La Auditoría en Protección de Datos

2061

Es importante saber que si manejamos datos de carácter personal estamos obligados por ley a realizar una auditoría para garantizar que cumplimos las medidas previstas para proteger esos datos.

¿Cuándo y cómo hacer una auditoría en Protección de Datos?

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que en el Documento de Seguridad, habrá que valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (…) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

¿Quién debe hacer la auditoría y a quién se comunica?

La LOPD da la opción de que la misma sea interna o externa, o sea, que la efectúe la misma organización, o bien se la encomiende a un tercero imparcial, deseablemente que se dedique profesionalmente a ello. Se comenta que en el borrador del reglamento de la futura LOPD se va a exigir que sea un tercero el que la realice, aparte de que dicho tercero no sea alguien que asesore al auditado, a fin de que no haya vínculo alguno entre las partes que le haga perder su supuesta o presunta imparcialidad. Una consecuencia directa de ello, si se aprueba ( y a título de ejemplo) será que la empresa de protección de datos que le lleva a el mantenimiento anual en dicho ámbito, protección de datos, no podrá luego hacerle la auditoría bianual, pues no se considerará imparcial.

En realidad, la auditoría no hay que comunicarla a ningún sitio ni inscribirla en ningún registro. No obstante, sí hay obligación de conservar el documento en el que la misma se plasme, a fin de mostrarla al inspector correspondiente en el caso de ser inspeccionados por la Agencia Española de Protección de Datos.

¿Cada cuánto tiempo debo hacer la auditoría?

La LOPD indica que será una vez cada dos años, comenzándose a computar los mismos a partir de que se comenzaron a tratar dichos datos.

Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

Pasos para realizar una auditoría en Protección de Datos

Las fases de la auditoría de Protección de Datos son:

Identificación de los datos personales

En esta fase se debe obtener la mayor información posible sobre el tipo de datos personales manejados para poder elaborar la Política de Seguridad a seguir.

Son datos de nivel medio, por ejemplo, cuando manejemos de datos referidos a la comisión de infracciones administrativas o penales o cuando dispongamos de un conjunto de datos que posibiliten la identificación de una persona como los currículums, entre otros.

La auditoria también debe realizarse en todas aquellas empresas o entidades que traten datos de nivel alto como datos de salud, ideología, creencias, religión, pensamiento político… debido a que estos datos son aún más sensibles y, por tanto, necesitan más precauciones y controles.

El trabajo a realizar en esta fase será:

  • Estudio de la situación actual de la empresa.
  • Verificar que los ficheros que se han inscrito en el Registro de Protección de Datos se corresponden con la situación de la empresa en la actualidad.
  • Comprobar que la empresa reúne, trata y guarda datos de carácter personal adaptándose a la normativa de Protección de Datos.
  • Verificar si se realizan cesiones o transferencias internacionales, y que su procedimiento es conforme a las exigencias establecidas.
  • Analizar si se firman los contratos con las personas o entidades que tienen acceso a los datos.

Nivel y medidas de seguridad aplicables

Una vez que hemos analizado toda la información, procederemos a determinar el nivel de medidas de seguridad que debemos adoptar según el tipo de datos contenidos en los ficheros.

Para cumplir con el principio de seguridad de los datos, el responsable del fichero y, en su caso, el encargado del tratamiento tienen que establecer las medidas de seguridad para su organización. Estas medidas serán tanto técnicas como organizativas y se plasmarán en el Documento de Seguridad, que es un documento de carácter interno de obligado cumplimiento por todas las personas de la empresa que accedan a datos de carácter personal.

Las medidas de seguridad están divididas en tres niveles, básico, medio y alto, según el tipo de datos que contengan los ficheros y el tratamiento que se va a dar a los mismos.

Lo que debemos comprobar en esta fase es:

  • Revisión de procedimientos, reglas, preceptos y guías de seguridad elaborados y establecidos en el organismo.
  • Estudio del cumplimiento de las normas internas de la empresa.
  • En el supuesto de existir una auditoría previa, análisis del Informe de Auditoría para averiguar los defectos en el momento de su elaboración, las medidas de corrección sugeridas a la empresa, si éstas se han implantado, y las faltas se han corregido.

Elaboración y entrega del Informe de la auditoría

Una vez que hemos revisado toda la información que maneja la empresa y las medidas de seguridad debemos redactar el Informe de auditoría en el que se detallarán las medidas a adoptar.

El Informe de auditoría debe informar sobre la adecuación de las medidas y los controles de seguridad actuales a lo establecido en el Reglamento LOPD. Por tanto, deberá detallar las deficiencias que haya advertido, proponer medidas correctoras e incluir recomendaciones. También sería adecuado y conveniente que se guarden datos, actos y sugerencias en los que se basen los dictámenes alcanzados.

El contenido de este informe será:

  • Antecedentes. Identificación de la entidad auditada y auditora.
  • Objeto y contenido de la auditoría. Legislación que la apoya. Dictámenes de auditorías anteriores.
  • Relevancia de la auditoría. Ficheros, procesos y centro de trabajos auditados.
  • Limitaciones en la ejecución de la auditoría. En el caso de que las hubiera.
  • Ejecución del trabajo por parte del auditor. Reuniones mantenidas; Examen visual; Documentos analizados; Listas de comprobación y verificación.
  • Entrega y difusión del informe de auditoría. A quiénes se les proporcionará éste (Responsable de Seguridad; Dirección, etc.)
  • Valoración de las medidas y controles de seguridad. Exámenes según los niveles de seguridad. Estudio del desempeño de las medidas de seguridad: reconocimiento de fallos, medidas correctoras y recomendaciones del auditor.
  • Conclusiones.

Te facilitamos un modelo de informe de auditoría para descargarlo.

Ejecución de la auditoría

Como último paso es necesario poner en práctica las medidas correctivas necesarias para la adecuación a la normativa de Protección de Datos así como los procedimientos a subsanar.

Aquí debemos aplicar las medidas de seguridad que nos indique el informe o realizar correctamente los procedimientos en los que tengamos fallos de seguridad para evitar sanciones

El informe de auditoría deberá dictaminar sobre la adaptación de las medidas y controles a la normativa, detallar sus deficiencias y proponer las medidas correctoras o complementarias precisas. Deberá, asímismo, aportar las referencias, hechos y sugerencias en que se fundamenten los dictámenes alcanzados y las recomendaciones sugeridas.
Esos informes de auditoría serán examinados por el responsable de seguridad competente, que presentará los resultados al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y se dejarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

La labor del auditor debe ejecutarse manteniendo imparcialidad de criterios  sin dejar que influyan circunstancias internas o externas,  de forma que siempre haya un criterio de independencia frente a la empresa que va a auditar.

Obligatoriedad de la auditoría

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda entidad que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

Consecuencias de no realizar auditorías LOPD

¿Qué ocurre si no hago estas auditorías? Pues muy sencillo: se trata de una obligación incluida dentro de las distintas que conforman las llamadas medidas de seguridad, y, según la LOPD, no aplicar las medidas de seguridad se considera una infracción grave castigada con una multa que va de 60.000 a 300.000 euros, y no dudéis que si el inspector aparece no va a aceptar excusas como “… bueno, en realidad, la tengo hecha, lo que ocurre es que no está aquí …”. El tema es muy simple: o se tiene o no se tiene, y si la respuesta es sí, hay que presentarla sobre la marcha. Pero cuidado, de nada sirve tenerla si resulta que no se adapta a la LOPD.

La Auditoría en Protección de Datos
4.4 (88%) 5 votos

3 Comentarios

Dejar respuesta