Agosto 30, 2013

¿Obliga la LOPD a formatear el ordenador?: PP vs Bárcenas

Archivado en: Protección de Datos — legisconsulting @ 10:45

La noticia del los ordenadores de Bárcenas entregados al juez nos da pie a analizar a qué obliga la ley caso de baja de un trabajador.

Antecedentes

Legalmente Bárcenas era un ‘empleado’ que usaba los medios de la empresa entre los que parece que se encontraban dos ordenadores.

El PP, una vez producida la baja del Sr. Bárcenas en el partido, ha procedido a formatear o destruir los discos duros de dichos dispositivos.

¿Es obligatorio el formateo?

La respuesta simple es que NO, aunque SÍ lo es el borrado de datos personales.

El Art 92 del RD obliga a la ‘destrucción o borrado’ del ordenador (de hecho cualquier soporte) caso de ‘desecharse’ el dispositivo, pero en este caso el dispositivo parece que no ha sido desechado (tirado a la basura), sino que el ordenador se la ha asignado a otro trabajador. Y todos los datos personales que no vaya a utilizar el nuevo trabajador dentro de sus funciones deberán ser borrados para que no tenga acceso a los mismos (Art. 91, 1 RD).

El PP borró todos los datos personales mediante el formateo del ordenador o la destrucción del disco duro. Un mecanismo de borrado tan legal y casi tan efectivo como la trituradora o el mechero.

Sin entrar a valorar si el ordenador formaba parte de un procedimiento judicial abierto o sobre las pruebas del mismo porque es mucho más complejo, cabe concluir que el PP cumplió la LOPD en este punto.

Copia de seguridad

Aunque los ordenadores fueran borrados, debe existir una copia de seguridad de esos mismos datos, ya que hay una obligación legal de realizar copias de seguridad de los ficheros que contengan datos personales con una actualización como mínimo semanal (Art. 94.1 RD).

Es decir, el PP debe tener una copia de seguridad de todos los archivos que, en contra de lo oído ayer en algún medio, estará en cualquier sitio menos en la sede del PP (Art. 102 RD)

Pero el problema que surge en este punto son los datos sobre los que se habrá hecho el ‘backup’.

Todo el mundo tiene en el ordenador de la empresa también documentos personales y que van desde la factura del teléfono, las direcciones de los amigos o las fotos de las vacaciones. En este caso la empresa no es titular ni ha obtenido autorización para el almacenamiento ni tratamiento de esos datos, por lo que tales datos, caso de haberse trasladado a la copia de seguridad, deberían también ser borrados.

En definitiva, caso de encontrarse documentos personales del Sr. Bárcenas en la copia de seguridad, el PP debería, para cumplir la ley, borrarlos sin que pudieran ser recuperados. Otra cuestión es que tales documentos no sean personales, sino referidos al partido o no contener ‘datos personales’. Pero una vez borrados sin posibilidad de recuperación, ¿quién podrá demostrar que no eran personales o estaban en el ordenador?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

1 comentario »

  1. El problema reside en que la ley (LOPD/RLOPD) no fija ningún periodo de retención para las copias de seguridad de un sistema de información / equipo / etc que ha dejado de ser útil, o en el caso de un equipo personal haya sido reasignado a otro trabajador.

    Comentario por Juan R. Martín — Noviembre 25, 2013 @ 14:07

Suscripción RSS a los comentarios de esta entrada. TrackBack URL

Dejar un comentario