InicioBase de conocimiento › Crear una política de destrucción para pymes
RGPD

Crear una política de destrucción para pymes: qué incluye, con ejemplo

Crear una política de destrucción para una pyme

Una política de destrucción deja constancia, en una breve directriz, de qué destruye, a qué nivel DIN, con qué frecuencia, quién es responsable y cómo conserva la prueba. Para una pyme, media página suele bastar. Convierte la destrucción confidencial en una forma de trabajar fija en lugar de un acto aislado, y eso le ayuda a cumplir el RGPD.

Muchas pymes sí destruyen el papel confidencial, pero no dejan constancia en ningún sitio de cómo. En una inspección o una brecha de datos surge entonces la pregunta de cuál es su método, y una breve política es la respuesta. En este artículo lee qué es una política de destrucción, qué incluir, cómo redactarla en unos pasos y encuentra un ejemplo que puede adoptar.

¿Por qué una política de destrucción?

Una política resuelve dos cosas. Hace clara la forma de trabajar para sus empleados, para que todos sepan qué es confidencial y cómo se destruye. Y hace su enfoque demostrable ante un supervisor o auditor, porque puede mostrar que el cuidado se acordó y no se dejó al azar. El RGPD no prescribe un documento fijo, pero el principio de responsabilidad hace que esa directriz sea muy práctica.

¿Qué es una política de destrucción en realidad?

Una política de destrucción no es un contrato jurídico, sino una directriz interna. Describe en lenguaje sencillo cómo su organización gestiona el orden de la información confidencial. A diferencia de una instrucción puntual, es un documento fijo al que todos pueden remitirse. No tiene que ser extensa, la sencillez es justo lo que la hace útil. Media página de acuerdos claros funciona mejor que un documento grueso que nadie lee.

¿Para quién es una política de destrucción?

Toda organización que trata datos personales se beneficia de una política de destrucción, de un autónomo a una pyme con decenas de empleados. Cuantas más personas tienen acceso a documentos confidenciales, más importantes son los acuerdos claros. Una asesoría, una consulta sanitaria, una tienda online o un departamento de RR. HH. producen todos papel sensible. Para todos, una breve directriz ayuda a ordenarlo de forma limpia y demostrable. Para una empresa pequeña, media página suele bastar.

¿Qué debe incluir una política de destrucción?

Una política de destrucción práctica para una pyme contiene seis elementos:

  • ¿Qué es confidencial? Qué documentos y datos quedan bajo ella.
  • ¿Qué nivel? A qué nivel DIN 66399 destruye.
  • ¿Con qué frecuencia? La frecuencia de ordenar y recoger.
  • ¿Quién es responsable? Quién mantiene la visión general y organiza la recogida.
  • La prueba. Cómo conserva el certificado y lo anota en el registro.
  • Los soportes de datos. Cómo gestiona discos duros, memorias USB y teléfonos.

A continuación recorremos los seis elementos, para que pueda rellenarlos uno a uno.

Elemento 1: ¿qué es confidencial?

Empiece por delimitar qué queda bajo la política. Todo lo que contiene datos personales o información sensible de la empresa forma parte de ella, como expedientes de personal, datos de clientes, contabilidad, contratos y notas internas. La regla para los empleados es sencilla, si duda de si un documento es sensible, trátelo como si lo fuera. Qué cuenta exactamente como confidencial está en destruir documentos confidenciales.

Empiece por los plazos de conservación

Una buena política de destrucción empieza por saber cuándo algo puede irse. Algunos documentos justamente debe conservarlos, como la documentación que se guarda siete años a efectos fiscales. Incluya en la política una referencia a los plazos de conservación que rigen para su sector, para que los empleados no destruyan demasiado pronto. Solo una vez pasado el plazo un expediente va a la destrucción. Un resumen de los plazos habituales está en la guía rápida de plazos de conservación del RGPD.

Elemento 2: ¿a qué nivel DIN?

Deje constancia de a qué nivel destruye. Para documentos de oficina corrientes el P-4 es el mínimo práctico, para números de identificación y datos médicos el P-5 es lo indicado.

NivelTamaño de partículaAdecuado para
P-2TirasImpresos generales sin datos
P-4Partículas pequeñasDocumentos con datos personales
P-5Partículas muy pequeñasNúmeros de identificación, datos médicos y especiales

Al incluir el nivel en la política, puede mostrar más tarde que era adecuado. Más sobre los niveles en DIN 66399 explicado.

Elemento 3: ¿con qué frecuencia y cuándo?

Fije una frecuencia fija. Muchas pymes eligen un contenedor cerrado que se vacía mensual o trimestralmente, complementado con una revisión anual de los expedientes cuyo plazo ha pasado. Así ordenar se convierte en un ritmo en lugar de un asunto aplazado. La elección entre periódica y puntual está en destrucción periódica o puntual.

