Auditoría de Protección de Datos de Carácter Personal

auditar_pd

Por Lia P. Hernández Pérez

La Ley Orgánica 15/1999 de 13 de diciembre sobre la Protección de Datos de Carácter Personal (LOPD) de España consagra que los responsables de un fichero son los sujetos que deciden la finalidad, contenido y uso del mismo (artículo 3d).

Las personas físicas o jurídicas, de naturaleza pública o privada, u órgano de carácter administrativo que sean titulares de un fichero susceptible de regulación por la LOPD, podrán realizar con la frecuencia que estimen conveniente, auditorias de protección de datos de carácter personal, para garantizar el correcto cumplimiento de la LOPD.

Es muy importante destacar que la auditoria de protección de datos de carácter personal, no debe confundirse con la auditoria de seguridad exigida por el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD. Este tipo de auditorías no son de carácter obligatorio, a diferencia de aquellas relacionadas con la medidas de seguridad, a partir del nivel medio, las cuales son obligatoria realización de acuerdo a lo establecido en el artículo 96 del Reglamento que desarrolla la LOPD.

A falta de un articulado o norma en concreto que se ocupe de la regulación de los auditores de protección de datos de carácter personal, deducimos que estas auditorías son realizadas por personas naturales o jurídicas, especialistas en sectores como el jurídico, técnico, administrativo, organizativo en fin, en el sector más compatible con el tipo de dato que trate el encargado del fichero por delegación del responsable del fichero; sin embargo, consideramos pertinente que la auditoria sea realizada por un experto en el sector de protección de datos, el cual se recomienda que posea conocimientos generales en los diversos sectores señalados anteriormente.

Si bien, la auditoria de protección de datos de carácter personal no es obligatoria, el responsable del fichero es partidario de esta figura, como medio preventivo dentro de su organización de cualquier incumplimiento de la LOPD que pudiera presentarse u que conlleve al inicio de actuaciones previas por parte de la Agencia Española de Protección de Datos Personales (AEPD), para el esclarecimiento de hechos que acarreen una posible vulneración de la normativa vigente.

Independientemente de la auditoria, los responsables de los ficheros podrán ser objeto de sanción por incumplimiento de la LOPD, y toda responsabilidad recaerá sobre los mismos y no sobre el auditor, a excepción que el responsable del fichero ejerza acción en contra del auditor, porque el motivo de la sanción ha sido responsabilidad de este.

Las auditorias debe ocuparse de la correcta ejecución y cumplimiento de materias como: protección de datos de carácter personal, el ejercicio de los derechos de los afectados y/o interesados, la obtención de los datos, la cesión de los datos y acceso a terceros y el tratamiento de los datos.

El auditor basa su auditoria en determinar el cumplimiento total o parcial de la LOPD, si afecta a toda la organización o a ciertas áreas, recoge una serie de información por si solo y luego se apoya en los colaboradores (auditorias anteriores, ficheros inscritos, documentos de seguridad, entre otras), para proceder y analizar dicha información en conjunto y finalmente, confeccionar un informe detallado para su presentación al responsable.

En conclusión, podemos definir una auditoría de protección de datos de carácter personal, como toda revisión de la organización de un fichero, realizada por un auditor preferiblemente experto en la materia, a consideración del responsable del fichero, que a pesar de no ser de obligatorio cumplimiento legal, se efectúan con la finalidad de verificar el cumplimiento de la LOPD y normativa complementaria vigente.