Páginas

miércoles, 29 de febrero de 2012

Auditorías de protección de datos


Todas aquellas entidades y organizaciones responsables y encargadas del tratamiento en relación con los ficheros y tratamientos clasificados como nivel medio y alto, con independencia de que estén automatizados o no, están sujetas a la obligación de realizar, al menos cada dos años, una auditoría de verificación de las medidas de seguridad en el tratamiento de datos de carácter personal.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación y adecuación y eficacia de las mismas.
Las entidades que únicamente traten datos personales de nivel básico, no están obligadas conforme a la normativa de protección de datos a realizar una auditoría.

No obstante, en ambos casos, los profesionales de la privacidad deben trasladar a los responsables de los ficheros que el cumplimiento de la normativa de protección de datos no solamente evita posibles sanciones derivadas de su incumplimiento, sino que su cumplimiento proporciona una serie de valores añadidos que reportan beneficios directos en su actividad cotidiana.


Consideraciones a tener en cuenta antes de una auditoría de protección de datos.
  • Para poder efectuar una auditoría será necesario que el auditor tenga, en determinadas ocasiones, acceso a los datos de carácter personal procesados y almacenados en los sistemas de información de la organización auditada, y como tal, pasa a convertirse en un encargado del tratamiento.Por ello, ates de iniciar la auditoría deberá suscribirse un contrato de acceso a datos para la prestación de servicios con el siguiente contenido:
  • Deberá formalizarse por escrito o de alguna otra forma que permita acreditar su celebración y contenido.
  • Deberá establecerse que el encargado del tratamiento únicamente tratará los datos conforme a la instrucciones del responsable del tratamiento, que no los aplicará con fin distinto al que figure en dicho contrato, no los comunicará, ni siquiera para su conservación, a otras personas.
  • Se estipularán las medidas de seguridad que el encargado deba implementar.
  • Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento.
     
   Fases de la auditoría de protección de datos: 


1. Identificación de las partes y del alcance de la auditoría.
En esta fase se trata de identificar tanto a la entidad auditora como a la entidad auditada, siendo recomendable que el auditor y el responsable o el encargado del tratamiento creen una comisión o equipo de trabajo que tendrá por objeto:
  • Mantener una comunicación permanente y fluida con el auditor para el desarrollo de los trabajos que se realicen.
  • Asumir y responsabilizarse internamente de que el trabajo de auditoría será realizado por el auditor con la colaboración de todo el personal que vaya a estar involucrado.
Asimismo, en esta fase se procede a examinar entre otros aspectos los siguientes:
  • Obtención de los datos de carácter personal.
  • Finalidad de los datos de carácter personal.
  • Ficheros de datos de carácter personal.
  • Consentimiento del afectado en la recogida de los datos.
  • Responsable del fichero.
  • Derechos de los afectados.
  • Encargado del tratamiento.
  • Acceso a los datos de carácter personal.
  • Cesiones de datos.  
2. Recogida de información.
El auditor deberá recopilar información sobre:
  • El grado de mantenimiento y cumplimiento del documento de seguridad, en especial de los apartados “Funciones” y “Obligaciones del personal”.
  • Almacenamiento de información.
  • Los registros de incidencias.
  • Los accesos, copias de seguridad y salida de soportes.
  • La relación de los usuarios autorizados.
  • El inventario de soportes.

Entre los casos de recogida de información que suelen darse dentro del proceso de auditoría, cabe señalar los siguientes:
  • Obtención por parte del auditor de información relativa al responsable y encargado del tratamiento de registros públicos.
  • Petición por parte del auditor de información previa al inicio de las entrevistas con los distintos interlocutores de la empresa a través del comité creado al efecto.
  • Petición por parte del auditor de información durante las entrevistas realizadas a los distintos interlocutores.
  • Solicitud de información por parte del auditor, tras conocer determinados datos sobre la empresa auditada, a fin de comprobar la veracidad de los mismos.
  • Entrega voluntaria de información al auditor por parte de los interlocutores.
  • Apreciación directa del auditor en el examen de las medidas técnicas, lógicas y organizativas existentes en la empresa, así como de los hechos que acontezcan durante sus visitan a la entidad audita
3. Entrevistas. Check list o listado de comprobación.
Para la recogida de esta información el auditor lleva a cabo una serie de entrevistas a las personas que van a estar involucradas en la auditoría. Estas personas son las siguientes:
  • El responsable de seguridad nombrado por el responsable del fichero y por el encargado del tratamiento para velar y coordinar las medidas de seguridad establecidas en el RLOPD.
  • El administrador o administradores de sistemas de la organización, que se encargan de la gestión y administración de los sistemas de información así como de la seguridad del mismo.
  • Los usuarios, que son las personas que, dentro de la empresa, acceden a los datos de carácter personal procesados en los sistemas de información.
Lo más oportuno es que el auditor, de forma previa a la realización de las entrevistas, prepare un listado de aquellas personas con las que se entrevistará y a las que se les preguntará una serie de cuestiones mediante un check list o formulario elaborado al efecto.

4. Análisis de la información.
Las peculiaridades que caracterizan este análisis son las siguientes.
  • Debe cotejarse toda la información obtenida por el auditor de los distintos canales de la empresa auditada y, sobre todo, la obtenida a través de los cuestionarios realizados tanto al responsable de seguridad y administrador de sistemas, como a los distintos usuarios.
  • Debe tratarse de un análisis por niveles de seguridad, es decir, deben analizarse en primer lugar las medidas de carácter general contempladas en el RLOPD y con posterioridad, por orden, las contempladas para el nivel básico, medio y alto.
5. Informe de auditoría.
El informe de auditoría es el producto final del trabajo desempeñado por el auditor. Deberá ser analizado por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medias correctoras adecuadas y quedarán a disposición de la AEPD o, en su caso, de las autoridades de control de las Comunidades Autónomas.
El informe de auditoría deberá:
  • Dictaminar sobre la adecuación de las medidas y controles establecidos a lo dispuesto en el RLOPD.
  • Identificar las deficiencias y proponer las medidas correctoras o complementarias.
  • Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  • Ser analizado por el responsable de seguridad, y elevar sus conclusiones al responsable del fichero para que adopte las medias adecuadas.
  • Quedar a disposición de la Agencia Española de Protección de Datos.

No hay comentarios:

Publicar un comentario