CONTACTO:
Calle Nicolás Salmerón 36, 2º Izq.
47004 Valladolid (España)
Tfnos: 983 398 206 - 644 261 542
aserlan@aserlan.com
Facebook Twitter Google + Linkedin Email

¿En qué consisten las auditorías de LOPD?

24 Mayo 2016
La Ley de Protección de Datos de carácter personal obliga a profesionales, autónomos, empresarios individuales, empresas privadas e instituciones y administraciones públicas al establecimiento y cumplimiento de medidas de seguridad en relación con los tratamientos de datos personales, tanto automatizados como no automatizados o manuales.
 
La mayoría de empresas y autónomos considera que esto es un trámite más para el cumplimiento de la LOPD y no aporta nada a su negocio, supone un gasto innecesario. Por ello dedican el mínimo esfuerzo en personas, tiempo y coste lo que da lugar a que el informe de auditoría no contempla ni un ámbito ni un alcance adecuados para los trabajos de auditoría a abordar.
 
Sin embargo, realizar esta auditoría tiene una gran importancia para la supervisión y mejora continua en materia de protección de datos. Sin olvidar que cuando existe obligación de realizarlas, si se incumple esta medida de seguridad, la empresa se expone a sanciones tipificadas como “graves” (entre 40.001 a 300.000 euros), si consideramos que la empresa estaría manteniendo los ficheros, locales, programas o equipos con datos de carácter personal sin las condiciones de seguridad establecidas.
 
¿Qué dice la normativa de protección de datos sobre las auditorías?
  • La auditoría debe realizarse sobre ficheros y tratamientos automatizados y no automatizados a partir del nivel medio.
  • Se realizará cada dos años, salvo que existan modificaciones sustanciales en el sistema de información que afecten a las medidas de seguridad implantadas.
  • Puede ser interna o externa.
  • El objetivo es la verificación del cumplimiento de la medidas de seguridad en el tratamiento de datos de carácter personal.
  • El informe debe indicar la adecuación de las medidas y controles a la LOPD, identificar las deficiencias y proponer las medidas correctoras necesarias.
  • El responsable de seguridad debe analizar el informe de auditoría y enviar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras oportunas.
 
¿Cómo debe hacerse la auditoría LOPD?
  • De forma objetiva: las medidas correctoras o complementarias propuestas deben ser objetivas, basadas en la previa recopilación de evidencias reales, relevantes y útiles sobre el entorno auditado.
  • De forma independiente: aunque las auditorías pueden ser internas o externas, deben hacerse por personas ajenas al día a día de la actividad. Por ello, lo más conveniente es que se realicen por personas externas a la empresa.
 
Fases de la auditoría:
1.- Organización e inicio: aquí debemos establecer los objetivos de la auditoría que son determinar la adecuación de las medidas y controles a la ley, establecer las deficiencias y proponer las medidas correctoras o complementarias necesarias. Para ello determinaremos el ámbito de la auditoría: ficheros y tratamientos que se revisarán, medidas de seguridad aplicadas, locales, equipos, sistemas, programas, procedimientos y personas que accedan a los datos. Debemos también establecer el alcance de la auditoría, es decir, los trabajos a realizar, y responsables para realizarlos.
2.- Planificación y toma de datos: elaborar calendario de entrevistas, documentación para la recogida de datos, recopilar información y documentación base del proyecto, estudiar toda la información recopilada y realizar informe de la toma de datos.
3.- Verificar cumplimiento: realizar las verificaciones, mediciones y controles necesarios y contrastarlo con la información y documentación obtenida.
4.- Informe final: identificar los incumplimientos, deficiencias y aspectos a mejorar, valorar el grado de adecuación de las medidas y controles existentes a la ley, realizar las conclusiones y las propuestas de medidas correctoras o complementarias necesarias, elaborar y presentar el informe de auditoría y el informe ejecutivo para la Dirección con los resultados más relevantes obtenidos.
 
Por último, destacar que la auditoría no serviría de nada si no existe el firme compromiso de la organización de adoptar las medidas correctoras o complementarias para corregir las deficiencias detectadas.
 
 

Escribir un comentario


Código de seguridad
Refescar