¿En qué consisten las auditorías reflejadas en el Reglamento de Desarrollo de la LOPD?
AUDITORIA DE VERIFICACIÓN
a) Definición. Tras la finalización del plan de acción, con la implantación de las medidas correctoras técnicas, jurídicas y organizativas se procede a auditar que efectivamente se han llevado a cabo. La finalidad de esta acción es que se cuente con un Informe de auditoría final que determine la situación real tras todo el proceso seguido para la implantación de su política de protección de datos de carácter personal.
b) Elaboración. La realización de la auditoría de verificación llevará consigo un trabajo de campo el cual ha de ser realizado obligatoriamente en las dependencias de la organización. El ámbito de la auditoría que se llevará a cabo sobre todas las medidas independientemente de su índole técnica, organizativa o jurídica.
c) Plazo. El plazo para la realización de esta acción viene supeditado por el establecido como límite para haber llevado a cabo la implantación de las medidas técnicas, jurídicas y organizativas establecidas en el plan de acción.
El documento base que debe guiar las acciones y comprobaciones del auditor será el plan de acción que debe establecer todas las medidas correctoras que debe tomar la organización para adecuarse a la normativa y paliar las deficiencias detectadas.
AUDITORIA DE MEDIDAS DE SEGURIDAD
Esta auditoría, basada en los requisitos establecidos por el Reglamento de desarrollo de la LOPD, tanto para los ficheros o tratamientos automatizados como para los ficheros o tratamientos no automatizados, puede ser interna o externa, y tendrá por objeto verificar el cumplimiento del referido reglamento, así como de los procedimientos e instrucciones vigentes en materia de seguridad de datos con respecto a los sistemas de información e instalaciones de tratamiento de los mismos. Se trata además de una auditoría que se debe realizar cada dos años, y que únicamente es aplicable obligatoriamente para aquellas organizaciones que traten datos de nivel medio o alto.
La auditoría tendrá por objeto:
– Comprobar la adecuación a la normativa de las medidas y controles de seguridad.
– Identificar deficiencias.
– Proponer aquellas medidas de corrección a efectos de cumplimiento del Reglamento.
Además de lo anterior, este tipo de auditoría debe contener los datos, hechos y observaciones en que se basen los informes realizados.
AUDITORIA LEGAL
Es la orientada a la comprobación o verificación de cumplimiento de lo establecido, no solamente con respecto a las medidas de seguridad, sino al conjunto de normas aplicables en el ámbito de la protección de datos personales.
De esta manera, por medio de la auditoría legal se comprobará si una determinada organización cumple los requisitos establecidos en la normativa sectorial de protección de datos, con respecto, por ejemplo, al cumplimiento de los principios de protección de datos personales, como por ejemplo: el consentimiento, información al interesado, calidad de los datos, o flujo de datos. Igualmente con respecto al cumplimiento de los procedimientos establecidos para garantizar el correcto ejercicio de los derechos de los titulares de los datos.
Este tipo de auditoría debe orientarse de igual manera a la comprobación de la tipología de los datos almacenados en los sistemas de información, aplicaciones informáticas o ficheros manuales a efecto de comprobar las medidas aplicadas a los ficheros existentes o bien, modificar éstas al objeto de adecuarlas al nivel de seguridad requerido por la tipología del dato contenido en el fichero.
Áudea Seguridad de la Información