En esta nueva entrada del blog vamos a explicar varias cuestiones relativas a la Ley de Protección de Datos y más en concreto en lo referente a la obligatoriedad o no de realizar auditorías de protección de datos….
¿En qué consiste la Auditoría de Protección de Datos?
Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.
Una vez realizada la auditoría, se elabora un informe que registra los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá analizarlo el responsable de seguridad para, a continuación, hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa.
¿Es obligatoria?
El informe de auditoría es obligatorio para todas aquellas organizaciones que, por el tipo de datos que almacenan, tienen un nivel de seguridad medio o alto. Por ejemplo, sería obligatoria en centros médicos, bancos, etc.
¿Cada cuánto hay que realizar una auditoría?
Mínimo cada dos años salvo que se realicen antes cambios sustanciales en el tipo o tratamiento de datos personales implicando una modificación de las medidas de seguridad necesarias.
¿Por qué tengo que “renovar” la Protección de Datos?
En dos años los sistemas informáticos, empleados con acceso a datos personales e incluso la dirección postal o datos de contacto de la empresa pueden variar con facilidad, por ello, es recomendable realizar una Auditoría de Protección de Datos anualmente para verificar que se cumple correctamente con la normativa y evitar así posibles incidencias o sanciones.
¿Quién puede hacer la auditoría?
La propia Ley de Protección de Datos indica que la Auditoría se puede realizar de manera interna o externa, ¿qué quiere decir esto? Se puede realizar por la propia organización auditada o por una empresa ajena, como puede ser la consultoría a la que contrató el servicio de adaptación LOPD.
El profesional designado para realizar la auditoría deberá ser especializado en este campo, debidamente capacitado en materia de protección de datos y con la característica de ser independiente, es decir, no tener ningún interés personal o familiar en la entidad auditada.
Interna VS Externa
Nuestra recomendación es realizar una auditoría interna al menos cada 6 meses o siempre que se produzcan modificaciones en aspectos importantes de la organización que involucren un cambio en el tratamiento de los datos personales, por ejemplo: un traslado de oficinas, apertura de otra actividad tratando distintos tipos de datos personales a los anteriores, desarrollo de un comercio online…
El Reglamento no obliga a realizar una nueva auditoría, salvo modificaciones sustanciales, en menos de dos años pero es habitual que en ese periodo se produzcan cambios en la empresa por lo que, si queremos evitar sanciones, mejor anualmente.
Resumen sobre la obligatoriedad de una auditoría LOPD
- Obligatorio para organizaciones con un nivel de seguridad medio o alto.
- Puede auditarse de manera interna o externa.
- Se debe realizar un Informe de Auditoría mínimo cada dos años
Fuente: ayudaleyprotecciondatos.es
