Ya sea porque la vida útil de un ordenador ha llegado a su fin, o porque se van a adquirir nuevos ordenadores y los antiguos van a venderse de segunda mano o donarse, o porque los ordenadores se renueven cada cierto tiempo, las empresas deben antes proceder a realizar un borrado seguro de los datos que puedan contener esos equipos. En este artículo explicamos cómo borrar los datos de un ordenador de empresa de forma segura y por qué es necesario hacerlo de esta manera.
En este artículo hablamos de:
- ¿Qué entendemos por borrar datos del ordenador de empresa de forma segura?
- ¿Es necesario borrar los datos del PC de forma segura?
- ¿Cuándo es necesario borrar los datos del ordenador de forma segura?
- ¿Cómo eliminar datos de forma segura?
- ¿Me pueden sancionar por no borrar los datos del ordenador de forma segura?
¿Qué entendemos por borrar datos del ordenador de empresa de forma segura?
Es importante explicar a qué nos referimos cuando hablamos de borrar los datos de un ordenador de empresa de forma segura y qué no lo es.
Empecemos por lo que no es un borrado seguro; mandar un archivo a la papelera de reciclaje no es borrar datos del ordenador de forma segura, puesto que, en esencia, solo estamos cambiando de lugar una archivo y cualquier persona puede restablecer el archivo borrado desde la papelera de reciclaje.
Vaciar la papelera de reciclaje tampoco es una forma segura de borrar la información del ordenador, puesto que aunque no la veamos y, teóricamente, no tengamos acceso a ella, sigue estando «oculta» en el ordenador y accesible usando algunas de las herramientas o programas para recuperar archivos borrados del disco duro que podemos encontrar por internet.
Formatear el ordenador de empresa con un formateado rápido o realizar un único formateo, tampoco se considera un borrado seguro, porque los datos siguen estando en el ordenador, más difíciles de recuperar, pero no imposible, puesto que, como decíamos en el párrafo anterior, existen herramientas para recuperar la información borrada del ordenador, incluso si se ha llevado a cabo un formateo.
Esto es así porque lo que se hace al borrar de esta forma los datos es marcarlos para que eventualmente se sobrescriba nueva información sobre ellos, lo que finalmente sí que los haría irrecuperables, pero ese proceso de sobrescritura no tiene por qué producirse inmediatamente e incluso puede pasar bastante tiempo hasta que se reescriban nuevos datos sobre los «borrados».
Por lo tanto, para considerar que se han borrado de forma segura los datos del ordenador, es necesario reescribir sobre esos datos borrados. Y ¿cómo se hace esto? A través de un proceso que consiste en aplicar un algoritmo que formatea y sobrescribe la información en varias pasadas, de manera que toda la superficie de almacenamiento del disco duro queda sobrescrita con datos aleatorios y vuelve la información borrada irrecuperable.
¿Es necesario borrar los datos del PC de forma segura?
Sí, borrar los datos del PC de empresa de forma segura no solo es necesario, sino que también es una obligación que establece la ley de protección de datos para empresas, ya que, aunque el borrado seguro no se cita expresamente en el RGPD ni la LOPDGDD, sí que se considera una medida técnica necesaria para garantizar la protección de datos en el momento de su supresión o eliminación. Por lo tanto, sería parte de la responsabilidad proactiva del responsable y/o del encargado del tratamiento.
Siempre que la empresa vaya a deshacerse de equipos informáticos, tanto si es para su destrucción definitiva como si es para venderlos de segunda mano o donarlos, y especialmente en este segundo caso, formatear el PC de empresa no es suficiente y es necesario llevar a cabo un borrado seguro de los datos almacenados en los discos duros de los ordenadores, para asegurar que terceros que puedan acabar usando esos equipos, no puedan tener ninguna posibilidad de recuperar la información que alguna vez almacenaron.
Pero dejando a un lado la normativa de protección de datos, que se centra en los datos personales; borrar datos del ordenador de empresa también es necesario para evitar que otra información de carácter confidencial pueda caer en manos no autorizadas, como, por ejemplo, sería información fiscal, información contable, diseños, planes estratégicos, etc.
Como se suele decir, la información es poder y cualquier empresa querrá evitar que la suya pueda acabar expuesta públicamente de alguna manera.
¿Cuándo es necesario borrar los datos del ordenador de forma segura?
Ya lo hemos adelantado, pero volvemos a repasar cuándo es necesario borrar los datos del ordenador de empresa de forma segura:
- Cuando el o los ordenadores de la empresa se vayan a dejar de usar y se vayan a vender de segunda mano, donar o dar o venderlos a los empleados para que los reutilicen como equipos personales.
- Cuando el o los ordenadores de la empresa se vayan a destruir, es decir, cuando se vayan a tirar.
