Auditoría LOPD (III). Objeto y Alcance de la Auditoría

El presente documento informará sobre el nivel de adecuación a la Ley Orgánica de Protección de Datos de Carácter personal, identificando las deficiencias o no cumplimientos detectados proponiendo las medidas correctoras oportunas para corregir las faltas de cumplimiento encontradas.

Se excluye expresamente de este documento la información relativa al nivel de adecuación al Real Decreto 1720/2007 de Medidas de Seguridad.

El presente informe queda limitado a los hechos y observaciones encontrados en Clínica Sani-To.

La técnica empleada para la recolección de información será a través de entrevistas con los responsables identificados. Sin embargo, en la medida de lo posible, a través de correo electrónico, se recopilará información en forma de preguntas directas y sencillas de fácil resolución.

La auditoría se llevará a cabo en las siguientes fases:

• Inventario de Activos
• Identificación de Responsables
• Análisis de adecuación LOPD
• Informe de Auditoría
• Presentación
  

La auditoría obligada por el Reglamento del R.D. 1720/2007 se ha realizado durante los días 22 y 29 de Junio de 2010 y ha constado de las siguientes fases:

• Conocimiento genérico de la empresa, su ámbito de negocio, los sistemas de información de que disponen, su estructura administrativa, sus relaciones con organismos oficiales, asociaciones, instituciones y otras empresas, todo ello a través de formularios preestablecidos suministrados al responsable de los ficheros de la empresa objeto de auditoría, en los que se recopilan datos fundamentales para el conocimiento del nivel de adaptación a la normativa vigente en materia de seguridad de datos de carácter personal de la misma.
  
• Elaboración de un programa de trabajo en el que se detallan las actividades o tareas a auditar, teniendo para ello en cuenta, por un lado, los requisitos de revisión impuestos por el Reglamento en relación con la auditoría, y por el otro, el ámbito de negocio y sistemas de la empresa, recopilados a través de los formularios anteriormente mencionados, de los que se extraen las deficiencias detectadas a priori, y los datos a recopilar para confirmar el cumplimiento en los puntos en que se define el Responsable del Fichero acorde a la normativa vigente.
  
• Realización del trabajo de campo, esto es, la revisión práctica de las actividades incluidas en el plan de trabajo.
  
• Análisis de los puntos débiles y obtención de conclusiones y recomendaciones.
  
• Elaboración del informe.
  

A partir del hecho de que la auditoría debe verificar el cumplimiento la LOPD, el Plan de Trabajo deberá incluir específicamente la comprobación de todos los artículos de aquel que sean de aplicación a tenor del tipo de ficheros de que disponga la empresa (medio, alto).

Para la realización organizada de esta auditoría se han preparado unos formularios a modo de “checklist”.  Estos formularios están divididos en 6 áreas de manera que se puedan identificar aquellos ítems a auditar de una manera lógica. De esta manera las áreas serán las siguientes:

• NIVEL DE CUMPLIMIENTO SOBRE LEY DE PROTECCIÓN DE DATOS
  • Registro de Ficheros
    
  • Información y Consentimiento
    
  • Principios de Protección de Datos
    
  • Derechos ARCO
    
  • Relación con Terceros
    
  • Seguridad
    

  
HISTORICO DE LA SERIE
Auditoria LOPD (I) : 
Auditoría LOPD (II). Pertinencia :

NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association (http://www.isaca.org/)
CCN: Centro Criptológico Nacional (https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.