Auditoría LOPD (VIII). Relaciones con Terceros

En el artículo de hoy analizaremos otro de los aspectos importantes de la LOPD, las relaciones con terceros y las transferencias internacionales. Como es lógico, nuestra modesta clínica “Sani-To” no tiene empresas subcontratadas con acceso a sus datos y mucho menos aún realiza transferencias internacionales. El apartado correspondiente a las relaciones con terceros del informe de auditoría quedaría algo asi como lo siguiente:
       

Las relaciones con terceros abarcan un conjunto de supuestos en las que una persona física o jurídica distinta de la organización del responsable, y distinta del interesado cuyos datos tratamos, usa, trata, accede o simplemente consulta los datos. Estos supuestos pueden ser de naturaleza muy distinta.       

Una comunicación de datos es un tratamiento que supone su revelación a una persona distinta del interesado. Debe tenerse en cuenta que no es necesario apropiarse físicamente de un dato basta con que sea posible su consulta. Debe existir el consentimiento previo o habilitación en una ley que exima del mismo. Además el consentimiento deberá ser informado de forma que se conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario.       

En segundo lugar, existirá un encargado del tratamiento cuando se contrate una prestación externa de servicios que requiera acceder al sistema de información. Se define el encargado como persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. En este caso, el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal y el artículo 12 LOPD establecen la necesidad de formalizar un contrato por escrito cuyo contenido establezca:       

  • Las instrucciones a las que se someterá el encargado del tratamiento.
  • La prohibición de uso para fin distinto al que figure en dicho contrato.
  • La prohibición de comunicar los datos a otras personas.
  • Las medidas de seguridad.
  • Las condiciones de subcontratación de los servicios por el encargado.
  • Eventualmente, cuando resulte necesario podrá incluir las condiciones de conservación por el encargado, cuando exista obligación legal o resulte necesario por razones de responsabilidad, y las formas de destrucción o devolución de los datos como la entrega a un nuevo encargado.
  • Es fundamental ser diligente en la elección del encargado. Por tanto, éste deberá acreditar de algún modo que se encuentra en condiciones de cumplir con los principios y requisitos que la LOPD establece para los tratamientos.

      

Por último en las transferencias internacionales de datos personales en la práctica existe una cesión o un encargo del tratamiento a una persona física o jurídica que se encuentra en un país distinto de los Estados Miembros de la Unión Europea o del Espacio Económico Europeo. Las transferencias en virtud de lo dispuesto en los artículos 33 y 34 LOPD se encuentran sujetas a autorización del Director de la Agencia Española de Protección de Datos cuando no se trate de un país seguro en materia de protección de datos o no se den las excepciones del artículo 34 LOPD. 

      

Se han verificado los siguientes puntos de control respecto de las relaciones con terceros, obteniendo las siguientes respuestas:  

     

  
  

    

 No se comunican datos a otras entidades o personas ajenas a la organización y no hay relaciones contractuales con terceros con acceso a datos. De igual manera no se realizan transferencias internacionales de datos.
No se proponen medidas correctivas ni preventivas en este apartado.  
  
  

NOTA IMPORTANTE: Esta “supuesta” auditoría se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clínica real, el objeto de la serie de artículos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, así como un acercamiento a las metodologías de auditoría para arrojar un poco de transparencia y desmitificar un poco su complejidad.

UNA AUDITORÍA REAL SIEMPRE ES ÚNICA Y DISEÑADA ESPECÍFICAMENTE PARA LA ORGANIZACIÓN QUE SE AUDITA.

REFERENCIAS:
La metodología utilizada para la realización de esta auditoría esta basada en estándares y buenas prácticas de nacionales e internacionales propuestos por organismos tales como:
ISACA : InformationSystemsAuditandControl Association(
http://www.isaca.org/)
CCN: Centro Criptológico Nacional (
https://www.ccn-cert.cni.es/)

Muchos de los textos incluidos en los artículos proceden la herramienta “EVALUA” de la Agencia Española de Protección de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta.

EVALUA es una herramienta de autoevaluación desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditoría en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de protección de datos.

Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) están basadas en la Guía de Seguridad de Datos publicada por la AEPD en 2008.

Todas las tablas de Medidas Correctoras han sido elaboradas basándome en la Guía de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptológico Nacional.

Todas las Medidas Correctoras propuestas son cosecha propia basándome en mi experiencia.

  

  

  

 

  

 

 

 

3 comentarios Comments For This Post I'd Love to Hear Yours!

  1. Ricardo Mazón dice:

    Hola Fran, en relación a esta serie de posts sólo quería comentar que la AEPD ha publicado el informe con los resultados de la auditoría de cumplimiento de la LOPD que ha hecho a una selección muy numerosa de hospitales españoles, públicos y privados. Está disponible en su web.

    Uno de los temas donde fallan algunos es, justamente, en la no realización de las auditorías periódicas.

    Un saludo.

  2. Hola, Ricardo.

    Tienes toda la razón pero, afortunadamente, la conciencia general sobre la protección de datos va cambiando. A mi me llegan cada vez más profesionales preocupados por el asunto y solicitando formación.

    En mi hospital hemos creado una comisión para la seguridad de la información que efectúa auditorías internas con bastante frecuencia… de hecho hoy mismo he acompañado a Manuel (autor de la serie) en una.

    Un saludo.

  3. Manuel dice:

    Hola Ricardo,

    Muchas gracias por tu comentario. Por suerte en Andalucía hemos salido bien en este análisis de la agencia. Nosotros, como el resto de hospitales tuvimos que completar el requerimiento y a la vista del informe, no hemos acabado mal.

    Como comenta Fran, en nuestro hospital hemos comenzado a trabajar el tema de las auditorías internas y esperamos tener buenos resultados a corto-medio plazo.

    No es tan dificil como pueda parecer, pero ciertamente, algo de trabajo y tiempo hay que echarle.

    Un saludo

Leave a Comment Here's Your Chance to Be Heard!