InicioBase de conocimientos › Exigencias RGPD destrucción documentos pyme
RGPD

Exigencias del RGPD para la destrucción de documentos: ¿qué debe organizar realmente una pyme?

· 9 min de lectura · DeSnipperaar

Toda pyme acumula cajas de papel. Nóminas, carpetas de candidaturas, contratos de clientes, copias de documentos de identidad, contabilidad. Quien quiere organizar la privacidad en serio descubre enseguida que el RGPD dice mucho sobre tratar y conservar, pero apenas algo concreto sobre destruir. Y, sin embargo, es justo en ese último paso donde tantas veces sale mal. Un contenedor de «papel viejo» que acaba en el reciclaje, o un portátil antiguo que vive una segunda vida vía un portal de segunda mano. Esas son las brechas de datos por las que la Autoriteit Persoonsgegevens impone multas.

Esta guía recorre en lenguaje claro las obligaciones del RGPD para la destrucción de documentos, específicamente para empresarios sin jurista de privacidad en plantilla. Sin tener que rebuscar en textos legales, sino una checklist con la que puedas empezar mañana.

¿Qué dice en realidad el RGPD sobre destruir?

El RGPD menciona la destrucción como explícitamente relevante en dos ocasiones.

  • Artículo 5 (limitación de la conservación). Los datos personales no pueden conservarse más tiempo del necesario para el fin para el que se recogieron.
  • Artículo 17 (derecho al olvido). Un interesado puede solicitar la supresión de sus datos, y debes atenderlo en el plazo de un mes.

Además, el artículo 32 exige «medidas técnicas y organizativas apropiadas» para proteger los datos personales. Esa obligación no termina en la papelera. Solo cuando el documento es físicamente ilegible termina tu deber de diligencia.

La multa por una brecha de datos derivada de una mala destrucción no es menor que la de una fuga de tu base de datos. La Autoriteit Persoonsgegevens no distingue entre papel y bits.

Plazos de conservación: ¿cuándo puede irse algo?

Nada se hace tan a menudo mal como los plazos de conservación. Los más frecuentes en la pyme.

  • Administración fiscal: 7 años (Algemene wet inzake rijksbelastingen, art. 52).
  • Bienes inmuebles: 9 años (plazo de regularización del IVA).
  • Administración salarial: 5 años tras la salida.
  • Datos de candidatura: 4 semanas tras el rechazo, o 6 meses con consentimiento del candidato.
  • Copias de documentos de identidad: 5 años tras el fin de la relación laboral (Wet op de loonbelasting).
  • Correspondencia con clientes sin relevancia fiscal: «mientras sea necesario», en la práctica 2 a 3 años tras el último contacto.
  • Datos médicos: 20 años (WGBO, para prestadores de cuidados).

En cuanto vence un plazo, conservar ya no es «estar permitido». El expediente debe irse. No existe una zona gris en la que pienses «lo guardo un poco más, por si acaso». Eso es una infracción del RGPD.

¿Destruir uno mismo o externalizar?

Para volúmenes pequeños de unas decenas de carpetas al año basta con una buena trituradora de oficina, siempre que alcance como mínimo el tamaño de corte P-5 según DIN 66399. Una matización importante. Debes documentar quién, cuándo y qué se ha destruido. Sin registro falta la prueba.

En cuanto los volúmenes crecen o hay categorías sensibles de por medio (documentos de identidad, datos médicos, expedientes financieros), externalizar suele ser más seguro y más barato. Con una empresa externa hay que fijarse en tres cosas.

1. Destrucción in situ o en un flujo seguro

La opción más segura es la destrucción móvil de documentos, en la que el camión trituradora está en tu aparcamiento y tú mismo observas. Nada sale de tu edificio intacto. Una alternativa es el transporte en un contenedor sellado. Pide entonces los números de precinto en el certificado de destrucción.

2. Norma y tamaño de triturado

Pide el nivel de seguridad DIN 66399 P-5. Para los soportes de datos rige el mismo esquema (series H y E) o, como alternativa, NIST 800-88 para el lado de IT.

3. Certificado de destrucción

Tras cada encargo corresponde un certificado en el que figure: fecha, número de unidades (kilos o contenedores), norma aplicada, método, lugar de destrucción y un número de encargo único. Este documento es tu prueba ante la AP si alguna vez se pregunta cómo gestionas los archivos.

El contrato de encargado del tratamiento: a menudo olvidado, siempre obligatorio

En cuanto dejas que un tercero trate datos personales, debe existir un contrato de encargado del tratamiento. En la destrucción externalizada ese es el caso, porque hasta el momento del triturado los datos siguen siendo legibles. El artículo 28 del RGPD prescribe lo que debe contener.

  • Objeto, duración, naturaleza y finalidad del tratamiento
  • Tipos de datos personales y categorías de interesados
  • Obligación de confidencialidad del personal
  • Medidas de seguridad
  • Acuerdos sobre la notificación de brechas de datos
  • Derecho de auditoría / inspección
  • Qué ocurre con los datos al finalizar

Una buena empresa de destrucción tiene un contrato de encargado del tratamiento estándar preparado. Pídelo antes de que se ejecute el primer encargo, no después. Sin un contrato firmado eres tú quien está en infracción, no el encargado.

Soportes de datos: ninguna excepción

Los discos duros, los SSD, las memorias USB, los teléfonos antiguos y las cintas de backup suelen contener más datos personales que el lado en papel del archivo. El borrado por software (vía DBAN o similar) a menudo no basta. Los SSD modernos retienen datos en celdas de reserva que el sistema operativo no ve. Para categorías especiales, o si el soporte no se puede borrar de forma fiable, NIST 800-88 prescribe «destroy». Destrucción física vía triturado, desintegración o fundición.

Certificado en cada encargo. Conforme al RGPD desde el aparcamiento.

DeSnipperaar va hasta usted, usted observa. Papel, discos, SSD, teléfonos y cintas se destruyen en su ubicación, con un certificado de destrucción completo. Operativos en 24 horas en todos los Países Bajos.

Solicite un presupuesto

Checklist para mañana

  1. Inventaría qué archivos tienes (papel y digital) y vincúlalos a plazos de conservación.
  2. Fija cada año un momento de destrucción en la agenda, preferiblemente tras tu cierre del ejercicio.
  3. Elige por categoría: hacerlo tú mismo (hasta unas 50 carpetas al año) o externalizar.
  4. Firma un contrato de encargado del tratamiento con tu empresa de destrucción.
  5. Pide siempre un certificado y consérvalo mínimo 5 años en tu expediente de RGPD.
  6. Explica en tu declaración de privacidad cómo gestionas la destrucción. La transparencia es en sí misma una exigencia del RGPD.

El RGPD no es una espada sobre tu cabeza. Es un marco con el que demuestras que tienes tus cosas en orden. La destrucción es de ello la última prueba visible.

¿Preguntas sobre tu propia situación de archivo? Llámanos o solicita un presupuesto en desnipperaar.nl. Pensamos contigo gratis sobre plazos de conservación, volumen y contrato de encargado del tratamiento.