Terminábamos nuestro último post indicando que independientemente de la decisión final que tome una entidad al respecto de llevar a cabo la auditoría bienal obligatoria de forma interna o externa, conviene definir y aclarar en qué consiste y de qué se compone la auditoría en protección de datos, afianzando de este modo las declaraciones que hacia la AEPD al respecto:
Párrafo 2 del artículo 96 del RDLOPD 1720/2007 –
«El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas».
De este apartado podemos desgranar en al menos dos fases:
Fase I –“(…) dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario”.
Por lo que el auditor deberá revisar todas las medidas de seguridad establecidas en el Título VII De las medidas de seguridad en el tratamiento de datos de carácter personal del RD1720/2007, destacamos:
a. Grado de mantenimiento, actualización y cumplimiento del Documento de Seguridad.
b. Las correctas medidas llevadas a cabo para que el personal conozca las normas de seguridad que le afecten al desarrollo de sus funciones y obligaciones en la materia.
c. Relación de usuarios autorizados, alta, baja y modificación de los accesos.
d. Almacenamiento de la información.
e. Registros de incidencias.
f. Procedimiento de copias de seguridad.
g. Inventario y registro de entrada y salida de soportes.
Fase II –“(…)”identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias”
Es decir, con toda la información recopilada en la fase I, el auditor deberá redactar un informe en el que:
a. Se incluyan incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados.
b. Las deficiencias de cumplimiento detectadas.
c. Pero además, y consideramos que muy importante, se deberán determinar qué medidas correctoras o complementarias serían necesarias para que la entidad, en su plan de acción tras la auditoría, pueda corregir las deficiencias registradas en el informe.
De la lectura de ambos post y como conclusión, podemos determinar que tal y como confirma la propia Agencia Española de Protección de Datos no es posible llevar a cabo la auditoria bienal obligatoria de medidas de seguridad por teléfono.