Protección de Datos y Descarte Seguro de Equipos de TI bajo la LGPD

Cuando una empresa opera en Brasil, la protección de datos no termina cuando se apaga el servidor o se reemplaza un portátil. Mientras existan dispositivos con información personal o sensible almacenada, la responsabilidad de la organización sigue vigente, también en la fase de descarte.

La Ley General de Protección de Datos brasileña (LGPD) obliga a las empresas a adoptar medidas de seguridad en todo el ciclo de vida del dato, incluyendo el fin de vida de los equipos de TI que lo almacenan. Un portátil descartado sin destrucción segura del disco puede generar tanto riesgo como un sistema mal configurado en producción.

En este artículo se explica cómo conectar LGPD, seguridad de la información y gestión de RAEE de TI, y cómo Ecobraz actúa como socio en Brasil para la destrucción certificada de datos y el reciclaje de residuos electrónicos.

1. Por qué el descarte de TI es un punto crítico de riesgo

• Ordenadores portátiles y de escritorio con historiales, documentos, credenciales y caches;
• Servidores y storages con bases de datos completas de clientes y empleados;
• Dispositivos de red con configuraciones y registros sensibles;
• Smartphones, tablets y otros dispositivos móviles con acceso a sistemas corporativos.

Si estos equipos salen de control sin una eliminación efectiva de datos, cualquier recuperación posterior puede considerarse un incidente de seguridad vinculado a la empresa.

2. LGPD: qué implica en la fase de fin de vida de los equipos

Desde una perspectiva práctica, la LGPD exige que la empresa:

• Implemente medidas de seguridad adecuadas al riesgo;
• Evite daños a los titulares mediante medidas preventivas;
• Elimine los datos cuando ya no sean necesarios para el propósito original;
• Pueda demostrar que estas medidas se aplican efectivamente.

En la fase de descarte, esto se traduce en:

• Políticas claras de desmantelamiento de activos de TI;
• Procesos definidos para borrado o destrucción de datos;
• Contratos adecuados con proveedores que manipulan equipos con datos;
• Registros y certificados que acrediten la eliminación segura.

3. Errores habituales en el descarte de equipos de TI

• Donar equipos “formateados” sin borrado seguro de discos;
• Enviar servidores y discos a chatarreros sin licencias;
• Subastar lotes de equipos con medios de almacenamiento intactos;
• Acumular dispositivos antiguos con datos en almacenes sin plan de eliminación.

Todos estos casos complican la defensa de la empresa ante un incidente, ya que es difícil demostrar que se adoptaron las medidas necesarias.

4. Política interna de fin de vida para activos de TI

Una política eficaz debería abordar:

• Qué tipos de activos están cubiertos (PC, portátiles, servidores, dispositivos móviles, etc.);
• Qué áreas son responsables (TI, seguridad, cumplimiento, RSE);
• Cómo se desactiva lógicamente cada activo antes de su salida física;
• Cuándo aplicar borrado lógico y cuándo destrucción física de medios;
• Qué socios, como Ecobraz, están autorizados para el tratamiento y el reciclaje;
• Cómo se archivan y controlan los documentos y certificados.

5. Métodos de eliminación de datos en la práctica

• Borrado lógico, utilizando herramientas adecuadas, cuando el equipo se va a reutilizar en un entorno controlado;
• Cifrado de discos como medida adicional durante la vida útil del activo;
• Destrucción física de discos y otros medios para activos de alto riesgo o que salen definitivamente del control de la empresa.

Lo importante es que el método elegido forme parte de un proceso repetible, documentado y auditable.

6. Documentación clave para conectar RAEE, TI y LGPD

• Inventarios de activos de TI dados de baja y su destino;
• Registros de aprobación de campañas de descarte;
• Certificados de destrucción de datos emitidos por Ecobraz;
• Certificados de destino final para los residuos electrónicos;
• Informes consolidados por CNPJ, unidad y periodo;
• Cláusulas contractuales sobre confidencialidad y protección de datos.

7. Cómo apoya Ecobraz el descarte seguro de TI

• Organizando recogidas de equipos de TI en oficinas, plantas, centros de datos y entidades públicas;
• Aplicando procedimientos específicos para dispositivos con datos sensibles;
• Realizando destrucción segura de datos y emitiendo certificados para auditorías;
• Tratando los RAEE en instalaciones autorizadas, cumpliendo la normativa ambiental;
• Proporcionando información consolidada para informes ESG y de cumplimiento;
• Vinculando, cuando es posible, equipos reacondicionables a proyectos de inclusión digital.

8. Checklist rápido orientado a LGPD

• [ ] ¿Existe una política formal de fin de vida de activos de TI?
• [ ] ¿Se aplican métodos de eliminación de datos adaptados al riesgo?
• [ ] ¿Se utilizan socios especializados como Ecobraz para RAEE de TI?
• [ ] ¿Se almacenan certificados de destrucción de datos y destino final?
• [ ] ¿Las áreas de privacidad y seguridad participan en la definición del proceso?

9. Conclusión

El descarte de equipos de TI es parte de la estrategia de protección de datos, no un detalle logístico. Integrar LGPD, seguridad de la información y gestión de RAEE es imprescindible para evitar incidentes, superar auditorías y reforzar la credibilidad ante clientes y reguladores.

Con políticas internas adecuadas y el apoyo de Ecobraz, la empresa puede demostrar que gestiona el ciclo completo de sus activos de TI de forma responsable, desde la adquisición hasta el fin de vida.

Más información: https://ecobraz.org