EL SOMETIMIENTO A LA AUDITORÍA BIENAL EN PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS Toda persona física o jurídica, de naturaleza pública o privada que decida sobre la finalidad, contenido y uso del tratamiento de datos personales es un responsable del fichero desde el punto de vista de la normativa en protección de datos: la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley (RLOPD), y por lo tanto debe cumplir con unas obligaciones que marca la citada normativa. Las obligaciones del responsable del fichero nacen con la creación de los ficheros que contienen datos personales y pasan por la legitimación del tratamiento de los datos cumpliendo con los principios de calidad, información, consentimiento y secreto, así como por el cumplimiento de las medidas de seguridad en el tratamiento de los datos. Además, cabe la posibilidad de que los ficheros se modifiquen o se supriman, o que se produzcan cesiones de datos personales. En TusConsultoresLegales.com queremos hacer hincapié en la obligación del cumplimiento de las medidas de seguridad en el tratamiento de los datos de carácter personal dado que es el bloque más práctico y cotidiano al que se debe afrontar el responsable del fichero y/o los terceros intervinientes en el tratamiento. Su regulación la encontramos en Título VIII, Capítulo I del RLOPD, y el tipo de medidas de seguridad a cumplir varían en función del nivel de seguridad (básico, medio o alto) otorgado al 1 fichero o ficheros. ÁMBITO DE APLICACIÓN DE LA AUDITORÍA La realización de auditorías bienales sobre los sistemas de información e instalaciones de tratamiento y almacenamiento de datos está regulada en el artículo 96 del RLOPD y es una de las obligaciones más destacadas del ordenamiento. Esta medida de seguridad es de obligado cumplimiento a partir del nivel medio de seguridad de los ficheros, y por lo tanto también para el nivel alto ya que las medidas de seguridad son de aplicación acumulativa. No obstante ello, nada impide llevar a cabo la auditoría para los ficheros de nivel básico, de hecho es recomendable realizar la auditoría sobre la totalidad de los ficheros de la entidad para obtener el diagnóstico sobre la globalidad de la situación y poder lograr el mayor grado de cumplimiento de la normativa posible. La tipología de ficheros que en todo caso deben someterse a la auditoría en protección de datos de forma bienal son: Ficheros de nivel medio: o o o o o o o Los relativos a la comisión de infracciones administrativas o penales. Aquellos cuyo funcionamiento se rija por el artículo 29 de la LOPD. Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. Aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. Aquellos que contengan un conjunto de datos personales que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar aspectos de la personalidad o del comportamiento de los mismos. Cabe recordar que los ficheros de nivel medio contienen indicada y además contienen los datos de nivel básico como identificativos de una persona (nombre y apellidos, DNI, fichero solo contiene datos identificativos de nivel básico no la auditoría. la tipología de datos lo son todos los datos teléfono, etc.). Si el es obligatorio realizar Y dado que la aplicación de las medidas de seguridad es acumulativa, también deberán contemplar la realización de la auditoría los ficheros de nivel alto. 2 Ficheros de nivel alto: o o o Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales. Los que contengan datos derivados de actos de violencia de género. Por lo tanto, todos los sistemas de información automatizados o mixtos) relativos a los ficheros de recomendablemente también para los ficheros de someterse cada dos años a una auditoría sobre medidas de seguridad aplicables. (automatizados, no nivel medio y alto, y nivel básico, deben la adecuación a las Tal auditoría puede ser realizada de forma interna, por parte del propio responsable del fichero, o de forma externa, por una tercera empresa. La gran parte de empresas se declinan por la auditoría externa por el mayor conocimiento sobre la materia que puede ofrecer una empresa especializada y con experiencia, y el mayor grado de exhaustividad en la realización de la auditoría y objetividad en los resultados que puede presentar. La auditoría culmina con un informe que dictamina sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, la identificación de las deficiencias detectadas y la propuesta de las medidas correctoras o complementarias necesarias. Los informes de auditoría deberán ser analizados por el responsable de seguridad de la entidad para que adopte las medidas correctoras pertinentes y deberán quedar a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas. Por último, cabe añadir que si bien en todo caso la realización de la auditoría en protección de datos deberá tener una periodicidad bienal, el RLOPD establece que deberá realizarse dicha auditoría con carácter extraordinario siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Para más información consultar la página web de TusConsultoresLegales: www.tusconsultoreslegales.com 3