¿Es obligatoria la Auditoría de Protección de Datos?

contrato para tratar o ceder datos a un tercero

Son numerosas las consultas recibidas sobre la obligatoriedad de tener que realizar una Auditoría LOPD en las empresas. Por eso, explicamos las diferentes circunstancias en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales.

¿Qué es una auditoría de protección de datos?

Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.

ejemplos proteccion de datos

Según un informe de la AEPD: En el sector de Sanidad se ha producido un incremento de las denuncias debidas a los accesos injustificados a las historias clínicas de los denunciantes. Se han declarado infracciones al hospital afectado por incumplimiento de las medidas de seguridad; y al autor de los accesos por desvío de finalidad.

Una vez realizada la auditoría, se elabora un informe que registra los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá analizarlo el responsable de seguridad para, a continuación, hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa.

Pasos a seguir en una Auditoría de Protección de Datos

pasos-auditoria-lopd

A la hora de auditar el cumplimiento de la normativa de Protección de Datos en la empresa debemos seguir los siguientes pasos:

  • Revisar los documentos de la empresa: debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han realizado modificaciones en el Documento de Seguridad o se ha actualizado este.
  • Revisar el sistema informático de la empresa: habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.
  • Revisar las instalaciones de nuestra empresa: comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.
  • Entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Una vez revisados estos puntos, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si ésta se lo solicita.

El nuevo RGPD de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa.

Resumen sobre la obligatoriedad de una auditoría LOPD
  • Obligatorio para organizaciones con un nivel de seguridad medio o alto.
  • Puede auditarse de manera interna o externa.
  • Se debe realizar un Informe de Auditoría mínimo cada dos años.
  • Se verificará el cumplimiento de las medidas de seguridad.

¿Necesitas cumplir la LOPD?

Read more


Curso sobre Auditoría y Protección de Datos en la empresa

Formación online sobre Protección de Datos en la empresa

Educaweb imparte un Curso online sobre Auditoría y Protección de Datos en la empresa con una duración de 120 horas y totalmente bonificable para trabajadores en activo en el régimen general.

Las auditorías en materia de protección de datos son obligatorias cuando se recogen y tratan datos de nivel medio y/o alto.

Recordemos que, los datos de nivel medio son aquellos datos relativos a sanciones administrativas, penales, información de hacienda, etc. Mientras que, los datos de nivel alto son aquellos que hacen referencia a la salud, sexualidad, ideología, etc. del afectado.

No realizar auditorías sobre Protección de Datos nos puede ocasionar una sanción de entre 40.001 a 300.000 euros por la comisión de una infracción grave ya que, no cumplir con las medidas de seguridad (la auditoría es una medida de seguridad) se considera infracción grave.

Curso dirigido a empresas, gestorías y asesorías

El curso va dirigido a empleados de cualquier empresa, gestorías y asesorías que deseen ampliar su formación en materia de Protección de Datos, saber cuándo se deben hacer auditorías de protección de datos, quién debe hacer esas auditorías y qué sanciones nos pueden imponer si no realizamos la auditoría.

Objetivos de la formación

Con esta formación se pretende:

  • Conocer los contenidos de la Ley Orgánica de Protección de Datos de Carácter Personal, así adquirir los conocimientos prácticos necesarios para cumplir con las medidas de seguridad obligatorias que establece dicha ley.
  • Conocer los procedimientos necesarios para poner en práctica la implantación de la LOPD en las empresas.
  • Adquirir los conocimientos prácticos necesarios para poder realizar la Auditoría de la Ley Orgánica de Protección de Datos.

Contenido del taller

Ley Orgánica de Protección de Datos de Carácter Personal Introducción Principios de la Protección de Datos Derechos de las Personas Ficheros de Titularidad Pública Ficheros de Titularidad Privada Movimiento Internacional de Datos Infracciones y Sanciones Las Medidas de Seguridad Implantación de la LOPD en las empresas Introducción Identificación de ficheros Notificación de ficheros a la AEPD Las medidas de seguridad El documento de seguridad Otras medidas importantes Derechos de acceso, cancelación, oposición y rectificación Auditoria Auditoria de la LOPD La protección de datos Ficheros y Documento de Seguridad Auditoría. Concepto y caracteres Auditoría de protección de datos: realización e informe Videovigilancia Internet y la protección de datos de carácter personal Infracciones y sanciones de la Ley Orgánica de Protección de Datos

Más información e inscripciones

Puedes solicitar más información o inscribirte en el curso en el siguiente enlace: http://www.educaweb.com/curso/auditoria-proteccion-datos-empresa-distancia

Read more


Curso Auditor Especialista en Protección de Datos

Evento en Madrid sobre Privacidad y Protección de Datos

Curso en Madrid de Auditor Especialista en Protección de Datos impartido por Grupo CFI de dos días de duración (16 horas).

Una de las obligaciones establecidas por la LOPD para de las entidades que tratan datos personales de nivel medio y alto es someterse a una auditoría de cumplimiento cada dos años.

La persona que realice dicha auditoría debe poseer tres tipos de conocimientos: la normativa de protección de datos, conocimientos técnicos de los sistemas de información y metodología de auditoría.

El resultado de la auditoría se refleja en un informe, que detalla las observaciones realizadas, las deficiencias encontradas, propuesta de medidas correctoras y recomendaciones del auditor.

Esto significa que cualquiera no puede realizar dicha auditoría, sino que es preciso contar con personas específicamente formadas en este ámbito.

Curso dirigido a empresas y profesionales

El curso va dirigido a empresas y profesionales del ámbito de la protección de datos que deseen obtener una formación práctica para realizar un proceso de auditoría y elaborar un informe de auditoría.

Objetivos de la formación

  • Conocer cuáles son las distintas estrategias de auditoría que existen y cuándo emplear cada una de ellas.
  • Utilizar una metodología de auditoría de protección de datos que optimiza la calidad y el tiempo.
  • Identificar rápidamente las deficiencias que existen en el cumplimiento de la LOPD en cualquier organización.
  • Aprender cómo se realiza y documenta la recogida de evidencias.
  • Saber cómo se realiza el informe de auditoría, paso a paso.
  • Aprender a abordar el proceso de auditoría de la forma más eficiente.

Al finalizar la formación serás capaz de auditar el cumplimiento de la LOPD en cualquier entidad y, superando su examen, recibirás el Título de Auditor Especialista en Protección de Datos

Información e inscripción

Para solicitar más información o inscribirte en el curso puedes enviar un email con tu nombre, email y teléfono a info@grupocfi.es o llamar al teléfono 901 001 802

Read more


La Auditoría en Protección de Datos

Es importante saber que si manejamos datos de carácter personal estamos obligados por ley a realizar una auditoría para garantizar que cumplimos las medidas previstas para proteger esos datos.

¿Cuándo y cómo hacer una auditoría en Protección de Datos?

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que en el Documento de Seguridad, habrá que valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

¿Quién debe hacer la auditoría y a quién se comunica?

La LOPD da la opción de que la misma sea interna o externa, o sea, que la efectúe la misma organización, o bien se la encomiende a un tercero imparcial, deseablemente que se dedique profesionalmente a ello. Se comenta que en el borrador del reglamento de la futura LOPD se va a exigir que sea un tercero el que la realice, aparte de que dicho tercero no sea alguien que asesore al auditado, a fin de que no haya vínculo alguno entre las partes que le haga perder su supuesta o presunta imparcialidad. Una consecuencia directa de ello, si se aprueba ( y a título de ejemplo) será que la empresa de protección de datos que le lleva a el mantenimiento anual en dicho ámbito, protección de datos, no podrá luego hacerle la auditoría bianual, pues no se considerará imparcial.

En realidad, la auditoría no hay que comunicarla a ningún sitio ni inscribirla en ningún registro. No obstante, sí hay obligación de conservar el documento en el que la misma se plasme, a fin de mostrarla al inspector correspondiente en el caso de ser inspeccionados por la Agencia Española de Protección de Datos.

¿Cada cuánto tiempo debo hacer la auditoría?

La LOPD indica que será una vez cada dos años, comenzándose a computar los mismos a partir de que se comenzaron a tratar dichos datos.

Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

Pasos para realizar una auditoría en Protección de Datos

Las fases de la auditoría de Protección de Datos son:

Identificación de los datos personales

En esta fase se debe obtener la mayor información posible sobre el tipo de datos personales manejados para poder elaborar la Política de Seguridad a seguir.

Son datos de nivel medio, por ejemplo, cuando manejemos de datos referidos a la comisión de infracciones administrativas o penales o cuando dispongamos de un conjunto de datos que posibiliten la identificación de una persona como los currículums, entre otros.

La auditoria también debe realizarse en todas aquellas empresas o entidades que traten datos de nivel alto como datos de salud, ideología, creencias, religión, pensamiento político… debido a que estos datos son aún más sensibles y, por tanto, necesitan más precauciones y controles.

El trabajo a realizar en esta fase será:

  • Estudio de la situación actual de la empresa.
  • Verificar que los ficheros que se han inscrito en el Registro de Protección de Datos se corresponden con la situación de la empresa en la actualidad.
  • Comprobar que la empresa reúne, trata y guarda datos de carácter personal adaptándose a la normativa de Protección de Datos.
  • Verificar si se realizan cesiones o transferencias internacionales, y que su procedimiento es conforme a las exigencias establecidas.
  • Analizar si se firman los contratos con las personas o entidades que tienen acceso a los datos.

Nivel y medidas de seguridad aplicables

Una vez que hemos analizado toda la información, procederemos a determinar el nivel de medidas de seguridad que debemos adoptar según el tipo de datos contenidos en los ficheros.

Para cumplir con el principio de seguridad de los datos, el responsable del fichero y, en su caso, el encargado del tratamiento tienen que establecer las medidas de seguridad para su organización. Estas medidas serán tanto técnicas como organizativas y se plasmarán en el Documento de Seguridad, que es un documento de carácter interno de obligado cumplimiento por todas las personas de la empresa que accedan a datos de carácter personal.

Las medidas de seguridad están divididas en tres niveles, básico, medio y alto, según el tipo de datos que contengan los ficheros y el tratamiento que se va a dar a los mismos.

Lo que debemos comprobar en esta fase es:

  • Revisión de procedimientos, reglas, preceptos y guías de seguridad elaborados y establecidos en el organismo.
  • Estudio del cumplimiento de las normas internas de la empresa.
  • En el supuesto de existir una auditoría previa, análisis del Informe de Auditoría para averiguar los defectos en el momento de su elaboración, las medidas de corrección sugeridas a la empresa, si éstas se han implantado, y las faltas se han corregido.

Elaboración y entrega del Informe de la auditoría

Una vez que hemos revisado toda la información que maneja la empresa y las medidas de seguridad debemos redactar el Informe de auditoría en el que se detallarán las medidas a adoptar.

El Informe de auditoría debe informar sobre la adecuación de las medidas y los controles de seguridad actuales a lo establecido en el Reglamento LOPD. Por tanto, deberá detallar las deficiencias que haya advertido, proponer medidas correctoras e incluir recomendaciones. También sería adecuado y conveniente que se guarden datos, actos y sugerencias en los que se basen los dictámenes alcanzados.

El contenido de este informe será:

  • Antecedentes. Identificación de la entidad auditada y auditora.
  • Objeto y contenido de la auditoría. Legislación que la apoya. Dictámenes de auditorías anteriores.
  • Relevancia de la auditoría. Ficheros, procesos y centro de trabajos auditados.
  • Limitaciones en la ejecución de la auditoría. En el caso de que las hubiera.
  • Ejecución del trabajo por parte del auditor. Reuniones mantenidas; Examen visual; Documentos analizados; Listas de comprobación y verificación.
  • Entrega y difusión del informe de auditoría. A quiénes se les proporcionará éste (Responsable de Seguridad; Dirección, etc.)
  • Valoración de las medidas y controles de seguridad. Exámenes según los niveles de seguridad. Estudio del desempeño de las medidas de seguridad: reconocimiento de fallos, medidas correctoras y recomendaciones del auditor.
  • Conclusiones.
Te facilitamos un modelo de informe de auditoría para descargarlo.

Ejecución de la auditoría

Como último paso es necesario poner en práctica las medidas correctivas necesarias para la adecuación a la normativa de Protección de Datos así como los procedimientos a subsanar.

Aquí debemos aplicar las medidas de seguridad que nos indique el informe o realizar correctamente los procedimientos en los que tengamos fallos de seguridad para evitar sanciones

El informe de auditoría deberá dictaminar sobre la adaptación de las medidas y controles a la normativa, detallar sus deficiencias y proponer las medidas correctoras o complementarias precisas. Deberá, asímismo, aportar las referencias, hechos y sugerencias en que se fundamenten los dictámenes alcanzados y las recomendaciones sugeridas. Esos informes de auditoría serán examinados por el responsable de seguridad competente, que presentará los resultados al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y se dejarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

La labor del auditor debe ejecutarse manteniendo imparcialidad de criterios  sin dejar que influyan circunstancias internas o externas,  de forma que siempre haya un criterio de independencia frente a la empresa que va a auditar.

Obligatoriedad de la auditoría

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda entidad que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

Consecuencias de no realizar auditorías LOPD

¿Qué ocurre si no hago estas auditorías? Pues muy sencillo: se trata de una obligación incluida dentro de las distintas que conforman las llamadas medidas de seguridad, y, según la LOPD, no aplicar las medidas de seguridad se considera una infracción grave castigada con una multa que va de 60.000 a 300.000 euros, y no dudéis que si el inspector aparece no va a aceptar excusas como "… bueno, en realidad, la tengo hecha, lo que ocurre es que no está aquí …". El tema es muy simple: o se tiene o no se tiene, y si la respuesta es sí, hay que presentarla sobre la marcha. Pero cuidado, de nada sirve tenerla si resulta que no se adapta a la LOPD.

Read more


Proteccion de datos para empresas gratis

software adaptacion lopd gratis

Toda empresa y autónomo necesita estar adaptado a la Ley de Protección de Datos ya que, de lo contrario, se enfrentaría a importantes sanciones por la AEPD. Por eso nos surgen muchas dudas al respecto: ¿tiene nuestra empresa implantada la LOPD? ¿debemos contratar una empresa especializada para que nos la adapte? ¿qué servicios son obligatorios? ¿podemos adaptarla de forma gratuita?

La AEPD ha puesto a disposición de los ciudadanos herramientas para poder adaptarse a la normativa de Protección de Datos. A continuación os hablamos de estas herramientas.

Herramientas para adaptar mi empresa gratis a la LOPD

herramientas-adaptar-lopd-gratis A continuación os indicamos las principales herramientas para que nuestro negocio esté correctamente adaptado a la LOPD:

Evalúa

Se trata de una herramienta de ayuda para realizar una auditoría interna que nos permita conocer si nuestra empresa o negocio está cumpliendo la normativa de Protección de Datos de carácter personal. Se garantiza el anonimato del usuario por lo que, en caso de que no cumplamos con esta normativa, la AEPD no nos puede sancionar por ello. Consiste en un examen tipo test, dividido en dos partes, una primera orientada a conocer el nivel de cumplimiento de tu empresa de la Ley de Protección de Datos, y otra segunda orientada a evaluar el nivel de cumplimiento con las medidas de seguridad.

Si eres de los que piensas que calidad y precio están unidos, nosotros nos decantamos por esa filosofía valorando una tarifa de adaptación acorde a un buen servicio.

Una vez finalizado, nos proporciona un informe con las sugerencias y medidas a adoptar para corregir las deficiencias. Podemos acceder en la web de la AEPD. Debemos tener en cuenta el principio de calidad de los datos, es decir, que los datos serán utilizados únicamente para la finalidad para la que han sido recogidos y sólo podrán acceder a ellos los trabajadores que lo necesiten para el ejercicio de sus funciones. También debemos comprobar que se cumple el principio de información mediante la inclusión de las clausulas específicas y con el deber de obtener el consentimiento cuando sea necesario. En caso de datos especialmente protegidos, como los de salud, será necesario siempre un consentimiento expreso.

¿Necesitas cumplir la LOPD?

Formulario NOTA

Esta herramienta nos ayuda a inscribir, modificar o suprimir ficheros en la AEPD. Podemos rellenar el formulario y enviarlo posteriormente a la AEPD por correo ordinario o por Internet, se trata de formularios tipo que ya están precumplimentados y en los que solo hay que introducir los datos de nuestra empresa. Al entrar en el apartado correspondiente de la web de la AEPD, debemos señalar "Titularidad privada". Antes de inscribirlos debemos identificar todos los ficheros con datos de personas físicas que tengamos, tanto en formato papel como informático. Los ficheros más habituales son los de contactos, personal y recursos humanos, clientes y proveedores, registro de entrada y salida, videovigilancia, publicidad, etc.

"Guía modelo" para elaborar Documento de Seguridad

Esta herramienta nos permite descargar un modelo de documento de seguridad en el que únicamente tendremos que rellenar los datos de nuestra empresa sobre las medidas de seguridad. Al igual que en los anteriores, accedemos desde la web de la AEPD. En este documento se deben incluir todas las medidas técnicas y organizativas para asegurar la protección de lo datos personales.
sancion-proteccion-datos

Sanción de AEPD a compañía telefónica de 35.000 euros por infracción del artículo 6.1 de la LOPD de acuerdo con lo establecido en los apartados 2, 4 y 5 del artículo 45 de la misma Ley Orgánica. Esta sanción hace referencia al tratamiento de los datos sin el consentimiento del interesado.

Software gratuito para cumplir la LOPD

Existe diverso software para cumplir las exigencias de la LOPD que tenemos a nuestra disposición para poder descargarlo. Os indicaremos el principal:

  • Software para la implantación de medidas de seguridad en ordenadores. Este software nos permite el control de accesos a programas y ficheros, accesos a internet, pedir contraseña al abrir programas, cifrado ficheros. Sirve para la protección de datos personales, cumplir la LOPD y control parental.
  • Software para la encriptación de unidades USB: permite la encriptación automática de los USB y la desencriptación en cualquier lugar.
  • Software para la gestión y actualización del Documento de Seguridad:Permite generar ficheros, enviarlos a la AGPD, generar el documento de seguridad, auditorías, contratos que tienen que firmar los colaboradores etc.
  • Software para copias de seguridad y Backup Online de ficheros y archivos: permite hacer copias de seguridad de datos almacenados en servidores de bases de datos, de correo electrónico, de archivos y ordenadores.

¿Por qué es mejor contratar el servicio de adaptación a la LOPD?

Aunque hemos visto que la AEPD nos facilita el cumplimiento de la Ley de Protección de Datos y, en el momento actual, puede ser muy “goloso” para cualquier empresario o autónomo el adaptarse él mismo a esta normativa para evitar desembolsar un dinero por que alguien nos lo haga, nosotros os recomendamos que contratéis un consultor o empresa especializada en este tema por varios motivos.

En primer lugar, porque aunque parezca sencillo son muchas cosas las que debemos tener en cuenta y siempre puede haber algo que se nos escape y daría lugar a importantes sanciones por parte de la AEPD. En segundo lugar, se trata de personas especializadas que nos van a ayudar a cumplir la normativa de Protección de Datos y a resolver gran cantidad de dudas que se nos pueden plantear. En tercer lugar, el tener que estar pendiente de todos estos aspectos nos restará tiempo que podemos dedicar a mejorar nuestra empresa o negocio. Y, por último, por la buena imagen que proyecta una empresa o autónomo que cumple la Ley y que se preocupa por la privacidad de sus clientes.

Entonces si no es gratis, ¿de qué precios estamos hablando?

Sobre el precio, en internet podrás encontrar tarifas desde los 60 y poco euros hasta los 600. Si eres de los que piensas que calidad y precio están unidos, nosotros nos decantamos por esa filosofía valorando una tarifa de adaptación acorde a un buen servicio.

Si no es gratis, ¿cuánto cuesta?

Read more


¿Cómo hacer una auditoría de LOPD en mi empresa?

Modelo de auditoría de proteccion de datos

La Ley de Protección de Datos de carácter personal obliga a profesionales, autónomos, empresarios individuales, empresas privadas e instituciones y administraciones públicas al establecimiento y cumplimiento de medidas de seguridad en relación con los tratamientos de datos personales, tanto automatizados como no automatizados o manuales.

La mayoría de empresas y autónomos considera que esto es un trámite más para el cumplimiento de la LOPD y no aporta nada a su negocio, supone un gasto innecesario. Por ello dedican el mínimo esfuerzo en personas, tiempo y coste lo que da lugar a que el informe de auditoría no contempla ni un ámbito ni un alcance adecuados para los trabajos de auditoría a abordar.

Sin embargo, realizar esta auditoría tiene una gran importancia para la supervisión y mejora continua en materia de protección de datos.

¿Qué dice la normativa de protección de datos sobre las auditorías?

  • La auditoría debe realizarse sobre ficheros y tratamientos automatizados y no automatizados a partir del nivel medio.
  • Se realizará cada dos años, salvo que existan modificaciones sustanciales en el sistema de información que afecten a las medidas de seguridad implantadas.
  • Puede ser interna o externa.
  • El objetivo es la verificación del cumplimiento de la medidas de seguridad en el tratamiento de datos de carácter personal.
  • El informe debe indicar la adecuación de las medidas y controles a la LOPD, identificar las deficiencias y proponer las medidas correctoras necesarias.
  • El responsable de seguridad debe analizar el informe de auditoría y enviar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras oportunas.
sancion proteccion de datos

Cuando existe obligación de realizarlas, si se incumple esta medida de seguridad, la empresa se expone a sanciones tipificadas como “graves” (entre 40.001 a 300.000 euros), si consideramos que la empresa estaría manteniendo los ficheros, locales, programas o equipos con datos de carácter personal sin las condiciones de seguridad establecidas.

Objetivos de la auditoría

  • Satisfacer la obligación de auditar las medidas de seguridad cada 2 años.
  • Determinar posibles fallos en el sistema de información de la empresa, y disponer acciones correctoras.
  • Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  • Examinar en detalle movimientos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para adaptarlos a la normativa.
  • Concienciar y preparar sobre la importancia de la información personal, garantizando así la protección y los derechos de los afectados.
¿Cómo debe hacerse la auditoría LOPD?
  • De forma objetiva: las medidas correctoras o complementarias propuestas deben ser objetivas, basadas en la previa recopilación de evidencias reales, relevantes y útiles sobre el entorno auditado.
  • De forma independiente: aunque las auditorías pueden ser internas o externas, deben hacerse por personas ajenas al día a día de la actividad. Por ello, lo más conveniente es que se realicen por personas externas a la empresa.

Fases de la auditoría

pasos-auditorias

Organización e inicio

Aquí debemos establecer los objetivos de la auditoría que son determinar la adecuación de las medidas y controles a la ley, establecer las deficiencias y proponer las medidas correctoras o complementarias necesarias. Para ello determinaremos el ámbito de la auditoría: ficheros y tratamientos que se revisarán, medidas de seguridad aplicadas, locales, equipos, sistemas, programas, procedimientos y personas que accedan a los datos. Debemos también establecer el alcance de la auditoría, es decir, los trabajos a realizar, y responsables para realizarlos.

Planificación y toma de datos

Elaborar calendario de entrevistas, documentación para la recogida de datos, recopilar información y documentación base del proyecto, estudiar toda la información recopilada y realizar informe de la toma de datos.

