💥 É para destruir… ou fingir que estamos a destruir?
Organismos públicos e empresas estão a optar por realizar a destruição de documentos internamente, evitando a subcontratação deste serviço. Uma opção que consideramos acertada, dado que:
- reduz significativamente os riscos associados à subcontratação e à segurança na cadeia de abastecimento (destruição),
- garante controlo direto sobre a (eliminação) informação,
- assegura alinhamento com o RGPD e com outras normas para a segurança nacional.
Mas surge a pergunta essencial:
Estamos no caminho certo, mas será que as características dos equipamentos são as mais adequadas?
🔐 O problema
Falar em “eliminação de dados” é fácil. Mas eliminar não é o mesmo que destruir.
No que concerne à proteção de dados pessoais (e Informação Classificada) a doutrina é clara:
Os dados pessoais devem ser destruídos de forma segura, irreversível e comprovável.
Na prática, isto significa que qualquer documento com dados pessoais deve ser destruído de modo a impedir a sua recuperação.
⚙️ O enquadramento normativo
A Norma Técnica, NT E 05 – Destruição de Informação Classificada, do Gabinete Nacional de Segurança (GNS), define os requisitos técnicos para a destruição de informação classificada, assegurando que esta é tornada ilegível, irreconhecível e irrecuperável.
Embora dirigida a entidades que tratam informação classificada, esta norma tornou-se uma referência nacional de boas práticas, especialmente quando estão em causa categorias especiais de dados abrangidos pelo Regulamento Geral sobre a Proteção de Dados (RGPD).
📏 O que diz a norma DIN 66399
A norma Alemã DIN 66399 classifica os níveis de segurança de P-1 a P-7, em função da dimensão máxima das partículas após a destruição:
| Nível | Tamanho das partículas | Categoria | Tipo de informação* |
|---|---|---|---|
| P-1 | ≤ 12 mm (tiras) | Baixo | Informação pública |
| P-2 | ≤ 6 mm (tiras) | Baixo-médio | Informação interna geral |
| P-3 | ≤ 2 × 80 mm | Médio | Informação interna com risco limitado |
| P-4 | ≤ 4 × 40 mm | Médio-alto | Dados pessoais não sensíveis |
| P-5 | ≤ 2 × 15 mm | Alto | Informação classificada “Confidencial” e categorias especiais de dados (RGPD) |
| P-6 | ≤ 1 × 10 mm | Muito alto | Informação classificada “Secreta” |
| P-7 | ≤ 1 × 5 mm | Máximo | Informação “Muito Secreta” |
*Entendimento da CONFIDEBAT, em função da analise das diferentes normas sobre a matéria.
O nível P-5 da DIN 66399 é o primeiro que garante destruição efetivamente segura e irreversível, compatível com o grau Confidencial da Norma GNS E-05 e com o nível de proteção adequado para o cumprimentos do RGPD para as categorias especiais de dados.
🚫 Fingir que se destrói é um risco real
Usar destruidoras P-3 ou P-4 é fingir que se destrói, uma vez que esses níveis reduzem o volume de papel, mas não impedem a reconstrução manual ou digital.
As consequências estão à vista e são conhecidas:
- Risco legal – incumprimento do RGPD e SEGNAC1;
- Risco reputacional – perda de confiança pública;
- Risco económico – custos de resposta e impacto financeiro muito elevados;
- Risco interno – acesso indevido a informação “supostamente destruída”.
🧩 O nível P-5 é o padrão mínimo para organizações (públicas e privadas)
O nível P-5 (DIN 66399) representa o ponto de equilíbrio ideal entre segurança, eficiência e conformidade legal.
É suficientemente rigoroso para impedir a recuperação da informação e suficientemente prático para utilização diária em qualquer organização.
Adotar o P-5 é cumprir o RGPD com responsabilidade, reforçando a cultura de segurança e de confiança.
♻️ No fim, a escolha é simples
Ou destruímos de forma adequada (e podemos enviar o papel para o ecoponto sem receios) ou contratamos serviços de destruição externos e deixamos os nossos “segredos” à disposição da boa vontade dos operadores.
Deixe um comentário