¿Cumples con la LOPD?
La LOPD es la Ley Orgánica de Protección de Datos Personales. El primer requisito para cumplir con esta ley es inscribir los ficheros que contengan datos personales ante la Agencia Española de Protección de Datos (AEPD), y a partir de ahí desarrollar un Documento de Seguridad y, en algunos casos, realizar auditorías bienales sobre el cumplimiento del Reglamento de Desarrollo de la LOPD.
Auditorías bienales LOPD
Las auditorías tienen por objetivo comprobar que se cumplen las medidas y controles exigidos por la LOPD. No todas las empresas están obligadas a pasar una auditoría LOPD, solo aquellas que traten datos de infracciones administrativas o penales.
Las auditorías LOPD se realizan cada dos años y, de manera adicional, se debe realizar una auditoría extraordinaria en caso de modificaciones significativas de los sistemas de información.
Estos controles periódicos pueden ser realizados por personal interno o externo, pero se recomienda que la persona que lleva a cabo la auditoría no haya participado en ningún momento en el proceso de adecuación a la LOPD.
¿En qué consiste una auditoría LOPD?
Como cualquier auditoría, su objetivo es verificar el cumplimiento de las obligaciones impuestas por la LOPD. Antes de comenzar la auditoría hay que delimitar cuál va a ser su alcance.
Es también importante revisar que todo el personal que lleva a cabo tratamientos sobre datos personales disponga de un contrato resultado como encargado de tratamiento. Del mismo modo, para realizar una auditoría LOPD se deben haber firmado acuerdos de confidencialidad con los proveedores que tengan acceso a los datos personales.
Medidas técnicas que garantizan la protección de datos
Existen algunas medidas que garantizan la protección de datos: tener un documento de seguridad acorde a lo estipulado en el RDLOPD, tener un registro de incidencias debidamente cumplimentado, realizar copias de respaldo de los datos con carácter semanal y una prueba de restauración mensual, usar mecanismos seguros para enviar información a través de redes de comunicación y haber nombrado formalmente a un responsable de seguridad.
Entre las medidas que afectan a la documentación en papel destacan: definir un criterio de archivado para la documentación, tener dispositivos de almacenamiento con mecanismos que obstaculicen su apertura o tener salas exclusivas para albergar la documentación especialmente sensible.
Innova Consult
