la impresión de documentos y la protección de datos

Anuncio
LA IMPRESIÓN DE DOCUMENTOS Y LA PROTECCIÓN DE DATOS PERSONALES
Desde el punto de vista de las normas que regulan la protección de datos de carácter personal,
la impresión de documentos en el ámbito laboral es uno de los puntos fundamentales de una
correcta política en materia de la confidencialidad, referida no sólo a la documentación sensible
propiedad de la empresa, sino también respecto de aquellos documentos que sean
susceptibles de contener datos personales y que deban ser objeto de una especial protección.
La clasificación de lo que se considera “confidencial” depende, en última instancia, de una
decisión de organización empresarial, pero es necesario tener en cuenta que no poca
información, de la que se maneja a diario en la empresa, está exenta de contener datos
personales que podrán ir del más básico al más alto nivel de seguridad, en función del tipo de
dato que se esté tratando.
Desde hojas de pedido con datos de clientes o potenciales clientes, pasando por la contabilidad
o información financiera, hasta la típica documentación de un departamento de selección de
personal (currículum vitae), o de recursos humanos (nóminas, listado de personal sindicado) …
la empresa está en poder de una valiosa información contenida en soporte papel, cuando el
usuario envía la orden de impresión al periférico.
Una encuesta encargada por una marca de impresoras en septiembre de 2006, que se realizó
sobre una muestra de 2500 empleados en el seno de medianas y grandes empresas de todos
los sectores de negocio en la Unión Europea, desveló las grandes pérdidas económicas que
supone para la empresas el “olvido” de documentación en las bandejas de impresión y los
enormes riesgos de seguridad a los que se someten las compañías cuando se producen estos
olvidos. En España, un 57% de los empleados reconoció que en más de una ocasión se había
dejado documentación en la impresora: un 31% información relativa a los empleados de la
empresa y un 27% información sobre los clientes de la compañía.
Por tanto, el tratamiento que el trabajador haga de esa documentación es fundamental a la
hora de velar por el cumplimiento, no sólo de la confidencialidad, sino de la legalidad vigente en
esta materia, es decir, la Ley 15/1999 de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD) y el aún en vigor, Reglamento de Medidas de Seguridad (Real Decreto
994/1999 de 11 de junio).
El artículo 9 de la LOPD establece que las partes implicadas en el tratamiento de datos
deberán adoptar las medidas de seguridad necesarias para evitar la alteración, pérdida,
tratamiento o acceso no autorizado a dichos datos personales.
Según lo anterior, la empresa es la encargada de velar por el cumplimiento de las medidas
necesarias para que la integridad del dato no sea vulnerada y, por tanto, de establecer políticas
de seguridad que todos los empleados han de conocer, respetar y cumplir, debiendo contener
aspectos tales como:
•
Situación de la impresora: cualquier dispositivo físico por el que pueda accederse a
datos (no sólo impresoras, también fotocopiadoras, escáneres y similares) deben estar
instalados y colocados de forma estratégica a fin de evitar la visualización de la
información por parte de personas no autorizadas. Al hilo de lo anterior, es
recomendable que para áreas o departamentos que traten información con una mayor
necesidad de confidencialidad (datos contables, financieros, recursos humanos) se
prevea la existencia de un periférico propio y no compartido con otros usuarios.
•
Establecimiento de perfiles de acceso a los dispositivos de impresión con la finalidad
de que sólo las personas autorizadas puedan imprimir por la impresora asignada.
•
Retirada de documentación de la impresora: cuando el usuario envíe documentación a
la impresora, con información de carácter personal o confidencial, deberá asegurarse
de proceder a retirarla de la bandeja de salida cuanto antes, comprobando que no
quedan documentos impresos en la misma. Además, puede darse el caso de
impresoras compartidas por varios empleados o usuarios, que, por otro lado, podrían
no estar autorizados a acceder a la información personal que se está enviando a la
cola de impresión, por lo que el responsable de ese envío deberá mostrar una
diligencia mayor a la hora de retirar los documentos según van siendo impresos.
El hecho de no establecer políticas de este tipo puede llevar a situaciones que, en ocasiones,
han derivado en denuncias recibidas por la Agencia Española de Protección de Datos (AEPD) y
que pueden ser sancionadas en base al incumplimiento no sólo del artículo 9 de la LOPD, sino
también del artículo 10.
El artículo 9 de la Ley establece el principio de “seguridad de los datos” imponiendo la
obligación de adoptar determinadas medidas, tanto técnicas como organizativas, tendentes a
garantizar dicha seguridad, siendo una de las finalidades la de evitar el acceso no autorizado.
La infracción de esta obligación es calificada como grave por el artículo 44.3 h) de la LOPD.
Por su parte, el artículo 10 establece el deber de guardar secreto profesional respecto de los
datos personales tratados. El acceso a los datos, por ejemplo, por otros usuarios sin
autorización para el tratamiento, podría ser considerado por la AEPD como una vulneración del
deber de secreto y, por tanto, una infracción grave del artículo 44.3c) de la LOPD.
Otra de las preocupaciones de la Agencia en estos casos es el destino de la información
impresa cuya recogida se ha descuidado por el usuario, pues en numerosas ocasiones es
documentación que acaba siendo depositada en plena vía pública. Para evitar este acceso
generalizado, es recomendable la destrucción de la documentación que ya no es necesaria,
siendo éste otro de los caballos de batalla en las buenas prácticas empresariales.
Más allá de las normas reguladoras de la protección de datos, las normas voluntarias ISO
también son exigentes respecto a las mejores prácticas relativas a la seguridad de la
información. La norma ISO/IEC 27002:2005 establece, entre otras, la necesidad de que los
usuarios reciban formación y concienciación sobre sus responsabilidades respecto a la
protección de la información manejada, incluyendo la impresión, transporte, destrucción y
archivado de información en soporte papel, así como la recogida de la información sensible y
confidencial impresa, de forma que sólo sea accedida por las personas autorizadas por los
responsables de la información.
En definitiva, ya sea por cumplimiento de obligaciones legales o por preservar la
confidencialidad de la documentación sensible de la empresa, es muy recomendable que las
entidades establezcan políticas internas a seguir que deberán hacer conocer a los empleados,
así como asegurar una correcta gestión y verificación de su cumplimiento.
María del Águila Bigorra
Responsable de Proyectos
Áudea Seguridad de la Información, S.L.
Descargar