¿Es obligatoria la Auditoría de Protección de Datos?

contrato para tratar o ceder datos a un tercero

Son numerosas las consultas recibidas sobre la obligatoriedad de tener que realizar una Auditoría LOPD en las empresas. Por eso, explicamos las diferentes circunstancias en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales.

¿Qué es una auditoría de protección de datos?

Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.

ejemplos proteccion de datos

Según un informe de la AEPD: En el sector de Sanidad se ha producido un incremento de las denuncias debidas a los accesos injustificados a las historias clínicas de los denunciantes. Se han declarado infracciones al hospital afectado por incumplimiento de las medidas de seguridad; y al autor de los accesos por desvío de finalidad.

Una vez realizada la auditoría, se elabora un informe que registra los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá analizarlo el responsable de seguridad para, a continuación, hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa.

Pasos a seguir en una Auditoría de Protección de Datos

pasos-auditoria-lopd

A la hora de auditar el cumplimiento de la normativa de Protección de Datos en la empresa debemos seguir los siguientes pasos:

  • Revisar los documentos de la empresa: debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han realizado modificaciones en el Documento de Seguridad o se ha actualizado este.
  • Revisar el sistema informático de la empresa: habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.
  • Revisar las instalaciones de nuestra empresa: comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.
  • Entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Una vez revisados estos puntos, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si ésta se lo solicita.

El nuevo RGPD de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa.

Resumen sobre la obligatoriedad de una auditoría LOPD
  • Obligatorio para organizaciones con un nivel de seguridad medio o alto.
  • Puede auditarse de manera interna o externa.
  • Se debe realizar un Informe de Auditoría mínimo cada dos años.
  • Se verificará el cumplimiento de las medidas de seguridad.

¿Necesitas cumplir la LOPD?

Read more