una medida de obligatorio cumplimiento cuando se trata de datos de carácter personal, según lo estipulado en la LOPD y el RDLOPD”. Tal y como se deduce la misma, no establece una obligatoriedad de eliminar la información en el caso estudiado, si no que establece una serie de recomendaciones seguras en el caso de que el Responsable del Fichero vaya a borrar o destruir los datos o soportes que los contienen.

Por último cabe recordar las implicaciones legales, no solo en materia de protección de datos, si no en el ámbito penal, que la destrucción de la información podría conllevar. Nuestro Código Penal recoge en su artículo 264 que quien “por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años”.