Miércoles 22 Noviembre 2017
Servicios / Consultoría LOPD / Auditorías LOPD

Auditorías LOPD

PRODAT dispone de auditores especializados que le permitirán dar cumplimiento a la obligación establecida en el El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD de realizar, al menos cada dos años, una auditoría interna o externa de los sistemas de información e instalaciones de tratamiento de datos de carácter personal, o con carácter extraordinario  cuando se realicen modificaciones sustanciales en los sistemas de información.

Con independencia de los requerimientos legales, una auditoría basada en la independencia, profesionalidad y en la aproximación es el mejor instrumento para que los equipos directivos de las empresas tengan una perspectiva clara y orientada a la toma de decisiones sobre las necesidades de adecuación a los requisitos legales.

El informe de auditoría decidirá sobre la adecuación de las medidas y controles de la Ley y el Reglamento, identificará sus deficiencias mediante la aportación de evidencias y propondrá medidas correctoras necesarias. El informe de auditoría quedará a disposición de la Agencia Española de Protección de Datos, o en su caso, en el caso de las administraciones públicas con competencias en la materia, de las agencias de las Comunidades Autónomas.

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habrá de valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

El artículo 96 del Reglamento señala:

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Por lo tanto la primera fase consistirá en recopilar información acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad, y en especial de los apartados Funciones y Obligaciones del Personal; Almacenamiento de la información; Registros de incidencias, accesos, copias de seguridad, salida de soportes y en general todos los listados de los Anexos comentados en el post anterior, con especial atención a la relación de usuarios autorizados y al inventario de soportes.

Con esta información se procederá a la redacción del informe, que deberá dictaminar sobre:

  • Adecuación de las medidas y controles establecidas a lo dispuesto en el Título VIII del Reglamento.
  • Identificación de deficiencias y propuesta de medidas correctoras o complementarias. Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  • Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
  • Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Por lo tanto se trata no sólo de revisar los aspectos documentales (que tenemos en orden y actualizados todos los papeles) sino de comprobar las políticas activas de la compañía a todos los niveles, para evitar que el cumplimiento de la LOPD (que es continuo puesto que en ningún momento se puede dejar de utilizar datos de carácter personal) se relajen con el paso del tiempo.

Esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda pyme que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

Ir Arriba