Académique Documents
Professionnel Documents
Culture Documents
LA PROTECCIÓN DE DATOS
1. LA PROTECCIÓN DE DATOS
Recuerde
El derecho a la protección de datos puede considerarse una
condición preventiva para la garantía de otras libertades y
derechos fundamentales.
AUDITORÍA DE LA LOPD 7
8 AUDITORÍA DE LA LOPD
La LOPD impone una serie de medidas a ambos, con el fin de evitar un mal
uso de los datos personales cedidos, así como un estricto régimen sancionador. Es
por ello que todas las empresas y profesionales cumplan sus obligaciones relativas
a la protección de datos. Particularmente, las que prestan servicios de
intermediación, ya que el volumen de datos personales que le son cedidos aumen-
ta la probabilidad de incurrir en alguna infracción.
CAPÍTULO 1
9
LA PROTECCIÓN DE DATOS
El encargado del tratamiento debe conservar los datos. Una vez cumplida la
prestación contractual, los datos personales deben ser destruidos o devueltos al
responsable del tratamiento o al encargado que hubiese designado. No se proce-
de a la destrucción de los datos cuando exista una previsión legal que exija su
conservación, en cuyo caso debe proceder a la devolución de los mismos, garan-
tizando el Responsable del Fichero dicha conservación.
Recuerde
El encargado del tratamiento conservará, debidamente blo-
queados, los datos en tanto pudieran derivarse responsabi-
lidades de su relación con el responsable del tratamiento.
El Art. 1.2 del EAEPD dispone que la Agencia actúe con plena independencia
de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con
el Gobierno a través del Ministerio de Justicia.
Recuerde
La Agencia Española de Protección de Datos (en lo sucesivo
AEPD) es el ente de derecho público que vela por el cumpli-
miento de la normativa sobre protección de datos persona-
les, actuando para ello con plena independencia de las Ad-
ministraciones Públicas.
14 AUDITORÍA DE LA LOPD
En este sentido:
• Informa sobre el contenido, los principios y las garantías del derecho
fundamental a la protección de datos regulado en la LOPD.
• Ayuda al ciudadano a ejercitar sus derechos y a los responsables y
encargados de tratamientos a cumplir las obligaciones que establece la
LOPD.
• Tutela al ciudadano en el ejercicio de los derechos de acceso, rectifica-
ción, cancelación y oposición cuando no han sido adecuadamente aten-
didos por los responsables de los ficheros.
• Garantiza el derecho a la protección de datos investigando aquellas
actuaciones de los responsables o encargados de ficheros que puedan
ser contrarias a los principios y garantías contenidos en la LOPD. Impo-
ne, en su caso, la correspondiente sanción.
El Director
Nombrado por Real Decreto de entre los miembros del Consejo Consultivo a
propuesta del Ministro de Justicia, ostenta la representación de la Agencia, sus
actos se considerarán como propios de la Agencia. Independiente y no sometido a
mandato imperativo alguno. Su mandato dura cuatro años.
• Causas de cese:
– A petición propia.
– Por separación en caso de incumplimiento grave, incapacidad,
incompatibilidad o comisión de delito doloso.
• Funciones del Director: Resoluciones (ponen fin a la vía administrativa)
recurribles ante la Sala de lo Contencioso de la Audiencia Nacional. (AN) :
– Sobre inscripción.
– Sobre códigos tipo.
– Sobre transferencias.
– Tutelas de derechos.
– Procedimientos sancionadores.
– Medidas cautelares.
– Instando la incoación de expedientes disciplinarios.
– Autorizaciones de entrada en locales.
■ Coordinación con las autoridades autonómicas.
■ Funciones de gestión.
El Consejo Consultivo
Es el órgano Colegiado de asesoramiento del Director, que emite informe en
todas las cuestiones que le solicite el Director. Además, formula propuestas en
materia de protección de datos y se reunirá al menos una vez cada seis meses. El
Director será elegido de entre sus miembros.
La Inspección de Datos
• Función:
– Comprobación de la legalidad de los tratamientos.
• Organización:
– Inspectores de datos.
