Características de la auditoría

Páginas43-51

Page 43

9. Tipos de Auditoría

A diferencia de la cuestión suscitada respecto de la condición del auditor, del RDLOPD sí se deduce una clasificación de los tipos de Auditoría regulados por la citada norma, como son los siguientes:

  1. ) Auditoría de ficheros y tratamientos automatizados.

Auditoría bienal.

Auditoría extraordinaria.
2º) Auditoría de ficheros y tratamientos no automatizados.

Auditoría bienal.

10. Auditoría bienal y Auditoría extraordinaria en relación con los ficheros y tratamientos automatizados

Del tenor literal del artículo 96 del RDLOPD se deduce la existencia de otra clasificación de los tipos de Auditoría, como son, la Auditoría bienal y la Auditoría extraordinaria.

Así, establece el artículo 96 que, a partir del nivel medio (de seguridad) los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán:

Al menos cada dos años, a una Auditoría interna o externa que verifique el cumplimiento del Título VIII del RDLOPD.

Con carácter extraordinario y siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, a una Auditoría interna o externa con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta Auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

El RDLOPD introduce una novedad en relación con la Auditoría de ficheros y tratamientos automatizados como es la exigencia de realizar una Auditoría fuera del cómputo de los dos años –que prescribía el derogado RMS y que motivó la calificación de la Audi-43

Page 44

toría como “bienal”– siempre que se den las siguientes circunstancias:

? Que se realicen modificaciones sustanciales en el sistema de información.

? Que dichas modificaciones puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.

El objeto de esta Auditoría –que rompe con la temporalidad de dos años– no es otro que el de verificar la adaptación, adecuación y eficacia de las medidas de seguridad implantadas frente a los cambios y modificaciones acaecidos. Dispone asimismo el RDLOPD que la realización de esta Auditoría inicia el cómputo de dos años exigido con carácter general por el citado reglamento para efectuar la siguiente Auditoría preceptiva en la materia.

A nuestro juicio este nuevo cómputo no tiene sentido si tenemos en cuenta que aparentemente la norma plantea la Auditoría extraordinaria con un alcance limitado a verificar la adaptación, adecuación y eficacia de las medidas de seguridad implantadas frente a cambios y modificaciones, los cuales precisamente por ser extraordinarios –por norma general– no afectarán a la totalidad de ficheros y tratamientos por lo cual, (i) o bien se deduce que la intención del RDLOPD era que esta Auditoría se efectuase sobre todos los ficheros y tratamientos sujetos a los niveles medio y alto (lo cual a nuestro juicio no tiene sentido) –aunque los cambios y modificaciones solo afectasen a una parte de ellos– de forma que al iniciarse de nuevo el cómputo de los dos años todos los ficheros y tratamientos de la organización quedan igualados respecto de dicho nuevo cómputo, (ii) o bien se deduce que el espíritu de la norma es, lo cual es más lógico, que la

Auditoría extraordinaria solo se efectúe sobre los ficheros y tratamientos sujetos a los niveles medio y alto afectados por los cambios y modificaciones sustanciales –de forma que el nuevo cómputo de los dos años no debería tenerse en cuenta en relación con todos los ficheros y tratamientos de la organización sino exclusivamente respecto de los que han sido objeto de la Auditoría extraordinaria, ya que de otra forma se rompería el imperativo legal de auditar los ficheros al menos cada dos años.

Parece que, sea cual sea la solución que aplique la organización al respecto de esta cuestión, no será una medida del agrado de todos puesto que:

• Si se efectúa una Auditoría extraordinaria con un alcance mayor al de los ficheros y tratamientos afectados por los cambios y modificaciones sustanciales, se estará reduciendo el periodo de dos años establecido con carácter general.

• Si se efectúa una Auditoría extraordinaria con el alcance limitado a los ficheros y tratamientos afectados por los cambios y modificaciones sustanciales, el cómputo de las siguientes Auditorías para estos ficheros y tratamientos no coincidirá con el del resto de ficheros y tratamientos sujetos al inicial de dos años, por lo que la organización puede verse inmersa en una vorágine de Auditorías periódicas con unos y otros ficheros y tratamientos.

En relación con esta Auditoría extraordinaria, estimamos en todo caso que la cuestión más ardua será la de determinar cuando debemos considerar que las modificaciones efectuadas en el sistema de información, además de ser sustanciales, pueden repercutir en el cumplimiento de las medidas de seguridad implantadas, puesto que estamos tratando con conceptos jurídicos indeterminados que, tanto la doctrina de la

Page 45

AEPD como la jurisprudencia de nuestros tribunales, irán concretando.

11. Auditoría bienal en relación con los ficheros y tratamientos no automatizados

El articulo 110 relativo a la Auditoría de seguridad de los ficheros y tratamientos no automatizados (al contrario que en el caso de los ficheros y tratamientos automatizados) no hace referencia a la Auditoría extraordinaria sino que se limita a establecer la obligación de Auditoría cada dos años.

Establece –al igual que lo hace su homólogo el artículo 96– que la...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR