En estos últimos días, posteriores a las
elecciones del 24 de mayo, se ha convertido en habitual, ver noticias relativas
a la posible destrucción de documentación con fines de ocultación de datos,
ejemplo de dichas noticias, son los siguientes enlaces:
Dada la evidente relación de este tema con la
Protección de Datos, pues no solo cabe contra ella, la vía penal, sino también
la administrativa, creemos interesante aprovechar la coyuntura, para recordar
la doctrina de la Audiencia Nacional,
a este respecto, tal y como la misma esta enunciada en la Sentencia de
23-03-2006, de su Sección Primera, relativa al Incumplimiento de las medidas de
seguridad en la destrucción de documentos.
“FUNDAMENTOS DE
DERECHO.TERCERO.- La infracción
imputada a la recurrente es la del artículo
9.1 de la Ley Orgánica de Protección de Datos a cuyo tenor el responsable
del fichero y, en su caso, el encargado del tratamiento”…deberán adoptar las
medidas de índole organizativa necesarias que garanticen la seguridad de los
datos de carácter personal y eviten su alteración, perdida tratamiento o acceso
no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los
datos almacenados y los riesgos a los que están expuestos, ya provengan de la
acción humana o del medio físico o natural.
“Esta misma Sala,
resolviendo supuestos anteriores en los que los hechos se tipificaron conforme
a dicho precepto de la Ley 15/1999, ha establecido la siguiente doctrina (sentencia de 13 de junio de 2002,
Rec 1161/2001, y 7 de febrero de 2003, Rec 1182/2003):
No basta entonces
con la adopción de cualquier medida pues deben ser las necesarias para
garantizar aquellos objetivos que marca el precepto. Y por supuesto, no basta con la aprobación formal de las
medidas de seguridad, pues resulta exigible que aquellas se instauren y pongan
en práctica de manera efectiva. Así de nada sirve que se aprueben unas
instrucciones detalladas sobre el modo de proceder para la recogida y
destrucción de documentos que contengan datos personales, si luego no se exige
a los empleados del banco la observancia de aquellas instrucciones. En el caso
que nos ocupa ha quedado acreditado que la entidad ahora demandante no prestó
la debida diligencia necesaria en orden a la efectiva observancia de aquellas
medidas de seguridad, pues de otro modo no se explica que los documentos en los
que figuran datos de carácter personal apareciesen publicados en una revista de
amplia difusión en la que se afirmaba que habían sido encontrados en la
basura.”
Hemos considerado
en consecuencia que se impone una obligación de resultado, consistente en que
se adopten las medidas necesarias para
evitar que los datos se pierdan, extravíen o acaben manos de terceros. En
definitiva, y como manifiesta el Abogado del Estado en la contestación, la
recurrente es, por disposición legal, una deudora de seguridad en materia de
datos y por tanto debe dar una explicación adecuada y razonable de cómo los
datos personales han ido a parar a un lugar en el que son susceptibles de
recuperación por parte de terceros, siendo insuficiente con acreditar que
adopta una serie de medidas, pues también es responsable de que las misma se
cumplan y se ejecuten con rigor. En
definitiva toda responsable de un fichero
(o encargada de tratamiento) debe asegurarse de que dichas medidas o
mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún
concepto, datos bancarios o cualesquiera otros datos de carácter personal
puedan llegar a manos de terceras personas.”