Plan Corporativo de Cumplimiento PNRS para la Gestión y Eliminación de Equipos de TI

1. Finalidad

El presente Plan Corporativo de Cumplimiento PNRS establece la estructura de gobernanza, procedimientos técnicos, responsabilidades, controles y directrices legales necesarias para que la empresa gestione, de forma segura y conforme a la normativa, el fin de vida de los equipos de Tecnología de la Información (TI) en operaciones ubicadas en Brasil.

El documento garantiza el cumplimiento integral de la Política Nacional de Residuos Sólidos de Brasil (PNRS – Ley 12.305/2010), de su decreto reglamentario (Decreto 10.936/2022), de la Ley General de Protección de Datos Personales (LGPD – Ley 13.709/2018), de regulaciones ambientales estatales y municipales, y de las políticas corporativas de seguridad y compliance.

El objetivo es asegurar: (i) tratamiento ambiental adecuado de los residuos electrónicos (RAEE); (ii) eliminación segura e irreversible de todos los datos corporativos; (iii) trazabilidad completa del flujo de descarte; y (iv) disponibilidad de toda la documentación requerida para auditorías internas, auditorías externas, evaluaciones regulatorias y reportes ESG.

2. Alcance

Este plan se aplica a todas las unidades corporativas ubicadas en Brasil: oficinas, plantas, centros administrativos, depósitos, data centers, sucursales, unidades operativas y cualquier instalación que almacene, utilice, desactive o descarte equipos de TI.

El alcance incluye, sin limitarse a:

• Computadoras de escritorio, portátiles, estaciones de trabajo y thin clients;
• Monitores y periféricos;
• Servidores, cabinas de almacenamiento y componentes de data center;
• Equipos de red: switches, routers, firewalls, access points;
• Appliances de seguridad y telecomunicaciones;
• Impresoras, escáneres y equipos multifunción;
• UPS, estabilizadores y equipos eléctricos de soporte;
• Cualquier medio que contenga datos: HDD, SSD, cintas, módulos.

3. Marco normativo

El plan se basa en las siguientes normas y obligaciones legales:

• PNRS – Política Nacional de Residuos Sólidos (Ley 12.305/2010);
• Decreto 10.936/2022 que reglamenta la PNRS;
• Normativas ambientales de estados y municipios;
• LGPD – Ley General de Protección de Datos Personales (Ley 13.709/2018);
• Reglamentos aplicables al transporte y manejo de residuos electrónicos;
• Políticas corporativas de compliance, seguridad, gobernanza y ESG;
• Normas internacionales de referencia (ISO 14001, ISO/IEC 27001, etc.).

4. Principios generales

La gestión del descarte de TI seguirá los siguientes principios:

• Cumplimiento normativo: adherencia estricta a las exigencias ambientales y de protección de datos;
• Seguridad de la información: eliminación irreversible de datos corporativos;
• Responsabilidad ambiental: tratamiento de RAEE en canales autorizados;
• Trazabilidad: registro auditado de cada etapa del proceso;
• Transparencia: documentación disponible para auditorías y reportes ESG;
• Integridad operacional: procesos estandarizados y ejecutados por personal y proveedores calificados;
• Mejora continua: revisión anual de controles y procedimientos.

5. Roles y responsabilidades

5.1 Alta Dirección

• Aprobar este plan y sus revisiones;
• Garantizar recursos para su implementación y gobernanza.

5.2 Tecnología de la Información (TI)

• Ejecutar la desactivación lógica de los equipos;
• Clasificar activos según tipo y sensibilidad de datos;
• Autorizar la liberación para recolección y tratamiento.

5.3 ESG / Medio Ambiente

• Monitorear indicadores de RAEE procesado;
• Validar reportes e inventarios emitidos por Ecobraz.

5.4 Seguridad de la Información

• Definir requisitos de destrucción de datos según criticidad;
• Revisar certificados de destrucción emitidos por Ecobraz.

5.5 Compliance y Jurídico

• Velar por el cumplimiento normativo de PNRS, LGPD y contratos;
• Responder ante auditorías internas, externas y organismos regulators.

5.6 Ecobraz – Operador Técnico Especializado

• Realizar la recolección en sitio de equipos de TI obsoletos;
• Asegurar transporte y recepción con cadena de custodia registrada;
• Ejecutar destrucción física o lógica certificada de datos;
• Clasificar equipos y enviarlos a reciclaje en canales licenciados;
• Emitir CDF, certificados de destrucción y reportes trimestrales;
• Garantizar cumplimiento ambiental total y trazabilidad.

6. Flujo operativo estándar

6.1 Inventario y clasificación

• Identificar equipos aptos para descarte;
• Clasificar por tipo, condición y nivel de sensibilidad de datos;
• Registrar en el sistema patrimonial corporativo.

6.2 Desactivación lógica

• Remover credenciales, agentes, backups y accesos productivos;
• Documentar el retiro lógico del equipo.

6.3 Liberación y recolección

• La unidad solicita recolección formal;
• Ecobraz realiza recolección con pesaje, lacrado y registro fotográfico;
• Se entrega comprobante de recolección.

6.4 Destrucción de datos

La destrucción se realiza según clasificación del activo:

• Destrucción física certificada de HDD, SSD, cintas y módulos;
• Sanitización lógica aprobada cuando sea aplicable;
• Emisión de certificado de destrucción por Ecobraz.

6.5 Tratamiento y reciclaje

• Desensamble en fracciones de material;
• Separación de componentes con valor reciclable;
• Procesamiento en recicladores licenciados conforme PNRS.

6.6 Documentación final

Ecobraz debe entregar:

• Certificado de Destinación Final (CDF);
• Certificados de destrucción de datos;
• Inventarios completos de equipos procesados;
• Reportes trimestrales consolidados para gobernanza y ESG.

7. Indicadores y métricas

• Volumen total (kg/toneladas) de RAEE procesado;
• Tasa de reciclaje vs. fracciones no reciclables;
• Número de medios destruidos;
• Reducción estimada de CO₂ (cuando aplique);
• Tiempo promedio de procesamiento por lote.

8. Auditorías y gobernanza

Este plan será auditado anualmente por Auditoría Interna, Seguridad de la Información, Compliance y ESG. Ecobraz deberá proporcionar toda documentación y evidencias para tales auditorías.

9. Conservación de documentos

Toda la documentación debe conservarse mínimo por 5 años:

• CDF;
• Certificados de destrucción;
• Comprobantes de recolección e imágenes;
• Inventarios y reportes trimestrales;
• Documentación de auditorías regulatorias.

10. Revisión del plan

El plan deberá revisarse anualmente o cuando:

• Ocurran cambios legales relevantes;
• Se modifiquen operaciones o tecnologías;
• Aparezcan nuevas exigencias de auditoría;
• Lo exija la gobernanza corporativa.

11. Conclusión

El Plan Corporativo de Cumplimiento PNRS garantiza la gestión ambientalmente correcta, segura, trazable y auditada del fin de vida de equipos de TI en Brasil. Con Ecobraz como operador técnico, la empresa asegura cumplimiento legal, destrucción segura de datos y documentación sólida para auditorías y reportes ESG.

Más información: https://ecobraz.org