El artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD) establece que, tanto el Responsable del Fichero como el Encargado del Tratamiento, deberán adoptar las medidas no sólo de índole técnico sino también de índole organizativo para garantizar la seguridad y evitar la pérdida, alteración y destrucción de ficheros con datos de carácter personal.
Pero este artículo goza de su propio desarrollo reglamentario materializado en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad.
Concretamente, su artículo 17 establece que “Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años”.
Sin embargo, esta no fue la primera ley que habla de ello, sino que ya en la Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a Prestación de Servicios de Información sobre Solvencia Patrimonial y Crédito, se habla de la realización de una auditoría en lo que al tema de protección de datos se refiere, al establecer que la implantación, idoneidad y eficacia de las medidas de seguridad, deberá acreditarse mediante una auditoría y la remisión del informe final de la misma a la Agencia de Protección de Datos.
Sin embargo, la auditoria puede presentarse en dos figuras diferentes; una interna y otra externa.
En lo que respecta a la auditoría interna, las dudas acerca de una efectiva independencia son amplias, al ser realizada por personal interno de la propia organización.
De la auditoría externa, decir que es realizada por una empresa externa y que nada tiene que ver con la organización auditada.
Aunque la visión que tenemos hoy en día sobre una buena auditoría de seguridad de protección de datos de carácter personal, se queda en el plano de la simple auditoría sobre el cumplimiento de las medidas de seguridad, que podría calificarse como de incompleto y considerar que debe ser completada con la auditoria informática, tal y como establece la LOPD al hablar de medidas de índole técnica y organizativa.
Pero ¿cuál es el principal cometido en una auditoria? Es verificar la adecuación de procedimientos, medidas, estándares de seguridad establecidos por el responsable del tratamiento y el Reglamento de Medidas de Seguridad. Una vez realizado el análisis de todo lo anterior y detectadas las anomalías, el auditor procederá a proponer las medidas correctoras necesarias.
Los pasos de una auditoría son principalmente:
Pero este artículo goza de su propio desarrollo reglamentario materializado en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad.
Concretamente, su artículo 17 establece que “Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años”.
Sin embargo, esta no fue la primera ley que habla de ello, sino que ya en la Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a Prestación de Servicios de Información sobre Solvencia Patrimonial y Crédito, se habla de la realización de una auditoría en lo que al tema de protección de datos se refiere, al establecer que la implantación, idoneidad y eficacia de las medidas de seguridad, deberá acreditarse mediante una auditoría y la remisión del informe final de la misma a la Agencia de Protección de Datos.
Sin embargo, la auditoria puede presentarse en dos figuras diferentes; una interna y otra externa.
En lo que respecta a la auditoría interna, las dudas acerca de una efectiva independencia son amplias, al ser realizada por personal interno de la propia organización.
De la auditoría externa, decir que es realizada por una empresa externa y que nada tiene que ver con la organización auditada.
Aunque la visión que tenemos hoy en día sobre una buena auditoría de seguridad de protección de datos de carácter personal, se queda en el plano de la simple auditoría sobre el cumplimiento de las medidas de seguridad, que podría calificarse como de incompleto y considerar que debe ser completada con la auditoria informática, tal y como establece la LOPD al hablar de medidas de índole técnica y organizativa.
Pero ¿cuál es el principal cometido en una auditoria? Es verificar la adecuación de procedimientos, medidas, estándares de seguridad establecidos por el responsable del tratamiento y el Reglamento de Medidas de Seguridad. Una vez realizado el análisis de todo lo anterior y detectadas las anomalías, el auditor procederá a proponer las medidas correctoras necesarias.
Los pasos de una auditoría son principalmente:
• Fijación del calendario y de los interlocutores, tanto de la empresa auditada como de la empresa que audita.
• Recogida de la documentación e información oportuna.
• Entrevistas con los usuarios.
• Análisis de la documentación y de la información previamente recogida.
• Entrega del Informe de Auditoría y del Reglamento de Medidas de seguridad.
Pero ¿qué sucede con la figura del Auditor?El problema principal radica en que no se haya regulada en ningún manual y no existe ningún registro al respecto, por lo que el único requisito radica en su calificación y experiencia en diferentes proyectos.
Lo que sí debemos tener claro es que el Auditor debe ser una persona en constante formación debido a que la rapidez con la que progresan las nuevas tecnologías hace que, en caso contrario, se quede desfasado y fuera del mercado laboral.
Lo que sí debemos tener claro es que el Auditor debe ser una persona en constante formación debido a que la rapidez con la que progresan las nuevas tecnologías hace que, en caso contrario, se quede desfasado y fuera del mercado laboral.
No hay comentarios:
Publicar un comentario