la adaptación por parte de los profesionales del derecho a la

LA AUDITORÍA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL:
METODOLOGÍA Y CONCEPTOS (*)
(*) Nota técnica elaborada por el Despacho VELÁZQUEZ ABOGADOS (LEX – GRUPO ABOGADOS,
BURGOS).
La LEY ORGÁNICA 15/1999, de 13 de diciembre, DE PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL (LOPD) tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar.
El objeto de una auditoría de Protección de Datos es clarificar la adaptación de los
ficheros de datos personales a las obligaciones impuestas, no sólo por la LOPD, sino
también por el Reglamento de Medidas de Seguridad y las restantes disposiciones
normativas que resulten de aplicación, destacando entre otras, a las medidas de
seguridad y a los procedimientos llevados a cabo para la recogida y tratamiento de
los datos personales.
La complejidad de esta legislación, aconseja recurrir a firmas que colaboren en el
proceso de adaptación. Para llevarla a cabo, no se examinan los concretos datos
personales de los que se tiene conocimiento sino, simplemente, los procedimientos
que se siguen en el tratamiento de los mismos y su tipología.
Toda auditoría de protección de datos, se estructura en un detallado proceso que
conduce a la elaboración de un informe de situación de la actividad propia de la
empresa, así como de su página web si la tuviera, que incluye una descripción
detallada sobre la adecuación de las medidas y controles al Reglamento,
identificando sus deficiencias y proponiendo las medidas correctoras o
complementarias que se consideren necesarias.
A partir de este informe, se procede a:
 Redacción de la cláusula de protección de datos o notas legales más adecuadas a
cada caso, que se insertarán tanto en el sitio web como en la documentación que
sirve de soporte para la recogida de los datos personales (formularios, contratos,
solicitudes, etc.)
 Redacción de la política de privacidad. La cada vez mayor concienciación de
usuarios y clientes en relación con la privacidad de sus datos personales hace
necesario que las empresas que recogen este tipo de datos en sus actividades
(comerciales, promociónales, de selección de personal, etc.) y, de forma muy
especial las que trabajan en Internet, establezcan de forma clara y visible una
adecuada Política de Privacidad que tranquilice a cualquier particular respecto a
la inexistencia de riesgos derivados del hecho de facilitar sus datos personales.
 Redacción del documento de seguridad que conlleva, a su vez, la realización de
los siguientes documentos:
1. Documento de Seguridad: Determinación del responsable del fichero y
descripción de las instalaciones y procedimientos físicos y telemáticos.
2. Documento de Funciones y Obligaciones: Enumeración de las obligaciones de
los usuarios de los ficheros y miembros de la empresa en su acceso a los datos
de carácter personal.
3. Documento de Procedimiento de Incidencias: Procedimiento a seguir en el
supuesto de cualquier clase de incidencias.
4. Documento de Procedimiento de Gestión de Soportes: Enumeración de
controles realizados para la salida y entrada de soportes.
los
 Implantación del Documento de Seguridad (aplicación final de las
recomendaciones fijadas en la auditoría) e Inscripción de los Ficheros ante la
Agencia de Protección de Datos.
Según se desprende del procedimiento expuesto en el Registro General de
Protección de Datos sólo es necesario realizar una tipificación de la estructura de
datos que se maneja, así como de las finalidades, procedimientos de recogida,
ubicaciones y cesiones o accesos a los datos por parte de terceros.