Auditoria LOPD (VI). Principios que Rigen el Tratamiento de los datos personales

El artículo de hoy analizará el cumplimiento de los controles relativos a los principios que Rigen el Tratamiento de los Datos Personales. El informe de Auditoría al respecto, sería algo como lo siguiente:


Además de la información y el consentimiento existen en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal un conjunto de principios que definen como deben tratarse los datos, para que finalidades, durante cuanto tiempo y de qué modo. Se trata del principio de calidad de los datos y del deber de secreto y confidencialidad.


El responsable del fichero debe adecuar su actuación de modo que trate los datos adecuada, leal y lícitamente, procurar que se encuentren actualizados y utilizarlos exclusivamente para las finalidades para las que se recogieron.


Se han verificado los siguientes puntos de control respecto de los principios que rigen el tratamiento de los datos personales, obteniendo las siguientes respuestas
.

Se recogen y tratan los datos estrictamente necesarios para las finalidades propias de su organización. Esta práctica es adecuada siempre que se informe previamente al interesado de dicha finalidad. En el caso de que dichas finalidades cambien o se requiera tratar los datos personales para una nueva finalidad se debería modificar la inscripción de su fichero, e informar y obtener el consentimiento de los interesados en los casos en los que proceda.

Sin necesidad de que lo solicite el interesado, el principio de calidad de los datos obliga al responsable a corregir errores cuando se constatan y a cancelar los datos cuando dejan de ser necesarios.
El deber del responsable de cancelar o rectificar de oficio obliga al responsable a notificar al cesionario estas acciones a fin de garantizar que éste pueda proceder a actualizar los datos personales que le fueron cedidos.

Sani-To no realiza cesiones de datos a aseguradoras u otras instituciones sanitarias ni de otro tipo, es por tanto que no es necesario un procedimiento de notificación de rectificación o cancelación de datos a cesionarios.

El deber de secreto no sólo afecta al responsable sino a todas y cada una de las personas de la organización relacionadas con el tratamiento de datos personales.


HISTORICO DE LA SERIE
Auditoria LOPD (I)

Auditoría LOPD (II). Pertinencia

Auditoría LOPD (III): Objeto y Alcance de la Auditoría

Auditoria LOPD (IV): Identificación de Ficheros y Tratamientos:

Auditoría LOPD (V). Información y Consentimiento:

NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association(
http://www.isaca.org/)
CCN: Centro Criptológico Nacional (
https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.

5 comentarios Comments For This Post I'd Love to Hear Yours!

  1. JoSerra dice:

    Hola Fran,

    En esta entrada del blog aparece el nombre real de la empresa “Fac… Sur”

    Cuidado con la LOPD ;-)

  2. Hola, JoSerra.

    Muchas gracias por tu observación y por avisarnos. Ha sido un despiste. Estoy corrigiéndolo en estos momentos.

    Un cordial saludo.

  3. Macarena dice:

    Me parece muy interesante todo el recorrido sobre la Auditoría de la LOPD y me está siendo de mucha utilidad, pero tengo una duda al respecto. A través de la web AEPD he realizado el Informe de Autoevaluación sobre cumplimiento de la LOPD EVALUA. ¿Sería esto suficiente para cumplir con el requisito que recoge el art. 96 del RD 1720/2007 de realizar una auditoría interna del cumplimiento de la LOPD en el caso de tener ficheros de nivel medio como es mi caso? ¿Cumpliría con ese requisito si lo incorporo al Documento de Seguridad?

  4. Muchas gracias por tus palabras, Macarena.

    Me alegra que te haya resultado útil.
    He contactado con Manuel (el autor de la entrada y el verdadero experto en LOPD) para que te responda en cuanto pueda.

    Un saludo.

  5. Manuel dice:

    Hola Macarena.

    Esta serie de articulos solo contempla la auditoria para los principios de protección de datos, aunque está hecha, no publiqué la correspondiente al Real Decreto.

    Respecto a lo que preguntas, decir que las auditorías pueden realizarse de forma interna o externa, y que actualmente la ley no impone que las auditorías sean realizadas por un determinado perfil profesional. Es decir, puedes hacerlas tu misma. O sea, que en principio la respuesta es SI. Sin embargo debes tener en cuenta que la auditoría debe detectar las deficiencias en el cumplimiento legal y proponer las medidas correctoras oportunas, tal y como puedes ven en el ejemplo publicado. Por otro lado, la auditoría va más allá del cumplimiento legal, tratando de proteger tu información de malas prácticas de verdad. Una buena auditoría no se conforma con conseguirte unos papeles que te hacen creer que estas cubierta y que cumples la ley.

    La autoevaluación de la agencia puede ayudarte en este trabajo, pero no es una auditoría como tal. Es genial que conozcas el tema con tanto detalle, pero si tienes dudas acude a un profesional. Lo importante no es tener un documento que diga que has pasado una auditoria y un Documento de Seguridad, lo importante es que no caigas en alguna infracción por desconocimiento de la ley y que sepas como proteger tu información para evitar multas y garantizar los servicios a tus clientes adecuadamente.

    Si estás interesada en temas de protección de datos en el sector sanitario puedes pasarte por el grupo de linkedin especializado “Protección de Datos en Sanidad”. Tambien puedes encontrar el grupo a través de mi perfil http://es.linkedin.com/pub/manuel-jimber/2/820/606

    Desconfía de cualquiera que te cuente que con los papales de la auditoría y el documento de seguridad estas cubierta. Formalmente es cierto, pero lo que te protege realmente es adoptar las medidas de seguridad adecuadas, y para eso hace falta un estudio personalizado de cada caso.

    Para cualquier duda, me puedes encontrar en el grupo.

    Un saludo.

Leave a Comment Here's Your Chance to Be Heard!