En muchas organizaciones, la protección de datos suele asociarse a sistemas informáticos, servidores o ciberseguridad. Sin embargo, una parte importante del riesgo sigue estando en algo mucho más tradicional: los documentos en papel que contienen datos personales.
Contratos, nóminas, historiales de clientes, expedientes de empleados, documentos fiscales o incluso simples listados pueden contener información personal que, si no se destruye correctamente, puede generar una brecha de seguridad y una infracción de la normativa de protección de datos.
La normativa europea y española establece obligaciones claras sobre cómo deben eliminarse los documentos que contienen datos personales cuando dejan de ser necesarios.
En este artículo analizamos la normativa aplicable, las obligaciones de las empresas y las formas correctas de destruir documentación en papel.
Marco normativo aplicable
La destrucción de documentación con datos personales está regulada principalmente por:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)
- Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
Además, deben tenerse en cuenta los principios de seguridad y confidencialidad recogidos en el RGPD.
Principio de integridad y confidencialidad
El artículo 5.1.f del RGPD establece que los datos personales deben tratarse de forma que se garantice:
“una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental”.
Esto implica que los datos personales deben protegerse durante todo su ciclo de vida, incluido el momento de su eliminación.
Obligación de aplicar medidas de seguridad
El artículo 32 del RGPD obliga al responsable del tratamiento a aplicar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales.
Entre estas medidas se incluye:
- evitar accesos no autorizados
- prevenir pérdidas de información
- asegurar la correcta eliminación de los datos
Por tanto, la destrucción de documentos en papel forma parte de las medidas de seguridad obligatorias.
El principio de limitación del plazo de conservación
Uno de los elementos clave en la destrucción de documentos es el principio de limitación del plazo de conservación.
El artículo 5.1.e del RGPD establece que los datos personales:
“serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento”.
Esto significa que las empresas no deben conservar documentos con datos personales indefinidamente.
Una vez que:
- se ha cumplido la finalidad del tratamiento, y
- han finalizado los plazos legales de conservación,
los datos deben ser eliminados o destruidos.
¿Cuándo debe destruirse la documentación con datos personales?
La eliminación debe realizarse cuando:
- Los datos ya no son necesarios para la finalidad para la que fueron recogidos
- Han finalizado los plazos legales de conservación
- Un interesado ejerce su derecho de supresión, cuando proceda
Este derecho está regulado en el artículo 17 del RGPD, conocido como derecho de supresión o derecho al olvido.
No obstante, la destrucción debe respetar previamente los plazos de conservación establecidos por otras normativas, como:
- normativa fiscal
- normativa laboral
- normativa mercantil
- normativa de prevención de blanqueo de capitales
Por ejemplo:
- documentación contable: 6 años (Código de Comercio art. 30)
- documentación fiscal: 4 años (Ley General Tributaria art. 66)
Durante esos periodos no puede destruirse la documentación, aunque contenga datos personales.
¿Qué se considera una destrucción segura de documentos?
La normativa no establece un único método concreto, pero sí exige que la destrucción impida la reconstrucción o recuperación de los datos personales.
La Agencia Española de Protección de Datos considera que tirar documentos a la basura sin destruirlos previamente constituye una infracción.
Una destrucción segura debe garantizar que:
- los datos no puedan ser leídos
- los documentos no puedan reconstruirse
- la información no pueda recuperarse
Métodos adecuados de destrucción de documentos en papel
Existen varias formas válidas para destruir documentación con datos personales.
1. Destrucción mediante destructora de papel
Es uno de los sistemas más habituales en pequeñas empresas.
Se recomienda utilizar destructoras que:
- corten el papel en partículas o microcorte
- dificulten la reconstrucción del documento
Las destructoras con corte en tiras simples no siempre garantizan un nivel adecuado de seguridad.
2. Servicios profesionales de destrucción documental
Muchas organizaciones optan por contratar empresas especializadas en destrucción certificada de documentos.
El procedimiento suele incluir:
- recogida en contenedores cerrados
- transporte seguro
- destrucción industrial
- emisión de certificado de destrucción
Este certificado sirve como evidencia de cumplimiento del RGPD.
3. Triturado industrial y reciclaje seguro
En grandes volúmenes de documentación se utilizan sistemas industriales de trituración que convierten los documentos en partículas irreconstruibles.
Posteriormente el material se destina a reciclaje.
Obligaciones cuando interviene una empresa externa
Cuando una empresa contrata a un proveedor para destruir documentación, no se trata de un simple servicio logístico.
El proveedor está tratando datos personales, por lo que pasa a ser un encargado del tratamiento.
Esto está regulado en el artículo 28 del RGPD.
Por tanto, es obligatorio:
- firmar un contrato de encargo de tratamiento
- garantizar que el proveedor aplica medidas de seguridad adecuadas
- verificar que la destrucción se realiza de forma efectiva
Riesgos de una destrucción incorrecta
Una mala gestión de documentos en papel puede provocar:
- brechas de seguridad
- acceso a información confidencial
- suplantación de identidad
- divulgación de datos sensibles
Además, puede derivar en sanciones administrativas.
El RGPD establece en su artículo 83 sanciones que pueden alcanzar:
- 20 millones de euros, o
- el 4 % del volumen de negocio anual global
Dependiendo de la gravedad de la infracción.
La Agencia Española de Protección de Datos ha sancionado en diversas ocasiones a empresas por abandonar documentación con datos personales en contenedores o espacios accesibles al público.
Buenas prácticas en la gestión y destrucción de documentos
Para cumplir correctamente con la normativa es recomendable que las organizaciones:
- establezcan políticas de conservación y destrucción documental
- definan plazos de conservación por tipo de documento
- utilicen contenedores de destrucción segura
- formen al personal en protección de datos
- documenten los procesos de eliminación
Estas medidas forman parte de la responsabilidad proactiva establecida en el artículo 24 del RGPD.
Conclusión
La protección de datos no se limita a sistemas informáticos o a la seguridad digital. Los documentos en papel siguen siendo una fuente relevante de riesgo si no se gestionan adecuadamente.
La normativa europea y española exige que los datos personales:
- se conserven únicamente durante el tiempo necesario
- se protejan mediante medidas de seguridad adecuadas
- se destruyan de forma segura cuando dejan de ser necesarios
Aplicar protocolos claros de destrucción documental, utilizar métodos seguros y documentar el proceso permite a las organizaciones cumplir con el RGPD y evitar riesgos legales y reputacionales.
Un cordial saludo,
José María Quintanar Isasi
Consultor en Privacidad Certificado y CEO y socio fundador de APLAGES
