3. DEFINICION:
La auditoría en protección de datos en un requisito de
obligado cumplimiento para toda pyme que almacene datos
de carácter personal de nivel medio o alto, pero además es
una excelente oportunidad para revisar todos los
procedimientos y políticas implantadas en una área tan
sensible para cualquier empresa como es la protección de
datos.
Toda Auditoría de protección de datos debe seguir un
desarrollo, a través de distintas fases que a continuación se
detallan:
4. 1ª Fase: Identificación de los datos personales
En ella se obtiene el mayor volumen de información posible,
necesaria para poder desarrollar y elaborar la Política de Seguridad
a seguir, así como para desarrollar el resto de fases de la auditoría.
2ª Fase: Nivel y medidas de seguridad aplicables
Una vez analizada toda la información, se procede a la
determinación del nivel de medidas de seguridad que debe ser
adoptado, en función del tipo de datos personales contenidos en
los ficheros
3ª Fase: Entrega del informe de auditoría
Llegado este momento, se redacta el Informe general de la
Auditoría, en el que se detallan las medidas a adoptar
4ª Fase: Ejecución de la Auditoria
Finalmente se procede a la puesta en práctica de las medidas
necesarias para la correcta adecuación a la normativa sobre
protección de datos
5. No es una inspección: La auditoría analiza el
funcionamiento del sistema, sus puntos fuertes y débiles.
Es sistemática: Los resultados de la auditoría, no se basan
en el azar, son debidos a un análisis minucioso, ordenado y
planificado por parte del auditor, que permiten un grado de
fiabilidad muy elevado.
Es independiente: sería muy difícil que alguien involucrado
en el cumplimiento de la totalidad o parte del sistema, se
pueda evaluar a sí mismo de forma objetiva, de ahí la
importancia del factor de independencia del auditor.
CARACTERISTICAS:
6. Analiza resultados: la auditoría no es un simple examen
de cómo se llevan a cabo las actividades, analiza los
resultados, evaluando, basando en éstos la efectividad de
las actuaciones preventivas realizadas, como
consecuencia de la evaluación de riesgos.
Es objetiva: el resultado de la auditoría se basa en las
denominadas “evidencias objetivas”, a través de las
cuales el auditor avala sus conclusiones, no pudiendo
basarlas, en ningún caso, en apreciaciones subjetivas,
suposiciones, etc., siendo necesario, por tanto, realizar
las verificaciones de los procesos que sean pertinentes
para avalar la información o datos contenidos en los
registros y documentos.
7. INTRODUCCION:
Cumplimiento legal de las medidas de seguridad exigidas
por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Dato
Tiene como objetivo el estudio Verificación e Identificación
de los datos de carácter personal, Niveles de Seguridad,
Documento Legal, Documento de Seguridad. Inscripción,
modificación y cancelación de ficheros de Protección de
Datos
8. OBJETIVO
El Reglamento tiene por objeto determinar las medidas
técnicas y organizativas que garanticen
la confidencialidad, integridad y disponibilidad de la
información que contenga datos personales con la
finalidad de preservarlos frente a su alteración, pérdida,
tratamiento o acceso no autorizado
9. FUNCIONES QUE SE REQUIEREN
Las medidas que deberán ser adoptadas e implantadas por
el Responsable del Fichero, y en su caso por el Encargado
del Tratamiento, en los Sistemas de Información (equipos
informáticos, programas, redes), en los Locales (oficinas,
departamentos, etc..) donde se realiza el tratamiento y sobre
las personas (personal laboral) que acceden a dicha
información son:
10. a) Medidas Organizativas: aquellas medidas destinadas a
establecer procedimientos, normas, reglas y estándares de
seguridad, cuyos destinatarios son los usuarios que tratan
los datos de los ficheros
b) Medidas Técnicas: medidas destinadas principalmente a
la conservar la integridad de la información (su no
alteración, pérdida o robo) y en menor medida a la
confidencialidad de los datos personales. Se encuentran
delimitadas en función del nivel de seguridad de los datos
tratados: básico, medio y alto.
11. CASO PRÁCTICO
Todas las empresas, independientemente de su tamaño,
organización y volumen de negocio, son conscientes de la
importancia de tener implantadas una serie de políticas de
Seguridad tendentes a garantizar la continuidad de su
negocio en el caso de que se produzcan incidencias, fallos,
actuaciones malintencionadas por parte de terceros,
pérdidas accidentales o desastres que afecten a los datos e
informaciones que son almacenados y tratados, ya sea a
través de sistemas informáticos
12. APRECIACION DEL GRUPO
Auditoria LEGAL DEL REGLAMNTO DE PROTECCION
DE DATOS es una temática relativamente nueva si
consideramos que las Bases de Datos y los motores que las
manejan se han popularizado en estos últimos 15 años, no
obstante la necesidad del control y registración del cambio
de datos es un hecho que muchos profesionales siempre
pensaron en poner en práctica