El anterior artículo de la serie de Custodia Documental, trató el tema de la seguridad en la Custodia y Destrucción documental, tomando como base los postulados de la Legislación de Protección de Datos española, representada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus normas asociadas, cuyo ámbito de aplicación se circunscribe únicamente a España.
Por tanto, el hecho de cumplir con la LOPD es un paso importante, pero no garantiza la cobertura internacional de los proyectos y de las medidas de custodia y destrucción, y la importación/exportación de las soluciones de consultoría. Lo más apropiados sería la estandarización de dichos procesos, mediante el cumplimiento con la normativa ISO-UNE vigente, principalmente ISO 27001 (seguridad de la información) e ISO 15713 (destrucción segura de información).
A continuación, haré un breve repaso por algunas de las las recomendaciones que aportan a los procesos de Destrucción y Custodia de Documentos.
ISO 27001
Esta norma internacional, perteneciente a la serie 27000, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI), según el conocido como “Ciclo de Deming”: PDCA, acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Establece tres pilares fundamentales:
- Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
- Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
- Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
La información empresarial se conserva o destruye mediante un proceso sistemático, documentado y conocido por toda la organizació, desde un enfoque de riesgo empresarial.
Entre las medidas de control documental que establece la norma, se encuentran:
- Aprobar documentos y prioridades o clasificación de empleo.
- Revisiones, actualizaciones y reaprobaciones de documentos.
- Asegurar que los cambios y las revisiones de documentos sean identificados.
- Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.
- Asegurar que los documentos permanezcan legibles y fácilmente identificables.
- Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificación.
- Asegurar que los documentos de origen externo sean identificados.
- Asegurar el control de la distribución de documentos.
- Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificación para poder acceder a ellos y que queden almacenados para cualquier propósito.
Permite, entre sus ventajas, la verificación de que los riesgos de la organización estén correctamente identificados, evaluados y gestionados, al tiempo que formaliza unos procesos, procedimientos y la documentación de protección de la información.
UNE 15713
Es una norma que complementa a la LOPD en los procesos específicos de destrucción de toda clase de datos, ficheros, expedientes, CV’s, albaranes y el resto de la documentación que diariamente se genera en el trabajo de oficina.
De forma pragmática, propone hasta 5 niveles de destrucción según el tipo de información que haya que eliminar. Conforme se avanza hacia el 5, la recuperación de la información resulta menos posible. Su aplicación permite el cumplimiento efectivo de los principios de integridad, confidencialidad y disponibilidad de la información, ya mencionados, de la norma ISO 27001.
La destrucción certificada, mediante la aplicación de la normativa anterior, se convierte, a día de hoy, en requisito indispensable para evitar incurrir en sanción, al no realizar la destrucción de los datos en la forma que estipula la normativa legal vigente, como el caso de la LOPD.
Si la propia organización que quiere o tiene que destruir los documentos no puede encargarse por sí misma de llevarlo a cabo, puede externalizar el servicio. Normadat, es una empresa española certificada en ISO 27001 y UNE 15713, que garantiza una trituración de los documentos que evita la recomposición de los datos originales. En el artículo La destrucción de documentación: destrucción certificada y cumplimiento legal, publicado en su sección de Noticias, nos ofrecen una visión detallada del funcionamiento de las plantas de destrucción de documentación confidencial en España.
El ciclo de destrucción de documentos se compone de los siguientes pasos:
- Recogida de documentación y transporte: Trabajadores de la empresa de gestión documental debidamente identificados recogen la documentación de tu empresa y la transportan en vehículos (camiones o furgonetas dependiendo del volumen), especiales para transporte de documentación confidencial y geolocalizados por GPS, para tener controlado en todo momento al vehículo mientras está en ruta.
- Seguridad en el acceso a la planta: Para acceder a la planta de destrucción, cada trabajador ha de pasar un control de seguridad estricto (el que mejor funciona es el de huellas dactilares a través de lectores para que la seguridad sea absoluta). Solo tienen acceso autorizado a la planta de destrucción los empleados que trabajan dentro, destruyendo la información. Todos los empleados que trabajan con documentación confidencial deben presentar certificado de penales y firmar los pertinentes acuerdos de confidencialidad.
- Destrucción de los documentos: Todo el proceso se realiza siguiendo la normativa UNE-EN 15713:2010, ya mencionada, para lo que se emplean trituradores industriales que dividen el documento en pequeños fragmentos en los que caben 2 ó 4 letras y que se entremezclan con documentación de otros clientes, por lo que resulta imposible el reconocimiento y reconstrucción de los mismos.
- Emisión de certificado de destrucción para el cliente. Otra garantía consiste en la grabación del proceso de destrucción desde que entra en planta el papel, esmediante un circuito cerrado de televisión (CCTV) por motivos de seguridad. Si el cliente requiere la visualización de la destrucción de su documentación, es posible solicitarla para que pueda verse la destrucción in situ o bien grabada.
Normadat es un referente español en el ofrecimiento de Servicios de Destrucción Certificada y de Consultoría en Seguridad de la Información, con casos de éxito como el Acuerdo de colaboración con el Colegio Profesional de Administradores de Fincas de la Comunidad de Madrid (CAFMadrid)
Y tú, ¿Consideras importante que la Destrucción Documental la realice una empresa certificada?