Verificar cumplimiento

Realizar las verificaciones, mediciones y controles necesarios y contrastarlo con la información y documentación obtenida.

Informe final

Identificar los incumplimientos, deficiencias y aspectos a mejorar, valorar el grado de adecuación de las medidas y controles existentes a la ley, realizar las conclusiones y las propuestas de medidas correctoras o complementarias necesarias, elaborar y presentar el informe de auditoría y el informe ejecutivo para la Dirección con los resultados más relevantes obtenidos.

Informe de auditoría

El informe de la auditoría deberá cumplir una serie de requisitos:

  • Adaptar las medidas de seguridad y controles establecidos a lo dispuesto en el Título VIII del Reglamento.
  • Identificación de las deficiencias y propuesta de medidas correctoras o complementarias. Se adjuntarán los datos, hechos y observaciones en los que se fundamenten los dictámenes realizados y recomendaciones propuestas.
  • Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
  • Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Contratar el servicio de auditoría

No obstante, para evitar incumplimientos y sanciones, es posible contratar con una empresa especializada la realización de auditorías. Esto supondrá también importantes beneficios de cara a la imagen de su negocio y a las relaciones profesionales.

Por último, destacar que la auditoría no serviría de nada si no existe el firme compromiso de la organización de adoptar las medidas correctoras o complementarias para corregir las deficiencias detectadas.

Read more


Despido tras auditoría informática

Ya que dentro de la Página web de la Agencia Española de Protección de Datos (AEPD) se publican, en su sección Procedimientos Sancionadores, las sanciones que recaen sobre entidades que vulneran las diferentes leyes sobre privacidad (básicamente LOPD, pero también LSSI y otras), es usual acudir a esa sección con el fin de aprender qué tipo de usos están siendo sancionados y no repetir los errores, tal y como por ejemplo hacemos en Marketing Positivo con el blog hermano de este: Ley de Protección de Datos - Sanciones LOPD. Sin embargo también se puede obtener mucha información interesante de la sección Archivo de Actuaciones, donde están disponibles aquellos expedientes en los que tras la oportuna investigación no se encontraron fundamentos jurídicos para una sanción. Así, por ejemplo, tenemos el caso de una empresa que tras una auditoría informática descubrió un uso irregular de sus equipos informáticos que sirvió como justificación para el despido de un empleado.

Read more



Nivel de seguridad en Asesorías fiscales y laborales

La Agencia Española de Protección de Datos (AEPD) ha publicado varios informes de su Gabinete Jurídico analizando la cuestión sobre cuál es el nivel de seguridad exigible a algunos de los datos personales que por lo específico de su actividad mantienen las asesorías fiscales y laborales. El más reciente sobre la materia es el Informe 0511/2009, que aclara algunos de los ficheros sobre los que basta implantar medidas de seguridad de nivel de bajo a pesar de conservar en ciertos casos datos especialmente protegidos.

Tipo de datos que manejan las Asesorías

En cualquier caso, y tratándose de este sector, se ha de recordar el artículo 81 del Real Decreto 1720/2007 (reglamento LOPD), que dice:

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales.

Datos de trabajadores

En relación con los ficheros de gestión de nóminas o recursos humanos, el citado informe aclara que será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a:

  • La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
  • La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
  • Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Para cualquier otro tipo de datos relacionados con la salud de los trabajadores deberán implantarse las medidas de seguridad de nivel alto.

En referencia al tratamiento del dato de afiliación sindical de los trabajadores, se incluye dentro del supuesto contemplado en el artículo 81.5 a) del Reglamento LOPD, que excluye de la implantación de las medidas de seguridad de nivel alto los tratamientos que tengan por objeto la realización de una transferencia dineraria a la organización de la que sea miembro el trabajador.

