Q.E.D. website template

La Auditoría de Protección de Datos es una medida de seguridad de obligado cumplimiento

La Auditoría de Protección de Datos

Entre las medidas de seguridad que establece la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD, es necesario mencionar una de obligado cumplimiento: la Auditoría de Protección de Datos.

El objeto de la Auditoría de Protección de Datos es verificar la adaptación de los ficheros que contengan datos de carácter personal a las obligaciones impuestas, no sólo por la LOPD, sino también por el Reglamento de Medidas de Seguridad y las restantes disposiciones normativas que resulten de aplicación, en especial a las medidas de seguridad y a los procedimientos llevados a cabo para la recogida y tratamiento de los datos personales.

El ámbito de la auditoría, previsto en el artículo 96 para los ficheros automatizados y 110 para los no automatizados, se refiere a la verificación del cumplimiento de las medidas de seguridad que deben implantarse en los ficheros con datos de carácter personal, establecida en el Título VIII, Capítulo III, Sección 2ª, Artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Desarrollo de la Auditoría de Protección de Datos

Toda Auditoría de Protección de Datos debe seguir un desarrollo, que se realiza en distintas fases bien concretadas:

1ª Fase: identificación de los datos personales

En ella se obtiene la información necesaria para poder desarrollar y elaborar la Política de Seguridad a seguir, así como para desarrollar el resto de fases de la auditoría.

2ª Fase: nivel y medidas de seguridad aplicables

Una vez analizada la información, se procede a la determinación del nivel de medidas de seguridad que debe ser adoptado, en función del tipo de datos personales contenidos en los ficheros.

3ª Fase: entrega del Informe de Auditoría

Llegado este momento, se redacta el Informe General de la Auditoría de Protección de Datos, en el que se detallan las medidas a adoptar, y se notifica a la Agencia Española de Protección de Datos.


contactar