Análisis de riesgos sobre Protección de Datos

¿Sigue siendo un dolor de cabeza para ti la necesidad de realizar un Análisis de riesgos en tu empresa? Si tienes un negocio, estoy segura de que uno de tus principales objetivos es tener una buena seguridad de la información que manejas. Debido a la próxima entrada en vigor del nuevo Reglamento Europeo de Protección de Datos Personales, los Análisis de riesgos  están comenzando a estandarizarse. Se trata de una herramienta fundamental para evitar problemas legales, entre otros inconvenientes técnicos u operativos.

¿Cómo hacer un análisis de riesgo?

De forma resumida, un Análisis de riesgos es una herramienta que va a permitir antes poner en marcha un servicio o producto, cumplir con la normativa de protección de datos y privacidad, así como identificar los problemas, reducir el coste de la implementación del cumplimiento de la normativa de protección de datos, y prevenir problemas futuros que puedan dañar la reputación de la empresa o Administración pública. Algunos ejemplos en los que es conveniente realizar un Análisis de riesgos serían:
  • Referentes a poner en funcionamiento una aplicación tecnológica que vaya a almacenar y tratar datos de carácter personal
  • Comunicación de datos personales entre dos o más organizaciones
  • Tratamiento de datos personales que suponga la identificación de un grupo en relación al resto de la sociedad
  • Sistemas de vigilancia (incluyendo la videovigilancia y monitorización de individuos)
Además, no debemos perder de vista que el Análisis de riesgos se ponga en práctica no sólo antes de poner en marcha alguno de los servicios o productos citados, sino también cuando se realice un revisión o mejora de los mismos.

¿Quién debe realizarlo?

Otro punto importante, es determinar quién va a ser la persona dentro de la organización encargado de coordinar el Análisis de riesgos. En aquellas organizaciones donde esté implantada la figura del Data Protection Officer, éste debe ser el encargado de llevar a cabo este rol. Donde no exista, lo deseable es que sea un persona con conocimientos en la materia. No sólo vamos a tener una participación del DPO –donde exista- en la coordinación, sino que también intervendrán, a lo largo de la realización del Análisis de riesgos el personal de la organización que esté involucrado en el producto y servicio, e incluso los potenciales usuarios.

Puntos importantes a identificar en un Análisis de riesgos

  Cuando vayamos a realizar un Análisis de riesgos debemos partir de identificar para su estudio siete fases o elementos determinantes, pero siempre tratando de utilizar un modelo flexible que se pueda adecuar al modelo y estructura de la organización. Estas siete fases o elementos son los siguientes:

¿Es necesario?

Saber las razones por la que debemos realizar un Análisis de riesgos sobre el proyecto, servicio o tratamiento de datos personales. Para ello, podemos utilizar las siguientes preguntas que nos ayudarán a saber si realmente es necesario, sobre todo en aquellos casos en los que no se cuente con un DPO:
  • ¿Se van a recabar datos de carácter personal?
  • ¿Se comunicarán datos personales a terceros o a quien no ha tenido acceso a la información?
  • ¿Va a utilizarse tecnología que puede ser considerada como invasiva para la privacidad?
  • ¿Estamos ante algún supuesto de “especial consideración” de privacidad como podrían ser los datos de salud?
  • ¿Se va a contactar con los titulares de los datos de alguna forma que podría ser invasiva?

Describir los flujos de información

Se trata de conocer cómo se van a recabar los datos de carácter personal, para qué se van a utilizar, con qué finalidad, y quién tiene acceso a la misma. En otras palabras, contestar al “¿Por qué?, ¿Para qué? y ¿Quién?”. No es más que el proceso que debe realizarse en toda auditoría de ficheros de medidas de seguridad media y alta, ya que si bien el Reglamento de desarrollo de la LOPD se refiere únicamente a auditar las citadas medidas, estimamos que como condición previa hay que conocer y describir los flujos de datos personales que forman parte del sistema que se quiere auditar.

Identificar los riesgos que afecten a la privacidad

Pueden ser de tres tipos:
  • Sobre los afectados (como la invasión en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimización, mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron).
  • Riesgos corporativos (como pérdida de reputación o una multa por brechas de seguridad).
  • Riesgos legales (como no cumplir con la legislación de protección de datos, o servicios de la sociedad de la información).
Además, también deben tenerse en cuenta una serie de preguntas que están relacionados con el cumplimiento de los principios de protección de datos que permitirán identificar estos riesgos, como pueden ser:
Finalidad
Los datos personales serán usados únicamente para la finalidad para la cual han sido recabados, y nunca para una finalidad que sea incompatible. Así, nos podríamos preguntar si ¿cubre el proyecto o servicio todas las finalidades para la cual han sido recabados los datos personales o existen otras que no han sido contempladas en la recogida de datos?
Calidad de los datos personales
¿Son los datos adecuados para las finalidades para las cuales van a ser utilizados? ¿Se van a recabar datos que no van a ser utilizados?
No mantener los datos personales más allá del tiempo necesario
¿Durante cuánto tiempo se van a almacenar los datos? Transcurrido el tiempo de almacenamiento, ¿Permite el software que use el producto o servicio el borrado de los datos?
Garantizar los derechos ARCO
¿El producto o servicio hace viable que se puedan ejercitar los derechos ARCO por los interesados dando respuesta a los mismos? Si el producto o servicio está destinado al marketing ¿Pueden negarse los afectados usando un sistema de opt-out?
Medidas de seguridad
¿Se han instalado las medidas adecuadas para prevenir los riesgos de seguridad? ¿Se ha formado al personal para que trate los datos personales adecuadamente y sin que existan accesos indebidos?
Transferencias internacionales
¿El producto o servicio requiere transferir datos a países que no forman parte del Espacio Económico Europeo? En caso afirmativo, ¿cómo se garantiza la protección de datos de los interesados en el país receptor?

Establecer soluciones para garantizar la privacidad

Una vez que hemos identificado los riesgos para la privacidad, tal y como hemos descrito en el punto anterior, lo más lógico es desarrollar las medidas correspondientes para eliminar o mitigar dichos riesgos. La realización de un Análisis de riesgos no tiene por qué eliminar completamente los riesgos sobre la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales. En este sentido, y según el riesgo que se haya identificado podemos valorar la posibilidad de desarrollar alguna de las siguientes soluciones:
  • No recabar o almacenar determinados tipos de datos
  • Establecer el período máximo de almacenamiento así como un procedimiento de destrucción de los datos una vez que se haya cumplido el citado período
  • Implementar las medidas de seguridad y formar al personal
  • Desarrollar y poner en práctica un procedimiento de anonimización de los datos
  • Desarrollar el producto o servicio de forma que se garantice el ejercicio de los derechos ARCO
  • Establecer protocolos en caso de cesiones de datos personales
  • Adoptar las medidas necesarias para que los afectados sepan para qué se recaban los datos personales, y que en caso de duda, puedan contactar con la organización para, de esta forma, recibir las aclaraciones pertinentes
Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones, teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).

Realiza un Análisis de Riesgos

Implementación de las anteriores las soluciones

Una vez que hemos recogido cuales serían las formas o herramientas necesarias para garantizar la privacidad, hay que decidir cuáles de ellas implementamos, ya que como se ha comentado anteriormente, no necesariamente hay que poner en funcionamiento todas, ya que la empresa puede asumir determinados riesgos, cuando los mismos sean considerados como aceptables. No obstante, puede ocurrir que existan riesgos que no sólo sean inaceptables sino que, incluso, no se puedan eliminar, por lo que sería necesario estudiar la viabilidad del proyecto, servicio o tratamiento de datos, o no directamente, no llevarlo a cabo. Además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas, así como quien es el responsable de ponerlas en funcionamiento. Todo ello, se incluirá en el informe final del Análisis de riesgos, el cual se recomienda como buena práctica que se publique para dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad. Además, esta publicación puede servir como estrategia de marketing de la empresa, organización, o Administración pública.

Participación de los agentes implicados

Conocemos que es práctica habitual que cuando se pone en marcha un producto o servicio que afecte a la protección de datos personales, el cumplimiento de esta norma se deja para el final al grito de “¡Nos falta la LOPD!”. Para evitarlo, al igual que ocurre con la Privacidad por Diseño y por Defecto, se recomienda que en cualquier fase de realización del Análisis de riesgos, que anteriormente hemos descrito, fluya la información tanto a nivel interno como externo de la organización. Respecto al interno, tenemos la tradicional relación entre los diseñadores del producto, servicio o tratamiento, y el departamento legal de la empresa, que puede ser completado en el caso de que exista un DPO, un departamento de Tecnologías de la Información que ofrecería su ayuda en materia de seguridad, o si se decide contratar a empresas que actúen como encargados del tratamiento, que éstos también participen. Respecto al externo, permitiría conocer la opinión de los afectados cuyos datos van a ser tratados, así como dar una mayor transparencia. Este tipo de consultas suele ser más frecuente en el sector público, sobre todo en supuestos en que existe una obligación legal al respecto. Otra opción es que exista una participación, por ejemplo, de organizaciones que representen a usuarios y consumidores.

Integración del Análisis de riesgos en la gestión

Otro elemento importante es que el Análisis de riesgos forme parte de la propia gestión de la empresa u organización, ya que es la forma más segura de garantizar la privacidad de productos y servicios.

Los Análisis de riesgos en el RGPD

Como ya hemos mencionado al principio de este “post”, una de las novedades que introduce el RGPD es someter determinados tratamientos, con carácter previo a su puesta en funcionamiento, a la realización del citado Privacy Impact Assessment. En concreto, y según el artículo 33:

Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales

Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas destinadas a impedir, bloquear o neutralizar los ataques. Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos. El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.

Diferencias con la Evaluación de Impacto en Protección de Datos

El análisis de riesgos tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los datos personales manejados en la organización. Es decir, cuánto gastar en prevención y protección. Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos. En la evaluación de impacto se busca principalmente:
  • Determinar el impacto que tendría un evento disruptivo en los datos personales de la organización.
  • Identificar los recursos —personas, infraestructura física, tecnológica, información, y terceros— de los que dependen.
En el análisis de riesgos, se identifican las amenazas de interrupción más probables y se analizan las vulnerabilidades relacionadas con dichas amenazas —evaluando los controles de seguridad física, lógica y ambiental, revisando su efectividad para contener las amenazas identificadas.

¿Necesitas cumplir la LOPD?

Read more


¿Es obligatoria la Auditoría de Protección de Datos?

contrato para tratar o ceder datos a un tercero

Son numerosas las consultas recibidas sobre la obligatoriedad de tener que realizar una Auditoría LOPD en las empresas. Por eso, explicamos las diferentes circunstancias en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales.

¿Qué es una auditoría de protección de datos?

Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.

ejemplos proteccion de datos

Según un informe de la AEPD: En el sector de Sanidad se ha producido un incremento de las denuncias debidas a los accesos injustificados a las historias clínicas de los denunciantes. Se han declarado infracciones al hospital afectado por incumplimiento de las medidas de seguridad; y al autor de los accesos por desvío de finalidad.

Una vez realizada la auditoría, se elabora un informe que registra los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá analizarlo el responsable de seguridad para, a continuación, hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa.

¿Es obligatoria?

El informe de auditoría es obligatorio para todas aquellas organizaciones que, por el tipo de datos que almacenan, tienen un nivel de seguridad medio o alto.

¿Cada cuánto hay que realizar una auditoría?

Mínimo cada dos años salvo que se realicen antes cambios sustanciales en el tipo o tratamiento de datos personales implicando una modificación de las medidas de seguridad necesarias.

Objetivos de la auditoría

  1. Satisfacer la obligación de verificar las medidas de seguridad cada 2 años.
  2. Constatar posibles deficiencias en el sistema de información de la empresa, y establecer acciones correctoras.
  3. Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  4. Estudiar en detalle flujos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para ajustarlos a la normativa.
  5. Concienciar y preparar al personal sobre la importancia de la información personal, asegurando de esta forma la protección y los derechos de los afectados.

¿Por qué tengo que “renovar” la Protección de Datos?

En dos años los sistemas informáticos, empleados con acceso a datos personales e incluso la dirección postal o datos de contacto de la empresa pueden variar con facilidad, por ello, es recomendable realizar una Auditoría de Protección de Datos anualmente para verificar que se cumple correctamente con la normativa y evitar así posibles incidencias o sanciones.

¿Quién puede hacer la auditoría?

La propia Ley de Protección de Datos indica que la Auditoría se puede realizar de manera interna o externa, ¿qué quiere decir esto? Se puede realizar por la propia organización auditada o por una empresa ajena, como puede ser la consultoría a la que contrató el servicio de adaptación LOPD.

El profesional designado para realizar la auditoría deberá ser especializado en este campo, debidamente capacitado en materia de protección de datos y con la característica de ser independiente, es decir, no tener ningún interés personal o familiar en la entidad auditada.

¿Me sancionarán si no realizo una auditoría de Protección de Datos?

Según la LOPD, el incumplimiento del deber de seguridad será considerado como infracción grave con una sanción de 40.001 a 300.000 €.

Las medidas a adoptar para cumplir el deber de seguridad son una obligación de resultado ya que deben implantarse para evitar cualquier pérdida, alteración o acceso no autorizado a datos de carácter personal. Por tanto, el deber de seguridad no consiste en la obligación de implantar unas medidas sino en implantar esas medidas con un resultado concreto.

Podemos concluir, por tanto, que el hecho de no realizar la auditoría no es sancionable por sí mismo. Lo que se sanciona es la pérdida, alteración, acceso o tratamiento no autorizado de datos personales. Sin embargo, sí es recomendable realizar esa auditoría para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.

¿Qué va a pasar con la entrada en vigor del Reglamento europeo de Protección de Datos?

El nuevo Reglamento Europeo de Protección de Datos, que será aplicable a partir de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa y evitar así sanciones que podrían llegar a los 20 millones de euros.

Las empresas deben adoptar medidas que aseguren con certeza que se encuentran en condiciones de cumplir los principios, derechos y garantías que exige el Reglamento.

Una de las principales novedades de esta normativa es la Responsabilidad activa de la empresa por la que se considera que si se actúa después de haberse producido la infracción, puede causar importantes perjuicios para los afectados difíciles de reparar.

Entre las obligaciones que impone el Reglamento está la de elaborar una evaluación de impacto cuando las actividades de tratamiento de datos impliquen un riesgo específico para los afectados por su naturaleza, alcance y fines.

El hecho de que la nueva normativa se haya construido desde la máxima de la prevención, y no de la reparación de daños cuando se ha cometido la infracción, hace que el auditor interno tenga un papel esencial a la hora de trabajar e implantar medidas de seguridad y mecanismos de verificación, y de probar ante una posible inspección que, efectivamente, la empresa está adaptada al Reglamento.

Pasos a seguir en una Auditoría de Protección de Datos

pasos-auditoria-lopd

A la hora de auditar el cumplimiento de la normativa de Protección de Datos en la empresa debemos seguir los siguientes pasos:

  • Revisar los documentos de la empresa: debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han realizado modificaciones en el Documento de Seguridad o se ha actualizado este.
  • Revisar el sistema informático de la empresa: habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.
  • Revisar las instalaciones de nuestra empresa: comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.
  • Entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Una vez revisados estos puntos, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si ésta se lo solicita.

El nuevo RGPD de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa.

Resumen sobre la obligatoriedad de una auditoría LOPD

  • Obligatorio para organizaciones con un nivel de seguridad medio o alto.
  • Puede auditarse de manera interna o externa.
  • Se debe realizar un Informe de Auditoría mínimo cada dos años.
  • Se verificará el cumplimiento de las medidas de seguridad.

¿Necesitas cumplir la LOPD?

Read more


Curso sobre Auditoría y Protección de Datos en la empresa

Formación online sobre Protección de Datos en la empresa

Educaweb imparte un Curso online sobre Auditoría y Protección de Datos en la empresa con una duración de 120 horas y totalmente bonificable para trabajadores en activo en el régimen general.

Las auditorías en materia de protección de datos son obligatorias cuando se recogen y tratan datos de nivel medio y/o alto.

Recordemos que, los datos de nivel medio son aquellos datos relativos a sanciones administrativas, penales, información de hacienda, etc. Mientras que, los datos de nivel alto son aquellos que hacen referencia a la salud, sexualidad, ideología, etc. del afectado.

No realizar auditorías sobre Protección de Datos nos puede ocasionar una sanción de entre 40.001 a 300.000 euros por la comisión de una infracción grave ya que, no cumplir con las medidas de seguridad (la auditoría es una medida de seguridad) se considera infracción grave.

Curso dirigido a empresas, gestorías y asesorías

El curso va dirigido a empleados de cualquier empresa, gestorías y asesorías que deseen ampliar su formación en materia de Protección de Datos, saber cuándo se deben hacer auditorías de protección de datos, quién debe hacer esas auditorías y qué sanciones nos pueden imponer si no realizamos la auditoría.

Objetivos de la formación

Con esta formación se pretende:

  • Conocer los contenidos de la Ley Orgánica de Protección de Datos de Carácter Personal, así adquirir los conocimientos prácticos necesarios para cumplir con las medidas de seguridad obligatorias que establece dicha ley.
  • Conocer los procedimientos necesarios para poner en práctica la implantación de la LOPD en las empresas.
  • Adquirir los conocimientos prácticos necesarios para poder realizar la Auditoría de la Ley Orgánica de Protección de Datos.

Contenido del taller

Ley Orgánica de Protección de Datos de Carácter Personal Introducción Principios de la Protección de Datos Derechos de las Personas Ficheros de Titularidad Pública Ficheros de Titularidad Privada Movimiento Internacional de Datos Infracciones y Sanciones Las Medidas de Seguridad Implantación de la LOPD en las empresas Introducción Identificación de ficheros Notificación de ficheros a la AEPD Las medidas de seguridad El documento de seguridad Otras medidas importantes Derechos de acceso, cancelación, oposición y rectificación Auditoria Auditoria de la LOPD La protección de datos Ficheros y Documento de Seguridad Auditoría. Concepto y caracteres Auditoría de protección de datos: realización e informe Videovigilancia Internet y la protección de datos de carácter personal Infracciones y sanciones de la Ley Orgánica de Protección de Datos

Más información e inscripciones

Puedes solicitar más información o inscribirte en el curso en el siguiente enlace: http://www.educaweb.com/curso/auditoria-proteccion-datos-empresa-distancia

Read more


Curso Auditor Especialista en Protección de Datos

Evento en Madrid sobre Privacidad y Protección de Datos

Curso en Madrid de Auditor Especialista en Protección de Datos impartido por Grupo CFI de dos días de duración (16 horas).

Una de las obligaciones establecidas por la LOPD para de las entidades que tratan datos personales de nivel medio y alto es someterse a una auditoría de cumplimiento cada dos años.

La persona que realice dicha auditoría debe poseer tres tipos de conocimientos: la normativa de protección de datos, conocimientos técnicos de los sistemas de información y metodología de auditoría.

El resultado de la auditoría se refleja en un informe, que detalla las observaciones realizadas, las deficiencias encontradas, propuesta de medidas correctoras y recomendaciones del auditor.

Esto significa que cualquiera no puede realizar dicha auditoría, sino que es preciso contar con personas específicamente formadas en este ámbito.

Curso dirigido a empresas y profesionales

El curso va dirigido a empresas y profesionales del ámbito de la protección de datos que deseen obtener una formación práctica para realizar un proceso de auditoría y elaborar un informe de auditoría.

Objetivos de la formación

  • Conocer cuáles son las distintas estrategias de auditoría que existen y cuándo emplear cada una de ellas.
  • Utilizar una metodología de auditoría de protección de datos que optimiza la calidad y el tiempo.
  • Identificar rápidamente las deficiencias que existen en el cumplimiento de la LOPD en cualquier organización.
  • Aprender cómo se realiza y documenta la recogida de evidencias.
  • Saber cómo se realiza el informe de auditoría, paso a paso.
  • Aprender a abordar el proceso de auditoría de la forma más eficiente.

Al finalizar la formación serás capaz de auditar el cumplimiento de la LOPD en cualquier entidad y, superando su examen, recibirás el Título de Auditor Especialista en Protección de Datos

Información e inscripción

Para solicitar más información o inscribirte en el curso puedes enviar un email con tu nombre, email y teléfono a info@grupocfi.es o llamar al teléfono 901 001 802

Read more


La Auditoría en Protección de Datos

Es importante saber que si manejamos datos de carácter personal estamos obligados por ley a realizar una auditoría para garantizar que cumplimos las medidas previstas para proteger esos datos.

¿Cuándo y cómo hacer una auditoría en Protección de Datos?

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

Artículo 96 Reglamento de desarrollo LOPD

  1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
 

En este caso, al igual que en el Documento de Seguridad, habrá que valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Artículo 96 Reglamento de desarrollo LOPD, párrafo 3

Los informes de auditoría (…) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

¿Quién debe hacer la auditoría y a quién se comunica?

La LOPD da la opción de que la misma sea interna o externa, o sea, que la efectúe la misma organización, o bien se la encomiende a un tercero imparcial, deseablemente que se dedique profesionalmente a ello. Se comenta que en el borrador del reglamento de la futura LOPD se va a exigir que sea un tercero el que la realice, aparte de que dicho tercero no sea alguien que asesore al auditado, a fin de que no haya vínculo alguno entre las partes que le haga perder su supuesta o presunta imparcialidad. Una consecuencia directa de ello, si se aprueba ( y a título de ejemplo) será que la empresa de protección de datos que le lleva a el mantenimiento anual en dicho ámbito, protección de datos, no podrá luego hacerle la auditoría bianual, pues no se considerará imparcial.

En realidad, la auditoría no hay que comunicarla a ningún sitio ni inscribirla en ningún registro. No obstante, sí hay obligación de conservar el documento en el que la misma se plasme, a fin de mostrarla al inspector correspondiente en el caso de ser inspeccionados por la Agencia Española de Protección de Datos.

¿Cada cuánto tiempo debo hacer la auditoría?

La LOPD indica que será una vez cada dos años, comenzándose a computar los mismos a partir de que se comenzaron a tratar dichos datos.

Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

Pasos para realizar una auditoría en Protección de Datos

Las fases de la auditoría de Protección de Datos son:

Identificación de los datos personales

En esta fase se debe obtener la mayor información posible sobre el tipo de datos personales manejados para poder elaborar la Política de Seguridad a seguir.

Son datos de nivel medio, por ejemplo, cuando manejemos de datos referidos a la comisión de infracciones administrativas o penales o cuando dispongamos de un conjunto de datos que posibiliten la identificación de una persona como los currículums, entre otros.

La auditoria también debe realizarse en todas aquellas empresas o entidades que traten datos de nivel alto como datos de salud, ideología, creencias, religión, pensamiento político… debido a que estos datos son aún más sensibles y, por tanto, necesitan más precauciones y controles.

El trabajo a realizar en esta fase será:

  • Estudio de la situación actual de la empresa.
  • Verificar que los ficheros que se han inscrito en el Registro de Protección de Datos se corresponden con la situación de la empresa en la actualidad.
  • Comprobar que la empresa reúne, trata y guarda datos de carácter personal adaptándose a la normativa de Protección de Datos.
  • Verificar si se realizan cesiones o transferencias internacionales, y que su procedimiento es conforme a las exigencias establecidas.
  • Analizar si se firman los contratos con las personas o entidades que tienen acceso a los datos.

Nivel y medidas de seguridad aplicables

Una vez que hemos analizado toda la información, procederemos a determinar el nivel de medidas de seguridad que debemos adoptar según el tipo de datos contenidos en los ficheros.

Para cumplir con el principio de seguridad de los datos, el responsable del fichero y, en su caso, el encargado del tratamiento tienen que establecer las medidas de seguridad para su organización. Estas medidas serán tanto técnicas como organizativas y se plasmarán en el Documento de Seguridad, que es un documento de carácter interno de obligado cumplimiento por todas las personas de la empresa que accedan a datos de carácter personal.

Las medidas de seguridad están divididas en tres niveles, básico, medio y alto, según el tipo de datos que contengan los ficheros y el tratamiento que se va a dar a los mismos.

Lo que debemos comprobar en esta fase es:

  • Revisión de procedimientos, reglas, preceptos y guías de seguridad elaborados y establecidos en el organismo.
  • Estudio del cumplimiento de las normas internas de la empresa.
  • En el supuesto de existir una auditoría previa, análisis del Informe de Auditoría para averiguar los defectos en el momento de su elaboración, las medidas de corrección sugeridas a la empresa, si éstas se han implantado, y las faltas se han corregido.

Elaboración y entrega del Informe de la auditoría

Una vez que hemos revisado toda la información que maneja la empresa y las medidas de seguridad debemos redactar el Informe de auditoría en el que se detallarán las medidas a adoptar.

El Informe de auditoría debe informar sobre la adecuación de las medidas y los controles de seguridad actuales a lo establecido en el Reglamento LOPD. Por tanto, deberá detallar las deficiencias que haya advertido, proponer medidas correctoras e incluir recomendaciones. También sería adecuado y conveniente que se guarden datos, actos y sugerencias en los que se basen los dictámenes alcanzados.

El contenido de este informe será:

  • Antecedentes. Identificación de la entidad auditada y auditora.
  • Objeto y contenido de la auditoría. Legislación que la apoya. Dictámenes de auditorías anteriores.
  • Relevancia de la auditoría. Ficheros, procesos y centro de trabajos auditados.
  • Limitaciones en la ejecución de la auditoría. En el caso de que las hubiera.
  • Ejecución del trabajo por parte del auditor. Reuniones mantenidas; Examen visual; Documentos analizados; Listas de comprobación y verificación.
  • Entrega y difusión del informe de auditoría. A quiénes se les proporcionará éste (Responsable de Seguridad; Dirección, etc.)
  • Valoración de las medidas y controles de seguridad. Exámenes según los niveles de seguridad. Estudio del desempeño de las medidas de seguridad: reconocimiento de fallos, medidas correctoras y recomendaciones del auditor.
  • Conclusiones.
Te facilitamos un modelo de informe de auditoría para descargarlo.

Ejecución de la auditoría

Como último paso es necesario poner en práctica las medidas correctivas necesarias para la adecuación a la normativa de Protección de Datos así como los procedimientos a subsanar.

Aquí debemos aplicar las medidas de seguridad que nos indique el informe o realizar correctamente los procedimientos en los que tengamos fallos de seguridad para evitar sanciones

El informe de auditoría deberá dictaminar sobre la adaptación de las medidas y controles a la normativa, detallar sus deficiencias y proponer las medidas correctoras o complementarias precisas. Deberá, asímismo, aportar las referencias, hechos y sugerencias en que se fundamenten los dictámenes alcanzados y las recomendaciones sugeridas. Esos informes de auditoría serán examinados por el responsable de seguridad competente, que presentará los resultados al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y se dejarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

La labor del auditor debe ejecutarse manteniendo imparcialidad de criterios  sin dejar que influyan circunstancias internas o externas,  de forma que siempre haya un criterio de independencia frente a la empresa que va a auditar.

Obligatoriedad de la auditoría

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda entidad que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

Consecuencias de no realizar auditorías LOPD

¿Qué ocurre si no hago estas auditorías? Pues muy sencillo: se trata de una obligación incluida dentro de las distintas que conforman las llamadas medidas de seguridad, y, según la LOPD, no aplicar las medidas de seguridad se considera una infracción grave castigada con una multa que va de 60.000 a 300.000 euros, y no dudéis que si el inspector aparece no va a aceptar excusas como "… bueno, en realidad, la tengo hecha, lo que ocurre es que no está aquí …". El tema es muy simple: o se tiene o no se tiene, y si la respuesta es sí, hay que presentarla sobre la marcha. Pero cuidado, de nada sirve tenerla si resulta que no se adapta a la LOPD.

¿Necesitas un informe de auditoría?

Read more


¿Cómo hacer una auditoría de LOPD en mi empresa?

Modelo de auditoría de proteccion de datos

La Ley de Protección de Datos de carácter personal obliga a profesionales, autónomos, empresarios individuales, empresas privadas e instituciones y administraciones públicas al establecimiento y cumplimiento de medidas de seguridad en relación con los tratamientos de datos personales, tanto automatizados como no automatizados o manuales.

La mayoría de empresas y autónomos considera que esto es un trámite más para el cumplimiento de la LOPD y no aporta nada a su negocio, supone un gasto innecesario. Por ello dedican el mínimo esfuerzo en personas, tiempo y coste lo que da lugar a que el informe de auditoría no contempla ni un ámbito ni un alcance adecuados para los trabajos de auditoría a abordar.

Sin embargo, realizar esta auditoría tiene una gran importancia para la supervisión y mejora continua en materia de protección de datos.

¿Qué dice la normativa de protección de datos sobre las auditorías?

  • La auditoría debe realizarse sobre ficheros y tratamientos automatizados y no automatizados a partir del nivel medio.
  • Se realizará cada dos años, salvo que existan modificaciones sustanciales en el sistema de información que afecten a las medidas de seguridad implantadas.
  • Puede ser interna o externa.
  • El objetivo es la verificación del cumplimiento de la medidas de seguridad en el tratamiento de datos de carácter personal.
  • El informe debe indicar la adecuación de las medidas y controles a la LOPD, identificar las deficiencias y proponer las medidas correctoras necesarias.
  • El responsable de seguridad debe analizar el informe de auditoría y enviar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras oportunas.
sancion proteccion de datos

Cuando existe obligación de realizarlas, si se incumple esta medida de seguridad, la empresa se expone a sanciones tipificadas como “graves” (entre 40.001 a 300.000 euros), si consideramos que la empresa estaría manteniendo los ficheros, locales, programas o equipos con datos de carácter personal sin las condiciones de seguridad establecidas.

Objetivos de la auditoría

  • Satisfacer la obligación de auditar las medidas de seguridad cada 2 años.
  • Determinar posibles fallos en el sistema de información de la empresa, y disponer acciones correctoras.
  • Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  • Examinar en detalle movimientos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para adaptarlos a la normativa.
  • Concienciar y preparar sobre la importancia de la información personal, garantizando así la protección y los derechos de los afectados.
¿Cómo debe hacerse la auditoría LOPD?
  • De forma objetiva: las medidas correctoras o complementarias propuestas deben ser objetivas, basadas en la previa recopilación de evidencias reales, relevantes y útiles sobre el entorno auditado.
  • De forma independiente: aunque las auditorías pueden ser internas o externas, deben hacerse por personas ajenas al día a día de la actividad. Por ello, lo más conveniente es que se realicen por personas externas a la empresa.

Fases de la auditoría

pasos-auditorias

Organización e inicio

Aquí debemos establecer los objetivos de la auditoría que son determinar la adecuación de las medidas y controles a la ley, establecer las deficiencias y proponer las medidas correctoras o complementarias necesarias. Para ello determinaremos el ámbito de la auditoría: ficheros y tratamientos que se revisarán, medidas de seguridad aplicadas, locales, equipos, sistemas, programas, procedimientos y personas que accedan a los datos. Debemos también establecer el alcance de la auditoría, es decir, los trabajos a realizar, y responsables para realizarlos.

Planificación y toma de datos

Elaborar calendario de entrevistas, documentación para la recogida de datos, recopilar información y documentación base del proyecto, estudiar toda la información recopilada y realizar informe de la toma de datos.

Verificar cumplimiento

Realizar las verificaciones, mediciones y controles necesarios y contrastarlo con la información y documentación obtenida.

Informe final

Identificar los incumplimientos, deficiencias y aspectos a mejorar, valorar el grado de adecuación de las medidas y controles existentes a la ley, realizar las conclusiones y las propuestas de medidas correctoras o complementarias necesarias, elaborar y presentar el informe de auditoría y el informe ejecutivo para la Dirección con los resultados más relevantes obtenidos.

Informe de auditoría

El informe de la auditoría deberá cumplir una serie de requisitos:

  • Adaptar las medidas de seguridad y controles establecidos a lo dispuesto en el Título VIII del Reglamento.
  • Identificación de las deficiencias y propuesta de medidas correctoras o complementarias. Se adjuntarán los datos, hechos y observaciones en los que se fundamenten los dictámenes realizados y recomendaciones propuestas.
  • Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
  • Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Contratar el servicio de auditoría

No obstante, para evitar incumplimientos y sanciones, es posible contratar con una empresa especializada la realización de auditorías. Esto supondrá también importantes beneficios de cara a la imagen de su negocio y a las relaciones profesionales.

Por último, destacar que la auditoría no serviría de nada si no existe el firme compromiso de la organización de adoptar las medidas correctoras o complementarias para corregir las deficiencias detectadas.

¿Necesitas elaborar una auditoría LOPD?

Read more


Nivel de seguridad en Asesorías fiscales y laborales

La Agencia Española de Protección de Datos (AEPD) ha publicado varios informes de su Gabinete Jurídico analizando la cuestión sobre cuál es el nivel de seguridad exigible a algunos de los datos personales que por lo específico de su actividad mantienen las asesorías fiscales y laborales. El más reciente sobre la materia es el Informe 0511/2009, que aclara algunos de los ficheros sobre los que basta implantar medidas de seguridad de nivel de bajo a pesar de conservar en ciertos casos datos especialmente protegidos.

Tipo de datos que manejan las Asesorías

En cualquier caso, y tratándose de este sector, se ha de recordar el artículo 81 del Real Decreto 1720/2007 (reglamento LOPD), que dice:

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales.

Datos de trabajadores

En relación con los ficheros de gestión de nóminas o recursos humanos, el citado informe aclara que será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a:

  • La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
  • La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
  • Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Para cualquier otro tipo de datos relacionados con la salud de los trabajadores deberán implantarse las medidas de seguridad de nivel alto.

En referencia al tratamiento del dato de afiliación sindical de los trabajadores, se incluye dentro del supuesto contemplado en el artículo 81.5 a) del Reglamento LOPD, que excluye de la implantación de las medidas de seguridad de nivel alto los tratamientos que tengan por objeto la realización de una transferencia dineraria a la organización de la que sea miembro el trabajador.

Datos fiscales

Respecto a las asesorías fiscales, se analizan varios tipos de datos:

  • Casilla correspondiente a la aportación a la Iglesia Católica en el impuesto de la renta. El dato no implica la revelación de las creencias religiosas de los afectados, no procediendo en consecuencia por el mero tratamiento de este dato la implantación de las medidas de nivel alto.
  • Dato de discapacidad. Se aplica la excepción del artículo 81.6 del Reglamento LOPD al tratarse de datos recogidos con motivo del cumplimiento de deberes públicos.
  • Contribución del cliente a partidos políticos u organizaciones sindicales. Se trata de un tema diferente al indicado para el dato de afiliación sindical de los trabajadores, ya que en este caso el tratamiento no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones. Aquí se aplica la excepción del artículo 81.5.b) del Reglamento, acerca de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan datos sin guardar relación con su finalidad. Como además recientemente se publicó una modificación parcial de este artículo, ya se pueden incluir también en esta excepción los ficheros automatizados.

¿Cómo deben cumplir la LOPD las Asesorías?

Al igual que cualquier otra entidad o profesional que maneje datos personales, las Asesorías están obligadas a cumplir las exigencias de la LOPD. Para ello deben seguir una serie de pasos como son:

Análisis del tipo de datos personales que tratamos

En primer lugar hay que realizar un análisis exhaustivo de los ficheros que posee la Asesoría y de la obligatoriedad o no de inscribirlos en la Agencia Española de Protección de Datos. Si incorporan datos personales es obligatoria su inscripción.

Los datos que generalmente manejan las Asesorías son datos de nivel básico y medio.

Inscribir los ficheros

Cumplimentar el formulario NOTA reglamentario establecido por la Agencia de Protección de Datos y remitirlo a su Registro General.

Debemos esperar a que la Agencia de Protección de Datos registre dicho fichero y se asigne un número de inscripción. Ese número significa que los dicheros están inscritos en la Agencia de Protección de Datos y que la Agencia conoce la existencia de esos ficheros asociados a la organización.

Elaborar un Documento de Seguridad

Es obligatorio elaborar el Documento de Seguridad donde se describen los procesos que la organización debe llevar a cabo para salvaguardar la privacidad de los datos personales inscritos en los ficheros.

Los apartados mínimos que debe incluir el Documento de Seguridad son los siguientes: ámbito de aplicación: especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Contratos y cláusulas legales

Elaboración del clausulado de cesión, transferencia internacional, y gestión de datos por parte de terceros si procede. Entre estos están:

  • Contrato para el tratamiento de datos por cuenta de tercero.
  • Compromiso de confidencialidad de los empleados/as en cuanto al uso y divulgación de información.
  • Cláusula para los contratos laborales.
  • Cláusula para formularios utilizados para la recogida de datos de carácter personal (datos clasificados con nivel de seguridad básico y medio)
  • Cláusulas a incluir en los formularios utilizados por la empresa en la recogida de datos de carácter personal (niveles medio y alto)
  • Cláusula clientes-proveedores al iniciar la relación comercial. Derecho de información en la recogida de datos.

Ejercicio de los derechos ARCO

La Ley otorga una gran importancia a los derechos de los ciudadanos a Acceder, Rectificar, Cancelar y Oponerse (A.R.C.O.) en cuanto al uso de sus datos personales. Para ello existen unas plantillas, que deben estar a disposición de todo aquél que lo exija y haga uso de ellas.

Auditoría

Finalmente hay que realizar una auditoria interna cada dos años con la finalidad de delimitar la conformidad del sistema y ofrecer la posibilidad de mejorarlo si es necesario.

La auditoria es una herramienta de control y supervisión  que permite conocer fallos en el manejo de datos personales, mediante  la investigación, revisión, consulta, comprobación, y obtención de toda evidencia sobre un hecho o sistemas  establecido, para el cumplimiento y la garantía del buen uso de los datos personales, llevada a cabo por personal cualificado.

Consiste en una revisión de las medidas informáticas, físicas o de archivos, así como organizativas y documentales que se implantaron en su día y que existen en la asesoría, que tienen que ver con el tratamiento de datos que efectúa ésta, respecto a los datos personales; ver también si es correcto el funcionamiento actual de nuestra empresa de acuerdo con la ley o si se ha producido un cambio que requiera una mejora.

Read more