La destrucción de documentos es un proceso en el que se debe garantizar que no será posible recuperar ningún soporte, archivo o documento que contenga informaciones confidenciales, de tal modo que en ninguna fase del proceso de destrucción esté en riesgo la confidencialidad de los datos sensibles a eliminar. Para asegurar la confidencialidad de la información en la destrucción de documentos, la destrucción de los soportes debe evitar por completo la recuperación de los datos, debiendo ser la confidencialidad extensiva a todas las fases del proceso de destrucción.
Confidencialidad de la información en la destrucción de documentos
La destrucción de archivos y documentos confidenciales debe garantizar que no sea factible recobrar ningún soporte que contenga informaciones confidenciales, asegurando la confidencialidad de los datos a destruir durante todas las etapas del proceso. Esto debe aplicarse en los procesos de destrucción de todo tipo de soportes, tales como los soportes manejados en papel, los soportes de tipo electrónico, óptico o magnético, así como filmaciones, microfichas, microfilmes, radiografías o tarjetas.
Cierta información empresarial sensible requiere de un manejo que asegure su confidencialidad en todas las etapas de su destrucción, como por ejemplo los datos personales, datos que requieren un alto nivel de privacidad por razones financieras o comerciales, así como las informaciones relacionadas con aspectos laborales, como son las fichas de los trabajadores.
Para que la destrucción de información confidencial sea correcta, toda destrucción de documentos debe ser inalterable, evitando por completo la posibilidad de rescatar cualquier dato desechado. Además, la confidencialidad de los archivos debe ser extensiva a todos los procesos que conlleva su destrucción. Por otra parte, debe procurarse que los procesos de destrucción documental se lleven a cabo sin causar ninguna alteración al medio ambiente, de tal modo que todos los productos de desecho sean aprovechables para su reciclaje.
Respecto a en qué momento deshacerse de cierta información documental, en principio cualquier depuración de archivos debe ser efectuada cuando la información ya no se necesita, es decir, cuando la información ha dejado de ser útil para la empresa. Sin embargo, debe tenerse también presente que existen documentos que han de ser conservados durante un determinado período de tiempo por razones jurídicas o normativas, lo que se denomina retención de datos, un protocolo establecido en una organización que determina la política a aplicar para conservar la información necesaria por razones operativas o por cumplimiento regulatorio.
En la destrucción de documentos confidenciales debe documentarse cada una de las destrucciones llevadas a cabo, para poder demostrar que se ha procedido de acuerdo a todas las reglamentaciones legales en caso de alguna posible consulta, auditoría o proceso de investigación. Deberá especificarse la clase y número de documentos que han sido destruidos, dejando constancia en el certificado de destrucción del procedimiento utilizado, la fecha y el personal que ha intervenido en su realización.
Puesto que muchas empresas contratan un servicio especializado de destrucción de documentos e información confidencial, es imprescindible asegurarse de que el prestador del servicio se encarga de la eliminación de dichos documentos de la manera adecuada, garantizando en todo momento la confidencialidad de la información y que en ningún caso pueda existir la posibilidad de que esa información pueda sea recuperada o pueda caer en manos de terceros, ya que en ese caso la cesión de estos datos a la empresa que lleva a cabo el servicio puede suponer que la responsabilidad última ante este hecho recaiga sobre la empresa contratante del servicio.
Por ese motivo, las empresas deben estudiar con detenimiento los contratos que firman con los proveedores que prestan servicios de recogida, conservación, reciclaje o eliminación de documentos confidenciales, con el fin de conseguir el mayor grado de eficacia en materia de seguridad, confidencialidad y control. Se aconseja informarse en profundidad sobre sus políticas de seguridad y sus procedimientos, así como visitar sus instalaciones. Debe evitarse contratar empresas de destrucción de información confidencial que a su vez subcontratan a otra empresa para que proporcione el servicio, ya que ésta puede carecer del equipo necesario para proporcionar el servicio de forma segura y el cliente no podrá verificarlo.
Las empresas no sólo deben ser exigentes con sus proveedores de servicios de eliminación de documentos confidenciales, sino que también debe implementar procedimientos adecuados en aquellas fases del proceso de destrucción que se ejecutan directamente bajo su control, como pueden ser la recogida y el transporte.
Cualquier tipo de información sensible de una empresa no debería ser puesta en manos de cualquier empleado para que éste lo entregue a la empresa que se va a encargar de destruirlos. En muchas ocasiones, es el servicio de limpieza el que se encarga de recoger la documentación confidencial y entregarla a los responsables de la destrucción, y por lo general la mayor parte de los servicios de limpieza que realizan esta tarea no han firmado un pacto de confidencialidad. Además, tanto los contenedores para la recogida como los vehículos usados para el transporte, pueden no estar debidamente escoltados en todo momento. Por otra parte, empleados que no están contentos en su empresa, que tienen una gran ambición o los trabajadores menos remunerados que conocen el valor de esa información pueden ofrecer información confidencial a la competencia a cambio de un incentivo económico.