PROTECCIÓN DE DATOS. AUDITORÍA EN LA LOPD.

Como muchos sabrán, la LOPD (ley 15/99, orgánica, de protección de datos de carácter personal) prevé la realización de una auditoría, bienal, bajo determinados requisitos y presupuestos. Vamos a verlos.

QUIÉN ESTÁ OBLIGADO A LA AUDITORÍA DE LA LOPD

Lo están todas aquellas organizaciones que, tratando datos de carácter personal – excluyendo de ello las que lo hagan con una finalidad exclusivamente doméstica – traten datos de alguno de los siguientes tipos: sobre infracciones o sanciones, administrativas o penales (multas de tráfico, sanciones de Hacienda, etc.); que permitan obtener una evaluación de la personalidad del individuo (los típicos tests o encuestas, según los casos); los referentes a la ideología, religión, creencias, origen racial, salud o vida sexual (el dato de afiliación sindical para la confección de la nómina; los partes de baja o de alta del trabajador por motivos de salud, los datos médicos, etc.).

Da igual que los datos de que se trate lo estén en papel o en otro tipo de soporte, como el digital o informático.

CADA CUÁNTO TIEMPO HAY QUE HACERLA

La LOPD indica que será una vez cada dos años, comenzándose a computar los mismos a partir de que se comenzaron a tratar dichos datos, con el matiz de que para los datos de salud, ideología, religión, creencias, origen racial y vida sexual hubo una prórroga del plazo, pero que la misma acabó, siendo totalmente obligatoria dicha auditoría ya desde enero de 2002, por lo que en enero de 2004 venció ya el plazo, estándose cometiendo la infracción ahora mismo si no se ha confeccionado aún la misma estando obligado a ello.

QUIÉN LA HACE Y A QUIÉN SE LE COMUNICA

La LOPD da la opción de que la misma sea interna o externa, o sea, que la efectúe la misma organización, o bien se la encomiende a un tercero imparcial, deseablemente que se dedique profesionalmente a ello. Se comenta que en el borrador del reglamento de la futura LOPD se va a exigir que sea un tercero el que la realice, aparte de que dicho tercero no sea alguien que asesore al auditado, a fin de que no haya vínculo alguno entre las partes que le haga perder su supuesta o presunta imparcialidad. Una consecuencia directa de ello, si se aprueba ( y a título de ejemplo) será que la empresa de protección de datos que le lleva el mantenimiento anual en dicho ámbito, protección de datos, no podrá luego hacerle la auditoría bienal, pues no se considerará imparcial.

En realidad, la auditoría no hay que comunicarla a ningún sitio ni inscribirla en ningún registro. No obstante, sí hay obligación de conservar el documento en el que la misma se plasme, a fin de mostrarla al inspector correspondiente en el caso de ser inspeccionados por la Agencia Española de Protección de Datos.

De cualquier modo, y también en el borrador del futuro reglamento de la LOPD, se habla de que las auditorías habrán de inscribirse en el Registro General de Protección de Datos, con lo cual sospechamos que no sería de extrañar que las sanciones comiencen a llover como “churros”, y pongo el ejemplo siguiente: empresa X comunica al Registro determinados ficheros, que califica como los antes descritos (sanciones o infracciones, administrativas o penales; datos de salud, partes de baja por accidente, etc.), ante lo cual la Agencia sabe ya que está obligada a hacer la auditoría. Su programa informático analiza la fecha de inscripción del fichero, le añade 2 años, y si dentro de dicho plazo no ha comunicado la auditoría, apertura de procedimiento sancionador.

QUÉ OCURRE SI NO LA HAGO

Pues muy simple: que según el Reglamento de Medidas de Seguridad actualmente vigente, que desarrolla la LOPD, se considera una obligación enmarcada dentro de las distintas que conforman las llamadas medidas de seguridad, y, según la LOPD, no aplicar las medidas de seguridad supone la comisión de una infracción cuyo tramo de multa va de 60.000 a 300.000 euros, y no duden que si el inspector aparece no va a permitir excusas como “… bueno, en realidad, la tengo hecha, lo que ocurre es que no está aquí …”. El tema es muy simple: o se tiene o no se tiene, y si la respuesta es sí, hay que presentarla sobre la marcha. A su vez, de nada sirve tenerla si resulta que no se adapta a la LOPD, pero para ver su contenido nada mejor que leer el epígrafe siguiente.

QUÉ CONTENIDO TIENE LA AUDITORÍA

Digamos que en abstracto es bastante simple la estructura de la auditoría. Veámoslo: por un lado hay que indicar si la organización se adapta o no la LOPD, identificando en la misma – en caso de haberlos – los defectos encontrados, proponiendo cómo subsanarlos, e indicando en qué se basa todo lo anterior.

Por otro lado, el informe que contenga la auditoría habrá de ser analizado por el llamado Responsable de Seguridad – la persona que dentro de la organización está obligada a coordinar y controlar las medidas de seguridad -, el cual dará traslado del mismo al Responsable de los Ficheros – quien decide acerca del contenido, uso y finalidad de los ficheros. Para entendernos: el cliente que paga la auditoría o responsable de los datos – a fin de que éste, estando ya informado del contenido de la misma, ordene adoptar las medidas necesarios en orden a la completa adaptación de su empresa a la LOPD.