A estas alturas, con un año efectivo de aplicación del RGPD, y con medio año de aplicación de la LOPDGDD, toca reflexionar sobre los datos que gestionamos.
También sobre la vida útil de los mismos y de los soportes en que nos apoyamos para tratarlos: ordenadores, fotocopiadoras e impresoras con permisos, móviles, USBs… ¿qué hacemos cuando esos equipos y dispositivos lleguen al final de su vida útil?
A las empresas les tocará no perder de vista el RGPD y, salvo en los casos en que vengan obligados a su conservación, deberán eliminar por completo, bien borrando o bien destruyendo los datos personales que contengan esos equipos, asegurando que no podrán recuperarse y nadie podrá acceder a ellos.
La nueva obligación de “proactividad en el cumplimiento” que el RGPD y la LOPDGDD exigen supone que, a la hora de seleccionar proveedores, tengamos presente que también deben cumplir y acreditar que cumplen con dichas normas, debiendo descartar aquellos que no lo hagan, o asumiendo su responsabilidad directa por haber elegido “mal”.
Así pues, en caso de que los equipos se entreguen a un gestor de destrucción de papel o de RAEEs (los RAEEs son los residuos de los aparatos eléctricos y electrónicos, sus materiales, componentes, consumibles y subconjuntos), habrá que asegurarse de que el reciclaje se hace de una forma segura.
Para lo cual será de gran ayuda que la empresa proveedora cuente con certificados como la UNE 15713 de destrucción segura de material confidencial, o que al menos certifique que sus procesos cumplen los parámetros de seguridad exigidos por el RGPD y LOPDGDD.
La empresa propietaria de los equipos, responsable de los tratamientos de datos, será también responsable en caso de que se acceda a los datos personales allí alojados por una destrucción inadecuada o insuficiente. Por ello recomendaremos también que las empresas procuren cumplir no solamente el RGPD y la LOPDGDD, sino que, en la medida de lo posible, procuren adecuar sus procesos a ISO 27001.
ISO 27001 es un estándar no solo para la protección de datos personales, sino para la seguridad de la información. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).