Ejemplo de auditoría LOPD en una clínica/consulta privada (I)

Oímos hablar y hablar de la famosa LOPD, de las consecuencias que puede tener si no la cumplimos, de que tenemos que pasar una auditoría cada dos años, de que hay que implantar “unas medidas de seguridad” que no sabemos muy bien cuáles son ni en qué consisten… pero, por falta de información, por desconfianza en los productos que nos ofrecen algunos profesionales o por lo que sea, no acabamos de pasar esa auditoria en nuestra clínica.

Comenzamos hoy con una serie de artículos que intentará descubrir los secretos de una audotiría sobre el nivel de adecuación a la LOPD. No hay nada como difundir la información para despejar dudas y miedos al respecto.

Además, me han llegado noticias de que la Consejería de Salud está realizando inspecciones en las clínicas privadas y está exigiendo el cumplimiento de la LOPD para renovar las licencias, así que parece ser que hay cierta preocupación entre los profesionales.

Advierto, la serie será larga, muy larga. Nos inventaremos una clínica ficticia y una empresa especializada en LOPD también ficticia y haremos una auditoría LOPD COMPLETA. Si COMPLETA, de principio a fin, revisando todos los controles que un auditor experto en LOPD debería revisar.

Para cada deficiencia o “falta de cumplimiento” detectado, se propondrán las medidas correctoras oportunas. En base a los controles, elaboraremos el “INFORME DE AUDITORIA” que debe incluir los hechos y observaciones detectados por el auditor así como las medidas correctoras oportunas.

Haremos un plan de acción para la adecuación a la LOPD de la clínica y, por último, corregiremos las deficiencias detectadas. O sea, servicio completo.

Con esta serie de artículos, que probablemente os parecerá interminable, trato de dar una idea muy aproximada de lo que debe ser una auditoria profesional, de forma que si os decidís a contratar unos servicios de auditoria para adaptar vuestra clínica podáis saber de que va este asunto y no os cuelen cualquier chapuza (que las hay).

Bueno, espero que si algún auditor o profesional llega a ver esta serie nos preste su opinión al respecto (por si soy yo el de las chapuzas).

Sin más preámbulos os presento a la clinica “Sani-To” dónde los profesionales son una maravilla y los pacientes salen invariablemente satisfechos con sus servicios, pero… ¿cómo andan estos profesionales respecto al nivel de cumplimiento de la legislación vigente?

SUPUESTO:
El supuesto que os presento es el más sencillo que puede ocurrir en lo que a clínicas privadas se refiere:

Sani-To es una clínica privada compuesta por dos profesionales de la Medicina en la que prestan sus servicios realizando consultas médicas y pequeñas intervenciones quirúrgicas. En Sani-To son algo tradicionales, y para las historias clínicas de sus pacientes utilizan fichas en papel como toda la vida; si les va bien…. ¿para que cambiar? Hasta no hace mucho, pensaban que como no había ordenadores en la clínica, eso de la LOPD no iba con ellos, pero un aviso de inspección de la Consejería de Salud les ha hecho ponerse alerta respecto a estos asuntos, así que se han puesto en contacto con GC Consultores para que les hagan una auditoría de cumplimiento de la LOPD… a ver qué sale.

Continuará…

NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association (
http://www.isaca.org/)
CCN: Centro Criptológico Nacional (
https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.

3 comentarios Comments For This Post I'd Love to Hear Yours!

  1. Ramon Miralles dice:

    Hola Manuel, ya he leido esta primera entrega de la serie de artículos que me anunciaste, y ya me ha picado la curiosidad, así que voy a seguir “muy de cerca”, en el mejor sentido de la expresión, próximos contenidos, la cosa promete, así que ánimo.

    Ojo, que seré crítico, hasta donde pueda. Saludos (buen trabajo).

  2. Muchas gracias por tu comentario, Ramón. Es un honor viniendo de una autoridad como tú.

    Los artículos de Manuel me gustan mucho y aprendo cantidad de ellos. Esta serie promete y también estaré atento a la misma.

    Un saludo.

  3. Manuel dice:

    Hola Ramón,

    Muchas gracias por tus comentarios. Nos viene genial para afinar la metodología disponer de la opinión de expertos en la materia.

    Espero que los artículos estén a la altura de las expectativas.

    Un abrazo

3 comentarios Trackbacks For This Post

  1. El cuaderno de bitácora de Fran Sánchez » Auditoría LOPD (II). Pertinencia
  2. El cuaderno de bitácora de Fran Sánchez » Auditoría LOPD (III). Objeto y Alcance de la Auditoría
  3. El cuaderno de bitácora de Fran Sánchez » Auditoría LOPD(IV). Identificacion de Ficheros y Tratamientos
  4. El cuaderno de bitácora de Fran Sánchez » Auditoría LOPD(V). Información y Consentimiento
  5. El cuaderno de bitácora de Fran Sánchez » Auditoria LOPD (VI). Principios que Rigen el Tratamiento de los datos personales

Leave a Comment Here's Your Chance to Be Heard!