Buscar en este blog

martes, 9 de junio de 2015

De la destrucción de documentos


En estos últimos días, posteriores a las elecciones del 24 de mayo, se ha convertido en habitual, ver noticias relativas a la posible destrucción de documentación con fines de ocultación de datos, ejemplo de dichas noticias, son los siguientes enlaces:




Dada la evidente relación de este tema con la Protección de Datos, pues no solo cabe contra ella, la vía penal, sino también la administrativa, creemos interesante aprovechar la coyuntura, para recordar la doctrina de la Audiencia Nacional, a este respecto, tal y como la misma esta enunciada en la Sentencia de 23-03-2006, de su Sección Primera, relativa al Incumplimiento de las medidas de seguridad en la destrucción de documentos.

“FUNDAMENTOS DE DERECHO.TERCERO.- La infracción imputada a la recurrente es la del artículo 9.1 de la Ley Orgánica de Protección de Datos a cuyo tenor el responsable del fichero y, en su caso, el encargado del tratamiento”…deberán adoptar las medidas de índole organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, perdida tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a los que están expuestos, ya provengan de la acción humana o del medio físico o natural.

“Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron conforme a dicho precepto de la Ley 15/1999, ha establecido la siguiente doctrina (sentencia de 13 de junio de 2002, Rec 1161/2001, y 7 de febrero de 2003, Rec 1182/2003):

No basta entonces con la adopción de cualquier medida pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquellas se instauren y pongan en práctica de manera efectiva. Así de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones. En el caso que nos ocupa ha quedado acreditado que la entidad ahora demandante no prestó la debida diligencia necesaria en orden a la efectiva observancia de aquellas medidas de seguridad, pues de otro modo no se explica que los documentos en los que figuran datos de carácter personal apareciesen publicados en una revista de amplia difusión en la que se afirmaba que habían sido encontrados en la basura.”

Hemos considerado en consecuencia que se impone una  obligación de resultado, consistente en que se  adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben manos de terceros. En definitiva, y como manifiesta el Abogado del Estado en la contestación, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos y por  tanto debe dar una  explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las misma se cumplan y se ejecuten con rigor. En definitiva toda responsable de un fichero  (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas.”