La Normativa en Protección de datos de carácter personal, obliga a las empresas y autónomos que manejen datos personales y tengan dado de alta los ficheros en la Agencia Española de Protección de Datos, cuyo nivel de protección sea media o alta, y sin importar el tipo de datos, ya sea automatizado o no automatizado, a hacer una auditoria cada dos años o con carácter extraordinario si se realizan modificaciones sustanciales en el sistema de información, para garantizar el cumplimiento de las medidas de seguridad en relación a la protección de los datos personales que en el desarrollo de su actividad pueda tener.
Entendiendo por auditoria, una herramienta de control y supervisión que permitan conocer fallos en el manejo de datos personales, a través de la investigación, revisión, consulta, comprobación, y obtención de toda evidencia sobre un hecho o sistemas establecido, para el cumplimiento y la garantía del buen uso de los datos personales, llevada a cabo por personal cualificado.
Cuya obligatoriedad la encontramos en el Real Decreto 1720/2007 del 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que establece en su art. 96:
- A partir del nivel medios los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.”
Será la empresa quien decida cómo quiere efectuar estas auditorías , teniendo en cuenta que está debe realizarse con objetividad e imparcialidad, basada en evidencias objetivas, es decir, es importante para poder emitir un informe final, tener en cuenta la información que se recopile para poderla efectuar, basada en hechos conocidos y observados durante el tiempo que se realice y los medios que se utilicen para la comprobación del cumplimiento de las medidas de seguridad definidas en el documento de seguridad.
La labor del auditor debe ejecutarse manteniendo imparcialidad de criterios sin dejar que influyan factores internos o externos, de tal manera que siempre haya un criterio de independencia frente a la empresa que va a auditar.
La auditoria debe realizarse mediante un proceso sistemático que implicaría la aplicación de una metodología, por ello la entidad auditora deberá elaborar sus propios procedimientos y protocolos de actuación, que permita obtener los datos necesarios, para elaborar el informe final, procedimientos que llevará a cabo a través de un auditor quien determinará el grado de precisión que existe entre los hechos que se generan en realidad y los informes que se han generado en relación al documento de seguridad.
Otro aspecto muy importante en su realización es la parte documental, al constituir la prueba más objetiva de lo que se dice es cierto y permiten evidenciar los hechos, la auditoria se centrará en los propios documentos que suministra el propio auditado y basado en el documento de seguridad, y los registros que se tengan en los ficheros mixtos o no automatizados.
Tipos de auditorias
Podrán ser Externas o Internas
Auditoria Externa
La externa, será la realizada por un profesional en la materia sin vinculo laboral con la empresa que va a auditar, utilizando técnicas y procedimientos determinados destinados a la revisión de los métodos empleados por las empresa para garantizar el cumplimiento de lo establecido por la ley respecto a las medidas de seguridad, que permitan garantizar la legalidad de la obtención de los datos, la legalidad de su uso y el buen manejo de los mismo.
En esta auditoria la relación es de tipo civil, entre el auditor y la empresa auditada, mediante la realización de un contrato de prestación de servicios
Auditoría Interna
Será la realizada por un profesional que posea un vinculo laboral con la empresa, con conocimientos específicos sobre dicha materia, que además sea abogado en ejercicio o ingeniero informático, quien utilizará técnicas determinadas destinadas a la revisión de los métodos de control o de seguridad empleados, para emitir un informe final, que permita evaluar el grado de cumplimiento de la empresa en relación a los compromisos adquiridos en cuanto al manejo de los datos de carácter personal que tenga en su poder.
Metodología del trabajo de auditoria
Las etapas de ejecución de la auditoría son las siguientes:
- Reunión inicial.
- La recogida de evidencias, que se realiza mediante cuatro estrategias:
- Análisis de documentación aportada por la auditada.
- Comprobación de registros.
- Inspección visual de los sistemas de la información y entorno físico.
- Entrevistas con el personal, tanto Responsable/s de Seguridad como diversos usuarios.
- Documentación de los resultados.
- Reunión final para comentario de las evidencias con el Responsable de Seguridad de la auditada.
- Elaboración del informe de auditoría.
Finalmente el informe de auditoria debe contener:
- Objetivo de la auditoria.
- Identificación de los auditores.
- Personas contactadas.
- Fecha de la auditoria.
- Normas de referencia.
- Descripción de las no conformidades encontradas, y la toma de las acciones correctivas.
- Eficacia del sistema para el cumplimiento de los requisitos de la norma y documentos.
- Lista de distribución del informe.
- Adjuntar observaciones y recomendaciones para adecuar la empresa a la protección de datos.
Este informe deberá dictaminar sobre la adecuación de Las medidas y controles a la ley y su desarrollo reglamentario, debe ser analizado por el responsable de seguridad, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas.
La estructura del informe puede ser:
- Entidad auditada.
- Auditor.
- Objetivos de la auditoria.
- Ficheros y tratamientos auditados.
- Ejecución del trabajo.
- Entrega del informe.
- Análisis de los niveles de seguridad asignados.
- Tabla de resumen de medidas correctoras o complementarias.
- Tabla de resumen de recomendaciones del auditor.
- Conclusiones.
Aunque este artículo es un resumen muy corto y generalizado del contendido y las implicaciones de la auditoria, espero les sea de utilidad.
Un saludo,
Buenos días,
Necesito información y presupuesto para auditoría de Protección de datos a empresas.
Un saludo,
Saleta Castro
Buenas tardes, me pongo en contacto a traves del e mail, para que me cuente más detalles sobre lo que necesita.
Un saludo,
Dora
Buenos días Dora:
Nos ha llegado un rumor indicando que, a partir del 15 de diciembre de 2015, la auditoría es obligatoria para todos los niveles de protección.
¿Es correcto el rumor?
Muchas gracias por la respuesta.
Buenos días:
He llamado a la AEPD y me han dicho que ese rumor era falso, que las empresas que manejan datos de nivel bajo, no necesitan pasar ninguna auditoría.
Sólo era una treta de una oficina gestora que quería «cazarnos».