Ley Orgánica de Protección de Datos: la auditoría bienal
¿Cuándo se ha de realizar la auditoría bienal y qué debe contener dicho informe?
La LOPD establece que debe realizarse una auditoría, al menos cada dos años, para los ficheros de nivel medio y alto.
En caso de que se realice un cambio sustancial en los sistemas de información, organización o tratamiento, se deberá realizar de forma extraordinaria aunque no hayan pasado los dos años.
Dicha auditoría debe realizarse, obligatoriamente, por personal independiente y debidamente cualificado. Y tiene por objeto verificar el cumplimiento real de la normativa dentro de la organización.
El informe de auditoría debe:
1. Dictaminar sobre la adecuación de las medidas y controles de Ley y su Reglamento de Desarrollo.
2. Identificar las deficiencias encontradas.
3. Proponer medidas correctoras o complementarias necesarias.
4. Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Como se puede desprender de todos estos requisitos, el informe de auditoría bienal es sumamente completo, y debe justificar debidamente todas las conclusiones y recomendaciones propuestas.
IMPORTANTE
Se debe conservar, al menos, el último informe de auditoría a disposición de la Agencia Española de Protección de Datos.