UD 8 - Auditoría

MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.

MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 2 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
U.D. 8 - AUDITORÍA
1. CUESTIONES GENERALES Y APROXIMACIÓN A LA AUDITORÍA. ································ 5

1.1 AUDITORÍA INTERNA VS. AUDITORÍA EXTERNA·································································· 7
1.1.1 ¿Cuándo es recomendable una auditoría interna? ···································································· 7
1.1.2 ¿Cuándo es recomendable una auditoría externa? ··································································· 7
2. CARACTERÍSTICAS Y PERFIL DEL AUDITOR. ······························································· 8
3. EJECUCIÓN DE UNA AUDITORÍA DE PROTECCIÓN DE DATOS PERSONALES. ··········· 9
3.1 FASE I: INTRODUCCIÓN.·································································································· 10
3.1.1 Objetivos y alcance. ···························································································································· 10
3.1.2 Metodología de trabajo. ····················································································································· 11
3.1.3 Fijación del calendario de trabajo y designación de interlocutores. ································· 12
3.2 FASE II: REALIZACIÓN Y EJECUCIÓN DE LA AUDITORÍA. ··················································· 12
3.2.1 Entrevistas con el personal e inspección visual de la entidad auditada. ························ 12
3.2.2 Cuestionario de comprobación y verificación del cumplimiento de la LOPD sobre el
terreno. ···································································································································································· 13
3.3 FASE III: INFORME DE AUDITORÍA E IMPLANTACIÓN DE MEDIDAS CORRECTORAS. ··········· 25
3.4 CERTIFICADO Y SELLO DE CUMPLIMIENTO. ······································································ 41
4. LA HERRAMIENTA “EVALÚA”. ······················································································ 43
5. RESUMEN DE LA UNIDAD. 0.························································································ 44
Página 3 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 4 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
U.D. 8 - AUDITORÍA
1. CUESTIONES GENERALES Y APROXIMACIÓN A LA AUDITORÍA.
Como hemos tenido la ocasión de mencionar en la unidad didáctica anterior, tanto el

artículo 96 (para ficheros y tratamientos automatizados) como el artículo 110 (para ficheros y
tratamientos no automatizados), el RLOPD obliga a todos los sistemas de información e
instalaciones de tratamientos que contengan datos calificados de nivel medio y/o alto
al sometimiento a un proceso de auditoría que será realizada, al menos, con una
frecuencia de dos años (bienalmente). La realización de la auditoría será también
obligatoria en el caso de cambios en los sistemas de información que pueden afectar a
las medidas ya implantadas, iniciando en ese caso el cómputo de dos años.
Según la Real Academia de la Lengua, la auditoría se define como la “revisión sistemática de una
actividad o situación para evaluar el cumplimiento de las
reglas o criterios objetivos a que aquéllas deben
someterse”. Extrapolando esta definición al terreno de la
protección de datos de carácter personal, la auditoría
sería la revisión de la actividad de una determinada
organización con la finalidad de evaluar el
cumplimiento de las reglas establecidas en materia
de protección de datos de carácter personal, sobre
todo en lo que concierne a la implantación y aplicación
de las medidas de seguridad que correspondan a través
del documento de seguridad analizado en la unidad
didáctica anterior.
El término de auditoría se ha empleado incorrectamente
con frecuencia ya que tradicionalmente se ha considerado
como una evaluación cuyo único fin consiste en detectar
errores y señalar el fallo. A causa de esto, se ha tomado la frase “tiene auditoría” como sinónimo
de que, en dicha organización y antes de realizarse la auditoría, se presupone la existencia de un
fallo o error que es necesario subsanar. La auditoría es un examen crítico pero no
mecánico, que no implica la preexistencia de fallos en la entidad auditada y que persigue el fin
de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo, en este caso, en
relación a la correcta aplicación de la normativa vigente en materia de protección de datos de
carácter personal.
Al auditar principalmente se estudian los mecanismos de control que están implantados en
una empresa u organización, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos. Además habrá de evaluar los sistemas de información en general
desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información,
hasta los mecanismos de control, los cuales pueden ser directivos, preventivos, de detección,
correctivos o de recuperación ante una contingencia.
Realizada esta breve aproximación, el artículo 96 del RLOPD establece, con respecto a la
auditoría en caso de ficheros o tratamientos automatizados, lo siguiente:
Página 5 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
“1.- A partir del nivel medio los sistemas de información e instalaciones de tratamiento y
almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o
externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen
modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las
medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y
eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo
anterior.
2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles
a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas
correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y
observaciones en que se basen los dictámenes alcanzados y las recomendaciones
propuestas.
3.- Los informes de auditoría serán analizados por el responsable de seguridad competente,
que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las
medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de
Protección de Datos o, en su caso, de las autoridades de control de las Comunidades
autónomas.”
Por su parte, y con respecto a los ficheros y tratamientos no automatizados, el artículo 110 del
RLOPD expone, de manera escueta, lo siguiente:
“Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a
una auditoría externa o interna que verifique el cumplimiento del presente título.”
De la lectura de los dos preceptos se infiere que las previsiones que establece el apartado uno del
artículo 96, respecto de la auditoría, se reducen a que la auditoría verifique el cumplimiento
de las previsiones establecidas en el Título VIII (medidas de seguridad, ver unidad didáctica
número 7), sin embargo, el antiguo Reglamento de Medidas de Seguridad (Real Decreto
994/1999, de 11 de junio) derogado por el RLOPD establecía, además de la verificación del
cumplimiento del Reglamento, la verificación de cualquier otra medida que pudiera incluirse en
los procedimientos e instrucciones vigentes en materia de seguridad de datos. Por lo tanto, si
hubiera algún otro texto legal o instrucción dictada al respecto, aunque fuera por las propias
autoridades de protección de datos, no sería obligatorio auditar las correspondientes medidas.
Sin embargo, en el párrafo 2 de este artículo se establece de forma inconsistente con la anterior
previsión, que el informe de auditoría deberá dictaminar sobre la actuación de las medidas y
controles a la Ley y su desarrollo reglamentario. Difícilmente el informe de auditoría podrá
dictaminar sobre las medidas y controles no previstos en el desarrollo de la auditoría
correspondiente.
Página 6 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Una de las novedades más importantes que aparece regulada en este artículo se refiere a la
obligación de realizar con carácter extraordinario una auditoría siempre que se realicen
modificaciones en el sistema de información que puedan repercutir en el cumplimiento
de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación
y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo
anterior.
En esta nueva previsión, relativa a la obligación de realizar auditorías extraordinarias cuando
se modifiquen los sistemas de información, se aprecia cierta confusión respecto de su alcance o
interpretación. Hay que señalar a este respecto que no será fácil delimitar lo que se considera
“modificaciones sustanciales en el sistema de información”. Esta indeterminación, en
algunos casos, producirá cierta inseguridad jurídica en su aplicación.
No obstante, tendremos que tener en consideración que, en el caso de ser necesaria la realización
de la auditoría extraordinaria, se iniciará en los plazos del cómputo de los dos años.
En el apartado 2 se establece que el informe de auditoría deberá dictaminar sobre la adecuación
de las medidas y controles a la Ley y a su desarrollo reglamentario, identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los
datos, hechos y observaciones en que se basen los dictámenes alcanzados y las
recomendaciones.
Las conclusiones que se deduzcan del informe de auditoría deberán indicar aquellas medidas
correctoras adecuadas que habrán de incidir en mejorar el nivel de adecuación a las
previsiones establecidas en el título de seguridad.
A su vez, el informe de auditoría deberá ser analizado por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o tratamiento para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la AEPD o,
en su caso, de las autoridades de control de las Comunidades autónomas.
1.1 AUDITORÍA INTERNA Vs. AUDITORÍA EXTERNA
1.1.1 ¿Cuándo es recomendable una auditoría interna?
La auditoría interna es una función asesora que se realiza con

recursos humanos y materiales pertenecientes a la propia
organización. El auditor, aunque esté vinculado con la
organización, debe ser independiente orgánicamente y no haber
estado vinculado anteriormente con el sector auditado.
Habitualmente, la auditoría interna se realiza por una decisión
de la Dirección con el objeto de emitir informes orientados
fundamentalmente a la mejora de la propia organización.
Generalmente, este tipo de auditorías se realizan solamente en
compañías grandes que pueden contar con los recursos humanos y
económicos necesarios para llevarlas a cabo. Además, las
auditorías internas pueden crearse por recomendación de una
auditoría externa.
1.1.2 ¿Cuándo es recomendable una auditoría externa?
La auditoría externa es un examen crítico realizado por una

firma especializada en auditoría. El encargo de este examen
puede ser por iniciativa de la Dirección, pero normalmente se deriva
del cumplimiento de obligaciones o compromisos formales y,
además, el objeto del informe de auditoría suele ser la presentación
del mismo a un tercero.
Página 7 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
La firma auditora no debe mantener ninguna relación con la firma auditada, ni haber
participado de ninguna manera en el ciclo de vida de ninguno de los objetos de la auditoría.
Las entidades suelen solicitar este tipo de auditorías cuando identifican debilidades en la
empresa como: mala imagen de la organización, clientes insatisfechos, dificultades económico-
financieras, síntomas de descoordinación y desorganización, etc.
2. CARACTERÍSTICAS Y PERFIL DEL AUDITOR.
Es éste un punto importante, porque si se carece de la formación y experiencia acordes con el

objeto y el propósito de las auditorías será difícil alcanzar las evidencias, los resultados pueden
ser inadecuados y las conclusiones equivocadas.
Dentro del perfil y situación podemos diferenciar aspectos comunes, como objetividad e
independencia, exigibles a todos los auditores, y otros específicos: en función de los entornos
en los que se va a revisar la seguridad.
Es decir, el auditor ha de tener formación y experiencia generales acordes con su función
y, en el caso concreto de revisiones técnicas de seguridad de cierta profundidad, serán necesarios
conocimientos actualizados relacionados con el entorno o plataforma concretos, porque
en pocos años la aparición de entornos y de versiones puede influir mucho en cuanto a riesgos y
controles a sugerir.
A día de hoy, en España no hay nada regulado al respecto (aunque existen cursos, másteres
y asignaturas relacionadas en varias universidades), del mismo modo que ocurre con la
consultoría, siendo el mercado el que va seleccionando y descartando unas u otras entidades, y
éstas en todo caso especializando a los individuos o prescindiendo de ellos si no demuestran
condiciones.
El certificado más prestigioso y más afín actualmente con la auditoría de protección de
datos es el CISA (Certified Information Systems Auditor) de ISACA (Information Systems Audit
and Control Association), cuyos exámenes se celebran periódicamente en varias ciudades
españolas y en muchos otros países, pudiendo elegir entre varios idiomas, incluido el español. En
el mundo hay más de 50.000 individuos que tienen el certificado.
Si queremos definir un perfil de auditor más completo, como sería el caso de una selección
externa o interna, podemos pensar en características y rasgos como los siguientes, algunos
comunes como se ha indicado, y habríamos de diferenciar lo imprescindible de lo deseable, y en
este caso “cuánto de cada”:
 Independencia y objetividad.
 Integridad y conducta según unos principios éticos. (Por ejemplo, los miembros de
ISACA están obligados a cumplir un código de ética profesional).
 Formación y experiencia acordes con el tipo de trabajo, y actualización de los
conocimientos. Este punto es muy importante en el caso de auditoría de la seguridad: no basta
con hacerse con un cuestionario de puntos, sino que hay que saber cómo hacer las verificaciones
y cómo valorar los resultados, y qué recomendar en cada caso.
 Una combinación de amabilidad y firmeza, según se requiera, pero sin caer nunca en la
agresividad.
 Facilidad de comunicación y de hacer presentaciones. Saber escuchar.
 Capacidad de análisis y de síntesis, que en el caso de la seguridad nos permita valorar
el marco general respecto a la seguridad, a la vez que analizar los parámetros y opciones que
puedan condicionarla o hacerla posible, si bien unos y otros aspectos no tendría por qué
evaluarlos la misma persona sino miembros de un mismo equipo de auditores.
Página 8 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
 Madurez, que no debemos relacionar con una edad mínima.

 Si el auditor tiene que dirigir equipos de personas, capacidad para ello, así como
liderazgo y aceptación, y en todo caso capacidad para trabajar en equipo.
 Añadiríamos algo al perfil, y que sería aplicable a todos los procesos de selección:
motivación e interés por hacer el trabajo, incluso vocación, y capacidad para motivar a
otros del equipo.
Otro aspecto es la ubicación de la función de auditoría interna, ya que encontramos a veces que
está dentro del área de Informática/Sistemas de Información/Tecnologías de la Información, en
definitiva, dentro del área a auditar, por lo que no tiene la independencia necesaria, si bien puede
ser perfectamente una función de nivel interno. Es preferible que esté dentro de la auditoría
general, o que sea una función staff de la Dirección, en todo caso si dependencia jerárquica del
área auditada.
Además, en el caso de los auditores internos ha de existir una relación adecuada con la función
de Administración de Seguridad, además de que puedan existir en la entidad roles de
Responsable/s de seguridad, relacionados con los datos personales o no.
3. EJECUCIÓN DE UNA AUDITORÍA DE PROTECCIÓN DE DATOS PERSONALES.
Como podemos comprobar tras una simple ojeada a la normativa vigente en materia de
protección de datos de carácter personal, la legislación española no establece un sistema
tasado, cerrado o unitario con respecto a la forma o modo de ejecutar una auditoría de
protección de datos. La simpleza del objetivo de la auditoría, que no es otro que el de
comprobar el grado de adecuación de una entidad a la LOPD y su normativa de desarrollo, oculta
un complejo sistema de ejecución motivado, fundamentalmente, en la multitud de variables y
parámetros que se deben considerar por el auditor y por su equipo con el fin de conseguir de
evaluar el grado de adecuación a la normativa y establecer las recomendaciones y medidas
correctoras oportunas en todos aquellos aspectos que, una vez realizadas las comprobaciones
oportunas, no cumplan con los presupuestos establecidos por nuestra normativa.
Así las cosas, en el presente apartado propondremos un sistema de ejecución de auditoría lo
más simplificado posible, siendo este sistema de uso común en nuestra sociedad y sin
perjuicio de que se puedan utilizar otros sistemas o metodologías que se consideren más
adecuados, a los que también haremos mención a lo largo de este mismo apartado.
Página 9 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Pues bien, el sistema propuesto para la realización de la auditoría se articula en tres fases
diferenciadas, tal y como podemos ver en el siguiente gráfico:
3.1 FASE I: INTRODUCCIÓN.
3.1.1 Objetivos y alcance.
En esta fase inicial, y con posterioridad a la firma del correspondiente contrato de auditoría
en el caso de celebración de una auditoría de carácter externo (altamente recomendable), deben
establecerse la fijación de los objetivos y el alcance de la auditoría de protección de datos.
El objetivo perseguido es el realizar las comprobaciones necesarias con respecto a la
adecuación de las medidas, los procedimientos y controles de seguridad establecidos
por la entidad auditada a la normativa vigente en materia de protección de datos de
carácter personal, y así disponer del informe de auditoría bienal de obligado mantenimiento
exigido por los artículos 96 y 110 del RLOPD, para aquellos ficheros que cuenten con un nivel de
seguridad medio y/o alto. Además, tras la realización de las oportunas comprobaciones de las
medidas de adecuación implantadas por la empresa auditada, se podrá establecer los riesgos de
infracción y sanción que pudieran presentarse.
Página 10 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
En cuanto a su alcance, se deberá determinar si la auditoría se realizará exclusivamente en el

centro principal de operaciones de la empresa auditada (recomendado), o bien en todos y
cada uno de los centros de la entidad auditada (lo que podría dilatar enormemente los plazos de
ejecución) y cuáles son los ficheros con datos de carácter personal objeto de la auditoría,
tratamientos sobre los mismos, sistemas de tratamiento, procedimientos, etc. En caso
de elegirse la opción de realización exclusiva de la auditoría en el centro principal de operaciones,
las conclusiones realizadas una vez finalizada la auditoría serán extrapolables a los demás centros
de la entidad auditada. En este caso, la documentación estudiada se limitaría a los documentos
genéricos utilizados en toda la organización. Pese a lo anterior, y siempre dependiendo del
volumen de la entidad auditada, también sería conveniente la realización de visitas esporádicas a
otro centro de la misma entidad, a modo de muestreo, con el fin de corroborar los aspectos más
importantes y cubrir aspectos específicos de ciertos departamentos.
3.1.2 Metodología de trabajo.
El auditor, previo estudio y análisis del volumen y características propias de la entidad auditada,
debe establecer un plan o metodología de trabajo. Tal y como hemos indicado anteriormente, ni
la LOPD ni el RLOPD establecen una metodología unitaria acerca de cómo proceder de
modo correcto a la ejecución de una auditoría de protección de datos, cuestión que
tampoco es abordada por la AEPD en profundidad, aunque sí se establecen algunas pautas
relacionadas con esta materia y que aportaremos en su momento. La casuística es demasiado
grande, lo que ha llevado a más de una crítica por parte de los profesionales de este sector.
De todos modos, existen una serie de estándares y manuales de buenas prácticas
comúnmente aceptados y utilizados en los últimos tiempos de cierta relevancia, aunque los
más destacados se incardinan dentro de un aspecto más amplio de la auditoría como es la
auditoría informática, dentro de la cual se puede incluir una parte dedicada a la protección y
seguridad de los datos de carácter personal.
Algunos de los estándares más utilizados hasta la fecha, que describiremos brevemente con el fin
de no complicar en exceso al alumno, son los dos siguientes:
 ISO/IEC 27002: este estándar para la seguridad de la información fue aprobado y
publicado como estándar internacional en octubre de 2005. Anteriormente denominada ISO
17799, consiste en una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control
y 133 controles.
Como complemento a esta explicación, puede consultar un resumen de los controles definidos en ISO 27002.
Página 11 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
 COBIT: los Objetivos de Control para Tecnologías de Información y Relacionadas

(traducción de las siglas inglesas COBIT) es un conjunto de mejores prácticas para el manejo de
información creado por la Asociación de auditoría y Control de Sistemas de Información
(traducción de las siglas inglesas ISACA) y el Instituto de Administración de las Tecnologías de la
Información (traducción de las siglas inglesas ITGI) en 1992. La misión de COBIT es investigar,
desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados
para las tecnologías de la información que sean autorizados, actualizados, e internacionales para
el uso del día a día de los gestores de negocios y auditores. En su última edición, publicada el año
2007, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control clasificados en
cuatro dominios: Planificación y Organización; Adquisición e Implementación; Entrega y Soporte;
Supervisión y Evaluación.
Como complemento a esta explicación, puede consultar aquí una introducción básica a COBIT.
También podemos utilizar otros estándares o manuales de buenas prácticas comúnmente

aceptados tales como ITIL, COSO o aquéllos propuestos por el Centro Criptológico Nacional
(CCN), entre otros.
Sin embargo, para no complicarnos en exceso con las diferentes metodologías y a modo de
iniciación, nuestra metodología se ceñirá básicamente sistema de recolección de información
basado en un esquema de preguntas-respuestas-valoraciones-observaciones-métrica que
utilizaremos en la segunda fase, tal y como veremos en el apartado 3.2 de esta unidad didáctica.
3.1.3 Fijación del calendario de trabajo y designación de interlocutores.
Como conclusión de esta primera fase, nos queda fijar el calendario de trabajo, que, una vez
más, dependerá del volumen y características de la entidad auditada así como de los
recursos humanos y materiales con los que cuente la entidad auditora.
Del mismo modo, ambas partes designarán a los interlocutores, que serán los auténticos
protagonistas de la fase número dos, que a continuación detallaremos, con la que comienza los
trabajos propios de una labor de auditoría de protección de datos de carácter personal.
3.2 FASE II: REALIZACIÓN Y EJECUCIÓN DE LA AUDITORÍA.
3.2.1 Entrevistas con el personal e inspección visual de la entidad auditada.
Una vez designados a los interlocutores y el calendario de trabajo en función de las

disponibilidades de la entidad auditada, el auditor se desplazará hasta su centro de
operaciones para entrevistarse directamente con el personal de la empresa auditada e
inspeccionar in situ sus actividades con respecto al modo de tratamiento de los datos
de carácter personal, con el fin de recopilar toda la información necesaria para comprobar
el grado de cumplimiento de la normativa vigente en la materia.
Por norma general, estas entrevistas e inspecciones permitirán un conocimiento concreto de la
entidad, de su ámbito de negocio, su estructura, sus posibles relaciones con organismos
oficiales, asociaciones, instituciones y otras entidades, todo ello a través de los formularios
preestablecidos suministrados a la entidad objeto de auditoría, en los que se recopilarán los
datos fundamentales para el conocimiento del nivel de adaptación a la normativa vigente en
materia de seguridad de datos de carácter personal de la misma.
Página 12 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Las entrevistas deberían realizarse a las siguientes personas

involucradas mediante formularios previamente adaptados:
 Responsable de seguridad.
 Responsable del tratamiento de los datos.
 Administrador/-es del sistema.
 Usuarios.
Además de las entrevistas, resulta más que conveniente que sean entregados al auditor todos
aquellos documentos en que constan datos susceptibles de ser empleados por éste, para
comprobar tanto las manifestaciones realizadas por las personas durante las entrevistas, como
los hechos y observaciones de lo que el propio auditor tiene conocimiento.
3.2.2 Cuestionario de comprobación y verificación del cumplimiento de la LOPD sobre

el terreno.
Durante esta fase, procederemos a la comprobación y verificación de la normativa

vigente en materia de protección de datos de carácter personal a través de un sistema
de preguntas-respuestas-valoraciones, elaborado por el auditor y orientado a conocer la
realidad de la adecuación del sistema de tratamiento de datos de carácter personal a la
mencionada normativa por parte de la entidad auditada.
En resumen, las medidas a analizar deben englobar las siguientes materias:
Tratamientos que se realizan en la entidad auditada de los ficheros de carácter
personal.
Correcta declaración de inscripción, modificación y/o cancelación de los tratamientos
ante la AEPD.
Comunicaciones dirigidas a los afectados para garantizar el cumplimiento de la
normativa vigente respecto al tratamiento de datos.
Contratos íntegros suscritos para la externalización del tratamiento, adquisición y
venta de información.
Procedimientos establecidos para garantizar los derechos de acceso, rectificación,
cancelación y oposición.
Adecuación de los procedimientos:
 De notificación, gestión y respuesta ante incidencias.
 De realización de copia de seguridad y recuperación de datos.
 De las medidas de seguridad aplicables a los ficheros y tratamientos no automatizados.
 De identificación para el acceso de los usuarios.
 De asignación, distribución y almacenamiento de contraseñas.
Adecuación de los controles:
 De acceso de los usuarios a los datos y recursos que precisan para el desarrollo de sus
funciones.
 Periódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad.
 De la existencia y cumplimiento de las medidas definidas en el documento de seguridad.
 Dictamen del informe de auditoría para comprobar la existencia de los controles de
cumplimiento del RLOPD.
 De acceso físico a los locales donde se encuentren ubicados los sistemas de información.
Página 13 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
 Del responsable de seguridad sobre los mecanismos que permiten el registro lógico a datos
de nivel alto.
Adecuación de las medidas generales, de nivel básico, medio y alto.
A continuación, y a modo de ejemplo, expondremos un formulario (aprobado por la Guía de
Seguridad de la AEPD) en el que se contienen algunas comprobaciones que se pueden
realizar para verificar el cumplimiento de las disposiciones del RLOPD, una vez cruzada
toda la información obtenida fruto de las conversaciones con el personal de la entidad auditada y
la inspección visual de sus actividades:
SI/NO/
SISTEMA
NIVEL COMPROBACIONES A REALIZAR EN OBSERVACIONES
TRATAMIENTO
PARTE
PRESTACIÓN DE SERVICIO SIN
ACCESO A DATOS PERSONALES
Si el tratamiento no afecta a los datos
personales, ¿se han adoptado las medidas
TODOS BÁSICO necesarias para limitar el acceso del
personal a los datos personales, soportes y
recursos?
Si se trata de personal ajeno, ¿recoge el
contrato la prohibición expresa de acceder
a los datos personales, así como la
TODOS BÁSICO
obligación de secreto respecto a los datos
que hubieran podido conocer con motivo
de la prestación de servicio?
DELEGACIÓN DE AUTORIZACIONES
¿Se han delegado las autorizaciones que el

Reglamento atribuye al responsable en
otras personas?, ¿se ha hecho constar en
TODOS BÁSICO el Documento de Seguridad las personas
habilitadas para otorgar estas
autorizaciones y las personas en quienes
recae dicha autorización?
RÉGIMEN DE TRABAJO FUERA DE LOS
LOCALES DE LA UBICACIÓN DEL
FICHERO
El almacenamiento de datos personales en
dispositivos portátiles o los tratamientos
fuera de los locales del responsable o
TODOS BÁSICO encargado, ¿han sido autorizados
expresamente por el responsable del
fichero?, ¿consta dicha autorización en el
Documento de Seguridad?
¿Se garantiza el nivel de seguridad
TODOS BÁSICO correspondiente al tipo de fichero tratado?
FICHEROS TEMPORALES O COPIAS DE

TRABAJO DE DOCUMENTOS
¿Cumplen el nivel de seguridad
TODOS BÁSICO
correspondiente?
¿Se han destruido o borrado cuando ya no
TODOS BÁSICO han sido necesarios para los fines que
motivaron su creación?
Página 14 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SI/NO/
SISTEMA
TRATAMIENTO
PARTE
DOCUMENTO DE SEGURIDAD
¿Ha elaborado el responsable del fichero

TODOS BÁSICO
el Documento de Seguridad?
¿Contiene los aspectos mínimos exigidos
TODOS BÁSICO
por el Reglamento?
¿Está su contenido adecuado a la
normativa vigente en este momento en
TODOS BÁSICO
materia de seguridad de los datos de
carácter personal?
¿Se ha indicado con qué periodicidad se
TODOS BÁSICO deben cambiar las contraseñas?, ¿Es
inferior o igual a un año?
¿Se especifica cuál es el personal
autorizado para la concesión, alteración
TODOS BÁSICO
o anulación de accesos autorizados sobre
datos o recursos?
¿Se especifica cuál es el personal
autorizado para acceder a los lugares
TODOS BÁSICO
donde se almacenan los soportes
informáticos?
Si el tratamiento se realiza por cuenta de
terceros, ¿se han reflejado los ficheros
afectados por el encargo, con referencia
TODOS BÁSICO
expresa al contrato, así como la
identificación del responsable y el
período de vigencia?
¿Se ha reflejado en el Documento de
Seguridad si los datos personales se
TODOS BÁSICO
incorporan y se tratan exclusivamente en
los sistemas del encargado?
¿Se ha delegado en el encargado del
tratamiento la llevanza del Documento
TODOS BÁSICO de Seguridad para los ficheros objeto del
contrato?, ¿se ha reflejado esta
circunstancia en el contrato?
¿Especifica qué medidas hay que adoptar
TODOS BÁSICO en el caso de desechado o reutilización
de soportes?
¿Establece la identidad del responsable o
responsables de seguridad?, ¿se
especifica si la designación es única para
TODOS MEDIO
todos los ficheros o está diferenciada
según el sistema de tratamiento
utilizado?
¿Contiene los procedimientos y controles
TODOS MEDIO periódicos para verificar el cumplimiento
de lo dispuesto en el propio documento?
¿Relaciona las personas que están
autorizadas a acceder físicamente a los
TODOS MEDIO
locales donde se ubican los sistemas de
información?
Página 15 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SI/NO/
SISTEMA
TRATAMIENTO
PARTE
FUNCIONES Y OBLIGACIONES DEL
PERSONAL
¿Están las funciones y obligaciones del
personal con acceso a datos de carácter
TODOS BÁSICO
personal y los sistemas de información
claramente definidas?
¿Están documentadas y reflejadas en el
TODOS BÁSICO
¿Se han definido las funciones de control
TODOS BÁSICO o autorizaciones delegadas por el
responsable del fichero?
¿Conoce el personal las medidas de
TODOS BÁSICO seguridad que afectan al desarrollo de
sus funciones?
¿Conoce las consecuencias de su
TODOS BÁSICO
incumplimiento?
REGISTRO DE INCIDENCIAS
¿Existe un procedimiento de notificación

y gestión de incidencias de seguridad?,
TODOS BÁSICO ¿el procedimiento está bien diseñado y
es eficaz?, ¿conoce todo el personal
afectado dicho procedimiento?
¿Existe un registro de incidencias donde
se reflejen todos los datos exigidos en el
TODOS BÁSICO
Reglamento?, ¿se han registrado todas
las incidencias ocurridas?
¿Se revisa periódicamente el registro de
incidencias para su análisis y adopción
TODOS BÁSICO
de medidas correctoras de las incidencias
anotadas?
¿Se han anotado las ejecuciones de los
AUTOMATIZADO MEDIO procedimientos de recuperación de datos
realizados?
¿Figuran en estas anotaciones los datos
AUTOMATIZADO MEDIO
exigidos por el Reglamento?
¿Existe la autorización por escrito del
AUTOMATIZADO MEDIO
responsable del fichero?
Página 16 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
NIVEL COMPROBACIONES A REALIZAR OBSERVACIONES
TRATAMIENTO PARTE
CONTROL DE ACCESO
¿Los accesos autorizados de los

usuarios se corresponden
TODOS BÁSICO exclusivamente a los datos y recursos
que precisan para el desarrollo de sus
funciones?
¿Existen mecanismos que impidan que
TODOS BÁSICO los usuarios accedan a datos o
recursos distintos de los autorizados?
¿Existe una relación de usuarios?,
¿especifica qué datos y recursos tiene
TODOS BÁSICO
autorizados para cada uno de ellos?,
¿está actualizada?
¿La concesión, alteración o anulación
de accesos autorizados sobre datos y
TODOS BÁSICO recursos la realiza exclusivamente el
personal autorizado para ello en el
¿Ha establecido el responsable del
fichero los criterios conforme a los
TODOS BÁSICO
cuales se otorga la autorización de los
accesos a los datos y a los recursos?
El personal ajeno al responsable que
tiene acceso a los datos y recursos de
TODOS BÁSICO éste ¿se encuentra sometido a las
mismas condiciones y obligaciones que
el personal propio?
¿El acceso a los locales donde se
encuentran ubicados los sistemas de
AUTOMATIZADO MEDIO información se realiza exclusivamente
por el personal autorizado en el
¿Se encuentran los archivadores u
otros elementos de almacenamiento
en áreas de acceso restringido dotadas
NO de sistema de apertura mediante llave
ALTO
AUTOMATIZADO u otro dispositivo equivalente?, ¿están
cerradas estas áreas mientras no sea
preciso el acceso a los documentos
incluidos en el fichero?
Si los locales del responsable no
permiten disponer de un área de
acceso restringido ¿ha adoptado el
NO
ALTO responsable medidas alternativas?, ¿se
AUTOMATIZADO
ha hecho constar esta circunstancia en
el documento de seguridad, ¿se ha
motivado adecuadamente?
Página 17 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
TRATAMIENTO PARTE
GESTIÓN DE SOPORTES Y
DOCUMENTOS
¿Está identificado el tipo de
TODOS BÁSICO información contenido en el soporte o
documento?
¿Existe y se mantiene un inventario de
TODOS BÁSICO
soportes?
¿Se almacenan los soportes o
TODOS BÁSICO documentos en lugares de acceso
restringido?
¿Existen mecanismos por los que
solamente puedan acceder las
TODOS BÁSICO personas autorizadas en el Documento
de Seguridad?, ¿funcionan
adecuadamente estos mecanismos?
¿Se ha dejado constancia en el
Documento de Seguridad, si fuera el
caso, de la imposibilidad de cumplir
TODOS BÁSICO con las obligaciones establecidas en el
Reglamento sobre identificación,
inventariado y acceso a los soportes
dadas sus características físicas?
¿La salida de los soportes y
documentos fuera de los locales donde
se ubica el fichero está siendo
TODOS BÁSICO
autorizada por el responsable del
fichero o está debidamente autorizada
en el Documento de Seguridad?
¿Se están tomando las medidas
adecuadas en el traslado de
TODOS BÁSICO documentación para evitar la
sustracción, pérdida o acceso indebido
durante su transporte?
Cuando se desecha un soporte o
documento conteniendo datos de
carácter personal, ¿se adoptan las
medidas adecuadas para evitar el
TODOS BÁSICO
acceso a la información o su
recuperación posterior cuando se
procede a su destrucción o borrado?,
¿son adecuadas estas medidas?
Página 18 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
¿Se dan de baja en el inventario estos

TODOS BÁSICO
soportes o documentos desechados?
Para los soportes con datos de
carácter personal considerados
especialmente sensibles por la
organización, ¿se utilizan sistemas de
TODOS BÁSICO etiquetado que permitan la
identificación de su contenido a las
personas autorizadas y que dificulten
su identificación al resto?, ¿son
adecuados y cumplen su finalidad?
¿Existe un registro de entrada de
TODOS MEDIO soportes o documentos?, ¿Y un
registro de salida?
¿Contienen estos registros de entrada

TODOS MEDIO y salida de soportes toda la
información exigida en el Reglamento?
¿Las personas encargadas de la
recepción y la entrega de soportes
TODOS MEDIO están debidamente autorizadas?,
¿consta en el Documento de Seguridad
dicha autorización?
¿Se han anotado todas las entradas y
TODOS MEDIO
salidas de soportes?
¿Se utilizan sistemas de etiquetado
que permitan la identificación de su
AUTOMATIZADO ALTO
contenido al resto?, ¿son adecuados y
cumplen su finalidad?
¿Se cifran los datos en los dispositivos
portátiles cuando éstos salen de las
AUTOMATIZADO ALTO
instalaciones del responsable del
fichero?
Si fuera imprescindible el tratamiento
de datos en dispositivos portátiles que
no permitan el cifrado de datos, ¿se ha
hecho constar motivadamente en el
AUTOMATIZADO ALTO Documento de Seguridad?, ¿se han
adoptado medidas para minimizar los
riesgos derivados de este tratamiento
en entornos desprotegidos?, ¿son
adecuadas?
¿Se adoptan medidas que impidan el
acceso o manipulación de la
NO información en los casos de traslado
ALTO
AUTOMATIZADO físico de la documentación contenida
en un fichero?, ¿son apropiadas estas
medidas?
La generación de copias o reproducción
de documentos, ¿se realiza
NO
ALTO exclusivamente por el personal
AUTOMATIZADO
autorizado en el Documento de
Seguridad?
¿Se destruyen copias o reproducciones
NO desechadas de forma que no se pueda
ALTO
AUTOMATIZADO acceder a la información contenida en
las mismas?
Página 19 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
TRATAMIENTO PARTE
IDENTIFICACIÓN Y
AUTENTICACIÓN
¿Existe una relación de usuarios con
AUTOMATIZADO BÁSICO acceso autorizado?, ¿se mantiene
actualizada?
¿Existen procedimientos de
identificación y autenticación para
AUTOMATIZADO BÁSICO
dicho acceso?, ¿garantiza la correcta
identificación del usuario?
El mecanismo de acceso y verificación
de autorización de los usuarios, ¿les
identifica de forma inequívoca y
personalizada?
¿Existe un procedimiento de
asignación, distribución y
AUTOMATIZADO BÁSICO almacenamiento de contraseñas?,
¿garantiza su confidencialidad e
integridad?
¿Se cambian las contraseñas con la
AUTOMATIZADO BÁSICO periodicidad establecida en el
documento de seguridad?
¿Se almacenan las contraseñas de
AUTOMATIZADO BÁSICO forma ininteligible mientras están en
vigor?
¿Se limita el intento reiterado de
acceso no autorizado al sistema?, ¿se
AUTOMATIZADO MEDIO
anotan estos intentos en el registro de
incidencias?
Página 20 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
TRATAMIENTO PARTE
COPIAS DE RESPALDO Y
RECUPERACIÓN
¿El responsable del fichero ha
definido los procedimientos de
AUTOMATIZADO BÁSICO realización de copias de respaldo y
recuperación de los datos?, ¿es
adecuada esta definición?
¿Están reflejados estos
AUTOMATIZADO BÁSICO procedimientos en el Documento de
Seguridad?
¿Garantizan los procedimientos
establecidos la reconstrucción de los
AUTOMATIZADO BÁSICO datos al estado en que se
encontraban antes de producirse la
pérdida o destrucción?
Si esta pérdida o destrucción afecta a
ficheros parcialmente automatizados,
¿se ha procedido a grabar
manualmente los datos?, ¿queda
constancia motivada de este hecho
en el Documento de Seguridad?
¿Se realizan copias de respaldo al
menos semanalmente? Si no es así,
¿se debe a que no ha habido
actualizaciones en ese período?
¿Las pruebas previas a la
implantación o modificación de los
sistemas de información se realizan
con datos reales? En caso afirmativo,
¿se están aplicando las mismas
medidas de seguridad que las que le
corresponde por la naturaleza de los
datos que contiene?, ¿se anota su
realización en el Documento de
Seguridad?, ¿se hacen copias de
seguridad previas a la realización de
pruebas con datos reales?
¿Se conserva una copia de respaldo y
de los procedimientos de
AUTOMATIZADO ALTO
recuperación en lugar diferente al de
los equipos que los tratan?
¿Cumple este lugar las medidas de
AUTOMATIZADO ALTO
seguridad exigidas en el Reglamento?
Página 21 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
TRATAMIENTO PARTE
REGISTRO DE ACCESOS
¿Existe el registro de accesos? En

caso negativo, ¿concurren en el
responsable alguna de las
AUTOMATIZADO ALTO
circunstancias que le eximen de este
requisito?, ¿se ha hecho constar en el
¿Se está recogiendo en este registro
AUTOMATIZADO ALTO la información mínima exigida en el
Reglamento?
¿Los mecanismos que permiten el
registro de estos accesos están
AUTOMATIZADO ALTO
directamente bajo el control del
responsable de seguridad?
¿Existe la posibilidad de desactivar
AUTOMATIZADO ALTO
estos mecanismos?
¿Se conservan los datos registrados
AUTOMATIZADO ALTO
por un período mínimo de dos años?
¿Revisa el responsable de seguridad
AUTOMATIZADO ALTO periódicamente la información
registrada?
¿Realiza el responsable de seguridad
un informe, al menos mensualmente,
AUTOMATIZADO ALTO con el resultado de las revisiones
realizadas y los problemas
detectados?
¿El acceso a la documentación se
NO
ALTO realiza exclusivamente por el
AUTOMATIZADO
personal autorizado?
¿Existen mecanismos para identificar
NO los accesos realizados cuando los
ALTO
AUTOMATIZADO documentos son utilizados por
múltiples usuarios?
¿Se ha establecido un procedimiento
NO para registrar el acceso de personas
ALTO
AUTOMATIZADO no incluidas en el caso anterior?, ¿es
adecuado?
ACCESO A DATOS A TRAVÉS DE
REDES DE COMUNICACIONES
¿Los accesos a datos mediante redes
de comunicaciones garantizan un
nivel de seguridad equivalente a los
accesos en modo local?
¿La transmisión de datos a través de
redes se realiza de forma cifrada (o
por cualquier otro mecanismo que
AUTOMATIZADO ALTO garantice que la información no sea
inteligible ni manipulada por
terceros)?, ¿este mecanismo de
cifrado es eficaz?
Página 22 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
TRATAMIENTO PARTE
AUDITORÍA
¿Se realiza la actual auditoría en el

TODOS MEDIO
plazo establecido desde la anterior?
Si ha habido modificaciones
sustanciales en el sistema de
información, ¿se ha realizado a
TODOS MEDIO continuación una auditoría para
verificar la adaptación, adecuación y
eficacia de las medidas de
seguridad?
¿Los informes de las auditorías
anteriores incluían los datos, hechos
TODOS MEDIO
y observaciones en que se basaban
sus dictámenes?
¿Se han implementado las medidas
correctoras propuestas por
TODOS MEDIO auditorías anteriores?, ¿han sido
eficaces y han corregido las
deficiencias encontradas?
CRITERIOS DE ARCHIVO
¿Existe legislación específica con

criterios para el archivo de soportes
o documentos?, ¿garantizan estos
criterios la conservación de
NO
BÁSICO documentos, la localización y
AUTOMATIZADOS
consulta de la información?,
¿posibilitan el ejercicio de los
derechos de oposición, acceso,
rectificación y cancelación?
En caso de no existir legislación
específica, ¿ha establecido el
NO responsable del fichero los criterios
BÁSICO
AUTOMATIZADOS y procedimientos de actuación para
el archivo de documentos?, ¿es
adecuado este procedimiento?
ALMACENAMIENTO DE LA
INFORMACIÓN
¿Los dispositivos de
almacenamiento de documentos
disponen de mecanismos que
obstaculicen su apertura? Si sus
NO
BÁSICO características físicas no permiten
AUTOMATIZADOS
adoptar esta medida, ¿ha adoptado
el responsable medidas que impidan
el acceso de personas no
autorizadas?
CUSTODIA DE SOPORTES
¿Se custodia correctamente la
documentación cuando ésta no se
encuentra archivada en los
NO
BÁSICO dispositivos de almacenamiento por
AUTOMATIZADOS
estar en revisión o tramitación?, ¿se
impide en todo momento que sea
accedida por persona no autorizada?
Página 23 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Resulta más que conveniente aplicar un sistema métrico a cada una de estas preguntas, al
objeto de una valoración más precisa y cuantificable del cumplimiento de la normativa
vigente en materia de protección de datos de carácter personal por parte de la empresa
auditada, y que puede servir de gran utilidad al auditor a la hora de realizar las recomendaciones
y aplicar las medidas correctoras correspondientes en el informe de auditoría, además de elaborar
un diagnóstico mucho más preciso se la situación de la entidad objeto de auditoría.
Como ejemplo, podríamos aplicar el siguiente valor numérico a cada una de las preguntas
planteadas en el cuestionario que acabamos de exponer, en función de su grado de
cumplimiento:
Grado de cumplimiento Puntuación
Nulo, incumplimiento total 5

Cumplimiento muy deficiente. Muchas 4
deficiencias graves
Cumplimiento deficiente. Varias 3
deficiencias, algunas de ellas graves.
Cumplimiento normal. Sin comentarios o 1
algunas deficiencias no graves.
Cumplimiento bueno. Comentario bueno 0,5
sin ninguna alusión a deficiencias.
Cumplimiento excelente. Comentario muy 0
bueno.
De este modo, aquellos cuestionarios que obtuviesen una puntuación más alta implicarán un
informe de auditoría desfavorable, mientras que aquéllos que obtuviesen una puntuación baja
implicarían un informe de auditoría favorable al cumplimiento de la legislación en materia de
protección de datos. Evidentemente, no todos los incumplimientos son iguales, ni tienen la misma
repercusión, por lo que a este sistema básico de puntuación habría que añadirle un
multiplicador en función de la gravedad del incumplimiento de que se trate. Para aplicar
este multiplicado en función de la gravedad, podemos tomar como referencia clara el grado de la
infracción y sanción derivada del incumplimiento cometido (infracciones y sanciones que
analizaremos en la unidad didáctica número 9), del modo que sigue:
Tipo de infracción Multiplicador
Leve X 1,5
Grave X3
Muy grave X5
Página 24 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Tanto el sistema de puntuación como el multiplicador en función de la gravedad de la deficiencia

encontrada son puramente orientativos. Como expresamos a lo largo de este proceso, el auditor
tiene un amplio margen de actuación para realizar la auditoría siempre y cuando su trabajo se
oriente al estudio de la adecuación de la entidad auditada a la normativa vigente y al
establecimiento de medidas correctoras que permitan superar las posibles deficiencias
encontradas.
Finalizada esta fase de recopilación y contraste de la información recopilada, llegamos a la última
fase de la ejecución de la auditoría: la redacción de informe y la implantación de medidas
correctoras.
3.3 FASE III: INFORME DE AUDITORÍA E IMPLANTACIÓN DE MEDIDAS CORRECTORAS.
El informe de auditoría es la evidencia necesaria que soporta las conclusiones

alcanzadas y de ahí que deba de ser claro, completo, fácilmente recuperable y
suficientemente comprensible. La documentación de auditoría es generalmente propiedad de
la auditora y debe ser accesible sólo al personal autorizado bajo permiso específico o general.
La documentación de auditoría debe incluir, como mínimo:
 La planificación del alcance y objetivos de la auditoría.
 La descripción de las áreas revisadas.
 El programa de auditoría.
 Los pasos de auditoría realizados y la evidencia recopilada.
 Adecuación de las medidas y controles establecidas conforme a lo
dispuesto en el Título VIII del RLOPD
 Los hallazgos, conclusiones y recomendaciones.
 La documentación de auditoría relacionada con la identificación y
fechas de documentos.
Los informes de auditoría serán analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o tratamiento para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la AEPD o,
en su caso, de las autoridades de control de las Comunidades autónomas.
A continuación expondremos un modelo genérico y muy básico de informe de auditoría que nos
puede servir como guía simple a la hora de elaborar un documento de esta naturaleza:
Página 25 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
INFORME DE AUDITORÍA DE
SEGURIDAD DE PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL PARA LA
EMPRESA [NOMBRE DE LA ENTIDAD]
Auditado por:
[NOMBRE Y APELLIDOS DEL AUDITOR O AUDITORES Y, EN SU CASO, IDENTIFICACIÓN DE LA
EMPRESA AUDITORA]
[INCLUIR FECHA DE LA AUDITORÍA]
1.- INTRODUCCIÓN
El Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de Desarrollo de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (en adelante, RLOPD), establece, cuando existen ficheros de nivel medio o alto:
“Artículo 96. Auditoría.
1.- A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y
almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o
externa, que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen
modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta
auditoría inicia el cómputo de dos años señalado en el apartado anterior.
Página 26 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la
Ley y su desarrollo reglamentario, indicar sus deficiencias y proponer las medidas correctoras o
complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en
que se basen los dictámenes alcanzados y recomendaciones propuestas.
3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que
elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas
correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o,
en su caso, de las autoridades de control de las Comunidades autónomas.”
2.- FASES EN LA REALIZACIÓN DE LA AUDITORÍA
La auditoría obligada por el RLOPD se ha realizado desde el día [INCLUIR FECHA DE INICIO]
hasta el día [INCLUIR FECHA DE FINALIZACIÓN], y ha constado de las siguientes fases:
1ª.- Conocimiento genérico de la empresa, su ámbito de negocio, los sistemas de información de
que disponen, su estructura administrativa, sus relaciones con organismos oficiales, asociaciones,
instituciones y otras empresas.
2ª.- Elaboración de un programa de trabajo en el que se detallan las actividades o tareas a
auditar, teniendo para ello en cuenta, por un lado, los requisitos de revisión impuestos por el
RLOPD en relación con la auditoría, y por el otro, el ámbito de negocio y sistemas de la empresa.
3ª.- Realización del trabajo de campo, esto es, la revisión práctica de las actividades incluidas en
el plan de trabajo.
4ª.- Análisis de los puntos débiles y obtención de conclusiones y recomendaciones.
5ª.- Elaboración del informe de auditoría.
3.- PLAN DE TRABAJO
A partir del hecho de que la auditoría debe verificar el cumplimiento del RLOPD, el Plan de
Trabajo deberá incluir específicamente la comprobación de todos los artículos de aquél que sean
de aplicación a tenor del tipo de ficheros de que disponga la empresa (medio, alto).
Para la realización organizada de esta auditoría se ha preparado una tabla de control o
“checklist”. Esta tabla está dividida en once áreas de manera que se puedan identificar aquellos
ítems a auditar de una manera lógica.
De esta manera, las áreas serán las siguientes:
A. Revisión del documento de seguridad.
B. Análisis de los sistemas de información de la empresa.
C. Identificación, autenticación y controles de acceso.
D. Funciones del responsable de seguridad.
E. Soporte de datos.
F. Pruebas con datos reales.
G. Copias de seguridad.
H. Registro de incidencias.
I. Control de acceso físico a la sala.
J. Registro de accesos.
K. Transmisiones.
Página 27 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
A continuación se incluye la tabla “checklist” de los puntos auditados de las áreas anteriormente
mencionadas, así como los resultados obtenidos para cada apartado.
A.- REVISIÓN DEL DOCUMENTO DE SEGURIDAD.
El objetivo de la revisión del Documento de Seguridad, del que toda empresa con ficheros de
datos personales debe disponer, es doble. Por un lado, el auditor analiza que su contenido cumple
con los requisitos establecidos en el Reglamento para el mismo. En segundo lugar, permite al
auditor identificar los procedimientos y controles de seguridad definidos en la instalación, para
posteriormente verificar su cumplimiento.
Además de la revisión del contenido del Documento de Seguridad, se han auditado aquellos
procedimientos que afectan a su desarrollo, mantenimiento y actualización.
En el caso de esta auditoría, se comprueba la existencia de un único documento de seguridad y
procedimientos para todos los ficheros. La denominación de este documento de seguridad es
“[NOMBRE DEL DOCUMENTO DE SEGURIDAD]” y está actualizado a [FECHA DE LA ÚLTIMA
REVISIÓN DEL DOCUMENTO DE SEGURIDAD]. Esto obliga a suponer que las medidas de
seguridad deben ser comunes a todos los ficheros, aunque posteriormente se individualizan los
registros de incidencias, usuarios, etc.
A continuación se exponen todos estos aspectos auditados.
A.1.- Comprobación del contenido y alcance del Documento de Seguridad
Punto auditado Conclusión
Medidas, controles, procedimiento, normas y Nulo/ Muy Deficiente/ Deficiente/ Normal/

estándares de seguridad. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Relación de las funciones y obligaciones del Nulo/ Muy Deficiente/ Deficiente/ Normal/
personal. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Estructura de los ficheros con datos Nulo/ Muy Deficiente/ Deficiente/ Normal/
personales y descripción de los sistemas de Bueno/ Excelente [INCLUIR OBSERVACIONES]
información que los tratan.
Procedimientos de notificación y gestión de Nulo/ Muy Deficiente/ Deficiente/ Normal/
incidencias. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Procedimientos de realización de copias de Nulo/ Muy Deficiente/ Deficiente/ Normal/
seguridad y de recuperación de datos. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Relación de personal autorizado a conceder, Nulo/ Muy Deficiente/ Deficiente/ Normal/
alterar o anular el acceso sobre datos y Bueno/ Excelente [INCLUIR OBSERVACIONES]
recursos.
Identificación del responsable o responsables Nulo/ Muy Deficiente/ Deficiente/ Normal/
de seguridad. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Relación de controles periódicos a realizar Nulo/ Muy Deficiente/ Deficiente/ Normal/
para verificar el cumplimiento del documento. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Medidas a adoptar cuando un soporte vaya a Nulo/ Muy Deficiente/ Deficiente/ Normal/
ser desechado o reutilizado. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Relación de personal autorizado a acceder a Nulo/ Muy Deficiente/ Deficiente/ Normal/
los soportes de datos. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Período máximo de vida de contraseñas. Nulo/ Muy Deficiente/ Deficiente/ Normal/
Bueno/ Excelente [INCLUIR OBSERVACIONES]
Página 28 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
A.2.- Revisión de las políticas relacionadas con el Documento de Seguridad
Difusión del documento entre empleados y Nulo/ Muy Deficiente/ Deficiente/ Normal/
colaboradores externos. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Procedimientos para la revisión y actualización Nulo/ Muy Deficiente/ Deficiente/ Normal/
del documento. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Procedimientos de comunicación a empleados Nulo/ Muy Deficiente/ Deficiente/ Normal/
y colaboradores externos de las Bueno/ Excelente [INCLUIR OBSERVACIONES]
actualizaciones del documento.
A.3.- Revisión del conocimiento práctico de las normas de seguridad por parte del
personal
Realización de entrevistas a una muestra de Nulo/ Muy Deficiente/ Deficiente/ Normal/

usuarios que incluya todos los estamentos y Bueno/ Excelente [INCLUIR OBSERVACIONES]
funciones.
A.4.- Revisión del grado de actualización del documento
Este punto se ha cumplimentado al final de la auditoría, una vez ha sido analizada la adecuación
y efectividad de los controles en la práctica existentes y contrastada su aplicación con los
controles incluidos en el documento de seguridad.
El documento de seguridad es un documento vivo y que evoluciona a lo largo del tiempo, tanto
en los procedimientos y políticas como en los registros que acompañan al documento. Por esto
se ha realizado una comprobación de la evolución en los contenidos del Documento de Seguridad.
La conclusión es que el Documento de Seguridad y procedimientos para todos los ficheros
registrados es revisada, encontrándose el Documento de Seguridad en su versión del [INCLUIR
FECHA DE LA ÚLTIMA REVISIÓN DEL DOCUMENTO DE SEGURIDAD].
B.- ANÁLISIS DE LOS SISTEMAS DE INFORMACIÓN DE LA EMPRESA.
El objetivo de este apartado es determinar los sistemas de información que contienen datos
personales, e identificar los ficheros de los distintos niveles en ellos existentes. La importancia de
esta tarea reside en que el cumplimiento de determinadas y específicas medidas de seguridad
sólo es exigido por el RLOPD para los ficheros de nivel medio y alto. La identificación de los
sistemas que contienen estos ficheros puede, por un lado, permitir a la empresa restringir la
aplicación de las medidas de seguridad de esos niveles exclusivamente a aquellos sistemas para
los que es obligado lo que, a su vez, puede redundar en un abaratamiento de costes si la
empresa es grande, sus sistemas de información tienen un alto grado de descentralización y
aplicación de las medidas supone la realización de la inversión.
Página 29 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
En segundo lugar, este análisis de los sistemas de información permite al auditor centrar la
revisión de algunos de los controles exclusivamente en aquellos sistemas y ficheros para los que,
en función de su nivel, el RLOPD exige su aplicación.
Para la realización de este punto del Plan de Trabajo, el auditor obtuvo un inventario de los
ficheros y sistemas de información con datos personales existentes, que la empresa había
realizado en un momento anterior, probablemente con ocasión de la elaboración del Documento
de Seguridad.
Determinación de los campos (de los ficheros) Nulo/ Muy Deficiente/ Deficiente/ Normal/
que reflejan datos de nivel medio o alto. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Detección de todos los ficheros que incluyen Nulo/ Muy Deficiente/ Deficiente/ Normal/
alguno de esos campos y además algún otro Bueno/ Excelente [INCLUIR OBSERVACIONES]
que permita identificar a la persona.
Detección de todos los ficheros que incluyen Nulo/ Muy Deficiente/ Deficiente/ Normal/
algún dato identificativo de la persona. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Con los ficheros así clasificados en niveles, Nulo/ Muy Deficiente/ Deficiente/ Normal/
verificación de que la estructura de esos Bueno/ Excelente [INCLUIR OBSERVACIONES]
ficheros está incluida en el Documento de
Seguridad.
C.- IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROLES DE ACCESO.

Para cada uno de los sistemas que contienen datos de carácter personal, el auditor ha revisado
los controles y normas relacionados con la identificación y autenticación de usuarios, así como los
derechos de acceso concedidos.
El resultado auditado es el siguiente:
Comprobación de que existe una relación de Nulo/ Muy Deficiente/ Deficiente/ Normal/
usuarios autorizados a acceder a los sistemas Bueno/ Excelente [INCLUIR OBSERVACIONES]
y que incluye los tipos de acceso permitidos.
Verificación que, en la práctica, los usuarios Nulo/ Muy Deficiente/ Deficiente/ Normal/
dados de alta en los sistemas y los tipos de Bueno/ Excelente [INCLUIR OBSERVACIONES]
accesos a ellos concedidos son coherentes con
los establecidos en el Documento de
Seguridad.
Comprobación de que los derechos de acceso Nulo/ Muy Deficiente/ Deficiente/ Normal/
concedidos a los usuarios son los necesarios y Bueno/ Excelente [INCLUIR OBSERVACIONES]
suficientes para el ejercicio de las funciones
que tienen encomendadas, las cuales a su vez
se encuentran –o deben estar- documentadas
en el Documento de Seguridad.
Verificación de que no hay dadas de alta en el Nulo/ Muy Deficiente/ Deficiente/ Normal/
sistema cuentas de usuario genéricas, es Bueno/ Excelente [INCLUIR OBSERVACIONES]
decir, utilizadas por más de una persona, no
permitiendo por tanto la identificación de la
persona física que las ha utilizado.
Página 30 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Comprobación de que, en la práctica, las Nulo/ Muy Deficiente/ Deficiente/ Normal/

personas que tienen atribuciones y privilegios Bueno/ Excelente [INCLUIR OBSERVACIONES]
dentro del sistema para conceder derechos de
acceso son las autorizadas e incluidas en el
Documento de Seguridad.
Verificación de que el sistema de autenticación Nulo/ Muy Deficiente/ Deficiente/ Normal/
de usuarios guarda las contraseñas Bueno/ Excelente [INCLUIR OBSERVACIONES]
encriptadas.
Comprobación de que en el sistema están Nulo/ Muy Deficiente/ Deficiente/ Normal/
habilitadas para todas las cuentas de usuario Bueno/ Excelente [INCLUIR OBSERVACIONES]
las opciones que permiten establecer un
número máximo de intentos de conexión y un
período máximo de vigencia para la
contraseña, coincidente con el establecido en
el Documento de Seguridad.
Análisis de los procedimientos de asignación y Nulo/ Muy Deficiente/ Deficiente/ Normal/
distribución de contraseñas. Bueno/ Excelente [INCLUIR OBSERVACIONES]
D.- FUNCIONES DEL RESPONSABLE DE SEGURIDAD.

El RLOPD obliga a nombrar uno o más responsables de seguridad por la mera existencia de
ficheros de nivel medio o alto. En la auditoría se ha comprobado si las funciones definidas para
estos responsables son coherentes con las definidas en el RLOPD y evaluar el grado de
cumplimiento de las mismas.
El resultado es el que a continuación se detalla:
Estudio y análisis de las funciones Nulo/ Muy Deficiente/ Deficiente/ Normal/

encomendadas a cada uno de los responsables Bueno/ Excelente [INCLUIR OBSERVACIONES]
de seguridad.
Determinación si entre estas funciones se Nulo/ Muy Deficiente/ Deficiente/ Normal/
encuentran aquéllas especificadas en el RLOPD Bueno/ Excelente [INCLUIR OBSERVACIONES]
para los ficheros de nivel alto.
Revisión de los procedimientos asociados con Nulo/ Muy Deficiente/ Deficiente/ Normal/
las funciones encomendadas. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Análisis del grado de cumplimiento de las Nulo/ Muy Deficiente/ Deficiente/ Normal/
funciones encomendadas. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Estudio y análisis de los controles definidos Nulo/ Muy Deficiente/ Deficiente/ Normal/
para su realización por parte de los Bueno/ Excelente [INCLUIR OBSERVACIONES]
responsables de seguridad y comprobación de
su operatividad y grado de adecuación.
E.- SOPORTES DE DATOS.

En relación a los soportes de datos, el auditor ha revisado varios aspectos relativos a:
 Identificación de los soportes.
 Inventario de soportes.
 Registro de entrada/salida de soportes.
Página 31 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Verificación que existe un inventario de los Nulo/ Muy Deficiente/ Deficiente/ Normal/
soportes existentes. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Comprobación de que dicho inventario incluye Nulo/ Muy Deficiente/ Deficiente/ Normal/
las copias de seguridad. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Determinación acerca de si las copias de Nulo/ Muy Deficiente/ Deficiente/ Normal/
seguridad, o cualquier otro soporte, se Bueno/ Excelente [INCLUIR OBSERVACIONES]
almacenan fuera de la instalación.
Análisis de los procedimientos de actualización Nulo/ Muy Deficiente/ Deficiente/ Normal/
de dicho inventario. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Análisis de los procedimientos de etiquetado e Nulo/ Muy Deficiente/ Deficiente/ Normal/
identificación del contenido de los soportes. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Verificación de los accesos a los posibles Nulo/ Muy Deficiente/ Deficiente/ Normal/
almacenamientos de soportes y comprobación Bueno/ Excelente [INCLUIR OBSERVACIONES]
de que exclusivamente sólo pueden acceder a
ellos las personas autorizadas en el
Documento de Seguridad.
Análisis de los procedimientos en relación con Nulo/ Muy Deficiente/ Deficiente/ Normal/
la salida de soportes fuera de su Bueno/ Excelente [INCLUIR OBSERVACIONES]
almacenamiento habitual.
Evaluación de los estándares de distribución y Nulo/ Muy Deficiente/ Deficiente/ Normal/
envío de estos soportes. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Obtención de una relación de los ficheros que Nulo/ Muy Deficiente/ Deficiente/ Normal/
se envían fuera de la empresa, en la que se Bueno/ Excelente [INCLUIR OBSERVACIONES]
especifique el tipo de soporte, la forma de
envío, el estamento que realiza el envío y el
destinatario.
Comprobación de que todos los soportes

incluidos en esa relación se encuentran
también en el inventario de soportes
expresado en primer punto de esta tabla.
Obtención de una copia del Registro de Nulo/ Muy Deficiente/ Deficiente/ Normal/
Entrada y de Salida de soportes y Bueno/ Excelente [INCLUIR OBSERVACIONES]
comprobación de que en él se incluyen los
soportes del punto anterior y los
desplazamientos que realizan.
Verificación de que el Registro de Entrada y Nulo/ Muy Deficiente/ Deficiente/ Normal/
Salida refleja la información requerida por el Bueno/ Excelente [INCLUIR OBSERVACIONES]
RLOPD.
Análisis de los procedimientos de actualización Nulo/ Muy Deficiente/ Deficiente/ Normal/
del Registro de Entrada y Salida en relación Bueno/ Excelente [INCLUIR OBSERVACIONES]
con el movimiento de soportes.
Análisis de los controles para detectar la Nulo/ Muy Deficiente/ Deficiente/ Normal/
existencia de soportes recibidos/enviados que Bueno/ Excelente [INCLUIR OBSERVACIONES]
no se inscriben en el Registro de
Entrada/Salida.
Comprobación, en el caso de que el inventario Nulo/ Muy Deficiente/ Deficiente/ Normal/
de soportes y/o Registro de Entrada/Salida Bueno/ Excelente [INCLUIR OBSERVACIONES]
estén informatizados, que se realizan copias
de seguridad de ellos, al menos, una vez a la
semana.
Página 32 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Cotejo de la relación de soportes enviados Nulo/ Muy Deficiente/ Deficiente/ Normal/

fuera de la empresa y la relación de ficheros Bueno/ Excelente [INCLUIR OBSERVACIONES]
de nivel alto obtenida en el apartado B.
Comprobación de que, además del cifrado

(nivel alto), si salen al exterior.
F.- PRUEBAS CON DATOS REALES.

El auditor ha comprobado, en primer lugar, cuál es la política de la empresa en cuanto a la
realización de pruebas con datos reales para, a continuación, analizar en función de esta política,
las normas y procedimientos definidos y verificar su cumplimiento.
[En este caso, simulamos que no se realizan pruebas con datos reales (lo que no será
trascendente para el resultado final de la auditoría), y se han verificado los siguientes requisitos:]
Verificación de que los controles y normas que No se realizan pruebas con datos reales.
están operativos para los ficheros en
producción lo está también para los ficheros
del entorno de pruebas.
Análisis de los procedimientos para el entorno No se realizan pruebas con datos reales.
de pruebas en relación con: identificación y
autenticación de usuarios, control de accesos,
políticas de contraseña y número máximo de
intentos de conexión, inventario de soportes,
Registro de Entrada/Salida de soportes, copias
de seguridad, ficheros de soporte enviados
fuera de las instalaciones y transmisiones
cifradas, registro de incidencias, registro de
acceso...
Página 33 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
G.- COPIAS DE SEGURIDAD.

Los procedimientos respecto a las copias de seguridad y restauración del sistema son el punto
crítico en cualquier sistema informático. Para este apartado, el auditor ha comprobado los
siguientes aspectos:
Análisis de los procedimientos para la Nulo/ Muy Deficiente/ Deficiente/ Normal/

realización de las copias de seguridad. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Verificación de que los procedimientos Nulo/ Muy Deficiente/ Deficiente/ Normal/
aseguran que, de todos los ficheros con datos Bueno/ Excelente [INCLUIR OBSERVACIONES]
de carácter personal, se realiza copia al menos
una vez a la semana.
Comprobación de que los procedimientos Nulo/ Muy Deficiente/ Deficiente/ Normal/
aseguran la realización de copias de todos Bueno/ Excelente [INCLUIR OBSERVACIONES]
aquellos ficheros que han experimentado
algún cambio en su contenido.
Análisis de los controles existentes para la Nulo/ Muy Deficiente/ Deficiente/ Normal/
detección de incidencias en la realización de Bueno/ Excelente [INCLUIR OBSERVACIONES]
las pruebas.
Evaluación de los controles sobre el acceso Nulo/ Muy Deficiente/ Deficiente/ Normal/
físico a las copias de seguridad. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Verificación de que sólo las personas con Nulo/ Muy Deficiente/ Deficiente/ Normal/
acceso autorizado en el Documento de Bueno/ Excelente [INCLUIR OBSERVACIONES]
Seguridad tienen acceso a los soportes que
contienen las copias de seguridad.
Comprobación de que las copias de seguridad Nulo/ Muy Deficiente/ Deficiente/ Normal/
de ficheros de nivel alto incluyen los ficheros Bueno/ Excelente [INCLUIR OBSERVACIONES]
cifrados si estas copias se transportan fuera
de las instalaciones.
Verificación de que las copias de seguridad de Nulo/ Muy Deficiente/ Deficiente/ Normal/
los ficheros de nivel alto se almacenan en Bueno/ Excelente [INCLUIR OBSERVACIONES]
lugar diferente al de los quipos que las
procesan
Página 34 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
H.- REGISTRO DE INCIDENCIAS.

El registro de incidencias es la parte del Documento de Seguridad que permitirá la realización de
estudios e informes que permitan evolucionar la seguridad dentro del sistema informático de la
organización. Una incidencia será todo aquel evento que ponga en peligro la integridad física y/o
lógica del fichero.
Los aspectos auditados son:
Comprobación de que está claramente Nulo/ Muy Deficiente/ Deficiente/ Normal/

especificado qué tipos de sucesos se Bueno/ Excelente [INCLUIR OBSERVACIONES]
consideran incidencia de acuerdo con la
definición que el RLOPD realiza de este
término.
Comprobación de que los usuarios conocen Nulo/ Muy Deficiente/ Deficiente/ Normal/
qué tipo de situaciones deberían reportar Bueno/ Excelente [INCLUIR OBSERVACIONES]
como incidencia.
notificación de incidencias, comprobación de Bueno/ Excelente [INCLUIR OBSERVACIONES]
que están operativos y comprobación de que
son conocidos por todos los usuarios.
resolución de incidencias y comprobar que Bueno/ Excelente [INCLUIR OBSERVACIONES]
están operativos.
Evaluación de si los procedimientos seguidos Nulo/ Muy Deficiente/ Deficiente/ Normal/
en la práctica se corresponden con aquéllos Bueno/ Excelente [INCLUIR OBSERVACIONES]
definidos en el Documento de Seguridad.
Verificación de que la información guardada en Nulo/ Muy Deficiente/ Deficiente/ Normal/
el Registro de Incidencias cumple los Bueno/ Excelente [INCLUIR OBSERVACIONES]
requisitos establecidos por el RLOPD.
Análisis acerca de los procedimientos de Nulo/ Muy Deficiente/ Deficiente/ Normal/
inscripción en el Registro de Incidencias. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Análisis de los controles de detección de Nulo/ Muy Deficiente/ Deficiente/ Normal/
incidencias no inscritas en el Registro. Bueno/ Excelente [INCLUIR OBSERVACIONES]
En el caso de que el registro esté Nulo/ Muy Deficiente/ Deficiente/ Normal/
informatizado, comprobación de que se Bueno/ Excelente [INCLUIR OBSERVACIONES]
realizan copias de seguridad de él.
Página 35 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
I) CONTROL DE ACCESO FÍSICO A LA SALA DE SERVIDORES.

Al igual que se implantan medidas de seguridad de acceso a los sistemas informáticos y a los
ficheros (medidas lógicas), el acceso físico a la sala de servidores debe estar restringido
exclusivamente al personal autorizado.
Durante la auditoría se han realizado las siguientes verificaciones:
Comprobación de la existencia, como parte del Nulo/ Muy Deficiente/ Deficiente/ Normal/
Documento de Seguridad, de una relación de Bueno/ Excelente [INCLUIR OBSERVACIONES]
usuarios con acceso autorizado a la sala.
Verificación de que la inclusión del personal en Nulo/ Muy Deficiente/ Deficiente/ Normal/
la relación anterior es coherente con las Bueno/ Excelente [INCLUIR OBSERVACIONES]
funciones que tienen encomendadas.
Comprobación de que la relación es lógica Nulo/ Muy Deficiente/ Deficiente/ Normal/
(personal de limpieza, seguridad, etc.). Bueno/ Excelente [INCLUIR OBSERVACIONES]
Análisis de las políticas de la instalación en Nulo/ Muy Deficiente/ Deficiente/ Normal/
relación con los accesos ocasionales a la sala. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Determinación de qué personas tienen llaves Nulo/ Muy Deficiente/ Deficiente/ Normal/
de acceso, tarjetas, etc. de acceso a la sal y Bueno/ Excelente [INCLUIR OBSERVACIONES]
cotejar con la relación de usuarios con acceso
autorizado a la sala.
J) REGISTRO DE ACCESOS.
Con respecto al Registro de Accesos, se han realizado las siguientes comprobaciones:
Verificación de que la información incluida en Nulo/ Muy Deficiente/ Deficiente/ Normal/

el Registro de Accesos cumple los requisitos Bueno/ Excelente [INCLUIR OBSERVACIONES]
del RLOPD.
Comprobación de que están activados los Nulo/ Muy Deficiente/ Deficiente/ Normal/
parámetros de activación del Registro para Bueno/ Excelente [INCLUIR OBSERVACIONES]
todos los ficheros de Nivel Alto.
Análisis de los procedimientos de descarga a Nulo/ Muy Deficiente/ Deficiente/ Normal/
otro soporte de este Registro de Accesos y el Bueno/ Excelente [INCLUIR OBSERVACIONES]
período de retención de este soporte.
Análisis de los procedimientos de realización Nulo/ Muy Deficiente/ Deficiente/ Normal/
de copias de seguridad del Registro de Bueno/ Excelente [INCLUIR OBSERVACIONES]
Accesos y el período de retención de las
copias.
Verificación de la asignación de privilegios que Nulo/ Muy Deficiente/ Deficiente/ Normal/
permiten activar/desactivar el Registro de Bueno/ Excelente [INCLUIR OBSERVACIONES]
Accesos para uno o más ficheros.
Comprobación de que el Registro de Accesos Nulo/ Muy Deficiente/ Deficiente/ Normal/
se encuentra bajo el control del Responsable Bueno/ Excelente [INCLUIR OBSERVACIONES]
de Seguridad pertinente.
Página 36 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
K) TRANSMISIONES.
Unos de los puntos más delicados por su potencial peligrosidad de crear una incidencia al fichero
y a la vez necesario en un sistema de información es el de los sistemas de transmisión o de
telecomunicaciones.
En este apartado deben tenerse en cuenta tanto las redes locales como las conexiones externas
que puedan afectar a la integridad del fichero.
En este caso, se ha auditado:
Análisis de los sistemas utilizados en la Nulo/ Muy Deficiente/ Deficiente/ Normal/

transmisión de datos (FTP, E-mail, etc.). Bueno/ Excelente [INCLUIR OBSERVACIONES]
Comprobación de que todos los ficheros de Nulo/ Muy Deficiente/ Deficiente/ Normal/
nivel alto se cifran antes de su transmisión. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Análisis de las normas y controles establecidos Nulo/ Muy Deficiente/ Deficiente/ Normal/
acerca de la transmisión por parte de usuarios Bueno/ Excelente [INCLUIR OBSERVACIONES]
de ficheros, cartas, e-mails, etc. con
información de nivel alto.
4.- RECOMENDACIONES
Tal como se describe en el punto 2 del artículo 96 del RLOPD “El informe de auditoría deberá
dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus
deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá,
igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados
y recomendaciones propuestas”.
En los puntos anteriores se han incluido los datos, hechos y observaciones en los que se basa el
auditor para proponer medidas correctoras. A continuación se exponen para cada uno de los
apartados qué propuestas recomienda el auditor, respecto a los datos, hechos y observaciones
que han sido enumerados a lo largo de este documento.
A.- REVISIÓN DEL DOCUMENTO DE SEGURIDAD.
El Documento de Seguridad ha sido revisado y es apreciable el
[EXCELENTE/BUENO/NORMAL/DEFICIENTE/MUY DEFICIENTE/NULO] grado de compromiso para
avanzar la gestión del mismo.
El sistema informático y de ficheros auditado [MANTIENE/NO MANTIENE] las medidas de
seguridad que en un principio pudieran ser suficientes y lógicas para preservar la información
vital de la empresa.
Pasamos a realizar recomendaciones para cada uno de los puntos auditados:
A.1.- Comprobación del contenido y alcance.
[Estas recomendaciones sólo son meramente ilustrativas. Su contenido variará sensiblemente en
función del cumplimiento de las medidas de seguridad por parte de la entidad auditada]
 Debe tener una mayor difusión entre los usuarios del fichero de forma que para cada
empleado y usuario sea una herramienta más en su quehacer diario.
 El documento de seguridad debe incluir los nombramientos de las diferentes personas como
responsable del fichero, responsable de seguridad, etc.
Página 37 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
 Documentar todos los procesos que afectan al documento de seguridad como son los
controles que se hacen con un carácter mensual, medidas sobre la reutilización de los soportes,
períodos de contraseñas, etc.
A.2.- Revisión de las políticas relacionadas con el Documento de Seguridad.
 El documento debe tener una mayor difusión entre los empleados y debe ser actualizado si
redescubre una buena práctica mejor que la que se está realizando.
 El documento debe tener difusión entre los diferentes proveedores y colaboradores externos
como Informática externa.
A.3.- Conocimiento práctico entre los empleados.
 Los empleados deben no sólo conocer la existencia del documento de seguridad el fichero
que le afecta como usuario, sino además poner en práctica el contenido del mismo,
especialmente la comunicación de incidencias, atención telefónica, etc.
A.4.- Revisión del documento.
 El documento ha sido revisado y se recomienda su evolución continua. También se
recomienda que se eviten los procedimientos que son técnicos y son responsabilidad de sistemas
haciendo mención a ellos según sea necesario.
B.- ANÁLISIS DE LOS SISTEMAS DE INFORMACIÓN DE LA EMPRESA.
Este apartado de la auditoría es [CORRECTO/INCORRECTO] y está
[SUFICIENTEMENTE/INSUFICIENTEMENTE] documentado.
[En caso de que sea “incorrecto” y esté “insuficientemente documentado”, localizar los aspectos
en donde se localicen los errores y establecer las oportunas recomendaciones en base a los
requisitos establecidos por el RLOPD]
C.- IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROLES DE ACCESO.
Los controles de accesos a los sistemas son [ADECUADOS/INADECUADOS] y están bajo la
responsabilidad de personas con formación [SUFICIENTE/INSUFICIENTE]. Además [ESTÁN/NO
ESTÁN] implantadas medidas de control que permiten observar las actividades que desarrollan
los diferentes usuarios.
[En caso de que sean “inadecuados”, la formación de las personas sea “insuficiente” o “no estén”
implantadas las medidas de control, el auditor debe localizar la fuente de cada uno de estos fallos
y establecer las recomendaciones oportunas para su subsanación en este apartado].
D.- FUNCIONES DEL RESPONSABLE DE SEGURIDAD.
El resultado de la auditoría de este apartado es [EXCELENTE/ALTO/MEDIO/BAJO/NULO]. De esta
manera, se recomienda lo siguiente:
[En este apartado, trabajaremos sobre un escenario de “alto” cumplimiento a la hora de
establecer las recomendaciones. Significar que el contenido de estas recomendaciones puede
variar sensiblemente en función del grado de cumplimiento de este apartado]
 Elaborar un cuadro de controles en el tiempo del sistema y en la documentación que deberá
revisar el responsable de seguridad.
 Conservar los informes que elabore el responsable de seguridad para poder hacer
evolucionar el sistema informático.
 Definir en el tiempo las revisiones a realizar.
Página 38 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
E.- SOPORTES DE DATOS.

Respecto al uso y tratamiento de los soportes de datos, se obtienen las siguientes conclusiones y
recomendaciones:
[Al igual que en apartados anteriores, su contenido variará sensiblemente en función del grado de
cumplimiento por parte de la entidad objeto de auditoría]
 Debe ser actualizado el procedimiento de salida de datos, de manera que recoja el
funcionamiento habitual de las copias.
F.- PRUEBAS CON DATOS REALES.
Al no realizarse pruebas con datos reales, no existe problema en este apartado.
De todas formas, se debe considerar que si en un futuro se hicieran pruebas con datos reales, las
medidas de seguridad que se aplican a producción deben ser aplicadas a pruebas.
Por otra parte, sería necesario documentar en este procedimiento como se cargarán los ficheros
de prueba y detallar el algoritmo se separación de identidad.
G.- COPIAS DE SEGURIDAD.
La metodología empleada para la realización de las copias de seguridad es
[ADECUADA/INADECUADA/INEXISTENTE]. Resulta interesante y apropiado que las copias se
encuentren cifradas para evitar que puedan ser recuperadas por personal no autorizado en otros
sistemas.
[En caso de que la metodología sea “inadecuada” o “inexistente”, el auditor debe localizar la
fuente de los errores y establecer las recomendaciones oportunas para su subsanación en este
apartado].
H.- REGISTRO DE INCIDENCIAS.
Toda la documentación sobre el registro y control de las incidencias es
[ADECUADA/INADECUADA/INEXISTENTE] a los requisitos establecidos por la normativa vigente
en materia de protección de datos de carácter personal. [TAMBIÉN/TAMPOCO] se dispone de unas
claves que codifican cualquier incidencia. [SE/NO SE] dispone de los modelos de notificación para
poder registrar todo evento que haga peligrar la integridad de la base de datos.
[En caso de que la documentación sea “inadecuada” o “inexistente”, no se disponga de claves y/o
de modelos notificación, el auditor debe localizar la fuente de los errores y establecer las
recomendaciones oportunas para su subsanación en este apartado]
Las recomendaciones que se proponen son las siguientes:
 Se sugiere una formación a los usuarios de los diferentes ficheros sobre la gestión y
reconocimiento de una incidencia, recordatorios del cumplimiento de la Ley Orgánica de
Protección de Datos de Carácter Personal, etc.
I.- CONTROL DE ACCESO FÍSICO A LA SALA.
El acceso a la sala [ESTÁ/NO ESTÁ] restringido al personal autorizado por lo que la seguridad
física de los servidores [ES/NO ES] correcta.
[En caso de que el acceso no esté restringido al personal autorizado, el auditor debe localizar el
motivo del error y establecer las recomendaciones oportunas para su subsanación en este
apartado].
J.- REGISTRO DE ACCESOS.
La monitorización de los accesos que se tiene activada en la actualidad es
[ÓPTIMA/SUFICIENTE/INSUFICIENTE/NULA] para el cumplimiento de la normativa vigente en
materia de protección de datos de carácter personal.
Página 39 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
[En caso de que sea “Insuficiente” o “Nula”, el auditor debe localizar las fuentes que ocasionan
los incumplimientos y establecer las recomendaciones oportunas para su subsanación en este
apartado]
K.- TRANSMISIONES.
La transmisión de datos en la red local [ESTÁ/NO ESTÁ] controlada mediante [INCLUIR MÉTODO
DE CONTROL, p. ej. “switchs”].
[En caso de que la transmisión de datos no esté controlada, el auditor debe localizar el motivo del
problema y establecer las recomendaciones oportunas orientadas a su subsanación].
De todas formas, recomendamos:
 Debe incluirse una política sobre el acceso a Internet.
5.- CONCLUSIONES FINALES
En opinión del auditor, la evolución de la implantación realizada en materia de protección de

datos de carácter personal en la que se funden aspectos tanto informáticos como jurídicos, se ha
realizado de una manera [EXCELENTE/BUENA/NORMAL/DEFICIENTE/MUY DEFICIENTE/NULA].
Debe evitarse la asociación que en el día a día hacemos de la palabra “dato” con sistemas
informáticos y, por derivación, con la informática. En realidad, estamos hablando de información
con independencia de que el soporte de la misma sea mecanizado o no.
En este punto debe leerse la definición que nos proporciona que artículo 3, apartado a), de la Ley
Orgánica 15/1999 de Protección de Datos de Carácter Personal: “Datos de carácter personal:
cualquier información concerniente a personas físicas identificadas o identificables”.
Parece quedar claro que hablamos de información y deben ser los diferentes departamentos
propietarios de la misma los encargados de protegerla, exigiendo al departamento de informática
[SI LO HUBIERE] la colaboración total y absoluta en el tema.
Por supuesto que el personal responsable de sistemas tiene responsabilidades en la protección de
datos de carácter personal de cualquier organización, pero ésta se centra más en la aplicación
técnica de las herramientas, recursos y conocimientos que poseen para garantizar tanto la
integridad física y lógica tanto de las bases de datos como de las comunicaciones. El resto de los
departamentos que utilizan datos de carácter personal son los responsables de la información que
le fue proporcionada o cedida por las personas físicas.
[A continuación incluimos las recomendaciones finales objeto del presente informe. Ni que decir
tiene que éstas pueden variar enormemente en función del grado de cumplimiento por parte de la
entidad auditada de la legislación vigente en materia de protección de datos, por lo que las
recomendaciones que incluiremos son puramente orientativas y basadas en un escenario de
grado de cumplimiento adecuado. En su caso, también es posible contemplar en este apartado no
sólo los puntos débiles o aspectos a mejorar, sino también los puntos fuertes en los que la
entidad auditada es escrupulosa en el cumplimiento de la normativa en materia de protección de
datos]
Página 40 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Centrándonos en esta auditoría:

 Deben verificarse cada cierto tiempo el cumplimiento de los contratos con los diferentes
proveedores y clientes para que se ajusten al artículo 12 de la Ley 15/1999 de Protección de
Datos de Carácter Personal.
 Deben crearse normas de actuación, de aplicación por parte del personal, cuando se realice
una llamada telefónica o una visita a un cliente de manera que no se vulneren los derechos que
otorga la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, a la vez que se
marque un guión de actuación y se fundan aspectos de la confidencialidad con los de la
protección de datos.
 Cuando se comunica a un cliente información personal, debe tenerse en cuenta el punto 4
del artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, es decir,
recordar al cliente que dispone de tres meses para informar de forma expresa, precisa e
inequívoca del tratamiento de la información que va a realizar, de la procedencia de los datos, de
la existencia de un fichero o tratamiento, finalidad y destinatarios, de la posibilidad de ejercer sus
derechos, de la identidad y dirección del responsable del tratamiento, etc.
 También debe tener en consideración aquellas recomendaciones que han sido reflejadas a lo
largo del presente documento.
Podemos destacar como puntos fuertes de la entidad objeto de la presente auditoría:
 Dedicación de recursos específicos a la aplicación de la legislación vigente en materia de
protección de datos de carácter personal, conviviendo con el sistema de gestión de calidad.
 Concienciación de los responsables directos.
 Garantía del cumplimiento y respeto, respecto a los derechos de las personas (acceso,
rectificación, cancelación y oposición).
3.4 CERTIFICADO Y SELLO DE CUMPLIMIENTO.
En determinadas ocasiones, en función de los servicios ofertados por la entidad auditora y

siempre y cuando la entidad auditada cumpla con los requisitos exigidos en materia de protección
de datos de carácter personal, se puede emitir el correspondiente certificado de cumplimiento
acompañado del sello de la entidad auditora.
El certificado de cumplimiento permite presumir que la entidad auditada cumple y se
adapta a todos los requisitos legales en esta materia, pudiendo constituir un valor
añadido a los servicios ofrecidos por la misma a la par que una tranquilidad extra para
todos aquéllos que se relacionen con ella.
Página 41 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
(Modelos de certificados y sellos de cumplimiento de la LOPD)
Página 42 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
4. LA HERRAMIENTA “EVALÚA”.
A principios del año 2010, la AEPD ha puesto en

marcha “EVALÚA”, un programa sencillo,
anónimo y gratuito que permite a todo aquel
que trate datos de carácter personal
autoevaluar el grado de cumplimiento de la
LOPD y de su normativa de desarrollo.
Esta herramienta ofrece respuestas a las dudas a
las que habitualmente se enfrentan quienes
manejan datos personales, mediante un autotest
basado en preguntas con respuesta múltiple.
Rellenarlo ocupa entre 45 y 60 minutos y, una vez
finalizado, genera un informe con indicaciones y
recursos que orientan, en su caso, para cumplir con
lo dispuesto en la LOPD.
El programa consta de dos niveles de autoevaluación: el primero es un test básico para
conocer el nivel de cumplimiento de la normativa de protección de datos, mientras que el
segundo permite verificar fácilmente si se cumple con las medidas de seguridad exigibles
en cada caso. El primer test está pensado para el usuario que toma contacto por primera vez
con la LOPD y busca saber si cumple la normativa; el segundo, para el que goza de un mayor
conocimiento y quiere verificar el grado de cumplimiento de las medidas de seguridad recogidas
en la normativa de protección de datos.
La AEPD ha desarrollado este programa procurando que el lenguaje empleado en el autotest sea
claro y ofreciendo documentación de apoyo y ayuda para facilitar la comprensión de las
preguntas. A su carácter anónimo y gratuito, hay que añadir su versatilidad, puesto que
permite abandonar la sesión sin tener que empezar de nuevo el test. Además, es personalizado,
ya que emite un informe basado en las respuestas facilitadas con recomendaciones para
el caso concreto.
El resultado de este test es meramente orientativo. “EVALÚA” es una herramienta de ayuda
cuyos resultados dependen de las repuestas facilitadas. Por lo tanto, su realización no
exime del cumplimiento de la LOPD ni puede exhibirse con la finalidad de justificar o eximir la
responsabilidad ante una eventual infracción ni, mucho menos, sustituir la obligación de realizar
la auditoría bienal que hemos analizado en la presente unidad didáctica.
De todas formas, resulta una herramienta más que interesante para proceder a una primera
evaluación del grado de cumplimiento de la legislación vigente en materia de protección de datos
personales.
Puede acceder a la herramienta EVALÚA a través del siguiente enlace:

http://212.170.243.77:8080/Evalua/home.seam

Página 43 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
5. RESUMEN DE LA UNIDAD. 0.
 Tanto el artículo 96 como el 110 del RLOPD obligan a todos los sistemas de información e
instalaciones de tratamientos que contengan datos calificados de nivel medio y/o alto al
sometimiento a un proceso de auditoría que será realizada, al menos, con una frecuencia de dos
años.
 La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas
de información que puedan afectar a las medidas ya implantadas, iniciando en ese caso el
cómputo de dos años.
 La auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de
fallos en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de
una sección o de un organismo en relación a la correcta aplicación de la normativa vigente en
materia de protección de datos de carácter personal.
 Las conclusiones que se deduzcan del informe de auditoría deberán indicar aquellas medidas
correctoras adecuadas que habrán de incidir en mejorar el nivel de adecuación a las previsiones
establecidas en el documento de seguridad.
 El informe de auditoría deberá ser analizado por el responsable de seguridad competente,
que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las
medidas correctoras adecuadas y quedarán a disposición de la AEPD o, en su caso, de las
autoridades de control de las Comunidades autónomas.
 La auditoría interna es una función asesora que se realiza con recursos humanos y
materiales pertenecientes a la propia organización. Este tipo de auditorías suelen realizarse por
una decisión de la Dirección con el objeto de emitir informes orientados fundamentalmente a la
mejora de la propia organización.
 La auditoría externa es un examen crítico realizado por una firma especializada en auditoría.
Las entidades suelen solicitar este tipo de auditorías cuando identifican debilidades en la entidad
como: mala imagen, clientes insatisfechos, dificultades económico-financieras, síntomas de
descoordinación y desorganización, etc.
 El auditor ha de tener formación y experiencia generales acordes con su función y, en el
caso concreto de revisiones técnicas de seguridad de cierta profundidad, serán necesarios
conocimientos actualizados relacionados con el entorno y plataforma concretos.
 Al igual que ocurre con la consultoría, en España no se regula legalmente la figura del
auditor de datos personales, y es el mercado el que va seleccionando y descartando unas u otras
entidades, y éstas en todo caso especializando a los individuos o prescindiendo de ellos si no
demuestran condiciones.
 La legislación española no establece un sistema tasado, cerrado o unitario con respecto a la
forma o modo de ejecutar una auditoría de protección de datos.
 En esta unidad didáctica proponemos un sistema de ejecución simplificado y de uso común
en nuestra sociedad, articulado en tres fases diferenciadas:
Fase I.- Introducción:
 Firma del contrato de auditoría.
 Objetivos y alcance.
 Metodología de trabajo.
 Fijación del calendario y designación de interlocutores.
Página 44 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Fase II.- Realización y ejecución de la auditoría:

 Entrevistas con el personal de la entidad auditada.
 Inspección visual de las actividades auditadas.
 Cuestionario de comprobación y verificación del cumplimiento de la LOPD sobre
el terreno.
Fase III.- Informe de auditoría:
 Elaboración del informe de auditoría en base a la información recopilada en la
fase anterior.
 Implantación de las medidas correctoras recogidas en el informe.
 Con respecto al establecimiento de la metodología de una auditoría, existen una serie de
estándares y manuales de buenas prácticas de uso común, de entre los que destacan ISO/IEC
27002, COBIT, ITIL, COSO o aquéllos propuestos por el Centro Criptológico Nacional (CCN), entre
otros.
 El auditor se desplazará hasta el centro de operaciones de la entidad auditada para
entrevistarse directamente con su personal e inspeccionar in situ sus actividades, con el fin de
recopilar toda la información necesaria para comprobar el grado de cumplimiento de la normativa
vigente.
 Al término de las visitas e inspecciones oportunas, comprobará la adecuación de la entidad
auditada mediante el cruce de la información recabada y el vuelco de la misma a un cuestionario
que permitirá evaluar el nivel de cumplimiento de la normativa.
 El informe de auditoría, como punto culminante de todo este proceso, es la evidencia
necesaria que soporta las conclusiones alcanzadas y de ahí que deba ser claro, completo,
fácilmente recuperable y suficientemente comprensible.
 El certificado de cumplimiento permite presumir que la entidad auditada cumple y se adapta
a todos los requisitos legales en esta materia, pudiendo constituir un valor añadido a los servicios
que ofrezca dicha entidad a la par que una tranquilidad extra para todos aquéllos que se
relacionen con ella.
 La herramienta “EVALÚA”, creada por la AEPD, permite conocer el grado de adecuación de
una entidad a la LOPD y su normativa de desarrollo, emitiendo un informe basado en las
respuestas facilitadas con recomendaciones para el caso concreto.
Página 45 de 47
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 46 de 47

UD 8 - Auditoría

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

UD 8 - Auditoría

Uploaded by

Copyright:

Available Formats

MÓDULO - L.O.P.D.

IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.

1. CUESTIONES GENERALES Y APROXIMACIÓN A LA AUDITORÍA. ································ 5

1. CUESTIONES GENERALES Y APROXIMACIÓN A LA AUDITORÍA.

Como hemos tenido la ocasión de mencionar en la unidad didáctica anterior, tanto el

1.1 AUDITORÍA INTERNA Vs. AUDITORÍA EXTERNA

1.1.1 ¿Cuándo es recomendable una auditoría interna?

La auditoría interna es una función asesora que se realiza con

1.1.2 ¿Cuándo es recomendable una auditoría externa?

La auditoría externa es un examen crítico realizado por una

2. CARACTERÍSTICAS Y PERFIL DEL AUDITOR.

Es éste un punto importante, porque si se carece de la formación y experiencia acordes con el

 Madurez, que no debemos relacionar con una edad mínima.

3. EJECUCIÓN DE UNA AUDITORÍA DE PROTECCIÓN DE DATOS PERSONALES.

3.1 FASE I: INTRODUCCIÓN.

3.1.1 Objetivos y alcance.

En cuanto a su alcance, se deberá determinar si la auditoría se realizará exclusivamente en el

3.1.2 Metodología de trabajo.

 COBIT: los Objetivos de Control para Tecnologías de Información y Relacionadas

También podemos utilizar otros estándares o manuales de buenas prácticas comúnmente

3.1.3 Fijación del calendario de trabajo y designación de interlocutores.

3.2 FASE II: REALIZACIÓN Y EJECUCIÓN DE LA AUDITORÍA.

3.2.1 Entrevistas con el personal e inspección visual de la entidad auditada.

Una vez designados a los interlocutores y el calendario de trabajo en función de las

Las entrevistas deberían realizarse a las siguientes personas

3.2.2 Cuestionario de comprobación y verificación del cumplimiento de la LOPD sobre

Durante esta fase, procederemos a la comprobación y verificación de la normativa

¿Se han delegado las autorizaciones que el

FICHEROS TEMPORALES O COPIAS DE

¿Ha elaborado el responsable del fichero

¿Existe un procedimiento de notificación

¿Los accesos autorizados de los

¿Se dan de baja en el inventario estos

¿Contienen estos registros de entrada

¿Existe el registro de accesos? En

¿Se realiza la actual auditoría en el

¿Existe legislación específica con

Nulo, incumplimiento total 5

Tanto el sistema de puntuación como el multiplicador en función de la gravedad de la deficiencia

3.3 FASE III: INFORME DE AUDITORÍA E IMPLANTACIÓN DE MEDIDAS CORRECTORAS.

El informe de auditoría es la evidencia necesaria que soporta las conclusiones

2.- FASES EN LA REALIZACIÓN DE LA AUDITORÍA

3.- PLAN DE TRABAJO

A.1.- Comprobación del contenido y alcance del Documento de Seguridad

Punto auditado Conclusión

Medidas, controles, procedimiento, normas y Nulo/ Muy Deficiente/ Deficiente/ Normal/

A.2.- Revisión de las políticas relacionadas con el Documento de Seguridad

Punto auditado Conclusión

Punto auditado Conclusión

Realización de entrevistas a una muestra de Nulo/ Muy Deficiente/ Deficiente/ Normal/

A.4.- Revisión del grado de actualización del documento

Punto auditado Conclusión

C.- IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROLES DE ACCESO.

Punto auditado Conclusión

Comprobación de que, en la práctica, las Nulo/ Muy Deficiente/ Deficiente/ Normal/

D.- FUNCIONES DEL RESPONSABLE DE SEGURIDAD.

Punto auditado Conclusión

Estudio y análisis de las funciones Nulo/ Muy Deficiente/ Deficiente/ Normal/

E.- SOPORTES DE DATOS.

Punto auditado Conclusión

Comprobación de que todos los soportes

Cotejo de la relación de soportes enviados Nulo/ Muy Deficiente/ Deficiente/ Normal/

Comprobación de que, además del cifrado