AUDITORÍA DE PROTECCIÓN DE DATOS

Todo fichero automatizado que contenga datos personales debe tener implantadas las medidas de seguridad correspondientes al nivel de sensibilidad de los datos personales que contenga, tal y como establece el artículo 9 de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal.

Estas medidas de seguridad técnica y organizativa están reguladas en el Real Decreto 994/1999, de 11 de Junio.

Las auditorias de protección de datos, son una moda o una obligación Muchos empresarios se preguntan cuáles son sus obligaciones como personas físicas o jurídicas que tratan datos de carácter personal, simplificando en muchas ocasiones aquellas en el mero trámite del asiento de ficheros. De qué consta una auditoria de protección de datos. Quién debe realizarla, Este artículo facilita la adaptación a la normativa de protección de datos de obligado cumplimiento.

Las auditorias de protección de datos no pueden ser todas iguales, bajo los mismos procesos, ya que cada despacho de abogados o consultoría trabaja de una forma diferente, si bien a través de este artículo destacaremos algunos pasos que consideramos imprescindibles para una correcta adaptación a la normativa de protección de datos, realizando una breve explicación de cada paso, de tal forma que sea el lector el que pueda decidir qué pasos considera imprescindibles y cuáles no.

Cabe destacar, que no existen certificados específicos para auditar en materia de protección de datos personales, si bien se hace obligatorio, como en cualquier otra materia, que el abogado que vaya a asesorarle, sea un especialista en la materia. Así mismo, teniendo en cuenta que la auditoria conlleva un estudio legal, organizativo y técnico; en ocasiones y, dependiendo de la organización de la empresa, ciertos procesos de la auditoria podrían llevarse a cabo por un especialista informático o de sistemas, dependiendo de la organización de la empresa, aunque en la mayoría de las ocasiones, el abogado especialista es la persona que junto con el Director de las Tecnologías de la Información de la empresa realiza esta tarea.

Entre las medidas de seguridad de nivel medio y alto es necesario hacer mención a una importante medida de seguridad, y de obligado cumplimiento:Los sistemas de información e instalaciones de tratamiento de datos deberán someterse a una auditoria interna o externa, que verifique el cumplimiento de las obligaciones, los procedimientos e instrucciones vigentes en materia de seguridad.Esta obligación deberá cumplirse, como mínimo, cada dos años.

Por lo tanto, el objeto de la auditoria es verificar la adaptación de los ficheros automatizados de datos personales a las obligaciones impuestas, no sólo por la LOPD, sino también por el Reglamento de Medidas de Seguridad y las restantes disposiciones normativas que resulten de aplicación, en especial, a las medidas de seguridad y a los procedimientos llevados a cabo para la recogida y tratamiento de los datos personales.

FASES PARA REALIZAR UNA AUDITORIA DE DATOS.

Toda Auditoria de Protección de Datos debe seguir un desarrollo, a través de distintas fases que a continuación detallamos:

Fase I: Identificación de los datos personales.
En ella se obtiene el mayor volumen de información posible, necesaria para poder desarrollar y elaborar la Política de Seguridad a seguir, así como para desarrollar el resto de fases de la auditoria. En esta fase, nuestro equipo se desplazaría, en caso de ser necesario para llevarla a cabo, a sus oficinas.

Fase II: Nivel y medidas de seguridad aplicables
Una vez analizada toda la información, se procede a la determinación del nivel de medidas de seguridad que debe ser adoptado, en función del tipo de datos personales contenidos en los ficheros.

Fase III: Entrega del informe de auditoria
Llegado este momento, se redacta el Informe General de la Auditoría, en el que se detallan las medias a adoptar.

Fase IV: Ejecución de la auditoria.
Por último, y como consecuencia lógica de toda la labor llevada a cabo, se procede a la puesta en práctica de las medidas necesarias para la correcta adecuación a la normativa sobre protección de datos.

PASOS RECOMENDADOS EN UNA AUDITORIA DE PROTECCIÓN DE DATOS

Paso I. Estudio, Verificación e Identificación de los datos de carácter personal
En este primer paso se procedería al estudio, verificación e identificación de todos y cada uno de los elementos necesarios para llevar a cabo la completa adaptación, procediéndose a examinar los datos de carácter personal objeto de tratamiento.

En dicha fase de actuación se procedería a examinar entre otros aspectos:

1. -Obtención de los datos de carácter personal.
2. Finalidad de los datos de carácter personal.
3. Ficheros de datos de carácter personal.
4. Consentimiento del afectado en la recogida de los datos.
5. Responsable del fichero.
6. Derecho de los afectados.
7. Encargo de Tratamiento.
8. Acceso a los datos de carácter personal.
9. Cesión de datos.
   

