Sabemos que cualquiera puede comercializar servicios de destrucción de documentación confidencial, ya que no existe ninguna regulación específica que marque requisitos mínimos exigibles a las empresas que operan en esta actividad. Cualquiera puede constituir una empresa y subcontratar todo lo necesario para comercializar un servicio de destrucción confidencial legalmente. Cualquiera puede transportar documentos en un furgón de menos de 3,5 Tn, ya no es necesario ni ser transportista ni ningún requisito especial. Cualquiera puede comercializar el papelote, ya que con un sencillo trámite puede darse de alta como gestor de residuos no peligrosos para ejercer la actividad legalmente aunque carezca de una ética empresarial. Qué fácil es convertirse en una empresa de destrucción confidencial de documentación, no hace falta nada… Es muy fácil iniciarse en este negocio. El proceso es muy simple y los potenciales clientes están esperando buenas ofertas económicamente bajas, además no suelen ser muy exigentes por la falta de conocimientos.
No existen referencias potentes en el mercado y el sector está desinformado. La LOPD es muy clara pero sus sanciones son tan elevadas que el legislador se ve incapacitado para castigar (una sanción típica se sitúa en los 300.000 € como mínimo). Los integrantes del sector tienen muy diversos objetivos y el desconcierto actual es beneficioso para muchos…
Hay quien utiliza referencias para darse prestigio, por eso es conveniente que usted antes de contratar sepa que solamente empresas profesionales y certificadas con auditorías externas pueden garantizarle que los soportes de datos que están bajo responsabilidad serán adecuadamente manejados, controlados y finalmente destruidos.
La ISO-International Organization for Standardization y la IEC- International Electrotechnical Comission están unidas formando el sistema global mundial de estandarización especializado que agrupa un comité técnico, ISO/IEC JTC, en el campo de la tecnología de la información. En agosto de 2018, el ISO/IEC JTC estandarizó internacionalmente los términos y principios de la DIN 66399 del Deutsches Institut für Normung para la destrucción de soportes de información. Este estándar ISO/IEC 21964 es ahora la referencia en el mundo para que las organizaciones puedan tener una referencia con nivel internacional para referirse a requerimientos de destrucción de datos.
La ISO/IEC 21964:2018 limita los tamaños de partícula sin cambiar los de la DIN 6399 y se mantienen de la siguiente manera:
- P-1. Material impreso de carácter general que se deben hacer ilegibles o anulados. La superficie destruída tendrá un máximo en partícula de 2000 mm2 o en tira de longitud indeterminada de anchura que no superará los los 12 mm.
- P-2: Datos internos que se deben hacer ilegibles o anulados. Su tamaño en partícula será de < 800 mm2 o en tira de longitud indeterminada de anchura que no superará los 6 mm.
- P-3: Para soportes de datos con información de tipo sensible y confidencial y que requieren alto grado de protección. Con la partícula de superficie general no será mayor de 320 mm2 o la tira con anchura 2mm.
- P-4: Datos con información especialmente sensible y confidencial, así como datos personales que requieren un alto grado de protección. La superficie total no será mayor de 160 mm2. Aquí hay una variación ya que los fragmentos deben ser regulares y no más grandes de 40 mm con una anchura máxima de 6 mm.
- P-5: Soportes de datos de información que se han de mantener secretos y para los que se han de tomar medidas de seguridad extraordinarias.. La destrucción documental será de tamaño general que no exceda 30 mm2 o con fragmentos regulares no mayores de 15 mm y una anchura como mucho de 2 mm.
- P-6: Datos confidenciales con medidas de seguridad extraordinarias cuya destrucción debe ser de una superficie máxima de 10 mm2 y sus fragmentos de entre 0,8 y 1,2 mm, o con la tira de anchura de 1 mm como máximo.
- P-7: Para datos que se deben mantener estrictamente secretos con las más estrictas medidas de seguridad . Su superficie será de 5 mm2 y los fragmentos regulares de entre 0,8 y 5 mm, con tira de anchura de 1 mm
- La norma ISO/IEC 21964 establece tres categorías de protección:
- Clase 1: Protección normal para los datos internos de la empresa, cuya publicación o transmisión no autorizada tendría consecuencias negativas limitadas para la empresa (correspondencia irrelevante, publicidad personalizada, catálogos, circulares, notas,…)..
