Certificado de Destrucción: qué debe contener y por qué
Un Certificado de Destrucción es una pequeña hoja A4 de gran valor. Es la única prueba sólida con la que más adelante puedes demostrar que un archivo, un lote de soportes de datos o un stock de productos se ha destruido realmente, en qué fecha, según qué norma y por quién. Para tu expediente RGPD, tu contable, un organismo supervisor y tu propia tranquilidad, este papel es imprescindible. Este artículo detalla exactamente qué debe figurar en él y qué errores aparecen en los certificados demasiado escuetos.
Público objetivo. DPO, gerentes de oficina, responsables de cumplimiento y compradores que firman una orden de destrucción.
¿Por qué un certificado?
El RGPD no menciona en ningún sitio literalmente un «Certificado de Destrucción». Aun así, en la práctica es imprescindible para cumplir tres exigencias.
- RGPD art. 5 apdo. 2 (responsabilidad proactiva): el responsable del tratamiento debe poder demostrar que cumple los principios.
- RGPD art. 32 (seguridad): las medidas adecuadas deben estar documentadas.
- RGPD art. 30 (registro de actividades de tratamiento): la destrucción es una actividad de tratamiento que debe quedar registrada.
Además, la autoridad neerlandesa de protección de datos (AP) utiliza el certificado en sus investigaciones. Una organización sin certificados lo tiene difícil enseguida en una auditoría.
Un certificado de destrucción no es una formalidad. Es la prueba contractual, técnica y jurídica reunida en un solo documento.
Los campos obligatorios
Como mínimo, cada certificado debe contener los siguientes campos.
1. Número de orden único
Un número único por certificado. Se usa para la referencia, la pista de auditoría y la posible correspondencia.
2. Fecha y hora de la destrucción
No solo la fecha, sino también la franja horaria. «6 de marzo de 2026, 9:15 a 11:20» es mejor que solo «6 de marzo».
3. Ubicación de la destrucción
Dirección donde se ha realizado la destrucción. En la destrucción móvil, tu propia dirección. En la destrucción fuera de sitio, la dirección de la instalación de destrucción, con el código de precinto del contenedor de transporte si procede.
4. Cliente
Nombre completo, número de KvK y dirección.
5. Ejecutor
Nombre de la empresa del servicio de destrucción, nombre del operario, firma.
6. Tipo de soporte
Qué categoría. Papel, HDD, SSD, cinta, USB, teléfonos móviles, productos. Una línea aparte por categoría con cantidad o peso.
7. Número de unidades o peso
Para el papel, normalmente kilos. Para los soportes de datos, número de unidades. En los discos duros, preferiblemente también los números de serie (ver el punto siguiente).
8. Números de serie (para soportes de datos)
Para HDD, SSD, teléfonos y cintas, una lista con los números de serie. En una auditoría esto es esencial para demostrar que se ha destruido un aparato concreto. En lotes grandes puede bastar un anexo.
9. Método de destrucción
Triturado, desintegración, fundición, desmagnetización. Para HDD y SSD indícalo por separado, porque son procesos distintos.
10. Norma y nivel aplicados
DIN 66399 con letra y número (P-4, P-5, H-4, E-5, T-5). Para la destrucción de TI, también la referencia a NIST 800-88 (Clear, Purge o Destroy). Consulta nuestro artículo sobre los niveles P de la DIN 66399.
11. Testigo
Si alguien del cliente ha presenciado la destrucción, nombre y firma. Opcional, pero muy sólido a efectos probatorios.
12. Firma del ejecutor
Física o digital. Sin firma, el documento no es un certificado sino una nota interna.
Por qué estos campos son esenciales en conjunto
Imagina que dos años después de la destrucción llega una pregunta. «¿Puedes demostrar que se destruyó el disco con número de serie X?». Sin números de serie en el certificado no puedes probar nada. Con ellos respondes. «Certificado #2026-0306-01, página 3 línea 17, método H-5, el mismo día y en mi presencia». Eso zanja el asunto.
¿Certificado con números de serie y nivel DIN?
Entregamos de serie un certificado completo por orden, incluidos los números de serie de los soportes de datos y el nivel DIN. A prueba de auditoría para sanidad, sector financiero, abogacía y notariado.
Solicita un presupuestoErrores frecuentes en los certificados
Sin nivel DIN indicado
«Destruido según las normas RGPD» no significa nada. El RGPD no prescribe ninguna norma concreta. Exige que se indique la DIN 66399 con letra y número.
Sin números de serie en HDD y SSD
«50 discos duros destruidos» sin números de serie es insuficiente para las auditorías. Exige una lista.
Sin método en los soportes de datos
Importa si un SSD se ha triturado, desmagnetizado o destruido mediante crypto-erase. Indica el método.
Certificado solo semanas después de la orden
Un buen servicio entrega el certificado en 1 o 2 días laborables. Esperar semanas es señal de una administración débil. No esperes. Pide el documento justo después de la destrucción.
Solo PDF, sin firma
Un PDF sin firma digital es fácil de manipular. Exige una versión firmada, preferiblemente mediante firma en PDF o un portal específico.
¿Cuánto tiempo conservas el certificado?
Como mínimo 5 años desde la fecha de la orden, en tu expediente RGPD. Para determinados sectores, más tiempo.
- Notariado. Hasta el fin del plazo de conservación de la escritura asociada o un mínimo de 10 años
- Sanidad. 20 años (análogo al plazo de los expedientes de la WGBO). Consulta WGBO 20 años.
- Abogacía. Mínimo 10 años
- Destrucciones de relevancia fiscal. 7 años (análogo al AWR art. 52)
¿Digital o papel?
Ambos son aceptables. El formato digital tiene ventaja para la búsqueda y la pista de auditoría. Algunos sectores aún piden el papel como «copia impresa» en la carpeta. En digital, almacenamiento cifrado en tu DMS o expediente RGPD.
Ejemplo de auditoría
Durante una investigación de la AP puede darse la siguiente conversación.
- AP: «Ha indicado en el registro de actividades de tratamiento que los expedientes de 2016 se han destruido. ¿Puede demostrarlo?»
- Responsable: «Sí, el certificado número 2024-0115-03 muestra 437 kilos de papel, DIN 66399 P-5, realizado el 15 de enero de 2024 en nuestra dirección, operario Jansen, testigo Visser (firmante).»
- AP: «De acuerdo.»
Esa es la diferencia entre un certificado correcto y uno descuidado.
¿Auditoría a la vista? Llámanos o solicita un presupuesto a través de desnipperaar.nl. Por cada orden, un certificado completo, firmado digitalmente, en tu buzón en un día laborable.