El borrado seguro es el proceso técnico mediante el cual los datos almacenados en un dispositivo —disco duro, SSD, memoria USB, servidor— se eliminan de forma verificada, de modo que no puedan ser recuperados mediante ningún método técnico disponible.

A diferencia de borrar archivos, vaciar la papelera o formatear un disco, el borrado seguro implica sobrescribir el espacio de almacenamiento siguiendo estándares técnicos reconocidos (como NIST 800-88 o DoD 5220.22-M) y emitir un certificado que documenta el proceso.

Hay dos grandes categorías:

Borrado lógico certificado
Proceso de software que sobreescribe los datos en el dispositivo siguiendo un estándar técnico, verifica el resultado y emite documentación. El hardware queda funcional y puede ser reutilizado.

Destrucción física
Destrucción del soporte de forma que sea irrecuperable: trituración (shredding), desmagnetización (degaussing) o perforación. El hardware queda inutilizable.

Cuándo es obligatorio para una empresa

Cuando aplica el RGPD o leyes locales de protección de datos
El Reglamento General de Protección de Datos de la Unión Europea obliga a garantizar la confidencialidad de los datos personales durante todo su ciclo de vida, incluyendo la eliminación. En Argentina, la Ley 25.326 de Protección de Datos Personales y en Uruguay la Ley 18.331 establecen obligaciones similares. Cualquier empresa que procese datos personales de personas físicas debe garantizar que esos datos sean destruidos de forma segura cuando ya no sean necesarios.

Al dar de baja equipos informáticos
Cuando una empresa descarta computadoras, laptops, servidores o cualquier dispositivo de almacenamiento, es obligatorio asegurarse de que los datos hayan sido eliminados antes. Un equipo sin borrar contiene historial de navegación, documentos, contraseñas guardadas, correos, bases de datos de clientes y cualquier información que haya pasado por ese equipo.

Al devolver equipos arrendados (leasing)
Los equipos en leasing o alquiler vuelven al proveedor o a un tercero. Sin borrado certificado previo, los datos de la empresa quedan expuestos.

En sectores regulados
Las entidades financieras, clínicas y centros de salud, estudios jurídicos, contadurías y empresas aseguradoras están sujetas a normativas sectoriales específicas que exigen controles adicionales sobre la gestión de datos sensibles.

Al vender o donar equipos usados
Un equipo de empresa vendido en el mercado secundario sin borrado previo puede exponer información confidencial de clientes, proveedores, empleados o proyectos.

Qué pasa si no se hace correctamente

Recuperación con software comercial
Herramientas disponibles al público —Recuva, PhotoRec, TestDisk y docenas de alternativas— permiten recuperar archivos borrados de discos sin borrado seguro. Un disco formateado rápidamente es perfectamente legible con estas herramientas.

Responsabilidad legal
Si datos personales o confidenciales de terceros son accesibles por no haberse aplicado borrado seguro, la empresa puede ser considerada responsable de una brecha de seguridad. Las consecuencias incluyen sanciones administrativas, demandas civiles y daño reputacional.

Sanciones regulatorias
El RGPD prevé sanciones de hasta 20 millones de euros o el 4% de la facturación global anual. Las leyes locales en Argentina y Uruguay también contemplan sanciones para empresas que no protejan adecuadamente los datos que procesan.

La diferencia que hace el certificado

Un proceso de borrado sin documentación no tiene valor regulatorio ni legal. El certificado de borrado seguro es el documento que acredita que el proceso se realizó, qué método se aplicó, en qué dispositivos y con qué resultado. Sin ese certificado, la empresa no puede demostrar que cumplió sus obligaciones en caso de auditoría o reclamación.