AUD_2-1

Auditoría LOPD (II): Documentación a aportar

En la anterior entrega relativa a la Auditoría LOPD escribíamos sobre la documentación a aportar en el proceso de Auditoría en materia de protección de datos de una entidad. Dada la cantidad de documentación, modelos, avisos legales, creemos necesario describir y detallar toda esa documentación, entre otras cosas para poder conocer el alcance que tiene la LOPD en cuanto a su cumplimiento.

AUD_2
En base a todo lo expuesto con anterioridad, se procederá a requerir las siguientes acciones:
  1. Identificación / listado de todos los ficheros de datos de carácter personal de la Entidad, tanto si están registrados en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos como si no, como por ejemplo: clientes, empleados, proveedores, candidatos, contactos, etc. En caso de estar disponibles, copia de los formularios de inscripción de ficheros ya registrados o pendientes de inscripción en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos y de cualquier notificación y/o comunicación recibida de la Agencia Española de Protección de Datos, así como de las comunicaciones de la Agencia notificando la inscripción de los mismos.
  2. Identificación de las categorías de datos de carácter personal tratadas bajo los ficheros identificados en el apartado  anterior, por ejemplo, datos identificativos, datos de salud, etc.
  3. Identificación de las finalidades del tratamiento de los datos de carácter personal bajo los ficheros identificados en el apartado primero anterior, por ejemplo: recursos humanos; gestión contable, administrativa y fiscal; gestión de nóminas; publicidad y prospección comercial, etc.
  4. Información sobre cesiones de datos de carácter personal, así como transferencias internacionales de datos de carácter personal  (y los motivos por los que dicha información se cede y/o transfiere).En su caso, identificación de los destinatarios (en la medida de lo posible) o indicación de criterios para identificar a dichos destinatarios y los países en los que se encuentran sitos dichos destinatarios, siempre y cuando sea posible obtener esa información.
  5. Copia de los documentos utilizados para informar a los interesados sobre el tratamiento de sus datos personales y/u obtener, en su caso, su consentimiento al tratamiento de dichos datos y/o eventuales cesiones o transferencias internacionales de los mismos. En su defecto, descripción de los mecanismos utilizados para proporcionar información y/u obtener el consentimiento de los afectados, tales como: cláusulas de protección de datos en los contratos de trabajo o facturas a clientes, contratos con los interesados (clientes, proveedores. etc.), empleados, etc.
  6. Copia del contrato tipo suscrito con proveedores que tengan acceso a los datos de carácter personal de la entidad a consecuencia de la prestación de sus servicios, o, en su defecto, información sobre las obligaciones derivadas de los acuerdos concluidos con dichos terceros.
  7. Copia del contrato tipo que utiliza la entidad para el tratamiento de datos de carácter personal de responsables de ficheros en el marco de la gestión de recobro de deudas y, en caso, información sobre los procedimientos establecidos para el citado recobro.
  8. Copia de los contratos celebrados, en su caso, con terceros para la cesión y/o transferencia internacional de datos personales, incluyendo acuerdos tipo o, en su defecto, información sobre las obligaciones derivadas de los acuerdos concluidos con dichos terceros.
  9. Copia, en su caso, de los procedimientos previstos para dar respuesta al ejercicio por parte de los interesados de sus derechos de acceso, rectificación, cancelación y oposición.

 

Nuestra experiencia a lo largo de los años es que hay muchas entidades con la implantación de la LOPD realizada, (aunque no todas) pero sin haber hecho nunca ninguna auditoría y recordamos que el art. 9 de la LOPD por incumplimiento del deber de seguridad conllevaría una infracción grave y supondría una sanción de 40.001 euros a 300.000  euros, por lo tanto os recomendamos que hagáis auditoria ya sea de forma interna o externa, para verificar si se están haciendo las cosas bien en materia de protección de datos en vuestra entidad.

José Luis Fernández Peña

Auditor / Consultor en GrupoIWI Protección de Datos

Añadir un comentario

Debes estar conectado para publicar un comentario