La destrucción segura de datos continúa siendo uno de los mayores riesgos para las empresas. Hoy día, muchas empresas confían en empresas como DCD, especialistas en destrucción de documentos, para garantizar el compliance o cumplimiento normativo, mitigar cualquier posible riesgo de seguridad y liberar recursos.
Para las empresas que contratan nuestros servicios, la gestión, eliminación y destrucción de datos seguros no forman parte de sus tareas principales, y además, la legislación hace que el proceso sea complejo como para gestionarlo internamente.
La externalización de la responsabilidad de la gestión y destrucción de datos permite que las empresas puedan centrarse en sus tareas. Con el nuevo Reglamento General de Protección de Datos (GDPR o RGPD) cada vez más cerca, las empresas tienen que reconsiderar su enfoque actual para subcontratar la eliminación segura de documentación. Se necesita organizar una auditoría de información y tener pruebas de la destrucción de datos para evitar las multas por violación de datos.
Contenidos
Prueba de destrucción de datos: ¿por qué es tan importante ahora?
Con la actual Ley de Protección de Datos es el responsable del tratamiento el encargado de garantizar el cumplimiento total de las leyes actuales de protección de datos y de determinar los propósitos de cómo se usa y procesa la información personal. El encargado de tratamiento, por otro lado, es quien procesa los datos personales en nombre del responsable.
En el caso de externalizar la eliminación segura de datos, el responsable de tratamiento es la empresa que externaliza estos activos de datos.
Sin embargo, con la llegada del RGPD, tanto el responsable como el encargado de tratamiento tienen la responsabilidad de realizar todos los tratamientos, automatizados o no, atendiendo al ciclo de vida de la información (recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción). El nuevo reglamento europeo también requiere que cualquier empresa que controla o procesa datos tenga registros detallados de sus actividades de procesamiento.
Claramente, con la necesidad de documentación detallada sobre cómo se administran, procesan y destruyen los datos, las empresas deberán desarrollar una visión transparente y unificada sobre cómo gestionar la eliminación segura y cómo verificar que los datos han sido destruido de acuerdo con la normativa.
Nuevo enfoque del RGPD o GDPR
Las empresas deben abordar las iniciativas de protección y destrucción de datos de una forma piramidal, incluso antes de que la destrucción.
Los mandos superiores de las empresas tienen el deber de informar y educar a los empleados sobre la importancia de los procesos de gestión de datos. De lo contrario, la adopción de políticas y procesos de gestión de datos relacionados con el RGPD será muy difícil.
Una vez que todos tengan una idea clara de cómo abordar la destrucción, las siguientes preguntas que deben hacerse son: ¿Quién tiene acceso? ¿Quién lo controla y a dónde va?
Aquí es donde el uso de la tecnología juega un papel importante para asegurar que los registros relacionados con dichos datos estén continuamente actualizados, la destrucción documentada y que un responsable de tratamiento supervise la documentación destruida.
Tener un conocimiento profundo permitirá a las empresas hacer un seguimiento de auditoría detallado, destacando cada paso del proceso, desde marcar los datos que tienen que ser eliminados y destruidos, hasta su recuperación y/o destrucción. Si bien las sanciones y el impacto del RGPD aún no se ha demostrado, el riesgo de seguridad asociado con la falla en la administración de datos a lo largo de todo el ciclo de vida es significativo.
