Contenido de la auditoría

Páginas55-78

Page 55

16. Contenido mínimo del informe de Auditoría

La Auditoría es una actividad profesional independiente y sujeta a unas normas que en el caso de la seguridad de los datos personales el auditor debe considerar desde dos puntos de vista, el estrictamente jurídico y el de seguridad.

El artículo 96 del RDLOPD determina en relación con los ficheros y tratamientos automatizados que la Auditoría debe verificar el cumplimiento del Título VIII del RDLOPD, al igual que el artículo 110 en relación con los ficheros y tratamientos no automatizados. Sin embargo, de acuerdo con el artículo 96, el informe resultante de las actividades de la Auditoría debe reunir el siguiente contenido mínimo:

Dictamen sobre la adecuación de las medidas y controles a la LOPD.

Dictamen sobre la adecuación de las medidas y controles al RDLOPD.

Identificación de deficiencias.

Propuesta de medidas correctoras necesarias.

Propuesta de medidas complementarias necesarias.

Descripción de datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

A la vista de lo anterior, resulta interesante destacar las siguientes cuestiones:

? El apartado primero del artículo 96 relativo a la Auditoría de ficheros y tratamientos automatizados distingue el alcance de los trabajos de Auditoría del alcance del contenido del informe que resulta de la misma, puesto que para el primer caso se limita a exigir la verificación del cumplimiento del Título VIII del RDLOPD, y en el segundo además exige la verificación de la adecuación de las medidas y controles a la LOPD.

? El artículo 110 relativo a la Auditoría de los ficheros y tratamientos no automatizados, establece expresamente que el alcance de la Auditoría, es la verificación del cumplimiento del Título

Page 56

VIII del RDLOPD, sin mencionar posteriormente cuál es el alcance del informe resultante de la Auditoría, y el que, por analogía debemos entender que es el mismo que el establecido en el artículo 96 para ficheros y tratamientos automatizados.

A la vista de la necesidad de incluir en el informe de Auditoría un dictamen sobre la adecuación de las medidas y controles tanto al RDLOPD como a la LOPD, es fundamental que la labor de revisión de las medidas y controles del auditor tanto respecto de los ficheros y tratamientos automatizados como de los no automatizados, contemple puntos de control tanto de aspectos derivados del RDLOPD como de la LOPD.

17. Adecuación de las medidas y controles al RDLOPD

De acuerdo con el RDLOPD el primero de los objetivos de la Auditoría es el de comprobar la adecuación de las medidas y controles implantados por el responsable o el encargado del tratamiento a lo establecido en el Título VIII del citado Reglamento dedicado a las medidas de seguridad de obligado cumplimiento. El segundo objetivo es verificar que, más allá de la adecuación al RDLOPD, las medidas y controles implantados por el responsable o el encargado del tratamiento son conformes con los principios y garantías establecidos en la LOPD.

Centrando nuestra atención en las medidas y controles cuya existencia debe comprobar el auditor, clasificaremos la revisión a efectuar de acuerdo con los distintos niveles y categorías definidos en el Título VIII del RDLOPD.

Medidas de seguridad de aplicación general para ficheros y tratamientos automatizados y no automatizados

Estas obligaciones de aplicación general son las siguientes:

Clasificación de la información.

Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán clasificar los ficheros y tratamientos de datos de acuerdo con lo establecido en el RDLOPD, e implantar las medidas de seguridad que corresponda con arreglo a lo dispuesto en el Título VIII para cada uno de los niveles (básico, medio o alto), con independencia de cual sea su sistema de tratamiento.

CASO PRÁCTICO

Cualquier empresa deberá clasificar los ficheros y tratamientos que cada uno de sus departamentos ejecuta (RRHH, selección de personal, financiero, marketing, sistemas, comunicación, etc.) e implantar las medidas de seguridad que corresponda de nivel básico medio o alto, a sus sistemas de información, soportes, equipos y sistemas automatizados de tratamiento de datos (ordenadores de sobremesa, ordenadores portátiles, teléfonos móviles, pda´s, cd´s, lápices usb, disquetes, etc.) soportes, equipos y sistemas no automatizados (carpetas y archivos de papel, armarios, etc.) oficinas y locales.

Page 57

Cumplimiento de los requisitos formales con los terceros encargados del tratamiento.

CASO PRÁCTICO

Por ejemplo, con los terceros prestadores de servicios tales como, asesorías laborales y fiscales encargadas de elaborar las nóminas y documentos de retención fiscal de los empleados; agencias de marketing y publicidad que alojan y mantienen la web; agencias de comunicación que efectúan los envíos de las comunicaciones publicitarias por correo electrónico a los clientes de la entidad; empresas de mantenimiento informático; o empresas de prestación de servicios de prevención de riesgos laborales.

Tanto en el contrato que suscriban el responsable y el encargado del tratamiento como en el documento de seguridad de ambos deberá hacerse constar como se efectúa el acceso a los datos por el encargado del tratamiento en los locales del responsable, mediante acceso remoto a sus sistemas o en los locales del encargado, así como las siguientes circunstancias en cada caso:

? Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero no solo deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable sino también el compromiso del personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

? Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, además de que este último deberá hacer constar esta circunstancia en su documento de seguridad tendrá que obtener el compromiso del personal del encargado en relación con el cumplimiento de las medidas de seguridad previstas en el citado documento.

? Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, aquel deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 del RDLOPD o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

Cumplimiento de los requisitos formales con terceros prestadores de servicios sin acceso a datos.

Tanto el responsable del fichero o tratamiento como el encargado del tratamiento deberán adoptar las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.

Page 58

Cuando cualquiera de ellos tenga en sus instalaciones personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

CASO PRÁCTICO

Empresas de limpieza y empresas de mantenimiento de instalaciones.

Establecimiento de una política de delegación de autorizaciones.

El responsable del fichero o tratamiento deberá disponer de una política que permita la emisión de todas las autorizaciones que el Título VIII atribuye al responsable del fichero o tratamiento. Asimismo, dicha política deberá permitir la delegación de dichas auto-rizaciones en las personas designadas al efecto.

En el documento de seguridad deberán constar las personas habilitadas para otorgar estas autorizaciones así como aquellas en las que recae dicha delegación.

No obstante, en ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero.

Control de acceso a datos a través de redes de comunicaciones.

Tanto el responsable como el encargado del tratamiento deberán asegurar que las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, garantizan un nivel de seguridad equivalente al correspondiente a los accesos en modo local, conforme a los criterios establecidos en el RDLOPD en particular en su artículo 80.

Control del trabajo fuera de los locales del responsable del fichero o encargado del tratamiento.

Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.

Page 59

CASO PRÁCTICO

Cuando la organización autorice a los empleados trabajar fuera de las instalaciones de la entidad en portátiles o desde...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR