31 de Març de 2016
Són nombroses les consultes rebudes sobre l'obligatorietat d'haver de realitzar una Auditoria en matèria de Protecció de Dades (LOPD) en les empreses. Per això, expliquem les diferents circumstàncies en les quals és obligatori o recomanable auditar les mesures de seguretat que garanteixen un correcte tractament de les dades de caràcter personal.
En què consisteix l'Auditoria de Protecció de Dades?
Mitjançant l'auditoria es verifica la correcta implantació de les mesures de seguretat a adoptar en l'organització, determinades en funció del nivell que li correspongui: baix, mitjà o alt.
Una vegada realitzada l'auditoria, s'elabora un informe que registra els punts verificats, excepcions detectades i les mesures necessàries per a la seva correcció. Aquest informe haurà d'analitzar-ho el responsable de seguretat per, a continuació, fer arribar al responsable del fitxer totes les mesures correctores pendents d'aplicar en l'empresa.
És obligatòria?
L'informe d'auditoria és obligatori per a totes aquelles organitzacions que, pel tipus de dades que emmagatzemen, tenen un nivell de seguretat mitjà o bé alt.
Cada quant cal realitzar una auditoria?
Mínim cada dos anys, tret que es realitzin abans canvis substancials en el tipus o tractament de dades personals implicant una modificació de les mesures de seguretat necessàries.
Per què haig de tenir contractat un manteniment de la Protecció de Dades?
Per què el Reial Decret 1720/2007 obliga a tenir l’expedient en Protecció de Dades actualitzat en qualsevol moment, i per tant, s’han de tenir en compte els canvis com ara, nous tractaments de dades, canvis en els tractaments i les finalitats, nous encarregats de tractament, canvis en el programari, canvis en les autoritzacions de suports i treballs fora dels locals, nous formularis en la web, registrar les incidències que poden comprometre el sistema d’informació, etc... En dos anys els sistemes informàtics, emprats amb accés a dades personals i fins i tot l'adreça postal o dades de contacte de l'empresa poden variar amb facilitat, per això, és recomanable realitzar revisions periòdiques de l’expedient en Protecció de Dades i per tant, estar preparat per a poder passar l’Auditoria biennal de Protecció de Dades satisfactòriament i així evitar possibles incidències o sancions.
Qui pot fer l'auditoria?
La pròpia Llei de Protecció de Dades indica que l'Auditoria es pot realitzar de manera interna o externa, què vol dir això?
Es pot realitzar per la pròpia organització auditada o per una empresa aliena, com pot ser la consultoria a la qual va contractar el servei d'adaptació LOPD.
El professional designat per realitzar l'auditoria haurà de ser especialitzat en aquest camp, degudament capacitat en matèria de protecció de dades i amb la característica de ser independent, és a dir, no tenir cap interès personal o familiar en l'entitat auditada.
Interna VS Externa
La nostra recomanació és realitzar una revisió de l’expedient almenys cada 6 mesos o sempre que es produeixin modificacions en aspectes importants de l'organització que involucrin un canvi en el tractament de les dades personals, per exemple: un trasllat d'oficines, obertura d'una altra activitat tractant diferents tipus de dades personals als anteriors, desenvolupament d'un comerç online…
El Reglament no obliga a realitzar una nova auditoria, excepte modificacions substancials, en menys de dos anys però és habitual que en aquest període es produeixin canvis en l'empresa pel que, si volem evitar sancions, millor anualment.
