¿Qué ocurre si una empresa no ha realizado la auditoría bienal LOPD?

Protección de datos

Para comenzar, decir que realizar la auditoría bienal, es de obligado cumplimiento tal y como establece el artículo 96 del Real Decreto 1720/2007, por el que se desarrolla la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (Reglamento LOPD). Además, si vamos al régimen sancionador de la LOPD, vemos que es infracción muy grave “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Para verificar si se están implantadas las debidas medidas de seguridad, es necesario monitorizar y revisar lo que se tiene y por tanto aparte de ser obligatoria es necesaria para poder conocer la situación real y actual de cualquier organización en relación con las medidas de seguridad.

Sentadas estas bases, existe una Resolución de la Agencia Española de Protección de Datos, en concreto la R/00351/2008, de 1 de abril bastante interesante. En fecha 11 de Mayo de 2006 tiene entrada en la Agencia Española de Protección de Datos un escrito del Ministerio de la Presidencia por el que se da traslado de una pregunta dirigida al Gobierno por el Grupo Parlamentario de IU relacionada con la gestión de datos realizada en los centros de salud de Valencia mediante el programa informático ABUCASIS II. Esta actuación dio lugar al inicio de una actividad inspectora en la Consejería de Sanidad de la Generalitat Valenciana en la que detectan una serie de deficiencias, entre ellas la falta de realización de la auditoría bienal. La Agencia acuerda el archivo de las actuaciones alegando “que pese a la constatación de las deficiencias en el sistema gestión ABUCASIS II, de la inspección realizada no se concluye que se haya producido una "alteración, pérdida, tratamiento o acceso no autorizado a los datos incluidos en el citado sistema, por lo que, de conformidad con lo expuesto, en el presente caso, no procede acordar el inicio de la actividad sancionadora por parte de esta Agencia”.

Es decir, lo que la Agencia argumenta es que si pese a no tener las medidas de seguridad debidamente implantadas, la vulnerabilidad no ha sido explotada y en consecuencia no se ha materializado el riesgo no produciéndose una “alteración, pérdida, tratamiento o acceso no autorizado”.

En todo caso, las medidas de seguridad hay que cumplirlas porque así lo establece la Ley, pese a lo dispuesto en esta resolución es necesario gestionar adecuadamente el riesgo legal, una materialización del riesgo, aparte de las sanciones impuestas en la Ley, lleva aparejado importantes riesgos reputacionales en cualquier organización.

  • 26 Mayo, 2015
  • Olga Martínez
  • Blog
  • 4 min
Volver al blog