Elemento 4: ¿quién es responsable?

Designe a alguien que mantenga la visión general, por ejemplo el office manager o el delegado de protección de datos. Deje constancia brevemente de quién decide qué expedientes pueden irse, quién planifica la recogida y quién conserva los certificados. Media página de acuerdos de trabajo evita que el papel confidencial se quede sin recoger porque nadie se siente responsable.

Elemento 5: dejar constancia de la prueba

Describa cómo conserva la prueba. Tras cada recogida recibe un certificado de destrucción, que archiva en digital y anota en su registro de actividades de tratamiento. Así es demostrable que no solo tiene un acuerdo, sino que también lo cumple. Cómo funciona la demostrabilidad está en destrucción demostrable para el RGPD.

Elemento 6: los soportes de datos

No olvide el lado digital. Los datos personales también están en discos duros, memorias USB y teléfonos. Deje constancia de que los soportes amortizados se destruyen físicamente y se registran por número de serie. Pueden ir en la misma recogida que el papel. Así la política cubre todo el flujo confidencial, no solo el papel.

Diferencia con una política de mesa limpia

Una política de mesa limpia y una política de destrucción se confunden a menudo, pero se complementan. Una política de mesa limpia trata del puesto de trabajo, no dejar documentos confidenciales a la vista al final del día. Una política de destrucción trata de qué pasa después con esos documentos, cómo y cuándo se destruyen. Juntas cierran el círculo, del escritorio al contenedor cerrado al certificado. Más sobre el lado del puesto de trabajo en política de mesa limpia y destrucción.

Un ejemplo para adoptar

Una política no tiene que ser complicada. Un ejemplo para una oficina de pyme podría decir:

Todos los documentos con datos personales o información sensible de la empresa se destruyen de forma confidencial al DIN 66399 P-4. Los datos personales especiales se destruyen al P-5. Los empleados depositan estos documentos en el contenedor cerrado junto a la impresora. El contenedor se recoge y destruye cada trimestre por un proveedor certificado. Cada año el office manager revisa qué expedientes de archivo han superado su plazo y planifica una recogida adicional. Los soportes de datos se destruyen físicamente por número de serie al amortizarse. De cada destrucción se conserva el certificado en digital y se anota en el registro de actividades de tratamiento. El office manager es responsable de la ejecución.

Adapte los detalles a su situación y tiene, en media página, una política práctica.

¿Plantilla o redacción propia?

No tiene que reinventar la rueda. El ejemplo anterior sirve de plantilla, solo rellena su propio nivel, frecuencia y responsable. Redactar uno mismo tiene la ventaja de que la política encaja exactamente con su forma de trabajar y es reconocible para su equipo. Empiece pequeño con los seis elementos y amplíe solo si su situación lo exige. Una política breve y correcta vale más que una política extensa que nadie sigue.

¿Cómo la redacta?

  1. Inventaríe qué flujos confidenciales tiene, papel y digital.
  2. Elija el nivel y la frecuencia que convienen a sus datos.
  3. Designe a un responsable y deje constancia de los acuerdos de trabajo.
  4. Describa la prueba, el certificado y la anotación en el registro.
  5. Comparta la política con sus empleados e inclúyala en la incorporación de los nuevos.

La conexión con el RGPD

Una política de destrucción encaja con el principio de responsabilidad proactiva del artículo 5.2 del RGPD. No solo debe tratar los datos personales con cuidado, sino también poder mostrarlo. La política muestra que ordenar forma parte de su seguridad de la información. Los certificados aportan la prueba cada vez. Lo que el RGPD pide además a las pymes está en los requisitos del RGPD para pymes.

La política y el servicio de recogida

Una política sobre papel solo está completa cuando la ejecución está organizada. Un servicio de recogida lo facilita, porque hace recoger y destruir el papel y los soportes de datos en su dirección, con un certificado como prueba. No tiene que llevar nada usted mismo y la cadena permanece cerrada. Ya haga vaciar un contenedor fijo cada trimestre o ordene el armario de archivo cada año, el mismo servicio ejecuta su política. Así la política no es un tigre de papel sino una práctica que funciona.

¿Cuánto cuesta ejecutar la política?

Redactar una política solo cuesta algo de tiempo, ejecutarla cuesta un precio fijo por recogida. Paga desde unos 30 euros por la primera caja. Los soportes de datos se liquidan por pieza. En un radio de 20 km alrededor de Ámsterdam no cobramos desplazamiento. Un contenedor fijo con recogida periódica suele salir más económico por vez. El desglose completo del precio está en el coste de la destrucción de archivos, para estimar la ejecución de su política de antemano.

