Cómo implantar y certificar la norma UNE 15713 Destrucción segura del material confidencial. Beneficios y requisitos.

En el siguiente artículo vamos a describir como certificar la norma UNE 15713 de destrucción segura del material confidencial en empresas de gestión de residuos.

¿Qué es la UNE 15713?  

Muchas son las organizaciones que manejan datos confidenciales. A la hora de destruir este tipo de información, independientemente del soporte en el que esté almacenada, se debe cumplir con la norma UNE 15713. Este estándar proporciona un conjunto de buenas prácticas para asegurar que dicho material se destruye de forma segura y sin peligro, garantizando la confidencialidad.  

Los principios básicos de la norma UNE 15713 son: 

• El material confidencial a destruir deberá almacenarse en contenedores con cerradura de seguridad o con un sellado de número individualizado. 
• Los vehículos de recogida deberán de ser rígidos y cerrados. 
• El centro de destrucción contará con un acceso restringido, alarma anti-intrusismo y circuito cerrado de video-vigilancia. 
• Según la clase de material a destruir se usará el método de destrucción adecuado con el fin de garantizar la imposibilidad de reconstrucción del residuo, haciendo que éste sea ilegible o no reconstruible. 
• El subproducto final, aquello que queda después de la destrucción, ha de ser reciclado. 

Por tanto, la norma UNE 15753, establece las recomendaciones para la gestión y control de los procesos de destrucción de documentos confidenciales de forma segura y libre de sanciones.

¿Quién puede certificarse según la UNE 15713? 

La norma internacional UNE 15753 va dirigida a cualquier empresa independientemente de su tamaño o ubicación; pero especialmente a las organizaciones que deseen garantizar los procesos de destrucción confidencial de documentación sea crítico por el nivel de seguridad aplicable a los datos de carácter confidencial manejados.

Es decir, es ideal para las organizaciones que ofrecen servicios de destrucción de documentos confidenciales.

¿Qué aporta a una empresa certificarse según la UNE 15713? 

Los Beneficios para las organizaciones certificadas según la UNE 15713, son: 

• Genera nuevas oportunidades de negocio.
• Se contribuye a ganar confianza con los clientes y proveedores (que son, a la postre, los propietarios de la información).
• Mejora de su competitividad.
• Reduce costes y genera ahorros.
• Mejora el nivel reputacional de la empresa.
• Evitamos las cuantiosas sanciones.
• Ayuda a mantener y mejorar su posición en el mercado.
• Aumento de la satisfacción final de sus clientes, mejorando la imagen de los servicios y su posicionamiento en el mercado.
• Dota a la organización de un sistema de Gestión de la Información basado en los estándares normalizados de aceptación y reconocimiento nacional. De este modo la organización obtiene un valor añadido que generará una ventaja competitiva para clientes y proveedores.
• La mejora en el cumplimiento de los requisitos legales de aplicación y como consecuencia, evitar las sanciones derivadas del incumplimiento de los mismos.
• Soporte al cumplimiento del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)) y privacidad de la información.
• Facilita el cumplimiento de la legislación LOPD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) y Medio Ambiente.
• Realiza una revisión de las actividades, instalaciones y recursos.
• Integra todas las actividades de prestación del servicio empresarial.
• Proporciona un extra de fiabilidad para los clientes en la relación a la confidencialidad de la información que se maneja por parte de su proveedor.
• Garantiza en sus servicios la utilización de los medios y la aplicación de los procedimientos adecuados para una destrucción de documentos de forma segura tanto para la empresa o negocio como para la empresa de destrucción confidencial.
• Proporciona recomendaciones aplicables a las dependencias centrales de las compañías y cualquier otro lugar de custodia para el material confidencial. 
• Proporciona información posterior a la destrucción confidencial.

• Criterios de calidad 
• Sistematización de las actividades y su control, con procedimientos y registros. 
• Una revisión de las actividades, instalaciones y recursos 
• Garantía para una destrucción de documentos de forma segura.

Tipos de Destrucción Según la Norma UNE-15713

Toda empresa que preste el servicio de destrucción de documentos confidenciales o sensibles tiene que tener la capacidad de realizar las siguientes actividades:

• Destrucción puntual de documentos: Este tipo de destrucción se realiza una sola vez y se hará a través de una trituradora. Este trabajo se puede efectuar en el propio sitio donde están los documentos o en la empresa contratada; todo dependerá de la cantidad de material que se va a destruir. Es importante mencionar que la empresa contratada deberá entregar un certificado de destrucción.
• Destrucción periódica de documentos: La empresa contratada para realizar la destrucción debe facilitar contenedores o buzones de seguridad; con esto se quiere resguardar la información confidencial que se va desechando diariamente en la institución. Este tipo de destrucción se realizará cuando el contenedor o buzones estén llenos.
• Destrucción de información en otros soportes: Toda empresa que se dedica a la destrucción de documentos confidenciales o sensibles debe garantizar a la institución que la contrata, la destrucción de todo tipo de información; esté esta información en papel o en soporte como: discos duros, ordenadores, pendrive, impresoras, tarjetas de créditos, uniformes, radiografías, cintas de películas o cualquier otra presentación.

