Sanción por no destruir documentos

Sanción por no destruir documentos

Recientemente la Agencia Española de Protección de Datos (AEPD) sancionó con 100.000 € a una empresa por no custodiar adecuadamente documentación inservible.

Es cierto que este caso puede parecer extremo y ajeno a nuestra empresa, sin embargo, a continuación te mostraremos situaciones reales que demuestran que estos supuestos son más habituales de lo que parece, así como la forma correcta de actuar para evitar posibles sanciones.

La sanción comentada, se ha impuesto a un prestador de servicios de prevención de riesgos laborales por abandonar en la vía pública una caja con reconocimientos médicos de agentes de la Guardia Civil y Policía Nacional.

La AEPD consideró que la empresa incumplió la Normativa de protección de datos, concretamente el art. 5.1 f) del RGPD al exponer indebidamente datos personales, incluidos datos de categoría especial, por falta de diligencia en su custodia.

Lo que nos enseña este caso

Es fundamental comprender que el RGPD y la LOPDGDD no solo obligan a proteger los datos mientras se usan internamente, sino también a asegurar su destrucción correcta o eliminación total cuando dejan de ser necesarios, evitando cualquier posibilidad de acceso no autorizado.

Destrucción segura: más allá del papel

Para cumplir con el principio legal de integridad y confidencialidad (art. 5 RGPD), todas las empresas deben asegurarse de que:

  1. Documentación en papel

  • Los documentos que contienen datos personales se destruyen mediante triturado certificado.
  • Se mantiene un registro interno de destrucciones de lotes.
  • Se identifican correctamente los tipos de datos sensibles antes de su eliminación.

Dejar documentos en un contenedor general o simplemente “por error” en un lugar accesible puede suponer una responsabilidad sancionadora.

  1. Dispositivos tecnológicos

Los datos no residen solo en papel. Dispositivos como ordenadores, discos duros, USB o móviles también pueden contener información personal. Hay que aplicar:

  • Borrado seguro o sobreescritura conforme a las mejores prácticas (no vale solo eliminar ficheros).
  • Uso de herramientas de destrucción criptográfica si procede.
  • Certificados de destrucción, especialmente cuando se externaliza la eliminación.

  1. Soportes de terceros

Si contamos con una empresa proveedora (por ejemplo, digitalización, almacenamiento o gestión documental), se debe:

  • Formalizar contratos de encargado del tratamiento conforme al art. 28 RGPD.
  • Exigir procedimientos de destrucción seguros y auditorías periódicas.
  • Comprobar que los terceros aplican medidas técnicas y organizativas adecuadas. Solicitar certificación.

Destruir es proteger

La destrucción de datos no es un trámite administrativo ni un detalle menor, es parte del ciclo de vida del tratamiento de datos y por tanto, esencial para cumplir con la Normativa de protección de datos.

Asegurar la eliminación segura de información personal (papel y en dispositivos tecnológicos) protege los derechos fundamentales de las personas cuyos datos gestionas, pero también implicaría un daño reputacional, pues las sanciones son públicas y ello supondría una pérdida de confianza por parte de clientes, proveedores o instituciones públicas.

Si necesitas servicios de Destrucción confidencial de información (papel o tecnológica), auditar tus procesos de destrucción de datos, redactar o revisar tus protocolos, contratas con encargados del tratamiento, o recibir formación específica, en Business Adapter podemos ayudarte con soluciones adaptadas a tu organización y a la normativa española y europea vigente.

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!