Nº. 7. Abril 2014
El Boletín de los Expertos en Cumplimiento Normativo
La auditoría de protección de datos, la gran desconocida Nº. 1. Julio 2012
Q
ué se entiende por cumplir con la Ley Orgánica de Protección de Datos (LOPD)? Todos oímos hablar de la protección de datos, del derecho al honor y del derecho a preservar nuestra intimidad. Derechos que han encaminado a que aquellos que disponen y tratan datos de carácter personal a tener que cumplir con una serie de obligaciones según los requerimientos de las distintas normativas. La concienciación sobre la obligación de cumplir con la LOPD cada vez es más palpable por parte de las empresas. Sin embargo, el concepto de cumplimiento parece no estar del todo claro. La mayor parte de las organizaciones interpretan erróneamente que cumplir con la ley radica simplemente en registrar sus bases de datos o ficheros ante la Agencia Española de Protección de Datos (AEPD). Un gran índice de adaptaciones realizadas podríamos decir que tan solo se han limitado a esta tarea. Por lo que se podría decir que el índice de incumplimiento normativo es todavía más preocupante de lo que ya anunciaba la AEPD en su última memoria donde se podía extraer que tan solo un escaso 33% de las empresas españolas cumplían supuestamente con la normativa teniendo en cuenta que contaban con ficheros inscritos. El registro de ficheros no deja de ser la punta del iceberg, ya que, una correcta adaptación se da cuando una organización cumple con los
1
principios básicos de la normativa e implementa las medidas de seguridad pertinentes en función de los datos tratados.
realización de la auditoría bienal de la que ya hemos hablado. En el caso de tu empresa, ¿estás obligado a ella? ¿La has realizado? Recuerda que en muchas ocasiones te verás obligado a acreditar la auditoría de tus sistemas de seguridad por motivos de calidad.
Obviamente no podremos pensar que datos como los relativos a nuestra salud deberán contar con las mismas medidas de seguridad que datos como nuestra dirección postal, correo electrónico o incluso DNI. Estamos hablando de datos especialmente protegidos que deberán contar con unas medidas de seguridad de nivel alto. En este sentido, como veremos, si tu empresa cuenta con ficheros con un nivel de seguridad medio o alto está obligada a realizar cada dos años una auditoría. Auditoría que deberá llevarse a cabo para verificar que los sistemas de información e instalaciones de tratamiento y almacenamiento de datos funcionan de manera correcta. Se trata de una exigencia de la normativa, por lo que no cumplir con ella podría suponer una sanción económica de hasta 300.000 euros según el caso. Llegados a este punto, ¿estás seguro de que tu empresa está cumpliendo con la ley? Obviamente incorporar las medidas de seguridad y cumplir con los principios básicos depende de si conocemos los requerimientos de la ley correctamente y de la diligencia que hayamos mostrado a la hora de adaptarlos a nuestra organización. Sin embargo, existen variables según los datos que tratamos en donde se nos puede exigir la
2
A
ctualmente es bastante difícil pensar en una actividad empresarial en la que no se lleguen a tratar datos de carácter personal y que para ello no se utilicen tecnologías de la información. Para desempeñar su labor, las organizaciones echan mano de tecnologías como ordenadores, smartphones, tabletas, etc. Dispositivos que han agilizado el flujo desmesurado de datos a través de la red. Sin embargo, estos mismos datos son en muchas ocasiones la columna vertebral de una empresa por lo que incorporar medidas que aseguren su integridad suele ser una tarea primordial. Esta seguridad de la información supone un requisito básico que, en último término, puede llegar a asegurar la continuidad de un negocio. La realidad es que un 90% de las empresas que se ve afectada por una pérdida importante de datos acaba desapareciendo en un plazo de dos años. Según un estudio reciente, un 44% de las empresas de nuestro país considera que la pérdida de datos es algo inevitable. Y es que una pérdida en muchas ocasiones viene ocasionada principalmente por una catástrofe, un error humano, cortes de luz, errores propios de sistemas informáticos o ataques externos. Así, casos como el acontecido en 2005
3
de la LOPD.
en Madrid con el incendio de la torre Windsor, empresas como Deloitte o Garrigues tuvieron que poner a prueba sus planes de continuidad ante un desastre de tal calibre.
Su intención no es otra que garantizar la seguridad de los datos evitando que puedan ser alterados, perdidos o tratados de forma incorrecta. El incumplimiento por parte de una empresa de esta obligación supondría ante la AEPD una infracción grave de la LOPD punible con una sanción que oscilaría entre los 60.000 y los 300.000 euros. ¿En qué consiste la auditoría en sí misma? Para llevar a cabo una auditoría de protección de datos son objeto de control todas y cada una de las medidas de seguridad incorporadas según sea el caso específico de la organización e independientemente del tipo de tratamiento que se lleve a cabo (manual o automatizado).
Es por ello que contar con un sistema de Incendio Torre Windsor, 2005 de http://www.infowars.com/ seguridad de la información aparte de ser una obligación por parte de distintas normativas se nos antoja como una necesidad primordial.
Según el RLOPD se deberán someter a auditoría los sistemas de información e instalaciones de tratamiento y almacenamiento de datos, es decir, el conjunto de ficheros, tratamientos, soportes, programas y equipos empleados para el tratamiento de datos de carácter personal.
La propia normativa de protección de datos ya establece la necesidad de asegurar la disponibilidad y seguridad de la información a través de la incorporación de una serie de medidas que deberán ser auditadas en función de los datos tratados.
Obviamente no podremos incorporar ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. Este es un requerimiento que se deberá cumplir independientemente del papel que juegue
De esta forma, una empresa se verá obligada al menos cada dos años a realizar una auditoría cuando exista un tratamiento de datos de nivel medio o alto. Así lo establecen los artículos 96 y 110 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprobaba el Reglamento de desarrollo
4
una empresa como responsable de fichero o como encargado de tratamiento. Para el control de estas medidas la auditoría podrá ser interna o externa siempre y cuando se realicen cada dos años como mínimo. Sin embargo, también se debería llevar a cabo una auditoría extraordinaria con carácter obligatorio independientemente de su carácter bienal, de forma que si se produce un cambio organizativo que afecte al sistema de información deberemos realizar una nueva. Como recomendación es conveniente llevar a cabo una auditoría previa para comprobar que se reúnen las condiciones necesarias exigidas por la ley para tratar los datos. ¿Cuándo estaría mi empresa obligada a realizar la auditoría de protección de datos? Como ya hemos comentado, aunque la auditoría abarca todas las medidas de seguridad (manuales y automatizadas) implantadas en una empresa, tan solo es obligatorio que la auditoría tenga lugar respecto de las medidas de seguridad de nivel medio y/o alto: Nivel medio: entendemos por ficheros con un nivel de seguridad medio aquellos que incluyan datos relativos a la comisión de infracciones administrativas o penales, que ofrezcan un perfil de la personalidad de una persona (currículos, etc.) y
5
de los que sean responsables Administraciones Tributarias, Entidades financieras y Entidades Gestoras de la Seguridad Social.
Para cumplir con la normativa, y nutriéndonos de la amplia experiencia de Alcatraz Solutions como expertos en cumplimiento normativo, analizaremos el estado de tu empresa identificando las deficiencias en materia de protección de datos, así como estableceremos unas pautas a seguir para que sean subsanadas. Una vez finalizada la auditoría, te haremos entrega del informe correspondiente que exige el artículo 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre.
Nivel alto: entenderemos de nivel alto aquellos ficheros que contengan datos sensibles relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como aquellos que contengan datos recabados para fines policiales y los derivados de la violencia de género.
Si este es tu caso puedes ponerte en contacto con nosotros a través de los datos que encontrarás en el reverso de este boletín. ¡Te informaremos sin compromiso!
6
La amplia experiencia en Derecho Tecnológico y nuestra Comunidad con más de 500 Partners, nos sitúan como referente en el ámbito de la Protección de Datos de Carácter Personal con más de 60.000 Adaptaciones realizadas y más de un 25% de Cuota de Mercado.
Partner Autorizado: Inscruste aquí su Logotipo
www.alcatraz.es
[email protected]
Más información en:
www.consultingintegral.es
[email protected] 981 14 80 00
Nº. 1. Julio 2012