Muchos son los clientes que a día de hoy nos preguntan acerca de la obligatoriedad de tener que realizar una Auditoría de Protección de Datos (LOPD) en sus empresas. Por eso, hoy queremos explicar las distintas situaciones en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales en tu empresa o actividad empresarial.
¿Qué es una auditoria de protección de datos?
En la auditoria de protección de datos se verifica la correcta implantación de las medidas de seguridad adoptadas en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.
Cuando se lleva a cabo una auditoria, se elabora un informe que registra los puntos verificados, irregularidades detectadas y las medidas necesarias para su corrección. Este informe lo analizará el responsable de seguridad para más tarde hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa y en última instancia implantarlas.
Entonces, ¿en qué caso es obligatorio realizar una auditoría?
La auditoria de protección de datos es obligatoria cuando se recogen y tratan datos de nivel medio y/o alto.
A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el RLOPD.
NIVEL ALTO. Ficheros o tratamientos con datos:
- De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
- Recabados con fines policiales sin consentimiento de las personas afectadas; y
- derivados de actos de violencia de género.
NIVEL MEDIO. Ficheros o tratamientos con datos:
- Relativos a la comisión de infracciones administrativas o penales;
- Que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
- de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestad estributarias;
- de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
- de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;
- de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
- que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y
- de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización
NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
- los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;
- se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y
- en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.
NOTA: Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel medio complementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen también las de nivel básico y medio.
«La auditoria LOPD es obligatoria cuando se recogen y tratan datos de nivel medio y/o alto»
¿Cuándo se tienen que hacer las auditorias de protección de datos?
La auditoria de protección de datos debe hacerse mínimo cada dos años y, siempre y cuando no cambien sustancialmente las circunstancias de recogida y tratamiento de los datos. En este caso sería necesaria una modificación de las las medidas de seguridad y una incorporación de esta modificación en el documento de seguridad.
Esta obligatoriedad viene regulada en el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
¿Quién puede hacer las auditorias?
Las auditorias de protección de datos pueden ser internas o externas. Lo único que se exige a nivel formal es que el informe de auditoria incluya:
- Si la adecuación de las medidas de seguridad exigidas por la Ley y su desarrollo reglamentario se cumplen.
- La identificación de las deficiencias encontradas y una propuesta de las medidas correctoras o complementarias necesarias.
- Los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
El informe de auditoria será valorado por el Responsable de Seguridad, que es el encargado de velar porque las medidas de seguridad se implanten, quien alzará sus conclusiones al responsable del fichero o tratamiento, que deberá adoptar las medidas correctoras del informe de auditoría para dar cumplimiento a la Ley.
¿Qué pasa si no hago la auditoria de protección de datos?
De tener conocimiento la Agencia Española de Protección de Datos de ello, podría imponer una sanción, de entre 40.001 a 300.000 euros, por la comisión de una infracción grave ya que, no cumplir con las medidas de seguridad (la auditoría es una medida de seguridad) se considera infracción grave.
Debe tenerse en cuenta que el hecho de realizar las auditorias de protección de datos no solo sirve para evitar la posible multa que la Agencia Española de Protección de Datos, sino que, además, ante una posible infracción (por cualquier otro motivo), el importe de la sanción puede ser reducida si la empresa cumple con la normativa y eso incluye el haber pasado las auditorias. Artículo 45.4 i) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
