¿Es obligatoria la Auditoría de Protección de Datos?

contrato para tratar o ceder datos a un tercero

Son numerosas las consultas recibidas sobre la obligatoriedad de tener que realizar una Auditoría LOPD en las empresas. Por eso, explicamos las diferentes circunstancias en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales.

¿Qué es una auditoría de protección de datos?

Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.

ejemplos proteccion de datos

Según un informe de la AEPD: En el sector de Sanidad se ha producido un incremento de las denuncias debidas a los accesos injustificados a las historias clínicas de los denunciantes. Se han declarado infracciones al hospital afectado por incumplimiento de las medidas de seguridad; y al autor de los accesos por desvío de finalidad.

Una vez realizada la auditoría, se elabora un informe que registra los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá analizarlo el responsable de seguridad para, a continuación, hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa.

¿Es obligatoria?

El informe de auditoría es obligatorio para todas aquellas organizaciones que, por el tipo de datos que almacenan, tienen un nivel de seguridad medio o alto.

¿Cada cuánto hay que realizar una auditoría?

Mínimo cada dos años salvo que se realicen antes cambios sustanciales en el tipo o tratamiento de datos personales implicando una modificación de las medidas de seguridad necesarias.

Objetivos de la auditoría

  1. Satisfacer la obligación de verificar las medidas de seguridad cada 2 años.
  2. Constatar posibles deficiencias en el sistema de información de la empresa, y establecer acciones correctoras.
  3. Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  4. Estudiar en detalle flujos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para ajustarlos a la normativa.
  5. Concienciar y preparar al personal sobre la importancia de la información personal, asegurando de esta forma la protección y los derechos de los afectados.

¿Por qué tengo que “renovar” la Protección de Datos?

En dos años los sistemas informáticos, empleados con acceso a datos personales e incluso la dirección postal o datos de contacto de la empresa pueden variar con facilidad, por ello, es recomendable realizar una Auditoría de Protección de Datos anualmente para verificar que se cumple correctamente con la normativa y evitar así posibles incidencias o sanciones.

¿Quién puede hacer la auditoría?

La propia Ley de Protección de Datos indica que la Auditoría se puede realizar de manera interna o externa, ¿qué quiere decir esto? Se puede realizar por la propia organización auditada o por una empresa ajena, como puede ser la consultoría a la que contrató el servicio de adaptación LOPD.

El profesional designado para realizar la auditoría deberá ser especializado en este campo, debidamente capacitado en materia de protección de datos y con la característica de ser independiente, es decir, no tener ningún interés personal o familiar en la entidad auditada.

¿Me sancionarán si no realizo una auditoría de Protección de Datos?

Según la LOPD, el incumplimiento del deber de seguridad será considerado como infracción grave con una sanción de 40.001 a 300.000 €.

Las medidas a adoptar para cumplir el deber de seguridad son una obligación de resultado ya que deben implantarse para evitar cualquier pérdida, alteración o acceso no autorizado a datos de carácter personal. Por tanto, el deber de seguridad no consiste en la obligación de implantar unas medidas sino en implantar esas medidas con un resultado concreto.

Podemos concluir, por tanto, que el hecho de no realizar la auditoría no es sancionable por sí mismo. Lo que se sanciona es la pérdida, alteración, acceso o tratamiento no autorizado de datos personales. Sin embargo, sí es recomendable realizar esa auditoría para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.

¿Qué va a pasar con la entrada en vigor del Reglamento europeo de Protección de Datos?

El nuevo Reglamento Europeo de Protección de Datos, que será aplicable a partir de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa y evitar así sanciones que podrían llegar a los 20 millones de euros.

Las empresas deben adoptar medidas que aseguren con certeza que se encuentran en condiciones de cumplir los principios, derechos y garantías que exige el Reglamento.

Una de las principales novedades de esta normativa es la Responsabilidad activa de la empresa por la que se considera que si se actúa después de haberse producido la infracción, puede causar importantes perjuicios para los afectados difíciles de reparar.

Entre las obligaciones que impone el Reglamento está la de elaborar una evaluación de impacto cuando las actividades de tratamiento de datos impliquen un riesgo específico para los afectados por su naturaleza, alcance y fines.

El hecho de que la nueva normativa se haya construido desde la máxima de la prevención, y no de la reparación de daños cuando se ha cometido la infracción, hace que el auditor interno tenga un papel esencial a la hora de trabajar e implantar medidas de seguridad y mecanismos de verificación, y de probar ante una posible inspección que, efectivamente, la empresa está adaptada al Reglamento.

Pasos a seguir en una Auditoría de Protección de Datos

pasos-auditoria-lopd

A la hora de auditar el cumplimiento de la normativa de Protección de Datos en la empresa debemos seguir los siguientes pasos:

  • Revisar los documentos de la empresa: debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han realizado modificaciones en el Documento de Seguridad o se ha actualizado este.
  • Revisar el sistema informático de la empresa: habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.
  • Revisar las instalaciones de nuestra empresa: comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.
  • Entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Una vez revisados estos puntos, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si ésta se lo solicita.

El nuevo RGPD de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa.

Resumen sobre la obligatoriedad de una auditoría LOPD

  • Obligatorio para organizaciones con un nivel de seguridad medio o alto.
  • Puede auditarse de manera interna o externa.
  • Se debe realizar un Informe de Auditoría mínimo cada dos años.
  • Se verificará el cumplimiento de las medidas de seguridad.

¿Necesitas cumplir la LOPD?

Read more


La Auditoría en Protección de Datos

Es importante saber que si manejamos datos de carácter personal estamos obligados por ley a realizar una auditoría para garantizar que cumplimos las medidas previstas para proteger esos datos.

¿Cuándo y cómo hacer una auditoría en Protección de Datos?

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

Artículo 96 Reglamento de desarrollo LOPD

  1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
 

En este caso, al igual que en el Documento de Seguridad, habrá que valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Artículo 96 Reglamento de desarrollo LOPD, párrafo 3

Los informes de auditoría (…) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

¿Quién debe hacer la auditoría y a quién se comunica?

La LOPD da la opción de que la misma sea interna o externa, o sea, que la efectúe la misma organización, o bien se la encomiende a un tercero imparcial, deseablemente que se dedique profesionalmente a ello. Se comenta que en el borrador del reglamento de la futura LOPD se va a exigir que sea un tercero el que la realice, aparte de que dicho tercero no sea alguien que asesore al auditado, a fin de que no haya vínculo alguno entre las partes que le haga perder su supuesta o presunta imparcialidad. Una consecuencia directa de ello, si se aprueba ( y a título de ejemplo) será que la empresa de protección de datos que le lleva a el mantenimiento anual en dicho ámbito, protección de datos, no podrá luego hacerle la auditoría bianual, pues no se considerará imparcial.

En realidad, la auditoría no hay que comunicarla a ningún sitio ni inscribirla en ningún registro. No obstante, sí hay obligación de conservar el documento en el que la misma se plasme, a fin de mostrarla al inspector correspondiente en el caso de ser inspeccionados por la Agencia Española de Protección de Datos.

¿Cada cuánto tiempo debo hacer la auditoría?

La LOPD indica que será una vez cada dos años, comenzándose a computar los mismos a partir de que se comenzaron a tratar dichos datos.

Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

Pasos para realizar una auditoría en Protección de Datos

Las fases de la auditoría de Protección de Datos son:

Identificación de los datos personales

En esta fase se debe obtener la mayor información posible sobre el tipo de datos personales manejados para poder elaborar la Política de Seguridad a seguir.

Son datos de nivel medio, por ejemplo, cuando manejemos de datos referidos a la comisión de infracciones administrativas o penales o cuando dispongamos de un conjunto de datos que posibiliten la identificación de una persona como los currículums, entre otros.

La auditoria también debe realizarse en todas aquellas empresas o entidades que traten datos de nivel alto como datos de salud, ideología, creencias, religión, pensamiento político… debido a que estos datos son aún más sensibles y, por tanto, necesitan más precauciones y controles.

El trabajo a realizar en esta fase será:

  • Estudio de la situación actual de la empresa.
  • Verificar que los ficheros que se han inscrito en el Registro de Protección de Datos se corresponden con la situación de la empresa en la actualidad.
  • Comprobar que la empresa reúne, trata y guarda datos de carácter personal adaptándose a la normativa de Protección de Datos.
  • Verificar si se realizan cesiones o transferencias internacionales, y que su procedimiento es conforme a las exigencias establecidas.
  • Analizar si se firman los contratos con las personas o entidades que tienen acceso a los datos.

Nivel y medidas de seguridad aplicables

Una vez que hemos analizado toda la información, procederemos a determinar el nivel de medidas de seguridad que debemos adoptar según el tipo de datos contenidos en los ficheros.

Para cumplir con el principio de seguridad de los datos, el responsable del fichero y, en su caso, el encargado del tratamiento tienen que establecer las medidas de seguridad para su organización. Estas medidas serán tanto técnicas como organizativas y se plasmarán en el Documento de Seguridad, que es un documento de carácter interno de obligado cumplimiento por todas las personas de la empresa que accedan a datos de carácter personal.

Las medidas de seguridad están divididas en tres niveles, básico, medio y alto, según el tipo de datos que contengan los ficheros y el tratamiento que se va a dar a los mismos.

Lo que debemos comprobar en esta fase es:

  • Revisión de procedimientos, reglas, preceptos y guías de seguridad elaborados y establecidos en el organismo.
  • Estudio del cumplimiento de las normas internas de la empresa.
  • En el supuesto de existir una auditoría previa, análisis del Informe de Auditoría para averiguar los defectos en el momento de su elaboración, las medidas de corrección sugeridas a la empresa, si éstas se han implantado, y las faltas se han corregido.

Elaboración y entrega del Informe de la auditoría

Una vez que hemos revisado toda la información que maneja la empresa y las medidas de seguridad debemos redactar el Informe de auditoría en el que se detallarán las medidas a adoptar.

El Informe de auditoría debe informar sobre la adecuación de las medidas y los controles de seguridad actuales a lo establecido en el Reglamento LOPD. Por tanto, deberá detallar las deficiencias que haya advertido, proponer medidas correctoras e incluir recomendaciones. También sería adecuado y conveniente que se guarden datos, actos y sugerencias en los que se basen los dictámenes alcanzados.

El contenido de este informe será:

  • Antecedentes. Identificación de la entidad auditada y auditora.
  • Objeto y contenido de la auditoría. Legislación que la apoya. Dictámenes de auditorías anteriores.
  • Relevancia de la auditoría. Ficheros, procesos y centro de trabajos auditados.
  • Limitaciones en la ejecución de la auditoría. En el caso de que las hubiera.
  • Ejecución del trabajo por parte del auditor. Reuniones mantenidas; Examen visual; Documentos analizados; Listas de comprobación y verificación.
  • Entrega y difusión del informe de auditoría. A quiénes se les proporcionará éste (Responsable de Seguridad; Dirección, etc.)
  • Valoración de las medidas y controles de seguridad. Exámenes según los niveles de seguridad. Estudio del desempeño de las medidas de seguridad: reconocimiento de fallos, medidas correctoras y recomendaciones del auditor.
  • Conclusiones.
Te facilitamos un modelo de informe de auditoría para descargarlo.

Ejecución de la auditoría

Como último paso es necesario poner en práctica las medidas correctivas necesarias para la adecuación a la normativa de Protección de Datos así como los procedimientos a subsanar.

Aquí debemos aplicar las medidas de seguridad que nos indique el informe o realizar correctamente los procedimientos en los que tengamos fallos de seguridad para evitar sanciones

El informe de auditoría deberá dictaminar sobre la adaptación de las medidas y controles a la normativa, detallar sus deficiencias y proponer las medidas correctoras o complementarias precisas. Deberá, asímismo, aportar las referencias, hechos y sugerencias en que se fundamenten los dictámenes alcanzados y las recomendaciones sugeridas. Esos informes de auditoría serán examinados por el responsable de seguridad competente, que presentará los resultados al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y se dejarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

La labor del auditor debe ejecutarse manteniendo imparcialidad de criterios  sin dejar que influyan circunstancias internas o externas,  de forma que siempre haya un criterio de independencia frente a la empresa que va a auditar.

Obligatoriedad de la auditoría

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda entidad que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

Consecuencias de no realizar auditorías LOPD

¿Qué ocurre si no hago estas auditorías? Pues muy sencillo: se trata de una obligación incluida dentro de las distintas que conforman las llamadas medidas de seguridad, y, según la LOPD, no aplicar las medidas de seguridad se considera una infracción grave castigada con una multa que va de 60.000 a 300.000 euros, y no dudéis que si el inspector aparece no va a aceptar excusas como "… bueno, en realidad, la tengo hecha, lo que ocurre es que no está aquí …". El tema es muy simple: o se tiene o no se tiene, y si la respuesta es sí, hay que presentarla sobre la marcha. Pero cuidado, de nada sirve tenerla si resulta que no se adapta a la LOPD.

¿Necesitas un informe de auditoría?

Read more


¿Quién tiene que cumplir la Ley de Protección de Datos?

Obligatoriedad LOPD

En los últimos años cada vez oímos hablar más de la Ley de Protección de Datos de carácter Personal (LOPD) como consecuencia del aumento de las tecnologías de la información y el comercio electrónico. Todos somos conscientes de que nuestros datos circulan libremente por la red, a veces sin ningún tipo de control. Con las nuevas tecnologías nuestra vida ha cambiado, cada vez compramos más por Internet y aceptamos ser identificados en las transacciones. Por eso nos preguntamos ¿quién está obligado a cumplir con esa Ley de Protección de Datos?

Obligados al cumplimiento de la LOPD

quien-esta-obligado-cumplir-lopd

Según la LOPD, están obligados a cumplir la normativa de protección de datos de carácter personal todas las personas, empresas y entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades. Esto significa que tanto profesionales autónomos como empresas del sector público y del sector privado y entidades sin ánimo de lucro deben cumplir las garantías establecidas para la protección del derecho fundamental a la intimidad y a la privacidad de datos personales en la creación, tratamiento y modificación de ficheros que contengan información personal de clientes, pacientes, empleados, proveedores, alumnos, etc.

ejemplos proteccion de datos

La AEPD sanciona en 2009 a una Comunidad de Propietarios con multa de 601€ por no tener inscritos ficheros de datos personales de propietarios.

Dentro de los obligados al cumplimiento de la LOPD debemos incluir a las comunidades de propietarios ya que tratan datos personales en cobros de cuotas, pagos a proveedores o cámaras de video vigilancia.

¿Por qué cumplir la LOPD?

La Constitución Española, en su art. 18, establece como derecho fundamental la protección de la intimidad personal y, en desarrollo de este derecho, se aprueba la LOPD para garantizar una adecuada protección y tratamiento de datos personales. Por tanto, con sólo tener contactos con nombre, apellidos, teléfono o dirección de personas, estamos obligados a cumplir los requisitos de esa norma.

El hecho de tener nuestro negocio adaptado a la LOPD nos proporciona una mejor imagen de seriedad y una mayor seguridad para nuestros clientes además de evitarnos sanciones, que van desde los 900 hasta los 600.000 €, según el tipo de infracción. Aparte de esas sanciones económicas, nos enfrentaríamos a costes importantes para nuestro negocio si se producen pérdidas de datos personales por incendios, inundaciones o fallos informáticos ya que podríamos incurrir en responsabilidades civiles. También nos ocasionaría una mala imagen pública que afectaría negativamente a nuestro negocio.

Cumplir la normativa de protección de datos proporciona calidad a la empresa y confianza a los clientes a la hora de decidirse por esa empresa y no por otra.

¿Cómo cumplir esta ley?

quien-tiene-que-cumplir-lopd Son cinco los pasos básicos a seguir para cumplir la LOPD:
  • Declarar ante la AEPD todos los ficheros que tengamos y contengan cualquier dato de carácter personal
  • Obligación de informar de la recogida de datos y de obtener el consentimiento del afectado para tratar sus datos personales.
  • Implantar medidas de seguridad técnicas y organizativas para evitar pérdidas o accesos no autorizados (Documento de Seguridad)
  • Controles periódicos, y
  • Auditorías bienales.

Ahora que ya conoces si debes o no cumplir con esta Ley, aquí tienes una guía para adaptarte a la normativa LOPD paso por paso.

Tarifas en Protección de datos

Ya sabes si estas obligado a cumplir la LOPD pero, ¿cuánto me cuesta? Hay mucha diferencia de precios, mi recomendación es que solicites información desde este directorio de empresas para recibir varios presupuestos.

Existe mucha direfencia de precios

Read more