Auditoría

Según dispone el art. 96 del RD 1720/2007 “a partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento… ”. “

Nuestros servicios de Auditoría verifican el cumplimiento de las medidas de seguridad tanto de los ficheros automatizados como en papel de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos.

El informe de Auditoría identifica las no conformidades existentes, la adecuación de las medidas y controles a la Ley, su desarrollo reglamentario y propone las medidas correctoras o complementarias necesarias para el debido cumplimiento legal.

Incluye además, los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

QUIÉN ESTÁ OBLIGADO A LA AUDITORÍA DE LA LOPD

La Auditoría es obligatoria cada dos años para toda aquellas organizaciones que, tratando datos de carácter personal - excluyendo de ello las que lo hagan con una finalidad exclusivamente doméstica - traten datos de alguno de los siguientes tipos:

Nivel Medio. Los relativos a la comisión de infracciones administrativas o penales,  aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros,        aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Nivel Alto: Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual,  los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, aquéllos que contengan datos derivados de actos de violencia de género.

Nivel Básico: No es obligatoria, pero si recomendable, ya que se revisan todos los protocolos de seguridad,  y se analizan la aplicación el cumplimiento de las normas establecidas en la Implantación:  contratos con el personal,  contratos encargado de tratamiento, ficheros actuales, contraseñas, aplicaciones informáticas, etc.,

Se auditaran todos los ficheros, tanto los manuales como los informatizados.

También se deberá realizar una Auditoría cuando existan modificaciones relevantes en el sistema de información aunque no hubiera transcurrido dicho plazo.

El mencionado informe deberá quedar a disposición de la Agencia Española de Protección de Datos o autoridades de control de las Comunidades Autónomas.

QUÉ OCURRE SI NO LA HAGO

Pues muy simple: que según el Reglamento de Medidas de Seguridad actualmente vigente, que desarrolla la LOPD, se considera una obligación enmarcada dentro de las distintas que conforman las llamadas medidas de seguridad, y, según la LOPD, no aplicar las medidas de seguridad supone la comisión de una infracción cuyo tramo de multa va de 60.000 a 300.000 euros, y no duden que si el inspector aparece no va a permitir excusas como "… bueno, en realidad, la tengo hecha, lo que ocurre es que no está aquí …".El tema es muy simple: o se tiene o no se tiene, y si la respuesta es sí, hay que presentarla sobre la marcha.