Auditoría LOPD ¿debo hacerla?

La obligación de realizar una auditoría para comprobar la correcta implementación de las medidas de seguridad aplicadas a los datos personales, no es obligatoria para todas aquellas empresas o profesionales que traten dichos datos. La normativa actual de protección de datos, exige la realización de una auditoría cada dos años, únicamente para aquellas empresas o profesionales que traten datos personales de tipo medio o alto.

¿Qué datos son de nivel medio o alto?

El artículo 80 del Real Decreto 1720/2007, de desarrollo de la LOPD realiza una clasificación de los niveles de seguridad aplicables a los datos personales, diferenciando entre las de nivel básico, medio y alto. Únicamente aquellas empresas que traten datos de nivel medio o alto deberán proceder a realizar la auditoría.

Los datos de nivel medio que mayoritariamente pueden almacenar y tratar las empresas son los relativos a morosidad y aquellos que permitan configurar un definición de la personalidad de los ciudadanos. Este segundo caso no está exento de conflicto puesto que hay ciertos datos que las empresas pueden recabar habitualmente y que permitan configurar dichos rasgos, por ejemplo los currículums de candidatos o aquella información que se solicite en un proceso de contratación laboral. Otro supuesto es el de creación de perfiles que muchas páginas web pueden realizar de sus compradores. En este sentido resulta destacable el Informe 487/2009 de la AEPD cuando establece que la previsión de aplicar medidas de seguridad medio a datos que permiten configurar un perfil de personalidad de los ciudadanos está previsto para aquella información a través de la que se pueden conocer datos relativos a su situación familiar o económica, así como sus hábitos de compra. En ese mismo informe, la AEPD indica que si se recaban datos que permitan configurar un perfil psicológico del ciudadano, deberán aplicarse medidas de nivel alto.

Además de los datos ya indicados, cualquier información relacionada con la salud de las personas, deberá aplicar las medidas de nivel alto. Por dato de salud debe entenderse «las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo». Este tipo de datos no son los únicos que deben aplicar el nivel alto, pero si lo que más comunmente pueden tratar las empresas.

¿En qué consiste la auditoría?

El proceso de auditoría, exigido por el artículo 96 del Real Decreto 1720/2007, se concreta en la necesidad de comprobar si las medidas de seguridad que se aplican a los ficheros con datos personales, están o no adecuadas a las indicadas en el propio Real Decreto. Además la auditoría tendrá las siguientes características básicas:

  • Deberá en primer lugar, identificar los ficheros con datos personales, analizando los recursos (programas, equipos y soportes) donde se tratan dichos datos. También deberá incluir los archivadores o lugares donde se alojen datos en papel.
  • Seguidamente, debe concretarse el nivel de seguridad aplicable a cada recurso: medio o alto.
  • A continuación, analizar las medidas de seguridad aplicadas y detectar deficiencias.
  • Finalmente, se realizará un informe de auditoría donde se detallen las tareas reallizadas, junto a las pruebas documentales pertinentes, así como el listado de deficiencias otorgando un plazo específico para su corrección.

A pesar que el deber de auditoría afecta únicamente a las medidas de seguridad, resulta recomandable que en este proceso se revise el cumplimiento de otras obligaciones en materia de protección de datos: cláusulas informativas y de consentimiento, contratos con proveedores o la formación al personal.

Auditoría LOPD
Auditoría LOPD

¿Quién debe realizar la auditoría?

El Real Decreto 1720/2007 no especifica ni el perfil de profesional para realizar la auditoría ni si el mismo debe tener alguna calificación especial. Simplemente indica que la auditoría será interna o externa. En cualquier caso deberá realizar algún profesional o grupo de profesionales, internos o externos, con conocimientos de la LOPD y el Real Decreto 1720/2007, y con un perfil jurídico-técnico suficiente para analizar las medidas de seguridad implementadas así como su adecuación o no a la normativa vigente. Resulta también recomendable que el citado profesional acredite un nivel de conocimiento previo a través de algún sistema de certificación en protección de datos por alguna entidad externa e independiente.

¿Cuánto tiempo debe conservarse el informe de auditoría?

El Informe de la AEPD 191/2010, establece la obligación de conservar los informes de auditoría por un período de 2 años.

Por último recordar que la AEPD en su Guía de Seguridad publicada hace un tiempo, incluyó un resumen de las comprobaciones a realizar durante una auditoría. Esta puede ser una buena base pero no puede obviar el papel de una comprobación personalizada e in situ de un profesional con las características indicadas anteriormente.

La legalidad de tu empresa,
en las mejores manos


692 14 05 71