Plazo de conservación de las auditorías en protección de datos

1519

Uno de los documentos que la Inspección de Datos de la Agencia Española de Protección de Datos (AEPD) puede solicitar en el caso de encontrarse con ficheros que incluyan datos personales de nivel medio o alto, es el informe de auditoría.

Es sabido que este informe ha de realizarse cada dos años, pero ¿durante cuánto tiempo ha de conservarse a disposición de las autoridades?

El artículo 96 del Reglamento de desarrollo de la LOPD, titulado Auditoría, indica en su primer párrafo:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Y por otro lado en su párrafo final:

3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Sin embargo no se marca en ningún momento de una forma literal cuál sería el plazo de conservación de esa auditoría. A esta duda viene a responder el Informe 0191/2010 del Gabinete Jurídico de la AEPD.

El responsable del fichero y el encargado se encuentran obligados a la realización, siempre que sean de aplicación las medidas de seguridad de nivel medio, como mínimo, de una auditoría cada dos años, siendo precisamente de dos años el plazo de prescripción de la sanción consistente en no haber cumplido con dicha obligación.

De este modo, en caso de que la AEPD requiriese el último informe de auditoría, la entidad requerida debería siempre tener a su disposición un informe emitido durante los dos años anteriores al momento en el que se solicita el requerimiento.

A la vista de lo anterior, teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado.

Plazo de conservación de las auditorías en protección de datos
Vota este artículo
Compartir

Dejar respuesta