Puesto que el borrado seguro elimina toda la información del disco duro del ordenador, no podremos usarlo cuando lo que queramos hacer es borrar uno o varios archivos, por ejemplo, para suprimir los datos personales de una base de datos cuyo plazo de conservación haya finalizado. En este caso, la eliminación del archivo sí que se hará enviando el archivo a la papelera de reciclaje y vaciando esta posteriormente o pulsando en «Eliminar» y CTRL+Mayúsculas.
Cuando también aplicaremos el borrado seguro será para borrar unidades de almacenamiento externas de la empresa, como discos duros externos, pendrives y cualquier dispositivo móvil que pueda contener datos personales o información confidencial de la empresa.
¿Cómo eliminar datos de forma segura?
Borrar datos de un ordenador de empresa de forma segura es un proceso sencillo, puesto que lo único que debemos hacer es elegir un programa de borrado seguro, elegir las reescrituras que queremos que se hagan durante el proceso (lo recomendable son como mínimo siete reescrituras) y seguir las instrucciones del programa elegido, que aplicará sus propios algoritmos para reescribir toda la superficie de almacenamiento del disco.
También es posible recurrir a una empresa dedicada al borrado seguro, que, además, podrá certificar el borrado seguro de los equipos (aunque esta certificación no es obligatoria).
Cabe señalar que en este artículo estamos hablando específicamente de borrar datos del ordenador, que permite la reutilización de los equipos, y no de su destrucción o desmagnetización, que si bien es otra forma más de borrado seguro, estas dejarían inservibles los equipos.
Así mismo, en caso de que los ordenadores de la empresa usen discos SSD (discos duros de estado sólido), debemos señalar que para este tipo de almacenamiento no bastará con usar las herramientas de borrado seguro, puesto que debido a la forma en la que se estructuran los archivos en ellos, hace que sea posible recuperar información de ellos, incluso si se han sobrescrito.
Para los SSD se recomienda consultar la información del fabricante y comprobar si ofrece alguna herramienta de borrado seguro que se pueda emplear.
Finalmente, es necesario que en la política de protección de datos en la empresa se contemple el borrado seguro de equipos, unidades de almacenamiento externo y dispositivos móviles y se cree un protocolo para ello, incluidos controles de inventario, para que ninguno de estos dispositivos salga de la empresa sin haber sido debidamente formateado de forma segura.
Programas para borrar datos del ordenador de empresa de forma segura
Como decíamos, existen diferentes programas que se pueden usar para borrar datos de los ordenadores de empresa de forma segura, entre ellos destacamos los siguientes:
- Eraser, el programa de borrado seguro más conocido y usado, sencillo y gratuito, incluye diferentes algoritmos, entre ellos el método Gutmann, que lleva a cabo 35 reescrituras del disco duro.
- File Shredder, también muy conocido, gratis y fácil de usar, permite realizar las siete sobrescrituras mínimas recomendadas.
- Permadelete, es una aplicación de borrado seguro disponible en la tienda de Microsoft, es gratuita y permite elegir el número de sobrescrituras, hasta un total de 10.
En el caso de los discos SSD, este es uno de los programas recomendados para el borrado seguro de este tipo de discos (aunque necesitarás previamente crear un booteable o arrancable):
Todas estas herramientas están pensadas para usarlas con Windows, puesto que este sistema operativo no permite llevar a cabo un formateo seguro tal y como hemos descrito en el artículo.
En el caso de los macOS de Apple, estos sí incluyen de fábrica un borrado de datos seguro, al que podremos acceder siguiendo esta ruta: «Utilidad de discos» > «Borrar» > «Opciones de seguridad» > escoger el método que sobreescribirá el disco siete veces.
¿Me pueden sancionar por no borrar los datos del ordenador de forma segura?
Cómo hemos dicho más arriba, el borrado seguro de los datos de los ordenadores de empresa es una de las medidas técnicas que responsables y encargados deben aplicar en el momento de deshacerse de los equipos informáticos, por lo que sí, no borrar los datos del ordenador de empresa de forma segura puede suponer la imposición de sanciones de la AEPD.
La cuantía de esas sanciones dependerán de los datos personales que hayan podido quedar expuestos y del volumen de personas afectadas, pero debemos tener en cuenta que el borrado seguro forma parte de las medidas de seguridad necesarias para garantizar la protección de datos al final de la vida o el servicio de los dispositivos en los que se almacenan los datos personales.
En definitiva, incluye el borrado seguro en las políticas de protección de datos de tu empresa y llévalo a cabo siempre que vayas a deshacerte de ordenadores, unidades de almacenamiento externo o dispositivos móviles, especialmente si van a tener una segunda vida.