Está recogida en el Artículo 96 del Real Decreto 1720/2007, el cual aprueba el Reglamento de Desarrollo de la LOPD, la normativa que exige a las empresas elaborar una auditoría bianual.
¿Todas las empresas están obligadas a auditar?
Las empresas que se eximen de esta norma son las que no recojan o traten datos de nivel medio y/o alto.
Los datos considerados de nivel medio son los referentes a sanciones administrativas, penales, etc. Mientras que los datos de nivel alto son los relativos a la salud, ideología, sexualidad, etc.
¿En qué consiste una auditoría?
La auditoría de una empresa, tiene por objetivo comprobar que las acciones que ha adoptado ésta cumplan con los requerimientos establecidos en la legislación. Puede ser interna, realizada por la propia empresa, o externa; pero el Informe de Auditoría ha de incluir:
- Estudio de la situación actual de la empresa.
- Constatar que los ficheros que se encuentran en el Registro de Protección de Datos se corresponden con la situación de la empresa en la actualidad.
- Comprobar que la empresa recoge, trata y/o almacena datos de carácter personal cumpliendo las normativas establecidas en la LOPD.
- Analizar si existen cesiones y/o transferencias internacionales actualmente, y que su procedimiento es correcto conforme a derecho.
- Verificar si se firman los contratos con las personas o entidades que tienen acceso a los datos.
- Revisión de procedimientos, reglas, normativas y patrones de seguridad elaborados y establecidos en el organismo.
- Revisión del cumplimiento de las políticas internas de la empresa.
- En caso de haber existido una auditoría previa, análisis del Informe de Auditoría para conocer las deficiencias en el momento de su creación, las medidas de corrección propuestas a la empresa, si éstas han sido implantadas, y las faltas corregidas.
¿Quién debe valorar el informe de auditoría?
El informe realizado será evaluado por el Responsable de Seguridad, que es quien debe cerciorarse de que las medidas de seguridad se implanten y transmitir sus conclusiones al responsable del fichero o tratamiento para que éste último lleve a cabo las medidas correctoras del informe y así dar cumplimiento a lo establecido en la Ley.
Consecuencias de no hacer la auditoría obligatoria de LOPD
En caso de que la Agencia Española de Protección de Datos tenga constancia del incumplimiento de esta medida de seguridad, sería considerado como una infracción grave, y supondría una sanción de de entre 40.001 a 300.000 euros.