El responsable de seguridad y el informe de auditoría
| Páginas | 115-127 |
Page 115
El informe de Auditoría es el producto final de un trabajo de Auditoría. Es el vehículo que el auditor utiliza para informar sobre los descubrimientos y hacer las recomendaciones al que encargó dicha Auditoría.50Tal y como se señaló anteriormente, no existe en la actualidad un modelo de informe de Auditoría de medidas de seguridad en materia de protección de datos que tenga carácter oficial.
En este manual se aporta un modelo de informe de Auditoría de verificación del cumplimiento del Título VIII del RDLOPD que puede servir al lector de guía para la redacción de sus propios informes. Este modelo será útil tanto para un auditor interno de una organización como para un auditor externo que preste sus servicios por cuenta propia. Hay que señalar en todo caso que, como cualquier modelo, su carácter genérico implica que cada entidad deberá adaptarlo a sus particularidades.
El artículo 96 del RDLOPD determina las características que debe reunir el contenido mínimo del informe de Auditoría de verificación del cumplimiento del Título VIII del RDLOPD respecto de los ficheros y tratamientos automatizados, el cual tendremos en cuenta por analogía para los ficheros y tratamientos no automatizados, a la vista del silencio expreso del artículo 110. Así, de acuerdo con lo establecido en el artículo 96 del RDLOPD, el informe de Auditoría deberá contener los siguientes dictámenes:
Dictamen sobre la adecuación de las medidas y controles a la LOPD.
Dictamen sobre la adecuación de las medidas y controles al RDLOPD.
Identificación de deficiencias.
Page 116
Propuesta de medidas correctoras necesarias.
Propuesta de medidas complementarias necesarias.
Descripción de datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Esta figura de obligado nombramiento dentro de la organización tanto del responsable como del encargado del tratamiento, en los casos en que el nivel de seguridad a establecer en los ficheros sea el medio y/o alto, se regula y define en los artículos 5. I), 95 y 109 del RDLOPD.
ATENCIÓN
Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
A la vista de la definición contenida en el RDLOPD acerca del responsable de seguridad, a esta figura compete por delegación del responsable y/o encargado del tratamiento la coordinación y control de las medidas de seguridad (definidas previamente en el documento de seguridad) de cualquier índole.
Esto nos lleva necesariamente a realizar una reflexión respecto a cómo puede hacer frente a esta responsabilidad la persona dentro de la organización del responsable o del encargado del tratamiento que asuma la condición de responsable de seguridad puesto que, conforme hemos expuesto en capítulos anteriores, las medidas de seguridad contempladas en el RDLOPD son de diversa naturaleza (administrativas, documentales, físicas, técnicas, organizativas, de análisis y control, de formación, contractua-les, de gestión de recursos y de representación y autorización para el acceso y uso de datos).
Además de lo anterior, también debemos tener en cuenta que con la entrada en vigor del RDLOPD, el responsable de seguridad debe ser nombrado no solo cuando en la organización se tratan datos de nivel medio y alto en ficheros y tratamientos automatizados sino también, en relación con los ficheros y tratamientos no automatizados51.
Todo ello supone que la designación de un solo responsable de seguridad será ineficaz, fundamental-mente en organizaciones de tamaño medio y grande, donde debería adoptarse la decisión de nombrar a varios responsables de seguridad o en su caso, autorizar al responsable de seguridad la creación de
Page 117
un comité o grupo de trabajo o departamento en apoyo del mismo que asuma ciertas tareas de control y coordinación de las medidas. Este comité debería ser multidisciplinar, a la vista de la diversa naturaleza de las medidas y controles que deben ser coordinados así como que éstas tendrán distinta trascendencia según se trate de ficheros y tratamientos automatizados o manuales.
A continuación vamos a analizar la figura del responsable de seguridad a la luz de las disposiciones contenidas en el RDLOPD:
Artículo 95 RDLOPD, nombramiento del responsable de seguridad en relación con los ficheros y tratamientos automatizados:
? En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo.
? Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.
? En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con el RDLOPD.
Artículo 109 RDLOPD, nombramiento del responsable de seguridad en relación con los ficheros y tratamientos no automatizados:
? Se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 95 del RDLOPD.
En cuanto a las características de esta figura, el responsable de seguridad puede ser una o varias personas, internas de la organización del responsable y/o encargado del tratamiento, o externas y pueden ostentar este cargo tanto personas físicas como personas jurídicas.
Ahora bien, en línea con la doctrina administrativa vertida por la AEPD hasta el momento, la responsabilidad administrativa que se resuelve a través del procedimiento sancionador contemplado en la LOPD y RDLOPD por vulneración de lo establecido en el artículo 9 de la LOPD y Título VIII del RDLOPD, sólo es aplicable al responsable del tratamiento y al encargado del tratamiento– dado que solo a ellos compete la obligación de adoptar las medidas de seguridad de cualquier naturaleza necesarias para garantizar la seguridad de los datos de carácter personal que sean objeto de tratamiento.
Page 118
Ello a priori supone que el responsable de seguridad no quedará sujeto al régimen sancionador establecido en la LOPD salvo que su actuación pudiera enmarcarse en el supuesto de hecho contemplado en la LOPD.
Ahora bien, si con el RMS esta situación estaba resuelta...
Para continuar leyendo
Solicita tu prueba