Sede electrónica del Ayuntamiento de Madrid

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal dispone que: "El responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural".

El artículo 92.4 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, establece lo siguiente: "Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior".

En cumplimiento de estos artículos, se considera necesario adoptar una serie de medidas dirigidas a garantizar la destrucción de cualquier soporte del Ayuntamiento de Madrid que almacene o trate datos de carácter personal, una vez que se haya decidido por los órganos responsables de su tratamiento su falta de utilidad.

En su virtud, de conformidad con lo dispuesto en el artículo 50 del Reglamento Orgánico del Gobierno y de la Administración del Ayuntamiento de Madrid, de 31 de mayo de 2004, y la competencia de la Dirección General de Calidad y Atención al Ciudadano prevista en el artículo 14.1.2.b) del Acuerdo de la Junta de Gobierno de la Ciudad de Madrid de 5 de junio de 2008, por el que se establece la organización y estructura del Área de Gobierno de Hacienda y Administración Pública y se delegan competencias en su titular y en los titulares de sus órganos directivos,

DISPONGO

Primero.

Aprobar la Instrucción 1/2010 para el establecimiento de las medidas a adoptar en la destrucción de los soportes que contengan datos de carácter personal, cuyo contenido se incorpora como Anexo a la presente resolución.

Segundo.

La presente Instrucción surtirá efectos desde la fecha de su firma, sin perjuicio de su publicación en el "Boletín Oficial del Ayuntamiento de Madrid", a efectos de conocimiento general.

Madrid, a 6 de abril de 2010.- El Director General de Calidad y Atención al Ciudadano, José Nuño Riesgo.

ANEXO

INSTRUCCIÓN 1/2010 PARA EL ESTABLECIMIENTO DE LAS MEDIDAS A ADOPTAR EN LA DESTRUCCIÓN DE LOS SOPORTES QUE CONTENGAN DATOS DE CARÁCTER PERSONAL.

En el ámbito del Ayuntamiento de Madrid, como consecuencia del ejercicio de competencias legalmente atribuidas, y al igual que ocurre en otras administraciones públicas y entidades privadas, se obtiene, trata y gestiona de forma continua, una gran cantidad de información con datos de carácter personal sobre distintos soportes.

Estos soportes pueden ser, tanto automatizados (discos CD, discos DVD, memorias USB, discos duros, discos removibles, cartuchos, tarjetas de memoria, etc.), como no automatizados (documentos en papel, microfichas, diapositivas, radiografías, negativos, tarjetas identificativas, etc.).

En ambos casos, la información puede estar albergada en sistemas de información, o formar parte de expedientes administrativos, o utilizarse para facilitar la gestión interna de las actividades de la administración municipal, entre otros usos. A lo largo de su tramitación administrativa, esta información atraviesa por una serie de fases (recogida, tramitación, revisión, archivo, consulta, copiado, reproducción, traslado, etc.), y puede llegar un momento en el que parte de la misma haya perdido su valor, ya sea porque deja de ser necesaria para los fines que motivaron su obtención, porque así lo dispone la legislación aplicable en cada caso, por necesidades de expurgo, o por cualquier otra circunstancia. Llegado este momento, se hace imprescindible la necesidad de deshacerse de los soportes en los que se contiene o presenta la información que albergue datos personales y por tanto deben adoptarse una serie de medidas para la destrucción segura de dichos soportes, dado que así lo establece la legislación vigente.

No destruir de forma segura los soportes que contienen datos relativos a personas físicas, puede vulnerar las medidas de seguridad previstas en el ordenamiento jurídico -artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) y artículo 92.4 del Reglamento de desarrollo de la LOPD aprobado por Real Decreto 1720/2007, de 21 de diciembre (en adelante, RDLOPD)- dando lugar a la iniciación de actuaciones de inspección por parte de las Agencias de Protección de Datos (estatal y autonómica), para determinar el grado de responsabilidad existente en estas actuaciones y declarar en su caso la infracción correspondiente.

Atendiendo a estas circunstancias y con el propósito principal de garantizar la seguridad de los datos de carácter personal y muy especialmente su confidencialidad, integridad y disponibilidad, es necesario adoptar las medidas que se enumeran a continuación:

1.- Medidas a adoptar con carácter previo a la destrucción de los soportes.

Con carácter previo a proceder a la destrucción de cualquier soporte, han de adoptarse las siguientes medidas:

1.1.- Confeccionar y mantener un inventario de soportes que contienen información con datos personales y que van a ser destruidos.

1.2.- Garantizar que el soporte a destruir realmente debe ser objeto de tal operación.

1.3.- En caso de destrucción inmediata, actualizar el inventario de soportes relacionado.

1.4.- En el caso de no proceder a su destrucción inmediata:

a) Marcar los soportes de forma clara e inequívoca con su nuevo estado; es decir, como baja.

b) Actualizar el inventario de soportes relacionado.

c) Controlar y proteger físicamente los soportes en un emplazamiento de acceso restringido establecido al efecto.

1.5.- De tratarse de un soporte automatizado regrabable habrá que borrar su contenido con independencia de que este vaya a ser reutilizado o destruido.

2.- Medidas a realizar para la destrucción de soportes.

Una vez determinados los soportes a destruir que contienen datos personales, la destrucción se podrá realizar a través de alguna de las siguientes medidas:

2.1.- Uso de dispositivos de triturado.

Los dispositivos de triturado constituyen uno de los medios más fiables para garantizar la efectiva destrucción, no sólo de soportes no automatizados sino también de algunos automatizados.