El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:
1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habrá de valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio ("auditoría interna o externa"), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:
Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.
Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.
El artículo 96 del Reglamento señala:
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Por lo tanto la primera fase consistirá en recopilar información acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad, y en especial de los apartados Funciones y Obligaciones del Personal; Almacenamiento de la información; Registros de incidencias, accesos, copias de seguridad, salida de soportes y en general todos los listados de los Anexos comentados en el post anterior, con especial atención a la relación de usuarios autorizados y al inventario de soportes.
Con esta información se procederá a la redacción del informe, que deberá dictaminar sobre:
- Adecuación de las medidas y controles establecidas a lo dispuesto en el Título VIII del Reglamento.
- Identificación de deficiencias y propuesta de medidas correctoras o complementarias. Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
- Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
- Deberá quedar a disposición de la Agencia Española de Protección de Datos.
Por lo tanto se trata no sólo de revisar los aspectos documentales (que tenemos en orden y actualizados todos los papeles) sino de comprobar las políticas activas de la compañía a todos los niveles, para evitar que el cumplimiento de la LOPD (que es continuo puesto que en ningún momento se puede dejar de utilizar datos de carácter personal) se "olvide" con el paso del tiempo.
Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
La auditoría en protección de datos en un requisito de obligado cumplimiento para toda pyme que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.
En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos