AUDITORÍAS BIENALES DE PROTECCIÓN DE DATOS: ¿ MI EMPRESA DEBE PASARLAS ?.

Con independencia de que sea recomendable pasar Auditorías de Protección de Datos, aunque tu empresa no esté obligada por la normativa (ya que es una excelente manera de poder comprobar si funcionan todos los mecanismos, circuitos, procedimientos y documentación que pusiste en marcha en el momento de tu adecuación a la normativa LOPD, y de que éstos se adecuan a la realidad actual de tu empresa) si en ella tratas datos considerados de nivel medio y/o de nivel alto, estás obligado a pasar -al menos bienalmente- Auditorías de Protección de Datos.

¿ Y cuáles son los datos considerados de nivel medio y alto ?

Nivel MEDIO:

  • Los relativos a la comisión de infracciones administrativas o penales.
  • Los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito).
  • Los de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades Tributarias.
  • Los de entidades financieras para las finalidades relacionadas con la prestación de servicios Financieros.
  • Los de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias.
  • Los de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Los que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas.
  • Los de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización  (para esta categoría de ficheros, además, deberá disponerse de un registro de accesos).

Nivel ALTO:

  • Los de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los recabados con fines policiales sin consentimiento de las personas afectadas.
  • Los derivados de actos de violencia de género.
  • Los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y localización.

Quiere ello decir que, con independencia de la obligación de establecer las medidas de seguridad adecuadas para cada nivel de fichero de tratamiento de datos, si en tu empresa tratas datos de nivel medio y/o de nivel alto estás obligado a pasar, al menos bienalmente, Auditorías de Protección de Datos Personales:

Real Decreto 1720/2007: Reglamento de desarrollo de la LOPD

Título VIII

Capítulo III: Medidas de seguridad aplicables a ficheros y tratamientos automatizados. Sección 2ª: Medidas de Seguridad de Nivel Medio.  Artículo 96  Auditoría:

1- A partir del nivel medio los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente título, al menos, cada dos años.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

3- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o en su caso, de las autoridades de control de las comunidades autónomas.

Xavier ALBERT

Director Comercial

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.