El objetivo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), es
Y establece la obligación tanto de la conservación de los datos personales como de la destrucción de documentos que contengan dichos datos.
La obligación de cumplir la LOPD y de los reglamentos que la desarrolla es esencial para no vernos inmersos en problemas con la Agencia de Protección de Datos.
Reglamento 1720/2007 de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal clasifica los niveles de seguridad de los datos de carácter personal contenidos en los ficheros del siguiente modo:
A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.
En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.
A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad.
La norma UNE 15713 de “Destrucción segura de material confidencial. Código de buenas prácticas” proporciona recomendaciones para la gestión y control de la destrucción de material de carácter confidencial para asegurar que el material se destruye de forma segura y sin peligro.
Entre otras cosas, la norma establece que:
La norma establece para cada clase de material el método de destrucción de documentos adecuado con el fin de garantizar la imposibilidad de reconstrucción del residuo para que éste sea ilegible o irreconstruible.