Professional Documents
Culture Documents
UD 8 - Auditoría
UD 8 - Auditoría
U.D. 8 - Auditoría
Página 2 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
U.D. 8 - AUDITORÍA
Página 3 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 4 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
U.D. 8 - AUDITORÍA
Página 5 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
“1.- A partir del nivel medio los sistemas de información e instalaciones de tratamiento y
almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o
externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen
modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las
medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y
eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo
anterior.
2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles
a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas
correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y
observaciones en que se basen los dictámenes alcanzados y las recomendaciones
propuestas.
3.- Los informes de auditoría serán analizados por el responsable de seguridad competente,
que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las
medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de
Protección de Datos o, en su caso, de las autoridades de control de las Comunidades
autónomas.”
Por su parte, y con respecto a los ficheros y tratamientos no automatizados, el artículo 110 del
RLOPD expone, de manera escueta, lo siguiente:
“Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a
una auditoría externa o interna que verifique el cumplimiento del presente título.”
De la lectura de los dos preceptos se infiere que las previsiones que establece el apartado uno del
artículo 96, respecto de la auditoría, se reducen a que la auditoría verifique el cumplimiento
de las previsiones establecidas en el Título VIII (medidas de seguridad, ver unidad didáctica
número 7), sin embargo, el antiguo Reglamento de Medidas de Seguridad (Real Decreto
994/1999, de 11 de junio) derogado por el RLOPD establecía, además de la verificación del
cumplimiento del Reglamento, la verificación de cualquier otra medida que pudiera incluirse en
los procedimientos e instrucciones vigentes en materia de seguridad de datos. Por lo tanto, si
hubiera algún otro texto legal o instrucción dictada al respecto, aunque fuera por las propias
autoridades de protección de datos, no sería obligatorio auditar las correspondientes medidas.
Sin embargo, en el párrafo 2 de este artículo se establece de forma inconsistente con la anterior
previsión, que el informe de auditoría deberá dictaminar sobre la actuación de las medidas y
controles a la Ley y su desarrollo reglamentario. Difícilmente el informe de auditoría podrá
dictaminar sobre las medidas y controles no previstos en el desarrollo de la auditoría
correspondiente.
Página 6 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Una de las novedades más importantes que aparece regulada en este artículo se refiere a la
obligación de realizar con carácter extraordinario una auditoría siempre que se realicen
modificaciones en el sistema de información que puedan repercutir en el cumplimiento
de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación
y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo
anterior.
En esta nueva previsión, relativa a la obligación de realizar auditorías extraordinarias cuando
se modifiquen los sistemas de información, se aprecia cierta confusión respecto de su alcance o
interpretación. Hay que señalar a este respecto que no será fácil delimitar lo que se considera
“modificaciones sustanciales en el sistema de información”. Esta indeterminación, en
algunos casos, producirá cierta inseguridad jurídica en su aplicación.
No obstante, tendremos que tener en consideración que, en el caso de ser necesaria la realización
de la auditoría extraordinaria, se iniciará en los plazos del cómputo de los dos años.
En el apartado 2 se establece que el informe de auditoría deberá dictaminar sobre la adecuación
de las medidas y controles a la Ley y a su desarrollo reglamentario, identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los
datos, hechos y observaciones en que se basen los dictámenes alcanzados y las
recomendaciones.
Las conclusiones que se deduzcan del informe de auditoría deberán indicar aquellas medidas
correctoras adecuadas que habrán de incidir en mejorar el nivel de adecuación a las
previsiones establecidas en el título de seguridad.
A su vez, el informe de auditoría deberá ser analizado por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o tratamiento para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la AEPD o,
en su caso, de las autoridades de control de las Comunidades autónomas.
Página 7 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
La firma auditora no debe mantener ninguna relación con la firma auditada, ni haber
participado de ninguna manera en el ciclo de vida de ninguno de los objetos de la auditoría.
Las entidades suelen solicitar este tipo de auditorías cuando identifican debilidades en la
empresa como: mala imagen de la organización, clientes insatisfechos, dificultades económico-
financieras, síntomas de descoordinación y desorganización, etc.
Página 8 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Como podemos comprobar tras una simple ojeada a la normativa vigente en materia de
protección de datos de carácter personal, la legislación española no establece un sistema
tasado, cerrado o unitario con respecto a la forma o modo de ejecutar una auditoría de
protección de datos. La simpleza del objetivo de la auditoría, que no es otro que el de
comprobar el grado de adecuación de una entidad a la LOPD y su normativa de desarrollo, oculta
un complejo sistema de ejecución motivado, fundamentalmente, en la multitud de variables y
parámetros que se deben considerar por el auditor y por su equipo con el fin de conseguir de
evaluar el grado de adecuación a la normativa y establecer las recomendaciones y medidas
correctoras oportunas en todos aquellos aspectos que, una vez realizadas las comprobaciones
oportunas, no cumplan con los presupuestos establecidos por nuestra normativa.
Así las cosas, en el presente apartado propondremos un sistema de ejecución de auditoría lo
más simplificado posible, siendo este sistema de uso común en nuestra sociedad y sin
perjuicio de que se puedan utilizar otros sistemas o metodologías que se consideren más
adecuados, a los que también haremos mención a lo largo de este mismo apartado.
Página 9 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Pues bien, el sistema propuesto para la realización de la auditoría se articula en tres fases
diferenciadas, tal y como podemos ver en el siguiente gráfico:
En esta fase inicial, y con posterioridad a la firma del correspondiente contrato de auditoría
en el caso de celebración de una auditoría de carácter externo (altamente recomendable), deben
establecerse la fijación de los objetivos y el alcance de la auditoría de protección de datos.
El objetivo perseguido es el realizar las comprobaciones necesarias con respecto a la
adecuación de las medidas, los procedimientos y controles de seguridad establecidos
por la entidad auditada a la normativa vigente en materia de protección de datos de
carácter personal, y así disponer del informe de auditoría bienal de obligado mantenimiento
exigido por los artículos 96 y 110 del RLOPD, para aquellos ficheros que cuenten con un nivel de
seguridad medio y/o alto. Además, tras la realización de las oportunas comprobaciones de las
medidas de adecuación implantadas por la empresa auditada, se podrá establecer los riesgos de
infracción y sanción que pudieran presentarse.
Página 10 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
El auditor, previo estudio y análisis del volumen y características propias de la entidad auditada,
debe establecer un plan o metodología de trabajo. Tal y como hemos indicado anteriormente, ni
la LOPD ni el RLOPD establecen una metodología unitaria acerca de cómo proceder de
modo correcto a la ejecución de una auditoría de protección de datos, cuestión que
tampoco es abordada por la AEPD en profundidad, aunque sí se establecen algunas pautas
relacionadas con esta materia y que aportaremos en su momento. La casuística es demasiado
grande, lo que ha llevado a más de una crítica por parte de los profesionales de este sector.
De todos modos, existen una serie de estándares y manuales de buenas prácticas
comúnmente aceptados y utilizados en los últimos tiempos de cierta relevancia, aunque los
más destacados se incardinan dentro de un aspecto más amplio de la auditoría como es la
auditoría informática, dentro de la cual se puede incluir una parte dedicada a la protección y
seguridad de los datos de carácter personal.
Algunos de los estándares más utilizados hasta la fecha, que describiremos brevemente con el fin
de no complicar en exceso al alumno, son los dos siguientes:
ISO/IEC 27002: este estándar para la seguridad de la información fue aprobado y
publicado como estándar internacional en octubre de 2005. Anteriormente denominada ISO
17799, consiste en una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control
y 133 controles.
Como complemento a esta explicación, puede consultar un resumen de los controles definidos en ISO 27002.
Página 11 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Como complemento a esta explicación, puede consultar aquí una introducción básica a COBIT.
Como conclusión de esta primera fase, nos queda fijar el calendario de trabajo, que, una vez
más, dependerá del volumen y características de la entidad auditada así como de los
recursos humanos y materiales con los que cuente la entidad auditora.
Del mismo modo, ambas partes designarán a los interlocutores, que serán los auténticos
protagonistas de la fase número dos, que a continuación detallaremos, con la que comienza los
trabajos propios de una labor de auditoría de protección de datos de carácter personal.
Página 12 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 13 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Del responsable de seguridad sobre los mecanismos que permiten el registro lógico a datos
de nivel alto.
Adecuación de las medidas generales, de nivel básico, medio y alto.
A continuación, y a modo de ejemplo, expondremos un formulario (aprobado por la Guía de
Seguridad de la AEPD) en el que se contienen algunas comprobaciones que se pueden
realizar para verificar el cumplimiento de las disposiciones del RLOPD, una vez cruzada
toda la información obtenida fruto de las conversaciones con el personal de la entidad auditada y
la inspección visual de sus actividades:
SI/NO/
SISTEMA
NIVEL COMPROBACIONES A REALIZAR EN OBSERVACIONES
TRATAMIENTO
PARTE
PRESTACIÓN DE SERVICIO SIN
ACCESO A DATOS PERSONALES
Si el tratamiento no afecta a los datos
personales, ¿se han adoptado las medidas
TODOS BÁSICO necesarias para limitar el acceso del
personal a los datos personales, soportes y
recursos?
Si se trata de personal ajeno, ¿recoge el
contrato la prohibición expresa de acceder
a los datos personales, así como la
TODOS BÁSICO
obligación de secreto respecto a los datos
que hubieran podido conocer con motivo
de la prestación de servicio?
DELEGACIÓN DE AUTORIZACIONES
Página 14 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SI/NO/
SISTEMA
NIVEL COMPROBACIONES A REALIZAR EN OBSERVACIONES
TRATAMIENTO
PARTE
DOCUMENTO DE SEGURIDAD
Página 15 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SI/NO/
SISTEMA
NIVEL COMPROBACIONES A REALIZAR EN OBSERVACIONES
TRATAMIENTO
PARTE
FUNCIONES Y OBLIGACIONES DEL
PERSONAL
¿Están las funciones y obligaciones del
personal con acceso a datos de carácter
TODOS BÁSICO
personal y los sistemas de información
claramente definidas?
¿Están documentadas y reflejadas en el
TODOS BÁSICO
Documento de Seguridad?
¿Se han definido las funciones de control
TODOS BÁSICO o autorizaciones delegadas por el
responsable del fichero?
¿Conoce el personal las medidas de
TODOS BÁSICO seguridad que afectan al desarrollo de
sus funciones?
¿Conoce las consecuencias de su
TODOS BÁSICO
incumplimiento?
REGISTRO DE INCIDENCIAS
Página 16 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
NIVEL COMPROBACIONES A REALIZAR OBSERVACIONES
TRATAMIENTO PARTE
CONTROL DE ACCESO
Página 17 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
NIVEL COMPROBACIONES A REALIZAR OBSERVACIONES
TRATAMIENTO PARTE
GESTIÓN DE SOPORTES Y
DOCUMENTOS
¿Está identificado el tipo de
TODOS BÁSICO información contenido en el soporte o
documento?
¿Existe y se mantiene un inventario de
TODOS BÁSICO
soportes?
¿Se almacenan los soportes o
TODOS BÁSICO documentos en lugares de acceso
restringido?
¿Existen mecanismos por los que
solamente puedan acceder las
TODOS BÁSICO personas autorizadas en el Documento
de Seguridad?, ¿funcionan
adecuadamente estos mecanismos?
¿Se ha dejado constancia en el
Documento de Seguridad, si fuera el
caso, de la imposibilidad de cumplir
TODOS BÁSICO con las obligaciones establecidas en el
Reglamento sobre identificación,
inventariado y acceso a los soportes
dadas sus características físicas?
¿La salida de los soportes y
documentos fuera de los locales donde
se ubica el fichero está siendo
TODOS BÁSICO
autorizada por el responsable del
fichero o está debidamente autorizada
en el Documento de Seguridad?
¿Se están tomando las medidas
adecuadas en el traslado de
TODOS BÁSICO documentación para evitar la
sustracción, pérdida o acceso indebido
durante su transporte?
Cuando se desecha un soporte o
documento conteniendo datos de
carácter personal, ¿se adoptan las
medidas adecuadas para evitar el
TODOS BÁSICO
acceso a la información o su
recuperación posterior cuando se
procede a su destrucción o borrado?,
¿son adecuadas estas medidas?
Página 18 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 19 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
NIVEL COMPROBACIONES A REALIZAR OBSERVACIONES
TRATAMIENTO PARTE
IDENTIFICACIÓN Y
AUTENTICACIÓN
¿Existe una relación de usuarios con
AUTOMATIZADO BÁSICO acceso autorizado?, ¿se mantiene
actualizada?
¿Existen procedimientos de
identificación y autenticación para
AUTOMATIZADO BÁSICO
dicho acceso?, ¿garantiza la correcta
identificación del usuario?
El mecanismo de acceso y verificación
de autorización de los usuarios, ¿les
AUTOMATIZADO BÁSICO
identifica de forma inequívoca y
personalizada?
¿Existe un procedimiento de
asignación, distribución y
AUTOMATIZADO BÁSICO almacenamiento de contraseñas?,
¿garantiza su confidencialidad e
integridad?
¿Se cambian las contraseñas con la
AUTOMATIZADO BÁSICO periodicidad establecida en el
documento de seguridad?
¿Se almacenan las contraseñas de
AUTOMATIZADO BÁSICO forma ininteligible mientras están en
vigor?
¿Se limita el intento reiterado de
acceso no autorizado al sistema?, ¿se
AUTOMATIZADO MEDIO
anotan estos intentos en el registro de
incidencias?
Página 20 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
NIVEL COMPROBACIONES A REALIZAR OBSERVACIONES
TRATAMIENTO PARTE
COPIAS DE RESPALDO Y
RECUPERACIÓN
¿El responsable del fichero ha
definido los procedimientos de
AUTOMATIZADO BÁSICO realización de copias de respaldo y
recuperación de los datos?, ¿es
adecuada esta definición?
¿Están reflejados estos
AUTOMATIZADO BÁSICO procedimientos en el Documento de
Seguridad?
¿Garantizan los procedimientos
establecidos la reconstrucción de los
AUTOMATIZADO BÁSICO datos al estado en que se
encontraban antes de producirse la
pérdida o destrucción?
Si esta pérdida o destrucción afecta a
ficheros parcialmente automatizados,
¿se ha procedido a grabar
AUTOMATIZADO BÁSICO
manualmente los datos?, ¿queda
constancia motivada de este hecho
en el Documento de Seguridad?
¿Se realizan copias de respaldo al
menos semanalmente? Si no es así,
AUTOMATIZADO BÁSICO
¿se debe a que no ha habido
actualizaciones en ese período?
¿Las pruebas previas a la
implantación o modificación de los
sistemas de información se realizan
con datos reales? En caso afirmativo,
¿se están aplicando las mismas
medidas de seguridad que las que le
AUTOMATIZADO BÁSICO
corresponde por la naturaleza de los
datos que contiene?, ¿se anota su
realización en el Documento de
Seguridad?, ¿se hacen copias de
seguridad previas a la realización de
pruebas con datos reales?
¿Se conserva una copia de respaldo y
de los procedimientos de
AUTOMATIZADO ALTO
recuperación en lugar diferente al de
los equipos que los tratan?
¿Cumple este lugar las medidas de
AUTOMATIZADO ALTO
seguridad exigidas en el Reglamento?
Página 21 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
NIVEL COMPROBACIONES A REALIZAR OBSERVACIONES
TRATAMIENTO PARTE
REGISTRO DE ACCESOS
Página 22 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
SISTEMA SI/NO/EN
NIVEL COMPROBACIONES A REALIZAR OBSERVACIONES
TRATAMIENTO PARTE
AUDITORÍA
Página 23 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Resulta más que conveniente aplicar un sistema métrico a cada una de estas preguntas, al
objeto de una valoración más precisa y cuantificable del cumplimiento de la normativa
vigente en materia de protección de datos de carácter personal por parte de la empresa
auditada, y que puede servir de gran utilidad al auditor a la hora de realizar las recomendaciones
y aplicar las medidas correctoras correspondientes en el informe de auditoría, además de elaborar
un diagnóstico mucho más preciso se la situación de la entidad objeto de auditoría.
Como ejemplo, podríamos aplicar el siguiente valor numérico a cada una de las preguntas
planteadas en el cuestionario que acabamos de exponer, en función de su grado de
cumplimiento:
Grado de cumplimiento Puntuación
De este modo, aquellos cuestionarios que obtuviesen una puntuación más alta implicarán un
informe de auditoría desfavorable, mientras que aquéllos que obtuviesen una puntuación baja
implicarían un informe de auditoría favorable al cumplimiento de la legislación en materia de
protección de datos. Evidentemente, no todos los incumplimientos son iguales, ni tienen la misma
repercusión, por lo que a este sistema básico de puntuación habría que añadirle un
multiplicador en función de la gravedad del incumplimiento de que se trate. Para aplicar
este multiplicado en función de la gravedad, podemos tomar como referencia clara el grado de la
infracción y sanción derivada del incumplimiento cometido (infracciones y sanciones que
analizaremos en la unidad didáctica número 9), del modo que sigue:
Tipo de infracción Multiplicador
Leve X 1,5
Grave X3
Muy grave X5
Página 24 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 25 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
INFORME DE AUDITORÍA DE
SEGURIDAD DE PROTECCIÓN DE DATOS
DE CARÁCTER PERSONAL PARA LA
EMPRESA [NOMBRE DE LA ENTIDAD]
Auditado por:
[NOMBRE Y APELLIDOS DEL AUDITOR O AUDITORES Y, EN SU CASO, IDENTIFICACIÓN DE LA
EMPRESA AUDITORA]
[INCLUIR FECHA DE LA AUDITORÍA]
1.- INTRODUCCIÓN
El Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de Desarrollo de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (en adelante, RLOPD), establece, cuando existen ficheros de nivel medio o alto:
“Artículo 96. Auditoría.
1.- A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y
almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o
externa, que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen
modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta
auditoría inicia el cómputo de dos años señalado en el apartado anterior.
Página 26 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la
Ley y su desarrollo reglamentario, indicar sus deficiencias y proponer las medidas correctoras o
complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en
que se basen los dictámenes alcanzados y recomendaciones propuestas.
3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que
elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas
correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o,
en su caso, de las autoridades de control de las Comunidades autónomas.”
La auditoría obligada por el RLOPD se ha realizado desde el día [INCLUIR FECHA DE INICIO]
hasta el día [INCLUIR FECHA DE FINALIZACIÓN], y ha constado de las siguientes fases:
1ª.- Conocimiento genérico de la empresa, su ámbito de negocio, los sistemas de información de
que disponen, su estructura administrativa, sus relaciones con organismos oficiales, asociaciones,
instituciones y otras empresas.
2ª.- Elaboración de un programa de trabajo en el que se detallan las actividades o tareas a
auditar, teniendo para ello en cuenta, por un lado, los requisitos de revisión impuestos por el
RLOPD en relación con la auditoría, y por el otro, el ámbito de negocio y sistemas de la empresa.
3ª.- Realización del trabajo de campo, esto es, la revisión práctica de las actividades incluidas en
el plan de trabajo.
4ª.- Análisis de los puntos débiles y obtención de conclusiones y recomendaciones.
5ª.- Elaboración del informe de auditoría.
A partir del hecho de que la auditoría debe verificar el cumplimiento del RLOPD, el Plan de
Trabajo deberá incluir específicamente la comprobación de todos los artículos de aquél que sean
de aplicación a tenor del tipo de ficheros de que disponga la empresa (medio, alto).
Para la realización organizada de esta auditoría se ha preparado una tabla de control o
“checklist”. Esta tabla está dividida en once áreas de manera que se puedan identificar aquellos
ítems a auditar de una manera lógica.
De esta manera, las áreas serán las siguientes:
A. Revisión del documento de seguridad.
B. Análisis de los sistemas de información de la empresa.
C. Identificación, autenticación y controles de acceso.
D. Funciones del responsable de seguridad.
E. Soporte de datos.
F. Pruebas con datos reales.
G. Copias de seguridad.
H. Registro de incidencias.
I. Control de acceso físico a la sala.
J. Registro de accesos.
K. Transmisiones.
Página 27 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
A continuación se incluye la tabla “checklist” de los puntos auditados de las áreas anteriormente
mencionadas, así como los resultados obtenidos para cada apartado.
A.- REVISIÓN DEL DOCUMENTO DE SEGURIDAD.
El objetivo de la revisión del Documento de Seguridad, del que toda empresa con ficheros de
datos personales debe disponer, es doble. Por un lado, el auditor analiza que su contenido cumple
con los requisitos establecidos en el Reglamento para el mismo. En segundo lugar, permite al
auditor identificar los procedimientos y controles de seguridad definidos en la instalación, para
posteriormente verificar su cumplimiento.
Además de la revisión del contenido del Documento de Seguridad, se han auditado aquellos
procedimientos que afectan a su desarrollo, mantenimiento y actualización.
En el caso de esta auditoría, se comprueba la existencia de un único documento de seguridad y
procedimientos para todos los ficheros. La denominación de este documento de seguridad es
“[NOMBRE DEL DOCUMENTO DE SEGURIDAD]” y está actualizado a [FECHA DE LA ÚLTIMA
REVISIÓN DEL DOCUMENTO DE SEGURIDAD]. Esto obliga a suponer que las medidas de
seguridad deben ser comunes a todos los ficheros, aunque posteriormente se individualizan los
registros de incidencias, usuarios, etc.
A continuación se exponen todos estos aspectos auditados.
Página 28 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Difusión del documento entre empleados y Nulo/ Muy Deficiente/ Deficiente/ Normal/
colaboradores externos. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Procedimientos para la revisión y actualización Nulo/ Muy Deficiente/ Deficiente/ Normal/
del documento. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Procedimientos de comunicación a empleados Nulo/ Muy Deficiente/ Deficiente/ Normal/
y colaboradores externos de las Bueno/ Excelente [INCLUIR OBSERVACIONES]
actualizaciones del documento.
A.3.- Revisión del conocimiento práctico de las normas de seguridad por parte del
personal
Este punto se ha cumplimentado al final de la auditoría, una vez ha sido analizada la adecuación
y efectividad de los controles en la práctica existentes y contrastada su aplicación con los
controles incluidos en el documento de seguridad.
El documento de seguridad es un documento vivo y que evoluciona a lo largo del tiempo, tanto
en los procedimientos y políticas como en los registros que acompañan al documento. Por esto
se ha realizado una comprobación de la evolución en los contenidos del Documento de Seguridad.
La conclusión es que el Documento de Seguridad y procedimientos para todos los ficheros
registrados es revisada, encontrándose el Documento de Seguridad en su versión del [INCLUIR
FECHA DE LA ÚLTIMA REVISIÓN DEL DOCUMENTO DE SEGURIDAD].
B.- ANÁLISIS DE LOS SISTEMAS DE INFORMACIÓN DE LA EMPRESA.
El objetivo de este apartado es determinar los sistemas de información que contienen datos
personales, e identificar los ficheros de los distintos niveles en ellos existentes. La importancia de
esta tarea reside en que el cumplimiento de determinadas y específicas medidas de seguridad
sólo es exigido por el RLOPD para los ficheros de nivel medio y alto. La identificación de los
sistemas que contienen estos ficheros puede, por un lado, permitir a la empresa restringir la
aplicación de las medidas de seguridad de esos niveles exclusivamente a aquellos sistemas para
los que es obligado lo que, a su vez, puede redundar en un abaratamiento de costes si la
empresa es grande, sus sistemas de información tienen un alto grado de descentralización y
aplicación de las medidas supone la realización de la inversión.
Página 29 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
En segundo lugar, este análisis de los sistemas de información permite al auditor centrar la
revisión de algunos de los controles exclusivamente en aquellos sistemas y ficheros para los que,
en función de su nivel, el RLOPD exige su aplicación.
Para la realización de este punto del Plan de Trabajo, el auditor obtuvo un inventario de los
ficheros y sistemas de información con datos personales existentes, que la empresa había
realizado en un momento anterior, probablemente con ocasión de la elaboración del Documento
de Seguridad.
Determinación de los campos (de los ficheros) Nulo/ Muy Deficiente/ Deficiente/ Normal/
que reflejan datos de nivel medio o alto. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Detección de todos los ficheros que incluyen Nulo/ Muy Deficiente/ Deficiente/ Normal/
alguno de esos campos y además algún otro Bueno/ Excelente [INCLUIR OBSERVACIONES]
que permita identificar a la persona.
Detección de todos los ficheros que incluyen Nulo/ Muy Deficiente/ Deficiente/ Normal/
algún dato identificativo de la persona. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Con los ficheros así clasificados en niveles, Nulo/ Muy Deficiente/ Deficiente/ Normal/
verificación de que la estructura de esos Bueno/ Excelente [INCLUIR OBSERVACIONES]
ficheros está incluida en el Documento de
Seguridad.
Comprobación de que existe una relación de Nulo/ Muy Deficiente/ Deficiente/ Normal/
usuarios autorizados a acceder a los sistemas Bueno/ Excelente [INCLUIR OBSERVACIONES]
y que incluye los tipos de acceso permitidos.
Verificación que, en la práctica, los usuarios Nulo/ Muy Deficiente/ Deficiente/ Normal/
dados de alta en los sistemas y los tipos de Bueno/ Excelente [INCLUIR OBSERVACIONES]
accesos a ellos concedidos son coherentes con
los establecidos en el Documento de
Seguridad.
Comprobación de que los derechos de acceso Nulo/ Muy Deficiente/ Deficiente/ Normal/
concedidos a los usuarios son los necesarios y Bueno/ Excelente [INCLUIR OBSERVACIONES]
suficientes para el ejercicio de las funciones
que tienen encomendadas, las cuales a su vez
se encuentran –o deben estar- documentadas
en el Documento de Seguridad.
Verificación de que no hay dadas de alta en el Nulo/ Muy Deficiente/ Deficiente/ Normal/
sistema cuentas de usuario genéricas, es Bueno/ Excelente [INCLUIR OBSERVACIONES]
decir, utilizadas por más de una persona, no
permitiendo por tanto la identificación de la
persona física que las ha utilizado.
Página 30 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 31 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Verificación que existe un inventario de los Nulo/ Muy Deficiente/ Deficiente/ Normal/
soportes existentes. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Comprobación de que dicho inventario incluye Nulo/ Muy Deficiente/ Deficiente/ Normal/
las copias de seguridad. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Determinación acerca de si las copias de Nulo/ Muy Deficiente/ Deficiente/ Normal/
seguridad, o cualquier otro soporte, se Bueno/ Excelente [INCLUIR OBSERVACIONES]
almacenan fuera de la instalación.
Análisis de los procedimientos de actualización Nulo/ Muy Deficiente/ Deficiente/ Normal/
de dicho inventario. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Análisis de los procedimientos de etiquetado e Nulo/ Muy Deficiente/ Deficiente/ Normal/
identificación del contenido de los soportes. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Verificación de los accesos a los posibles Nulo/ Muy Deficiente/ Deficiente/ Normal/
almacenamientos de soportes y comprobación Bueno/ Excelente [INCLUIR OBSERVACIONES]
de que exclusivamente sólo pueden acceder a
ellos las personas autorizadas en el
Documento de Seguridad.
Análisis de los procedimientos en relación con Nulo/ Muy Deficiente/ Deficiente/ Normal/
la salida de soportes fuera de su Bueno/ Excelente [INCLUIR OBSERVACIONES]
almacenamiento habitual.
Evaluación de los estándares de distribución y Nulo/ Muy Deficiente/ Deficiente/ Normal/
envío de estos soportes. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Obtención de una relación de los ficheros que Nulo/ Muy Deficiente/ Deficiente/ Normal/
se envían fuera de la empresa, en la que se Bueno/ Excelente [INCLUIR OBSERVACIONES]
especifique el tipo de soporte, la forma de
envío, el estamento que realiza el envío y el
destinatario.
Página 32 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Verificación de que los controles y normas que No se realizan pruebas con datos reales.
están operativos para los ficheros en
producción lo está también para los ficheros
del entorno de pruebas.
Análisis de los procedimientos para el entorno No se realizan pruebas con datos reales.
de pruebas en relación con: identificación y
autenticación de usuarios, control de accesos,
políticas de contraseña y número máximo de
intentos de conexión, inventario de soportes,
Registro de Entrada/Salida de soportes, copias
de seguridad, ficheros de soporte enviados
fuera de las instalaciones y transmisiones
cifradas, registro de incidencias, registro de
acceso...
Página 33 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 34 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 35 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Comprobación de la existencia, como parte del Nulo/ Muy Deficiente/ Deficiente/ Normal/
Documento de Seguridad, de una relación de Bueno/ Excelente [INCLUIR OBSERVACIONES]
usuarios con acceso autorizado a la sala.
Verificación de que la inclusión del personal en Nulo/ Muy Deficiente/ Deficiente/ Normal/
la relación anterior es coherente con las Bueno/ Excelente [INCLUIR OBSERVACIONES]
funciones que tienen encomendadas.
Comprobación de que la relación es lógica Nulo/ Muy Deficiente/ Deficiente/ Normal/
(personal de limpieza, seguridad, etc.). Bueno/ Excelente [INCLUIR OBSERVACIONES]
Análisis de las políticas de la instalación en Nulo/ Muy Deficiente/ Deficiente/ Normal/
relación con los accesos ocasionales a la sala. Bueno/ Excelente [INCLUIR OBSERVACIONES]
Determinación de qué personas tienen llaves Nulo/ Muy Deficiente/ Deficiente/ Normal/
de acceso, tarjetas, etc. de acceso a la sal y Bueno/ Excelente [INCLUIR OBSERVACIONES]
cotejar con la relación de usuarios con acceso
autorizado a la sala.
J) REGISTRO DE ACCESOS.
Con respecto al Registro de Accesos, se han realizado las siguientes comprobaciones:
Página 36 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
K) TRANSMISIONES.
Unos de los puntos más delicados por su potencial peligrosidad de crear una incidencia al fichero
y a la vez necesario en un sistema de información es el de los sistemas de transmisión o de
telecomunicaciones.
En este apartado deben tenerse en cuenta tanto las redes locales como las conexiones externas
que puedan afectar a la integridad del fichero.
En este caso, se ha auditado:
4.- RECOMENDACIONES
Tal como se describe en el punto 2 del artículo 96 del RLOPD “El informe de auditoría deberá
dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus
deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá,
igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados
y recomendaciones propuestas”.
En los puntos anteriores se han incluido los datos, hechos y observaciones en los que se basa el
auditor para proponer medidas correctoras. A continuación se exponen para cada uno de los
apartados qué propuestas recomienda el auditor, respecto a los datos, hechos y observaciones
que han sido enumerados a lo largo de este documento.
A.- REVISIÓN DEL DOCUMENTO DE SEGURIDAD.
El Documento de Seguridad ha sido revisado y es apreciable el
[EXCELENTE/BUENO/NORMAL/DEFICIENTE/MUY DEFICIENTE/NULO] grado de compromiso para
avanzar la gestión del mismo.
El sistema informático y de ficheros auditado [MANTIENE/NO MANTIENE] las medidas de
seguridad que en un principio pudieran ser suficientes y lógicas para preservar la información
vital de la empresa.
Pasamos a realizar recomendaciones para cada uno de los puntos auditados:
A.1.- Comprobación del contenido y alcance.
[Estas recomendaciones sólo son meramente ilustrativas. Su contenido variará sensiblemente en
función del cumplimiento de las medidas de seguridad por parte de la entidad auditada]
Debe tener una mayor difusión entre los usuarios del fichero de forma que para cada
empleado y usuario sea una herramienta más en su quehacer diario.
El documento de seguridad debe incluir los nombramientos de las diferentes personas como
responsable del fichero, responsable de seguridad, etc.
Página 37 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Documentar todos los procesos que afectan al documento de seguridad como son los
controles que se hacen con un carácter mensual, medidas sobre la reutilización de los soportes,
períodos de contraseñas, etc.
A.2.- Revisión de las políticas relacionadas con el Documento de Seguridad.
El documento debe tener una mayor difusión entre los empleados y debe ser actualizado si
redescubre una buena práctica mejor que la que se está realizando.
El documento debe tener difusión entre los diferentes proveedores y colaboradores externos
como Informática externa.
A.3.- Conocimiento práctico entre los empleados.
Los empleados deben no sólo conocer la existencia del documento de seguridad el fichero
que le afecta como usuario, sino además poner en práctica el contenido del mismo,
especialmente la comunicación de incidencias, atención telefónica, etc.
A.4.- Revisión del documento.
El documento ha sido revisado y se recomienda su evolución continua. También se
recomienda que se eviten los procedimientos que son técnicos y son responsabilidad de sistemas
haciendo mención a ellos según sea necesario.
B.- ANÁLISIS DE LOS SISTEMAS DE INFORMACIÓN DE LA EMPRESA.
Este apartado de la auditoría es [CORRECTO/INCORRECTO] y está
[SUFICIENTEMENTE/INSUFICIENTEMENTE] documentado.
[En caso de que sea “incorrecto” y esté “insuficientemente documentado”, localizar los aspectos
en donde se localicen los errores y establecer las oportunas recomendaciones en base a los
requisitos establecidos por el RLOPD]
C.- IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROLES DE ACCESO.
Los controles de accesos a los sistemas son [ADECUADOS/INADECUADOS] y están bajo la
responsabilidad de personas con formación [SUFICIENTE/INSUFICIENTE]. Además [ESTÁN/NO
ESTÁN] implantadas medidas de control que permiten observar las actividades que desarrollan
los diferentes usuarios.
[En caso de que sean “inadecuados”, la formación de las personas sea “insuficiente” o “no estén”
implantadas las medidas de control, el auditor debe localizar la fuente de cada uno de estos fallos
y establecer las recomendaciones oportunas para su subsanación en este apartado].
D.- FUNCIONES DEL RESPONSABLE DE SEGURIDAD.
El resultado de la auditoría de este apartado es [EXCELENTE/ALTO/MEDIO/BAJO/NULO]. De esta
manera, se recomienda lo siguiente:
[En este apartado, trabajaremos sobre un escenario de “alto” cumplimiento a la hora de
establecer las recomendaciones. Significar que el contenido de estas recomendaciones puede
variar sensiblemente en función del grado de cumplimiento de este apartado]
Elaborar un cuadro de controles en el tiempo del sistema y en la documentación que deberá
revisar el responsable de seguridad.
Conservar los informes que elabore el responsable de seguridad para poder hacer
evolucionar el sistema informático.
Definir en el tiempo las revisiones a realizar.
Página 38 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 39 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
[En caso de que sea “Insuficiente” o “Nula”, el auditor debe localizar las fuentes que ocasionan
los incumplimientos y establecer las recomendaciones oportunas para su subsanación en este
apartado]
K.- TRANSMISIONES.
La transmisión de datos en la red local [ESTÁ/NO ESTÁ] controlada mediante [INCLUIR MÉTODO
DE CONTROL, p. ej. “switchs”].
[En caso de que la transmisión de datos no esté controlada, el auditor debe localizar el motivo del
problema y establecer las recomendaciones oportunas orientadas a su subsanación].
De todas formas, recomendamos:
Debe incluirse una política sobre el acceso a Internet.
Página 40 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 41 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 42 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
4. LA HERRAMIENTA “EVALÚA”.
Página 43 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
5. RESUMEN DE LA UNIDAD. 0.
Tanto el artículo 96 como el 110 del RLOPD obligan a todos los sistemas de información e
instalaciones de tratamientos que contengan datos calificados de nivel medio y/o alto al
sometimiento a un proceso de auditoría que será realizada, al menos, con una frecuencia de dos
años.
La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas
de información que puedan afectar a las medidas ya implantadas, iniciando en ese caso el
cómputo de dos años.
La auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de
fallos en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de
una sección o de un organismo en relación a la correcta aplicación de la normativa vigente en
materia de protección de datos de carácter personal.
Las conclusiones que se deduzcan del informe de auditoría deberán indicar aquellas medidas
correctoras adecuadas que habrán de incidir en mejorar el nivel de adecuación a las previsiones
establecidas en el documento de seguridad.
El informe de auditoría deberá ser analizado por el responsable de seguridad competente,
que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las
medidas correctoras adecuadas y quedarán a disposición de la AEPD o, en su caso, de las
autoridades de control de las Comunidades autónomas.
La auditoría interna es una función asesora que se realiza con recursos humanos y
materiales pertenecientes a la propia organización. Este tipo de auditorías suelen realizarse por
una decisión de la Dirección con el objeto de emitir informes orientados fundamentalmente a la
mejora de la propia organización.
La auditoría externa es un examen crítico realizado por una firma especializada en auditoría.
Las entidades suelen solicitar este tipo de auditorías cuando identifican debilidades en la entidad
como: mala imagen, clientes insatisfechos, dificultades económico-financieras, síntomas de
descoordinación y desorganización, etc.
El auditor ha de tener formación y experiencia generales acordes con su función y, en el
caso concreto de revisiones técnicas de seguridad de cierta profundidad, serán necesarios
conocimientos actualizados relacionados con el entorno y plataforma concretos.
Al igual que ocurre con la consultoría, en España no se regula legalmente la figura del
auditor de datos personales, y es el mercado el que va seleccionando y descartando unas u otras
entidades, y éstas en todo caso especializando a los individuos o prescindiendo de ellos si no
demuestran condiciones.
La legislación española no establece un sistema tasado, cerrado o unitario con respecto a la
forma o modo de ejecutar una auditoría de protección de datos.
En esta unidad didáctica proponemos un sistema de ejecución simplificado y de uso común
en nuestra sociedad, articulado en tres fases diferenciadas:
Fase I.- Introducción:
Firma del contrato de auditoría.
Objetivos y alcance.
Metodología de trabajo.
Fijación del calendario y designación de interlocutores.
Página 44 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 45 de 47
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 8 - Auditoría
Página 46 de 47