AUDITORÍAS

La legislación española vigente en materia de protección de datos de carácter personal, obliga a las empresas, organismos y autónomos que tratan datos de carácter personal que sean responsables de ficheros a que éstos estén debidamente inscritos en la Agencia Española de Protección de Datos, y cuyo nivel de protección sea medio o alto, independientemente de que el tratamiento de los mismos sea automatizado o no automatizado, a la realización de auditorias al menos bienalmente o en periodos inferiores en el supuesto de existir modificaciones sustanciales en los sistemas de información.

La finalidad de estas auditorias no es otra que comprobar el grado de cumplimiento de las medidas de seguridad exigidas por la legislación en relación con el nivel de seguridad de los datos manejados en el desarrollo de la actividad del responsable de los ficheros.

Asi, la auditoria se configura como una herramienta de control y supervisión que nos sirve para determinar aquellos errores existentes en el manejo de datos personales, a través de la revisión, consulta, y obtención de evidencias sobre los sistemas utilizados para manejar dichos datos, a fin de garantizar el correcto tratamiento de los datos personales.

El art. 96 del Real Decreto 1720/2007 del 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal establece la obligatoriedad de estas auditorias:

"A partir del nivel medios los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título".

Como hemos señalado previamente, con carácter extraordinario, "deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior".

En la realización de la auditoria se ha de valorar la adecuación de las medidas y controles establecidos conforme lo exigido por la LOPD y el RLOPD, reflejando en el Informe resultante las posibles deficiencias que se hayan detectado y proponiendo las medidas correctoras o complementarias que puedan resultar necesarias. Asimismo se deberán incluir cuantas evidencias y anotaciones se consideren relevantes.

El responsable de seguridad debe analizar el Informe y elevar las conclusiones al responsable del fichero o tratamiento para que este adopte las medidas correctoras adecuadas. El Informe quedara a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las CCAA.

Las auditorias pueden realizarse interna o externamente, si bien, siempre habrán de hacerse en base a los criterios de objetividad, independencia e imparcialidad, basándose en las evidencias recopiladas durante el proceso, tanto documentales (contratos de confidencialidad, registros, etc) como las obtenidas mediante visualización y entrevistas. De ahí la importancia de que estas se realicen "in situ" y no a través de medios telemáticos (la AEPD ha emitido una NOTA INFORMATIVA al respecto que se puede consultar en el siguiente enlace:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/medidas_seguridad/AuditoriasSeguridad-ides-idphp.php).

Es la entidad auditora la responsable de establecer sus propios procedimientos y protocolos de actuación para obtener los datos necesarios con los que elaborar el Informe definitivo, procedimientos que se llevan a cabo por medio de un auditor con conocimientos en la materia, y que sera quien determine el grado de adecuación entre las medidas exigidas en base al nivel de los datos concretos manejados por la entidad y la realidad. Por ello, es recomendable que estas auditorias se hagan a través de un profesional en la materia sin vinculo laboral con la empresa que va a auditar, utilizando técnicas y procedimientos determinados destinados a la revisión de los procedimientos establecidos por las entidades para garantizar el cumplimiento de lo establecido en la ley.

Fases de la auditoría:

  • Reunión inicial de contacto.

  • Recogida de evidencias:

  • Análisis de la documentación aportada.

  • Visualización de registros.

  • Inspección visual de los sistemas de la información y del entorno físico.

  • Entrevistas con el personal, tanto Responsable/s de Seguridad como usuarios que manejen/traten datos de carácter personal.

  • Elaboración de Informe previo de auditoria.

  • Revisión por el Responsable de Seguridad de la entidad auditoria del Informe para validación y valoración de puesta en practica de medidas correctoras propuestas.

  • Elaboración del Informe final.

¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar