Auditorias LOPD: mitos y leyendas

Obligacion auditoria LOPD

Al cabo del día suelo oír, mínimo, uno o dos disparates sobre la LOPD.

Entre ellos, siempre cae alguno que otro sobre la famosa AUDITORÍA BIENAL de protección de datos de carácter personal.

Para empezar, muy pocos saben a ciencia cierta qué es.

Les suena, sí, porque se la han mencionado (normalmente los comerciales que les quieren vender servicio de adaptación a la LOPD y mantenimiento…).

Aclararse es tan sencillo como mirar el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Veámoslo:

Artículo 96. Auditoría.

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

No era tan difícil, ¿verdad?.

Esto es lo que deberías retener del artículo citado, pienso yo:

1º. La auditoría no es obligatoria para todo el mundo, sino sólo para quienes tengan datos de nivel medio o alto. Por ejemplo: si sólo usas nombres, apellidos, DNIs, domicilios, e-mails, teléfonos y datos bancarios de tus clientes, no estás dentro del artículo 96, y por tanto, no te afecta. En cambio: si eres médico, abogado, procurador, o manejas información sensible (si no sabes qué es, pregúntame), sí tienes que realizar una auditoría.

2º. Se hace cada dos años. Si te acabas de adaptar a la LOPD, cuenta dos años desde esa fecha.

3º. Puede ser interna o externa. O sea, que me puedes contratar a mí para que te la haga, o te puedes encargar tú mismo. El esquema a seguir y la información al respecto, los puedes encontrar en la web de la Agencia Española de Protección de Datos.

4º. La auditoría se compone, básicamente de un “chequeo”, cuestionario o revisión de asuntos, y de un informe escrito de conclusiones, resultado del cuestionario, deficiencias encontradas y medidas correctoras para subsanarlas.

5º. El informe NO SE ENVÍA A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, ni órgano equivalente de tu Comunidad. Es un documento interno. Tienes que contar con él y ponerlo a disposición de la Agencia si así te fuera requerido.

Y tras leer el quinto punto, sé que te ha encendido la bombilla de la inspiración y has pensado: “ah, Vanesa, pues si no tengo que enviar el informe de la Auditoría a la Agencia ni a ningún otro sitio, ¡pues no la hago!”.

Bien.

Pues no la hagas.

Allá tú con tu responsabilidad.

Viene a ser como no pasar la ITV de tu coche, salvando las distancias.

Lo mismo tienes suerte y nunca te pillan…

(Espero que se haya detectado el tonillo irónico de estas últimas declaraciones mías, claro).

 

Auditorias LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

NOVENO ERROR:

Si bien no llevo la cuenta exacta, creo que la pregunta que más habitualmente me hacen en materia de protección de datos es:

“¿Y entonces esto lleva un mantenimiento o cómo va?”.

Por tanto, me voy a referir hoy a la famosa cuestión del “mantenimiento” de la LOPD y las auditorías.

Como prácticamente cualquier proceso de adaptación a una normativa (y más cuando la normativa exige tener ciertos documentos y seguir procedimientos), es preciso hacer un seguimiento de la misma a lo largo del tiempo.

Pero un seguimiento no es ni una obligación de mantenimiento por la que tengas que pagar (no son pocos los que piensan que es así, la mayor parte de las veces por información engañosa proporcionada por empresas de estafadores), ni va a suponerte –en muchos casos- mayor complicación.

Me encuentro con muchos clientes que han acudido a mí para pedirme un segundo o tercer presupuesto, porque anteriormente otras empresas del sector les han pasado uno con propuesta de cuotas mensuales, amparadas en el famoso mantenimiento de la LOPD.

No me parece descabellado cuando la empresa tiene cierta entidad, o una actividad compleja, pero pienso que es una obvia tomadura de pelo cuando se trata de una zapatería de barrio, una heladería sin trabajadores que gestiona la propia familia o un abogado autónomo que ni siquiera tiene servicio de secretaría.

En los casos de profesionales autónomos y pequeños negocios, lo normal es que no haga falta prácticamente ningún mantenimiento. Se trataría, en términos generales,  de estar al tanto de las novedades legislativas que pudieran producirse en el futuro, de no olvidar la utilización de ciertas cláusulas para dar cumplimiento (y acreditarlo) a algunas obligaciones legales, y de tener al día el documento de seguridad y la notificación de ficheros realizada a la Agencia Española de Protección de Datos.

En la mayoría de las ocasiones, son cosas que puede hacer uno mismo sin más dificultad.

El mantenimiento mensual o periódico, me parece apropiado para empresas medianas o grandes, o también para empresas pequeñas, cuando por el tipo de actividad que desarrollan, se puedan plantear complicaciones en la adaptación. Sobre todo, habrá que ver la necesidad caso por caso.

Lo que sí que es cierto y lo exige la Ley como tal, es la llamada AUDITORÍA.

Es obligatoria cada dos años, cuando existen datos de nivel medio y alto. Así lo establece el artículo 96 del Real Decreto 1720/2007, de 21 diciembre, por el que aprueba el Reglamento de desarrollo de la LOPD.

La auditoría puede ser externa o interna, y por tanto no estás obligado a contratar a un profesional como yo para que te la haga. Puedes intentarlo tú mismo.

Se trata de un análisis para dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.

Tanto de lo anterior como de los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas, se deja constancia escrita en un informe.

Este informe será analizado por el responsable de seguridad, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas.

Además,  quedará a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Es, como puedes ver, un informe de carácter interno.

Te preguntarás si no tienes que remitirlo, una vez hecho, a la Agencia de Protección de Datos…: pues la respuesta es NO, no tienes que remitirlo.j

Y a continuación te preguntarás (mis clientes siempre se lo preguntan): “¿Y entonces, para qué voy a hacer el informe de auditoría?”.

No sé. Tú mismo. Esto es como no pasar la ITV, no pagar el IVA, o sacar la basura a las 2 de la tarde en agosto.

Son infracciones de normativas, que llevan aparejada una multa. Si estás dispuesto a asumir el riesgo, adelante.

Pero al menos está bien que conozcas la obligación legal.

“¿Y entonces no me puedes decir cómo hago la auditoría?”

Pues no. Entre otros motivos porque no soy un ONG (de momento).

No obstante, sí que puedo indicarte dónde publica la Agencia Española de Protección de Datos las directrices para hacerlo (página 40 en adelante):

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad_datos_2008.pdf