Una auditoría de cumplimiento sobre protección de datos o gestión documental no pregunta si la empresa destruyó los documentos que debía destruir. Pregunta si puede demostrarlo. La diferencia entre ambas preguntas es la diferencia entre un proceso bien documentado y un proceso que, aunque se haya ejecutado correctamente, no puede acreditarse ante ningún inspector, auditor o autoridad competente. Documentar la destrucción de documentos es tan importante como realizarla.
Qué piden habitualmente las auditorías sobre destrucción documental
Cuando una auditoría interna o externa revisa la gestión documental de una empresa, el foco suele estar en cuatro aspectos: que se destruyó lo que debía destruirse, que se hizo en el momento adecuado, que se hizo correctamente y que existe evidencia de todo ello. La existencia de esa evidencia es lo que habitualmente se solicita en forma de documentación.
Los documentos que habitualmente se piden son el certificado de destrucción emitido por el proveedor del servicio, un registro interno que acredite qué material se destruyó y cuándo, y en algunos casos la acreditación del proveedor (certificaciones como la UNE-EN 15713 emitida por ADOK). En auditorías relacionadas con el RGPD, puede pedirse además la descripción del proceso de destrucción para verificar que el nivel de destrucción es adecuado.
Qué registros debe conservar la empresa internamente
Más allá del certificado del proveedor, la empresa necesita mantener su propio registro de destrucciones. Ese registro, que puede ser tan sencillo como una hoja de cálculo o una carpeta digital organizada por fecha, debe incluir:
- Fecha de la destrucción.
- Descripción genérica del material destruido (por ejemplo: expedientes de clientes del año 2018, documentación contable 2017-2019).
- Volumen aproximado (número de cajas, kilos, número de contenedores).
- Nombre del proveedor que realizó la destrucción.
- Referencia al certificado de destrucción recibido.
- Nombre o cargo de la persona interna que autorizó y supervisó el proceso.
Este registro no tiene que ser complejo, pero sí tiene que ser consistente. Una empresa que destruye documentación varias veces al año necesita que ese registro esté actualizado y sea fácil de localizar cuando se necesite.
Cómo organizar el sistema de registro de destrucciones
El error más frecuente en la documentación de destrucciones no es no tener el certificado, sino no tener un sistema de almacenamiento que permita encontrarlo cuando se necesita. Un certificado guardado en el correo electrónico de una persona que ya no trabaja en la empresa es, en la práctica, un certificado inexistente.
La solución más sencilla es designar una ubicación centralizada y conocida donde se archiven los certificados de destrucción, ya sea en papel en una carpeta física etiquetada, o en formato digital en una carpeta de red accesible para las personas que puedan necesitarlo. La carpeta debe estar organizada por año y, dentro del año, por fecha de destrucción.
Si la empresa utiliza un sistema de gestión documental (DMS), el procedimiento puede integrarse directamente en ese sistema con un tipo de documento específico para los registros de destrucción. En cualquier caso, la clave es que el sistema sea sencillo de usar: cuanto más complejo sea el procedimiento de archivo, menos probable es que se aplique de forma consistente.
Lo que aporta el certificado UNE-EN 15713 como evidencia ante una auditoría
La norma UNE-EN 15713 es el estándar europeo para la destrucción segura de material confidencial en papel. Un certificado emitido conforme a esta norma por un proveedor acreditado (como ADOK, que certifica a Patranser) es la evidencia más sólida que puede aportarse ante una auditoría de cumplimiento.
El certificado especifica la fecha del proceso, el tipo de material destruido, el método de destrucción y la identidad del proveedor. Esos datos responden a todas las preguntas que una auditoría puede plantear sobre el proceso de destrucción. El hecho de que el proveedor esté certificado por una entidad acreditada añade una capa de credibilidad que un simple recibo o albarán no puede ofrecer.
Errores más habituales en la documentación de destrucciones
El primero es depender exclusivamente del correo electrónico. El proveedor envía el certificado por correo, el responsable lo lee, no lo descarga, y cuando llega la auditoría no hay forma de localizarlo rápidamente. El segundo error es no tener un registro interno: la empresa sabe que destruyó los documentos porque lo recuerda, pero no puede demostrarlo con un documento propio.
El tercer error, quizá el más grave, es haber utilizado un proveedor que no emite un certificado válido. Un albarán de entrega no es un certificado de destrucción. Una firma de recepción no es evidencia del proceso. Solo un certificado formal emitido por un proveedor con las acreditaciones correspondientes tiene peso ante una auditoría exigente.
Por último, mezclar la documentación confidencial con el papel ordinario de reciclaje y luego intentar documentarlo como destrucción confidencial genera una inconsistencia que cualquier auditor detectará.
En Patranser emitimos un certificado de destrucción conforme a la norma UNE-EN 15713 (acreditado por ADOK) en cada proceso de destrucción confidencial. Si además lo necesitas, ponemos la grabación del proceso a tu disposición como evidencia adicional. Si quieres revisar cómo está organizada actualmente la documentación de las destrucciones en tu empresa, podemos ayudarte.
Preguntas frecuentes sobre documentar la destrucción de archivos para superar auditorías con éxito
- ¿Cuánto tiempo hay que conservar los certificados de destrucción de documentos?
- No existe un plazo universal, ya que depende del tipo de documentación destruida y del marco normativo aplicable. Como criterio general, es razonable conservar los certificados de destrucción durante al menos cinco años. Para sectores con regulación específica (sanitario, financiero, legal), el plazo puede ser mayor. Lo prudente es adoptar el mismo criterio de conservación que se aplica a la documentación equivalente en vigor.
- ¿Un albarán de recogida sirve como certificado de destrucción?
- No. Un albarán de recogida acredita que el material fue retirado, pero no dice nada sobre el proceso de destrucción ni sobre el nivel de seguridad aplicado. El certificado de destrucción es un documento específico que detalla el proceso, el método y el estándar de destrucción (como la UNE-EN 15713), y está emitido por el proveedor certificado.
- ¿Qué ocurre si en una auditoría no puedo presentar el certificado de destrucción?
- Depende del contexto de la auditoría. En una auditoría RGPD, la ausencia de evidencia de destrucción segura puede ser interpretada como incumplimiento del principio de limitación del plazo de conservación, lo que puede derivar en recomendaciones de mejora o, en casos más graves, en procedimientos sancionadores. En auditorías de calidad (ISO 9001) o ambientales (ISO 14001), puede afectar a la renovación de la certificación.
- ¿Puede Patranser proporcionar copias de los certificados de destrucción anteriores si se han extraviado?
- Patranser conserva los registros de las destrucciones realizadas. Si un cliente necesita una copia de un certificado anterior, puede solicitarlo. Es un punto importante a verificar con el proveedor antes de contratarlo: que tenga capacidad de aportar copias de certificados pasados si se necesitan.
- ¿La grabación del proceso de destrucción tiene validez como evidencia ante una auditoría?
- La grabación del proceso es una evidencia complementaria de alto valor: demuestra de forma visual que la destrucción se realizó en las condiciones descritas en el certificado (sala cerrada, personal acreditado, proceso supervisado). No sustituye al certificado, pero lo refuerza significativamente ante cualquier auditor.
- ¿Tiene que haber una política interna de destrucción de documentos o basta con los certificados del proveedor?
- Lo ideal es tener ambas cosas. Una política interna de gestión documental que establezca los plazos de conservación, quién autoriza las destrucciones y cómo se archivan los certificados, complementa y da contexto a los certificados del proveedor. Ante una auditoría, la combinación de política interna + registro interno + certificado del proveedor es la evidencia más completa.
