LA AUDITORÍA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: METODOLOGÍA Y CONCEPTOS (*) (*) Nota técnica elaborada por el Despacho VELÁZQUEZ ABOGADOS (LEX – GRUPO ABOGADOS, BURGOS). La LEY ORGÁNICA 15/1999, de 13 de diciembre, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD) tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. El objeto de una auditoría de Protección de Datos es clarificar la adaptación de los ficheros de datos personales a las obligaciones impuestas, no sólo por la LOPD, sino también por el Reglamento de Medidas de Seguridad y las restantes disposiciones normativas que resulten de aplicación, destacando entre otras, a las medidas de seguridad y a los procedimientos llevados a cabo para la recogida y tratamiento de los datos personales. La complejidad de esta legislación, aconseja recurrir a firmas que colaboren en el proceso de adaptación. Para llevarla a cabo, no se examinan los concretos datos personales de los que se tiene conocimiento sino, simplemente, los procedimientos que se siguen en el tratamiento de los mismos y su tipología. Toda auditoría de protección de datos, se estructura en un detallado proceso que conduce a la elaboración de un informe de situación de la actividad propia de la empresa, así como de su página web si la tuviera, que incluye una descripción detallada sobre la adecuación de las medidas y controles al Reglamento, identificando sus deficiencias y proponiendo las medidas correctoras o complementarias que se consideren necesarias. A partir de este informe, se procede a: Redacción de la cláusula de protección de datos o notas legales más adecuadas a cada caso, que se insertarán tanto en el sitio web como en la documentación que sirve de soporte para la recogida de los datos personales (formularios, contratos, solicitudes, etc.) Redacción de la política de privacidad. La cada vez mayor concienciación de usuarios y clientes en relación con la privacidad de sus datos personales hace necesario que las empresas que recogen este tipo de datos en sus actividades (comerciales, promociónales, de selección de personal, etc.) y, de forma muy especial las que trabajan en Internet, establezcan de forma clara y visible una adecuada Política de Privacidad que tranquilice a cualquier particular respecto a la inexistencia de riesgos derivados del hecho de facilitar sus datos personales. Redacción del documento de seguridad que conlleva, a su vez, la realización de los siguientes documentos: 1. Documento de Seguridad: Determinación del responsable del fichero y descripción de las instalaciones y procedimientos físicos y telemáticos. 2. Documento de Funciones y Obligaciones: Enumeración de las obligaciones de los usuarios de los ficheros y miembros de la empresa en su acceso a los datos de carácter personal. 3. Documento de Procedimiento de Incidencias: Procedimiento a seguir en el supuesto de cualquier clase de incidencias. 4. Documento de Procedimiento de Gestión de Soportes: Enumeración de controles realizados para la salida y entrada de soportes. los Implantación del Documento de Seguridad (aplicación final de las recomendaciones fijadas en la auditoría) e Inscripción de los Ficheros ante la Agencia de Protección de Datos. Según se desprende del procedimiento expuesto en el Registro General de Protección de Datos sólo es necesario realizar una tipificación de la estructura de datos que se maneja, así como de las finalidades, procedimientos de recogida, ubicaciones y cesiones o accesos a los datos por parte de terceros.