Eliminació i reutilització de suports TIC amb dades de caràcter personal

 

Quan sigui necessari l’eliminació o la reutilització d’un suport que hagi contingut prèviament dades de caràcter personal, l’Administrador de Seguretat aplicarà les mesures de seguretat adients (esborrat segur de les dades) per evitar que terceres persones puguin recuperar o usar dades d’aquests dispositius o suports.

La reutilització de qualsevol tipus de suport magnètic requerirà la comprovació del bon estat físic d'aquest, d’acord amb el temps mitjà d’utilització abans d’error (de l’anglès, Medium Time Between Fails MTBF) indicat pel fabricant dels dispositius i es procedirà a establir un control de l’envelliment d'aquests.

La destrucció de les proves d’impressió o dels llistats de treball temporal, que continguin dades de caràcter personal, es realitzarà mitjançant màquina destructora, sense que, en cap cas, puguin ser dipositats en les papereres convencionals. Tanmateix, no estarà permès reutilitzar paper que en el seu anvers contingui dades de caràcter personal.

En general, qualsevol suport informàtic que hagi de ser rebutjat o reutilitzat, de qualsevol tipus, que pugui contenir dades de caràcter personal, ja sigui suports magnètics, òptics o altres, o els mateixos ordinadors obsolets, han de ser tractats mitjançant el  procediment de destrucció i reutilització de suports informàtics descrit a continuació, per tal d'impedir la pèrdua de confidencialitat de les dades personals.

Aquells mitjans que siguin reutilitzables, i que hagin contingut còpies de dades de caràcter personal, han de ser esborrats físicament de forma segura abans de la seva reutilització, de manera que les dades que contenien no siguin recuperables. En cas que aquest procés no sigui possible, el suport no serà reutilitzat i es procedirà a la seva inutilització o destrucció física.

PROCEDIMENT

 Un dels majors perills per a la confidencialitat de les dades són els suports rebutjats o reutilitzats. Tots els components informàtics de qualsevol tipus que puguin contenir informació de caràcter personal, han de ser eliminats o destruïts d'acord al següent procediment:

1.- Quan un suport que ha albergat dades de caràcter personal vagi a ser rebutjat, s'esborrarà tota la informació mitjançant un sistema que no permeti el seu aprofitament. En el cas que quedin dubtes sobre la informació que pugui subsistir després del procés d'esborrat, es procedirà a la inutilització física o a la destrucció del suport.

2.- Com a norma general, cap rebuig informàtic ha de ser mai deixat per retirar sense ser destruït o dipositat al contenidor de l'empresa encarregada de la destrucció de les dades.

3.- Aquells suports informàtics (Discs, CD, memòries flash, pendrives, etc...)  que continguin dades de caràcter personal han de ser destruïdes en una unitat de destrucció o per qualsevol altre mitjà que faci impossible extreure cap dada posteriorment.  En cas de no existir màquina destructora d’aquests suports, s'han de dipositar en uns contenidors confidencials hermètics per a ser lliurats a una companyia de reciclatge que garanteixi mitjançant contracte la destrucció d’aquests.

4.- Aquells suports informàtics (Discs, CD, memòries flash, pendrives, etc...)  que es vulguin reutilitzar s’haurà d’eliminar les seves dades prèviament amb alguna aplicació d'esborrat segur que faci impossible la recuperació posterior de les dades continguts.

5.- Si es tracta d'ordinadors obsolets, abans de la seva donació, venda o lliurament a altres organitzacions, s'ha de passar una aplicació d'esborrat segur que faci impossible la recuperació posterior de les dades contingudes en els discs durs. Si l'ordinador estigués espatllat i no es pogués realitzar l’operació de netejat, s'hauran de desmuntar els discs durs i procedir a la seva destrucció o encomanar a una empresa de reciclatge especialitzada la destrucció d’aquests.
 
6.- La Universitat ha d'exigir a l'empresa de reciclatge un contracte en el qual es comprometin sota penalització a la completa destrucció de tot el material retirat. L’empresa adjudicatària ha d’efectuar la destrucció amb els seus propis mitjans, sense subcontractar aquest servei a altres empreses.
 
7.- En el cas d’ordinadors obsolets, un cop realitzats aquests procediments de destrucció o esborrat de la informació continguda, caldrà notificar per correu electrònic a l’adreça el compliment d’aquest procediment. S’haurà d’indicar la següent informació:

    1. Tipus de Suport
    2. Dades contingudes
    3. Destruït o reutilitzat
    4. Empreses o entitats implicades
    5. Si s’escau, certificat de destrucció o esborrat de la informació

Més informació sobre metodologies i programari específic en aquest enllaç: https://www.incibe.es/protege-tu-empresa/blog/borrado-destruccion-segura-soportes