Paso II. Niveles de Seguridad
Una vez estudiados los datos obtenidos en el primer paso se procedería a identificar el nivel de seguridad en base a la naturaleza de la información que contengan los diferentes datos que son tratados, por parte de la empresa o responsable del fichero. En concreto, los diferentes ficheros que contengan datos personales serían organizados en función del nivel de seguridad:

• Básico: se considerarán ficheros de nivel básico, aquellos que tengan nombres, apellidos, edad, lugar de nacimiento, profesión, teléfono, etc.

• Medio: aquellos que contengan datos relativos a la comisión de infracciones administrativas, penales, Hacienda Pública, servicios financieros y los de solvencia patrimonial. También se considerarán ficheros de nivel medio, aquellos que contengan un conjunto de datos de carácter personal suficientes que permitan obtener la evaluación de la personalidad de un individuo.

• Alto: serán todos aquellos ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas.

Así mismo, en función del nivel de seguridad, se reflejarían las medidas a adoptar para cada uno de los ficheros y, en consecuencia, definiendo y estableciendo las medidas técnicas, organizativas y legales para su adecuación al Reglamento de Medidas de Seguridad. Destacar de este punto, que el abogado o empresa que le audite no necesitará en ningún caso visualizar los datos personales de sus ficheros, sino que le bastará conocer los campos que ustedes receban para poder llevar a cabo un estudio profundo.

Paso III. Documento Legal
Tras el estudio y revisión de todos los elementos de los pasos anteriores, se expondrían las deficiencias detectadas y las recomendaciones que, a tal efecto, se plasmarían para una mejor adaptación de la empresa a la normativa vigente en materia de protección de datos de carácter personal.

Paso IV. Documento de Seguridad
En este paso cabe destacar las diferencias que existen entre el Documento Legal y el Documento de Seguridad.

ALGUNAS CARACTERÍSTICAS DEL DOCUMENTO DE SEGURIDAD SON:

1. En primer lugar el Documento de Seguridad es un documento que debe estar redactado a nombre del Responsable del Fichero, aunque lo haya redactado un despacho de abogados.
2. Así mismo, la tenencia de dicho documento es un imperativo legal para todas aquellas personas físicas o jurídicas que traten datos de carácter personal (a excepción de las exoneradas por ley), con indiferencia del tipo de datos personales que traten.
3. De igual forma, el Documento de Seguridad deberá estar accesible para los responsables de la entidad auditada, así como para los inspectores de la Agencia Española de Protección de Datos Personales y, por ello en dicho documento sólo se incluirán los procesos legales, organizativos y técnicos que efectivamente se cumplen.
4. El Documento de Seguridad deberá llevar anexas las Funciones y Obligaciones de aquellas personas de la entidad que accedan o traten datos de carácter personal.
5. Deberán incluirse en forma de anexos los distintos procedimientos para la autorización de altas, bajas de ficheros, registro de incidencias, registro de usuarios, salidas y entradas de soportes, etc.
6. Teniendo en cuenta que el Documento de Seguridad es el último paso de la auditoria, se deberá adjuntar un inventario de ficheros que se vayan a dar de alta, modificar o cancelar ante la Agencia Española de Protección de Datos. Así mismo, en el momento que los ficheros hayan sido admitidos por el Director de la Agencia Española de Protección de Datos, se deberá incluir el número de inscripción de fichero que éste le haya otorgado, al Documento de Seguridad.
   

La normativa es muy explícita respecto a este apartado, dirigiéndose el mismo a aquellos responsables de ficheros que traten datos personales de nivel medio y/o alto. Lo que el Reglamento de Medidas de Seguridad exige es la realización de una auditoria de protección de datos que verifique los procedimientos legales, técnicos y organizativos, al menos cada dos años. Por lo que dependiendo de la organización de la empresa, dicha auditoria deberá realizarse, semestralmente, anualmente o una vez cada dos años, si bien, en todo, caso, la auditoria no se presentaría como un procedimiento opcional.
En el caso de aquellos responsables de ficheros que sólo traten datos de nivel básico, la primera auditoria de protección de datos seguiría siendo obligatoria, si bien el Reglamento no menciona ninguna obligación en materia de revisión, aunque siempre y cuando se modifiquen procesos, aplicaciones informáticas o cambios significativos, estas auditorias ayudarían a la verificación de la correcta implantación o en su caso a la corrección de las deficiencias detectadas.