{"id":11795,"date":"2014-12-30T12:47:55","date_gmt":"2014-12-30T11:47:55","guid":{"rendered":"https:\/\/www.rosello-mallol.com\/auditoria-lopd-debo-hacerla\/"},"modified":"2021-07-16T10:23:13","modified_gmt":"2021-07-16T09:23:13","slug":"auditoria-lopd-debo-hacerla","status":"publish","type":"post","link":"https:\/\/www.rosello-mallol.com\/es\/auditoria-lopd-debo-hacerla\/","title":{"rendered":"Auditor\u00eda LOPD \u00bfdebo hacerla?"},"content":{"rendered":"\n

La obligaci\u00f3n de realizar una auditor\u00eda LOPD para comprobar la correcta implementaci\u00f3n de las medidas de seguridad<\/strong> aplicadas a los datos personales, no es obligatoria para todas aquellas empresas o profesionales que traten dichos datos. <\/p>\n\n\n\n

La normativa actual de protecci\u00f3n de datos, exige la realizaci\u00f3n de una auditor\u00eda cada dos a\u00f1os<\/strong>, \u00fanicamente para aquellas empresas o profesionales que traten datos personales de tipo medio<\/strong> o alto<\/strong>.<\/p>\n\n\n\n

\u00bfQu\u00e9 datos son de nivel medio o alto?<\/strong><\/h2>\n\n\n\n

El art\u00edculo 80 del Real Decreto 1720\/2007<\/strong>, de desarrollo de la LOPD realiza una clasificaci\u00f3n de los niveles de seguridad aplicables a los datos personales, diferenciando entre las de nivel b\u00e1sico, medio y alto. \u00danicamente aquellas empresas que traten datos de nivel medio o alto deber\u00e1n proceder a realizar la auditor\u00eda.<\/p>\n\n\n\n

Los datos de nivel medio<\/strong> que mayoritariamente pueden almacenar y tratar las empresas son los relativos a morosidad<\/strong> y aquellos que permitan configurar un definici\u00f3n de la personalidad de los ciudadanos<\/strong>. Este segundo caso no est\u00e1 exento de conflicto\u00a0puesto que hay ciertos datos que las empresas pueden recabar habitualmente y que permitan configurar dichos rasgos, por ejemplo los curr\u00edculums<\/strong> de candidatos o aquella informaci\u00f3n que se solicite en un proceso de contrataci\u00f3n laboral. Otro supuesto es el de creaci\u00f3n de\u00a0perfiles <\/strong>que muchas p\u00e1ginas web pueden realizar de sus compradores<\/strong>. En este sentido resulta destacable el Informe 487\/2009\u00a0<\/strong>de la AEPD cuando establece que la previsi\u00f3n de aplicar medidas de seguridad medio a datos que permiten configurar un perfil de personalidad de los ciudadanos est\u00e1 previsto para aquella informaci\u00f3n a trav\u00e9s de la que se pueden conocer datos relativos a su situaci\u00f3n familiar o econ\u00f3mica<\/strong>, as\u00ed como sus h\u00e1bitos de compra. En ese mismo informe, la AEPD indica que si se recaban datos que permitan configurar un perfil psicol\u00f3gico del ciudadano, deber\u00e1n aplicarse medidas de nivel alto.<\/p>\n\n\n\n

Adem\u00e1s de los datos ya indicados, cualquier informaci\u00f3n relacionada con la salud<\/strong> de las personas, deber\u00e1 aplicar las medidas de nivel alto. Por dato de salud debe entenderse “las informaciones concernientes a la salud pasada, presente y futura, f\u00edsica o mental, de un individuo”.<\/span><\/em> Este tipo de datos no son los \u00fanicos que deben aplicar el nivel alto, pero si lo que m\u00e1s comunmente pueden tratar las empresas.<\/span><\/p>\n\n\n\n

\u00bfEn qu\u00e9 consiste la auditor\u00eda LOPD?<\/b><\/h2>\n\n\n\n

El proceso de auditor\u00eda, exigido por el art\u00edculo 96 del Real Decreto 1720\/2007<\/strong>, se concreta en la necesidad de comprobar si las medidas de seguridad que se aplican a los ficheros con datos personales, est\u00e1n o no adecuadas a las indicadas en el propio Real Decreto. Adem\u00e1s la auditor\u00eda tendr\u00e1 las siguientes caracter\u00edsticas b\u00e1sicas<\/strong>:<\/p>\n\n\n\n