Datos fiscales

Respecto a las asesorías fiscales, se analizan varios tipos de datos:

  • Casilla correspondiente a la aportación a la Iglesia Católica en el impuesto de la renta. El dato no implica la revelación de las creencias religiosas de los afectados, no procediendo en consecuencia por el mero tratamiento de este dato la implantación de las medidas de nivel alto.
  • Dato de discapacidad. Se aplica la excepción del artículo 81.6 del Reglamento LOPD al tratarse de datos recogidos con motivo del cumplimiento de deberes públicos.
  • Contribución del cliente a partidos políticos u organizaciones sindicales. Se trata de un tema diferente al indicado para el dato de afiliación sindical de los trabajadores, ya que en este caso el tratamiento no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones. Aquí se aplica la excepción del artículo 81.5.b) del Reglamento, acerca de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan datos sin guardar relación con su finalidad. Como además recientemente se publicó una modificación parcial de este artículo, ya se pueden incluir también en esta excepción los ficheros automatizados.

¿Cómo deben cumplir la LOPD las Asesorías?

Al igual que cualquier otra entidad o profesional que maneje datos personales, las Asesorías están obligadas a cumplir las exigencias de la LOPD. Para ello deben seguir una serie de pasos como son:

Análisis del tipo de datos personales que tratamos

En primer lugar hay que realizar un análisis exhaustivo de los ficheros que posee la Asesoría y de la obligatoriedad o no de inscribirlos en la Agencia Española de Protección de Datos. Si incorporan datos personales es obligatoria su inscripción.

Los datos que generalmente manejan las Asesorías son datos de nivel básico y medio.

Inscribir los ficheros

Cumplimentar el formulario NOTA reglamentario establecido por la Agencia de Protección de Datos y remitirlo a su Registro General.

Debemos esperar a que la Agencia de Protección de Datos registre dicho fichero y se asigne un número de inscripción. Ese número significa que los dicheros están inscritos en la Agencia de Protección de Datos y que la Agencia conoce la existencia de esos ficheros asociados a la organización.

Elaborar un Documento de Seguridad

Es obligatorio elaborar el Documento de Seguridad donde se describen los procesos que la organización debe llevar a cabo para salvaguardar la privacidad de los datos personales inscritos en los ficheros.

Los apartados mínimos que debe incluir el Documento de Seguridad son los siguientes: ámbito de aplicación: especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Contratos y cláusulas legales

Elaboración del clausulado de cesión, transferencia internacional, y gestión de datos por parte de terceros si procede. Entre estos están:

  • Contrato para el tratamiento de datos por cuenta de tercero.
  • Compromiso de confidencialidad de los empleados/as en cuanto al uso y divulgación de información.
  • Cláusula para los contratos laborales.
  • Cláusula para formularios utilizados para la recogida de datos de carácter personal (datos clasificados con nivel de seguridad básico y medio)
  • Cláusulas a incluir en los formularios utilizados por la empresa en la recogida de datos de carácter personal (niveles medio y alto)
  • Cláusula clientes-proveedores al iniciar la relación comercial. Derecho de información en la recogida de datos.

Ejercicio de los derechos ARCO

La Ley otorga una gran importancia a los derechos de los ciudadanos a Acceder, Rectificar, Cancelar y Oponerse (A.R.C.O.) en cuanto al uso de sus datos personales. Para ello existen unas plantillas, que deben estar a disposición de todo aquél que lo exija y haga uso de ellas.

Auditoría

Finalmente hay que realizar una auditoria interna cada dos años con la finalidad de delimitar la conformidad del sistema y ofrecer la posibilidad de mejorarlo si es necesario.

La auditoria es una herramienta de control y supervisión  que permite conocer fallos en el manejo de datos personales, mediante  la investigación, revisión, consulta, comprobación, y obtención de toda evidencia sobre un hecho o sistemas  establecido, para el cumplimiento y la garantía del buen uso de los datos personales, llevada a cabo por personal cualificado.

Consiste en una revisión de las medidas informáticas, físicas o de archivos, así como organizativas y documentales que se implantaron en su día y que existen en la asesoría, que tienen que ver con el tratamiento de datos que efectúa ésta, respecto a los datos personales; ver también si es correcto el funcionamiento actual de nuestra empresa de acuerdo con la ley o si se ha producido un cambio que requiera una mejora.

Read more