- Clase 2: Protección alta para los datos confidenciales que son accesible por un grupo reducido de personas de la empresa, cuya transmisión no autorizada de datos tendría consecuencias considerables para la empresa y podría infringir obligaciones contractuales o leyes (conocimientos relevantes, correspondencia como ofertas, consultas, notas, mensajes, datos personales,…). El manejo dela información debe ser cuidadosa y el procedimiento de destrucción documental también.
- Clase 3: Protección exigente para los datos muy confidenciales y secretos que son accesibles por un grupo reducido de personas autorizadas de la empresa, cuya transmisión no autorizada de datos tendría graves consecuencias para la empresa, pues pondría en peligro su existencia y supondría la infracción del secreto profesional, de contratos adquiridos o de leyes (documentos de gestión de I+D, datos financieros, información confidencial,…). Su divulgación sería muy grave y podría incluso poner en peligro la continuidad de negocio de la propia empresa y de terceras personas. La protección de los datos personales se debe garantizar absolutamente. De otro modo, se pondrían en peligro la integridad física o la libertad de las personas afectadas.
Los materiales referenciados en la norma ISO/IEC 21964 los agrupa en niveles de seguridad y son idénticamente los mismos que se referencia en la DIN 66399 y los clasifica los soportes donde se conserva la información confidencial y son seis categorías de materiales:
- P- Información en tamaño original por ejemplo papel, radiografías, fotografías, láminas formularios, peliculas, etc…
- O- Información en soportes de datos ópticos (CDs, DVDs…)
- T- Soportes de datos magnético; disquetes, tarjetas de identificación, etc.
- E- Soportes de datos confidenciales guardados en dispositivos electrónicos; memorias USB, tarjetas de chip, smartphones, memorias digitales, etc
- F- Información en forma reducida por ejemplo en microfilms, transparencias, películas, etc
- H- Información en soportes de datos magnéticos como HDD-Discos duros, SDD
La norma europea UNE-EN-15713:2009 es un código de buenas prácticas, para la Destrucción segura del material confidencial traducido al español en 2010 y muy popular en España donde en 10 páginas define como deben ser las dependencias de la compañía en lo referente a instalaciones y seguridad, que debe existir contrato, delimita la subcontratación, explica como comprobar la seguridad del personal, dice cómo debería recogerse el material confidencial o retenerse, como deberían ser los vehículos de recogida y destrucción y las categorías y tamaños del material confidencial
El manual de procedimientos de AAA-NAID Certified. NAID es la asociación internacional de la destrucción de información en el mundo www.naidonline.org y establece un manual de procedimientos que se actualiza cada año para definir estándares de destrucción de información para datos en papel o en soportes electrónicos. NAID actúa como una organización de protección al consumidor que audita las calificaciones de los proveedores de servicios de destrucción de información en todo el mundo. Además realiza investigaciones para la mejora de procesos y trabaja para crear un reconocimiento más amplio de la industria de la destrucción de información.
Los auditores de la AAA-NAID Certified verifican que existen protocolos para garantizar la seguridad del material confidencial en todas las etapas del proceso de destrucción, como la manipulación, el transporte, el almacenamiento de materiales antes de la destrucción y la destrucción y la eliminación de los materiales de manera responsable. Se aplica un extenso proceso de selección de antecedentes que verifica en tres niveles que ninguna persona con antecedentes conocidos de delitos relacionados maneja material confidencial.
El programa de auditoría integral dispone de auditorías no anunciadas y aceptar el reglamento significa que las empresas certificadas operan sabiendo que pueden recibir una inspección cualquier día y en cualquier momento. Además NAID cuenta con un Comité Ético y un régimen sancionador lo que conjuntamente proporcionan un poderoso hecho motivador para el cumplimiento continuo que da las máximas garantías al contratante.
Para más información puede consultarnos los manuales oficiales de procedimientos o contactar con nosotros en el info@destrupack.com donde le explicaremos las diferencias entre la ISO/IEC 21964 que viene de la DIN 66399 y que antes sustituyó a la también alemana la DIN 32757 , la NAID-AAA Certified y la UNE EN 15713 todas ellas centradas en la destrucción de información confidencial.