Auditoría LOPD(V). Información y Consentimiento

El consentimiento constituye el principal elemento de legitimación que permite a los responsables de un fichero o tratamiento tratar datos de carácter personal. Sólo en los casos en los que la Ley o una norma comunitaria de aplicación directa, exima del mismo pueden tratarse datos sin consentimiento.

El consentimiento debe ser previo, libre, específico e informado. Por ello, es esencial informar siempre que se recaban datos personales. La información previa no sólo es relevante para conocer para que tipo de tratamiento se consiente sino también quién va a tratar los datos, a quién se comunicarán o ante quién ejercer los derechos de acceso, rectificación, cancelación u oposición al tratamiento.

Por otra parte, hay que tener en cuenta que respecto de determinadas tipologías de datos relativos a la ideología, la afiliación sindical, la religión o creencias, la salud, el origen racial o la vida sexual, el consentimiento de prestarse de modo expreso y en determinados casos además escrito.

Se han verificado los siguientes puntos de control respecto de la Información y Consentimiento del afectado obteniendo las siguientes respuestas.

 La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley.
Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse con el deber de inscripción de los ficheros ante el Registro General de Protección de datos de la Agencia Española de Protección de Datos. Si se trata de una administración distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades autonómicas de protección de datos.
De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

HISTORICO DE LA SERIE
Auditoria LOPD (I) :  

Auditoría LOPD (II). Pertinencia : 

Auditoría LOPD (III): Objeto y Alcance de la Auditoría  :

Auditoria LOPD (IV): Identificación de Ficheros y Tratamientos:

NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association(http://www.isaca.org/)
CCN: Centro Criptológico Nacional (https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.