Consultas Online
Consulta formulada por:
En protección de datos ¿Es cierto que las entidades sociales deben someterse a una auditoría bianual?
06.06.17
Hola,
Respecto al cumplimiento de la Ley de Protección de Datos por parte de una entidad sin ánimo de lucro, además de la inscripción de los ficheros, respetar los derechos ARCO, y la elaboración y gestión de la documentación de seguridad, ¿es cierto que debemos someternos a una auditoría bianual?
Muchas gracias
un saludo
Respuestas
Opinión anónima
06.06.17
Buenos días,
A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad en el tratamiento de datos de carácter personal.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la AEPD o, en su caso, de las autoridades de control de las comunidades autónomas.
Espero haber sido de ayuda.
Saludos,
Aportada por:
ASESOR JURÍDICO
Trabaja en:
Asesor particular
07.06.17
Buenos días!!
Las medidas de seguridad según la LOPD (aún en vigor pero a punto de ser modificada como consecuencia de la entrada en vigor de Reglamento comunitario) dependen de los datos que contengan los ficheros de los que se disponga y la gestión que se realice sobre los mismos.
Para ello debemos atender a los niveles de protección, de forma que los niveles medio y alto necesitarían auditarse bienalmente:
NIVEL ALTO. Ficheros o tratamientos con datos:
de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y
respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
recabados con fines policiales sin consentimiento de las personas afectadas; y
derivados de actos de violencia de género.
NIVEL MEDIO. Ficheros o tratamientos con datos:
relativos a la comisión de infracciones administrativas o penales;
que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial
y crédito);
de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
de entidades financieras para las finalidades relacionadas con la prestación de servicios
financieros;
de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con
el ejercicio de sus competencias;
de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos
de la misma o del comportamiento de las personas; y
de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y
localización 1
NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También
aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias,
salud, origen racial o vida sexual, cuando:
los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades
de las que los afectados sean asociados o miembros;
se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de
estos tipos de datos de forma incidental o accesoria, que no guarden relación con la
finalidad del fichero; y
en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente
al grado o condición de discapacidad o la simple declaración de invalidez, con
motivo del cumplimiento de deberes públicos.
Opinión anónima
08.06.17
Muchísimas gracias a Manuel V. Gil y a PILAR IZQUIERDO BENEYTO, me han ayudado totalmente. Gracias también a www.solucionesong.org
un saludo
:-)