CAPÍTULO 1

LA PROTECCIÓN DE DATOS

1. LA PROTECCIÓN DE DATOS

La protección de datos tiene por objeto garantizar y proteger, en lo que concierne

al tratamiento de los datos personales, las libertades públicas y los derechos funda-
mentales de las personas físicas, y especialmente de su honor e intimidad personal,
de posibles malos usos. Además, reconoce al ciudadano la facultad de controlar sus
datos personales y la capacidad para disponer y decidir sobre los mismos.

Recuerde
El derecho a la protección de datos puede considerarse una
condición preventiva para la garantía de otras libertades y
derechos fundamentales.

De este modo, la Ley Orgánica de

Protección de Datos de Carácter Per-
sonal 15/1999, de 13 de Diciembre
(LOPD) y las demás normas aplicables,
imponen una serie de medidas de ca-
rácter técnico, organizativo y jurídico
a aquellos que posean datos de ca-
rácter personal.

AUDITORÍA DE LA LOPD 7
8 AUDITORÍA DE LA LOPD

2. ¿A QUIÉN AFECTA LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS?

Están obligados a cumplir con la LOPD y demás normas que la desarrollan

todos aquellos que posean datos personales en cualquier soporte físico y que sean
susceptibles de ser usados y tratados.

Los profesionales y las empresas, por su posición en el tráfico económico,

poseen información sobre clientes, proveedores, agentes, etc., lo que les obliga a
estar adecuados conforme a la normativa vigente.

Especialmente importante es la posición de agentes económicos que prestan

sus servicios a otras empresas y profesionales, tales como consultores, gestorías,
empresas de servicios o mensajerías. Estos agentes intermediarios reciben los da-
tos personales de sus clientes.

La LOPD impone una serie de medidas a ambos, con el fin de evitar un mal
uso de los datos personales cedidos, así como un estricto régimen sancionador. Es
por ello que todas las empresas y profesionales cumplan sus obligaciones relativas
a la protección de datos. Particularmente, las que prestan servicios de
intermediación, ya que el volumen de datos personales que le son cedidos aumen-
ta la probabilidad de incurrir en alguna infracción.
 CAPÍTULO 1
9
LA PROTECCIÓN DE DATOS

3. ¿EN QUÉ CONSISTE LA PROTECCIÓN DE DATOS?

La protección consiste en la aplicación de una serie de medidas:

OBLIGACIONES QUE SE DERIVAN DE LA LOPD

• Inscripción de los ficheros en la Agencia Española de Protección Datos (LOPD).

• Información al interesado, como titular de sus datos, de la existencia del fichero y su finalidad.
• Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos.
• Creación de un Documento de Seguridad, de obligado cumplimiento para el personal con acceso a
los datos de carácter personal y a los sistemas de información.
• Información al personal de las normas de seguridad y consecuencias de su incumplimiento.
• Obligatoriedad de que conste por escrito el encargo del tratamiento de los datos a un tercero (la
Asesoría, por ejemplo) y que se acuerden las medidas de seguridad que en este caso la Asesoría ha
de cumplir.
• Prohibición de comunicar o ceder los datos personales a un tercero sin consentimiento previo del
interesado (por ej.: para envíos publicitarios u ofertas de terceros).
• Au d i t o r i a i n t e r n a o ex t e r n a , a l m e n o s c a d a 2 a ñ o s, q u e ve r i f i q u e e l c u m p l i m i e n t o d e l a
normativa de Protección de Datos.
10 AUDITORÍA DE LA LOPD

4. EL RESPONSABLE DEL FICHERO Y EL ENCARGADO DEL TRATAMIENTO

Dentro de la LOPD podemos distinguir a dos agentes principales:

• Responsable del Fichero o Tratamiento: persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida so-
bre la finalidad, contenido y uso del tratamiento. Además, es el respon-
sable de elaborar e implantar el Documento de Seguridad, el cual reco-
ge toda la normativa referente a la seguridad de los datos y a los siste-
mas de información.
• Encargado del tratamiento: la persona física o jurídica, autoridad pú-
blica, servicio o cualquier otro organismo que, sólo o conjuntamente con
otros, trate datos personales por cuenta del responsable del tratamiento.
El servicio prestado por el encargado del tratamiento puede tener o no carác-
ter remunerado y ser temporal o indefinido.

Cuando el responsable del tratamiento contrate la prestación de un servicio que

comporte el tratamiento de datos de carácter personal, deberá velar por que el encarga-
do del tratamiento reúna las garantías para el cumplimiento del servicio encomendado.

La realización de tratamientos por cuenta de terceros debe estar regulada en

un contrato que debe constar por escrito o en alguna otra forma que permita
acreditar su celebración y contenido, estableciéndose expresamente que el encar-
gado del tratamiento únicamente tratará los datos conforme a las instrucciones
del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al
que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación,
a otras personas. En el supuesto de que el encargado incumpliese lo mencionado
anteriormente, será considerado también responsable del tratamiento, y responde
de las infracciones en las que hubiera incurrido personalmente.

No obstante, el encargado del tratamiento no es responsable cuando por

indicación expresa del Responsable del Fichero, comunique datos a un tercero
designado por aquél, al que se le hubiera encomendado la prestación de un servi-
cio conforme a lo que se establece en el contrato.
 CAPÍTULO 1
11
LA PROTECCIÓN DE DATOS

El encargado del tratamiento no puede subcontratar con un tercero la realiza-

ción de ningún tratamiento, salvo que hubiera obtenido la autorización del Res-
ponsable del Fichero. En este caso, la contratación se efectuará en nombre y por
cuenta del Responsable del Fichero.

Existen excepciones a la imposibilidad de subcontratar con un tercero la rea-

lización de tratamientos, es decir, es posible la subcontratación sin necesidad de
autorización siempre y cuando se cumplan unos requisitos:
• Que se especifique en el contrato de servicios que puedan ser objeto de
subcontratación y, si ello fuera posible, la empresa con la que se vaya a
subcontratar.
• Que el tratamiento de datos de carácter personal por parte del
subcontratista se ajuste a las instrucciones del Responsable del Fichero.
• Que el encargado del tratamiento y la empresa subcontratista formali-
cen el contrato, en los términos previstos anteriormente.
En este caso, el subcontratista será considerado encargado del tratamiento,
siéndole de aplicación lo previsto en el artículo 20.3 del reglamento.

El encargado del tratamiento debe conservar los datos. Una vez cumplida la
prestación contractual, los datos personales deben ser destruidos o devueltos al
responsable del tratamiento o al encargado que hubiese designado. No se proce-
de a la destrucción de los datos cuando exista una previsión legal que exija su
conservación, en cuyo caso debe proceder a la devolución de los mismos, garan-
tizando el Responsable del Fichero dicha conservación.

Recuerde
El encargado del tratamiento conservará, debidamente blo-
queados, los datos en tanto pudieran derivarse responsabi-
lidades de su relación con el responsable del tratamiento.

Cuando el Responsable del Fichero o Tratamiento facilite el acceso a los da-

tos, a los soportes que los contengan, a un encargado de tratamiento que preste
sus servicios en los locales del primero, debe hacerse constar esta circunstancia en
12 AUDITORÍA DE LA LOPD

el Documento de Seguridad de dicho responsable, comprometiéndose el personal

del encargado a cumplir las medidas de seguridad contenidas en el mismo.

Si el servicio fuera prestado por el encargado del tratamiento en sus propios

locales, anejos a los del Responsable del Fichero, debe elaborar un documento de
seguridad en los términos exigidos, en el artículo 88 del reglamento, o completar
el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el
responsable del mismo e incorporando las medidas de seguridad a implantar en
relación con dicho tratamiento.
 CAPÍTULO 1
13
LA PROTECCIÓN DE DATOS

5. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El Art. 35 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de

Datos de Carácter Personal (en lo sucesivo LOPD), establece que:

"La Agencia Española de es un ente de derecho público, con perso-

nalidad jurídica propia y plena capacidad pública y privada, que
actúa con plena independencia de las Administraciones Públicas en
el ejercicio de sus funciones".

El Art. 1.2 del EAEPD dispone que la Agencia actúe con plena independencia
de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con
el Gobierno a través del Ministerio de Justicia.

Recuerde
La Agencia Española de Protección de Datos (en lo sucesivo
AEPD) es el ente de derecho público que vela por el cumpli-
miento de la normativa sobre protección de datos persona-
les, actuando para ello con plena independencia de las Ad-
ministraciones Públicas.
14 AUDITORÍA DE LA LOPD

En este sentido:
• Informa sobre el contenido, los principios y las garantías del derecho
fundamental a la protección de datos regulado en la LOPD.
• Ayuda al ciudadano a ejercitar sus derechos y a los responsables y
encargados de tratamientos a cumplir las obligaciones que establece la
LOPD.
• Tutela al ciudadano en el ejercicio de los derechos de acceso, rectifica-
ción, cancelación y oposición cuando no han sido adecuadamente aten-
didos por los responsables de los ficheros.
• Garantiza el derecho a la protección de datos investigando aquellas
actuaciones de los responsables o encargados de ficheros que puedan
ser contrarias a los principios y garantías contenidos en la LOPD. Impo-
ne, en su caso, la correspondiente sanción.

5.1. ESTRUCTURA Y FUNCIONES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN

DE DATOS

La Agencia Española de Protección de Datos, está constituida por el Director,

el consejo consultivo, el registro general de protección de datos, la inspección de
datos y la secretaria General, como órganos jerárquicamente dependientes del
director de la agencia.
 CAPÍTULO 1
15
LA PROTECCIÓN DE DATOS

El Director
Nombrado por Real Decreto de entre los miembros del Consejo Consultivo a
propuesta del Ministro de Justicia, ostenta la representación de la Agencia, sus
actos se considerarán como propios de la Agencia. Independiente y no sometido a
mandato imperativo alguno. Su mandato dura cuatro años.
• Causas de cese:
– A petición propia.
– Por separación en caso de incumplimiento grave, incapacidad,
incompatibilidad o comisión de delito doloso.
• Funciones del Director: Resoluciones (ponen fin a la vía administrativa)
recurribles ante la Sala de lo Contencioso de la Audiencia Nacional. (AN) :
– Sobre inscripción.
– Sobre códigos tipo.
– Sobre transferencias.
– Tutelas de derechos.
– Procedimientos sancionadores.
– Medidas cautelares.
– Instando la incoación de expedientes disciplinarios.
– Autorizaciones de entrada en locales.
■ Coordinación con las autoridades autonómicas.
■ Funciones de gestión.

El Consejo Consultivo
Es el órgano Colegiado de asesoramiento del Director, que emite informe en
todas las cuestiones que le solicite el Director. Además, formula propuestas en
materia de protección de datos y se reunirá al menos una vez cada seis meses. El
Director será elegido de entre sus miembros.

El Registro General de Protección de Datos

• Función: velar por la publicidad de los tratamientos de datos.
• Expedientes que tramita:
– Inscripción de tratamientos notificados.
– Autorización de transferencias internacionales de datos.
16 AUDITORÍA DE LA LOPD

– Inscripción de Códigos Tipo.

• Tratamientos inscribibles:
– Ficheros Públicos:
■ Administración del Estado.
■ Administración de las CC.AA.
■ Administración Local.
■ Entidades vinculadas o dependientes de esas Administraciones.
■ Administración ‘corporativa’ en el desempeño de potesta-
des de derecho público.
– Ficheros Privados.
• Contenido de las inscripciones:
– Responsable del Fichero, ubicación y existencia de encargados
del tratamiento.
– Finalidad y usos.
– Afectados.
– Procedimiento de recogida.
– Estructura del fichero y tipo de datos que contiene.
– Cesiones y transferencias, indicando destinatarios.
– Medidas de seguridad.
– Forma de ejercicio por los afectados de sus derechos.
• Si el fichero es de titularidad pública, debe aprobarse una disposición
general en que se haga mención a estos extremos.
• Procedimiento de Notificación del tratamiento al RGPD (previo a iniciar
la recogida de los datos):
– Si hubiera que subsanar algún defecto: solicitud de subsanación
en 10 días.
– Si se aclara o no hizo falta subsanación, se inscribe el tratamiento.
– Si no se ha aclarado suficientemente, se deniega la inscripción.
– Si no se dice nada en 30 días desde la remisión (sin contar el
plazo de subsanación), el fichero se considerará inscrito (silen-
cio positivo).
 CAPÍTULO 1
17
LA PROTECCIÓN DE DATOS

• Efectos de la inscripción: la inscripción es necesaria para que el trata-

miento sea lícito, pero la inscripción es meramente declarativa:
– No inscribir es contrario a la LOPD.
– Estar inscrito no implica una presunción de que el tratamiento es
totalmente conforme a la Ley.

La Inspección de Datos
• Función:
– Comprobación de la legalidad de los tratamientos.
• Organización:
– Inspectores de datos.
– Instrucción de procedimientos:
■ Tutelas de derechos.
■ Procedimientos sancionadores.
■ Procedimientos de infracción por las Administraciones Públicas.
• Funciones inspectoras:
– Naturaleza de autoridad pública.
– Deber de secreto de los inspectores.
– Posibles actuaciones:
■ Examen de soportes.
■ Examen de equipos.
■ Análisis de programas.
■ Examen de los sistemas de transmisión.
■ Auditoria informática.
■ Requerimiento de información.
– Potestades de entrada en locales.
– Supuestos de actuación:
■ Ante una denuncia de un afectado o en supuestos de alar-
ma social.
■ Dentro de un plan de inspección de oficio.
18 AUDITORÍA DE LA LOPD

– Planes de Oficio Finalidad preventiva:

■ Sólo se imponen sanciones en casos de extrema gravedad.
■ Tiene por objeto conocer el modo en que se realizan los
tratamientos por parte de un sector.
■ Concluye con la preparación de unas ‘recomendaciones’
en que se detectan los problemas.
• Instrucción de procedimientos. Tutela de derechos.
– Presupuesto:
■ Ejercicio por el afectado de sus derechos de acceso, rectifi-
cación, cancelación y oposición.
■ Denegación de este derecho por el Responsable del Fichero.
– Procedimiento:
■ Reclamación por escrito a la APD.
■ La APD requiere alegaciones al responsable en plazo de
15 días.
■ Práctica de pruebas o inspección.
■ Audiencia del responsable y el afectado.
■ Resolución.
■ Plazo máximo de tramitación: 6 meses. Silencio positivo.
• Instrucción de procedimientos. Procedimiento sancionador.
– Causa de iniciación:
■ Denuncia de un afectado.
■ Conocimiento de un hecho presuntamente ilícito (por ejemplo,
por los medios de comunicación o denuncia de un tercero).
– Procedimiento:
■ Establecido por las normas generales de derecho adminis-
trativo (RD 1398/1993, de 4 de agosto, en desarrollo Títu-
lo VI Ley 30/1992).
– Medidas cautelares específicas:
■ En caso de hechos tipificados como infracción muy grave
de utilización o cesión ilícita.
■ Perjuicio para los derechos de los ciudadanos y el libre de-
sarrollo de la personalidad.
 CAPÍTULO 1
19
LA PROTECCIÓN DE DATOS

■ Podrá requerirse el cese en el tratamiento.

■ Si no se atiende, podrán inmovilizarse los ficheros.
■ Instrucción de procedimientos.
– Procedimiento sancionador. Contenido de la resolución sancio-
nadora:
■ Ficheros de titularidad privada.
■ Multa económica (criterios de cuantificación y atenuación
previstos en la Ley).
■ Medidas complementarias.
– Ficheros de titularidad pública:
■ Declaración de la infracción.
■ Imposición de medidas correctoras.
■ Solicitud de medidas disciplinarias para el responsable de
la actuación ilícita.
■ Notificación de la resolución al Defensor del Pueblo.

La Secretaría General de la Agencia

• Misión:
– Apoyo al adecuado funcionamiento de la Agencia.
• Funciones:
– De apoyo.
– De gestión, por Delegación del Director.
– Otras complementarias:
■ Fondo de documentación.
■ Edición de repertorios, Memoria y publicaciones.
■ Preparación de conferencias, etc.
– Atención al ciudadano en las cuestiones que plantee, relaciona-
das con la protección de datos.
20 AUDITORÍA DE LA LOPD

Recuerde
Para cualquier consulta se puede dirigir:
– Al teléfono 901 100 099
– Al fax 91 445 56 99
– A través de correo electrónico: ciudadano@agpd.es
– Visitando la página Web: <http://www.agpd.es>
– Por correo a la:
■ Agencia Española de Protección de Datos, Jorge
Juan 6 - 28001 Madrid
 CAPÍTULO 1
21
LA PROTECCIÓN DE DATOS

1. ¿Cuál es la finalidad de la protección de datos?

2. ¿A quién afecta la Protección de Datos?

3. Agentes principal de la LOPD.

4. ¿Qué se entiende por Agencia Española de Protección de Datos?

5. Estructura de la Agencia Española de Protección de Datos.

EJERCICIOS DE REPASO Y
AUTOEVALUACIÓN
CAPÍTULO 2
FICHEROS Y DOCUMENTO DE SEGURIDAD

1. FICHEROS Y TRATAMIENTOS DE DATOS

Se entiende por Tratamiento de Datos las operaciones y procedimientos téc-

nicos de carácter automatizado o no, que permitan la recogida, grabación, conser-
vación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Fichero: es todo conjunto organizado de datos de carácter personal, cual-

quiera que fuere la forma o modalidad de su creación, almacenamiento, organi-
zación y acceso. Estos pueden ser:
• Automatizado: se refiere a todo conjunto organizado de datos de carác-
ter personal que permita acceder a la información relativa a una persona
física determinada utilizando procedimientos de búsqueda automatizados,
es decir, información almacenada en soportes informáticos y se encuen-
tran organizados de manera que se pueda acceder a los datos personales
utilizando cualquier tipo de aplicación o procedimiento informatizado.

AUDITORÍA DE LA LOPD 23
24 AUDITORÍA DE LA LOPD

• No automatizados: todo conjunto de datos de carácter personal or-

ganizado de forma no automatizada y estructurado conforme a criterios
específicos relativos a personas físicas, que permitan acceder sin es-
fuerzos desproporcionados a sus datos personales, ya sea aquél centra-
lizado, descentralizado o repartido de forma funcional o geográfica.

Además, también pueden ser:

• Ficheros de titularidad privada: los ficheros de los que sean responsa-
bles las personas, empresas o entidades de derecho privado, con indepen-
dencia de quien ostente la titularidad de su capital o de la procedencia de
sus recursos económicos, así como los ficheros de los que sean responsa-
bles las corporaciones de derecho público, en cuanto dichos ficheros no se
encuentren estrictamente vinculados al ejercicio de potestades de derecho
público que a las mismas atribuye su normativa específica.
• Ficheros de titularidad pública: los ficheros de los que sean respon-
sables los órganos constitucionales o con relevancia constitucional del
Estado o las instituciones autonómicas con funciones análogas a los
mismos, las Administraciones públicas territoriales, así como las enti-
dades u organismos vinculados o dependientes de las mismas y las
Corporaciones de derecho público siempre que su finalidad sea el ejer-
cicio de potestades de derecho público.
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos
personales se clasifican en tres niveles: Básico, Medio y Alto.
 CAPÍTULO 2
25
FICHEROS Y DOCUMENTO DE SEGURIDAD

Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
NIVEL ALTO recabado con fines policiales sin consentimiento de las personas afectadas; y derivados
de actos de violencia de género.

Datos relativos a la comisión de infracciones administrativas o penales; que se rijan

por el ar tículo 29 de la LOPD (prestación de ser vicios de solvencia patrimonial y
crédito); de Administraciones tributarias, y que se relacionen con el ejercicio de sus
potestades tributarias; de entidades financieras para las finalidades relacionadas con
la prestación de servicios financieros; de Entidades Gestoras y Servicios Comunes de
NIVEL MEDIO
Seguridad Social, que se relacionen con el ejercicio de sus competencias; de mutuas
de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; que
ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos
de la misma o del compor tamiento de las personas; y de los operadores de
comunicaciones electrónicas, respecto de los datos de tráfico y localización.

D a t o s d e n o m b re, a p e l l i d o s, D N I , n a c i o n a l i d a d, f i r m a , f i r m a e l e c t ró n i c a , i m a g e n ,
número de la seguridad social, correo electrónico, teléfono, etc. Además, datos de
i d e o l o g í a , a f i l i a c i ó n s i n d i c a l , r e l i g i ó n , c r e e n c i a s, s a l u d , o r i g e n r a c i a l o v i d a s e x u a l ,
c u a n d o : l o s d a t o s s e u t i l i c e n c o n l a ú n i c a f i n a l i d a d d e r e a l i z a r u n a t r a n s fe r e n c i a
dineraria a entidades de las que los afectados sean asociados o miembros; se trate de
NIVEL BÁSICO
ficheros o tratamientos no automatizad os o sean tratamientos manuales de estos tipos
de datos de forma incidental o accesoria, que no guarden relación con la finalidad del
fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran
e xc l u s i v a m e n t e a l g r a d o o c o n d i c i ó n d e d i s c a p a c i d a d o l a s i m p l e d e c l a r a c i ó n d e
invalidez, con motivo del cumplimiento de deberes públicos.

Los ficheros de datos de carácter personal de titularidad privada, serán notifi-

cados a la Agencia de Protección de Datos, por la persona o entidad privada que
pretenda crearlos, con carácter previo a su creación.

La notificación previa a la inscripción de los ficheros en la Agencia de Protec-

ción de Datos ha de contener:
• Identificación del responsable del fichero.
• La identificación del fichero.
• Finalidades y usos del fichero.
• El sistema de tratamiento empleado para su organización.
• El colectivo de personas sobre las que se obtienen datos.
• El procedimiento y procedencia de los datos.
• Las categorías de los datos.
• El servicio o unidad de acceso.
• La indicación del nivel de medidas de seguridad básico, medio o alto
exigible.
26 AUDITORÍA DE LA LOPD

• Identificación en su caso, del encargado de tratamiento donde se en-

cuentra ubicado el fichero.
• Los destinatarios de cesiones y transferencias internacionales de datos.

Recuerde
La notificación se realiza conforme al procedimiento esta-
blecido en el Capítulo IV del Título VIII del reglamento.
 CAPÍTULO 2
27
FICHEROS Y DOCUMENTO DE SEGURIDAD

2. EL DOCUMENTO DE SEGURIDAD

El artículo 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección

de Datos de carácter personal (LOPD), establece que:

"el responsable del fichero, y, en su caso, el encargado del trata-

miento, deberán adoptar las medidas de índole técnica y organizativas
necesarias que garanticen la seguridad de los datos de carácter per-
sonal y eviten su alteración, pérdida, tratamiento o acceso no auto-
rizado, habida cuenta del estado de la tecnología, la naturaleza de
los datos almacenados y los riesgos a que están expuestos, ya pro-
vengan de la acción humana o del medio físico o natural"

El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real De-

creto 1720/2007, de 21 de diciembre, fue publicado en el BOE número 17, de 19
de enero de 2008. El Título VIII de este reglamento desarrolla las medidas de
seguridad en el Tratamiento de Datos de carácter personal y tiene por objeto
establecer las medidas de índole técnica y organizativa necesarias para garantizar
la seguridad que deben reunir los ficheros, los centros de tratamiento, locales,
equipos, sistemas, programas y las personas que intervengan en el tratamiento de
los datos de carácter personal.

El Documento de Seguridad es un documento interno de la organización,

que debe mantenerse siempre actualizado. Disponer del documento de seguridad
es una obligación para todos los responsables de ficheros y, en su caso, para los
encargados del tratamiento, con independencia del nivel de seguridad que sea
necesario aplicar.
28 AUDITORÍA DE LA LOPD

Los apartados mínimos que debe incluir el documento de seguridad son los
siguientes:

APARTADOS DEL DOCUMENTO DE SEGURIDAD

• Ámbito de aplicación del documento con especificación detallada de los recursos.

• Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad
exigido, así como la definición de las Políticas de Seguridad.
• Identificación de los elementos previstos para asegurar la inviolabilidad de la red informática.
• Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información
que los tratan.
• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Procedimiento de realización de las copias de respaldo de los datos.
• Elaboración de un inventario de copias de seguridad.
• Mecanismo de identificación y autenticación, de los usuarios para el acceso autorizado a los sistemas
de información.
• Sistemas de contraseñas para el control de acceso a la información.
• Funciones y obligaciones del personal.
• Identificación del Responsable del Fichero y del Responsable de Seguridad.
• Relación del personal autorizado para el acceso físico a los locales donde se encuentran ubicados los
sistemas de información.
• Registro de entrada y salidas de soportes informáticos.
• Medidas de seguridad a adoptar en los sitios Web del cliente.

En caso de haber contratado la prestación de servicios por terceros para de-

terminados ficheros, en el documento de seguridad se debe hacer constar esta
circunstancia, indicando una referencia al contrato y su vigencia, así como los
ficheros objeto de este tratamiento.

Si se ha contratado la prestación de servicios en relación con la totalidad de

los ficheros y tratamientos de datos del responsable, y dichos servicios se prestan
en las instalaciones del encargado del tratamiento se podrá delegar en éste la
llevanza del documento de seguridad.
 CAPÍTULO 2
29
FICHEROS Y DOCUMENTO DE SEGURIDAD

3. MEDIDAS DE SEGURIDAD

Con la elaboración del Documento de Seguridad (DS) se establece la elabora-

ción, implantación y difusión de procedimientos de:
• Tratamiento y acceso a la documentación, y custodia de la misma.
• Notificación y gestión de incidencias.
• Asignación de autorizaciones y responsabilidades, por ejemplo, en re-
lación con:
– La aprobación o negación de acceso a los documentos.
– El mantenimiento del registro de incidencias.
– Nombramiento de responsables de seguridad.
• Gestión de todos los mecanismos que limiten accesos no autorizados:
– Archivadores o armarios con llave, reubicación de la documenta-
ción en zonas de acceso restringido o que estén bajo vigilancia
permanente (requerido para datos de Nivel Alto), etc.
30 AUDITORÍA DE LA LOPD

– Gestión de procedimientos de destrucción de documentos, e in-

ventario de la instalación de mecanismos al efecto: trituradoras
de papel, contratación de servicios especializados, etc.

– Ejecución de auditorias bianuales obligatorias (como se viene

haciendo para ficheros automatizados), para datos de Nivel Me-
dio o Alto.
– Para datos de nivel alto (entre los que se incluye la información
sobre la salud de personas), deben identificarse los accesos rea-
lizados a los documentos, para lo cual puede ser recomendable
implantar un libro de control de accesos a la documentación. Este
podría ser a su vez informatizado.
A continuación vamos a establecer las medidas de seguridad de acuerdo con
el nivel de protección y sistema de tratamiento:

Nivel Básico
• Personal
Respecto del personal se debe establecer las funciones y obligaciones de
los diferentes usuarios o de los perfiles de usuarios claramente definidas
y documentadas. Definición de las funciones de control y las autorizacio-
nes delegadas por el responsable. Difusión entre el personal, de las nor-
mas que les afecten y de las consecuencias por su incumplimiento.
• Incidencia
Se establece un registro de incidencias: tipo, momento de su detección,
persona que la notifica, efectos y medidas correctoras. Procedimiento
de notificación y gestión de las incidencias.
 CAPÍTULO 2
31
FICHEROS Y DOCUMENTO DE SEGURIDAD

• Control de acceso
Consiste en la relación actualizada de usuarios y accesos autorizados.
Control de accesos permitidos a cada usuario según las funciones asig-
nadas. Mecanismos que eviten el acceso a datos o recursos con dere-
chos distintos de los autorizados. Concesión de permisos de acceso sólo
por personal autorizado. Mismas condiciones para personal ajeno con
acceso a los recursos de datos.
• Gestión de soportes
Incluye el inventario de soportes, identificación del tipo de información
que contienen, o sistema de etiquetado, acceso restringido al lugar de
almacenamiento, autorización de las salidas de soportes (incluidas a
través de e-mail) y medidas para el transporte y el desecho de soportes.

Sólo ficheros automatizados

• Identificación y autenticación
Se trata de establecer la identificación y autenticación personalizada,
procedimiento de asignación y distribución de contraseñas, almacena-
miento ininteligible de las contraseñas y periodicidad del cambio de
contraseñas, que no puede ser superior a un año.
• Copia de respaldo
Debe contener la copia de respaldo semanal, procedimientos de gene-
ración de copias de respaldo y recuperación de datos, verificación se-
mestral de los procedimientos, reconstrucción de los datos a partir de la
última copia, grabación manual en su caso, si existe documentación
que lo permita, pruebas con datos reales, copia de seguridad y aplica-
ción del nivel de seguridad correspondiente.

Sólo ficheros no automatizados

• Criterios de archivo
El archivo de los documentos debe realizarse según criterios que facili-
ten su consulta y localización para garantizar el ejercicio de los dere-
chos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
• Almacenamiento
Se debe establecer los dispositivos de almacenamiento dotados de me-
canismos que obstaculicen su apertura.
32 AUDITORÍA DE LA LOPD

• Custodia soportes
Durante la revisión o tramitación de los documentos, la persona a car-
go de los mismos debe ser diligente y custodiarla para evitar accesos no
autorizados.

Nivel Medio
• Responsable de seguridad
El responsable del fichero tiene que designar a uno o varios responsa-
bles de seguridad (no es una delegación de responsabilidad). El respon-
sable de seguridad es el encargado de coordinar y controlar las medi-
das del documento.
• Auditoria
Al menos cada dos años, interna o externa. Debe realizarse ante modi-
ficaciones sustanciales en los sistemas de información con repercusio-
nes en seguridad. Verificación y control de la adecuación de las medi-
das. Informe de detección de deficiencias y propuestas correctoras. Aná-
lisis del responsable de seguridad y conclusiones elevadas al responsa-
ble del fichero.

Sólo ficheros automatizados

• Incidencia
Anotar los procedimientos de recuperación, persona que lo ejecuta,
datos restaurados, y en su caso, datos grabados manualmente. Autori-
zación del responsable del fichero para la recuperación de datos.
• Control de acceso
Se debe incluir el control de acceso físico a los locales donde se encuen-
tren ubicados los sistemas de información.
• Identificación y autenticación
Limite de intentos reiterados de acceso no autorizado.
• Gestión de soportes
Tiene que tener el registro de entrada y salida de soportes: documento
o soporte, fecha, emisor/destinatario, número, tipo de información, for-
ma de envío, responsable autorizado para recepción/entrega.
 CAPÍTULO 2
33
FICHEROS Y DOCUMENTO DE SEGURIDAD

Nivel Alto

Sólo ficheros automatizados

• Control de acceso
El control de accesos debe contener un registro de accesos: usuario,
hora, fichero, tipo de acceso, autorizado o denegado. Debe ser revisa-
do el registro mensualmente por el responsable de seguridad.
Los datos de este control deben conservarse durante dos años. No es
necesario este registro si el responsable del fichero es una persona
física y es el único usuario.
• Gestión de soportes
Tiene que tener un sistema de etiquetado confidencial, un cifrado de
datos en la distribución de soportes, un cifrado de información en dis-
positivos portátiles fuera de las instalaciones (evitar el uso de dispositi-
vos que no permitan cifrado, o adoptar medidas alternativas).
• Copias de respaldo
Contiene la copia de respaldo y procedimientos de recuperación en un
lugar diferente del que se encuentren los equipos.
• Telecomunicaciones
Debe de contener explicación de la transmisión de datos a través de
redes electrónicas cifradas.

Sólo ficheros no automatizados

• Control de acceso
Contiene el control de accesos autorizados y la identificación de acce-
sos para documentos accesibles por múltiples usuarios.
• Almacenamiento
Los modos de almacenamientos son: armarios, archivadores de docu-
mentos en áreas con acceso protegido mediante puertas con llave.
• Copia o reproducción
Sólo puede realizarse por los usuarios autorizados. Y como se destruye
las copias desechadas.
• Traslado documentación
Medidas que impidan el acceso o manipulación.
34 AUDITORÍA DE LA LOPD

Además de estas medidas de seguridad, según el nivel de protección y de si se

trata de ficheros automatizados o no, existen otras medidas de seguridad que se
han de tener en cuenta:
• Los accesos a través de redes de telecomunicaciones deben garantizar
un nivel de seguridad equivalente al de los accesos en modo local.
• La ejecución de trabajos fuera de los locales del responsable o del en-
cargado del tratamiento debe ser previamente autorizada por el res-
ponsable del fichero, constar en el documento de seguridad y garanti-
zar el nivel de seguridad.
• Los ficheros temporales deberán cumplir el nivel de seguridad correspon-
diente y serán borrados una vez que hayan dejado de ser necesarios.
• El acceso facilitado a un encargado del tratamiento deberá constar en
el documento de seguridad y deberá comprometerse al cumplimiento
de las medidas de seguridad previstas.
 CAPÍTULO 2
35
FICHEROS Y DOCUMENTO DE SEGURIDAD

1. ¿Qué se entiende por fichero?

2. ¿Qué ha de contener la notificación previa a la inscripción de los ficheros en

la Agencia de Protección de Datos?

3. ¿Qué establece el artículo 9.1. de LOPD?

4. Indica cuáles son los niveles de protección.

EJERCICIOS DE REPASO Y
AUTOEVALUACIÓN
CAPÍTULO 3
LA AUDITORÍA.
CONCEPTO Y CARACTERÍSTICAS

1. CONCEPTO

La palabra auditoría viene del latín auditorius, y la Real Academia Española

de la Lengua define como:

"Revisión sistemática de una actividad o de una situación para eva-

luar el cumplimiento de las reglas o criterios objetivos a las que
aquellas deben someterse"

Para el tema que nos ocupa, que es la verificación de la protección de datos

en las empresas expondremos otra definición de auditoría. Se entiende por
auditoría a la investigación, consulta, revisión, verificación, comprobación y ob-
tención de la evidencia sobre un hecho acontecido o sistema establecido, según el
desarrollo de las normas de aplicación, a través de la certificación de personal
cualificado y acreditado al respecto.

Es un proceso sistemático, esto quiere decir que en toda auditoría debe existir
un conjunto de procedimientos lógicos y organizados que el auditor debe cumplir
para la recopilación de la información que necesita para emitir su opinión final
sobre la adecuación de dicha empresa a la protección de datos.

También en esta definición se indica que la evidencia debe obtenerse y eva-

luarse de manera objetiva, esto quiere decir que el auditor debe realizar su traba-
jo con una actitud de independencia neutral frente a el.

La evidencia que debe obtener el auditor consiste en una amplia gama de

información y datos que le puedan ayudar a elaborar su informe final. Esta defini-

AUDITORÍA DE LA LOPD 37
38 AUDITORÍA DE LA LOPD

ción no es estricta en cuanto a la naturaleza de la evidencia que se ha revisado,

más bien nos indica que el auditor debe usar su criterio profesional para saber
cual de todas las evidencias que posee es la apropiada para el trabajo que esta
ejecutando, él debe considerar cualquier elemento o dato que le permita realizar
una evaluación objetiva y expresar un dictamen profesional.

El auditor tiene un papel que desarrollar en este proceso, el cual es, determi-
nar el grado de precisión que existe entre los hechos que ocurren en realidad y los
informes que se han elaborado después de haber sucedido tales hechos.

Por último tendríamos que decir que la auditoría es una herramienta de con-
trol y supervisión que permite descubrir fallos en las estructuras o vulnerabilidades
existentes en la organización de una empresa en materia de protección de datos.
 CAPÍTULO 3
39
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS

2. CARACTERÍSTICAS FUNDAMENTALES DE LA AUDITORÍA

IMPARCIALIDAD Y OBJETIVIDAD

La actividad auditora deberá llevarse a cabo con objetividad e imparcialidad

aunque la conclusión final de la misma es una opinión, está debe basarse siempre
en evidencias objetivas, es decir, debe tenerse en cuenta la información cuya vera-
cidad pueda ser probada, basada en hechos, conocidos a través de la observa-
ción, medición, ensayo u otros medios, para poder comprobar la adecuación de la
protección de datos en dicha empresa.

La actividad del auditor debe de ejecutarse manteniendo independencia de

criterio y decisión y no dejarse influenciar por factores externos o internos, de tal
manera que siempre mantenga su criterio de independencia frente a la entidad o
empresa que va a auditar, su actuación siempre debe estar fundada en la realidad
de los hechos y demás circunstancias vinculadas a los mismos (actos, situaciones,
evidencias), que le permitan mantener sobre bases sólidas sus juicios y opiniones
sin deformaciones por subordinación a condiciones particulares.

SISTEMATIZACIÓN

Con el objeto de asegurar la uniformidad en la aplicación y dirección de traba-

jo, la auditoría debería desarrollarse mediante un proceso sistemático que implica-
ría la aplicación de una metodología, y por lo tanto, del uso de estándares, por ello
la entidad auditora debería elaborar sus propios procedimientos y protocolos de
actuación, dado que es ella la que mejor conoce sus posibilidades y recursos.

DOCUMENTACIÓN

El aspecto documental es de gran importancia en la auditoría de protección

de datos, pues constituyen siempre la prueba más objetiva de que aquello que se
40 AUDITORÍA DE LA LOPD

dice es cierto, ya que las pruebas documentales permiten evidenciar los hechos
alegados.

La auditoría de protección de datos, se centra en los documentos que suminis-

tra el propio auditado, de hecho el proceso auditor gira básicamente entorno al
denominado Documento de Seguridad (donde se refleja de alguna manera, toda
la información en materia de protección de datos).También tienen gran relevancia
otros elementos documentales, como los registros, que permiten evaluar la efica-
cia diaria del Sistema de Seguridad.

PERIODICIDAD

La periodicidad mínima con la que se ha de realizar una auditoría del sistema

de información e instalaciones de tratamiento y almacenamiento de datos de ca-
rácter general es de 2 años según el RDLOPD en su Art.96.1. Aunque con el nuevo
reglamento, se introduce la obligatoriedad de auditar antes de vencer el plazo de
los 2 años, cuando se realicen modificaciones sustanciales en el sistema que pue-
dan afectar a la seguridad de los datos.
 CAPÍTULO 3
41
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS

3. TIPOS DE AUDITORÍA

Las auditorías pueden clasificarse en Externas e Internas.

AUDITORÍA EXTERNA

La auditoría externa, es el examen crítico, sistemático y detallado de un siste-

ma de información, realizado por un profesional en la materia sin vínculos labora-
les con la empresa auditada, utilizando técnicas determinadas, destinadas a la
revisión de los métodos de control o de seguridad empleados, para la protección
de los datos de carácter personal, con el objeto de emitir una opinión indepen-
diente sobre la forma como opera el sistema, el control interno del mismo y formu-
lar sugerencias para su mejoramiento.

En la auditoría externa la relación es de tipo civil, entre el auditor y la empresa

auditada, mediante la realización de un contrato de prestación de servicios, como
es el que le presentamos a continuación.
42 AUDITORÍA DE LA LOPD
 CAPÍTULO 3
43
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS
44 AUDITORÍA DE LA LOPD
 CAPÍTULO 3
45
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS

AUDITORÍA INTERNA

La auditoría interna, es el examen crítico, sistemático y detallado de un sistema

de información, realizado por una persona con conocimientos específicos sobre di-
cha materia, que posee un vínculo laboral con la empresa, utilizando técnicas deter-
minadas, destinadas a la revisión de los métodos de control o de seguridad emplea-
dos para llevar a cabo la implantación de la Ley Orgánica de protección de datos en
las empresas y con el objeto de emitir informes y formular sugerencias para el
mejoramiento de la misma. Estos informes son de circulación interna.

Las funciones de la auditoría interna son:

– Evaluar de forma permanente el funcionamiento de los controles inter-
nos establecidos por las empresas y recomendar las medidas que signi-
fiquen mejorar su efectividad. Lo anterior, puede derivar en una evalua-
ción general del sistema de control interno y/o áreas específicas, e in-
cluso, de aspectos constitutivos del control, como la organización, los
procedimientos, los métodos, los sistemas de información y el personal.
– Verificar la existencia de adecuados sistemas de información, registro y
control, que generen resultados oportunos y veraces.
– Establecer el grado de implementación de las medidas preventivas y/o
correctivas provenientes de las evaluaciones realizadas.
– Desarrollar las funciones de supervisión de todos los pasos realizados
para llevar a cabo la implantación de la Ley Orgánica de protección de
datos de acuerdo con la normativa vigente y elaborar los informes rela-
tivos al estado de dicha implantación en la misma.
46 AUDITORÍA DE LA LOPD

4. PERFIL DEL AUDITOR

Las auditorías deben llevarse a cabo por personas cualificadas de la propia

organización, instruidos para tal fin, o por auditores profesionales experimentados
en la materia.

Cualquier profesional de la auditoría debe cumplir, unos requisitos básicos, es

decir, debe estar debidamente cualificado para el desarrollo de unos trabajos que
resultan muy específicos. Normalmente esta especificidad profesional está regu-
lada mediante acreditaciones o autorizaciones emitidas por la Administración o
entidades colaboradoras.

Para la auditoría de protección de datos personales, no existe tal acreditación,

por lo que el campo profesional queda abierto a todas aquellas personas físicas o
jurídicas que se consideren expertas en el tema.

En cualquier caso, creemos que el auditor debe reunir determinadas condicio-

nes y comportamientos en el desarrollo de la actividad auditora, son las siguientes:

1. Formación y capacidad profesional

El auditor debe tener conocimientos y experiencia en:
• Los aspectos legales sobre el tratamiento de los datos de carácter per-
sonal. Debe conocer a fondo la Ley 15/1999 de protección de datos de
carácter general y su reglamento de desarrollo, así como la correspon-
diente Legislación Comunitaria.
• El conocimiento de las técnicas auditoras (objetividad, independencia,
sistematización, documentación y periodicidad).
• Conocimientos en sistemas de la información para la revisión de las
medidas de seguridad aplicadas a los ficheros automatizados.
• Conocimiento de las actividades auditadas.
 CAPÍTULO 3
47
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS

2. Independencia, integridad y Objetividad

El auditor durante su actuación profesional deberá mantener una posición de
absoluta independencia, integridad y objetividad. La independencia supone una
actitud mental que permite al auditor actuar con libertad respecto a su juicio profe-
sional, para lo cual debe encontrarse libre de cualquier predisposición que limite su
imparcialidad en la consideración objetiva de los hechos, así como en la formula-
ción de sus conclusiones. La integridad debe entenderse como la rectitud intachable
en el ejercicio profesional, que le obliga, en el ejercicio de su profesión, a ser hones-
to y sincero en la realización de su trabajo y en la emisión de su informe. En conse-
cuencia, todas y cada una de las funciones que ha de realizar han de estar presidi-
das por una honradez profesional irreprochable. La objetividad implica el manteni-
miento de una actitud imparcial en todas las funciones del auditor, para ello deberá
gozar de una total independencia en sus relaciones con la entidad auditada. Debe
ser justo y no permitir ningún tipo de influencia o prejuicio.

Para ser independiente el auditor no debe tener intereses ajenos a los profe-
sionales, ni estar sujeto a influencias susceptibles de comprometer tanto la solu-
ción objetiva de los problemas que puedan serle sometidos, como la libertad de
expresar su opinión profesional. El auditor debe ser siempre independiente y abs-
tenerse de aceptar el encargo de auditoría en todos aquellos casos en que incurra
en una situación incompatible con el ejercicio de sus funciones.

3. Diligencia Profesional
El auditor en la ejecución de su trabajo y en la emisión de su informe actuará
con la debida diligencia profesional. La debida diligencia profesional impone a
cada persona de la organización del auditor, la responsabilidad del cumplimiento
de las Normas en la ejecución del trabajo y en la emisión del informe. Su ejercicio
exige, asimismo, una revisión crítica a cada nivel de supervisión del trabajo efec-
tuado y del juicio emitido por todos y cada uno de los profesionales del equipo de
trabajo de auditoría. El auditor debe aceptar únicamente los trabajos que pueda
efectuar con la debida diligencia profesional. El auditor debe demostrar su dili-
gencia profesional en los papeles de trabajo, lo cual requiere que su contenido sea
suficiente para suministrar el soporte de opinión.

4. Responsabilidad del auditor

El auditor es responsable del cumplimiento de las normas de auditoría esta-
blecidas, y a su vez responsable del cumplimiento de las mismas por parte de los
48 AUDITORÍA DE LA LOPD

profesionales de su equipo de auditoría. Las responsabilidades y actividades del

auditor son:
• Planear y desarrollar las tareas asignadas, objetiva, efectiva y
eficientemente.
• Recopilar y analizar las evidencias de auditorías relevantes y suficientes
para determinar los resultados de la auditoría.
• Preparar los documentos de trabajo.
• Documentar los resultados individuales de la auditoría.
• La redacción del informe de auditoría.

5. Secreto Profesional
El auditor debe mantener la confidencialidad de la información obtenida en el
curso de sus actuaciones. El auditor ha de mantener estricta confidencialidad so-
bre toda la información adquirida en el transcurso de la auditoría concerniente a
la protección de datos, excepto en los casos previstos en la Ley, no revelará el
contenido de la misma a persona alguna sin autorización del cliente. No obstante,
el auditor deberá recoger en su informe cualquier negativa del cliente a mostrar
toda la información necesaria para expresar la imagen fiel de sus actividades. El
auditor tiene, asimismo, el deber de garantizar el secreto profesional en las actua-
ciones de sus ayudantes y colaboradores. La información obtenida en el transcurso
de sus actividades de auditoría no podrá ser utilizada en su provecho ni en el de
terceras personas.

La auditoría podrá realizarse por una sola persona (auditor), o por un grupo
de personas cualificadas en la materia conocido como Equipo Auditor, del que a
continuación estableceremos su organización, funciones y responsabilidades en
materia de protección de datos.

6. Equipo Auditor
El Equipo Auditor está formado por el auditor líder y demás miembros del
equipo, quienes pueden ser auditores o expertos técnicos.

Para asegurar la objetividad del proceso de auditoría, sus resultados y cual-

quier conclusión, los miembros del equipo auditor deben ser independientes de
las actividades que auditan, deben ser objetivos, y libres de tendencia o conflicto
de intereses durante el proceso.
 CAPÍTULO 3
49
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS

El uso de miembros externos o internos del equipo auditor está sujeto a dis-
creción del cliente. Un miembro del equipo auditor escogido dentro de la organi-
zación no debe ser responsable directamente del tema que se está auditando.

Los miembros del equipo auditor deben poseer una combinación apropiada
de conocimientos, habilidades y experiencias para cumplir con las responsabilida-
des de la auditoría.

Los miembros del equipo auditor serán los siguientes:

• Auditor jefe
El auditor líder es el responsable de asegurar una conducta eficiente y
efectiva de la auditoría dentro de los alcances de la misma.
Adicionalmente, el auditor jefe tiene las siguientes responsabilidades y
actividades que cumplir:
– Consultar y consensuar con el cliente el alcance de la auditoría.
– Obtener la información o documentación necesarias para cono-
cer las actividades de la empresa.
– Formación del equipo auditor y asignación de tareas específicas,
o actividades por auditar a los mismos.
– Dirigir las actividades del equipo auditor.
– Preparar las comunicaciones.
– Coordinar la preparación de los documentos y procedimientos
detallados de trabajo y reunir al equipo auditor.
– Representar al equipo auditor en discusiones con el auditado,
antes, durante y después de la auditoría.
50 AUDITORÍA DE LA LOPD

– Realizar los informes de la auditoría para el cliente.

• De los auditores
Los auditores integrantes de los equipos de auditoría, trabajan bajo la super-
visión directa del jefe de equipo y sus principales funciones son las siguientes:
– Aplicar los programas de auditoría preparados para el desarrollo
del trabajo, conforme a las instrucciones del jefe de equipo.
– Documentar la aplicación de los procedimientos de auditoría utili-
zando la estructura y orden definido para los papeles de trabajo.
– Cumplir con los criterios de ejecución establecidos para su traba-
jo, así como, los estándares profesionales (normas de auditoría) y
encontrar dificultades, comunicarlas de inmediato al auditor jefe
de equipo de la auditoría.
– Mantener ordenados y completos los papeles de trabajo.
– Sugerir procedimientos alternativos o adicionales para promover
la eficiencia en las actividades de auditoría realizadas.
– Colaborar continuamente para fomentar el logro de los objetivos
incluidos en la planificación específica.
– Obtener la evidencia suficiente, competente y pertinente de los
hallazgos de auditoría, desarrollar sus principales atributos y ana-
lizarlos con el jefe de equipo de la auditoría.
– Redactar, en la correspondiente cédula o papel de trabajo, los
resultados del examen, (comentarios, conclusiones y recomenda-
ciones) sobre cada componente desarrollado, guiándose con la
estructura preestablecida para el informe final.
 CAPÍTULO 3
51
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS

– Estructurar el expediente de papeles de trabajo y entregarlo al

jefe de equipo para la integración completa de los resultados y su
correspondiente archivo.
– Cumplir con las disposiciones legales, normatividad e instruccio-
nes relacionadas con el ejercicio de la auditoría, así como obser-
var el Código de Ética Profesional.

En definitiva las responsabilidades de los auditores de una forma resu-

mida serían las siguientes:

RESPONSABILIDADES DE LOS AUDITORES

• Cumplir con los requisitos de auditoria aplicables.

• Comunicar y aclarar los resultados de auditoria.
• Planificar y realizar las responsabilidades asignadas de forma eficaz y eficiente.
• Documentar las observaciones.
• Redactar informes con los resultados de auditorias.
• Verificar la eficacia de acciones correctivas.
• Retener y guardar los documentos de auditoria:

- Presentar dichos documentos de la forma requerida.

- Asegurarse que dichos documentos sean confidenciales.
- Tratar la información confidencial con discreción.

• Cooperar con el auditor jefe y apoyarle.

52 AUDITORÍA DE LA LOPD

• Responsabilidades del cliente y auditado

Las responsabilidades deben:
– Definir los objetivos de la auditoría.
– Proveer de los recursos necesarios al auditor para conducir la
auditoría.
– Aprobar el plan de auditoría.
– Recibir el informe de la auditoría y determinar su distribución.
– Informar a los empleados de los objetivos y alcance de la auditoría,
cuando sea necesario.
– Designar personal responsable y competente para acompañar a
los miembros del equipo auditor, para actuar como guías dentro
de la empresa y para asegurar que los auditores puedan realizar
el desempeño de su labor.
– Proveer el acceso a las instalaciones, personal, información y re-
gistros relevantes a solicitud de los auditores.
 CAPÍTULO 3
53
LA AUDITORÍA. CONCEPTO Y CARACTERÍSTICAS

1. ¿Cuáles son las características fundamentales de una auditoría?

2. ¿Qué condiciones y comportamientos deben reunir el auditor para el desa-

rrollo de la actividad auditora?

3. Mencione las responsabilidades y actividades que debe cumplir el auditor jefe.

EJERCICIOS DE REPASO Y
AUTOEVALUACIÓN
CAPÍTULO 4
AUDITORÍA SOBRE LA
PROTECCIÓN DE DATOS: FASE 1ª

1. INTRODUCCIÓN

Al amparo del derecho a la privacidad recogido en el artículo 18 de la consti-

tución española, surge la Ley Orgánica de Protección de Datos de carácter perso-
nal (LOPD-15/1999) que sustituye y amplia a la antigua LORTAD (Ley Orgánica de
Regulación del Tratamiento Automatizado de los Datos).

La LOPD genera además una relación de medidas técnicas concretas, que se

recogen en el reglamento de desarrollo de la LOPD, de obligado cumplimiento
para las empresas, este reglamento obliga a dichas empresas a establecer unas
medidas organizativas y técnicas concretas encaminadas a garantizar el correcto
tratamiento de los datos.

En el artículo 96 del reglamento, hace mención a la auditoría, y especifica lo

siguiente:

1. A partir del nivel medio los sistemas de información e instala-

ciones de tratamiento y almacenamiento de datos se somete-
rán, al menos cada dos años, a una auditoría interna o exter-
na que verifique el cumplimiento de la Ley.
Con carácter extraordinario deberá realizarse dicha auditoría
siempre que se realicen modificaciones en el sistema de infor-
mación que puedan repercutir en el cumplimiento de las me-
didas de seguridad implantadas con el objeto de verificar la
adaptación, adecuación y eficiencia de las mismas. Esta
auditoría inicia el cómputo de dos años señalados en el pá-
rrafo anterior.

AUDITORÍA DE LA LOPD 55
56 AUDITORÍA DE LA LOPD

2. El informe de auditoría deberá dictaminar sobre la adecua-

ción de las medidas y controles a la Ley y su desarrollo regla-
mentario, identificar sus deficiencias y proponer las medidas
correctoras o complementarias necesarias.
Deberá, incluir los datos, hechos y observaciones en que se
basen los dictámenes alcanzados y las recomendaciones pro-
puestas.
3. Los informes de auditoría serán analizados por el responsa-
ble de seguridad competente, que elevara las conclusiones al
responsable del fichero o tratamiento para que adopte las
medidas correctoras adecuadas y quedaran a disposición de
la Agencia de Protección de Datos o, en su caso, de las auto-
ridades de control de las Comunidades Autónomas.
 CAPÍTULO 4
57
AUDITORÍA SOBRE LA PROTECCIÓN DE DATOS: FASE 1ª

2. OBJETIVO Y ALCANCE

Los objetivos son los siguientes:

• Comprobar la adecuación de las medidas, los procedimientos y contro-
les de seguridad establecidos por el cliente, al Reglamento de Desarro-
llo e instrucciones vigentes en materia de seguridad de datos, y así
disponer del documento de obligado mantenimiento en el artículo 94
del RD.
• Comprobar la adecuación de las medidas, implantadas por el cliente, a
las obligaciones formales descritas en la LOPD, para establecer los ries-
gos de infracción que pueden presentarse.
Alcance principal:
• La auditoría se realizará en el centro principal, siendo el mismo el refle-
jo de las prácticas establecidas en los demás centros de la organiza-
ción. La documentación estudiada será limitada a los documentos ge-
néricos utilizados en toda la organización.
• Como medida adicional, se realizarán visitas a otro centro para corro-
borar los aspectos más importantes, y cubrir aspectos específicos de
ciertos departamentos. Redacción de cláusulas para formularios, circu-
lares y contratos.
58 AUDITORÍA DE LA LOPD

PROGRAMA DE AUDITORÍA (CRONOGRAMA)

Tipo de auditoría: Auditoria de la LOPD

Auditor Jefe: D. Antonio Ruiz Escalante

Equipo auditor
Equipo auditor: D. Antonio Ruiz Escalante, María Palma Rodríguez

Comprobar si las medidas y procedimientos utilizados en la implantación de la

Objetivo:
LOPD se adecuan a lo establecido en la Ley.

La auditoría se realizara en el centro principal, en caso de que existan otros

Alcance:
centros secundarios, se podrían realizar visitas, como medida adicional.

Le y O r g á n i c a 1 5 / 1 9 9 9 , d e 1 3 d e d i c i e m b re, d e Pro t e c c i ó n d e d a t o s y R D
Normativa:
1720/2007, 21 de Diciembre.

Preparado por: D. Antonio Ruiz Escalante.

Área/ Actividades
Fecha Hora Responsables
auditadas

14/02/06 09.00 am Reunión de apertura o D. Fernando Ruiz Salas.

inicial D. Emilio Gómez Gutiérrez.

Reunión de cierre
 CAPÍTULO 4
59
AUDITORÍA SOBRE LA PROTECCIÓN DE DATOS: FASE 1ª

3. OBLIGACIONES PREVIAS ANTES DE AUDITAR

INSCRIPCIÓN DE LOS FICHEROS EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN

DE DATOS

Toda persona o entidad que posea ficheros con datos personales está obliga-
da a inscribir en el Registro General Protección de Datos, la estructura de los
ficheros de que disponga. (Artículo 26.1 LOPD).

En concreto, de conformidad con el artículo 20 LOPD, la creación, modifica-

ción o supresión de los ficheros de las Administraciones públicas sólo podrán ha-
cerse por medio de disposición general publicada en el Boletín Oficial del Estado
o Diario correspondiente.

Información al interesado, como titular de sus datos, de la existencia del fi-

chero y su finalidad.

Este deber se refiere al derecho que tiene el sujeto, cuyos datos personales
han sido recabados de ser informado "de modo expreso, preciso e inequívoco" de
conformidad con los artículos 5 y siguientes de la LOPD.

ADOPTAR LAS MEDIDAS DE ÍNDOLE TÉCNICA Y ORGANIZATIVAS NECESARIAS

QUE GARANTIZAN LA SEGURIDAD DE DATOS

Además de las obligaciones anteriormente relacionadas y exigidas en la LOPD,

el RD obliga a adoptar unas medidas de seguridad con el fin de proteger los datos
de carácter personal contenidos en los ficheros, tanto automatizados (informáticos)
como no automatizados (papel o manual). El RD, distingue tres niveles de seguri-
dad (básico, medio y alto), en función de la naturaleza de la información de carác-
ter personal tratada.