¿Es obligatoria la Auditoría de Protección de Datos?

contrato para tratar o ceder datos a un tercero

Son numerosas las consultas recibidas sobre la obligatoriedad de tener que realizar una Auditoría LOPD en las empresas. Por eso, explicamos las diferentes circunstancias en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales.

¿Qué es una auditoría de protección de datos?

Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.

ejemplos proteccion de datos

Según un informe de la AEPD: En el sector de Sanidad se ha producido un incremento de las denuncias debidas a los accesos injustificados a las historias clínicas de los denunciantes. Se han declarado infracciones al hospital afectado por incumplimiento de las medidas de seguridad; y al autor de los accesos por desvío de finalidad.

Una vez realizada la auditoría, se elabora un informe que registra los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá analizarlo el responsable de seguridad para, a continuación, hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa.

¿Es obligatoria?

El informe de auditoría es obligatorio para todas aquellas organizaciones que, por el tipo de datos que almacenan, tienen un nivel de seguridad medio o alto.

¿Cada cuánto hay que realizar una auditoría?

Mínimo cada dos años salvo que se realicen antes cambios sustanciales en el tipo o tratamiento de datos personales implicando una modificación de las medidas de seguridad necesarias.

Objetivos de la auditoría

  1. Satisfacer la obligación de verificar las medidas de seguridad cada 2 años.
  2. Constatar posibles deficiencias en el sistema de información de la empresa, y establecer acciones correctoras.
  3. Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  4. Estudiar en detalle flujos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para ajustarlos a la normativa.
  5. Concienciar y preparar al personal sobre la importancia de la información personal, asegurando de esta forma la protección y los derechos de los afectados.

¿Por qué tengo que “renovar” la Protección de Datos?

En dos años los sistemas informáticos, empleados con acceso a datos personales e incluso la dirección postal o datos de contacto de la empresa pueden variar con facilidad, por ello, es recomendable realizar una Auditoría de Protección de Datos anualmente para verificar que se cumple correctamente con la normativa y evitar así posibles incidencias o sanciones.

¿Quién puede hacer la auditoría?

La propia Ley de Protección de Datos indica que la Auditoría se puede realizar de manera interna o externa, ¿qué quiere decir esto? Se puede realizar por la propia organización auditada o por una empresa ajena, como puede ser la consultoría a la que contrató el servicio de adaptación LOPD.

El profesional designado para realizar la auditoría deberá ser especializado en este campo, debidamente capacitado en materia de protección de datos y con la característica de ser independiente, es decir, no tener ningún interés personal o familiar en la entidad auditada.

¿Me sancionarán si no realizo una auditoría de Protección de Datos?

Según la LOPD, el incumplimiento del deber de seguridad será considerado como infracción grave con una sanción de 40.001 a 300.000 €.

Las medidas a adoptar para cumplir el deber de seguridad son una obligación de resultado ya que deben implantarse para evitar cualquier pérdida, alteración o acceso no autorizado a datos de carácter personal. Por tanto, el deber de seguridad no consiste en la obligación de implantar unas medidas sino en implantar esas medidas con un resultado concreto.

Podemos concluir, por tanto, que el hecho de no realizar la auditoría no es sancionable por sí mismo. Lo que se sanciona es la pérdida, alteración, acceso o tratamiento no autorizado de datos personales. Sin embargo, sí es recomendable realizar esa auditoría para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.

¿Qué va a pasar con la entrada en vigor del Reglamento europeo de Protección de Datos?

El nuevo Reglamento Europeo de Protección de Datos, que será aplicable a partir de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa y evitar así sanciones que podrían llegar a los 20 millones de euros.

Las empresas deben adoptar medidas que aseguren con certeza que se encuentran en condiciones de cumplir los principios, derechos y garantías que exige el Reglamento.

Una de las principales novedades de esta normativa es la Responsabilidad activa de la empresa por la que se considera que si se actúa después de haberse producido la infracción, puede causar importantes perjuicios para los afectados difíciles de reparar.

