La privacidad no termina al guardar los datos; también cuenta el final de su vida. El RGPD exige la limitación del plazo de conservación: no guardes los datos más de lo necesario. Pero el RGPD no es la única ley en juego. Otras leyes pueden, al contrario, obligarte a conservar datos durante un periodo mínimo, a veces años. Una destrucción segura empieza, por tanto, con dos preguntas: ¿ya puedo eliminarlo?, y si es así, ¿cómo lo hago realmente ilegible?
Por qué eliminar no basta
Arrastrar un archivo a la papelera no lo elimina de verdad: los datos suelen quedar en el disco hasta que se sobrescriben y se pueden recuperar con software de recuperación. Lo mismo ocurre con un formateo rápido de una memoria USB.
Con el papel el riesgo es aún más tangible: un documento tirado con datos de clientes en un contenedor de papel es accesible para cualquiera. Una destrucción segura exige por tanto un método consciente según el tipo de soporte.
¿Ya puedo eliminarlo? El RGPD no es la única ley que fija el plazo
El RGPD dice: no conservar más de lo necesario. Pero otras leyes dicen a veces lo contrario, es decir, que debes conservar ciertos datos durante un periodo mínimo. Destruir demasiado pronto infringe esas leyes; conservar demasiado tiempo sin motivo infringe el RGPD. Se trata del equilibrio correcto, no de borrar lo más rápido posible.
En España rigen, entre otras, estas obligaciones de conservación:
- Libros y documentos contables: el Código de Comercio obliga a conservarlos, por regla general 6 años.
- Obligaciones fiscales: la Ley General Tributaria fija plazos para la documentación tributaria, en general 4 años, ampliables en ciertos casos.
- Archivos públicos: las administraciones conservan o destruyen documentos según la normativa de archivos y las tablas de valoración.
- Datos de salud y reglas sectoriales: las historias clínicas y ciertos documentos laborales (nóminas, contratos) tienen sus propios plazos.
Papel: triturar, no tirar
Tritura los documentos con datos personales en lugar de tirarlos a la basura normal o incluso al contenedor de papel. Usa una trituradora de corte cruzado, que corta el papel en pequeños confetis en vez de tiras largas.
Para grandes volúmenes, un servicio de destrucción certificado es una buena opción. Entrega una prueba de destrucción, útil en una auditoría.
Discos y dispositivos
Los soportes digitales requieren un método que haga los datos realmente ilegibles:
- Borrado seguro (wiping): software que sobrescribe el disco varias veces, de modo que la recuperación sea imposible.
- Cifrado previo: un disco cifrado se borra eficazmente destruyendo la clave.
- Destrucción física: para discos retirados; hazlos triturar o perforar por un servicio certificado.
- No olvides los periféricos: impresoras, copiadoras y teléfonos suelen conservar datos sin que te des cuenta.
Datos en la nube y copias de seguridad
En la nube, "borrado" no siempre significa realmente borrado. Los archivos eliminados suelen ir primero a una papelera y pueden seguir en copias de seguridad. Comprueba cuánto tiempo conserva tu proveedor los datos eliminados y las copias.
Establece en el contrato de encargo de tratamiento que el proveedor elimina definitivamente los datos al terminar el contrato. Pide una prueba de destrucción cuando sea necesario.
Cómo integrarlo en tu programa de concienciación
La destrucción es conducta y proceso; tu programa de concienciación debe tocar ambos.
- Combina un módulo breve con apoyos prácticos: una trituradora a mano, un procedimiento de entrega y un calendario de conservación visible.
- Haz visible el calendario de conservación que combina el RGPD y las obligaciones legales, para que la gente sepa cuándo algo puede irse de verdad.
- Incorpora la 'retirada segura de dispositivos' a tus procesos de salida y de TI.
- Ofrece profundización en nuestro catálogo de cursos.
Artículos relacionados
- Clasificación de datos y el principio de necesidad de conocer
- Brechas de datos frecuentes en las organizaciones
FAQ
¿Puedo eliminar datos siempre que ya no los necesite?
No siempre. El RGPD exige no conservar más de lo necesario, pero otras leyes pueden imponer un plazo mínimo de conservación. En España, por ejemplo, el Código de Comercio (6 años para libros contables), la Ley General Tributaria (en general 4 años) y la normativa de archivos para el sector público. Destruye solo cuando ya no rija ninguna obligación de conservación.
¿Qué leyes determinan cuánto tiempo debo conservar los datos?
Además del RGPD, sobre todo el Código de Comercio y la Ley General Tributaria, la normativa de archivos para el sector público y los plazos propios de las historias clínicas y de las reglas laborales y sectoriales. Elabora por ello un calendario de conservación por tipo de dato.
¿Un archivo en la papelera está realmente eliminado?
No. Vaciar la papelera solo quita la referencia; los datos suelen quedar en el disco hasta sobrescribirse y se pueden recuperar con software. Usa borrado seguro o destrucción física para datos sensibles.
¿Cómo destruyo papel con datos personales?
Tritúralo con una trituradora de corte cruzado en vez de tirarlo al contenedor de papel. Para grandes volúmenes, usa un servicio de destrucción certificado que entregue una prueba de destrucción.
¿Qué hago con un portátil o teléfono de trabajo viejo?
Entrégalo según el procedimiento de tu organización. El disco debe borrarse de forma segura o destruirse físicamente, y recuerda las tarjetas SIM y de memoria. Un simple reinicio no siempre basta para datos sensibles.
¿Los datos en la nube desaparecen tras eliminarlos?
No siempre de inmediato. Los archivos eliminados suelen quedar en una papelera y en copias de seguridad. Comprueba los plazos de tu proveedor y establece en el contrato que los datos se eliminan definitivamente tras finalizarlo.