¿Qué es y por qué hay que hacerla?
Una auditoria de protección de datos es necesaria y obligatoria, en virtud de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos, cuando en nuestra empresa o negocio disponemos de ficheros de nivel medio y/o alto.
Si nunca has llevado a cabo una implantación inicial de protección de datos, lo primero es que implementes este tipo de medidas puesto que pasar una auditoria, no tendría sentido.
Pero si ya hace un tiempo que lo hiciste, te recordamos que este tipo de auditorias y revisiones, debe hacerse cada dos años, dando cumplimiento a lo previsto por esta ley; o bien cuando en tu empresa se lleve a cabo un cambio estructural importante, que conlleve muchos cambios en procesos y formas de funcionar.
Empecemos por el principio y aclaremos algunos términos que son necesarios para poder entender de qué estamos hablando:
¿Qué es una implantación de protección de datos?
Es el proceso por el cual una empresa adopta todas las medidas de seguridad a nivel documental, informático y organizativo que necesita su negocio. Consiste en analizar el tipo de tratamientos de datos que hace la empresa para poder declarar los ficheros ante la Agencia Española de Protección de Datos y adoptar las medidas adecuadas en nuestros manuales internos. Así, deberemos disponer de lo que la normativa denomina Documento de Seguridad, donde detallamos el tipo de ficheros de que disponemos, datos que recogemos y medidas de seguridad que implantamos; y de una serie de protocolos que tienen por objetivo velar siempre por la seguridad de los datos de las personas cuyos datos tratamos.
¿Qué son datos de carácter personal?
Los datos de carácter personal son los datos que protege la Ley Orgánica de Protección de Datos y son aquellos datos que permiten identificar a una persona física de algún modo. Por lo tanto, se refiere a datos identificativos o identificables. Así, podría ser un nombre, un apellido, un correo electrónico, un perfil en una red social, una imagen, incluso la voz…
¿Qué son datos de nivel medio?
La ley distingue tres niveles de protección por el tipo de sensibilidad asociada a dichos datos. Los datos de nivel básico, que son los meramente identificativos de una persona, como nombre, apellidos, domicilio, DNI, imagen…; mientras que los datos de nivel medio se suelen corresponder con infracciones administrativas o multas y sanciones penales; además de cualquier dato que permita hacernos la idea de la personalidad de alguien (por ejemplo, un perfil de una red social; un currículum, un listado de hobbies…). Por último, tenemos los datos de nivel alto, que se corresponden con datos con una mayor sensibilidad, como información asociada al usuario y relativa a su forma de pensar, ideología, creencias, raza, vida sexual y salud, entre otros.
Cabe decir que los datos de salud, por ejemplo, están sumamente protegidos, no sólo por la normativa de protección de datos sino también por normativas propias de protección de la autonomía del paciente, de su derecho a la intimidad, de su derecho a ser atendido…
Para catalogar estos datos y sus niveles, a veces existen excepciones y matices, por lo que, si tienes dudas, te recomendamos contactar con un experto en la materia, como nuestro propio despacho.
¿Por qué es necesaria la auditoria?
Una vez disponemos de medidas implantadas, es necesario ir revisando si todo el tratamiento de datos que efectuamos de nuestros usuarios o clientes es correcto. Así, será necesario revisar si los trabajadores utilizan o siguen los protocolos adecuados en el tratamiento de los datos de nuestros clientes; si disponemos de las medidas de seguridad suficientes a nivel informático, tales como disponer de accesos por usuario y contraseña personalizada e individual a sistemas y programas; que dicha contraseña caduque, como mínimo una vez al año; que los archivos con datos personales se encuentren bajo llave u otro tipo de medidas de seguridad… revisar si se ha producido alguna incidencia que haya conllevado una pérdida de datos o información asociada a una persona, ver cómo se resolvió y si se hizo de forma correcta o bien hay que implantar mejoras todavía…
La auditoria tiene por objeto revisar que todo es correcto y emitir un informe por el cual la empresa podrá llevar a cabo acciones de mejora, solucionar posibles problemas y evitar posibles sanciones por parte de la Agencia de protección de datos competente, en su caso.
En el despacho somos expertos en esta materia por lo que, si jamás has llevado a cabo una adaptación de protección de datos para tu negocio y tienes datos de clientes o trabajadores; si en su día implantaste alguna cosa y no has revisado nada desde entonces; o tienes cualquier duda relativa a la implantación o seguimiento de las medidas implantadas, no dudes en contactar con nuestro despacho.
Incluso si lo que necesitas es una formación para refrescar la memoria a tus empleados, para saber si ellos mismos detectan lo que están haciendo bien o mal, no dudes en contactar con nuestro despacho. Te ayudaremos con todo ello.
Imagen: Stuart Miles www.freedigitalphotos.net