Auditoría de protección de datos

LOPD Auditoría de Protección de Datos

Como muchos sabrán, la LOPD (ley 15/99, orgánica, de protección de datos de carácter personal) prevé la realización de una auditoría, bienal, bajo determinados requisitos y presupuestos. Vamos a verlos.

¿Quién está obligado a la auditoría de la LOPD?

Lo están todas aquellas organizaciones que, tratando datos de carácter personal – excluyendo de ello las que lo hagan con una finalidad exclusivamente doméstica – traten datos de alguno de los siguientes tipos: sobre infracciones o sanciones, administrativas o penales (multas de tráfico, sanciones de Hacienda, etc.); que permitan obtener una evaluación de la personalidad del individuo (los típicos tests o encuestas, según los casos); los referentes a la ideología, religión, creencias, origen racial, salud o vida sexual (el dato de afiliación sindical para la confección de la nómina; los partes de baja o de alta del trabajador por motivos de salud, los datos médicos, etc.).

Da igual que los datos de que se trate lo estén en papel o en otro tipo de soporte, como el digital o informático.

¿Cada cuánto tiempo hay que hacerla?

La LOPD indica que será una vez cada dos años, comenzándose a computar los mismos a partir de que se comenzaron a tratar dichos datos, con el matiz de que para los datos de salud, ideología, religión, creencias, origen racial y vida sexual hubo una prórroga del plazo, pero que la misma acabó, siendo totalmente obligatoria dicha auditoría ya desde enero de 2002, por lo que en enero de 2004 venció ya el plazo, estándose cometiendo la infracción ahora mismo si no se ha confeccionado aún la misma estando obligado a ello.

¿Quién la hace y a quién se le comunica?

La LOPD da la opción de que la misma sea interna o externa, o sea, que la efectúe la misma organización, o bien se la encomiende a un tercero imparcial, deseablemente que se dedique profesionalmente a ello. Se comenta que en el borrador del reglamento de la futura LOPD se va a exigir que sea un tercero el que la realice, aparte de que dicho tercero no sea alguien que asesore al auditado, a fin de que no haya vínculo alguno entre las partes que le haga perder su supuesta o presunta imparcialidad. Una consecuencia directa de ello, si se aprueba ( y a título de ejemplo) será que la empresa de protección de datos que le lleva el mantenimiento anual en dicho ámbito, protección de datos, no podrá luego hacerle la auditoría bienal, pues no se considerará imparcial.

En realidad, la auditoría no hay que comunicarla a ningún sitio ni inscribirla en ningún registro. No obstante, sí hay obligación de conservar el documento en el que la misma se plasme, a fin de mostrarla al inspector correspondiente en el caso de ser inspeccionados por la Agencia Española de Protección de Datos.

De cualquier modo, y también en el borrador del futuro reglamento de la LOPD, se habla de que las auditorías habrán de inscribirse en el Registro General de Protección de Datos, con lo cual sospechamos que no sería de extrañar que las sanciones comiencen a llover como churros””, y pongo el ejemplo siguiente: empresa X comunica al Registro determinados ficheros, que califica como los antes descritos (sanciones o infracciones, administrativas o penales)

¿Qué ocurre si no la hago?

Pues muy simple: que según el Reglamento de Medidas de Seguridad actualmente vigente, que desarrolla la LOPD, se considera una obligación enmarcada dentro de las distintas que conforman las llamadas medidas de seguridad, y, según la LOPD, no aplicar las medidas de seguridad supone la comisión de una infracción cuyo tramo de multa va de 60.000 a 300.000 euros, y no duden que si el inspector aparece no va a permitir excusas como “… bueno, en realidad, la tengo hecha, lo que ocurre es que no está aquí …”. El tema es muy simple: o se tiene o no se tiene, y si la respuesta es sí, hay que presentarla sobre la marcha. A su vez, de nada sirve tenerla si resulta que no se adapta a la LOPD, pero para ver su contenido nada mejor que leer el epígrafe siguiente.

¿Qué contenido tiene la auditoría?

Digamos que en abstracto es bastante simple la estructura de la auditoría. Veámoslo: por un lado hay que indicar si la organización se adapta o no la LOPD, identificando en la misma – en caso de haberlos – los defectos encontrados, proponiendo cómo subsanarlos, e indicando en qué se basa todo lo anterior.

Por otro lado, el informe que contenga la auditoría habrá de ser analizado por el llamado Responsable de Seguridad – la persona que dentro de la organización está obligada a coordinar y controlar las medidas de seguridad -, el cual dará traslado del mismo al Responsable de los Ficheros – quien decide acerca del contenido, uso y finalidad de los ficheros. Para entendernos: el cliente que paga la auditoría o responsable de los datos – a fin de que éste, estando ya informado del contenido de la misma, ordene adoptar las medidas necesarios en orden a la completa adaptación de su empresa a la LOPD.

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: