Los sistemas de información e instalaciones de tratamientos que contengan los datos calificados de nivel medio y/o alto, se someterán a una Auditoría al menos de forma bienal, que verifique el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad de datos.
La realización de la Auditoría será también obligatoria en el caso de
cambios en los sistemas de información que pueden afectar a las medidas
ya implantadas, iniciando en ese caso el cómputo de dos años.
Dicha auditoría, que puede ser realizada de forma interna o externa,
deberá finalizar en la emisión de un Informe, dictaminando la adecuación
de las medidas y controles implantados a la Ley y su desarrollo
reglamentario, y en su caso identificando las deficiencias y proponiendo
las medidas correctoras o complementarias necesarias, incluyendo los
datos, hechos y observaciones en que se basen los dictámenes alcanzados
y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el Responsable de
Seguridad, que elevará las conclusiones al Responsable del Fichero para
que adopte las medidas correctoras adecuadas y en todo caso, el informe
quedará a disposición de la Agencia Española de Protección de Datos, o
en su caso de las autoridades de control de las Comunidades Autónomas.
Es recomendable que el Responsable de Seguridad preparare un Programa de
Auditoría de Seguridad, donde se especifique expresamente:
• Los ficheros previamente inscritos en el RGPD
• Las fechas propuestas para la realización de las auditorías.
• Los auditores internos designados o en su caso, la empresa externa
Auditora.
• Los documentos necesarios para su revisión.
• Departamento y persona de contacto a entrevistar.
Una vez terminado el programa de la Auditoria, el Responsable de
Seguridad, deberá remitir una copia a la Dirección de la empresa, con
objeto de ponerlo en su conocimiento y obtener su aprobación.
El equipo auditor, con la colaboración del Responsable de Seguridad, así
como otros responsables involucrados, revisará la documentación
necesaria para llevar a cabo la auditoría.
Entre otros documentos se revisarán los siguientes:
• Documento de Seguridad vigente
• Histórico de notificaciones, con las respectivas copias de las altas,
modificaciones y cancelaciones de ficheros ante el RGPD.
• Mapa de sistemas de la empresa
• Relación de aplicaciones utilizadas en el sistema informático de la
empresa
• Organigrama con indicación de los departamentos de la empresa y sus
responsables
• Auditorías anteriores
• Informes de controles periódicos de verificación efectuados
Tras la revisión de la documentación aplicable, los auditores prepararán
una lista de comprobación en la que relacionen los aspectos a verificar
durante la auditoría.
La Auditoría se llevará a cabo durante las fechas previstas en el
calendario de trabajo propuesto, y las verificaciones a efectuar durante
la misma serán en general.
Una vez finalizada la Auditoría, los auditores se reunirán con el / los
responsables con el objeto de exponer las desviaciones detectadas y
proponer las medidas correctoras para su resolución. Finalmente se
emitirá un informe por parte del Auditor.
El auditor, firmará el informe emitido y lo remitirá a la Dirección de
la Empresa, así como al Responsable de Seguridad, el cual procederá a
distribuirlo entre las áreas implicadas de la empresa para su revisión y
análisis, archivando el original del mismo para realizar el seguimiento
de las incidencias derivadas.
