Características de la auditoría

Una de las mejores maneras de garantizar el cumplimiento de la normativa de protección de datos es, sin lugar a dudas, la realización de una auditoría.

No es obligatoria para todas las organizaciones, sino para las que traten datos personales de nivel alto.

Podemos encuadrarnos en el marco de UNE/ISO y considerar la ISO 19011, que puede ayudar a las organizaciones a mejorar el desempeño de los Sistemas de Gestión que se encuentren implementados en la organización.

Será supervisada por el DPD

Debe llevarse a cabo sobre archivos, tanto automatizados como manuales.

Se puede realizar tanto a nivel interno, como externo.

Objetivos de la auditoria 

Detectar posibles deficiencias en los sistemas de información de la empresa, y detallar las acciones a realizar para solucionarlas.

Transmitir a los trabajadores de la organización la importancia que supone la recolección de los datos personales de terceros, asegurando la protección y el correcto tratamiento de los mismos.

Cumplir con la obligación de comprobar las medidas de seguridad en materia de protección de datos.

Descubrir oportunidades de mejora en las medidas de seguridad auditadas.

¿Cómo se realiza una auditoría de protección de datos?

Es necesario realizar una verificación a nivel informático y técnico mediante el análisis de los sistemas de información implantados en la empresa, así como de la correcta aplicación de las medidas, dependiendo de los niveles de seguridad en protección de datos que tenga cada organización.

Debe ser realizada siempre por un organismo independiente y cualificado que efectúe los diversos procesos con imparcialidad y objetividad en todo momento, sin atender a factores internos o externos que puedan afectar a la empresa.

A nivel informático, se debe comprobar si existe un sistema seguro y confiable que asigne usuarios y contraseñas de manera individual, si se realizan copias de seguridad, cómo se llevan a cabo, con qué frecuencia,  así como todos los aspectos relacionados con los procesos informáticos que conlleven el tratamiento de datos personales.

A nivel técnico, las personas que se encarguen de realizar la auditoría en protección de datos comprobarán si en la empresa existe algún sistema de destrucción de datos, así como si el acceso a los ficheros con datos personales o a las copias de seguridad está correctamente protegido.

Fases

 

Organización

En este primer punto se deben detallar los objetivos finales de la auditoría y organizar los procedimientos que se llevarán a cabo:

  • archivos que se verificarán
  • medidas de seguridad a aplicar
  • sistemas, programas
  • trabajadores de la empresa que tienen acceso a los datos personales.

Habrá que definir el alcance de la auditoría (si es un grupo de empresas al completo, solo una parte de ellas, solo un departamento en concreto, un proceso, etc.), y el periodo temporal sobre el que se realizará la auditoría.

Asimismo, será necesario fijar los procedimientos que se realizarán durante la auditoría,  y las personas que serán responsables de la misma.

La información que se solicita, puede variar de una entidad a otra, pero en lo fundamental es básicamente la misma:

  1. Organigrama funcional de la entidad
  2. Informes de auditoría previos
  3. Documento de Seguridad de la entidad
  4. Otros documentos con políticas de seguridad que puedan existir
  5. Listado de encargados de tratamiento con acceso a datos
  6. Otra información que se considere relevante para la auditoría
Planificación y recopilación de información

En esta segunda fase se deberá definir un calendario de entrevistas a los trabajadores, reunir la documentación en la que estén incluidos datos personales, comprobar la información recogida, así como otros procesos que impliquen la toma de datos de la organización empresarial.

Entrevistas personales

En esta fase se analiza, junto a las personas seleccionadas, el conocimiento sobre los tratamientos de datos que la entidad gestiona, y sus responsabilidades. También se analizan aspectos relacionados con la información, sobre la documentación previa recabada.

Análisis del entorno

En esta fase se verifica lo comentado con el personal en las entrevistas y lo recabado en la documentación previa, en base a pruebas físicas y observaciones de primera mano del auditor. Estas pruebas se llevarán a cabo tanto en los referidos entornos automatizados como en la gestión de la documentación en papel.

Análisis de la información recabada

Con todas las notas recopiladas de las entrevistas y el análisis de primera mano del entorno, se procede al análisis de toda la información recabada.

Este análisis contrastará la normativa de referencia, la documentación y políticas de la entidad, con la realidad hallada por el auditor.

Es conveniente que el marco normativo de referencia  quede claramente determinado en los informes que se generen, para que el auditado pueda tener una imagen concreta y real de la situación, y de esta forma, poder tomar decisiones adecuadas.

Revisaremos:

  • La seguridad del tratamiento (pseudonimización y cifrado de datos personales, capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente).
  • Los principios relativos al tratamiento (licitud y transparencia de la información, condiciones para el consentimiento, información de sus derechos al interesado, tratamiento de categorías especiales de datos).
  • El documento de designación del DPD, de su posición dentro de la organización, el documento de sus funciones, y el documento de  comunicación de su designación  a la autoridad de control.
  • Verificaremos el cumplimiento de sus obligaciones por parte de los encargados de tratamiento y de los representantes de responsables.
  • En caso de producirse una adhesión a un código de conducta, se debe verificar también en qué medida se cumple, si es adecuada, y el mecanismo de certificación aplicado.
  • Las notificaciones de una violación de seguridad de los datos personales a la autoridad de control (en su caso), así como si existen los mecanismos de detección y comunicación apropiados.
  • La comunicación de una violación de seguridad de los datos personales al interesado.
  • Los documentos relativos a las transferencias de datos a terceros países u organizaciones internacionales.
  • Las normas corporativas vinculantes.

 

Elaboración del informe final

En la última etapa de la auditoría de protección de datos se elabora la conclusión final, detallando los aspectos a mejorar, las deficiencias, las propuestas orientadas a corregir los errores, así como el nivel de adecuación a las exigencias legislativas.

En el caso de que existan inconformidades o incumplimientos, deberemos justificarlos explicando el porqué de la no conformidad, e incluyendo un Plan de Acción, y efectuando recomendaciones en el mismo con respecto a:

  • Riesgo: bajo, medio, alto.
  • Plazo sugerido de solución: corto, medio o largo.
  • Coste: bajo, medio o alto.
  • Dificultad: baja, media o alta
  • Medidas correctoras o complementarias precisas

La información reflejada en el informe de auditoría deberá estar posteriormente a disposición de la Agencia Española de Protección de Datos para constatar la correcta adecuación de la empresa a la legislación vigente.

 

 

Gestiona Abogados