Adecuación y Auditoría LOPD

Las empresas manejan gran cantidad de información y su protección se ha convertido en el gran caballo de batalla. Nuestro equipo cuenta con una amplia experiencia y confianza para abordar cualquier tipo de proyecto.
 

Con la entrada en vigor de la Ley 15/1999 de Protección de Datos de Carácter Personal (LOPD), surge la obligación legal de proteger los datos de carácter personal, lo que conllevó una pequeña revolución en muchas empresas al establecer, por primera vez, medidas organizativas y técnicas como consecuencia de las obligaciones legales que la norma imponía.

Las empresas están en constante evolución y también la información que por ellas circula. Por ello las revisiones, no deberían circunscribirse solo a las auditorías bienales que marca el RD 1720/2007. Un vistazo a las sanciones impuestas por la AEPD, nos hará caer en la cuenta que muchos incumplimientos devienen de falta de medidas jurídicas y sobre todo organizativas.

Desde Internet Security Auditors hemos sabido crear a lo largo de nuestra trayectoria, vínculos de confianza profesional con los clientes, gracias a la metodología que utilizamos, que nos permite desarrollar nuestros servicios de manera profesional y dinámica, pero sin perder la sencillez que precisan nuestros clientes para entender y obtener el máximo beneficio de la inversión que realizan en los proyectos contratados.

Desde nuestro punto de vista, la adecuación y/o revisión de un proyecto ya implantado, pasa por las fases que a continuación describimos:

Identificación de la situación de la empresa en materia de cumplimiento normativo Identificación de la situación de la empresa en materia de cumplimiento normativo

A través de entrevistas con responsables de distintos departamentos y con la documentación facilitada por éstos, se efectúa un análisis del grado de cumplimiento normativo de la empresa. Aunque no se haya realizado todavía la adecuación a la norma no se parte de cero, ya que hay medidas implementadas que son adecuadas desde el punto de vista de la LOPD, aunque se implementaran con otra finalidad. No se trata de cambiar la mecánica de trabajo si no de reorientarla y aprovechar lo que ya disponga, para causar el menor impacto en la organización.

Análisis de ficheros Análisis de ficheros

Es necesario realizar un inventario de ficheros de la empresa para presentar en el Registro de la AEPD. También se deben comprobar los ficheros preexistentes determinando la necesidad de modificaciones o bajas como consecuencia de los cambios que desde su declaración se hayan podido producir. Recordemos que los ficheros declarados en el Registro de la AEPD, son la imagen pública de la empresa, cualquier ciudadano puede comprobar a través de la página web de la AEPD, existencia o no de ficheros declarados por una determinada razón social.

Análisis de los flujos de datos Análisis de los flujos de datos

Deben analizarse los procesos de datos relacionados con los ficheros existentes:

  • Recogida o entrada de datos en la organización.
  • Cesión de datos.
  • Acceso a datos por cuenta de terceros.
  • Calidad de los datos.
  • Procedimientos para hacer efectivos los derechos legales de acceso, rectificación, oposición y cancelación de los datos de carácter personal.
  • Comprobación de las Transferencias Internacionales de Datos etc...

En definitiva, conformar la parte jurídica del proceso, mediante contratos, clausulas y leyendas adaptadas a cada situación o tratamiento.

Documentación de seguridad Documentación de seguridad

Es una obligación legal disponer de un Documento de Seguridad, (que debe estar permanentemente actualizado), en el que se describan las medidas de seguridad implantadas en la organización en función del nivel de los datos tratados (Básico, Medio, Alto). En este punto se debe tener especial cuidado con los procedimientos "no documentados", pero ejecutados habitualmente.

Formación de los empleados Formación de los empleados

La Ley establece que los empleados deben estar formados e informados sobre sus derechos y obligaciones. Un proceso de adaptación a la norma sin la adecuada formación, suele estar abocada al fracaso, si los empleados no son conscientes de las repercusiones que en materia de protección de datos, tienen sus actos o incumplimientos (sanciones).

Implantación de las medidas en la organización Implantación de las medidas en la organización

En esta fase deben aplicarse todas las recomendaciones descritas en los informes jurídicos y técnicos.

Auditorías Auditorías

De forma bienal, se establece la obligación de realizar una auditoría para las empresas que dispongan de ficheros de nivel medio y alto declarados en el Registro de la AEPD, no obstante es aconsejable realizar una revisión integral, para comprobar que los posibles cambios técnicos u organizativos que se hayan podido producirse en la empresa, no deja a ésta de nuevo en una situación de incumplimiento.