Know that everyone can market services destroying confidential documents, ya que no existe ninguna regulación específica que marque requisitos mínimos exigibles a las empresas que operan en esta actividad. Anyone can start a business and outsource everything to market a legally confidential shredding service. Anyone can carry documents in a van under 3,5 Tn, is no longer necessary nor be carrier or any special requirements. Anyone can market the wastepaper, because with a simple procedure you can register as non-hazardous waste manager for the activity but lacks a legal business ethics. How easy it is to become a company confidential document destruction, do not need anything ... It's very easy to get started in this business. The process is very simple and potential customers are waiting for good offers financially low, also are not very demanding by the lack of knowledge.

No existen referencias potentes en el mercado y el sector está desinformado. La LOPD es muy clara pero sus sanciones son tan elevadas que el legislador se ve incapacitado para castigar (a typical penalty is at the 300.000 € as a minimum). Los integrantes del sector tienen muy diversos objetivos y el desconcierto actual es beneficioso para muchos…

Hay quien utiliza referencias para darse prestigio, por eso es conveniente que usted antes de contratar sepa que solamente empresas profesionales y certificadas con auditorías externas pueden garantizarle que los soportes de datos que están bajo responsabilidad serán adecuadamente manejados, controlados y finalmente destruidos.

La ISO-International Organization for Standardization y la IEC- International Electrotechnical Comission están unidas formando el sistema global mundial de estandarización especializado que agrupa un comité técnico, ISO/IEC JTC, en el campo de la tecnología de la información. En agosto de 2018, el ISO/IEC JTC estandarizó internacionalmente los términos y principios de la DIN 66399 of the Deutsches Institut für Normung for the destruction of information carriers. Este estándar ISO/IEC 21964 es ahora la referencia en el mundo para que las organizaciones puedan tener una referencia con nivel internacional para referirse a requerimientos de destrucción de datos.

La ISO/IEC 21964:2018 limita los tamaños de partícula sin cambiar los de la DIN 6399 y se mantienen de la siguiente manera:

  • P-1. General printed material that must be made illegible or annulled. La superficie destruída tendrá un máximo en partícula de 2000 mm2 or in a strip of indeterminate length of width that will not exceed the 12 mm.
  • P-2: Internal data that must be made illegible or erased. Its particle size will be < 800 mm2 or in a strip of indeterminate length of width that will not exceed the 6 mm.
  • P-3: For data carriers with sensitive and confidential information that require a high degree of protection. Con la partícula de superficie general no será mayor de 320 mm2 o la tira con anchura 2mm.
  • P-4: Data with especially sensitive and confidential information, así como datos personales que requieren un alto grado de protección. La superficie total no será mayor de 160 mm2. Aquí hay una variación ya que los fragmentos deben ser regulares y no más grandes de 40 mm con una anchura máxima de 6 mm.
  • P-5: Soportes de datos de información que se han de mantener secretos y para los que se han de tomar medidas de seguridad extraordinarias.. La destrucción documental será de tamaño general que no exceda 30 mm2 o con fragmentos regulares no mayores de 15 mm y una anchura como mucho de 2 mm.
  • P-6: Datos confidenciales con medidas de seguridad extraordinarias cuya destrucción debe ser de una superficie máxima de 10 mm2 y sus fragmentos de entre 0,8 and 1,2 mm, o con la tira de anchura de 1 mm como máximo.
  • P-7: Para datos que se deben mantener estrictamente secretos con las más estrictas medidas de seguridad . Su superficie será de 5 mm2 y los fragmentos regulares de entre 0,8 and 5 mm, con tira de anchura de 1 mm
  • La norma ISO/IEC 21964 establishes three categories of protection:
  • Clase 1: Protección normal para los datos internos de la empresa, cuya publicación o transmisión no autorizada tendría consecuencias negativas limitadas para la empresa (correspondencia irrelevante, publicidad personalizada, catálogos, circulares, notas,…)..
  • Clase 2: Protección alta para los datos confidenciales que son accesible por un grupo reducido de personas de la empresa, cuya transmisión no autorizada de datos tendría consecuencias considerables para la empresa y podría infringir obligaciones contractuales o leyes (conocimientos relevantes, correspondencia como ofertas, consultas, notas, mensajes, datos personales,…). El manejo dela información debe ser cuidadosa y el procedimiento de destrucción documental también.
  • Clase 3: Protección exigente para los datos muy confidenciales y secretos que son accesibles por un grupo reducido de personas autorizadas de la empresa, cuya transmisión no autorizada de datos tendría graves consecuencias para la empresa, pues pondría en peligro su existencia y supondría la infracción del secreto profesional, de contratos adquiridos o de leyes (documentos de gestión de I D, datos financieros, información confidencial,…). Su divulgación sería muy grave y podría incluso poner en peligro la continuidad de negocio de la propia empresa y de terceras personas. La protección de los datos personales se debe garantizar absolutamente. De otro modo, se pondrían en peligro la integridad física o la libertad de las personas afectadas.

Los materiales referenciados en la norma ISO/IEC 21964 los agrupa en niveles de seguridad y son idénticamente los mismos que se referencia en la DIN 66399 y los clasifica los soportes donde se conserva la información confidencial y son seis categorías de materiales:

  • P- Información en tamaño original por ejemplo papel, radiografías, fotografías, láminas formularios, peliculas, etc…
  • O- Information on optical data carriers (CDs, DVDs…)
  • T- Soportes de datos magnético; disquetes, tarjetas de identificación, etc..
  • E- Confidential data carriers stored on electronic devices; memorias USB, tarjetas de chip, smartphones, memorias digitales, etc.
  • F- Información en forma reducida por ejemplo en microfilms, transparencias, películas, etc.
  • H- Información en soportes de datos magnéticos como HDD-Discos duros, SDD

La norma europea UNE-EN-15713:2009  is a code of good practice, for the safe destruction of confidential material translated into Spanish in 2010 y muy popular en España donde en 10 páginas define como deben ser las dependencias de la compañía en lo referente a instalaciones y seguridad, que debe existir contrato, delimita la subcontratación, explica como comprobar la seguridad del personal, dice cómo debería recogerse el material confidencial o retenerse, como deberían ser los vehículos de recogida y destrucción y las categorías y tamaños del material confidencial

El manual de procedimientos de AAA-NAID Certified. NAID es la asociación internacional de la destrucción de información en el mundo www.naidonline.org y establece un manual de procedimientos que se actualiza cada año para definir estándares de destrucción de información para datos en papel o en soportes electrónicos. NAID actúa como una organización de protección al consumidor que audita las calificaciones de los proveedores de servicios de destrucción de información en todo el mundo. Además realiza investigaciones para la mejora de procesos y trabaja para crear un reconocimiento más amplio de la industria de la destrucción de información.

Los auditores de la AAA-NAID Certified verifican que existen protocolos para garantizar la seguridad del material confidencial en todas las etapas del proceso de destrucción, como la manipulación, el transporte, el almacenamiento de materiales antes de la destrucción y la destrucción y la eliminación de los materiales de manera responsable. Se aplica un extenso proceso de selección de antecedentes que verifica en tres niveles que ninguna persona con antecedentes conocidos de delitos relacionados maneja material confidencial.

El programa de auditoría integral dispone de auditorías no anunciadas y aceptar el reglamento significa que las empresas certificadas operan sabiendo que pueden recibir una inspección cualquier día y en cualquier momento. Además NAID cuenta con un Comité Ético y un régimen sancionador lo que conjuntamente proporcionan un poderoso hecho motivador para el cumplimiento continuo que da las máximas garantías al contratante.

Para más información puede consultarnos los manuales oficiales de procedimientos o contactar con nosotros en el info@destrupack.com where we will explain the differences between ISO / IEC 21964 que viene de la DIN 66399 and that previously replaced the also German DIN 32757 , la NAID-AAA Certified y la UNE EN 15713 todas ellas centradas en la destrucción de información confidencial.