Baquia, nuevas tecnologias y negocios

Desde el punto de vista de las normas que regulan la protección de datos de carácter personal, la impresión de documentos en el ámbito laboral es uno de los puntos fundamentales de una correcta política en materia de la confidencialidad, referida no sólo a la documentación sensible propiedad de la empresa, sino también a aquellos documentos que sean susceptibles de contener datos personales y que deban ser objeto de una especial protección.

La clasificación de lo que se considera “confidencial” depende, en última instancia, de una decisión de organización empresarial. Pero es necesario tener en cuenta que no poca información de la que se maneja a diario en la empresa está exenta de contener datos personales, que podrán ir del más básico al más alto nivel de seguridad, en función del tipo de dato que se esté tratando.

Desde hojas de pedido con datos de clientes, pasando por la contabilidad o información financiera, hasta la documentación de un departamento de selección de personal (CV), o de recursos humanos (nóminas, listado de personal sindicado), la empresa está en poder de una valiosa información contenida en soporte papel, cuando el usuario envía la orden de impresión al periférico.

Una encuesta encargada por una marca de impresoras en septiembre de 2006, sobre una muestra de 2.500 empleados de medianas y grandes empresas de todos los sectores de negocio en la UE, desveló las grandes pérdidas económicas que supone para la empresas el “olvido” de documentación en las bandejas de impresión, y los enormes riesgos de seguridad a los que se someten las compañías cuando se producen estos olvidos. En España, un 57% de los empleados reconoció que en más de una ocasión se había dejado documentación en la impresora: un 31% información relativa a los empleados de la empresa y un 27% información sobre los clientes de la compañía.

Por tanto, el tratamiento que el trabajador haga de esa documentación es fundamental a la hora de velar por el cumplimiento, no sólo de la confidencialidad, sino de la legalidad vigente en esta materia, es decir, la Ley 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y el aún en vigor Reglamento de Medidas de Seguridad (Real Decreto 994/1999 de 11 de junio).

El artículo 9 de la LOPD establece que las partes implicadas en el tratamiento de datos deberán adoptar las medidas de seguridad necesarias para evitar la alteración, pérdida, tratamiento o acceso no autorizado a dichos datos personales.

Según lo anterior, la empresa es la encargada de velar por el cumplimiento de las medidas necesarias para que la integridad del dato no sea vulnerada y, por tanto, de establecer políticas de seguridad que todos los empleados han de conocer, respetar y cumplir, debiendo contener aspectos tales como:

• Situación de la impresora: cualquier dispositivo físico por el que pueda accederse a datos (no sólo impresoras, también fotocopiadoras, escáneres y similares) deben estar instalados de forma estratégica a fin de evitar la visualización de la información por parte de personas no autorizadas. Al hilo de lo anterior, es recomendable que las áreas o departamentos que traten información más sensible (datos contables, financieros, recursos humanos) utilicen un periférico propio y no compartido con otros usuarios.
• Establecimiento de perfiles de acceso a los dispositivos de impresión, con la finalidad de que sólo las personas autorizadas puedan imprimir por la impresora asignada.
• Retirada de documentación de la impresora: cuando el usuario envíe documentación a la impresora con información de carácter personal o confidencial, deberá retirarla de la bandeja de salida cuanto antes, comprobando que no quedan documentos en la misma. Además, puede darse el caso de impresoras compartidas por varios empleados, que, por otro lado, podrían no estar autorizados a acceder a la información personal que se está enviando a la cola de impresión, por lo que el responsable de ese envío deberá mostrar una diligencia mayor a la hora de retirar los documentos según van siendo impresos.

El hecho de no establecer políticas de este tipo puede llevar a situaciones que, en ocasiones, han derivado en denuncias recibidas por la Agencia Española de Protección de Datos (AEPD) y que pueden ser sancionadas en base al incumplimiento no sólo de los artículos 9 y 10 de la LOPD.

Otra de las preocupaciones de la Agencia en estos casos es el destino de la información impresa cuya recogida se ha descuidado por el usuario, pues en numerosas ocasiones acaba siendo depositada en la vía pública. Para evitar este acceso generalizado, es recomendable la destrucción de la documentación que ya no es necesaria, siendo éste otro de los caballos de batalla en las buenas prácticas empresariales.

En definitiva, ya sea por cumplimiento de obligaciones legales o por preservar la confidencialidad de la documentación sensible, es muy recomendable que las entidades establezcan políticas internas que deberán hacer conocer a los empleados, así como asegurar una correcta gestión y verificación de su cumplimiento.