Derecho de nuevas tecnologías, la auditoría de protección de datos

La LSSICE regula el comercio electrónico siendo de aplicación la LOPD para las comunicaciones comerciales por vía electrónica en lo referente a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales.

Cualquier profesional que cuente con ficheros en su sistema informático sobre clientes o proveedores, en los que se incluyan datos que afectan al ámbito personal, tiene que cumplir con el Derecho de las Nuevas Tecnologías. Esto significa que cuanto más sensibles sean los datos que figuren en los archivos o bases de datos, mayor será la protección que necesiten para el tratamiento de los mismos.

El incumplimiento de este deber de protección se puede llegar a sancionar con multas que en algunos casos, ascienden hasta los seiscientos mil euros, las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros art. 45 LOPD  por lo que es indispensable cumplir con la normativa y realizar una Consultoría de protección de datos, para no encontrarse con fuertes sanciones económicas que puedan suponer unos costes enormes con el tiempo.

El Reglamento de la UE 2016/679deroga la normativa anterior, modifica algunas cuestiones y mantiene otras, pero no las desarrolla cuya entrada en vigor está prevista en España en mayo de 2018, obliga al cumplimiento de esta protección a todos los profesionales, estableciéndose unos regímenes de control muy superiores, por lo que los responsables y encargados de tratamiento deben ir preparando y adoptando su contenido para estar en condiciones de cumplir con lo establecido con el RGPD, para lo que resulta conveniente contar con un asesoramiento adecuado.

La Agencia Española de Protección de Datos, recoge los ficheros correspondientes a los profesionales que tengan en sus expedientes datos de carácter personal especialmente sensibles. La normativa de Protección de Datos, en concreto, su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, obliga en su artículo 96, a realizar auditorías a aquellos profesionales o empresas, que tengan ficheros de datos con un nivel de protección medio o alto.

¿Qué se considera datos de protección media? Son aquellos datos que se refieren a la solvencia patrimonial, así como operaciones de crédito y financieras entre otros.

¿Cuáles son los datos de protección alta? Los especialmente protegidos por referirse  datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, entre otros tipos de datos también considerados de nivel alto.

Las auditorías se realizan al menos cada dos años con carácter general, aunque es recomendable mantener los controles cada menos tiempo.

La legislación establece, con carácter obligatorio y excepcional, realizar una nueva auditoría cuando se cambie el organigrama de la empresa, la sede física de la actividad o se realizan modificaciones importantes en el sistema de información que puedan influir en el cumplimiento de las medidas de seguridad, siempre que las modificaciones sean sustanciales en el sistema de información puedan repercutir en el sistema de seguridad implantado.

Las auditorías pueden ser externas o internas. Las externas, se realizan por un profesional independiente sin vínculo laboral con la empresa. Las internas, se realizan por profesionales que tienen un vínculo laboral con la empresa, que sean abogados o ingenieros informáticos, y que cuente con los conocimientos técnicos para realizar y elaborar el informe correspondiente, una vez auditada la empresa.

En estos informes se incluirán los aspectos a mejorar y cambiar por el profesional en ejercicio o la empresa, para el cumplimiento de la legislación, y correspondientemente, impedir la imposición de las correspondientes sanciones.

 

imagen

Share: