¿Cumples con la LOPD? Pues vamos a comprobarlo?

Muchos de nosotros conocemos la existencia de la Ley Orgánica de Protección de Datos Personales, conocida como LOPD. Para cumplir con esta ley debemos, entre otras cosas, inscribir los ficheros que contengan datos personales ante la Agencia Española de Protección de Datos (en adelante AEPD), desarrollar un Documento de Seguridad, y en algunos casos, si hemos inscrito ficheros de nivel medio o alto, realizar auditorías bienales sobre el cumplimiento del Reglamento de Desarrollo de la LOPD.

La realización de estas auditorías bienales queda recogida en el Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la LOPD, conocido como RDLOPD. En él se establecen las medidas técnicas y organizativas que debemos cumplir con respecto a la LOPD. En concreto, los aspectos referentes a auditorías vienen recogidos en los artículos 96 y 110 del RDLOPD.

Pero para conocer de primera mano qué implican las auditorías en materia de protección de datos, vamos a introducirlas a través de las siguientes preguntas.

  • ¿Cuál es el objetivo de estas auditorías? Comprobar que cumplimos con las medidas y los controles exigidos tanto por la LOPD como por el RDLOPD.
  • ¿Tenemos la obligación de pasar una auditoría de LOPD en nuestra empresa? No, únicamente si tratamos datos de carácter personal calificados como nivel medio o alto, como por ejemplo datos de infracciones administrativas o penales, datos que nos permitan conocer la personalidad de un individuo, datos referidos a salud, afiliación sindical, ideología, religión, etc.(Para más información podemos consultar el artículo 81 “Aplicación de niveles de seguridad” del RDLOPD).
  • ¿Cada cuánto debemos hacer la auditoría? La ley establece que los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se sometan a auditorías al menos cada dos años. Adicionalmente debemos realizar una auditoría extraordinaria cuando hagamos modificaciones significativas sobre los sistemas de información, como por ejemplo si hemos sustituido nuestra aplicación corporativa principal por otra.
  • ¿Quién debe ejecutar la auditoría de protección de datos? Según establece el artículo 96 del RDLOPD estas auditorías pueden ser realizadas tanto por personal interno, como por personal externo. Sin embargo, al menos para que la auditoría sea lo más objetiva posible, es recomendable que la persona que lleve a cabo la auditoría, no haya participado en ningún momento en el proceso de adecuación a la LOPD.

Y la cuestión principal es… ¿En qué consiste una auditoría LOPD?

Accede a nuestros servicios LOPD

Muy sencillo, como cualquier auditoría, su objetivo es verificar el cumplimiento o la adecuación de las obligaciones impuestas por alguna ley o normativa. En este caso una auditoría de LOPD, persigue comprobar que tratamos los datos de carácter personal cumpliendo con las indicaciones recogidas tanto en la LOPD como en el RDLOPD.

Imagen auditoria bola - ciberseguridad empresasPero ¿por dónde empezamos? Lo primero que debemos tener claro antes de comenzar con la auditoría es determinar cuál va a ser su alcance. Para ello es necesario identificar los ficheros registrados ante la Agencia auditoriade Protección de Datos y los sistemas de información que dan soporte en el tratamiento de los datos. A partir de aquí y con toda esta información podremos hacer una planificación de cómo abordarla.

Por lo que respecta a LOPD, es necesario comprobar que el tratamiento de los datos personales que hagamos en nuestra organización como responsables (responsable del fichero), esté recogido debidamente ante la AEPD.

También debemos revisar que, todo aquel que lleve a cabo tratamientos sobre nuestros datos, disponga de un contrato regulado como encargado de tratamiento. Del mismo modo, debemos haber firmado acuerdos de confidencialidad con los proveedores que tengan potencial acceso a nuestros datos.

Por otra parte, el RDLOPD se enfoca más en comprobar que existan medidas técnicas que garanticen la protección de los datos, como por ejemplo:

  • Tener un documento de seguridad que cumpla lo estipulado en el RDLOPD.
  • Haber definido las funciones y obligaciones del personal con acceso a datos personales.
  • Tener un registro de incidencias y que esté correctamente cumplimentado.
  • Comprobar que la definición de los controles de acceso a los sistemas y aplicaciones permiten únicamente el acceso al personal autorizado.
  • Haber implantado medidas para controlar la gestión de soportes de almacenamiento. Por ejemplo disponer de un registro de entrada y salida y en el caso de que algún soporte distribuya datos de nivel alto, éstos deberán estar cifrados.
  • Tener mecanismos de identificación y autenticación que garanticen la seguridad en el acceso a la información.
  • Realizar copias de respaldo de nuestros datos. Que se llevan a cabo al menos semanalmente y se realizan una prueba de restauración semestralmente. Además se deberá almacenar una copia fuera de las instalaciones en el caso de disponer de datos de nivel alto.
  • Tener medidas de seguridad para el acceso físico al lugar donde se encuentran nuestros servidores.
  • Comprobar que exista un registro de acceso en las aplicaciones que dispongan de datos personales.
  • Usar mecanismos seguros para enviar información a través de redes de comunicaciones.
  • Realizar auditorías periódicas con carácter bienal.
  • Haber nombrado formalmente a un responsable de seguridad.
  • Hay que tener en cuenta que el RDLOPD dedica una serie de artículos a definir las medidas de seguridad para la documentación que está en soporte papel, por lo que no debemos olvidarnos de revisar también estas medidas en la auditoría.

Entre las medidas que afectan a la documentación en papel, podemos destacar:

  • Definir un criterio de archivado para la documentación.
  • Tener dispositivos de almacenamiento con mecanismos que obstaculicen su apertura.
  • Tener salas exclusivas para albergar la documentación especialmente sensible.
  • Definir y aplicar normas para la custodia de la documentación cuando no se encuentre almacenada.
  • Tener un registro de acceso a la documentación.

Todos estos aspectos deben ser revisados y documentados, aportando las oportunas medidas correctoras e identificando deficiencias, durante una auditoría de LOPD ya sea internamente o por personal externo.

Fuente: www.inteco.es

Los comentarios están cerrados.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies