En el artículo de hoy analizaremos otro de los aspectos importantes de la LOPD, las relaciones con terceros y las transferencias internacionales. Como es lógico, nuestra modesta clínica “Sani-To” no tiene empresas subcontratadas con acceso a sus datos y mucho menos aún realiza transferencias internacionales. El apartado correspondiente a las relaciones con terceros del informe de auditoría quedaría algo asi como lo siguiente:
Una comunicación de datos es un tratamiento que supone su revelación a una persona distinta del interesado. Debe tenerse en cuenta que no es necesario apropiarse físicamente de un dato basta con que sea posible su consulta. Debe existir el consentimiento previo o habilitación en una ley que exima del mismo. Además el consentimiento deberá ser informado de forma que se conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario.
En segundo lugar, existirá un encargado del tratamiento cuando se contrate una prestación externa de servicios que requiera acceder al sistema de información. Se define el encargado como persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. En este caso, el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal y el artículo 12 LOPD establecen la necesidad de formalizar un contrato por escrito cuyo contenido establezca:
- Las instrucciones a las que se someterá el encargado del tratamiento.
- La prohibición de uso para fin distinto al que figure en dicho contrato.
- La prohibición de comunicar los datos a otras personas.
- Las medidas de seguridad.
- Las condiciones de subcontratación de los servicios por el encargado.
- Eventualmente, cuando resulte necesario podrá incluir las condiciones de conservación por el encargado, cuando exista obligación legal o resulte necesario por razones de responsabilidad, y las formas de destrucción o devolución de los datos como la entrega a un nuevo encargado.
- Es fundamental ser diligente en la elección del encargado. Por tanto, éste deberá acreditar de algún modo que se encuentra en condiciones de cumplir con los principios y requisitos que la LOPD establece para los tratamientos.
Por último en las transferencias internacionales de datos personales en la práctica existe una cesión o un encargo del tratamiento a una persona física o jurídica que se encuentra en un país distinto de los Estados Miembros de la Unión Europea o del Espacio Económico Europeo. Las transferencias en virtud de lo dispuesto en los artículos 33 y 34 LOPD se encuentran sujetas a autorización del Director de la Agencia Española de Protección de Datos cuando no se trate de un país seguro en materia de protección de datos o no se den las excepciones del artículo 34 LOPD.
Se han verificado los siguientes puntos de control respecto de las relaciones con terceros, obteniendo las siguientes respuestas:
No se comunican datos a otras entidades o personas ajenas a la organización y no hay relaciones contractuales con terceros con acceso a datos. De igual manera no se realizan transferencias internacionales de datos.
No se proponen medidas correctivas ni preventivas en este apartado. HISTORICO DE LA SERIE
Auditoria LOPD (I)
Auditoría LOPD (II). Pertinencia
Auditoría LOPD (III): Objeto y Alcance de la Auditoría
Auditoria LOPD (IV): Identificación de Ficheros y Tratamientos
Auditoría LOPD (V). Información y Consentimiento
Auditoría Lopd (VI): Derechos ARCO
Auditoría LOPD (VII). Derechos ARCO
NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.
UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.
REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association(http://www.isaca.org/)
CCN: Centro Criptológico Nacional (https://www.ccn-cert.cni.es/)
Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.
EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.
Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.
Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.
Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure