- La Auditoria de Protección de Datos
- El carácter extraordinario de la auditoria
- El informe del auditor lopd
- Características del informe de auditoria
- El análisis del informe de auditoria lopd
- Como debe efectuarse la auditoria de lopd
- Que dice la Agencia de Protección datos sobre como efectuarla
- Las novedades del nuevo Reglamento de Protección de datos
- Quién debe realizar una auditoria en LOPD
Auditores LOPD
Auditores LOPD, es un servicio creado por nuestro Bufete de Abogados expertos en Auditorias de protección de datos personales en las empresas y/o empresarios individuales deberá realizarse en el momento que disponga de ficheros con nivel medio, conteniendo datos personales que pueda tratar informáticamente.
Periodicidad de la auditoría de protección de datos
Los sistemas de información e instalaciones de tratamiento y almacenamiento de datos de carácter personal se someterán, al menos cada dos años, a una auditoría interna o externa de protección de datos (en adelante AUDITORIA LOPD) que verifique el cumplimiento de lo establecido en el Reglamento de Protección de Datos Personales.
Carácter extraordinario de la auditoria de lopd
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.
Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
El informe de auditoría LOPD
El informe de auditoría LOPD deberá dictaminar sobre la adecuación de las medidas y controles a la Ley de protección de datos, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Que debe incluir el informe de auditoria
Una vez realizado el análisis o auditoria de campo en la empresa auditada, el auditor deberá de emitir el informe en el que debe incluir las deficiencias encontradas que deberán implementarse y las recomendaciones.
También el auditor lopd, debe de incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados.
Hay que especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.
MANUAL PROTECCIÓN DE DATOS
Los informes de auditoría, que necesariamente habrá emitido el auditor lopd o auditores lopd (consultora integrada en nuestro grupo jurídico) serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.
Como debe hacerse la auditoria de protección de datos
La auditoria de protección de datos personales, deberá ser realizada por expertos en el ámbito de protección de datos (auditores lopd), con los conocimientos legales en la Ley y Reglamento de protección de datos personales, pero también con los conocimientos técnicos suficientes, para distinguir las medidas de seguridad informáticas, incidencias técnicas en software, la distinción de los ficheros y dentro de ellos los campos y libros existentes, de caracteres informáticos que deben revisarse.
El auditor lopd, deberá realizar un análisis de campo, en la empresa objeto de revisión o auditoria, para contrastar y comprobar la adecuación de los ficheros a la Ley y Reglamento de protección de datos.
La Agencia Española de Protección de datos las auditorias de LOPD
Como quiera que muchas empresas, de telefonía e informática, proponen la realización de auditorias y adaptaciones de empresas mediante checklist telefónicos, la Agencia Española de Protección de Datos, ha manifestado, en un comunicado lo siguiente:
La proactividad en la seguridad de los datos personales
En términos prácticos, este principio de responsabilidad proactiva, requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
La novedad del nuevo Reglamento de Protección de datos
El Reglamento General de Protección de Datos (en adelante, RGPD), publicado en mayo de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
El RGPD sustituirá, a partir de mayo de 2018, a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD) y al Reglamento RD-1720/2007, que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos, con anterioridad a la fecha de su plena aplicación.
Quién debe realizar la auditoria de protección de datos personales
De acuerdo con las recomendaciones de la Agencia Española de Protección de Datos, la auditoria de protección de datos, deberá ser realizado por expertos en materia legal de protección de datos personales de experiencia contrastable y con conocimiento técnico y legal en el ámbito de la protección de datos, por ello AUDITORES LOPD, que forma parte de nuestro grupo con una experiencia de más de 15 años en el ámbito legal de protección de datos es muy competente en dicha materia, habiendo realizado adaptaciones y auditorias a Instituciones Públicas y privadas.
Fuente de información principal: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)