{"id":11795,"date":"2014-12-30T12:47:55","date_gmt":"2014-12-30T11:47:55","guid":{"rendered":"https:\/\/www.rosello-mallol.com\/auditoria-lopd-debo-hacerla\/"},"modified":"2021-07-16T10:23:13","modified_gmt":"2021-07-16T09:23:13","slug":"auditoria-lopd-debo-hacerla","status":"publish","type":"post","link":"https:\/\/www.rosello-mallol.com\/es\/auditoria-lopd-debo-hacerla\/","title":{"rendered":"Auditor\u00eda LOPD \u00bfdebo hacerla?"},"content":{"rendered":"\n
La obligaci\u00f3n de realizar una auditor\u00eda LOPD para comprobar la correcta implementaci\u00f3n de las medidas de seguridad<\/strong> aplicadas a los datos personales, no es obligatoria para todas aquellas empresas o profesionales que traten dichos datos. <\/p>\n\n\n\n La normativa actual de protecci\u00f3n de datos, exige la realizaci\u00f3n de una auditor\u00eda cada dos a\u00f1os<\/strong>, \u00fanicamente para aquellas empresas o profesionales que traten datos personales de tipo medio<\/strong> o alto<\/strong>.<\/p>\n\n\n\n El art\u00edculo 80 del Real Decreto 1720\/2007<\/strong>, de desarrollo de la LOPD realiza una clasificaci\u00f3n de los niveles de seguridad aplicables a los datos personales, diferenciando entre las de nivel b\u00e1sico, medio y alto. \u00danicamente aquellas empresas que traten datos de nivel medio o alto deber\u00e1n proceder a realizar la auditor\u00eda.<\/p>\n\n\n\n Los datos de nivel medio<\/strong> que mayoritariamente pueden almacenar y tratar las empresas son los relativos a morosidad<\/strong> y aquellos que permitan configurar un definici\u00f3n de la personalidad de los ciudadanos<\/strong>. Este segundo caso no est\u00e1 exento de conflicto\u00a0puesto que hay ciertos datos que las empresas pueden recabar habitualmente y que permitan configurar dichos rasgos, por ejemplo los curr\u00edculums<\/strong> de candidatos o aquella informaci\u00f3n que se solicite en un proceso de contrataci\u00f3n laboral. Otro supuesto es el de creaci\u00f3n de\u00a0perfiles <\/strong>que muchas p\u00e1ginas web pueden realizar de sus compradores<\/strong>. En este sentido resulta destacable el Informe 487\/2009\u00a0<\/strong>de la AEPD cuando establece que la previsi\u00f3n de aplicar medidas de seguridad medio a datos que permiten configurar un perfil de personalidad de los ciudadanos est\u00e1 previsto para aquella informaci\u00f3n a trav\u00e9s de la que se pueden conocer datos relativos a su situaci\u00f3n familiar o econ\u00f3mica<\/strong>, as\u00ed como sus h\u00e1bitos de compra. En ese mismo informe, la AEPD indica que si se recaban datos que permitan configurar un perfil psicol\u00f3gico del ciudadano, deber\u00e1n aplicarse medidas de nivel alto.<\/p>\n\n\n\n Adem\u00e1s de los datos ya indicados, cualquier informaci\u00f3n relacionada con la salud<\/strong> de las personas, deber\u00e1 aplicar las medidas de nivel alto. Por dato de salud debe entenderse “las informaciones concernientes a la salud pasada, presente y futura, f\u00edsica o mental, de un individuo”.<\/span><\/em> Este tipo de datos no son los \u00fanicos que deben aplicar el nivel alto, pero si lo que m\u00e1s comunmente pueden tratar las empresas.<\/span><\/p>\n\n\n\n El proceso de auditor\u00eda, exigido por el art\u00edculo 96 del Real Decreto 1720\/2007<\/strong>, se concreta en la necesidad de comprobar si las medidas de seguridad que se aplican a los ficheros con datos personales, est\u00e1n o no adecuadas a las indicadas en el propio Real Decreto. Adem\u00e1s la auditor\u00eda tendr\u00e1 las siguientes caracter\u00edsticas b\u00e1sicas<\/strong>:<\/p>\n\n\n\n A pesar que el deber de auditor\u00eda afecta \u00fanicamente a las medidas de seguridad, resulta recomandable que en este proceso se revise el cumplimiento de otras obligaciones en materia de protecci\u00f3n de datos: cl\u00e1usulas informativas y de consentimiento, contratos con proveedores o la formaci\u00f3n al personal.<\/p>\n\n\n\n El Real Decreto 1720\/2007 <\/strong>no especifica ni el perfil de profesional para realizar la auditor\u00eda ni si el mismo debe tener alguna calificaci\u00f3n especial. Simplemente indica que la auditor\u00eda ser\u00e1 interna o externa<\/strong>. En cualquier caso deber\u00e1 realizar alg\u00fan profesional o grupo de profesionales, internos o externos, con conocimientos de la LOPD y el Real Decreto 1720\/2007<\/strong>, y con un perfil jur\u00eddico-t\u00e9cnico suficiente para analizar las medidas de seguridad implementadas as\u00ed como su adecuaci\u00f3n o no a la normativa vigente. Resulta tambi\u00e9n recomendable que el citado profesional acredite un nivel de conocimiento previo a trav\u00e9s de alg\u00fan sistema de certificaci\u00f3n<\/strong> en protecci\u00f3n de datos por alguna entidad externa e independiente.<\/p>\n\n\n\n El Informe de la AEPD 191\/2010<\/strong>, establece la obligaci\u00f3n de conservar los informes de auditor\u00eda por un per\u00edodo de 2 a\u00f1os<\/strong>.<\/p>\n\n\n\n Por \u00faltimo recordar que la AEPD en su Gu\u00eda de Seguridad<\/strong> publicada hace un tiempo, incluy\u00f3<\/strong> <\/a>un resumen de las comprobaciones a realizar durante una auditor\u00eda. Esta puede ser una buena base pero no puede obviar el papel de una comprobaci\u00f3n personalizada e in situ de un profesional con las caracter\u00edsticas indicadas anteriormente.<\/p>\n\n\n\n\u00bfQu\u00e9 datos son de nivel medio o alto?<\/strong><\/h2>\n\n\n\n
\u00bfEn qu\u00e9 consiste la auditor\u00eda LOPD?<\/b><\/h2>\n\n\n\n
\u00bfQui\u00e9n debe realizar la auditor\u00eda LOPD?<\/strong><\/h2>\n\n\n\n
\u00bfCu\u00e1nto tiempo debe conservarse el informe de auditor\u00eda?<\/strong><\/h2>\n\n\n\n