Obligatoriedad de Auditorías Bienales según el RLOPD
Los sistemas de información e instalaciones de tratamientos que contengan los datos calificados de nivel medio y/o alto, se someterán a una Auditoría al menos de forma bienal, que verifique el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad de datos. La realización de la Auditoría será también obligatoria en el caso de cambios en los sistemas de información que pueden afectar a las medidas ya implantadas, iniciando en ese caso el cómputo de dos años.
Dicha auditoría, que puede ser realizada de forma interna o externa, deberá finalizar en la emisión de un Informe, dictaminando la adecuación de las medidas y controles implantados a la Ley y su desarrollo reglamentario, y en su caso identificando las deficiencias y proponiendo las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el Responsable de Seguridad, que elevará las conclusiones al Responsable del Fichero para que adopte las medidas correctoras adecuadas y en todo caso, el informe quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las Comunidades Autónomas.
Es recomendable que el Responsable de Seguridad preparare un Programa de Auditoría de Seguridad, donde se especifique expresamente:
- Los ficheros previamente inscritos en el RGPD
- Las fechas propuestas para la realización de las auditorías.
- Los auditores internos designados o en su caso, la empresa externa Auditora.
- Los documentos necesarios para su revisión.
- Departamento y persona de contacto a entrevistar.
Una vez terminado el programa de la Auditoria, el Responsable de Seguridad, deberá remitir una copia a la Dirección de la empresa, con objeto de ponerlo en su conocimiento y obtener su aprobación.
El equipo auditor, con la colaboración del Responsable de Seguridad, así como otros responsables involucrados, revisará la documentación necesaria para llevar a cabo la auditoría.
Entre otros documentos se revisarán los siguientes:
- Documento de Seguridad vigente
- Histórico de notificaciones, con las respectivas copias de las altas, modificaciones y cancelaciones de ficheros ante el RGPD.
- Mapa de sistemas de la empresa
- Relación de aplicaciones utilizadas en el sistema informático de la empresa
- Organigrama con indicación de los departamentos de la empresa y sus responsables
- Auditorías anteriores
- Informes de controles periódicos de verificación efectuados
Tras la revisión de la documentación aplicable, los auditores prepararán una lista de comprobación en la que relacionen los aspectos a verificar durante la auditoría.
La Auditoría se llevará a cabo durante las fechas previstas en el calendario de trabajo propuesto, y las verificaciones a efectuar durante la misma serán en general.
Una vez finalizada la Auditoría, los auditores se reunirán con el / los responsables con el objeto de exponer las desviaciones detectadas y proponer las medidas correctoras para su resolución. Finalmente se emitirá un informe por parte del Auditor
El auditor, firmará el informe emitido y lo remitirá a la Dirección de la Empresa, así como al Responsable de Seguridad, el cual procederá a distribuirlo entre las áreas implicadas de la empresa para su revisión y análisis, archivando el original del mismo para realizar el seguimiento de las incidencias derivadas.
Departamento de Comunicación
Áudea Seguridad de la Información