La impresión de documentos en el ámbito laboral es uno de los puntos fundamentales de una correcta política de confidencialidad, no sólo por la documentación sensible para la propia empresa, sino también por aquellos documentos que contengan datos de carácter personal.
La clasificación de lo que se considera “confidencial” depende de una decisión de organización empresarial, pero es necesario tener en cuenta que mucha información de la que se maneja a diario en una empresa contiene datos personales que podrán ir del más básico al más alto nivel de seguridad.
Desde hojas de pedido con datos de clientes o potenciales clientes, pasando por la contabilidad o información financiera, hasta la típica documentación de un departamento de selección de personal (currículum vitae), o de recursos humanos (nóminas, listado de personal sindicado) … la empresa está generando una valiosa información en soporte papel.
Una encuesta encargada por una importante marca de impresoras en 2006, desveló las grandes pérdidas económicas que supone el “olvido” de documentación en las bandejas de impresión y los enormes riesgos de seguridad que implica. En España, un 57% de los empleados reconoció que en más de una ocasión se había dejado documentación en la impresora: un 31% información relativa a los empleados de la empresa y un 27% información sobre los clientes de la compañía.
Por lo tanto, el buen uso que el trabajador haga de esa documentación es fundamental a la hora de velar por el cumplimiento, no sólo de la confidencialidad, sino de la legislación vigente en esta materia.
El artículo 9 de la LOPD establece que las partes implicadas en el tratamiento de datos deberán adoptar las medidas de seguridad necesarias para evitar la alteración, pérdida, tratamiento o acceso no autorizado a dichos datos personales.
Según lo anterior, la empresa es la encargada de velar por el cumplimiento de las medidas necesarias para que la integridad del dato no sea vulnerada y, por tanto, de establecer políticas de seguridad que todos los empleados han de conocer, respetar y cumplir, debiendo contener aspectos tales como:
- Situación de la impresora: cualquier dispositivo físico por el que pueda accederse a datos (no sólo impresoras, también fotocopiadoras, escáneres y similares) deben estar instalados y colocados de forma estratégica a fin de evitar la visualización de la información por parte de personas no autorizadas. Al hilo de lo anterior, es recomendable que para áreas o departamentos que traten información con una mayor necesidad de confidencialidad (datos contables, financieros, recursos humanos) se prevea la existencia de un periférico propio y no compartido con otros usuarios.
- Establecimiento de perfiles de acceso a los dispositivos de impresión con la finalidad de que sólo las personas autorizadas puedan imprimir por la impresora asignada.
- Retirada de documentación de la impresora: cuando el usuario envíe documentación a la impresora, con información de carácter personal o confidencial, deberá asegurarse de proceder a retirarla de la bandeja de salida cuanto antes, comprobando que no quedan documentos impresos en la misma. Además, puede darse el caso de impresoras compartidas por varios empleados o usuarios, que podrían no estar autorizados para acceder a la información personal que se está imprimiendo.
El hecho de no establecer políticas de este tipo puede llevar a situaciones que, en ocasiones, han derivado en denuncias ante la Agencia Española de Protección de Datos (AEPD) y que pueden ser sancionadas en base al incumplimiento no sólo del artículo 9 de la LOPD, sino también del artículo 10, que establece el deber de guardar secreto profesional respecto de los datos personales tratados. El acceso a los datos, por ejemplo, por otros usuarios sin autorización para el tratamiento, podría ser considerado por la AEPD como una vulneración del deber de secreto, tipificada como una infracción grave de la LOPD con multas entre 60.000 y 300.000 euros.
Otra de las preocupaciones de la Agencia en estos casos es el destino de la información impresa cuya recogida se ha descuidado por el usuario, pues en numerosas ocasiones la documentación acaba siendo depositada en plena vía pública. Para evitar este acceso generalizado, es recomendable la destrucción de la documentación que ya no es necesaria.
Más allá de las normas reguladoras de la protección de datos, las normas voluntarias ISO también son exigentes respecto a las mejores prácticas relativas a la seguridad de la información. La norma ISO/IEC 27002:2005 establece la necesidad de que los usuarios reciban formación y concienciación sobre sus responsabilidades respecto a la protección de la información manejada, incluyendo la impresión, transporte, destrucción y archivado de información en soporte papel, así como la recogida de la información sensible y confidencial impresa, de forma que sólo sea accedida por las personas autorizadas por los responsables de la información.
En definitiva, ya sea por cumplimiento de obligaciones legales o por preservar la confidencialidad de la documentación sensible de la empresa, es muy recomendable que las entidades establezcan políticas internas a seguir que deberán hacer conocer a los empleados, así como asegurar una correcta gestión y verificación de su cumplimiento.