Desde la entrada en vigor del RGPD el responsable en cumplimiento de su responsabilidad proactiva, tiene que establecer las medidas técnicas y organizativas apropiadas que garanticen el nivel de seguridad adecuado al riesgo.
Para proteger la confidencialidad de los datos en los documentos y soportes desechados, el responsable aplicará las medidas de destrucción adecuadas.
A continuación indicamos algunas de las normas que regulan los procedimientos de destrucción de la información:
“ISO 15713: 2010 Destrucción segura del material confidencial, código de buenas prácticas” que sirve de complemento a la normativa de protección de datos, para la destrucción de documentos que contienen datos personales en cualquier tipo de soporte.
Esta norma determina el proceso necesario para la destrucción de documentación, desde la recogida, pasando por el almacenamiento y posterior destrucción.
La norma también es útil si queremos garantizar la destrucción de datos confidenciales, llevando la seguridad precisa a lo largo de todo el proceso (recogida, transporte y destrucción del material confidencial).
La Directiva Europea en cuanto a la destrucción de documentación que es de máxima importancia y la más completa hasta la fecha, es la “DIN 66399” que está dirigida a la destrucción de soportes digitales y demás medios.
La destrucción de datos confidenciales hoy en día no se puede contemplar desde un solo aspecto, sino como un todo global y eso lo ha hecho esta nueva norma.
La norma establece tres categorías de protección:
Categoría de Protección 1: Se basa en una protección normal para los datos internos de la empresa, cuya publicación o transmisión no autorizada tendría consecuencias negativas y limitadas para la empresa. Se utiliza para documentos de poca relevancia que simplemente se desean hacer ilegibles tales como trípticos publicitarios, catálogos de productos, informes internos, formularios desactualizados o prospectos informativos.
Categoría de Protección 2: Tiene su base en una protección alta para los datos confidenciales que son accesible por un grupo reducido de personas de la empresa, cuya transmisión no autorizada de datos tendría consecuencias considerables para la empresa y podría infringir obligaciones contractuales.
Categoría de Protección 3: Se basa en una protección para datos muy confidenciales y secretos, accesibles por un grupo reducido de personas autorizadas de la empresa, cuya transmisión no autorizada tendría graves consecuencias para la empresa, pues pondría en peligro su existencia y supondría la infracción del secreto profesional, de contratos adquiridos o de leyes.
Categoriza también los materiales en seis diferentes:
- P- Papel
- O- Soportes ópticos
- T- Tarjetas
- E- Memoria digital
- F- Film
- H- Discos duros
Además define siete niveles de seguridad:
- Nivel de Seguridad 1: Material impreso general que se ha de hacer ilegible o invalidar.
- Nivel de Seguridad 2: Documentos internos que se han de hacer ilegibles o invalidar.
- Nivel de Seguridad 3: Soportes de datos con datos sensibles y confidenciales, así como datos personales que requieren un alto grado de protección.
- Nivel de Seguridad 4: Soportes de datos con datos especialmente sensibles y confidenciales, así como datos personales que requieren un alto grado de protección.
- Nivel de Seguridad 5: Soportes de datos con información que se ha de mantener secreta por su importancia para la existencia de una persona, empresa o instalación.
- Nivel de Seguridad 6: Soportes de datos con documentos que se han de mantener secretos y para los que se han de tomar medidas de seguridad extraordinarias.
- Nivel de Seguridad 7: Soportes de datos que se han de mantener en riguroso secreto y para los que se han de tomar las más estrictas medidas de seguridad.
Por último, debemos mencionar que la norma DIN 66399, para la documentación en formato papel, la cual define el tipo de corte y medidas que ha de realizarse dependiendo la información que contengan los documentos.