Auditorias LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

NOVENO ERROR:

Si bien no llevo la cuenta exacta, creo que la pregunta que más habitualmente me hacen en materia de protección de datos es:

“¿Y entonces esto lleva un mantenimiento o cómo va?”.

Por tanto, me voy a referir hoy a la famosa cuestión del “mantenimiento” de la LOPD y las auditorías.

Como prácticamente cualquier proceso de adaptación a una normativa (y más cuando la normativa exige tener ciertos documentos y seguir procedimientos), es preciso hacer un seguimiento de la misma a lo largo del tiempo.

Pero un seguimiento no es ni una obligación de mantenimiento por la que tengas que pagar (no son pocos los que piensan que es así, la mayor parte de las veces por información engañosa proporcionada por empresas de estafadores), ni va a suponerte –en muchos casos- mayor complicación.

Me encuentro con muchos clientes que han acudido a mí para pedirme un segundo o tercer presupuesto, porque anteriormente otras empresas del sector les han pasado uno con propuesta de cuotas mensuales, amparadas en el famoso mantenimiento de la LOPD.

No me parece descabellado cuando la empresa tiene cierta entidad, o una actividad compleja, pero pienso que es una obvia tomadura de pelo cuando se trata de una zapatería de barrio, una heladería sin trabajadores que gestiona la propia familia o un abogado autónomo que ni siquiera tiene servicio de secretaría.

En los casos de profesionales autónomos y pequeños negocios, lo normal es que no haga falta prácticamente ningún mantenimiento. Se trataría, en términos generales,  de estar al tanto de las novedades legislativas que pudieran producirse en el futuro, de no olvidar la utilización de ciertas cláusulas para dar cumplimiento (y acreditarlo) a algunas obligaciones legales, y de tener al día el documento de seguridad y la notificación de ficheros realizada a la Agencia Española de Protección de Datos.

En la mayoría de las ocasiones, son cosas que puede hacer uno mismo sin más dificultad.

El mantenimiento mensual o periódico, me parece apropiado para empresas medianas o grandes, o también para empresas pequeñas, cuando por el tipo de actividad que desarrollan, se puedan plantear complicaciones en la adaptación. Sobre todo, habrá que ver la necesidad caso por caso.

Lo que sí que es cierto y lo exige la Ley como tal, es la llamada AUDITORÍA.

Es obligatoria cada dos años, cuando existen datos de nivel medio y alto. Así lo establece el artículo 96 del Real Decreto 1720/2007, de 21 diciembre, por el que aprueba el Reglamento de desarrollo de la LOPD.

La auditoría puede ser externa o interna, y por tanto no estás obligado a contratar a un profesional como yo para que te la haga. Puedes intentarlo tú mismo.

Se trata de un análisis para dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.

Tanto de lo anterior como de los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas, se deja constancia escrita en un informe.

Este informe será analizado por el responsable de seguridad, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas.

Además,  quedará a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Es, como puedes ver, un informe de carácter interno.

Te preguntarás si no tienes que remitirlo, una vez hecho, a la Agencia de Protección de Datos…: pues la respuesta es NO, no tienes que remitirlo.j

Y a continuación te preguntarás (mis clientes siempre se lo preguntan): “¿Y entonces, para qué voy a hacer el informe de auditoría?”.

No sé. Tú mismo. Esto es como no pasar la ITV, no pagar el IVA, o sacar la basura a las 2 de la tarde en agosto.

Son infracciones de normativas, que llevan aparejada una multa. Si estás dispuesto a asumir el riesgo, adelante.

Pero al menos está bien que conozcas la obligación legal.

“¿Y entonces no me puedes decir cómo hago la auditoría?”

Pues no. Entre otros motivos porque no soy un ONG (de momento).

No obstante, sí que puedo indicarte dónde publica la Agencia Española de Protección de Datos las directrices para hacerlo (página 40 en adelante):

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad_datos_2008.pdf

Deja un comentario