Separar papel y cartón para depositarlo en el contenedor azul forma parte de una conducta cívica y ambientalmente responsable. Sin embargo, en 2026, este gesto aparentemente inocente puede convertirse en un problema legal serio si entre esos papeles viajan datos personales sin destruir correctamente. La Agencia Española de Protección de Datos (AEPD) lleva años advirtiendo del riesgo real de robo de identidad derivado del abandono negligente de documentación. Y no se trata solo de un riesgo de fraude: puede implicar sanciones económicas conforme al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).
El contenedor azul no es una caja fuerte ni un sistema de destrucción documental. El papel depositado allí pasa por la vía pública, por camiones de recogida y por plantas de reciclaje. Si en una factura de la luz, un extracto bancario, una nómina o un currículum figuran nombre y apellidos, DNI, dirección, teléfono o número de cuenta, estamos ante datos personales protegidos por la normativa vigente. Desde el punto de vista jurídico, la destrucción de documentación forma parte del tratamiento de datos y debe cumplir el principio de integridad y confidencialidad recogido en el artículo 5.1.f) del RGPD. Esto significa que el responsable debe garantizar una seguridad adecuada que impida el acceso no autorizado o la recuperación de la información. Tirar un documento entero a la basura no cumple ese estándar.
Las sanciones no son una hipótesis teórica. La AEPD ha impuesto multas a empresas y profesionales por abandonar documentación en contenedores o en la vía pública sin medidas de protección. En el caso de autónomos y pymes, este tipo de conductas puede calificarse como infracción leve, grave o incluso muy grave, dependiendo del volumen de datos afectados y del riesgo generado. El RGPD prevé sanciones que pueden alcanzar hasta 10 millones de euros o el 2 % del volumen de negocio anual global, e incluso hasta 20 millones o el 4 % en los supuestos más graves. En la práctica, para pequeños negocios, las multas suelen situarse en varios miles o decenas de miles de euros, pero el impacto reputacional puede ser incluso más dañino que la cuantía económica.
Existe la falsa creencia de que romper un papel en cuatro o cinco trozos es suficiente. No lo es. Si el documento puede reconstruirse con facilidad, la destrucción no es efectiva. La obligación legal exige que la eliminación sea irreversible. Desde una perspectiva de cumplimiento normativo, la única forma segura de destruir documentación en soporte físico es mediante sistemas de corte cruzado o microcorte, o mediante la contratación de servicios profesionales de destrucción documental que ofrezcan certificado y, en el caso de empresas, formalicen el correspondiente contrato de encargado del tratamiento. Esto no es una cuestión opcional, sino una manifestación del principio de responsabilidad proactiva: no basta con cumplir, hay que poder demostrar que se cumple.
El riesgo es especialmente elevado para autónomos y pymes. Tirar presupuestos con datos de clientes, nóminas, historiales médicos, contratos o facturas sin destruir correctamente puede constituir una vulneración del deber de confidencialidad previsto en la LOPDGDD y en el artículo 32 del RGPD. La empresa es siempre la responsable del tratamiento, incluso si el error lo comete un empleado. No disponer de un protocolo interno de destrucción documental es, hoy en día, una señal clara de incumplimiento.
Ahora bien, destruir documentación antes de tiempo también puede generar problemas. La normativa fiscal obliga a conservar facturas y documentación tributaria durante un mínimo de cuatro años. El Código de Comercio exige conservar libros y documentación contable durante seis años. En materia laboral, con carácter general, la documentación debe mantenerse al menos cuatro años. En el ámbito doméstico, aunque no exista una obligación tan estricta, es recomendable conservar determinados recibos durante cinco años por los plazos generales de prescripción. Una vez transcurridos esos periodos, la destrucción debe realizarse de forma segura.
A todo ello se suma una práctica cada vez más frecuente conocida como “dumpster diving”, consistente en buscar información útil en la basura para cometer fraudes. Con una simple factura es posible solicitar microcréditos, abrir cuentas bancarias o realizar suplantaciones de identidad, incluido el conocido fraude del SIM swapping. Si de esa negligencia se deriva una brecha de seguridad que compromete datos personales, la empresa podría verse obligada a notificarla a la AEPD en un plazo máximo de 72 horas.
Reciclar es una obligación medioambiental. Proteger los datos personales es una obligación legal. En la era de la economía del dato, blindar la información antes de que salga de nuestra casa o de nuestra oficina no es una recomendación prudente: es una exigencia normativa. Para particulares es una cuestión de autoprotección. Para autónomos y pymes, es una cuestión de responsabilidad jurídica y de supervivencia empresarial.