Borrado Seguro de Datos
Este reglamento establece que los datos personales deben ser suprimidos cuando ya no sean necesarios para los fines para los que fueron recogidos o tratados. Algunas circunstancias específicas en las que se debe proceder al borrado de datos incluyen:
El Borrado Seguro de Datos y el «Derecho al Olvido»
Además, el RGPD incluye el «derecho al olvido«, que obliga a las empresas a informar a otros responsables del tratamiento de datos para que hagan un borrado seguro de datos de cualquier enlace, copia o réplica de los datos personales en cuestión. Más información sobre el «derecho al olvido» en la Agencia Española de Protección de Datos (AEPD)
Sin embargo, hay excepciones a esta obligación, como cuando los datos son necesarios para el ejercicio de la libertad de expresión, el cumplimiento de una obligación legal o para fines de archivo en interés público, investigación científica o histórica, o fines estadísticos.
Aunque la norma de Seguridad Informática NIST SP 800-88 Rev. 1, Guidelines for Media Sanitization, de diciembre de 2014, es estadounidense, resulta ampliamente reconocida y utilizada en España, proporcionando directrices detalladas para la destrucción de medios de almacenamiento de datos.
Cumplimiento con NIST SP 800-88.
El NIST SP 800-88 es una guía de recomendaciones, no una certificación en sí misma. La empresa debe implementar los procedimientos descritos en la guía, que incluyen:
La empresa debe documentar sus procesos y demostrar que sigue las prácticas recomendadas por NIST.
Certificaciones Recomendadas para el Borrado Seguro de Datos
Aunque no es obligatorio, obtener certificaciones reconocidas puede demostrar que la empresa cumple con estándares internacionales de seguridad de la información. Algunas de las más relevantes son:
ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
Es un estándar internacional para la gestión de la seguridad de la información (SGSI), cuya certificación atestigua que la empresa tiene un sistema de gestión de seguridad de la información robusto, que incluye la protección y eliminación segura de datos. Es ampliamente reconocida y puede ser un requisito para trabajar con organizaciones gubernamentales o grandes corporaciones.
ISO/IEC 27040:2024. Information technology — Security techniques — Storage security
Específicamente enfocada en la seguridad del almacenamiento de datos, incluyendo la eliminación segura. Complementa a la ISO/IEC 27001 y es útil para empresas que manejan grandes volúmenes de datos.
National Association for Information Destruction (NAID) NAID AAA Certification.
Certificación específica para empresas que se dedican a la destrucción segura de datos. Aunque está más orientada a la destrucción física, es altamente reconocida en la industria. Incluye auditorías regulares para garantizar el cumplimiento de los estándares.
Ethical Electronics Recycling and Reuse, e-Stewards Certification
Certificación para empresas que manejan residuos electrónicos y destrucción de datos. Garantiza que los procesos de eliminación de datos son seguros y ambientalmente responsables.
Responsible Recycling, Test. Repair. Reuse. Recycle.R2.
Certificación para el reciclaje responsable de dispositivos electrónicos. Incluye requisitos para la eliminación segura de datos.
Esquema Nacional de Seguridad ENS, Real Decreto 311/2022. Borrado y destrucción [mp.si.5].
La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos y soportes susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.
– [mp.si.5.1] Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto del borrado seguro de su contenido que no permita su recuperación. Cuando la naturaleza del soporte no permita un borrado seguro, el soporte no podrá ser reutilizado en ningún otro sistema.
Refuerzos
R1-Productos certificados.
– [mp.si.5.r1.1] Se usarán productos o servicios que cumplan lo establecido en [op.pl.5].
R2 – Destrucción de soportes.
– [mp.si.5.r2.1] Una vez finalizado el ciclo de vida del soporte de información, deberá ser destruido de forma segura conforme a los criterios establecidos por el CCN.
Requisitos adicionales para el Borrado Seguro de Datos
Consideraciones Legales sobre el Borrado de Datos
La empresa debe asegurarse de cumplir con las exigencias RGPD y LOPDGDD, así como del ENS (Esquema Nacional de Seguridad), además de seguir las recomendaciones del NIST.
Por lo tanto, aunque no existe una certificación específica para el borrado seguro según NIST SP 800-88, la empresa debe implementar los procedimientos descritos. Para demostrar su competencia, puede obtener certificaciones como ISO/IEC 27001, NAID AAA, o e-Stewards, que son ampliamente reconocidas en la industria y pueden ser requeridas por Clientes, requisitos contractuales o exigencias de la administración, como el ENS.
Está claro que para cumplir con las exigencias legales, no es suficiente borrar los datos una vez estos ya no sean necesarios, si no que además, es necesario borrarlos de manera segura, este proceso de borrado de datos es crucial para cumplir con la RGPD y la LOPDGDD. Por tanto y con el fin de justificar la claridad de este proceso, es bueno certificarse en alguno de los métodos ya mencionados. De esta manera, además de proteger los datos, aprenderemos la manera correcta de realizarlo y evitaremos posibles sanciones por no adaptar nuestras empresas.
Si buscas certificarte, o saber si tu empresa cumple con los requisitos del Esquema Nacional de Seguridad (ENS), puede contactarnos en nuestro correo electrónico: info@garanteprivacy.es o a través de nuestro apartado de contacto de Garante Privacy.
Información Protección de datos.