Auditoría LOPD (II). Pertinencia

En el artículo anterior presentamos a la clínica Sani-To  , que se puso en contacto con GC Consultores para encangarles una auditoría de complimiento sobre la LOPD.

GC Consultores, comienza a analizar la situación particular de Sani-To (como buenos asesores y auditores saben que en estas cosas no valen las generalizaciones).

GC Consultores confirma a Sani-To que efectivamente su actividad está afectada por la LOPD y que debe someterse a una auditoría de cumplimiento.

El Reglamento de Medidas de Seguridad de los ficheros de carácter personal establece, cuando existen ficheros de nivel medio o alto:

Artículo 96. Auditoría.

1.- A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoria interna o externa, que verifique el cumplimiento del presente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el apartado anterior.
Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley (LOPD) y su desarrollo reglamentario (RD 1720/2007), identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Continuará ….

HISTORICO DE LA SERIE
Auditoria LOPD (I)

NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association (http://www.isaca.org/)
CCN: Centro Criptológico Nacional (https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.