Auditoría LOPD(IV). Identificacion de Ficheros y Tratamientos

El post de hoy analiza los Ficheros y Tratamientos realizados por la Clínica Sani-To:

La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley.

Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse con el deber de inscripción de los ficheros ante el Registro General de Protección de datos de la Agencia Española de Protección de Datos. Si se trata de una administración distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades autonómicas de protección de datos.

Se han verificado los siguientes puntos de control respecto de la Identificación de Ficheros y Tratamientos con las siguientes respuestas.

 La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley.

Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse con el deber de inscripción de los ficheros ante el Registro General de Protección de datos de la Agencia Española de Protección de Datos. Si se trata de una administración distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades autonómicas de protección de datos.

De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

NOTA: os dejo una figura con la interpretación de los iconos utilizados en las tablas de Medidas Correctoras para su mejor interpretación

HISTORICO DE LA SERIE
Auditoria LOPD (I) : 
Auditoría LOPD (II). Pertinencia :
Auditoría LOPD (III): Objeto y Alcance de la Auditoría 

  NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association(http://www.isaca.org/)
CCN: Centro Criptológico Nacional (https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.