¿obliga la LOPD a formatear/borrar discos duros?
Categorías: LOPD / Protección de Datos
Sin entrar a valorar más situaciones sobre el proceso en sí, la aportación de pruebas, etc. sobre la noticia del borrado/formateo de discos duros y la obligación que dimana de la normativa de protección de datos, considero interesante la pregunta ¿obliga la LOPD a formatear/borrar discos duros?
La respuesta es sí, pero según el artículo 92.4 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal el formateo/borrado se hará cuando se deseche el documento o soporte:
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Es decir, la normativa habla de esta obligación cuando se vaya a «tirar a la basura» como forma de protegerse de una de las situaciones más usuales en agujeros de seguridad, encontrarse en la basura información con datos de carácter personal.
Situación muy diferente a cuando un usuario accede a otro sistema/soporte informático, donde según el mismo Real Decreto, en su artículo 91.1: Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. Es decir, mediante usuarios/contraseñas u otras medidas de seguridad sobre todo en sistemas en red, pero, reitero, no es obligatorio el borrado/formateo de discos duros (en los externos quizá es lo más sencillo).
Además a todo eso se une la obligación, esta sí, de realizar copias de seguridad según el artículo 94.1 RD 1720/2007:
Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
Con lo cuál quizá el disco duro no esté, pero la copia de seguridad deberá estar y todo ello documentado en el correspondiente documento de seguridad.
En todo esta situación hemos hecho referencia a datos de nivel básico de seguridad.