REALIZACIÓN DE LA AUDITORÍA BIANUAL OBLIGATORIA Y ACTUALIZACIÓN DE LAS MEDIDAS DE SEGURIDAD DESDE LA IMPLANTACIÓN

El artículo 96 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de Diciembre dispone en su primer apartado que “a partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente Título”, añadiendo que “con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoria inicia el cómputo de dos años señalado en el párrafo anterior”.

A su vez, el apartado 3 del precepto establece que “los informes de auditoria (…) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas”, si bien no se establece el plazo de conservación a disposición de la Agencia de tales informes.

El artículo 44.2 h) de la Ley Orgánica 15/1999 dispone que constituirá infracción grave de la Ley “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Dicha infracción prescribirá a los dos años de su comisión, tal y como dispone el artículo 47.1
de la Ley.

Como puede comprobarse, el responsable del fichero y el encargado se encuentran obligados a la realización, siempre que sean de aplicación las medidas de seguridad de nivel medio, como mínimo, de una auditoría cada dos años, siendo precisamente de dos años el plazo de prescripción de la sanción consistente en no haber cumplido con dicha obligación.

Es por ello, que desde ADSUAR LEGAL CONSULTING se efectuará una revisión exhaustiva de todos los aspectos que puedan afectar al tratamiento de datos y se procederá a la modificación documental de aquellos apartados que se hubiesen alterado, así como la entrega de un Informe de Auditoria con un resumen de la situación previa a la auditoría, fallos detectados, modificaciones realizadas y prescripciones en medidas de seguridad inexistentes o insuficientes. En la Auditoría externa se incluyen los siguientes servicios:

1.- Actualización de ficheros

Inscripción y notificación ante la Agencia Española de Protección de Datos de los nuevos ficheros existentes, modificación en supuestos de cambios sustanciales en los ficheros (denominación, domicilio social, etc.) y supresión, en su caso.

2.- Actualización del Documento de Seguridad

Este Documento de Seguridad, que definirá las políticas, los procedimientos de seguridad y la organización del sistema y del personal, llevado a cabo en la empresa, impondrá también las necesidades y las medidas a adoptar, estableciendo responsables, usos y terceros implicados, así como las soluciones jurídicas aplicables en cada caso.

Una vez estudiado, deberá procederse a su actualización, tanto en el contenido como en los anexos existentes.

3.- Puesta al día de los Anexos al documento de seguridad

En virtud de lo establecido en el Real Decreto 1720/2007 se establecen una serie de medidas que requieren la confección y seguimiento de diferentes registros. Formarán este anexo al Documento de Seguridad los modelos e instrucciones para cumplimentarlos en cada caso, siendo estos los siguientes: Registro de Incidencias, Registro de entrada/salida de datos, Inventario de soportes y Registro de acceso a la documentación.

Dichos Anexos deben estar actualizados y puestos al día para que su información sea veraz y actualizada.

4.- Legalización de las entradas de datos

Cualquier entrada de información debe ser comunicada a su titular de manera que pueda dar su consentimiento al tratamiento para la finalidad para la que ha sido recogida, informando de los derechos que le asisten y de la identidad del Responsable del fichero.

I.4.a.- Redacción de las solicitudes de consentimientos expresos para el tratamiento de datos, según los diferentes casos.
I.4.b.- Inserción de cláusulas generales en los diferentes medios de envío de la empresa, e-mail, fax, newsletter, papel de carta, libros de registro, etc.

5.- Legalización de las salidas de datos: contratos de encargo de tratamiento

Con carácter general, sólo pueden realizarse las cesiones, comunicaciones o acceso por parte de terceros que respondan a la finalidad para la que los datos fueron obtenidos, y en todo caso debe instrumentalizarse legalmente, según el supuesto en el que nos encontremos.

I.5.a.- Redacción de documentos de confidencialidad en las cesiones de datos, sin que exista tratamiento posterior.
I.5.b.- Redacción de documentos de confidencialidad en los casos de acceso por parte de terceros a los locales de la empresa o a los soportes con información
I.5.c.- Redacción de contratos personalizados con los Encargos de tratamiento, en aquellos casos de cesiones con una finalidad de prestación de servicios que requiere tratamiento posterior de la información.

6.- Informe de Medidas de seguridad aplicables: Nivel Alto de Seguridad

I.6.a.- Redacción y entrega del informe de Auditoria con las medidas de seguridad existentes en la empresa, tanto a nivel documental como automatizado, dependiendo del nivel de seguridad requerido por los diferentes ficheros, señalando el nivel de cumplimiento real aplicado, las exigencias de la normativa y las sugerencias en la forma de cumplimiento.

I.6.b.- Entrega de la documentación dirigida a los usuarios de la empresa, trabajadores contratados o colaboradores, con las obligaciones dimanantes de la normativa de protección de datos que les afectan y recomendaciones en el tratamiento de la información.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR