En qué consiste una auditoría de protección de datos


En qué consiste una auditoría de protección de datos

Hoy les comento en qué consiste realmente una auditoría de protección de datos personales, las tareas que la componen y por qué son tan importantes.

En qué consiste una auditoría de protección de datos

Entorno jurídico de una auditoría LOPD

Como seguramente sabrá, la Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal tiene por objeto garantizar y proteger en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. A su vez, establece las medidas de seguridad de los ficheros automatizados y no automatizados que contengan datos de carácter personal, distinguiendo tres niveles de seguridad (básico, medio y alto) dependiendo de la naturaleza de la información contenida en estos ficheros. Este decreto establece también la necesidad de realizar una auditoría de los ficheros de nivel medio y alto al menos cada dos años. 

Cualquier asociación, empresa, profesional o entidad que trate datos de carácter personal tiene la obligación de cumplir lo anteriormente citado. El incumplimiento de estas obligaciones puede ser sancionado por la Agencia de Protección de Datos con importes que varían desde 900 € a 600.000 € dependiendo de que la infracción sea considerada como leve, grave o muy grave.

La realizad es que hay mucha picaresca en torno a los servicios de auditoría de protección de datos personales, existiendo una orquilla de precios que van desde los 70€ hasta los varios miles. El objeto de este artículo es aclararle qué debe contener, como mínimo, un proyecto de auditoría de cumplimiento de la LOPD para considerarse como tal y que no le lleven a engaño.

Seguridad de la Información

Se debe definir una política de seguridad que esté dirigida a la salvaguarda y disponibilidad de todos los activos de información incluyendo el cumplimiento de la legislación vigente en protección de datos personales (LOPD)

La seguridad de la información debe garantizar los siguientes aspectos:

Confidencialidad de la información

Se debe asegurar que solamente los usuarios autorizados tengan acceso a la información.

Integridad de la información almacenada

Hay que asegurar que la información es correcta e íntegra.

Disponibilidad de la información

Disponibilidad de la información en los sistemas de información y otros sistemas de almacenamiento de información. Se debe asegurar que los usuarios autorizados puedan acceder a los sistemas cuando éstos sean requeridos.

Labores que componen un proyecto de auditoría LOPD

Todo proyecto de auditoría de LOPD se compone de, como mínimo, las siguientes actuaciones:

  • Análisis y Diagnosis del tratamiento de la información y de los procedimientos de seguridad y de carácter organizativo para su verificación  del cumplimiento de la LOPD y del RDLOPD.
  • Elaboración de las propuestas de inscripción, modificación y/o  supresión de ficheros de titularidad pública y privada de la Organización, así  como los nombramientos de responsables de ficheros y de seguridad para proceder a realizar la correcta inscripción en la Agencia Española de Protección de Datos (AEPD).
  • Revisión y en caso necesario generación de los Documentos de Seguridad.
  • Revisión y en su caso generación de las cláusulas legales y carteles informativos tanto para cumplir con el deber de informar, obtener el consentimiento al tratamiento y la cesión de datos en los casos necesarios, y contratos con terceros.
  • Revisión y redacción de las cláusulas legales para la incorporación en la página web de la entidad para el cumplimiento de la LOPD
  • Presentación de los resultados del proyecto y entrega de toda la documentación.
  • Posibilidad de registro y/o visado de los trabajos ante un Colegio Profesional.

¿Por qué es importante certificar el cumplimiento de la legislación en materia de datos personales?

Lejos de ser un elemento burocrático más, es importante poder certificar a sus clientes y colaboradores que su información de carácter personal se está gestionando correctamente, de forma totalmente segura, y que dicha información no se utiliza para otros menesteres que para los que se suministraron.

Espero, querido lector, haber despejado sus dudas de forma suficiente para que no le engañen en un tema tan capital como éste. En próximos artículos trataré con más detalle las distintas fases de un proyecto de auditoría de protección de datos personales y sus distintas actuaciones.

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

17 + cuatro =