La mayoría de las empresas españolas incumplen las medidas de seguridad para la destrucción de información confidencial. Las sanciones pueden llegar hasta los 600.000 euros y ser acumulativas si son varios los afectados.

Los llamados expertos metieron la pata. Hace unos años anunciaron a bombo y platillo la muerte del papel a manos de la informática... y no sólo no ha sido así. sino que el consumo de papel en la empresa ha seguido aumentando. Banca, seguros, sanidad o consultorías son algunos de los sectores que más papel utilizan, archivan ... y han de destruir en su momento, al prescribir legalmente o simplemente porque se estima que ya no se va a precisar. Sólo en España se estima que cada mes se deshechan 10.000 toneladas de papel (para que se hagan una idea, un trailer cargado a tope lleva 12 toneladas) y no todos los documentos se destruyen convenientemente, algo que, según la ley. supone triturarlos al "tamaño suficiente para que no permita su reconstrucción". Josep Capell, delegado territorial para Catalunya de DCD (Destrucción confidencial de documentación),empresa pionera en España en este quehacer, calcula que como mucho unas 700 de las 10.000 toneladas mensuales se trituran conforme a la ley. "El cumplimiento de la normativa existente es muy bajo, sobre todo en las pymes. Incluso muchas empresas que destruyen, reciclan... no verifican luego que se haga según la normativa", comenta.

Estudio de Landwell

El planteamiento de Capell viene refrendado por un reciente estudio de Landwell-PWC (Tratamiento de datos personales e información confidencial en soporte papel en la empresa española)en el que se concluye que "apenas el 37% de las empresas encuestadas asegura disponer de normas de seguridad específicas para proteger los datos de carácter personal en soporte papel" y ello a pesar de que "existe una clara conciencia del riesgo que supone la ausencia de control sobre la información que genera una empresa. Lo cierto es que la vida de un documento en papel casi nunca va acompañada de un seguimiento que garantice la seguridad de la información que contiene". La conclusión es muy preocupante y da cuenta del alto nivel de inseguridad documental confidencial en que se mueve el país.

Y, por supuesto, nos pone en el plato una suculenta paradoja: la seguridad de los documentos de soporte informático está hoy más garantizada que las de soporte papel. En efecto, la Ley Orgánica de Protección de Datos (LOPD) de 1999 y su posterior reglamento se han concentrado en una primera etapa en los soportes informáticos y dieron un plazo de carencia hasta 2007 para el papel. "Las empresas se han tomado en serio la LOPD, porque la Agencia de Protección de Datos se ha cuidado de sancionar de forma ejemplar en cada sector", apunta Javier Ribas, socio de Landwell-PWC y responsable del estudio.

A raíz de ello las empresas andan con algo más cuidado. Ribas explica que las razones son varias. La primera es el negativo efecto de imagen. "De entrada, todas las sanciones son públicas. Y si el soporte es el papel la opinión pública lo visualiza de forma más dramática: currículos, declaraciones de renta, análisis médicos que aparezcan un día en un container, por ejemplo, generan mucho ruido mediático. Difícilmente la clientela recuperará la confianza en una empresa que trata tan mal la confidencialidad". Por supuesto, cuenta también el aspecto económico. "Las sanciones pueden llegar hasta los 600.000 euros... y ser acumulativas si son varios los afectados. La mayor que ha habido en España fue de 900.000 euros. Incluso ha habido empresas que han cerrado por el importe de la multa".

¿Tan difícil es adaptarse? "Es costoso", apunta Rivas. Incluso teniendo en cuenta el período transitorio previsto para la adecuación, las empresas tendrán que realizar un imortante esfuerzo para adaptar sus políticas y procedimientos a la nueva regulación, En el estudio se estima que para realizar la adecuación las empresas deben hacer una inversión situada entre los 3.000 y los 90.000 euros, en función del tamaño de la empresa y del volumen de documentos con datos personales que se deban gestionar.

Por cierto, ¿se trata de un gasto o de una inversión? "Hay que tomarlo como inversión, aunque muchas empresas lo siguen viendo como un gasto", dice Rivas. "Se trata de verlo como un paso para conseguir la protección de los activos inmateriales -propiedad intelectual, propiedad industrial...-que se puede deducir finalmente como I+ D". Y añade un aspecto importante. "Las empresas sólo se dan cuenta de la importancia de la información confidencial cuando le hacen una Due Dilligence o han de salir al exterior".

Los contratos

Josep Capell alerta sobre la responsabilidad en que se incurre al contratar a un proveedor de estos servicios. Una empresa puede contratar a otra para que destruya documentación (lo hacen un 69% según el estudio) y ésta puede prometerle algo que luego no va a cumplir. "No es suficiente con triturar. Hay que garantizar todo el proceso, desde la recogida del papel hasta su destrucción final", dice. En realidad, en el 46% de las empresas el servicio de limpieza se encarga de entregar los contenedores con documentación confidencial a los responsables de la destrucción y sólo un 56% de estas empresas han firmado un pacto de confidencialidad con los servicios de limpieza. "La responsabilidad final recae en la empresa contratante, que ha de auditar el servicio que le dan. Hay muchos proveedores y debe saber escoger. A veces, el precio es un factor sensible y si la diferencia es grande, el servicio será muy distinto. Incluso hay empresas que pagan por llevarse papel. Nosotros cobramos, por supuesto...".

Por ello, "es necesario que las empresas revisen sus contratos con los proveedores que prestan servicios de recogida, conservación, reciclaje o destrucción de papel, con el fin de incluir obligaciones reforzadas en materia de seguridad, confidencialidad y control", concluye Rivas.


Los fallos más frecuentes

Un papel encima de la mesa, otro que circula, una copia que se deja en la impresora, éste que acaba en la papelera... En el estudio de Landwell-PWC se concluye, entre otras cosas, que las empresas "no conocen a fondo cuáles son los documentos en papel que habitualmente contienen datos personales o confidenciales. El 69% de las empresas tendrán que hacer un importante esfuerzo para identificar plenamente esos documentos y aplicar las medidas de seguridad necesarias para proteger su contenido". Otro de los aspectos que presenta fallos importantes es el de la clasificación y almacenamiento. "Ésta es otra de las asignaturas pendientes de las empresas españolas. Sólo el 27% de las mismas dispone de una metodología para clasificar y almacenar los documentos con datos personales o con información confidencial". El proceso de destrucción tampoco sale muy bien parado. "Sólo el 33% de las empresas trata los documentos en soporte papel con datos personales como documentación confidencial. El resto lo trata como residuos. Ello es especialmente grave en las pymes donde las papeleras son el vehículo habitual para el deshecho de cualquier tipo de papel y los contenedores de basura de la calle son el destino normal de los documentos en papel que dejan de tener utilidad".

El nuevo reglamento

El Ministerio de Justicia está preparando el nuevo reglamento de seguridad de la LOPD, que debe entrar en vigor en 2007 y que establecerá las medidas de seguridad que las empresas deberán aplicar a los datos personales en soporte papel. Una diferencia con respecto al anterior reglamento referido al soporte informático estará en los niveles de seguridad. En el anterior había tres: el básico (nombres, DNI, dirección...), el medio (datos financieros, perfiles obtenidos de los CRM, currículos en selección de personal...) y el tercero es el alto, con los "datos sensibles" (sobre la salud, religión, tendencia política...) En el nuevo, habrá sólo dos niveles: el básico y el alto.

Javier Ribas explica los principios que quiere aplicar la Agencia Española de Protección de Datos.

1. Conservación
Un documento que se destruye se debe poder recuperar. La destrucción del soporte no debe significar la destrucción de los datos. Debe haber una copia informática.

2. Integridad y calidad
Los datos deben ser correctos y no los debe poder modificar una persona que no esté debidamente autorizada para ello.

3. Control de acceso
Sólo las personas autorizadas.

4. Etiquetado
Es importante que permita ver la clasificación de la información que contiene.

Suscríbete gratuitamente a nuestros boletines

Recibe noticias e ideas en Recursos Humanos.
Suscripción

Utilizamos cookies para ofrecer a nuestras visitas una mejor experiencia de navegación por nuestra web.
Si continúas navegando, consideramos que aceptas su utilización.