Proceso de Certificación UNE-EN 15713:

El proceso de certificación para UNE 15713 tiene los siguientes pasos:

1. Solicitud de certificación.
2. Planificación.
3. Fase 1.
4. Fase 2.
5. Emisión del certificado. 

El mantenimiento del certificado conlleva el siguiente proceso:

1. Seguimiento anual 1.
2. Seguimiento anual 2.
3. Recertificación.

Integración de la UNE 15713 con otras normas:   

La implantación de la UNE 15713 se puede acometer con otras normas:

• Gestión de la calidad: ISO 9001.
• Gestión de la Seguridad de la Información: ISO 27001.
• Gestión ambiental: ISO 14001.
• Gestión de la seguridad y salud en el trabajo: ISO 45001.
• Cualquier otro esquema con estructura de alto nivel.

Conceptos de interés

• Confidencial, se refiere (según ISO 27002): Es una cualidad de la información que hace que sólo pueda ser accesible a personal autorizado para acceder a ella.
• Lugar de custodia: lugar no destinado a la destrucción donde se custodia de forma segura el material de carácter confidencial previamente al traslado del mismo a las dependencias de la organización.
• Destrucción: Reducción del material a un tamaño tal, en la medida de lo posible, indescifrable, ilegible e irreconstruible.
• Trituración: Reducción mediante medios mecánicos, a un tamaño estipulado.
• Desintegración: Reducción por medios mecánicos a un tamaño estipulado menor que aquél alcanzable con los medios de triturado.
• Encargado de tratamiento: Cualquier persona (distinta del responsable del archivo o tratamiento) que procesa los datos por encargo del responsable del archivo o tratamiento.
• Responsable del tratamiento: Persona que (bien solo o conjuntamente con otros) determina el fin y la forma en la que cualquier en la que cualquier información de carácter personal es o será procesada.

¿Qué documentos deben destruirse?

• Curriculums,
• facturas,
• listas de clientes,
• presupuestos,
• registros de la Seguridad Social,
• informes médicos,
• planes de márketing,
• nóminas,
• correos electrónicos,
• inventarios,
• solicitudes de empleo,
• declaraciones de impuestos,
• información de créditos,
• contratos,
• informes de recursos humanos, etc

¿Cómo destruir la documentación física de forma segura y cumpliendo con la LOPD y RGPD?

La normativa vigente en materia de LOPD nos obliga en ciertos casos a la eliminación definitiva de la documentación que contiene información confidencial, así que no se pueden tirar los documentos directamente a la basura o rasgar el papel en 4 trozos simplemente.

La mejor garantía de seguridad: Externalizar el servicio y subcontratar a una empresa especializada. Y la mejor opción son las empresas certificadas en la norma UNE 15713.

La norma UNE EN-15713 se convierte en el complemento ideal para regular la LOPD en los procesos de destrucción de toda clase de ficheros de carácter confidencial. Consta de 3 etapas bien diferenciadas:

• Llegada a las instalaciones, recogida y traslado del material.
• Destrucción de documentos.
• Emisión del certificado.

¿Qué nos pide la normativa?

Ya el RGPD establece un sistema articulado de medidas de seguridad para cumplir con la normativa en el tratamiento de Datos Personales:

Medidas de seguridad en el RGPD:

• Medidas organizativas:

• Deber de confidencialidad y secreto
• Derechos de los titulares de los datos
• Violaciones de seguridad de datos de carácter personal

• Medidas técnicas:

• Identificación de usuarios
• Deber de salvaguarda

¿Cuáles son las infracciones y sanciones?

Tipos de sanciones: Multas administrativas: art. 83 y ss. RGPD: Hasta 20.000.000 € o 2%- 4%, del volumen la cifra anual de ventas de la empresa (la más elevada).

• Art. 72 Ley Orgánica (LOPD): INFRACCIONES MUY GRAVES. Prescripción 3 años.
• Art. 73 Ley Orgánica (LOPD): INFRACCIONES GRAVES. Prescripción 2 años.
• Art. 74 Ley Orgánica (LOPD): INFRACCIONES LEVES. Prescripción 1 año.

¿Cuáles son las medidas a adoptar?

• Empresas Destructoras de Documentación.
• Destructoras de Papel.
• Quemado del Papel.
• Producto final: reciclado (medio ambiente).

¿Cuáles son los niveles de destrucción de documentos?

La LOPD obliga a la correcta destrucción de documentos confidenciales de manera que sean irrecuperables. A continuación comentaremos los diferentes niveles de destrucción exigidos en la norma DIN 66399 para garantizar que estamos cumpliendo con dicha obligación.

Evidentemente sabemos que la mejor forma de destruir los documentos en papel es triturarlos mediante cortes, bien en tira o cruzados, antes de ser entregados para su posterior reciclaje.

La norma DIN 66399 del Comité de Estándares de Tecnologías de la Información y Aplicaciones (NIA) describe los requisitos para las máquinas destructoras y procesos para la trituración de datos.

Según esta norma encontramos tres categorías de protección, seis de materiales y siete niveles de seguridad.

1. Categorías de Protección:

– Categoría de protección 1: una protección normal para datos internos de la empresa cuya publicación o transmisión no autorizada tendría consecuencias negativas limitadas. La no protección de estos datos implicaría un peligro sobre la persona afectada perjudicándola en su posición y situación económica.

– Categoría de Protección 2: protección alta para datos confidenciales accesibles por un grupo reducido de personas de la empresa cuya transmisión no autorizada tendría consecuencias considerables y podría infringir obligaciones contractuales o leyes. Requiere un nivel de protección alto.

– Categoría de Protección 3: protección para datos muy confidenciales o secretos accesibles por un grupo reducido de la empresa cuya transmisión no autorizada tendría consecuencias graves pues pondría en peligro la existencia de la empresa y supondría la infracción del secreto profesional, contratos adquiridos o leyes. Se debe garantizar absolutamente la protección de estos datos, de lo contrario se pondrían en peligro la integridad física o la libertad de las personas afectadas.

2. Categorías de clasificación de soportes de datos:

3. Categorías de niveles de seguridad

• Nivel 1: Documentos que no contemplen información privada de la empresa o que simplemente se quieran hacer ilegibles (cortes que no superen los 12 mm de acuerdo con la normativa DIN 66399).
• Nivel 2: Se utiliza para documentos de carácter interno pero que no representan información delicada para la empresa, como datos personales, catálogos de promociones, informes. (Los cortes dan como resultado tiras que alcance no más de 6 mm).
• Nivel 3: De acuerdo con la ley en este nivel se encuentran los datos que puedan resultar más delicados para ciertas personas, como información personal o de clientes, así como de proveedores. (Los cortes son menores a 2 mm).
• Nivel 4: Aquí entrarían los contratos y expedientes informes que contengan datos personales privados, comenzando a medirse los cortes como partículas, siendo estas de 4 x 40 mm.
• Nivel 5: Podemos encontrar en este nivel, la destrucción de documentos de carácter judicial, así como los pertenecientes al gobierno. Son de alta privacidad. (Los papeles son cortados a 2 x 2 mm).
• Nivel 6: Son casos que requieren mayor protección y por lo tanto, su destrucción es inferior a 1 mm, un corte considerado en micropartículas.
• Nivel 7: En este último podemos encontrar documentación utilizada por el ejército, agencias que protegen a un país y los que utilizados por el gobierno, siendo estrictamente confidenciales. Deben ser cortes de 0’8 x 5 mm.

Resumiendo la relación entre la protección y las medidas de seguridad tenemos que:

• Para una categoría de protección 1 debemos aplicar un nivel de seguridad 1, 2 ó 3
• Para una categoría de protección 2 debemos aplicar un nivel de seguridad 3, 4 ó 5
• Para una categoría de protección 3 debemos aplicar un nivel de seguridad 5, 6 ó 7

¿Cuáles son los tipos de destructoras de papel?

• P-1: destruye una hoja A4 en 40 fragmentos.
• P-2: destruye una hoja A4 en 40 fragmentos.
• P-3: destruye una hoja A4 en 200 fragmentos.
• P-4: destruye una hoja A4 en 400 fragmentos.
• P-5: destruye una hoja A4 en 2000 fragmentos.
• P-6: destruye una hoja A4 en 6000 fragmentos.
• P-7: destruye una hoja A4 en 12,500 fragmentos

Ventajas / Desventajas: Diferentes métodos de destrucción

1. Empresas:

2. Destructoras:

3. Quemado:

Entre los esquemas más habituales, relacionados con este tipo de empresas de gestión de residuos podremos encontrar:

• ISO 9001 de Gestión de la Calidad.
• ISO 14001 de Gestión Ambiental.
• ISO 45001 de Gestión de la Seguridad Laboral.
• ISO 27001 de Gestión de la Seguridad de la Información.

Si desea un presupuesto para certificar su empresa, rellene el formulario https://qualitycert.es/certificacion-de-sistemas o escr´íbanos a info@qualitycert.es