– Instrucción de procedimientos:
■ Tutelas de derechos.
■ Procedimientos sancionadores.
■ Procedimientos de infracción por las Administraciones Públicas.
• Funciones inspectoras:
– Naturaleza de autoridad pública.
– Deber de secreto de los inspectores.
– Posibles actuaciones:
■ Examen de soportes.
■ Examen de equipos.
■ Análisis de programas.
■ Examen de los sistemas de transmisión.
■ Auditoria informática.
■ Requerimiento de información.
– Potestades de entrada en locales.
– Supuestos de actuación:
■ Ante una denuncia de un afectado o en supuestos de alar-
ma social.
■ Dentro de un plan de inspección de oficio.
18 AUDITORÍA DE LA LOPD
Recuerde
Para cualquier consulta se puede dirigir:
– Al teléfono 901 100 099
– Al fax 91 445 56 99
– A través de correo electrónico: ciudadano@agpd.es
– Visitando la página Web: <http://www.agpd.es>
– Por correo a la:
■ Agencia Española de Protección de Datos, Jorge
Juan 6 - 28001 Madrid
CAPÍTULO 1
21
LA PROTECCIÓN DE DATOS
EJERCICIOS DE REPASO Y
AUTOEVALUACIÓN
CAPÍTULO 2
FICHEROS Y DOCUMENTO DE SEGURIDAD
AUDITORÍA DE LA LOPD 23
24 AUDITORÍA DE LA LOPD
Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
NIVEL ALTO recabado con fines policiales sin consentimiento de las personas afectadas; y derivados
de actos de violencia de género.
D a t o s d e n o m b re, a p e l l i d o s, D N I , n a c i o n a l i d a d, f i r m a , f i r m a e l e c t ró n i c a , i m a g e n ,
número de la seguridad social, correo electrónico, teléfono, etc. Además, datos de
i d e o l o g í a , a f i l i a c i ó n s i n d i c a l , r e l i g i ó n , c r e e n c i a s, s a l u d , o r i g e n r a c i a l o v i d a s e x u a l ,
c u a n d o : l o s d a t o s s e u t i l i c e n c o n l a ú n i c a f i n a l i d a d d e r e a l i z a r u n a t r a n s fe r e n c i a
dineraria a entidades de las que los afectados sean asociados o miembros; se trate de
NIVEL BÁSICO
ficheros o tratamientos no automatizad os o sean tratamientos manuales de estos tipos
de datos de forma incidental o accesoria, que no guarden relación con la finalidad del
fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran
e xc l u s i v a m e n t e a l g r a d o o c o n d i c i ó n d e d i s c a p a c i d a d o l a s i m p l e d e c l a r a c i ó n d e
invalidez, con motivo del cumplimiento de deberes públicos.
Recuerde
La notificación se realiza conforme al procedimiento esta-
blecido en el Capítulo IV del Título VIII del reglamento.
CAPÍTULO 2
27
FICHEROS Y DOCUMENTO DE SEGURIDAD
2. EL DOCUMENTO DE SEGURIDAD
Los apartados mínimos que debe incluir el documento de seguridad son los
siguientes:
3. MEDIDAS DE SEGURIDAD
Nivel Básico
• Personal
Respecto del personal se debe establecer las funciones y obligaciones de
los diferentes usuarios o de los perfiles de usuarios claramente definidas
y documentadas. Definición de las funciones de control y las autorizacio-
nes delegadas por el responsable. Difusión entre el personal, de las nor-
mas que les afecten y de las consecuencias por su incumplimiento.
• Incidencia
Se establece un registro de incidencias: tipo, momento de su detección,
persona que la notifica, efectos y medidas correctoras. Procedimiento
de notificación y gestión de las incidencias.
CAPÍTULO 2
31
FICHEROS Y DOCUMENTO DE SEGURIDAD
• Control de acceso
Consiste en la relación actualizada de usuarios y accesos autorizados.
Control de accesos permitidos a cada usuario según las funciones asig-
nadas. Mecanismos que eviten el acceso a datos o recursos con dere-
chos distintos de los autorizados. Concesión de permisos de acceso sólo
por personal autorizado. Mismas condiciones para personal ajeno con
acceso a los recursos de datos.
• Gestión de soportes
Incluye el inventario de soportes, identificación del tipo de información
que contienen, o sistema de etiquetado, acceso restringido al lugar de
almacenamiento, autorización de las salidas de soportes (incluidas a
través de e-mail) y medidas para el transporte y el desecho de soportes.
• Custodia soportes
Durante la revisión o tramitación de los documentos, la persona a car-
go de los mismos debe ser diligente y custodiarla para evitar accesos no
autorizados.
Nivel Medio
• Responsable de seguridad
El responsable del fichero tiene que designar a uno o varios responsa-
bles de seguridad (no es una delegación de responsabilidad). El respon-
sable de seguridad es el encargado de coordinar y controlar las medi-
das del documento.
• Auditoria
Al menos cada dos años, interna o externa. Debe realizarse ante modi-
ficaciones sustanciales en los sistemas de información con repercusio-
nes en seguridad. Verificación y control de la adecuación de las medi-
das. Informe de detección de deficiencias y propuestas correctoras. Aná-
lisis del responsable de seguridad y conclusiones elevadas al responsa-
ble del fichero.
Nivel Alto
EJERCICIOS DE REPASO Y
AUTOEVALUACIÓN
CAPÍTULO 3
LA AUDITORÍA.
CONCEPTO Y CARACTERÍSTICAS
1. CONCEPTO
Es un proceso sistemático, esto quiere decir que en toda auditoría debe existir
un conjunto de procedimientos lógicos y organizados que el auditor debe cumplir
para la recopilación de la información que necesita para emitir su opinión final
sobre la adecuación de dicha empresa a la protección de datos.
AUDITORÍA DE LA LOPD 37
38 AUDITORÍA DE LA LOPD
El auditor tiene un papel que desarrollar en este proceso, el cual es, determi-
nar el grado de precisión que existe entre los hechos que ocurren en realidad y los
informes que se han elaborado después de haber sucedido tales hechos.
Por último tendríamos que decir que la auditoría es una herramienta de con-
trol y supervisión que permite descubrir fallos en las estructuras o vulnerabilidades
existentes en la organización de una empresa en materia de protección de datos.
CAPÍTULO 3
39
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS
IMPARCIALIDAD Y OBJETIVIDAD
SISTEMATIZACIÓN
DOCUMENTACIÓN
dice es cierto, ya que las pruebas documentales permiten evidenciar los hechos
alegados.
PERIODICIDAD
3. TIPOS DE AUDITORÍA
AUDITORÍA EXTERNA
AUDITORÍA INTERNA
Para ser independiente el auditor no debe tener intereses ajenos a los profe-
sionales, ni estar sujeto a influencias susceptibles de comprometer tanto la solu-
ción objetiva de los problemas que puedan serle sometidos, como la libertad de
expresar su opinión profesional. El auditor debe ser siempre independiente y abs-
tenerse de aceptar el encargo de auditoría en todos aquellos casos en que incurra
en una situación incompatible con el ejercicio de sus funciones.
3. Diligencia Profesional
El auditor en la ejecución de su trabajo y en la emisión de su informe actuará
con la debida diligencia profesional. La debida diligencia profesional impone a
cada persona de la organización del auditor, la responsabilidad del cumplimiento
de las Normas en la ejecución del trabajo y en la emisión del informe. Su ejercicio
exige, asimismo, una revisión crítica a cada nivel de supervisión del trabajo efec-
tuado y del juicio emitido por todos y cada uno de los profesionales del equipo de
trabajo de auditoría. El auditor debe aceptar únicamente los trabajos que pueda
efectuar con la debida diligencia profesional. El auditor debe demostrar su dili-
gencia profesional en los papeles de trabajo, lo cual requiere que su contenido sea
suficiente para suministrar el soporte de opinión.
5. Secreto Profesional
El auditor debe mantener la confidencialidad de la información obtenida en el
curso de sus actuaciones. El auditor ha de mantener estricta confidencialidad so-
bre toda la información adquirida en el transcurso de la auditoría concerniente a
la protección de datos, excepto en los casos previstos en la Ley, no revelará el
contenido de la misma a persona alguna sin autorización del cliente. No obstante,
el auditor deberá recoger en su informe cualquier negativa del cliente a mostrar
toda la información necesaria para expresar la imagen fiel de sus actividades. El
auditor tiene, asimismo, el deber de garantizar el secreto profesional en las actua-
ciones de sus ayudantes y colaboradores. La información obtenida en el transcurso
de sus actividades de auditoría no podrá ser utilizada en su provecho ni en el de
terceras personas.
La auditoría podrá realizarse por una sola persona (auditor), o por un grupo
de personas cualificadas en la materia conocido como Equipo Auditor, del que a
continuación estableceremos su organización, funciones y responsabilidades en
materia de protección de datos.
6. Equipo Auditor
El Equipo Auditor está formado por el auditor líder y demás miembros del
equipo, quienes pueden ser auditores o expertos técnicos.
El uso de miembros externos o internos del equipo auditor está sujeto a dis-
creción del cliente. Un miembro del equipo auditor escogido dentro de la organi-
zación no debe ser responsable directamente del tema que se está auditando.
Los miembros del equipo auditor deben poseer una combinación apropiada
de conocimientos, habilidades y experiencias para cumplir con las responsabilida-
des de la auditoría.
• De los auditores
Los auditores integrantes de los equipos de auditoría, trabajan bajo la super-
visión directa del jefe de equipo y sus principales funciones son las siguientes:
– Aplicar los programas de auditoría preparados para el desarrollo
del trabajo, conforme a las instrucciones del jefe de equipo.
– Documentar la aplicación de los procedimientos de auditoría utili-
zando la estructura y orden definido para los papeles de trabajo.
– Cumplir con los criterios de ejecución establecidos para su traba-
jo, así como, los estándares profesionales (normas de auditoría) y
encontrar dificultades, comunicarlas de inmediato al auditor jefe
de equipo de la auditoría.
– Mantener ordenados y completos los papeles de trabajo.
– Sugerir procedimientos alternativos o adicionales para promover
la eficiencia en las actividades de auditoría realizadas.
– Colaborar continuamente para fomentar el logro de los objetivos
incluidos en la planificación específica.
– Obtener la evidencia suficiente, competente y pertinente de los
hallazgos de auditoría, desarrollar sus principales atributos y ana-
lizarlos con el jefe de equipo de la auditoría.
– Redactar, en la correspondiente cédula o papel de trabajo, los
resultados del examen, (comentarios, conclusiones y recomenda-
ciones) sobre cada componente desarrollado, guiándose con la
estructura preestablecida para el informe final.
CAPÍTULO 3
51
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS
EJERCICIOS DE REPASO Y
AUTOEVALUACIÓN
CAPÍTULO 4
AUDITORÍA SOBRE LA
PROTECCIÓN DE DATOS: FASE 1ª
1. INTRODUCCIÓN
AUDITORÍA DE LA LOPD 55
56 AUDITORÍA DE LA LOPD
2. OBJETIVO Y ALCANCE
Le y O r g á n i c a 1 5 / 1 9 9 9 , d e 1 3 d e d i c i e m b re, d e Pro t e c c i ó n d e d a t o s y R D
Normativa:
1720/2007, 21 de Diciembre.
Área/ Actividades
Fecha Hora Responsables
auditadas
Reunión de cierre
CAPÍTULO 4
59
AUDITORÍA SOBRE LA PROTECCIÓN DE DATOS: FASE 1ª
Toda persona o entidad que posea ficheros con datos personales está obliga-
da a inscribir en el Registro General Protección de Datos, la estructura de los
ficheros de que disponga. (Artículo 26.1 LOPD).
Este deber se refiere al derecho que tiene el sujeto, cuyos datos personales
han sido recabados de ser informado "de modo expreso, preciso e inequívoco" de
conformidad con los artículos 5 y siguientes de la LOPD.