el sometimiento a la auditoría bienal en protección de datos de

Anuncio
EL SOMETIMIENTO A LA AUDITORÍA BIENAL EN
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS
Toda persona física o jurídica, de naturaleza pública o privada que decida
sobre la finalidad, contenido y uso del tratamiento de datos personales es un
responsable del fichero desde el punto de vista de la normativa en
protección de datos: la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal (LOPD) y el Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la
Ley (RLOPD), y por lo tanto debe cumplir con unas obligaciones que
marca la citada normativa.
Las obligaciones del responsable del fichero nacen con la creación de los
ficheros que contienen datos personales y pasan por la legitimación del
tratamiento de los datos cumpliendo con los principios de calidad, información,
consentimiento y secreto, así como por el cumplimiento de las medidas de
seguridad en el tratamiento de los datos. Además, cabe la posibilidad de que
los ficheros se modifiquen o se supriman, o que se produzcan cesiones de
datos personales.
En TusConsultoresLegales.com queremos hacer hincapié en la obligación del
cumplimiento de las medidas de seguridad en el tratamiento de los
datos de carácter personal dado que es el bloque más práctico y
cotidiano al que se debe afrontar el responsable del fichero y/o los terceros
intervinientes en el tratamiento. Su regulación la encontramos en Título
VIII, Capítulo I del RLOPD, y el tipo de medidas de seguridad a cumplir
varían en función del nivel de seguridad (básico, medio o alto) otorgado al
1
fichero o ficheros.
ÁMBITO DE APLICACIÓN DE LA AUDITORÍA
La realización de auditorías bienales sobre los
sistemas de información e instalaciones de
tratamiento y almacenamiento de datos está
regulada en el artículo 96 del RLOPD y es una de las
obligaciones más destacadas del ordenamiento.
Esta
medida
de seguridad
es
de
obligado
cumplimiento a partir del nivel medio de
seguridad de los ficheros, y por lo tanto también
para el nivel alto ya que las medidas de seguridad son
de aplicación acumulativa.
No obstante ello, nada impide llevar a cabo la auditoría para los ficheros de
nivel básico, de hecho es recomendable realizar la auditoría sobre la
totalidad de los ficheros de la entidad para obtener el diagnóstico sobre
la globalidad de la situación y poder lograr el mayor grado de
cumplimiento de la normativa posible.
La tipología de ficheros que en todo caso deben someterse a la auditoría en
protección de datos de forma bienal son:
Ficheros de nivel medio:
o
o
o
o
o
o
o
Los relativos a la comisión de infracciones administrativas o penales.
Aquellos cuyo funcionamiento se rija por el artículo 29 de la LOPD.
Aquellos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias.
Aquellos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestación de servicios financieros.
Aquellos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen con el ejercicio de sus
competencias.
Aquellos de los que sean responsables las mutuas de accidentes de trabajo
y enfermedades profesionales de la Seguridad Social.
Aquellos que contengan un conjunto de datos personales que ofrezcan una
definición de las características o de la personalidad de los ciudadanos y
que permitan evaluar aspectos de la personalidad o del comportamiento
de los mismos.
Cabe recordar que los ficheros de nivel medio contienen
indicada y además contienen los datos de nivel básico como
identificativos de una persona (nombre y apellidos, DNI,
fichero solo contiene datos identificativos de nivel básico no
la auditoría.
la tipología de datos
lo son todos los datos
teléfono, etc.). Si el
es obligatorio realizar
Y dado que la aplicación de las medidas de seguridad es acumulativa, también
deberán contemplar la realización de la auditoría los ficheros de nivel alto.
2
Ficheros de nivel alto:
o
o
o
Los que se refieran a datos de ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines policiales.
Los que contengan datos derivados de actos de violencia de género.
Por lo tanto, todos los sistemas de información
automatizados o mixtos) relativos a los ficheros de
recomendablemente también para los ficheros de
someterse cada dos años a una auditoría sobre
medidas de seguridad aplicables.
(automatizados, no
nivel medio y alto, y
nivel básico, deben
la adecuación a las
Tal auditoría puede ser realizada de forma interna, por parte del propio
responsable del fichero, o de forma externa, por una tercera empresa. La
gran parte de empresas se declinan por la auditoría externa por el mayor
conocimiento sobre la materia que puede ofrecer una empresa especializada y con
experiencia, y el mayor grado de exhaustividad en la realización de la auditoría y
objetividad en los resultados que puede presentar.
La auditoría culmina con un informe que dictamina sobre la adecuación de las
medidas y controles a la Ley y su desarrollo reglamentario, la identificación de las
deficiencias detectadas y la propuesta de las medidas correctoras o
complementarias necesarias. Los informes de auditoría deberán ser analizados por
el responsable de seguridad de la entidad para que adopte las medidas correctoras
pertinentes y deberán quedar a disposición de la Agencia Española de Protección
de Datos o, en su caso, de las autoridades de control de las comunidades
autónomas.
Por último, cabe añadir que si bien en todo caso la realización de la auditoría en
protección de datos deberá tener una periodicidad bienal, el RLOPD establece que
deberá realizarse dicha auditoría con carácter extraordinario siempre que
se realicen modificaciones sustanciales en el sistema de información que
puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con el objeto de verificar la adaptación, adecuación y eficacia
de las mismas.
Para más información consultar la página web de TusConsultoresLegales:
www.tusconsultoreslegales.com
3
Descargar