¿Es el escaneo de documentos, un medio válido para garantizar la seguridad de datos?
Partimos del art. 12.3 RDLOPD que establece que “corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.” Por su parte, el art. 18 RDLOPD establece que “1.- el deber de información al que se refiere el art. 5 LOPD deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado. 2.- (…) en particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”
Resulta interesante referencia la sentencia 15/07/2010 del Tribunal Supremo establece que el art. 18 RDLOPD establece una obligación adicional al margen de la Ley, indicando, entre otros razonamientos jurídicos: “(…) el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (…)”.
El Tribunal Supremo anula este art. 18 y determina que debe regir el principio de libertad de forma, tanto para la prueba de la obtención del consentimiento del interesado, como para la acreditación del cumplimiento del deber de información.
Por lo tanto, desde Áudea entendemos, como apunta la propia AEPD, que el escaneado de los documentos constituye un medio válido y apropiado de prueba. No obstante, si se procede a la sustitución de los documentos originales en papel por un soporte informático, será preciso acreditar, en su caso, que en el proceso de automatización aquéllos no han sido alterados. Así pues, la normativa de protección de datos no impone la utilización de medios técnicos concretos y en consecuencia, no resulta exigible la utilización de una herramienta tecnológica determinada para la digitalización de los documentos, siempre que el responsable pueda garantizar la seguridad de los datos.
Como apunta la AEPD, es preciso determinar qué medidas deben adoptarse para garantizar que no se produce una alteración de los documentos en caso de encargar a un tercero el escaneado de la documentación y la destrucción de los papeles.
Otra cuestión reseñable es la del servicio contratado a un tercero. En este supuesto, es preciso que el acceso a los datos por el tercero (empresa que escanea y destruye los documentos) se efectúe con la exclusiva finalidad de prestar el servicio al responsable del fichero. Entendemos que será preciso identificar, siguiendo las pautas de la AEPD los siguientes puntos:
Primero.- La relación de servicios debe encontrase contractualmente establecida (el contenido del art. 12 LOPD).
Segundo.- La empresa que escanee y destruya los documentos por cuenta de tercero, habrá de adoptar las mismas medidas de seguridad que las impuestas al responsable del fichero, debiendo plasmarse en el oportuno contrato las medidas de seguridad particulares.
Tercero.- El responsable del fichero o tratamiento, además de exigir las garantías que considere oportunas a la empresa encargada del tratamiento con carácter previo a la celebración del contrato, estará legitimado para realizar controles durante el período de vigencia del mismo, con el fin de verificar el cumplimiento de las medidas de seguridad establecidas y adoptar, en caso necesario, las medidas correctoras.
Fuente: AEPD (Agencia Española de Protección de Datos)
Fecha: 03/2011
Reseña: informe 0361/201/04 de la AEPD
Áudea Seguridad de la Información
Departamento Legal
www.audea.com
Audea Seguridad de la Información www.audea.com
Registro automático