El Partido Popular ha declarado que, para cumplir con la regulación de la Ley Orgánica de Protección de Datos, y de acuerdo con sus protocolos internos, se ha visto obligado a borrar y formatear discos duros y ordenadores cuando un empleado abandona la empresa y dichos soportes pasan a otro empleado.
¿Pero esto es así? Analicemos las obligaciones de la Ley Orgánica de Protección de Datos en relación a este supuesto, distinguiendo entre la información y el soporte que la contiene.
Respecto a los soportes, la obligación de borrar y formatear discos duros y ordenadores solo se aplicaría cuando los discos duros y los ordenadores vayan a ser desechados, de acuerdo con el artículo 92.4 del Real Decreto 1720/2007, para evitar el acceso no autorizado a la información.
Otra cosa es que, de acuerdo con el artículo 91.1 del Real Decreto 1720/2007, el responsable del tratamiento, es decir el PP, deba controlar que los usuarios (en este caso los nuevos usuarios de los ordenadores) tengan acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
Por tanto ¿Qué tratamiento deberá darse a la información que contienen los discos y los ordenadores? Pues, deberá cumplirse con las obligaciones previstas en la Ley orgánica de protección de datos y en este sentido la actuación del Partido Popular suscita ciertas dudas legales:
– ¿Se ha cumplido con las medidas de seguridad requeridas por el Capítulo III del Real Decreto 1720/2007? No parece muy adecuado conservar este tipo de información fuera de los servidores, ya que un disco duro de un PC ofrece muchas más dificultades en aplicar las medidas de seguridad de protección de datos exigidas por el reglamento y me resisto a creer que en el documento de seguridad del PP se hayan documentado este tipo de situaciones de seguridad.
– ¿Se han realizado copias de seguridad preceptivas? Si se hubieran realizado, la información borrada aún existiría, ya que el artículo 94.1. del Real Decreto 1720/2007 obliga a realizar como mínimo semanalmente copias de respaldo.
– ¿Se ha cumplido con el principio de calidad del dato? Parece que no, si se han borrado los datos, ya que el artículo 4 de la LOPD establece que los datos personales serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados; de modo que si alguna persona quisera ejercer su derecho de accceso, en teoría, se encontraría con que el PP no puede atender su derecho tal com el artículo 15 de la LOPD le exige.
Y en cuanto a que los datos pueden ser legalmente cancelados el citado artículo 4 de la LOPD dispone que los datos personales serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados, pero es más que probable que el PP tenga aún la obligación de conservar estos datos bloqueados para cumplir con leyes sctoriales como la Ley General Tributaria, el Código de Comercio o las regulaciones del Tribunal de Cuentas y con requerimientos judiciales.
Ante este conjunto de posibles infracciones de la Ley orgánica de protección de datos intuyo que la Agencia Española de Protección de Datos podría estar estudiando la posibilidad de intervenir.
