Una de las obligaciones que menos vemos en el desarrollo de nuestra labor como consultores en materia LOPD en las entidades y profesionales que están afectados por medidas de seguridad medio y alto , es la obligación de la Auditoria Bienal.

AUD_1
La definición histórica que podríamos dar a la auditoría es el examen crítico y sistemático que realiza una persona llámese auditor o grupo de personas independientes del sistema auditado, que puede ser una persona, organización, sistema, o los diferentes procesos en el desarrollo de actividades.
La auditoria LOPD como obligación la encontramos en el art. 96 del R.D. 1720/2007,  que indica que: ” A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.”
El propio articulo recoge dos tipologías de auditorías:
  • Interna:  Este tipo de auditoría es aquella que el propio responsable del fichero, es decir la empresa o entidad obligada. Este tipo de auditoría es igual de exigente ya que debe de contener la revisión de todas y cada una de las medidas de seguridad y obligaciones de la entidad y la correspondiente redacción de un informe de auditoría que debe de quedar a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.
  • Externa: Se trata de la misma auditoría pero realizada por consultores o auditores externos a la entidad auditada.
El contenido, alcance y naturaleza de la auditoria lo recoge el art 96.2 El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
En base al anterior precepto y con carácter general la realización de una correcta auditoria  se puede estructurar de la siguiente manera:
  1. Revisión y control de la adecuación normativa LOPD de la entidad. En esta primera fase se recogerá toda la información necesaria para determinar el grado de cumplimiento de la entidad. Se deberá aportar toda la documentación, contratos, modelos, avisos legales, políticas de privacidad que la entidad tenga relacionada con las obligaciones derivadas de la LOPD.
  2. Tras la recogida de toda la información necesaria, se procede a su análisis, entrando a valorar el alcance de las medidas de seguridad y protocolos implantados, cotejando la teórica implantación LOPD con la práctica en el día a día del trabajo en la entidad. En esta fase se tendrá que tener comunicación directa mediante reuniones, entrevistas o  conversaciones con los responsables  de seguridad o de los distintos departamentos con competencias en materia LOPD.
  3. Elaboración de un Informe de Auditoría, con el análisis de deficiencias y de las brechas de seguridad, detallando esas mismas deficiencias, identificando el origen de las mismas y proposición de medidas correctoras para subsanarlas.
En cuanto al Encargado del tratamiento, ¿debe realizar auditoría?. Para responder correctamente a esta cuestión, es necesario recurrir a la normativa vigente, así como a los informes emitidos por la AEPD. En principio, si son datos de nivel medio y alto, por supuesto que tienen que hacerla. Si no es el caso, pueden optar por no hacerla, pero puede ser exigida por el Responsable del tratamiento que les facilita los datos.

La auditoría debe verificar el cumplimiento en protección de datos, tanto desde el punto de vista de la organización (departamentos, flujos de información interna, control físico y lógico, etc.) como en cuanto a las medidas de seguridad (contraseñas de acceso, copias de respaldo, destrucción de soportes, almacenamiento de los soportes, listado de usuarios, etc.).

Dicho esto, desde GRUPOIWI queremos resaltar la importancia de realizar las auditorias cada dos años en primer lugar para verificar el correcto cumplimiento de la adecuación normativa de la protección de datos en las entidades y en segundo lugar por que se trata de una exigencia legal para aquellas empresas que tengan ficheros de nivel medio o alto de seguridad.


José Luis Fernández Peña
Auditor / Consultor en GrupoIWI Protección de Datos
Rodolfo Suárez García
rodolfo@grupoiwi.com
No hay comentarios

Deja tu comentario