Uso de los formularios de auditoría

Páginas157-347

Page 157

El auditor deberá ser riguroso en la ejecución de cada una de las fases que componen la Auditoría, a fin de no exceder los trabajos en el tiempo y de prestar un correcto servicio

Veamos a modo de resumen a continuación cuáles serían los aspectos más relevantes que deben ser contemplados por el auditor durante la ejecución de los trabajos de Auditoría, para la verificación del cumplimiento del Título VIII del RDLOPD.

En primer lugar, el auditor debería suscribir un contrato de servicio donde se hagan constar las características y alcance de la Auditoría contratada. En este sentido será importante que el auditor establezca expresamente que dicha prestación de servicios tiene como resultado un informe de verificación del cumplimiento del Título VIII del RDLOPD con el contenido determinado al efecto en los artículos 96 y 110 del citado Reglamento.

En segundo lugar y dado que para realizar la Auditoría el auditor deberá acceder a recursos de tratamiento de datos personales, será necesario que entre auditor y entidad auditada se suscriba el correspondiente contrato de acceso a datos.

ATENCIÓN

Véase al efecto el modelo práctico de trabajo en relación con el contrato de acceso a datos propuesto para acompañar al contrato de servicio contenido en el apartado siguiente del presente manual:

• Modelo de contrato de acceso a datos.

Page 158

Suscritos los contratos (de servicio y acceso a datos) se procederá a la designación de los interlocutores al efecto por cada una de las partes y a la constitución de un comité de trabajo. Asimismo, ambas partes elaborarán un calendario de común acuerdo para el desarrollo de las distintas fases de trabajo.

En tercer lugar, iniciados los trabajos de recogida de información, entre los distintos medios y fuentes de obtención de datos, el auditor procederá a la celebración de reuniones con el personal de la organización, distinguiendo aquel que tiene responsabilidades asignadas en materia de seguridad de la información, de aquel que es mero usuario de la información.

Para la obtención de información el auditor podrá utilizar una serie de cuestionarios previamente elaborados al efecto.

ATENCIÓN

Véase al efecto los modelos prácticos de trabajo en relación con los cuestionarios de responsable de seguridad y de usuarios contenidos en los apartados siguientes del presente manual:

• Modelo cuestionario entrevista responsable de seguridad.
• Modelo cuestionarios entrevista usuarios.

En cuarto lugar, a la finalización de cada una de las reuniones, el auditor deberá elaborar un acta donde haga constar todas las manifestaciones efectuadas por los entrevistados así como la documentación entregada y la que está pendiente de entrega por parte de la entidad auditada.

ATENCIÓN

Véase al efecto el modelo práctico de trabajo en relación con el acta de reunión contenido en el apartado siguiente del presente manual:

• Modelo de acta de reunión.

Page 159

En quinto lugar, una vez que el auditor disponga de toda la información y esté preparado para iniciar la redacción del informe de Auditoría de verificación del cumplimiento del Título VIII del RDLOPD, deberá proceder a su elaboración describiendo los siguientes contenidos:

? Dictamen sobre la adecuación de las medidas y controles a la LOPD

? Dictamen sobre la adecuación de las medidas y controles al RDLOPD.

? Identificación de deficiencias.

? Propuesta de medidas correctoras necesarias.

? Propuesta de medidas complementarias necesarias.

? Descripción de datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

ATENCIÓN

Véase al efecto el modelo práctico de trabajo en relación con el informe de Auditoría de verificación del cumplimiento del Título VIII del RDLPD, contenido en el apartado siguiente del presente manual:

• Modelo de informe de Auditoría de verificación del cumplimiento del Título VIII del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

En sexto lugar, a la finalización del informe de Auditoría y una vez éste sea entregado por el auditor a la organización que realizó el encargo, el responsable de seguridad de la entidad auditada deberá elaborar un informe de con-clusiones que posteriormente deberá transmitir a la dirección de la entidad auditada, con el fin de que ésta adopte las medidas correctoras que considere adecuadas y pertinentes, en base a tales conclusiones.

ATENCIÓN

Véase al efecto el modelo práctico de trabajo en relación con el informe de conclusiones del responsable de seguridad, contenido en el apartado siguiente del presente manual:

• Modelo informe de conclusiones responsable de seguridad.

Page 160

Finalmente, el responsable de seguridad deberá ir revisando la implantación de las medidas de seguridad correctoras propuestas por el auditor en el informe de Auditoría, con el fin de comunicar a la dirección de la organización el estado y situación del cumplimiento de las medidas y controles establecidos en el Título VIII del RDLOPD de forma periódica, hasta completar el cumplimiento de las recomendaciones y medidas contenidas en el informe de Auditoría.

ATENCIÓN

Véase al efecto, el modelo práctico de trabajo en relación con el informe de revisión de adopción de las medidas de seguridad contenido en el apartado siguiente del presente manual:

• Modelo informe de revisión de adopción de las medidas de seguridad.

Page 163

MODELO Nº 1

MODELO DE CONTRATO DE ACCESO A DATOS PARA LA PRESTACIÓN DE SERVICIOS

(Este contrato acompañará al contrato principal de prestación de servicios de Auditoría suscrito entre las partes)

REUNIDOS

En ________, a ____________ de _________ de 200_

DE UNA PARTE:

LA ORGANIZACIÓN (en adelante ) con CIF _________, con
domicilio en la calle _______________ nº _, Código Postal ______ de ____________ inscrita en
_______________________ al Tomo _, Folio ___, inscripción ___, representada por D/DÑA.
____________________, NIF __________, con domicilio en _____________________ nº __, _____ ______,
con poder ante Notario D. ______________, del Colegio Notarial de ______, nº de protocolo ___1.

Y DE OTRA PARTE:

EL AUDITOR (en adelante ) con CIF _________, con domicilio en
la calle _______________ nº _, Código Postal ______ de ____________ inscrita en

Page 164

_______________________ al Tomo _, Folio ___, inscripción ___, representada por D/DÑA.
____________________, NIF __________, con domicilio en _____________________ nº __, _____ ______,
con poder ante Notario D. ______________, del Colegio Notarial de ______, nº de protocolo ___.

Los contratantes se reconocen recíprocamente, en el carácter de que intervienen, plena capacidad jurídica para contratar y en el caso de representar a terceros, cada uno de los intervinientes asegura que el poder con el que actúa no ha sido revocado ni limitado, y que es bastante para obligar a sus representados en virtud de este contrato y a tal objeto:

EXPONEN:

Primero.– Que se dedica de acuerdo con su objeto social a _________________ (indicar) y es responsable de los siguientes ficheros y tratamientos de datos declarados
ante el Registro General de Protección de Datos de la Agencia Española de Protección de Datos:

___________ (indicar).
___________ (indicar).
___________ (indicar).

Segundo.– Que se dedica a la prestación de servicios de Auditoría en materia de seguridad de datos personales.

Tercero.– Que de acuerdo con los expositivos anteriores ha contratado a mediante contrato de fecha ________________ (indicar)
la prestación de servicios de Auditoría en materia de seguridad de datos personales para verificar el cumplimiento del Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante RDLOPD), y dicha prestación conlleva el acceso y tratamiento de los datos contenidos en los ficheros responsabilidad de mencionados en el apartado anterior.

Cuarto.– Que la adecuada prestación de los servicios citados en el expositivo anterior está condicionada al cumplimiento de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y concordantes del RDLOPD respecto del acceso y tratamiento por parte de a los datos y ficheros de carácter personal responsabilidad de y por ello, las partes convienen en suscribir el presente CONTRATO DE ACCESO A DATOS PARA LA PRESTACIÓN DE SERVICIOS con sujeción a las siguientes:

Page 165

CLÁUSULAS:

Primera.– LEGISLACIÓN APLICABLE: El presente contrato se regirá por las cláusulas contenidas en el mismo, en su defecto por lo dispuesto en la LOPD en el RDLOPD y en el resto de legislación complementaria en materia de protección y tratamiento de datos de carácter personal.

Segunda.– OBJETO: Constituye el objeto del presente contrato determinar las condiciones de seguridad y confidencialidad en las cuales llevará a cabo el acceso y tratamiento de los datos de carácter personal responsabilidad de para la prestación de servicios de Auditoría.

Tercera.– CONDICIONES DEL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL: De acuerdo con el artículo 12 de la LOPD, no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al .

únicamente tratará los datos conforme a las instrucciones del y no los aplicará o utilizará con fin distinto al que figura en el presente contrato, ni los comunicará, ni siquiera para su conservación, a otras personas2.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al , al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

Cuarta.– RESPONSABILIDAD: En el caso de que el destine los datos a otra finalidad, los comunique o...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR