Dichos activos son desechados a diario y son gestionados por servicios de limpieza de oficinas, por empresas de reciclaje de papel, en pequeñas destructoras, o bien se externaliza su destrucción. En todos los casos hay que definir protocolos de actuación auditables, de tal manera que garanticen la gestión confidencial y la irrecuperabilidad e irrecomponibilidad de los documentos.
Explicaremos una solución basada en el outsourcing de destrucción confidencial que descarga a las compañías de una tarea que no pertenece a su core business y que a la vez se debe contratar con unos niveles de servicio que por su singularidad, puede que al definirlos queden sin matizar aspectos que luego no garanticen normas esenciales como la LOPD o los propios manifiestos de responsabilidad social corporativa. Determinar por escrito el tamaño de partícula a la que finalmente quedarían destruidos los documentos y la gestión confidencial que se realizaría hasta que son destruidos, son piezas clave a la hora de modelar una externalización.
En líneas generales, un modelo de outsourcing que realmente apueste por la seguridad de la información que se desecha, debe cumplir 4 premisas fundamentales:
1. Custodiar de forma confidencial y en origen la información que un empleado acaba de desechar, mediante contenedores cerrados dotados de medidas que realmente eviten los accesos no controlados de terceros.
2. Transportar de forma confidencial en vehículos cerrados y controlados via gps hacia plantas igualmente cerradas y con medidas perimetrales que aseguren la inviolabilidad de los activos documentales.
3. Destruir los documentos de forma irrecuperable e irrecomponible. Eso implica triturarlos en partículas asimétricas a un tamaño de diámetro determinado y exigir un certificado de destrucción que indique expresamente
4. Auditabilidad de los 3 procesos anteriores, tal que se verifique el cumplimiento de normas como la Ley Orgánica de Protección de Datos (LOPD), Ley de Residuos, Ley RAEE y Medioambiente, así como del cumplimiento de los Planes de Seguridad y de contingencia que las organizaciones deben detallar para cualquier tipo de información (electrónica, magnética o en soporte papel).
Sin embargo, a pesar de las recomendaciones ocurre que es habitual encontrarse con 3 errores esenciales nacidos en la propia concepción que algunas organizaciones han ideado para dar el servicio de destrucción:

• 1- A veces el proceso de destrucción responde a directrices legislativas, o a directrices internas corporativas y en otros, como es el caso de la información pública, no cuenta con unas exigencias determinadas. A pesar de esto, en este último caso se recomienda aplicar el mismo tratamiento de destrucción que en el resto de documentación desechada, puesto que se ha demostrado que dejar en manos de cada empleado la responsabilidad de discriminar correctamente la naturaleza de cada documento para aplicarle distinto tratamiento, es más complicado y costoso que el aplicar un tratamiento homogéneo a todos los documentos. Además representa una amenaza de fuga al exterior si por ejemplo un documento estratégico no recibe el tratamiento de destrucción por el mero hecho de haberlo depositado en un contenedor que sólo era para reciclaje de papel.
• 2- Ocurre otra amenaza, esta vez de accesos no autorizados por parte de terceros, si no se presta suficiente atención al formato de los contenedores donde depositar la documentación, al traslado de los mismos a las Plantas donde se realiza la destrucción y a las propias medidas de seguridad en las Plantas. En este sentido hay que tener en cuenta que, con la reciente entrada en vigor del Reglamento de Desarrollo LOPD (RDLOPD), se ha ampliado el alcance a los ficheros en soporte papel. Y se establece que los contenedores utilizados deben ser cerrados, con medidas reales que eviten sustracción, pérdida o accesos indebidos. Así como la adopción de un transporte confidencial en vehículos cerrados hacia plantas igualmente cerradas y con medidas perimetrales que aseguren la inviolabilidad de los activos. Utilizar cajas de cartón o camiones abiertos hacia plantas de fácil acceso representa un error grave en la concepción del servicio de destrucción.
• 3- Siguiendo la línea legislada por el RDLOPD, se ha establecido que siempre que se deseche información en cualquier soporte, se debe proceder a su destrucción de modo que no se pueda recomponer posteriormente. Dicho de otra manera, cuando se externaliza un servicio de destrucción irrecomponible se debe exigir en su concepción, que destruyan los documentos en partículas asimétricas a un tamaño de diámetro máximo entre los 20 y los 60 milímetros y lo que es más importante, exigir en el certificado de destrucción emitido, que indique expresamente a qué tamaño de partícula ha quedado triturada la documentación y el lugar físico en donde se ha llevado a cabo. ¿Esto está plasmado en los últimos certificados que le han emitido?

Conformarse con externalizar el servicio no es suficiente, debe cerciorarse de que su información no pueda verse comprometida. En este sentido, debe considerarse obligatoria la visita in situ a una de las plantas de destrucción de los partner seleccionados y comprobar los procedimientos y las medidas dispuestas en los contenedores, el transporte, las plantas y la capacidad de auditabilidad de todo el proceso.
Recapacitar sobre lo que hoy estamos haciendo mal nos sirve para vislumbrar lo que mañana serán las amenazas que causen nuestras preocupaciones (incumplimientos normativos, pérdida reputacional, accesos no controlados). En definitiva, las empresas deben minimizar sus riesgos prestando una especial atención al proceso de destrucción. Determinar los niveles de servicios adecuados supone algo más que una destrucción segura de documentos, supone la garantía de mantener la seguridad en las empresas.