19 juny Destrucción de documentación en papel
Desde la entrada en vigencia del Reglamento (UE) 2016/679 relativo a la protección de datos personales en mayo de 2018, y la aprobación de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales el pasado diciembre se ha desarrollado un incrementado interés en la materia y en particular por procurar un adecuado cumplimiento de la misma.
Sin embargo, al hablar de protección de datos, lo primero que nos viene a la mente son grandes bases de datos procesadas electrónicamente, olvidando que dichas normas aplican de igual manera a los datos personales almacenados en soporte papel. Tal es el descuido que en la mayoría de los casos estos documentos suelen arrojarse directamente a la papelera sin mayor consideración.
Es verdad que si bien la normativa de protección de datos impone la obligación de deshacerse de dicha información, guarda silencio en lo que refiere a la adecuada forma de hacerlo.
En base a ello a continuación desarrollaremos las alternativas más efectivas para la destrucción de la documentación en papel de un modo seguro y dentro del marco de la Ley.
1) Subcontratación (externalización) de la destrucción de papel
La primera y más sencilla de todas es la contratación de una empresa especializada existiendo varias empresas que prestan dicho servicio.
Es imprescindible que la empresa subcontratada garantice la seguridad de la documentación en todas las etapas del proceso, desde su recogida y transporte hasta la efectiva destrucción de la misma.
A dichos efectos es recomendado que la empresa contratada cuente con una certificación en base a la norma UNE-EN 15713-2010 que garantiza la utilización de los medios y procedimientos adecuados para una destrucción de documentos de forma segura.
Sin dudas el mayor beneficio de esta alternativa además de su practicidad es que dichas empresas podrán otorgar un “certificado de destrucción” en el cual se detallada la destrucción de los documentos y que garantiza que el proceso ha cumplido con la normativa aplicable, protegiendo de esta forma a la empresa en caso de acciones legales o una auditoría.
2) Destructora/Trituradora de papel
La segunda es hacerse directamente cargo de la tarea por medio de trituradoras de papel que pueden encontrarse fácilmente en el mercado. Sin embargo es imprescindible saber que no todas las trituradoras se ajustan al nivel de necesidad de todas las empresas. Lo anterior en tanto el tamaño del papel una vez triturado dependerá de la naturaleza de la información contenida en los documentos.
El standard mayormente utilizado a los efectos de determinar el tamaño en que el papel debe ser triturado es fijado por la norma DIN 66399 para destrucción de soporte de datos. Dicha norma se ocupa de las clases de protección y niveles de seguridad de destrucción a que debe sujetarse la documentación en papel.
La cantidad y tipo de trituradoras dependerá del volumen y naturaleza de los documentos a ser destruidos, siendo en cualquier caso recomendable que exista al menos una trituradora por cada ambiente de trabajo.
A. Clases de Protección
Existen 3 clases de protección según el riesgo de la información:
- Clase 1: Sensibilidad normal
Destinada a grandes grupos de personas. La divulgación o transferencia no autorizada tendría efectos negativos limitados en la compañía. La protección de los datos personales debe estar garantizada de lo contrario se podrían generar daños en la reputación o situación económica de la persona afectada.
- Clase 2: Mayor sensibilidad
Se trata de información restringida a un pequeño grupo de personas. La divulgación no autorizada tendría graves efectos en la empresa. La protección de datos personales deberá cumplir estrictos requisitos, de lo contrario existe el riesgo que la persona afectada sufra daños graves en su situación social y económica.
- Clase 3: Muy alta sensibilidad
Información restringida a un grupo muy pequeño e identificable de personas. La divulgación no autorizada tendría graves efectos que amenazan la existencia en la empresa. La protección de los datos personales deberá estar absolutamente garantizada, de lo contrario, la vida y la seguridad de la persona afectada podría estar en peligro.
B. Niveles de Seguridad y Destrucción
Existen 7 niveles de seguridad en función del grado de secreto de información contenida en la documentación que se va a destruir.
Nivel P-1: con datos generales y que deben ser ilegibles. | La superficie de papel debe tener una extensión que oscila entre 2000 mm2 y su anchura igual o inferior a 12 mm. |
Nivel P-2: con información interna que debería ser ilegible. | Debería ser imposible de leer y las medidas oscilan entre: 800 mm2 y 6 mm. |
Nivel P-3: con información confidencial o sensible. | Su superficie debe ser inferior a 320 mm2 y de ancho 2 mm. |
Nivel P-4: con información particularmente confidencial o sensible. | Hablaremos de pedazos regulares de tamaño entre 4 y 40 mm y ancho de 6 mm. |
Nivel P-5: con información secreta. | Superficie de destrucción de 30 mm2, pedazos de 15 mm y anchura de 2 mm. |
Nivel P-6: para información secreta sujeta a altos estándares de seguridad. | No más de 10 mm2 en tamaño no superior de entre 0,8 y 1,2 mm con anchura de 1 mm máximo. |
Nivel P-7: para información altamente secreta sujeta a los más estrictos estándares de seguridad. | Superficie de 5 mm2 con pedazos regulares entre 0,8 y 5 mm y anchura de 1 mm. |
C. Asignación de Clases y Niveles de Seguridad y Destrucción
NivelP-1 | NivelP-2 | NivelP-3 | NivelP-4 | NivelP-5 | NivelP-6 | NivelP-7 | |
Clase 1 | ●1 | ●1 | ● | ○ | ○ | ○ | ○ |
Clase 2 | ● | ● | ● | ○ | ○ | ||
Clase 3 | ● | ● | ● | ● |
1 Esta combinación no puede ser utilizada para documentación conteniendo datos personales.
No Comments