AEDCI
ASOCIACIÓN ESPAÑOLA DE DESTRUCCIÓN CONFIDENCIAL DE INFORMACIÓN
La Asociación vela por las buenas prácticas en la destrucción confidencial de información, une y coordina a todas las empresas asociadas, sirve de portavoz del colectivo, y promueve la realización de servicios de destrucción confidencial seguros y con los máximos estándares éticos y profesionales.
Pretendemos agrupar a los profesionales con los estándares más elevados e independientes posibles para que las entidades que busquen proveedores de servicios en la industria de la destrucción segura de información puedan tener un conocimiento básico que les permita contratar con un mínimo de conocimiento y puedan estar al corriente de las evoluciones de este sector en España.
Nos esforzamos en comunicarnos con los interesados en España que deseen mejorar continuamente en los estándares éticos y legales, o en los valores medioambientales para proteger la información sensible con datos confidenciales y que puedan disponer de proveedores con excelencia empresarial.
AEDCI es la primera y única asociación en España dedicada desde 2007 para que las empresas de destrucción confidencial de datos dispongan de un foro para mejorar los estándares y este sector pueda equipararse a los niveles que existen e otros países de nuestro entorno económico en el resto del mundo.
AEDCI estipula y refuerza unas líneas de actuación para que se conozcan los rigurosos procedimientos operacionales que existen a nivel mundial en la destrucción confidencial de información.
AEDCI puede ser consultado por administraciones, empresas o particulares para conocer si los procedimientos que realiza o pretende contratar cumplen con los estándares necesarios para evitar escándalos o sanciones. AEDCI se brinda a colaborar en la confección o revisar los pliegos o las condiciones de contratación en licitaciones de este tipo de servicios.
AEDCI busca que exista una correcta cadena de custodia desde el momento que se seleccionan documentos o materiales que son sensibles de contener datos confidenciales hasta que son correctamente destruidos para que no pasen por las manos equivocadas y puedan ser utilizadas incorrectamente, lo que podría suponer un riesgo en la reputación, la viabilidad o el cumplimiento de la legalidad de sus propietarios. Es fundamental recordar que la responsabilidad sobre la correcta custodia, gestión o destrucción de información se sigue manteniendo por la entidad origen de los datos aunque esta los entregue o permita su acceso para su destrucción a otra persona. Insistimos en destacar lo importante que es contratar correctamente y evitar cualquier negligencia.
Las empresas que forman AEDCI priorizan la seguridad frente a la valorización de los residuos que gestionan, existen distintos criterios para reciclar y el obtener el máximo ingreso por el residuo deja de ser prioritario cuando se pretende cumplir los manuales de procedimientos de destrucción segura de material confidencial.
Chequea tu entidad
AEDCI TE AYUDA
¿Ha evaluado y juzgado los riesgos que pueden afectar a su entidad si su información confidencial cae en manos erróneas?
¿Es usted consciente de las responsabilidades que tiene legalmente con la LOPD española y el RGPD del Parlamento Europeo?
¿Ha analizado cuidadosamente y esta satisfecho en cómo maneja su entidad la información confidencial y cómo elimina dentro de los plazos y términos establecidos para ello?
La destrucción y materiales que se entregan para destrucción son residuos desde el momento que salen de sus dependencias ¿A firmado el contrato de gestión de residuos oficial con la empresa que los retira actualmente?
¿Dispone de un certificado de destrucción firmado de las últimas entregas realizadas?
¿Explica de una manera adecuada ese certificado quién, donde, cómo, cuándo,… se ha realizado la gestión de todo el proceso y si se ha subcontratado alguna parte?
¿Se ha asegurado de que el proveedor actual contratado dispone de pólizas de seguro que cubran los posibles riesgos asociados a esta actividad?
¿Le preocupa que además que su proveedor cumpla con ciertos criterios de segregación y gestión de residuos medioambientalmente sostenibles?
En AEDCI podemos ayudarle si le ha surgido alguna duda al revisar las preguntas anteriores . Puede contactar vía email con nosotros y le ayudaremos a conocer mejor este sector y que pueda contratar la mejor opción para su entidad sin correr riesgos innecesarios que muchas veces son fruto del desconocimiento y la falta de información clara en una industria complicada como es el reciclaje.
Solicite el formulario de chequeo para el control de la destrucción confidencial que tenemos preparado para su evaluación rápida
Si prefiere un contacto telefónico puede solicitar que alguno de nuestros miembros contacte con usted. La persona designada por AEDCI intentará ser lo más independiente posible y actuar sin intentar comercializar o publicitar a su empresa. AEDCI no dispone de personal contratado y solo se mantiene a través del voluntariado de sus miembros.
Tipo de Servicio
Según donde se realice la trituración y el tipo de transporte
Trituración en planta
"Off side"
Recogida y transporte con vehículo adecuado y trituración en una instalación del proveedor del servicio
TRITURACIÓN "IN SITU"
"On side" / Móvil
Trituración en las propias instalaciones del cliente un vehículo equipado con equipo de destrucción
La destrucción segura es sencilla
Los procedimientos son básicos, sencillos de seguir pero deben tenerse claros
Tipos de trituración. Según donde se realice
En plata. Off side.
In situ. On side.
Tipos de trituración. Según cómo se realice
Formas de destrucción según la máquina
Tipos de trituración. Según con que se realice
Equipos industriales
Equipos artesanales
Tipos de trituración. Según quién se realice
Por el propio poseedor de los datos. No hay evidencia. No se puede exigir.
Contratando a un proveedor del servicio
Tipos de trituración. Según Cuándo se realice
De una manera puntual al seleccionar archivos y tomar la decisión de destruirlos en cierto momento
De una manera regular instalando sistemas o procedimientos donde los usuarios diariamente
SOSTENIBILIDAD AMBIENTAL
Máximo respeto con el Medio Ambiente
Recuperación y reciclado de todos los residuos generados
Comparada con otros métodos de gestión y destrucción, la contratación de una empresa profesional en la destrucción confidencial de información tiene un óptimo impacto en el Medio Ambiente y contribuye a las mejoras en el ecosistema.
Todos los materiales reciclados en las empresas de destrucción confidencial acreditadas son correctamente gestionadas y como deben cumplir con la exigencia contractual de traslado y gestor de residuo acreditados con código NIMA y número de registro deben presentar una memoria anual a las autoridades autonómicas pertinentes. Por ejemplo en el caso del papel debe separarse correctamente y en base a la economía circular será trasladado a plantas de reciclaje para que su destino final sea la industria papelera.
Consejos para buenas prácticas
Una de las medidas de seguridad más importantes que una empresa puede tomar es contar con una eficiente destrucción confidencial de documentos.
Cada organización tiene información confidencial de sus usuarios, empleados, clientes, etc y sin una política de destrucción de documentos o soportes adecuada tiene el riesgo de incumplir la Ley Orgánica de Protección de Datos (LOPD) y ser gravemente sancionada.
Para asegurarse que su información no esté al acceso de terceros de una manera incontrolada se debe crear una política de trituración y eliminación a correcta. Debe determinar una planificación adecuada siguiendo unas buenas prácticas en su organización:
Triture todo y triture a menudo de esta manera evitará el riesgo de que se acumulen en la oficina y deba estar posteriormente evaluando si es necesario. Implementando una política de procedimiento de descarte regular por todo el personal se evitan errores humanos y se estructura la organización. Para esto ayuda disponer de contenedores accesibles a disposición de cualquiera
Triturar antes de reciclar. A veces se confunde la papelera de reciclaje, la que se deposita en el contenedor azul municipal, o la contratación de una empresa recuperadora o un reciclador que le ayuda a ser más ecológico pero donde no se contempla la seguridad. Si establece con procedimiento con pequeñas trituradoras de oficina está traspasando la responsabilidad a cada una de los miembros de realizar una tarea tediosa y que les aparta de sus capacitaciones o que se los traspasa a alguien con escasa formación en seguridad. Además no quedan evidencias y siempre existe el riesgo de que soportes con datos no sean adecuadamente gestionados.
Triturar con un profesional. Contratar a una empresa de destrucción de documentos certificada incluye el reciclaje final en sus servicios y evitará que se preocupe por lo que podría suceder con sus soportes de información. Contar con una empresa de trituración profesional es una forma excelente de garantizar que sus empleados puedan concentrarse en sus tareas y disponer de evidencias de la correcta eliminación en todo el proceso de destrucción confidencial.
Normas aplicables
Las normas internacionales en destrucción confidencial de datos son la ISO/IEC 21964:2018, la AAA-NAID Certified y la UNE EN 15713:2010 estas son auditadas por empresas certificadoras independientes que controlan regularmente el cumplimiento de los manuales de procedimientos de cada norma y para cumplir el Reglamento General de Protección de Datos de la Unión Europea (RGPD) 2016/679 y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales de España (LOPD GDD) 3/2018 no es suficiente con contratar a empresas que hablen de seguir sus directrices o de disponer de máquinas que cumplan con ciertos tamaños de partícula al ser adquiridas o salir de fábrica, lo fundamental para contratar con la diligencia debida es asegurarse que cumplen con todos los procedimientos de la norma según la que se comprometen a realizar los protocolos en todo momento y eso es complicado de controlar si no se contrata a empresas que cuentan con auditorías externas. Desde AEDCI advertimos que existe mucho intrusismo en este sector y que para contar con un auténtico certificado de destrucción y evitar sanciones o escándalos al propietario o poseedor autorizado de los datos por el acceso por terceros no autorizados se debe acudir a empresas que estén certificadas y así el certificado que emiten contará con las garantías suficientes que cubran sus responsabilidades. El contratar sin aplicar estos criterios es una negligencia y puede tener consecuencias nefastas para las administraciones, personas jurídicas o individuos poseedores o encargados de la custodia de datos o información confidencial.
Existen otras normas que pueden ayudar a mejorar los procedimientos y ofrecer un servicio de mejor calidad en esta tarea de la destrucción de soportes de información como pueden ser:
La ISO 9001:2015 Sistema de Gestión de Calidad lo que permite mejorar a la entidad en el desempeño organizacional, aumentar la satisfacción del cliente y obtener una ventaja competitiva a la empresa al impulsar la mejora continua de sus productos y servicios de forma coherente.
La ISO 14001:2015 Sistema de Gestión Ambiental que proporciona una guía como considerar múltiples aspectos acerca de la empresa, como la adquisición, el almacenamiento, la distribución, el desarrollo de productos, la fabricación, etc de modo que se produzca una reducción del impacto sobre el Medio Ambiente.Además permite al contratante de servicios confidenciales saber que la empresa contratada está controlada como gestor y transportista de residuos ya que el auditor evaluará regularmente todos los registros en la Comunidad Autónoma donde se desarrolle cualquiera de las actividades y la correcta disposición de los residuos generados en los procesos.
La ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información es el medio más eficaz de minimizar riesgos, al asegurar que se identifican y valoran los activos y sus riesgos, considerando el impacto para la organización, y se adoptan los controles y procedimientos más eficaces y coherentes con la estrategia de negocio.
ISO/IEC 21964:2018
En agosto de 2018, el ISO/IEC a través del comité técnico JTC estandarizó internacionalmente los términos y principios de la DIN 66399 del German Institute for Standardization para la destrucción de soportes de información. La ISO-International Organization for Standardization y la IEC- International Electrotechnical Comission están unidas formando el sistema global mundial de estandarización especializado que agrupa un comité técnico, ISO/IEC JTC, en el campo de la tecnología de la información.
La norma estandarizada ISO/IEC 21964:2018 es ahora la referencia mundial para que las organizaciones puedan tener una referencia con nivel internacional para referirse a requerimientos de destrucción confidencial de datos en diferentes soportes. La norma clasifica en tres categorías de protección, en seis tipos de soportes donde se almacena la información y en siete tamaños de partículas resultantes de la trituración marcando además unos niveles de tolerancia en cada categoría.
Los fabricantes de máquinas destructoras utilizan los niveles de trituración para referenciar el tamaño de partícula que sus productos realizan en el momento de salir de fábrica lo que no significa que transcurrido un tiempo o después de su uso las partículas resultantes cumplan con las citadas especificaciones ya que las partes de corte o cuchillas sufren un desgaste y pueden romperse al utilizarse. No existen pues garantías posteriores y por eso la norma fija criterios en otros apartados para definir cómo deben realizarse los procedimientos en las distintas fases y las auditorías externas se encargan de controlar la producción y todos los protocolos utilizados.
Es importante no confundir entre disponer de una máquina trituración que en su día fué fabricada con unas características a contratar una empresa auditada y certificada externamente de una manera regular y por profesionales a la que se le encarga una tarea y se espera de ella unos procedimientos perfectamente definidos y controlados.
NAID-AAA Certified
NAID es la asociación internacional de la destrucción de información en el mundo www.naidonline.org y establece un manual de procedimientos que se actualiza cada año para definir estándares de destrucción de información para datos en papel o en soportes electrónicos. NAID actúa como una organización de protección al consumidor que audita las calificaciones de los proveedores de servicios de destrucción de información en todo el mundo. Además realiza investigaciones para la mejora de procesos y trabaja para crear un reconocimiento más amplio de la industria de la destrucción de información.
Los auditores de la AAA-NAID Certified verifican que existen protocolos para garantizar la seguridad del material confidencial en todas las etapas del proceso de destrucción, como la manipulación, el transporte, el almacenamiento de materiales antes de la destrucción y la destrucción y la eliminación de los materiales de manera responsable. Se aplica un extenso proceso de selección de antecedentes que verifica en tres niveles que ninguna persona con antecedentes conocidos de delitos relacionados maneja material confidencial.
El programa de auditoría integral dispone de auditorías no anunciadas y aceptar el reglamento significa que las empresas certificadas operan sabiendo que pueden recibir una inspección cualquier día y en cualquier momento. Además NAID cuenta con un Comité Ético y un régimen sancionador lo que conjuntamente proporcionan un poderoso hecho motivador para el cumplimiento continuo que da las máximas garantías al contratante.
UNE EN 15713:2010
Es la norma para la destrucción segura del material confidencial y recoge las buenas prácticas para identificar los documentos confidenciales y los materiales donde están contenidos. Audita una vez al año las instalaciones para comprobar si son adecuadas para la destrucción de datos en los aspectos de dependencias y seguridad. Controlan la subcontratación y vigilan al personal y la seguridad. Analizan la recogida y retención o almacenamiento del material en vehículos de transporte o en vehículos de destrucción “in situ”. Define la eliminación del producto final mediante 5 niveles de destrucción según el tipo de información a eliminar para que los tamaños de triturado se adapten a ellos.
.
Consultas
Entidades
Si usted o su entidad manejan o disponen de información o datos de sus clientes, usuarios, empleados o de otras personas, está legalmente obligado a proteger y gestionar correctamente esa información. La Agencia Española de Protección de Datos puede ayudarle a identificar que debe conocer para cumplir la legalidad vigente y en AEDCI podemos ayudarle a conocer nuestro sector e la destrucción confidencial de información desde el punto de vista profesional. Porque no es lo mismo destrucción de información confidencial, que destrucción confidencial de información. Porque no es lo mismo destruir y reciclar la documentación, sin importar los procedimientos y quién maneja o a que están expuestos los datos, que destruir de una manera segura y manteniendo toda la cadena de custodia para garantizar que esa documentación se procesa correctamente y no pasa por manos de alguien que pueda hacer un mal uso de ella. Además es fundamental hacerlo por empresas acreditadas por auditorías externas independientes y reguladas por la administración.
Cuidado con confundir un certificado de destrucción y reciclaje con un certificado de destrucción segura de material confidencial acreditado por una empresa que dispone de la UNE 15713, la DIN 66399 o la AAA-NAID Certified.
Estamos a su disposición para ampliar y complementar sus conocimientos
Empresas de destrucción
Si su negocio se dedicada a la destrucción de información puede contactar con AEDCI para convertirse en miembro de nuestra asociación. Estamos abiertos a la incorporación de nuevos miembros que formen parte de este colectivo para difundir las buenas prácticas del sector y aumentar la calidad de nuestros servicios en España.
Empresas relacionadas en el sector
Si su actividad está vinculada con el sector de la destrucción confidencial de información y desea participar en nuestras asambleas, para esponsorizar actos o difundir su publicidad a través de nuestros canales puede contactar con el equipo gestor y le explicaremos como podemos colaborar conjuntamente.
aspectos legales
LOPD GDD
Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD GDD) 3/2018, de 5 de diciembre que entró en vigor en fecha 7 de diciembre de 2018 que deroga y sustituye la conocidísima Ley Orgánica de Protección de Datos (LOPD) 15/1999
RGPD
Reglamento de Protección de Datos de la Unión Europea (RPGD) 679/2016 o también conocido por General Data Protección Regulation (GDPR) que entró en vigor en España el 25 de mayo de 2018
LCSP
Ley de Contratos del Sector Público (LCSP) Ley 9/2017, de 8 de noviembre que entró en vigor con fecha 9 de marzo de 2018 incorporando el ordenamiento de las Directivas Europeas 2014/23/UE y 2014/24/UE ambas de 26 de febrero. Busca entre otras cosas transparencia, un equilibrio entre calidad y precio y que las administraciones favorezcan a las PYMEs .
RD Traslado Residuos
Real Decreto 180/2018, de 13 de marzo, por el que se regula el traslado de residuos en el interior del territorio del Estado. Define el contenido del contrato de trazabilidad de tratamiento de residuos, el Documento de Identificación, la notificación previa del traslado, el posible rechazo, los agentes que intervienen, etc.