AUDITORIA DE PROTECCIÓN DE

DATOS
MARCO NORMATIVO
 LEY ORGÁNICA 15/1999 de 13 de diciembre de protección de datos de carácter personal.
 REAL DECRETO 994/99 de 11 de junio. Reglamento de medidas de seguridad de los ficheros
automatizados que contengan datos de carácter personal.
 INSTRUCCIÓN 1/1998 de 19 de Enero de la APD relativa al ejercicio de acceso, rectificación
y cancelación.
 DIRECTIVA 95/46/CE de 24 de Octubre de 1995 relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos
datos.
 DIRECTIVA 97/46/CE de 15 de Diciembre relativa al tratamiento de datos personales y
protección a la intimidad en el sector de las telecomunicaciones.
 DIRECTIVA 2002/58/CE de 12 de Julio relativa al tratamiento de datos personales y a la
protección a la intimidad en el sector de las comunicaciones electrónicas.
 Titulo III de la ley 11/1998 de 24 de Abril, ley general de las Telecomunicaciones
 Ley de servicios de la Sociedad de la Información y del comercio electrónico 34/2002, de 11
de Julio
ANTECEDENTES: RÉGIMEN GENERAL
DE LA LOPD
 AMBITO DE LA APLICACIÓN
– Se aplica a los datos registrados en un soporte físico que los haga susceptibles de tratamiento y a toda
modalidad de uso posterior
– Se aplica a los ficheros automatizados o no automatizados, tanto públicos como privados
– Únicamente datos de personas físicas
 EXCEPCIONES
– Ficheros personales
– Ficheros sobre materias clasificadas
– Ficheros para la investigación del terrorismo; delincuencia organizada...
 PRINCIPIOS
– Calidad: datos pertinentes, adecuados, no excesivos, exactos y actualizados
– Información
– Seguridad
– Confidencialidad
– Consentimiento (con excepciones)
FASES DE LA AUDITORIA

1. Análisis previo de la situación de la empresa. Consiste en una primera entrevista en la que será necesario
precisar el alcance de la auditoria para elaborar un presupuesto inicial.

2. Inicio de la auditoria: análisis detallado mediante personación del auditor en la empresa a través de una
metodología de checklist o E.D.R.

3. Entrega de un informe previo con las medidas a implantar para cumplir con la legislación

4. Implantación de las medidas de seguridad.

5. Inscripción de los ficheros en el registro de la A.P.D (es un acto independiente de los anteriores y puede
realizarse desde un primer momento, incluso puede que la empresa ya tuviera inscritos los ficheros).

6. Auditorias posteriores: la ley obliga a hacer auditorias como mínimo cada dos años.
1ª FASE: ANÁLISIS PREVIO
 Determinar el sector de actividad de la empresa y los tipos de datos que utilizan.
 Revisar el entorno informático y la organización del C.P.D.
 Identificar y clasificar los distintos ficheros existentes.
 Verificar si ya existen controles internos, informes o documentos de seguridad.
 Analizar la política de accesos implantada en los sistemas.
 Analizar todos los contratos por los cuales esa empresa puede ceder datos personales o comunicarlos a
efectos de su tratamiento por un tercero.
 Considerar si la empresa trabaja con Intranet y/o Internet. Verificar si los datos personales son recabados a
través de páginas Web
 En general, recabar todo tipo de información sobre el tratamiento que reciben los datos que utiliza la
empresa...
2ª FASE: AUDITORIA EN SENTIDO
ESTRICTO: CHECKLIST/E.D.R
PRINCIPALES ASPECTOS QUE DEBE CONTEMPLAR UN CHECKLIST / E.D.R
 Datos generales de la empresa
 Ficheros con datos personales existentes, nombre y descripción del fichero.
 Tipo de equipos empleados, si están o no en red, si tienen sistema de seguridad en el acceso, si están
conectados a Internet, si existen conexiones remotas, año de implantación del sistema, software empleado, si
el software el legal, etc...
 Responsables del CPD administradores del sistema, responsable de seguridad y otros cargos relevantes.
Lista de usuarios que utilizan el fichero con definición de las funciones y puesto de cada uno.
 Existencia de una política interna de seguridad
 Existencia de ficheros ya inscritos el la A.P.D.
 Existencia de una política interna de incidencias: si se realizan copias de respaldo, registro de accesos (logs),
procedimientos de distribución de soportes, procedimientos de recuperación de la información, política de
destrucción/reciclado de papel o soportes informáticos...
 Tipos de datos que contienen los ficheros.
 Finalidad del tratamiento: si solo se tratan datos que sean pertinentes en relación con la finalidad para la que
fueron recabados.
 Cumplimiento del deber de secreto de los empleados, si se obliga a firmar una cláusula al respecto, si este
deber continua o no incluso después de concluida la relación laboral...
 Fuentes de donde se recaban los datos: si se recaban directamente de la persona, si se pide su
consentimiento, si se recaban de fuentes accesibles al público, si se obtienen de una cesión...
 Tipos de contratos existentes referidos a la cesión de datos personales a terceras empresas o a su
comunicación para el tratamiento por parte de un tercero.
 Existencia de ficheros específicos para el envío de publicidad.
3ª FASE: ELABORACION DE UN
INFORME PREVIO
 Estructura:
– Antecedentes
– Plan de recomendaciones (jurídicas y técnicas) referido a:
 Riesgos reales
 Normativa a cumplir
 Coste de la implantación de recomendaciones
 Formación del personal en la política de protección de datos
 Etc...

– Proposición de cláusulas sobre protección de datos necesarias para contratos con

usuarios, clientes, proveedores, colaboradores...
– Otras cuestiones, por ejemplo: necesidad de reestructuración de ficheros, definición de
funciones y obligaciones del personal, etc...
4ª FASE: IMPLANTACION DE LAS
MEDIDAS DE SEGURIDAD
 Normativa aplicable RD 994/1999 > solo a ficheros automatizados
 Niveles de seguridad:
– BÁSICO: datos identificativos, características personales, circunstancias sociales, académicos y
profesionales, empleo y carrera administrativa, información comercial...
– MEDIO: datos de nivel básico que permitan obtener un perfil de la persona, datos sobre infracciones
penales y administrativas, datos de Hacienda, de servicios financieros, de solvencia patrimonial y
crédito.
– ALTO: datos sobre la ideología, creencia, religión, origen racial, salud, vida sexual y datos recabados
con fines policiales.

Cada uno de estos niveles tienen la condición de mínimos exigibles sin prejuicio de las disposiciones
legales o reglamentarias especificas vigentes.
Cada una de las medidas de seguridad de cualquier nivel, es aplicable además a las de nivel superior.
RESUMEN DE LAS MEDIDAS DE
SEGURIDAD POR NIVELES

NIVELES B M A
DOCUMENTO DE SEGURIDA X X X
FUNCIONES Y OBLIGACIONES DEL PERSONAL X X X
REGISTRO DE INCIDENCIAS X X X
IDENTIFICACION Y AUTENTICACION X X X
CONTROL DE ACCESO LÓGICO X X X
GESTIÓN DE SOPORTES X X X
COPIAS DE RESPALDO Y RECUPERACIÓN X X X
RESPONSABLE DE SEGURIDAD X X
CONTROL DE ACCESO FÍSICO X X
AUDITORIA X X
PRUEBAS CON DATOS REALES X X
DISTRIBUCIÓN DE SOPORTES X
REGISTRO DE ACCESOS X
TELECOMUNICACIONES X
DOCUMENTO DE SEGURIDAD
 Es un documento que debe implantar el responsable del fichero en el que se refleja la normativa de seguridad
 De obligado cumplimiento para el personal con acceso a los datos y a los sistemas de información.
 Es obligada su continua revisión y actualización de acuerdo con la normativa vigente.
 Para verificar su cumplimiento se designará un responsable de seguridad(a partir del nivel medio) y se
realizarán controles periódicos (como mínimo una auditoria bianual)
 Contenido:
– Ámbito de la aplicación detallando recursos protegidos.
– Identificación del responsable de seguridad y otros cargos.
– Medidas, normas, procedimientos, reglas y estándares.
– Funciones y obligaciones del personal.
– Estructura de los ficheros y sistemas que los tratan.
– Procedimientos de notificación, gestión y respuesta de incidencias.
– Procedimiento de realización de copias de respaldo y recuperación de datos
– Procedimiento de deshecho o reutilización de soportes
– Controles periódicos
En realidad el documento de seguridad tiene un formato libre, siempre y cuando reúna como mínimo las
exigencias previstas en el RD 994/1999, luego no se descarta añadir otros apartados
– Procedimiento ante el ejercicio de los derechos de acceso, modificación oposición y cancelación de
datos.
– Procedimiento de creación, modificación y cancelación de ficheros.
– Tratamiento de datos con fines comerciales.
– Procedimiento a aplicar ante una cesión de datos o ante el acceso por terceros a ficheros con datos de
carácter personal.
– Normas de uso de e-mail: spamming.
– Datos recabados a través de páginas Web: obligación de establecer una política de privacidad a la que
se acceda directamente por un link desde la página principal.
– Política de uso de ficheros temporales con datos de carácter personal.
– Etc.
5ª FASE: INSCRIPCIÓN DE LOS
FICHEROS EN EL RGAPD.

 Cualquier persona u órgano administrativo que cree, modifique o suprima un fichero con datos de carácter
personal debe notificarlo a la RGAPD

 Deberá hacerse, dependiendo de la titularidad del fichero:

– A través de Internet
– Mediante soporte magnético
– Con un formulario en soporte papel

 Si no se notifica puede incurrirse en una falta leve o grave.

FASES DE LA AUDITORIA LOPTD

PRE-AUDITORIA CONSULTORIA

START

ANALISIS CHACKLIST O INFORME DE IMPLANTACION DOCUMENTO

PREVIO EDR INCIDENCIAS DE SEGURIDAD

NO

DECLARACION AUDITORIA SEGÚN

AUDITORIA
DE FICHERO DOCUMENTO DE BIANUAL
SEGURIDAD
INFORMACIÓN EN LA WEB

 www.agenciaprotecciondatos.org
 www.datospersonales.com
 www.onnet.es
 www.davara.com
 www.delitosinformaticos.com
 www.derechoinformatico.com
 www.mcyt.es
 www.madrid.org/apdcm/