Marco legal de la auditoría

Páginas27-40

Page 27

1. Marco legal regulador de la seguridad de datos en el tratamiento de datos de carácter personal

No existen precedentes en nuestro ordenamiento jurídico sobre normas reguladoras de la seguridad en la empresa en materia de protección de datos hasta la publicación de la LORTAD en el año 1992. En la actualidad, la LOPD ha mantenido el mismo contenido legal en su artículo 9 que ya tuviera su antecesora la LORTAD con una particularidad: la vigente LOPD considera que son dos los sujetos obligados a la adopción de las medidas de seguridad: el responsable del fichero o tratamiento y el encargado del tratamiento2.

Así el artículo 9 de la LOPD establece que, el responsable del fichero y en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no auto-rizado, habida, cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

En el apartado segundo del mismo artículo, la LOPD prohíbe el registro de datos de carácter personal en ficheros que no reúnan las condiciones que se deter-minen por vía reglamentaria3 con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

En definitiva podemos afirmar que el artículo 9 de la LOPD establece como objetivos de seguridad los generalmente aceptados por la doctrina académica y práctica profesional en el ámbito de la seguridad de los sistemas de información, esto es, evitar la alteración, pérdida, tratamiento o acceso no autorizado lo

Page 28

cual tiene una correspondencia directa con los tres objetivos clásicos de la seguridad de los sistemas de información4:

Integridad

Disponibilidad

Confidencialidad

Así pues, el alcance y contenido de los objetivos de seguridad enunciados en el artículo 9.1 de la LOPD puede ser interpretado, en principio, como equivalente al alcance y contenido de los conceptos de confidencialidad, integridad y disponibilidad:

? La integridad evita la alteración indebida de los datos de carácter personal.

? La disponibilidad previene de su pérdida.
? La confidencialidad impide su tratamiento o acceso no autorizados.

Sin embargo, y aunque los objetivos enunciados por el artículo 9.1 de la LOPD pueden ser interpretados como sinónimos de los tres principios clásicos de confidencialidad, integridad y disponibilidad, no hay que perder de vista que, en todo caso, su aplicación debe ser siempre contemplada en función de los riesgos concretos que cada situación presenta para el honor e intimidad personal y familiar de las personas cuyos datos están siendo tratados, así como para la protección de sus libertades públicas y derechos fundamentales.

El Título VIII del RDLOPD –que podemos afirmar se constituye como el desarrollo reglamentario del artículo 9 de la LOPD– incorpora una relación exhaustiva de las medidas de seguridad aplicables a los ficheros y tratamientos de datos personales y además, clasifica dichas medidas en tres niveles: básico, medio y alto5.

Además el Título VIII del RDLOPD deja patente a lo largo de todo su contenido la obligación de control periódico que en materia de seguridad corresponde tanto a los responsables como a los encargados del tratamiento puesto que como dice la jurisprudencia de la Audiencia Nacional (en adelante AN):

Sentencia de 29 de marzo de 2006:

Téngase presente que ha de intensificarse la diligencia en materia de protección de datos para hacer frente a los riesgos que para los derechos de la personalidad puede suponer el acopio y tratamiento de datos por medios informáticos …, diligencia especialmente intensa para las entidades que, en el ejercicio de su actividad, entran en contacto y manejan un volumen alto de datos personales ....

Page 29

En este sentido, el control por excelencia en materia de seguridad de datos contemplado en la normativa vigente está recogido actualmente en los artículos 96 (respecto de los ficheros automatizados) y 110 (respecto de los ficheros no automatizados) que obligan tanto al responsable como al encargado del tratamiento a someter a una Auditoría los sistemas de información e instalaciones de tratamiento y almacenamiento de datos personales así como los ficheros que los contienen tanto automatizados como no auto-matizados. Si bien esta obligación se limita –como veremos más adelante– a aquellos ficheros y tratamientos de datos personales clasificados en los niveles medio y alto.

Aunque el RDLOPD dedica su Titulo VIII a la seguridad de los datos reproduciendo en gran parte el contenido del derogado RMS de 1999, introduce una novedad importante como es la de abordar también la regulación de las medidas de seguridad que habrán de implantarse en los tratamientos no automatizados de datos de carácter personal (artículos 105 a 114).

El marco legal de las medidas de seguridad en mate-ria de protección de datos se completa con la disposición 44.3.h) de la LOPD relacionada con el incumplimiento de las obligaciones de seguridad, que tipifica como infracción grave el mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

2. Antecedentes de la Auditoría de medidas de seguridad

El primer desarrollo reglamentario en materia de seguridad de datos fue aprobado –como ya hemos advertido– en el año 1999 pero podemos encontrar un antecedente normativo6 con anterioridad en el año 1995 en la denominada Instrucción 1/1995 de 1 de marzo de la AEPD relativa a prestación de servicios de información sobre solvencia patrimonial y crédito (en adelante Instrucción 1/1995), la cual en su norma cuarta establecía que, “la implantación, idoneidad y eficacia de las medidas de seguridad exigidas por el artículo 9.1 de la Ley Orgánica se acreditará mediante la realización de una Auditoría, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, y la remisión del informe final de la misma a la AEPD7.

En todo caso, dos aspectos importantes y diferenciadores de la Auditoría de medidas de seguridad exigida por la Instrucción 1/1995 y la contemplada por el RMS eran los siguientes:

? Por un lado, la Instrucción 1/1995 establecía la obligación para las entidades auditadas de remitir el informe final de Auditoría a la AEPD. Dicha obligación por el contrario no se contemplaba en el derogado RMS8.

Page 30

- Por otro lado, la exigencia adicional igualmente derivada de la Instrucción 1/1995 de some-terse a una nueva Auditoría tras la adopción de las medidas específicas que, en su caso, la AEPD determinara, a resultas de la revisión del informe inicial de Auditoría que debía serle entregado.

En la actualidad tanto la Instrucción 1/1995 como el RMS se encuentran derogados por el RDLOPD y si bien es cierto que el vigente reglamento tampoco ha recogido las obligaciones de remitir el informe de Auditoría a la AEPD ni de someterse a una nueva Auditoría a resultas de las consideraciones que pudiera efectuar la AEPD (como tampoco lo hiciera el RMS) no lo es menos que el RDLOPD ha introducido una nueva obligación no contemplada con ante-rioridad en la normativa sobre protección de datos como es, la exigencia de realizar con carácter extraordinario una Auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas por el responsable o el encargado del tratamiento, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

3. Alcance de la obligación de realizar la Auditoría

El artículo 9 de la LOPD, dedicado a la seguridad de los datos, dispone que son tanto el responsable del fichero como, en su caso, el encargado del tratamiento, quienes deberán adoptar las medidas de índole técnica y organizativas necesarias que...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR