Por qué contratar una empresa de destrucción confidencial?

1. Por obligación legal y confidencialidad. Estamos obligados a implantar medidas de seguridad en el traslado y destrucción de documentación sensible. Cuando el volumen de documentación a tratar es elevado se aconseja externalizar

2. Especialización en el servicio. La realización de estas tareas a través de servicios de limpieza, de reciclaje, o pequeñas destructoras pueden suponer una amenaza por riesgos de destrucción deficiente, accesos no autorizados e incumplimientos normativos.

3. Para evitar sanciones (económicas, disciplinarias o inmovilización de ficheros), pérdida de imagen corporativa y reputacional, pérdida de confidencialidad, … derivadas de dichos riesgos.

4. Como prueba ante una posible inspección de la AGPD (de oficio o por denuncia de parte) de tener implementadas las debidas medidas de seguridad y de diligencia debida en la contratación de encargados del tratamiento.

Vale cualquier empresa de destrucción?

1. NO.

2. Una empresa de destrucción de documentos es un encargado del tratamiento (informe 0227/2010 de la AGPD) y debe cumplir por tanto los requisitos exigidos para tal figura.

3. Se exige así que cumpla las obligaciones tanto

a). generales (inscripción de ficheros, documento de seguridad actualizado, auditorias – ordinarias y extraordinarias -, establecimiento de medidas de seguridad en su documento de seguridad y efectivamente implantadas,…)

b). como particulares de dicha figura derivadas de las exigencias del art. 12 LOPD, art. 20 a 22 RDLOPD, y cláusula de confidencialidad (relación contractual establecida de manera expresa, estableciendo claramente la finalidad, y las medidas de seguridad a adoptar, prohibición de subcontratación sin autorización del Responsable de los ficheros, limitación del acceso a personal ajeno, …).

4. Las autoridades exigen una “especial diligencia” en la elección de los encargados del tratamiento. Manifestación del “deber de velar” por el cumplimiento del art 20.2 RDLOPD

5. La emisión de un “certificado de destrucción” no es indicativo de haber adoptado las “debidas medidas” de seguridad en el proceso ni del cumplimiento de los requisitos anteriores.

6. Así pues, se debe contratar una empresa especializada, que proporcione garantías suficientes de cumplimiento de los contratos y de adopción de medidas de seguridad a través por ejemplo de la adhesión a códigos de conducta o certificación homologada y de acreditación de solvencia ( ej: Norma UNE EN 15713/2010, ISO 27001, ISO 9001,…)


Javier Puentes González (experto en Privacidad y P.D. por la U. Murcia)

Comentarios: 0 (Discusión cerrada)
    Todavía no hay comentarios.