Barcelona, junio de 2012 LA DESTRUCCIÓN DE INFORMACIÓN EN LA EMPRESA:EL ARCHIVO SOSTENIBLE Los medios de comunicación no dejan de recordarnos que vivimos en la llamada Sociedad de la información. En este contexto, las empresas cada día gestionan más y más volumen de información. Pero la gestión de la información no es un fin en si misma, para que este esfuerzo tenga sentido, los documentos y los datos que custodiamos han de ser útiles, han de estar clasificados, ordenados y accesibles. La solución no la encontraremos en el cambio de soportes (de papel a digital) sino en la implantación de un sistema de gestión de documentos y, sobretodo, en una correcta valoración de la información que nos permita destruir aquella que ya no es útil. En este sentido, con un sistema de destrucción de información favorecemos: • El cumplimiento de la legislación en materia de protección de datos • La seguridad, ya que reducimos el volumen de información a proteger y establecemos procedimientos seguros de tratamiento • La búsqueda, el acceso y la utilización, ya que reducimos el total de información disponible • El uso de espacios físicos y virtuales utilizados y, por tanto, conseguimos un ahorro de recursos inmediato En este artículo proponemos un procedimiento de destrucción de información para el sector privado. El procedimiento está basado en el sistema vigente para la destrucción de la documentación en la Administración pública catalana. VOCABULARIO Información: Activo formado por los diferentes datos útiles producidos, recibidos o capturados por la empresa, independientemente de su soporte (físico o electrónico), formato o ubicación. Normalmente se recoge en documentos Archivo: Conjunto de la información de la empresa Archivo sostenible: El volumen de la información y de la documentación que se destruye debe acercarse lo máximo posible al volumen de la documentación que entra en el sistema. Sólo hemos de guardar la información útil y, destruir sistemáticamente la que con el tiempo ha perdido su valor Archivero: Persona responsable de la información en la empresa Acceso: Visualización de la información Evaluación: Función destinada a determinar el valor de la información para decidir sobre su conservación o eliminación Eliminación: La destrucción o supresión de la información por cualquier sistema que imposibilite su recuperación o posterior acceso y utilización CONSIDERACIONES PREVIAS En ningún caso se pueden eliminar documentos declarados bien cultural de interés nacional ni los incluidos en el Catálogo del Patrimonio Cultural. No se pueden eliminar documentos mientras subsista su valor probatorio de derechos y obligaciones o, mientras no hayan transcurrido los plazos que la legislación establece para su conservación. Si conviene, hay que pedir un informe al departamento jurídico. Hemos de recordar que si no se tiene claro, es mejor conservar información inútil que destruir una que necesitemos en el futuro. Hemos de tener presente que en ciertos casos, la legislación obliga a destruir una información una vez pasados unos plazos. En estos supuestos se debe destruir toda la información en todos sus soportes, formatos y ubicaciones. Antes que nada, se debería tener un procedimiento de destrucción de información recogido y convenientemente aprobado por la dirección. Lo peor es destruir por impulso o por necesidad de espacio. Conviene tener prefijado un calendario de destrucción y de conservación de la información, crear un sistema lógico, un proceso racional que haga que el archivo sea el máximo de sostenible. Para conseguir este objetivo hemos de evaluar la información que utiliza la empresa y establecer calendarios de destrucción y de conservación. Si evaluamos nuestra información podremos establecer sus periodos de retención y destrucción. ANTES DE DESTRUIR 1/ Hemos de disponer de un inventario de la documentación a destruir. Nunca se debe destruir ninguna información si no se tiene convenientemente clasificada, descrita y controlada. La descripción debería incluir: su identificación, sus fechas, donde está almacenada y su volumen y/o peso. Este requisito previo es lógico, en verdad nos dice: No destruyas nada si no sabes qué destruyes. En este punto hemos de tener presente que la información puede estar almacenada en diversas ubicaciones según su soporte. La información en soporte físico (papel, cd, dvd, usb, pendrives, cintas magnéticas, discos duros) normalmente estará custodiada en los depósitos de archivo de la empresa, en sus cámaras de seguridad o, si tenemos externalizado el servicio, en una empresa de custodia externa. La información en soporte electrónico puede estar, además, almacenada localmente en los equipos de los usuarios, en la red o/y en la nube. Recordar que la misma información puede estar recogida en varios soportes y/o ubicaciones. 2/ Hemos de preparar un listado que recoja la información a destruir. LA DECISIÓN DE DESTRUIR 3/ Con el listado, hemos de repasar y comprobar toda la documentación que se quiere eliminar. Para facilitar la destrucción y evitar posibles fallos, es conveniente separarla del resto de la información. También conviene repasar los préstamos no devueltos. 4/ Comunicar la decisión al departamento responsable de la documentación. Con este trámite se obtiene el visto bueno del departamento y se aprovecha para comprobar que ninguna circunstancia jurídica o administrativa haya alterado los plazos de conservación fijados (como podrían ser pleitos, reclamaciones, necesidades de información sobrevenida). Se debe prestar especial atención a la información utilizada por varios departamentos. 5/ Obtener la autorización escrita de la dirección/ gerencia. Es una buena práctica comunicar al órgano representante de la propiedad la destrucción de la información en la siguiente reunión del consejo o, como mínimo, una vez al año, hacer una relación de toda la información destruida en el ejercicio y ponerla en conocimiento de la propiedad. LA DESTRUCCIÓN 6/ Los métodos de destrucción de la información pueden variar según su soporte. La información en soporte electrónico deberá ser borrada y, si es posible, sobrescrita. La información en soporte físico puede ser destruida físicamente, desmagnetizada o/y sobrescrita. El Observatorio de la Seguridad de la Información (INTECO) ha publicado una Guía para el almacenamiento y la destrucción segura de la información, donde recoge las características de cada método de destrucción. Como casi siempre, una combinación de métodos es la opción más segura. 7/ Cuando hemos realizado la destrucción se debe proceder a levantar un acta o un certificado de la destrucción efectuada por la persona que la ha realizado y por su superior jerárquico o por el responsable de seguridad de la información de la empresa. Esta acta se debe guardar como prueba de la destrucción. Para realizar esta acta podemos utilizar el listado del punto 2. Si hemos externalizado la destrucción se debe exigir este certificado a la empresa que lo ha realizado y nos hemos de asegurar que en él conste la eliminación completa y la confidencialidad del proceso. Es una buena práctica que un representante nuestro verifique personalmente la correcta y efectiva destrucción. DESPUES DE LA DESTRUCCIÓN 8/ El archivero debe llevar el control de todas las destrucciones mediante un registro donde conste qué información se ha destruido y las fechas de las eliminaciones. La conservación sistemática y ordenada de las actas puede suplir este registro pero, si tenemos un gran volumen de información por destruir, el registro es una eficaz herramienta de control y consulta. La incorporación a este registro de una firma y un sello de tiempo es muy conveniente para protegernos en el caso de que se produzcan futuras incidencias. 9/ Finalmente, se debe proceder a la actualización de los inventarios existentes dando de baja la información eliminada. Alberto Biarge Archivero y gestor de documentos www.vidimus.cat