Demostrable en una auditoría o inspección

La gran ventaja de una política de destrucción se ve en una auditoría o una inspección de la autoridad de protección de datos. Muestra entonces no solo certificados sueltos, sino también la política de la que proceden. Eso da una impresión más convincente, porque muestra que el cuidado está integrado en su organización y no se deja al azar. Un inspector ve en unos minutos que tiene un acuerdo y que también lo cumple.

Implantar y mantener viva

Una política sobre papel que nadie conoce no funciona. Compártala brevemente con su equipo, por ejemplo en una reunión. Inclúyala también en la incorporación de los nuevos empleados. Revise la política una vez al año y adáptela si algo cambia, por ejemplo un nuevo tipo de datos o una frecuencia distinta. Así sigue siendo un documento vivo en lugar de un archivo olvidado en un disco compartido.

Una política nunca está del todo terminada

Las organizaciones cambian y su política cambia con ellas. Si surge un nuevo tipo de datos sensibles, empieza a trabajar más en digital o cambia la frecuencia, adapte la política. Una mirada anual de cinco minutos basta para comprobar si los acuerdos siguen vigentes. Así evita que la política quede desfasada y sigue siendo útil en una inspección. Un documento vivo pesa más en una auditoría que una versión de hace años.

Consejos prácticos

  • Manténgala breve, media página de acuerdos claros funciona mejor.
  • Comparta la política e inclúyala en la incorporación de los nuevos empleados.
  • No olvide los soportes de datos junto al papel.
  • Conserve los certificados en digital y anótelos en el registro.

La política y el registro de actividades de tratamiento

La política de destrucción y el registro de actividades de tratamiento van juntos. El registro indica qué datos trata y cuánto tiempo, la política describe cómo los ordena después. Una referencia en ambos sentidos hace el conjunto concluyente. Así un supervisor ve que el plazo de conservación no solo está sobre papel, sino que también se cumple. Cómo montar ese registro está en el registro de actividades de tratamiento para archivo y destrucción.

Errores frecuentes

  • Sin política, solo actos sueltos. Entonces no puede mostrar en una inspección que hay acuerdos.
  • No compartir la política. Una directriz que los empleados no conocen no funciona.
  • Olvidar el lado digital. Los soportes de datos tienen su lugar en ella tanto como el papel.
  • No dejar constancia de la prueba. Sin certificados en el registro queda en buenas intenciones.

Un ejemplo práctico

Imagine una gestoría de ocho empleados sin método registrado para el papel confidencial. Tras una pregunta de un cliente, la gestoría decide crear una breve política. En media página figura qué es confidencial, que se destruye al P-5, que el contenedor se recoge cada trimestre y que el office manager conserva los certificados. La política se comparte en una reunión. Cuando medio año después un cliente preguntó cómo gestiona la gestoría los viejos expedientes, pudo mostrar la política en unas frases, con los certificados como prueba.

¿Hacer de la destrucción una parte fija de su política?

Recogemos su papel confidencial y sus soportes de datos, los destruimos al nivel DIN adecuado y aportamos un certificado como prueba. Así ejecuta su política fácilmente. Sin gastos de desplazamiento en un radio de 20 km alrededor de Ámsterdam.

Solicitar presupuesto

Preguntas frecuentes

¿Qué es una política de destrucción?

Una breve directriz que deja constancia de qué destruye, a qué nivel DIN, con qué frecuencia, quién es responsable y cómo conserva la prueba. Media página suele bastar.

¿Es obligatoria una política de destrucción?

El RGPD no prescribe un documento fijo, pero por el principio de responsabilidad proactiva debe poder mostrar que trata los datos personales con cuidado. Una política lo facilita.

¿Qué debe contener como mínimo?

Qué cuenta como confidencial, el nivel DIN, la frecuencia, la persona responsable y cómo conserva y registra el certificado.

¿Qué extensión tiene una política de destrucción?

Para una pyme, media página a una página suele bastar. Se trata de acuerdos claros, no de un documento extenso.

¿Una política de mesa limpia forma parte de esto?

Sí. Una política de mesa limpia y una política de destrucción se complementan. Vea política de mesa limpia y destrucción.

Conclusión

Una política de destrucción convierte la destrucción confidencial en una forma de trabajar fija y demostrable. Deje constancia en una breve directriz de qué es confidencial, a qué nivel destruye, con qué frecuencia, quién es responsable y cómo conserva la prueba. No olvide los soportes de datos y comparta la política con su equipo. Media página basta para mostrar, en una inspección o ante una pregunta de un cliente, en unas frases que lo tiene bien organizado.


¿Ejecutar su política con un certificado? Solicite un presupuesto en desnipperaar.nl o lea cómo funciona la destrucción demostrable para el RGPD. Recibe un certificado como prueba.