La auditoría de seguridad según la LOPD

Los artículos 96 y 110 del RLOPD establecen la obligación que tienen tanto los ficheros automatizados como los no automatizados o manuales, a los que haya que aplicar las medidas de nivel medio o alto, de realizar auditorías de seguridad cada dos años para verificar el cumplimiento de las medidas de seguridad en los sistemas de información y las instalaciones de tratamiento y almacenamiento de datos que den soporte o alberguen los ficheros de estos niveles de seguridad, sean automatizados o manuales.

Asimismo, y con carácter extraordinario, deberá efectuarse una auditoría siempre que se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

El informe de auditoría

La auditoría consiste en la revisión y análisis de cada una de las medidas de seguridad aplicadas a los ficheros de nivel medio y alto, que deberá quedar plasmada en un informe en el que se deberá identificar:

1. El grado de cumplimiento por cada una de las medidas.
2. Las deficiencias y omisiones detectadas.
3. Las medidas correctoras o complementarias necesarias.
4. Los datos, hechos y observaciones que evidencien los análisis y conclusiones alcanzados.
5. Las recomendaciones propuestas por el auditor.

Además, deberá comprender la revisión de:

1. Normas, estándares, políticas de seguridad y criterios.
2. Procedimientos existentes.
3. Mecanismos y sistemas de control.
4. Sistemas de seguridad: cifrado de datos, almacenamiento de las contraseñas, etc.
5. Dispositivos de seguridad en puertas, armarios, archivadores, etc.

Personas que deberán realizarla

La normativa sobre protección de datos no determina quién debe ser el encargado de realizar las auditorías, por lo que el responsable del fichero podrá elegir entre:

1. Ser realizada por el personal de la propia organización: para ello, será necesario que disponga de personal con los conocimientos necesarios.
2. Encargarla a empresas especializadas: dicho encargado deberá cumplir con lo establecido en la normativa sobre protección de datos relacionada con las prestaciones de servicios.

Aspectos a la hora de realizar una auditoría

El equipo auditor tendrá que considerar, a la hora de realizar una auditoría de seguridad, los siguientes aspectos:

1. Los sistemas de información que tratan los ficheros.
2. Los locales y sus propietarios.

Procedimiento para realizar una auditoría

El responsable de fichero, o la persona designada para ello, deberá coordinar la realización de la misma y asignar los medios y recursos necesarios para llevarla a cabo.

Además, deberá facilitar al equipo auditor la siguiente información:

1. La estructura de la organización y responsables de la misma.
2. La existencia o no del encargado del tratamiento.
3. El documento de seguridad.
4. La relación de las personas autorizadas.
5. La relativa a los sistemas de información.
6. Toda la información necesaria para el cumplimiento de esta medida.

¿Qué debe analizar una auditoría?

La auditoría podrá abarcar uno o varios ficheros, correspondientes a uno o a varios sistemas de información.

1. De forma general, se analizará lo siguiente:
   1. La relación existente entre los ficheros y los sistemas de información.
   2. El modo de procesamiento de cada sistema.
2. De forma particular, el equipo auditor analizará:
   1. Las funciones y obligaciones del personal.
   2. La relación de las personas autorizadas.
   3. Los procedimientos de control de accesos y contraseñas.
   4. Los mecanismos implantados para lograr los controles de accesos.

Informe de auditoria

Una vez terminada la auditoría, el equipo auditor emitirá un informe de auditoría en el que deberá valorar el cumplimiento de cada uno de puntos auditables según la normativa sobre protección de datos.

Si la auditoría abarca varios ficheros, el informe deberá indicar, para cada fichero, el cumplimiento de cada una de las medidas de seguridad, independientemente de que algunas hayan sido valoradas conjuntamente.

Los informes de las auditorías deberán ser analizados por el responsable de seguridad competente, advirtiendo al responsable del fichero de las conclusiones para que pueda iniciar las medidas necesarias para corregir las debilidades encontradas.

Plazo de conservación de los informes

El artículo 96.3 del RLOPD establece que los informes de auditoría quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

El problema surge a la hora de conocer el plazo durante el cual deberá conservarse dicho informe. La AEPD en su Informe jurídico 0191/2010 resuelve esta cuestión de la siguiente manera: “(…) el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado. En todo caso, y a fin de evitar la posible comisión de una infracción en caso de haberse llevado a cabo una nueva auditoría y no haberse ultimado las conclusiones de la misma, se considera que sería conveniente que en todo caso se encontrase a disposición de la Agencia el último informe de auditoría que se hubiese emitido, no siendo preciso mantener a su disposición los anteriores a aquél”.