AUDITORÍA OBLIGATORIA BIENAL
¿Por qué una AUDITORÍA OBLIGATORIA?
Todas las empresas, negocios y/o profesionales que tengan niveles de seguridad de datos MEDIO o ALTO, deberán realizar, al menos, cada dos años, una auditoría de sus medidas de seguridad en los procesos y procedimientos de tratamiento de estos datos.
Tendrán niveles MEDIO o ALTO en el tratamiento de datos de carácter personal, aquellas actividades en las que se manejen datos según lo establecido en el artículo 81 del RD 1720/2007, de 21 de diciembre, Reglamento que desarrolla la LOPD.
Esta obligatoriedad queda recogida en los artículos 96 y 110 del Reglamento. El Reglamento, en su artículo 96 establece que:
“1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. (…)
- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
- Los informes de auditoría (…) quedarán a disposición de la Agencia Española de Protección de Datos, o en su caso, de las autoridades de control de las comunidades autónomas.”
El artículo 110 hace referencia a la obligatoriedad de realizar auditoría al tratamiento no automatizado de datos.
Objetivos de una AUDITORÍA OBLIGATORIA
1.- Asegurar que se cumple el Reglamento RD 1720/2007, de Desarrollo de la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos, para minimizar el riesgo de que la empresa auditada se vea sometida a sanciones de la AEPD y/o daños en su imagen corporativa derivados del tratamiento de datos personales.
2.-Verificar, asimismo, el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad de datos, establecidos en el documento de seguridad elaborado por la empresa y adoptado como normativa interna en materia de seguridad y protección de los datos contenidos en los ficheros del sistema de tratamiento.
El PLAN DE TRABAJO a seguir en una AUDITORÍA OBLIGATÓRÍA DE PROTECCIÓN DE DATOS serán:
1.-Todos los procesos concernientes o relativos al tratamiento de los datos de carácter personal, tanto automatizados como no automatizados, que se incluyan como contenido de los ficheros del sistema de información de la empresa, desde el momento inicial de su recogida hasta su destrucción mediante el procedimiento establecido.
2.- Todos los Departamentos, ámbito material (equipos, aplicaciones) y ámbito personal, mediante entrevistas personales, que tenga relación, acceso o que intervenga en el tratamiento de los datos de carácter personal.
3.- Se revisará toda la documentación relacionada con el tratamiento de datos de carácter personal, y se comparará y verificará su adecuación con la normativa y se ratificará en la puesta en práctica.
4.- Se realizará un informe de auditoría en el que se recogerá todos los aspectos observados (evidencias de auditoría), los hallazgos encontrados (conformidad o no conformidad con la norma), y las conclusiones a las que se llega atendiendo a las observaciones y los hallazgos encontrados.
5.- Se elaborará un informe de recomendaciones de acciones correctivas o complementarias a realizar, atendiendo a las conclusiones obtenidas.