InicioBase de conocimiento › Destruir papel confidencial en la empresa
RGPD

Destruir papel confidencial en la empresa: qué debe hacer y cómo

· 11 min de lectura · DeSnipperaar
Destruir papel confidencial en la empresa

Destruir papel confidencial no es una opción para las empresas sino una obligación del RGPD. Todo lo que lleve datos personales o información sensible debe hacerse ilegible de forma demostrable, con un certificado como prueba. El material se recoge y se destruye al nivel DIN adecuado.

¿Quiere comprobar rápido si lo tiene en orden? Repase esta lista:

  • ¿Hay un contenedor cerrado para el papel confidencial, o acaba en la papelera?
  • ¿Saben los empleados qué papel es confidencial?
  • ¿Se destruye al menos al DIN 66399 P-4?
  • ¿Recibe un certificado de destrucción?
  • ¿Guarda ese certificado en su expediente RGPD?

Si duda en alguno de estos puntos, las secciones siguientes muestran cómo organizarlo bien. Veremos qué cuenta como confidencial, qué exige el RGPD, los riesgos de una fuga en papel, cómo funciona la recogida y qué prueba conserva.

¿Qué es el papel confidencial?

Confidencial es cualquier documento con datos personales o información sensible de la empresa. En la práctica abarca mucho más de lo que se piensa:

  • Expedientes de personal con nóminas, números de identificación, evaluaciones y copias de documentos de identidad.
  • Datos de clientes como direcciones, historial de pedidos, reclamaciones y datos de pago.
  • Contabilidad, facturas, extractos bancarios y cuentas anuales.
  • Contratos y presupuestos, con precios, condiciones y nombres.
  • Documentos internos, actas, estrategia, versiones provisionales y notas.

La regla es sencilla, si duda del carácter sensible de un documento, trátelo como si lo fuera. La explicación completa de qué documentos son confidenciales está en destruir documentos confidenciales.

Lo que el RGPD exige a las empresas

Dos artículos del RGPD son decisivos aquí. El artículo 5 exige la limitación del plazo de conservación, no guarda los datos personales más tiempo del necesario y los elimina después. El artículo 32 exige medidas técnicas y organizativas adecuadas para proteger esos datos. Ese deber de protección no se detiene en el archivo, sino que dura hasta que un documento queda destruido de forma ilegible. Un expediente cuyo plazo de conservación pasó y que aun así sigue en el armario es por tanto en sí una infracción. Lo que esto significa en concreto para las pymes está en los requisitos del RGPD para pymes.

¿Cuánto conservar antes de destruir?

Solo puede destruir una vez pasado el plazo de conservación, porque algunos documentos justamente debe guardarlos un tiempo. La obligación fiscal de conservar la documentación es de siete años, para datos de inmuebles diez años. Los expedientes de personal tienen sus propios plazos, una parte puede irse dos años después de la salida del empleado, los datos de retención de nómina se guardan más tiempo. El enfoque práctico es un calendario fijo, cada año revisa qué expedientes han superado su plazo y esos van en la siguiente recogida. Así no guarda ni demasiado ni demasiado poco.

Los riesgos de una fuga en papel

Una brecha de datos no siempre es un ataque. Una caja de viejos expedientes que acaba con el papel usado, una papelera llena puesta en la calle, una carpeta que cae de una caja de mudanza. En todos esos casos alguien puede llevarse datos personales. Las consecuencias pueden ser graves:

  • Deber de notificación. Una brecha grave se comunica en 72 horas a la autoridad de protección de datos. Cómo se hace está en notificar una brecha de datos en 72 horas.
  • Multa. La autoridad puede imponer una multa por el tratamiento descuidado de datos.
  • Reputación. Una fuga de datos de clientes daña la confianza, a menudo más que la propia multa.
  • Fraude. Con un número o copia de DNI, alguien puede cometer fraude de identidad, a costa de su empleado o cliente.

La destrucción confidencial elimina ese riesgo. El papel va sellado y se hace ilegible de forma demostrable.

¿Quién es responsable dentro de la organización?

Bajo el RGPD su organización es la responsable del tratamiento, no el empleado individual. Aun así, en la práctica todo depende de acuerdos claros. Designe a alguien que mantenga la visión de conjunto, por ejemplo el office manager o el delegado de protección de datos. Deje constancia breve de quién hace qué. Quién decide qué expedientes pueden irse, quién planifica la recogida y quién guarda los certificados. Media página de acuerdos de trabajo evita que el papel confidencial se quede porque nadie se siente responsable.

¿Cómo funciona la destrucción confidencial en la empresa?

  1. Recogida interna. El papel confidencial va a un contenedor cerrado o a cajas, separado del papel usado corriente.
  2. Solicitud. Indica el volumen y elige puntual o periódico. Recibe un precio fijo.
  3. Recogida. Lo recogemos en su dirección, sellado para los documentos sensibles.
  4. Destrucción. El papel se tritura al nivel DIN adecuado y después se recicla.
  5. Certificado. Recibe un certificado de destrucción para su expediente.

¿Qué nivel DIN es necesario?

La norma DIN 66399 fija la finura con que debe triturarse el papel. Cuanto más sensibles los datos, más pequeñas las partículas.

NivelTamaño de partículaAdecuado para
P-2TirasImpresos generales sin datos
P-4Partículas pequeñasDocumentos con datos personales
P-5Partículas muy pequeñasNúmeros de identificación, datos médicos y especiales

Para la mayoría de documentos de oficina, el P-4 es el mínimo práctico. Si trabaja con datos personales especiales, como una consulta sanitaria o un departamento de RR. HH. con números de identificación, el P-5 es lo indicado.

El papel confidencial por sector

Casi toda organización produce papel confidencial, pero el acento difiere. Una asesoría tiene cuentas anuales y expedientes de clientes, un despacho de abogados expedientes de casos, una consulta sanitaria datos de pacientes, una tienda online albaranes con direcciones, un departamento de RR. HH. expedientes de personal. Lo que comparten es el deber de destruir de forma demostrable esos documentos tras el plazo de conservación. El enfoque es el mismo para todos, recoger en un contenedor cerrado, hacerlo recoger y guardar el certificado. El plazo exacto difiere por sector, pero el deber de destruir de forma demostrable rige para todos.

Un contenedor cerrado en la oficina

La solución más práctica para empresas que producen papel confidencial de forma continua es un contenedor cerrado en la oficina. Los empleados depositan sus documentos confidenciales directamente, en lugar de la papelera corriente. Nadie puede acceder a él por el camino, porque el contenedor está cerrado. Periódicamente, el contenedor se recoge y vacía, por ejemplo cada mes o trimestre. Así todo queda bien organizado sin que nadie tenga que pensarlo cada vez. Una buena forma de trabajar en el puesto la acompaña, como se describe en política de mesa limpia y destrucción.

¿Periódico o puntual?

Si tiene una limpieza puntual, por ejemplo tras un cierre anual o una mudanza, basta una recogida puntual sin contrato. Si produce papel confidencial de forma continua, una frecuencia fija es más práctica. La decisión depende sobre todo de la rapidez con que se acumula el papel. Muchas pymes combinan ambas, un contenedor fijo para el flujo diario y una recogida separada cuando se vacía el armario de archivo.

¿Necesita un contrato de encargado del tratamiento?

Si encarga la destrucción estructural de datos personales a un tercero, es habitual un contrato de encargado del tratamiento. En él se recoge qué puede hacer el encargado con los datos y cómo los protege. Para una recogida puntual, el certificado de destrucción suele bastar en la práctica como prueba de que los documentos se destruyeron correctamente. Lo que debe figurar en ese contrato está en la checklist del contrato de encargado.

No olvide los soportes de datos

La información confidencial no está solo en papel. En el mismo armario suele haber viejos discos duros, memorias USB o un portátil amortizado con años de datos de la empresa. Borrar un archivo no elimina de verdad esos datos y en un SSD el borrado por software no es fiable. Para mayor seguridad hace falta la destrucción física del soporte, al nivel adecuado y con los números de serie en el certificado. La ventaja práctica es que papel y soportes de datos pueden ir en la misma recogida, cada uno destruido a su manera. Así cierra de una vez tanto el flujo de papel como el digital.

Papel confidencial y teletrabajo

Desde que más personas teletrabajan en parte, el papel confidencial surge también fuera de la oficina. Un presupuesto impreso, una nota con datos de clientes, una impresión que se queda por ahí. En casa rara vez hay un contenedor cerrado o una buena trituradora, por lo que los documentos acaban fácilmente con el papel usado corriente. Acuerde por eso que los empleados lleven el papel confidencial de vuelta a la oficina y lo pongan allí en el contenedor cerrado. Cómo organizarlo está en teletrabajo con documentos confidenciales.

El certificado de destrucción

Tras cada recogida recibe un certificado de destrucción con la fecha, la cantidad y el nivel DIN aplicado. Ese documento es su prueba ante la autoridad de protección de datos, un auditor o un cliente que pregunta qué pasó con sus datos. Sin esa prueba se queda con las manos vacías en una inspección, aunque lo haya hecho destruir todo correctamente. Conserve el certificado al menos 5 años en su expediente RGPD.

¿Cuánto cuesta destruir papel confidencial?

Paga un precio fijo por caja o contenedor, conocido de antemano. La primera caja cuesta unos 30 euros y para volúmenes mayores un contenedor por peso sale más barato. En un radio de 20 km alrededor de Ámsterdam no cobramos desplazamiento. El desglose completo del precio con ejemplos está en cuánto cuesta la destrucción de archivos. Para un contenedor cerrado con frecuencia fija acuerda un trato según su volumen.

¿Qué ocurre con el papel tras la destrucción?

Tras la destrucción, el papel triturado va a una fábrica de papel, donde se convierte en pasta para nuevas fibras. Su vieja documentación se vuelve materia prima para papel nuevo, sin que quede nada legible. Destrucción confidencial y sostenibilidad van por tanto juntas. Para muchas empresas es un detalle grato del informe de sostenibilidad, ordenar con seguridad contribuye a la vez al ciclo del papel.

¿Triturar uno mismo o externalizar?

Una trituradora de oficina parece barata, pero es lenta, se atasca y rara vez alcanza un nivel DIN alto. Además no aporta certificado, que es justamente su prueba. Para unas pocas hojas al día triturar uno mismo está bien, pero en cuanto son cajas o un flujo continuo, externalizar es más rápido, seguro y demostrable. La diferencia clave es la prueba, un proveedor deja constancia de qué se destruyó y a qué nivel.

Un ejemplo práctico

Imagine un departamento de RR. HH. que cierra el año y quiere ordenar los expedientes de personal cuyo plazo de conservación pasó. Esos expedientes contienen nóminas, evaluaciones y copias de documentos de identidad, todos datos personales especiales. Triturarlo uno mismo con el aparato de oficina costaría días y no alcanza el P-5. En su lugar, el departamento reúne los expedientes en un contenedor cerrado, indica el volumen y planifica una recogida. Los documentos se destruyen al P-5 y el responsable de RR. HH. recibe un certificado que va limpiamente al expediente RGPD. En la siguiente auditoría la prueba está disponible de inmediato.

Conviértalo en política

Las acciones sueltas funcionan un tiempo, pero rara vez perduran. La destrucción confidencial funciona mejor como parte fija de su seguridad de la información. Defina en una directriz breve qué es confidencial, dónde se recoge, a qué nivel se destruye y con qué frecuencia se recoge el contenedor. Inclúyalo en la incorporación de nuevos empleados, para que todos sepan desde el primer día cómo funciona. Así ordenar con cuidado se vuelve un hábito en lugar de un estrés anual.

Errores frecuentes

  • Papel confidencial en la papelera corriente. Sin contenedor cerrado desaparece entre los residuos normales, con riesgo de fuga.
  • Conservar demasiado. Un expediente cuyo plazo pasó y se queda es en sí una infracción.
  • No pedir certificado. Sin prueba no puede demostrar que destruyó con cuidado.
  • Un nivel demasiado bajo. Para números de identificación y datos especiales hace falta P-5, no P-2.
  • No informar a los empleados. Si nadie sabe qué es confidencial, igual sale mal.

Consejos prácticos

  • Ponga un contenedor cerrado en un lugar central, no escondido en un rincón.
  • Etiquete con claridad qué va dentro, para que nadie dude.
  • Planifique una ronda de limpieza fija cada trimestre para los expedientes cuyo plazo pasó.
  • Entregue los soportes de datos como viejas memorias USB y discos duros en la misma recogida.
  • Archive los certificados en digital, para encontrarlos enseguida en una auditoría.

¿Destruir su papel confidencial?

Indique cuánto tiene y elija puntual o periódico. Recibe un precio fijo, lo recogemos y lo destruimos al nivel adecuado, con un certificado como prueba. Sin gastos de desplazamiento en un radio de 20 km alrededor de Ámsterdam.

Solicitar presupuesto

Preguntas frecuentes

¿Qué cuenta como papel confidencial?

Cualquier documento con datos personales o información sensible de la empresa: expedientes de personal y de clientes, documentos financieros, contratos, presupuestos y notas internas. En caso de duda, trátelo como confidencial.

¿Puede una empresa tirar papel confidencial con el papel usado?

No. Tirar papel con datos personales sin triturar es una brecha de datos bajo el RGPD. Debe destruirse de forma confidencial, con un certificado como prueba.

¿Necesito un contrato de encargado del tratamiento?

Para la destrucción estructural de datos personales es habitual un contrato de encargado. Para una recogida puntual, el certificado de destrucción suele bastar como prueba.

¿Con qué frecuencia debe recogerse el papel confidencial?

Depende de su volumen. Muchas empresas eligen un contenedor cerrado vaciado cada mes o trimestre, otras planifican una recogida puntual en una limpieza.

¿Qué nivel DIN necesito?

Para documentos de oficina corrientes, el DIN 66399 P-4 es el mínimo. Para números de identificación, datos médicos y copias de DNI, el P-5 es lo indicado.

Conclusión

Destruir papel confidencial es una obligación para las empresas que se deriva del RGPD. Disponga un contenedor cerrado, hágalo recoger y destruir al nivel DIN adecuado y guarde el certificado como prueba. Así evita una fuga en papel, cumple el deber de notificación y puede mostrar en cada inspección que trata los datos con cuidado. Una buena forma de trabajar cuesta poco esfuerzo y elimina un riesgo considerable. Empiece con poco, un contenedor y una ronda de recogida fija, el resto sigue solo.

¿Listo para ordenar su papel confidencial con seguridad? Solicite un presupuesto en desnipperaar.nl. Indica el volumen y recibe un precio fijo con certificado.