Al cabo del día suelo oír, mínimo, uno o dos disparates sobre la LOPD.
Entre ellos, siempre cae alguno que otro sobre la famosa AUDITORÍA BIENAL de protección de datos de carácter personal.
Para empezar, muy pocos saben a ciencia cierta qué es.
Les suena, sí, porque se la han mencionado (normalmente los comerciales que les quieren vender servicio de adaptación a la LOPD y mantenimiento…).
Aclararse es tan sencillo como mirar el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Veámoslo:
Artículo 96. Auditoría.
1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.
No era tan difícil, ¿verdad?.
Esto es lo que deberías retener del artículo citado, pienso yo:
1º. La auditoría no es obligatoria para todo el mundo, sino sólo para quienes tengan datos de nivel medio o alto. Por ejemplo: si sólo usas nombres, apellidos, DNIs, domicilios, e-mails, teléfonos y datos bancarios de tus clientes, no estás dentro del artículo 96, y por tanto, no te afecta. En cambio: si eres médico, abogado, procurador, o manejas información sensible (si no sabes qué es, pregúntame), sí tienes que realizar una auditoría.
2º. Se hace cada dos años. Si te acabas de adaptar a la LOPD, cuenta dos años desde esa fecha.
3º. Puede ser interna o externa. O sea, que me puedes contratar a mí para que te la haga, o te puedes encargar tú mismo. El esquema a seguir y la información al respecto, los puedes encontrar en la web de la Agencia Española de Protección de Datos.
4º. La auditoría se compone, básicamente de un “chequeo”, cuestionario o revisión de asuntos, y de un informe escrito de conclusiones, resultado del cuestionario, deficiencias encontradas y medidas correctoras para subsanarlas.
5º. El informe NO SE ENVÍA A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, ni órgano equivalente de tu Comunidad. Es un documento interno. Tienes que contar con él y ponerlo a disposición de la Agencia si así te fuera requerido.
Y tras leer el quinto punto, sé que te ha encendido la bombilla de la inspiración y has pensado: “ah, Vanesa, pues si no tengo que enviar el informe de la Auditoría a la Agencia ni a ningún otro sitio, ¡pues no la hago!”.
Bien.
Pues no la hagas.
Allá tú con tu responsabilidad.
Viene a ser como no pasar la ITV de tu coche, salvando las distancias.
Lo mismo tienes suerte y nunca te pillan…
(Espero que se haya detectado el tonillo irónico de estas últimas declaraciones mías, claro).