Auditorías LOPD

En determinados casos (o lo que es lo mismo: cuando tratas datos de nivel medio o alto en tu negocio o actividad), tendrás que llevar a cabo una AUDITORÍA en materia de protección de datos de carácter personal.
 
¿Por qué?
Porque así lo ordena el artículo 96 del RLOPD.
 Artículo 96.Auditoría.
1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.
La periodicidad de la obligación es bienal, aunque si ha habido algún cambio importante, debes hacerla antes de los dos años.
Puede ser externa o interna. O sea: que te la puedes hacer tú mismo o encargársela a una empresa o profesional externos. El problema de auditarse a uno mismo, es que uno no suele ver sus propios fallos, pero bueno, siempre puedes coger la Ley y hacer una revisión exhaustiva de los posibles incumplimientos en que vengas incurriendo.
La auditoría consiste en hacer un informe por escrito donde conste la adecuación de las medidas y controles a la Ley y Reglamento, la identificación de las deficiencias y la proposición de las medidas correctoras, así como los hechos, datos y observaciones en que se base el informe.
El informe quedará como un documento interno de tu negocio, que no tienes que remitir a la Agencia Española de Protección de Datos, pero que sí tendrá que estar a su disposición por si alguna vez te fuera requerido.

Deja una respuesta