jueves, 21 de agosto de 2008

Buenas prácticas en la gestión del papel

Hoy les comentaré dos resoluciones de la Agencia Española de Protección de datos en las que se pone de manifiesto la importancia contar no sólo con políticas adecuadas para la gestión del papel sino también la necesidad de concienciar/entrenar al personal en su cumplimiento.
Los hechos son bastante parecidos en ambas.
En la resolución R/00648/2008, recaída en el PS/00480/2007, la Agencia sancionó al Banco Santander con una multa de 60.101,21 € por una vulneración del art. 9 de la LOPD (principio de seguridad).
El procedimiento se inició con una denuncia de la Jefatura de Policía de Laguardia, en la que se ponía en conocimiento de la Agencia que se habían encontrado en una carretera diversos documentos con datos de carácter personal de clientes del Banco Santander. Al parecer, los documentos habían sido desechados indebidamente en una caja destinada a papel no sensible (como prensa escrita o publicidad). Durante las actuaciones, el representante de le entidad aportó la circular interna de la Organización sobre destrucción del papel, parte de la cual es reproducida en la resolución comentada. En ella, se indica expresamente que “es de vital importancia evitar que tanto la información relativa a datos bancarios o personales de nuestros clientes, como aquélla otra de uso interno que tenga el carácter de reservada o sensible, salga del control del Banco” y se detallan medidas concretas sobre como proceder a la destrucción de cada tipo de documentos.
A juicio de la Agencia, contar con una política interna sobre destrucción del papel no es suficiente. En este sentido, recuerda la jurisprudencia de la Audiencia Nacional (sentencias de 13/06/2002 y 07/02/2003), en donde se deja claro que no basta con la aprobación formal de las medidas de seguridad, sino que resulta necesario demostrar la diligencia de la organización en su cumplimiento. No obstante, aplicando los criterios de graduación establecidos en el art. 45.4 de la LOPD, la AEPD impone la sanción en su grado mínimo.
En la resolución R/00665/2008, recaída en el procedimiento PS/00523/2007, la sancionada es la marca de ropa Bershka. En este caso, el SEPRONA de Santa Cruz de Tenerife pone en conocimiento de la AEPD el abandono en un paraje de currícula vitae con fotografías y datos de contacto, así como tarjetas de contacto denominadas “MICRO CV” cuyo destinatario era la organización sancionada.
Bershka también aportó un procedimiento escrito en el que se informaba al personal del tratamiento que debería darse a los CV de candidatos y se señalaba que éstos deben ser remitidos a la central para su destrucción, nunca tirarse a la basura. Adicionalmente, se presentó copia del contrato suscrito con una empresa especializada en destrucción del papel que cumplía los requisitos del art.12 y las cartas de despido remitidas con anterioridad al inicio del procedimiento sancionador a la encargada y segunda encargada de la tienda de la que procedían los documentos por diversas irregularidades en su trabajo.
La Agencia repite casi textualmente el razonamiento de la resolución del Banco Santander, sin embargo la sanción impuesta es tan sólo de 6000 €. La razón está en que en este caso aplica no los criterios de graduación de la sanción del art. 45.4, sino el artículo 45.5 con la siguiente argumentación:
“La aplicación con carácter excepcional del citado artículo 45.5 exige la concurrencia de, al menos, uno de los siguientes requisitos: a) Disminución de la culpabilidad del imputado y b) Disminución de la antijuricidad del hecho.
Dicho artículo, que no es sino la manifestación del llamado principio de proporcionalidad (art. 131 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en lo sucesivo LRJPAC), incluido en el más general de prohibición de exceso reconocido por la Jurisprudencia como Principio General del Derecho (Sentencia del Tribunal Constitucional 62/1982), y es consecuencia del valor justicia que informa nuestro Ordenamiento Jurídico (Art. 1 de la Constitución Española), sin embargo debe aplicarse con exquisita ponderación, y sólo en los casos en los que la culpabilidad resulte sustancialmente atenuada atendidas las circunstancias del caso concreto. Lo cual puede darse , por excepción, en casos extremos.
Pues bien, los hechos descritos suponen una clara conducta negligente por parte de una empleada de Bershka España, S.A., al no cumplir las medidas de seguridad exigidas en la legislación vigente e implementadas por dicha entidad, con el resultado del acceso de terceros no interesados a datos personales, vulnerándose en consecuencia el deber de secreto que tiene tanto el responsable del fichero como aquellos que intervienen en cualquier fase del tratamiento de dichos datos. No obstante, se aprecia una cualificada disminución de la culpabilidad ya que la entidad responsable incorporó las medidas de seguridad adecuadas al tipo de ficheros que mantiene, informó a sus empleados de ellas, los documentos se encontraron y recuperaron de forma inmediata, por tanto, procede la aplicación en el presente supuesto del artículo 45.5 de la LOPD, proponiendo la imposición de la sanción de 6000 €.”

¿Por qué en el caso del Banco Santander la AEPD no aplicó el art. 45.5 si la en también la entidad responsable había informado a sus empleados y desarrollado procedimientos de seguridad adecuados?
Quizás los datos bancarios se consideraron de mayor relevancia que los incluidos en un cv (aunque de ser así, ¿por qué no se menciona en ninguna parte de la resolución?).
En el ámbito de la protección de datos, hay preguntas que no tienen respuesta. En cualquier caso, al hilo de los anteriores procedimientos, les dejo las siguientes recomendaciones sobre gestión de papel en una organización:
1º. Redacte instrucciones sencillas que puedan ser cumplidas por el personal sin incurrir en obligaciones adicionales.
2º. Invierta en los recursos necesarios para la gestión del papel…No sólo destructoras de papel, sino también archivadores y dependencias adecuadas…. En muchos casos, los empleados no pueden cumplir adecuadamente las políticas internas de la organización por falta de medios.
3º. Si el volumen de papel lo aconseja, contrate a una empresa especializada en la destrucción de éste. No olvide que en este caso deberá firmar un contrato de tratamiento de datos por encargo. Cuanto más preciso sea dicho contrato detallando el método de destrucción, mejor. Nunca está de más exigir certificados con la fecha de destrucción o pedir que se muestre el documento de seguridad corporativo y los informes de auditorías de medidas de seguridad, si corresponde realizarlos.
4º. Informe a todo el personal de los procedimientos internos de gestión de papel por medios que dejen constancia de que dicha comunicación se ha realizado: organización de cursos internos con listas de asistencia, distribución de notas informativas periódicas por e-mail o a través de redes corporativas, entrega de manuales de seguridad del empleado a la firma del contrato de trabajo, ….
5º. Motive a su personal para cumplimiento de las directrices sobre gestión del papel (por ejemplo, organice concursos para premiar a los departamentos o sedes que gasten menos papel como medida para reducir las impresiones de pantalla).
6º. Realice auditorías internas y/o externas en las que se mencione expresamente que se ha verificado la correcta aplicación de la política corporativa de gestión de papel. Los informes de auditoría, podrán presentarse como prueba de la diligencia de la empresa en caso de que la AEPD instruya algún procedimiento sancionador.

No hay comentarios: