Regístrate gratis al evento online
InicioInnovación
Innovación

Destrucción de documentación, aterriza la nueva norma

Redacción
By Redacción
0

Por Marcos Yebra, Marketing y Desarrollo de Negocio en Normadat

En cualquier empresa oirás discursos de lo muy importante que es proteger la información.
La obligación que tienen de cifrarla, clasificarla, almacenarla correctamente o limitar quién puede acceder a ella.

Sin embargo, hay una fase del ciclo de vida de los datos que es igual de importante y no se le da la atención que merece, su destrucción.

Y esto es muy curioso. Porque desde el punto de vista de la seguridad, el momento en el que la información deja de ser necesaria es también uno de los más delicados. Y durante demasiado tiempo se ha tratado este proceso como un mero trámite administrativo de acumular documentos, retirarlos periódicamente y triturarlos. Como un procedimiento rutinario que rara vez genera debate en los comités de dirección.

Pero todo esto ha cambiado. La realidad actual de la información ya no encaja con esa visión simplificada.

La información no desaparece sola

Cada organización genera cantidades enormes de información. En un repaso mental rápido, me vienen a la cabeza contratos, expedientes, facturas, historiales de clientes, informes internos o documentación operativa.

Parte de esa información debe conservarse durante años por motivos legales o regulatorios. Pero otra parte simplemente deja de ser necesaria. ¿Y qué pasa con esa información cuando ya no se necesita?

Quédate esto como si fuera un mantra: “destruir información sensible no es simplemente eliminarla”. Es asegurarse de que no pueda recuperarse ni utilizarse de nuevo. Y eso implica controlar todo el proceso.

El último eslabón del ciclo de vida de los datos

La destrucción segura de la información es un poco el patito feo de la gobernanza de la información en todo su ciclo de vida.

Desde que un documento se crea hasta que se elimina definitivamente, deben estar sobre la mesa las reglas que nos dicen quién lo utiliza, durante cuánto tiempo debe conservarse y qué ocurre cuando ya no es necesario.

Pero en la realidad de nuestro día a día vemos que solo se resuelven bien las primeras fases de creación, archivo y acceso. Pero no tanto la última. Y ahí es donde todo el ciclo puede venirse abajo.

Si te suena alguna de estas imágenes lo habrás vivido tú también: documentos acumulados durante meses en “almacenes” internos, dispositivos electrónicos que se sustituyen sin un proceso claro de destrucción, cajas de archivos que permanecen olvidadas en un despacho hasta que alguien decide “hacer limpieza” … Mientras tanto, la información sigue existiendo. Y sigue siendo accesible.

Cuando el riesgo aparece fuera del radar

El problema de una destrucción mal gestionada es que raramente genera incidentes visibles. Hasta que lo hace.

Y los riesgos de hacerlo mal son unos cuantos. Pueden ir desde la exposición de datos personales hasta la filtración de información estratégica por no hablar directamente del incumplimiento de obligaciones regulatorias. Y existen normativas como el RGPD que están ahí para obligar a demostrar cómo se gestionan los datos personales. No basta con decir que algo se ha destruido. Hay que poder demostrar cómo se ha hecho.

La nueva norma que eleva el listón

Acaba de irrumpir la actualización de la norma. La UNE-EN 15713:2024. En ella se definen las buenas prácticas para la destrucción física de material confidencial.

Esta nueva versión sustituye por fin a la publicada en 2010 dando respuestas a una realidad muy diferente a la de hace quince años. Hoy la información se almacena en múltiples soportes y en volúmenes mucho mayores. Además, los requisitos de auditoría y cumplimiento normativo son mucho más estrictos. La norma introduce un enfoque más detallado sobre cómo deben gestionarse estos procesos.

Entre otras cosas, exige garantizar la trazabilidad completa de la destrucción, desde la recogida del material hasta su eliminación final. Esto implica registrar el transporte, las condiciones de custodia, el acceso a instalaciones y el nivel de destrucción aplicado. Pasamos de concebir la destrucción como un acto puntual para ser un proceso controlado y verificable.

No toda la información requiere el mismo tratamiento

Otro de los cambios relevantes que introduce la norma es la clasificación por clases de protección. Esto significa que el nivel de destrucción debe ajustarse al tipo de información que se elimina. Un folleto publicitario no requiere las mismas medidas que un expediente con datos personales o documentación financiera.

Este enfoque introduce una lógica más cercana a la gestión del riesgo, la de identificar qué tipo de información se destruye y aplicar el nivel de seguridad adecuado.

Más allá del papel

Además, la destrucción confidencial ya no se limita a documentos impresos. Hoy la información sensible también se encuentra en soportes como:

  • discos duros
  • dispositivos electrónicos
  • cintas de respaldo
  • material corporativo con datos internos

Todos estos elementos deben tratarse bajo los mismos principios de seguridad. La gestión de la destrucción, por tanto, se ha ampliado mucho más allá de la clásica trituradora de papel.

Una parte olvidada de la seguridad de la información

Generalmente al hablar de seguridad de la información, el tiro se centra en la protección para evitar accesos no autorizados, ataques informáticos o filtraciones. Pero, las fases finales del ciclo de vida de los datos suelen recibir menos atención. Y eso es un error de los gordos porque, precisamente, es uno de los momentos en los que más fácil resulta perder el control de la información.

Por eso cada vez más organizaciones están viendo “las orejas al lobo” y comienzan a revisar sus procesos de destrucción como parte de su estrategia de cumplimiento normativo y gestión de riesgos.

Cuando destruir información también requiere demostrarlo

La evolución de los estándares y de la regulación apunta en una dirección clara. La destrucción de información ya no es solo una tarea operativa. Es una actividad que debe ser auditable.

Las organizaciones necesitan poder responder a preguntas relativamente simples:

  • Qué información se destruyó
  • Cuándo se hizo
  • Bajo qué condiciones
  • Con qué nivel de seguridad

Responder a esas preguntas con evidencias se está convirtiendo en una parte más de la gobernanza de la información.

Un estándar que empieza a marcar el camino

La adopción de la norma UNE-EN 15713:2024 comienza a definir ese nuevo marco de referencia.

De hecho, Normadat se ha convertido en la primera empresa española certificada bajo este estándar a través de AENOR, un proceso que exige revisar en profundidad procedimientos, controles y trazabilidad del proceso de destrucción.

Más allá de la certificación en sí, el cambio refleja algo más amplio. La gestión responsable de la información no termina cuando un documento deja de utilizarse.

Termina cuando puede demostrarse que ha sido destruido de forma segura.

Artículo anterior
¿Cómo funciona la digitalización de documentos colaborativa entre IA y técnicos de archivo?

Articulos Relacionados

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

¿CONECTAMOS?

spot_img
spot_img

Ultimos Articulos

El medio especializado en el análisis del entorno digital y de la innovación IT

Contact us: info@digitalinnovationnews.es

Política de Privacidad | Aviso Legal | Política de Cookies

© Copyright - Todos los Derechos Reservados a Digital Innovation News

Te recomendamos leer:

¿Cómo funciona la digitalización de documentos colaborativa entre IA y técnicos...

Redacción - 0