La Ley de Protección de Datos de carácter personal obliga a profesionales, autónomos, empresarios individuales, empresas privadas e instituciones y administraciones públicas al establecimiento y cumplimiento de medidas de seguridad en relación con los tratamientos de datos personales, tanto automatizados como no automatizados o manuales.

La mayoría de empresas y autónomos considera que esto es un trámite más para el cumplimiento de la LOPD y no aporta nada a su negocio, supone un gasto innecesario. Por ello dedican el mínimo esfuerzo en personas, tiempo y coste lo que da lugar a que el informe de auditoría no contempla ni un ámbito ni un alcance adecuados para los trabajos de auditoría a abordar.

Sin embargo, realizar esta auditoría tiene una gran importancia para la supervisión y mejora continua en materia de protección de datos.

¿Qué dice la normativa de protección de datos sobre las auditorías?

  • La auditoría debe realizarse sobre ficheros y tratamientos automatizados y no automatizados a partir del nivel medio.
  • Se realizará cada dos años, salvo que existan modificaciones sustanciales en el sistema de información que afecten a las medidas de seguridad implantadas.
  • Puede ser interna o externa.
  • El objetivo es la verificación del cumplimiento de la medidas de seguridad en el tratamiento de datos de carácter personal.
  • El informe debe indicar la adecuación de las medidas y controles a la LOPD, identificar las deficiencias y proponer las medidas correctoras necesarias.
  • El responsable de seguridad debe analizar el informe de auditoría y enviar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras oportunas.
sancion proteccion de datos

Cuando existe obligación de realizarlas, si se incumple esta medida de seguridad, la empresa se expone a sanciones tipificadas como “graves” (entre 40.001 a 300.000 euros), si consideramos que la empresa estaría manteniendo los ficheros, locales, programas o equipos con datos de carácter personal sin las condiciones de seguridad establecidas.

Objetivos de la auditoría

  • Satisfacer la obligación de auditar las medidas de seguridad cada 2 años.
  • Determinar posibles fallos en el sistema de información de la empresa, y disponer acciones correctoras.
  • Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  • Examinar en detalle movimientos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para adaptarlos a la normativa.
  • Concienciar y preparar sobre la importancia de la información personal, garantizando así la protección y los derechos de los afectados.

¿Cómo debe hacerse la auditoría LOPD?

  • De forma objetiva: las medidas correctoras o complementarias propuestas deben ser objetivas, basadas en la previa recopilación de evidencias reales, relevantes y útiles sobre el entorno auditado.
  • De forma independiente: aunque las auditorías pueden ser internas o externas, deben hacerse por personas ajenas al día a día de la actividad. Por ello, lo más conveniente es que se realicen por personas externas a la empresa.

Fases de la auditoría

pasos-auditorias

Organización e inicio

Aquí debemos establecer los objetivos de la auditoría que son determinar la adecuación de las medidas y controles a la ley, establecer las deficiencias y proponer las medidas correctoras o complementarias necesarias. Para ello determinaremos el ámbito de la auditoría: ficheros y tratamientos que se revisarán, medidas de seguridad aplicadas, locales, equipos, sistemas, programas, procedimientos y personas que accedan a los datos. Debemos también establecer el alcance de la auditoría, es decir, los trabajos a realizar, y responsables para realizarlos.

Planificación y toma de datos

Elaborar calendario de entrevistas, documentación para la recogida de datos, recopilar información y documentación base del proyecto, estudiar toda la información recopilada y realizar informe de la toma de datos.

Verificar cumplimiento

Realizar las verificaciones, mediciones y controles necesarios y contrastarlo con la información y documentación obtenida.

Informe final

Identificar los incumplimientos, deficiencias y aspectos a mejorar, valorar el grado de adecuación de las medidas y controles existentes a la ley, realizar las conclusiones y las propuestas de medidas correctoras o complementarias necesarias, elaborar y presentar el informe de auditoría y el informe ejecutivo para la Dirección con los resultados más relevantes obtenidos.

Informe de auditoría

El informe de la auditoría deberá cumplir una serie de requisitos:

  • Adaptar las medidas de seguridad y controles establecidos a lo dispuesto en el Título VIII del Reglamento.
  • Identificación de las deficiencias y propuesta de medidas correctoras o complementarias. Se adjuntarán los datos, hechos y observaciones en los que se fundamenten los dictámenes realizados y recomendaciones propuestas.
  • Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
  • Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Contratar el servicio de auditoría

No obstante, para evitar incumplimientos y sanciones, es posible contratar con una empresa especializada la realización de auditorías. Esto supondrá también importantes beneficios de cara a la imagen de su negocio y a las relaciones profesionales.

Por último, destacar que la auditoría no serviría de nada si no existe el firme compromiso de la organización de adoptar las medidas correctoras o complementarias para corregir las deficiencias detectadas.

¿Necesitas elaborar una auditoría LOPD?

¿Cómo hacer una auditoría de LOPD en mi empresa?
4.6 (92%) 10 votos
  1. Buenos dias, quisiera saber como hago para hacerme auditor, me gustaria prestar este servicio a otras empresa y no dispongo de informacion alguna, si me pudierais orientar lo agradeceria. Gracias, un saludo.


Comments are closed.