Entre las obligaciones que impone el Reglamento está la de elaborar una evaluación de impacto cuando las actividades de tratamiento de datos impliquen un riesgo específico para los afectados por su naturaleza, alcance y fines.

El hecho de que la nueva normativa se haya construido desde la máxima de la prevención, y no de la reparación de daños cuando se ha cometido la infracción, hace que el auditor interno tenga un papel esencial a la hora de trabajar e implantar medidas de seguridad y mecanismos de verificación, y de probar ante una posible inspección que, efectivamente, la empresa está adaptada al Reglamento.

Pasos a seguir en una Auditoría de Protección de Datos

pasos-auditoria-lopd

A la hora de auditar el cumplimiento de la normativa de Protección de Datos en la empresa debemos seguir los siguientes pasos:

  • Revisar los documentos de la empresa: debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han realizado modificaciones en el Documento de Seguridad o se ha actualizado este.
  • Revisar el sistema informático de la empresa: habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.
  • Revisar las instalaciones de nuestra empresa: comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.
  • Entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Una vez revisados estos puntos, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si ésta se lo solicita.

El nuevo RGPD de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa.

Resumen sobre la obligatoriedad de una auditoría LOPD

  • Obligatorio para organizaciones con un nivel de seguridad medio o alto.
  • Puede auditarse de manera interna o externa.
  • Se debe realizar un Informe de Auditoría mínimo cada dos años.
  • Se verificará el cumplimiento de las medidas de seguridad.

¿Necesitas cumplir la LOPD?

Read more


10 Preguntas frecuentes sobre protección de datos de salud

sector sanitario nivel de seguridad alto lopd

Ayer fui testigo de un hecho bastante preocupante. Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.

Los datos de salud, junto con datos sobre ideología, afiliación sindical, religión, creencias, origen racial, vida sexual y comisión de delitos penales o administrativos, son considerados por la LOPD como "datos especialmente protegidos" por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas y, por tanto, se exige una mayor protección que para el resto de datos personales. Estos datos sólo podrán ser recogidos, tratados y cedidos por razones de interés público, cuando lo establezca expresamente una ley o con el consentimiento previo y manifiesto del interesado.

Preguntas sobre tratamiento de datos de salud

Vamos a responder a las dudas más habituales que nos surgen en relación a la protección de nuestros datos sanitarios.

¿Quién se considera el responsable del fichero "Historia Clínica"?

Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.

Solicitud del correo electrónico y el móvil al paciente

Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.

El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.

¿Eres un profesional de la salud?

Cumplimiento del derecho de información en la recogida y tratamiento de datos sanitarios

En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.

El texto que se utiliza normalmente para la información es:

Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).

Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.

¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?

Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

ejemplos proteccion de datos

Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010

Cesión de datos de pacientes

Otras cuestiones importantes sobre la Protección de Datos sanitarios

Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.

Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.

Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

Ficheros que contienen datos de pacientes con VIH

Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.

Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.

Ficheros con datos sobre donaciones

Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.

Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.

Los datos genéticos y biométricos

¿Necesitas cumplir la LOPD?

Read more


El uso de la huella dactilar (y otros datos biométricos) y la LOPD

Hoy en día, usar la huella dactilar o el iris del ojo como sistemas de identificación es lo más normal del mundo pero, ¿sabes cómo deben protegerse esos datos biométricos? Pero, antes de comenzar, ¡no te asustes!, quiero tratar este tema contigo para que puedas entenderlo, en especial, si utilizas datos biométricos y no sabes qué hacer para cumplir la normativa de Protección de Datos.

Uso de datos biométricos

Los sistemas de seguridad biométrica han ido avanzando como toda tecnología en los últimos años, en especial el uso de la huella dactilar como sistema de identificación y control.

Los datos biométricos se utilizan actualmente en los campos de la seguridad, la medicina y del ocio. Se usan para permitir el acceso a edificios o a zonas muy restringidas sin necesidad de utilizar tarjetas o claves de acceso que pueden transferirse fácilmente de una persona a otra.
ejemplos proteccion de datos

Una doctora española ideó un sistema de identificación de personas a través de la córnea que le valió el premio principal del Salón Internacional de Invenciones de Ginebra de 2010, considerado el Nobel de los inventos.

La Agencia Española de Protección de Datos (AEPD) ha definido el concepto de dato biométrico como aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.

Este tipo de sistemas biométricos podrían utilizarse para iniciar la sesión en un ordenador, sacar dinero del cajero o usar el teléfono móvil sin introducir una contraseña con la certeza de que no se suplantará nuestra identidad.

Riesgos derivados del uso de datos biométricos

Un dato biométrico que no es protegido adecuadamente puede facilitar la obtención de información personal sensible. Por ejemplo, si un atacante roba la base de datos de un sistema de reconocimiento facial en el cual se almacenan fotografías, se podría inferir la raza de cada uno de los usuarios, lo que podría ser causa de discriminación u otras acciones. Una utilización amplia y sin control de la biometría es preocupante desde el punto de vista de la Protección de los derechos y libertades fundamentales de las personas. Este tipo de datos es de una naturaleza especial, ya que tienen que ver con las características comportamentales y fisiológicas de una persona y pueden permitir su identificación inequívoca. Por ello, el tratamiento de datos biométricos requiere de medidas de seguridad especiales para garantizar la protección de las personas afectadas.

¿Qué dice la AEPD sobre esto?

Sobre la legitimación del tratamiento de datos biométricos en el ámbito de una relación laboral, como pueda ser el fichaje mediante huella dactilar, se ha pronunciado la Agencia Española de Protección de Datos (AGPD) en numerosas ocasiones, estableciendo que el tratamiento deberá ser: tratamiento-datos-biometricos
  • Justificado: debe existir una finalidad que legitime el tratamiento.
  • Necesario: se exige que sea necesario en relación con la finalidad perseguida, es decir, que no haya otros medios menos invasivos para alcanzar la finalidad que justifica el tratamiento.
  • Proporcional: debe haber un equilibrio entre la finalidad perseguida que justifique el tratamiento de los datos.
  • Consentido: el interesado deberá consentir el tratamiento de dichos datos.

Informes sobre el uso de la huella dactilar

La AEPD ha emitido varios Informes de su Gabinete Jurídico sobre este asunto valorando diferentes posibilidades de uso de datos bimétricos.

  • Informe 0368/2006 se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos. La respuesta dada es que la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.
  • Informe 0324/2009 se planteaba la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital, y la cesión además del correspondiente fichero a un encargado del tratamiento. La AEPD aclara el nivel de seguridad a aplicar al correspondiente fichero: el dato biométrico de la huella digital no puede ser considerado en modo alguno dato especialmente protegido o sensible, por lo que resultarán de aplicación al tratamiento las medidas de seguridad de nivel básico.

Consentimiento de trabajadores para el control por huella dactilar

Sobre el consentimiento de los trabajadores, si bien el artículo 6.1 de la LOPD exige el consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal, el artículo 6.2 prevé que no será preciso el consentimiento cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.

No obstante, deberá darse cumplimiento a lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, dado que si bien no será preciso el consentimiento del interesado, si deberá advertirse al mismo de los extremos contenidos en ese precepto y, especialmente, de las consecuencias disciplinarias que podría acarrear su negativa a que la huella sea tratada.

Tratamiento de datos por terceros

Acerca del tratamiento por parte de un tercero (véase El contrato de tratamiento de datos):

De modo que la comunidad encargaría el tratamiento del dato de la huella dactilar de sus trabajadores, a la mancomunidad con la finalidad específica de control horario de trabajo, para lo cual, deberán ambas empleadoras suscribir el contrato previsto en el artículo 12 de la Ley Orgánica 15/1999, y en el Capítulo III del Título II del Reglamento que la desarrolla

En el Informe 0082/2010  la consulta se planteaba acerca de la creación de una base de datos, con la huella dactilar de los clientes, al que se otorga un código alfanumérico. La AEPD dictamina en este caso:

Atendiendo al juicio de proporcionalidad que el Tribunal Constitucional exige en la adopción de este tipo de medidas, concluimos que resulta desproporcionado, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes, cuando dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas de fidelización.

Tratamiento de Datos biométricos con el RGPD

Con la aprobación del nuevo Reglamento Europeo de Protección de datos, la interpretación que se ha hecho hasta el momento de cómo se deben tratar los datos biométricos se ha visto afectada.

Situación actual

En la actualidad, el tratamiento de datos biométricos debe ajustarse a la vigente normativa de protección de datos, puesto que permite la identificación de las personas. El uso de este tipo de sistemas debe ser adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades para las que se hayan obtenido. En este sentido, para la implementación de cualquier sistema biométrico se debe:
  • Determinar la finalidad para los que se recaben y traten los datos biométricos
  • Analizar la proporcionalidad del sistema biométrico propuesto.
  • Controlar que los datos biométricos tratados sean exactos y pertinentes para la finalidad para la que fueron recogidos.
  • Garantizar que la configuración por defecto promueva la protección de datos.
  • Legitimar el tratamiento de los datos biométricos, ya sea mediante el consentimiento del interesado, contrato o interés legítimo del responsable del tratamiento.
  • Aplicar las medidas de seguridad que correspondan en función de la finalidad del tratamiento de los datos biométricos.
  • Garantizar que los datos se supriman una vez transcurrido un periodo de tiempo para el que fueron recabados.

Medidas de seguridad aplicables a los datos biométricos

Hasta el momento, y con la actual normativa todavía vigente, las medidas de seguridad aplicables al tratamiento de datos biométricos varían en función de la finalidad para la que se recaben dichos datos. Por ejemplo, si la finalidad del tratamiento del dato biométrico fuese la identificación de la persona se deberán aplicar las medidas de seguridad de nivel básico. Pero si el tratamiento de dichos datos se usa con la finalidad determinar aspectos de la personalidad o del comportamiento del interesado se deberá aplicar el nivel medio. O, si se identificasen datos de salud, el nivel aplicable sería el alto, siendo necesario disponer del consentimiento expreso del titular de los datos para poder tratarlos.

Nueva normativa

El RGPD define los datos biométricos como los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. nuevo-rgpd-datos-biometricos   Las principales novedades que establece la norma europea son:
  • Los datos biométricos se consideran datos sensibles y se prohibe su tratamiento salvo que concurra alguna de las situaciones previstas en el artículo 9 del Reglamento.
  • Obligatoriedad de realizar una Evaluación de impacto por el uso de este sistema.
  • Los Estados miembros pueden introducir disposiciones específicas con respecto al tratamiento de estos datos.
  • Se deberá disponer de mayor protección por parte del responsable y el encargado, en su caso, del tratamiento.
  • Se exige consentimiento expreso del interesado.

¿En qué casos el RGPD permite el tratamiento de datos biométricos con fines de identificación?

El artículo 9 del RGPD establece una serie de excepciones que analizaré a continuación y que sí permitirían el tratamiento con fines de identificación:
  • Que el interesado hubiera otorgado su consentimiento explícito para dicho tratamiento con uno o más de los fines especificados, excepto que existiera una prohibición legal a nivel europeo o estatal sobre ello
  • En caso de que el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (la empresa o persona que trata los datos inicialmente) o del propio interesado, con relación a aspectos relativos al derecho laboral, seguridad y protección social
  • Cuando fuese necesario para proteger intereses vitales del interesado o de otra persona física, si el interesado no estuviera capacitado para dar su consentimiento
  • Si el tratamiento se refiriere a datos personales que el interesado hubiese hecho anteriormente manifiestamente públicos
  • Por interés público esencial;
  • Para fines de medicina preventiva o laboral: evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social.
El objetivo de limitar el tratamientos de datos biométricos no es otro que proteger la privacidad de los ciudadanos. Ahora que conoces la regulación del tratamiento de datos biométricos, ¿a qué esperas para adoptar las medidas de seguridad exigidas?

¿Necesitas cumplir la LOPD?

Read more