Auditoría de Protección de Datos

Las auditorias de protección de datos, ¿son una moda o una obligación? Muchos empresarios se preguntan cuáles son sus obligaciones como personas físicas o jurídicas que tratan datos de carácter personal, simplificando en muchas ocasiones aquellas en el mero trámite del asiento de ficheros. ¿De qué consta una auditoría de protección de datos? ¿Quién debe realizarla? Este artículo facilita la adaptación a la normativa de protección de datos de obligado cumplimiento.

Iciar López-Vidriero Tejedor, Socia y Abogada de ICEF Consultores

Resumen:

¿Todas las auditorías de protección de datos son iguales? ¿Basta con el asiento de ficheros? ¿Es normal que la empresa que me audita acceda a los ficheros que tengo en los ordenadores? ¿Existen auditorías tipo? ¿Las auditorías son sólo para las grandes empresas? Éstas y otras cuestiones serán resueltas a lo largo del artículo, que lo que pretende es acercar al lector al arduo trabajo que significa una auditoría de protección de datos, tanto para su empresa como para la empresa que le audite, puesto que todas las recomendaciones que se realicen deben ser llevadas a cabo posteriormente por el empresario.

Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas.

El tratamiento de datos personales está ocasionando importantes riesgos económicos asociados al incumplimiento de la normativa vigente en materia de protección de datos personales. El desarrollo de la actividad de la mayoría de las empresas obliga al establecimiento y adopción de una serie de medidas legales, técnicas y organizativas de seguridad que limiten su responsabilidad frente a posibles incumplimientos de la normativa. Desde mi punto de vista, considero que esta adaptación ha de realizarse de una forma exhaustiva y personal acorde a los diferentes ámbitos de actuación y desarrollo empresarial, puesto que cada empresa es diferente, inclusive dentro del mismo sector de actividad.

Así mismo, si bien ya se han escrito artículos acerca de las obligaciones que el Responsable del Fichero -persona física o jurídica que decide sobre la finalidad de los datos personales que se vayan a tratar- debe llevar a cabo, en una auditoría se especifican las obligaciones que debe afrontar dicho Responsable, pero en base a las deficiencias que se hayan detectado y a la forma de actuar del propio Responsable, de tal forma que la auditoría no suponga un trastorno en la organización de una empresa, sino un valor añadido, puesto que una vez analizadas todas las deficiencias e implantadas las recomendaciones, la entidad queda organizada, legal y técnicamente adaptada, lo que significa organizar una entidad de forma eficiente.

Las auditorías de protección de datos no pueden ser todas iguales, bajo los mismos procesos, ya que cada despacho de abogados o consultoría trabaja de una forma diferente, si bien a través de este artículo destacaremos algunos pasos que consideramos imprescindibles para una correcta adaptación a la normativa de protección de datos, realizando una breve explicación de cada paso, de tal forma que sea el lector el que pueda decidir qué pasos considera imprescindibles y cuáles no.

Cabe destacar, que no existen certificados específicos para auditar en materia de protección de datos personales, si bien se hace obligatorio, como en cualquier otra materia, que el abogado que vaya a asesorarle, sea un especialista en la materia. Así mismo, teniendo en cuenta que la auditoría conlleva un estudio legal, organizativo y técnico; en ocasiones y, dependiendo de la organización de la empresa, ciertos procesos de la auditoría podrían llevarse a cabo por un especialista informático o de sistemas, dependiendo de la organización de la empresa, aunque en la mayoría de las ocasiones, el abogado especialista es la persona que junto con el Director de las Tecnologías de la Información de la empresa, desarrollan el plan técnico que mejor puede convenir a la entidad, según los medios organizativos y técnicos de los que disponga (ordenadores, portátiles, intranet, etc.)

Pasos recomendados en una auditoría de protección de datos

Quizá el primer paso y el más importante es tener la certeza de que quien le audita es realmente un profesional en materia de protección de datos personales y además le va a realizar un asesoramiento personalizado, puesto que cada entidad es un mundo, aún siendo del mismo sector. Por lo que una de las piezas claves es poder contar con el apoyo de un profesional. Al igual que cuando se tienen problemas en temas laborales uno acude a un abogado laboralista, puesto que es la persona que más práctica y estudio tiene en dicho ámbito, en las nuevas tecnologías y, especialmente, en protección de datos personales, es aún más importante la cualificación del abogado, ya que al ser una materia en continuo cambio, requiere un estudio y dedicación constante.

Paso I. Estudio, Verificación e Identificación de los datos de carácter personal

En este primer paso se procedería al estudio, verificación e identificación de todos y cada uno de los elementos necesarios para llevar a cabo la completa adaptación, procediéndose a examinar los datos de carácter personal objeto de tratamiento.

En dicha fase de actuación se procedería a examinar entre otros aspectos:

-Obtención de los datos de carácter personal.

-Finalidad de los datos de carácter personal.

-Ficheros de datos de carácter personal.

-Consentimiento del afectado en la recogida de los datos.

-Responsable del fichero.

-Derecho de los afectados.

-Encargo de Tratamiento.

-Acceso a los datos de carácter personal.

-Cesión de datos.

Paso II. Niveles de Seguridad

Una vez estudiados los datos obtenidos en el primer paso se procedería a identificar el nivel de seguridad en base a la naturaleza de la información que contengan los diferentes datos que son tratados, por parte de la empresa o responsable del fichero. En concreto, los diferentes ficheros que contengan datos personales serían organizados en función del nivel de seguridad:

1.Básico: se considerarán ficheros de nivel básico, aquellos que tengan nombres, apellidos, edad, lugar de nacimiento, profesión, teléfono, etc.

2.Medio: aquellos que contengan datos relativos a la comisión de infracciones administrativas, penales, Hacienda Pública, servicios financieros y los de solvencia patrimonial. También se considerarán ficheros de nivel medio, aquellos que contengan un conjunto de datos de carácter personal suficientes que permitan obtener la evaluación de la personalidad de un individuo.

3.Alto: serán todos aquellos ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas.

Así mismo, en función del nivel de seguridad, se reflejarían las medidas a adoptar para cada uno de los ficheros y, en consecuencia, definiendo y estableciendo las medidas técnicas, organizativas y legales para su adecuación al Reglamento de Medidas de Seguridad. Destacar de este punto, que el abogado o empresa que le audite no necesitará en ningún caso visualizar los datos personales de sus ficheros, sino que le bastará conocer los campos que ustedes receban para poder llevar a cabo un estudio profundo.

Paso III. Documento Legal

Tras el estudio y revisión de todos los elementos de los pasos anteriores, se expondrían las deficiencias detectadas y las recomendaciones que, a tal efecto, se plasmarían para una mejor adaptación de la empresa a la normativa vigente en materia de protección de datos de carácter personal.

Paso IV. Documento de Seguridad

En este paso cabe destacar las diferencias que existen entre el Documento Legal y el Documento de Seguridad.

Algunas características del Documento de Seguridad son:

1.En primer lugar el Documento de Seguridad es un documento que debe estar redactado a nombre del Responsable del Fichero, aunque lo haya redactado un despacho de abogados.

2.Así mismo, la tenencia de dicho documento es un imperativo legal para todas aquellas personas físicas o jurídicas que traten datos de carácter personal (a excepción de las exoneradas por ley), con indiferencia del tipo de datos personales que traten.

3.De igual forma, el Documento de Seguridad deberá estar accesible para los responsables de la entidad auditada, así como para los inspectores de la Agencia Española de Protección de Datos Personales y, por ello en dicho documento sólo se incluirán los procesos legales, organizativos y técnicos que efectivamente se cumplen.

4.El Documento de Seguridad deberá llevar anexas las Funciones y Obligaciones de aquellas personas de la entidad que accedan o traten datos de carácter personal.

5.Deberán incluirse en forma de anexos los distintos procedimientos para la autorización de altas, bajas de ficheros, registro de incidencias, registro de usuarios, salidas y entradas de soportes, etc.

6.Teniendo en cuenta que el Documento de Seguridad es el último paso de la auditoria, se deberá adjuntar un inventario de ficheros que se vayan a dar de alta, modificar o cancelar ante la Agencia Española de Protección de Datos. Así mismo, en el momento que los ficheros hayan sido admitidos por el Director de la Agencia Española de Protección de Datos, se deberá incluir el número de inscripción de fichero que éste le haya otorgado, al Documento de Seguridad.

Algunas características del Documento Legal son:

1.El Documento Legal no es ningún imperativo legal, si bien es un informe donde se plasma el estudio que el despacho de abogados haya llevado a cabo a la entidad, con las deficiencias y propuestas de acción que este recomiende. Es por tanto, que este documento o informe se hace imprescindible, ya que a partir de este estudio exhaustivo se realiza el Documento de Seguridad donde ya sólo se podrán plasmar aquellas propuestas que la entidad haya querido implantar, asumiendo los riesgos que el abogado le haya informado.

2.El Documento Legal vendrá firmado en primera persona por el despacho de abogados que haya realizado la auditoria.

3.En este informe, deberían incluirse algunos clausulados o directrices básicos que el empresario pudiera utilizar en sus relaciones diarias, como leyendas informativas de protección de datos, leyendas de confidencialidad, algún clausulado de encargado de tratamiento.

4.Así mismo, puede incluirse en este tipo de informe una relación detalladas de aquellos contratos que se hayan estudiado y las recomendaciones que se hagan a los mismos, ya que en muchas ocasiones se deben realizar contratos personalizados o a medida.

5.En caso de inspección por la Agencia Española de Protección de Datos, este documento no deberá mostrarse, puesto que es en el que se encuentran las deficiencias de la entidad.

6.Se hará referencia al estado actual de inscripción de ficheros y las recomendaciones con respecto a la inscripción, modificación o cancelación de ficheros.

Paso V. Inscripción, modificación y cancelación de ficheros ante la Agencia Española de Protección de Datos

Una vez ejecutada la adecuación en materia de protección de datos, se procedería a la inscripción, modificación y cancelación del inventario de los ficheros ante la Agencia de Protección de Datos. La importancia de realizar este paso al final, es porque sólo una vez que se ha estudiado de forma exhaustiva la empresa, es cuando se podrá proceder a la organización de los ficheros que se deban dar de alta, según medidas de seguridad, tipo de datos personales y, soportes en que estos sean tratados, aunque en ocasiones, el presente paso es realizado en primer lugar. En nuestra opinión es más recomendable tras efectuar la adaptación o auditoria completa.

Paso VI. Revisión de la auditoria

La normativa es muy explícita respecto a este apartado, dirigiéndose el mismo a aquellos responsables de ficheros que traten datos personales de nivel medio y/o alto. Lo que el Reglamento de Medidas de Seguridad exige es la realización de una auditoria de protección de datos que verifique los procedimientos legales, técnicos y organizativos, al menos cada dos años. Por lo que dependiendo de la organización de la empresa, dicha auditoria deberá realizarse, semestralmente, anualmente o una vez cada dos años, si bien, en todo, caso, la auditoria no se presentaría como un procedimiento opcional.

En el caso de aquellos responsables de ficheros que sólo traten datos de nivel básico, la primera auditoria de protección de datos seguiría siendo obligatoria, si bien el Reglamento no menciona ninguna obligación en materia de revisión, aunque siempre y cuando se modifiquen procesos, aplicaciones informáticas o cambios significativos, estas auditorias ayudarían a la verificación de la correcta implantación o en su caso a la corrección de las deficiencias detectadas.

Estos 6 pasos desarrollados anteriormente, serían los imprescindibles para llevar a buen puerto una auditoria de protección de datos, ya que lo que hay que tener en cuenta es que el abogado debe adaptarse a las necesidades del empresario y forma de organización, realizando y estudiando todas las actuaciones, de tal forma que se pueda convertir o adaptar su actividad en una actividad dentro del marco normativo legal de protección de datos y normativas conexas. Ya que de otra forma, si el empresario se tuviera que adaptar a lo que una auditoria le impone sin el previo estudio de su forma de trabajo, probablemente la adaptación sería ineficiente además de que probablemente le saliera muy cara.

Destacamos que posiblemente en junio de 2007 saldrá a la luz el nuevo Reglamento de Protección de Datos, que unificará la normativa actual incorporando nuevas disposiciones.

Esperando que el artículo haya sido de interés para los lectores, en el siguiente artículo hablaremos acerca de las auditorias legales de páginas web.

Busque un experto en TI

Contacte con un especialista en TI de Microsoft para que le ayude a implementar la solución tecnológica adecuada para su negocio.

Iciar López-Vidriero Tejedor, Socia y Abogada de ICEF Consultores

Iciar López

Si lo desea puede escribir un mail detallando el artículo y el autor al que va dirigido y realizar cuantas preguntas, sugerencias o comentarios desee.
Recibirá su contestación lo antes posible.
Muchas gracias.

Totalmente gratis

Boletín de Asesoría Legal

Manténgase informado cada quince días

Suscríbase gratis

Productos Relacionados

Productos Relacionados
Microsoft Outlook 2003 y Business Contact Manager

Esté en contacto con sus clientes y gestione con mayor eficacia la pequeña empresa gracias a la unión de Outlook 2003 con Business Contact Manager. Podrá gestionar los contactos, las oportunidades de venta y las cuentas sin problema y hacerlo todo desde el mismo sitios por lo que dispondrá de más tiempo para estar con sus clientes.

Productos Relacionados
Microsoft Business Solutions CRM

Con Microsoft® Business Solutions CRM, podrá ofrecer servicios de primera categoría a sus clientes, tomar decisiones mejor fundamentadas e impulsar las ventas. Microsoft CRM incorpora los módulos Customer Service y Sales.