La impresión de documentos y la protección de datos personales

La impresión de documentos y la protección de datos personales

Desde el punto de vista de las normas que regulan la protección de datos de carácter personal, la impresión de documentos en el ámbito laboral es uno de los puntos fundamentales de una correcta política en materia de la confidencialidad, referida no sólo a la documentación sensible propiedad de la empresa, sino también respecto de aquellos documentos que sean susceptibles de contener datos personales y que deban ser objeto de una especial protección.

La clasificación de lo que se considera «confidencial» depende, en última instancia, de una decisión de organización empresarial, pero es necesario tener en cuenta que no poca información, de la que se maneja a diario en la empresa, está exenta de contener datos personales que podrán ir del más básico al más alto nivel de seguridad, en función del tipo de dato que se esté tratando.

Desde hojas de pedido con datos de clientes o potenciales clientes, pasando por la contabilidad o información financiera, hasta la típica documentación de un departamento de selección de personal (currículum vitae), o de recursos humanos (nóminas, listado de personal sindicado) … la empresa está en poder de una valiosa información contenida en soporte papel, cuando el usuario envía la orden de impresión al periférico.

Una encuesta encargada por una marca de impresoras [A1] en septiembre de 2006, que se realizó sobre una muestra de 2500 empleados en el seno de medianas y grandes empresas de todos los sectores de negocio en la Unión Europea, desveló las grandes pérdidas económicas que supone para la empresas el «olvido» de documentación en las bandejas de impresión y los enormes riesgos de seguridad a los que se someten las compañías cuando se producen estos olvidos. En España, un 57% de los empleados reconoció que en más de una ocasión se había dejado documentación en la impresora: un 31% información relativa a los empleados de la empresa y un 27% información sobre los clientes de la compañía.

Por tanto, el tratamiento que el trabajador haga de esa documentación es fundamental a la hora de velar por el cumplimiento, no sólo de la confidencialidad, sino de la legalidad vigente en esta materia, es decir, la Ley 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y el aún en vigor, Reglamento de Medidas de Seguridad (Real Decreto 994/1999 de 11 de junio).

El artículo 9 de la LOPD establece que las partes implicadas en el tratamiento de datos deberán adoptar las medidas de seguridad necesarias para evitar la alteración, pérdida, tratamiento o acceso no autorizado a dichos datos personales.

Según lo anterior, la empresa es la encargada de velar por el cumplimiento de las medidas necesarias para que la integridad del dato no sea vulnerada y, por tanto, de establecer políticas de seguridad que todos los empleados han de conocer, respetar y cumplir, debiendo contener aspectos tales como:

  • Situación de la impresora: cualquier dispositivo físico por el que pueda accederse a datos (no sólo impresoras, también fotocopiadoras, escáneres y similares)  deben estar instalados y colocados de forma estratégica a fin de evitar la visualización de la información por parte de personas no autorizadas. Al hilo de lo anterior, es recomendable que para áreas o departamentos que traten información con una mayor necesidad de confidencialidad (datos contables, financieros, recursos humanos) se prevea la existencia de un periférico propio y no compartido con otros usuarios.
  • Establecimiento de perfiles de acceso a los dispositivos de impresión con la finalidad de que sólo las personas autorizadas puedan imprimir por la impresora asignada.
  • Retirada de documentación de la impresora: cuando el usuario envíe documentación a la impresora, con información de carácter personal o confidencial, deberá asegurarse de proceder a retirarla de la bandeja de salida cuanto antes, comprobando que no quedan documentos impresos en la misma. Además, puede darse el caso de impresoras compartidas por varios empleados o usuarios, que, por otro lado, podrían no estar autorizados a acceder a la información personal que se está enviando a la cola de impresión, por lo que el responsable de ese envío deberá mostrar una diligencia mayor a la hora de retirar los documentos según van siendo impresos.

El hecho de no establecer políticas de este tipo puede llevar a situaciones que, en ocasiones, han derivado en denuncias recibidas por la Agencia Española de Protección de Datos (AEPD) y que pueden ser sancionadas en base al incumplimiento no sólo del artículo 9 de la LOPD, sino también del artículo 10.

El artículo 9 de la Ley establece el principio de «seguridad de los datos» imponiendo la obligación de adoptar determinadas medidas, tanto técnicas como organizativas, tendentes a garantizar dicha seguridad, siendo una de las finalidades la de evitar el acceso no autorizado. La infracción de esta obligación es calificada como grave por el artículo 44.3 h) de la LOPD.

Por su parte, el artículo 10 establece el deber de guardar secreto profesional respecto de los datos personales tratados. El acceso a los datos, por ejemplo, por otros usuarios sin autorización para el tratamiento, podría ser considerado por la AEPD como una vulneración del deber de secreto y, por tanto, una infracción grave del artículo 44.3c) de la LOPD.

Otra de las preocupaciones de la Agencia en estos casos es el destino de la información impresa cuya recogida se ha descuidado por el usuario, pues en numerosas ocasiones es documentación que acaba siendo depositada en plena vía pública. Para evitar este acceso generalizado, es recomendable la destrucción de la documentación que ya no es necesaria, siendo éste otro de los caballos de batalla en las buenas prácticas empresariales.

Más allá de las normas reguladoras de la protección de datos, las normas voluntarias ISO también son exigentes respecto a las mejores prácticas relativas a la seguridad de la información. La norma ISO/IEC 27002:2005 establece, entre otras, la necesidad de que los usuarios reciban formación y concienciación sobre sus responsabilidades respecto a la protección de la información manejada, incluyendo la impresión, transporte, destrucción y archivado de información en soporte papel, así como la recogida de la información sensible y confidencial impresa, de forma que sólo sea accedida por las personas autorizadas por los responsables de la información.

En definitiva, ya sea por cumplimiento de obligaciones legales o por preservar la confidencialidad de la documentación sensible de la empresa, es muy recomendable que las entidades establezcan políticas internas a seguir que deberán hacer conocer a los empleados, así como asegurar una correcta gestión y verificación de su cumplimiento.

Departamento de Comunicación

 

Áudea Seguridad de la Información

 

www.audea.com