Modelo de informe de auditoría

RESUMEN

Este modelo sirve al objeto de dar cumplimiento al artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y en particular para llevar a cabo el informe de auditoría de verificación del cumplimiento del título VIII -medidas de seguridad- del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgáni... (ver resumen completo)

 
EXTRACTO GRATUITO

Modelo de informe de auditoría

ÍNDICE

 

ALCANCE DE LOS TRABAJOS.

OBJETO

NORMATIVA

DURACIÓN Y FECHA DE LA AUDITORÍA

IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

CENTROS DE TRABAJO

FICHEROS O TRATAMIENTOS OBJETO DE LA AUDITORÍA

ESTUDIO DE LOS NIVELES DE SEGURIDAD ASIGNADOS POR EL RESPONSABLE DEL TRATAMIENTO 

LISTA DE DISTRIBUCIÓN

ANÁLISIS DE LOS DATOS, HECHOS, OBSERVACIONES, ADECUACIÓN DE LAS MEDIDAS Y CONTROLES DE SEGURIDAD AL TÍTULO VIII DEL RDLOPD Y DE LA LOPD, IDENTIFICACIÓN DE LAS DEFICIENCIAS Y PROPUESTA DE MEDIDAS CORRECTORAS

METODOLOGÍA

LUGAR DE REALIZACIÓN DEL TRABAJO

FASES DEL TRABAJO DE AUDITORÍA

MEDIDAS REVISADAS

CALENDARIO DE ENTREVISTAS

DOCUMENTACIÓN ENTREGADA

CLÁUSULA DE CONFIDENCIALIDAD Y DEBER DE SECRETO

LIMITACIONES

TABLA DE MEDIDAS CORRECTORAS

TABLA DE MEDIDAS COMPLEMENTARIAS

CONCLUSIONES PARA ENTIDAD AUDITADA

 

ALCANCE DE LOS TRABAJOS

 

 

OBJETO

 

El presente informe se elabora y entrega como resultado del encargo de trabajo realizado por ENTIDAD AUDITADA[1] con fecha       de       del año      [2] para la realización de una auditoría de verificación del cumplimiento del Título VIII del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal.

 

 

NORMATIVA

 

La auditoría ha sido realizada para la comprobación del cumplimiento de la legislación vigente en materia de seguridad en la protección de datos de carácter personal relativos a las personas físicas, utilizando como Normativa de referencia y contraste la siguiente:

 

-       Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

 

-       Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante RDLOPD).

 

 

DURACIÓN Y FECHA DE LA AUDITORÍA

 

Todos los trabajos han sido efectuados en el plazo de       (días/meses/años)[3], habiendo iniciado la auditoría con fecha       de       de       y finalizada, con fecha      de       de      .[4]

 

 

IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO[5]

 

Datos de ENTIDAD AUDITADA:

 

Nombre o razón social.     

CIF.     

Domicilio social.     

Lugar y fecha de constitución.     

Objeto social.     

 

Pertenencia –en su caso- a grupo de empresas. Descripción del grupo y situación de ENTIDAD AUDITADA[6].

 

 

CENTROS DE TRABAJO[7]

 

Los centros de trabajo de ENTIDAD AUDITADA son los siguientes:

 

Centro de trabajo 1:              [8]

 

Dirección     

CP Localidad      

 

Centro de trabajo 2:      

 

Dirección      

CP Localidad      

 

Otros:     

 

 

FICHEROS O TRATAMIENTOS OBJETO DE LA AUDITORÍA[9]

 

Los ficheros y tratamientos auditados objeto del presente informe responsabilidad de ENTIDAD AUDITADA[10], y se encuentran clasificados en el nivel medio/alto[11] de seguridad de acuerdo con los criterios establecidos en el RDLOPD.

 

A continuación, brevemente se describen algunas características de los tratamientos que se desprenden de los formularios de inscripción presentados ante el Registro General de Protección de Datos:

 

[12]Fichero/Tratamiento: RRHH: Datos de los empleados para la gestión de RRHH de la entidad.

Ubicación principal: DIRECCIÓN, CP, LOCALIDAD.

Encargado del Tratamiento[13]: DIRECCIÓN, CP, LOCALIDAD, CIF.

Finalidad: Gestión de recursos humanos y prevención de riesgos laborales de los empleados de la entidad.

Medidas de seguridad: Nivel ALTO.

Código de inscripción: 00000000000

Fecha de inscripción:       de       de      

 

 

[14]Fichero/Tratamiento: CURRÍCULOS: Datos de carácter personal de los candidatos a un puesto de trabajo.

Ubicación principal: DIRECCIÓN, CP, LOCALIDAD.

Finalidad: Cubrir puestos de trabajo ofertados. Selección de personal.

Medidas de seguridad: Nivel MEDIO.

Código de inscripción: 00000000000

Fecha de inscripción:       de       de      

 

 

[15]Fichero/Tratamiento: USUARIOS WEB: Datos de personas de los usuarios de los servicios de la sociedad de la información prestados a través de la web de la entidad.

Ubicación principal: DIRECCIÓN, CP, LOCALIDAD.

Finalidad: Gestión de los servicios de la sociedad de la información prestados a través de la web que explota la entidad.

Medidas de seguridad: Nivel BÁSICO.

Código de inscripción: 00000000000

Fecha de inscripción:       de       de      

 

 

ESTUDIO DE LOS NIVELES DE SEGURIDAD ASIGNADOS POR EL RESPONSABLE DEL TRATAMIENTO[16]

 

De acuerdo con la información obrante en las declaraciones de inscripción de los tratamientos auditados, el análisis del sistema de tratamiento (automatizados/no automatizado/mixto[17]) de ENTIDAD AUDITADA y lo establecido en el RDLOPD, a continuación se pone de manifiesto las siguientes cuestiones respecto de los niveles de seguridad asignados a cada fichero:

 

Tratamiento rrhh

§  Nivel asignado por el responsable del tratamiento: ALTO

§  Nivel que le corresponde a juicio del auditor: ALTO

Tratamiento currículos

§  Nivel asignado por el responsable del tratamiento: MEDIO

§  Nivel que le corresponde a juicio del auditor: ALTO, dado que, realizadas las comprobaciones oportunas, se ha puesto de manifiesto que en algunos de los currícula enviados por terceros interesados objeto de tratamiento, contienen datos relativos a la salud de las personas, tal como la condición de minusválido.

Tratamiento usuarios web

  • Nivel asignado por el responsable del tratamiento: BÁSICO

§  Nivel que le corresponde a juicio del auditor: BÁSICO

 

 

LISTA DE DISTRIBUCIÓN

 

Este informe de auditoría debe ser entregado a las siguientes personas pertenecientes a la organización de ENTIDAD AUDITADA:

 

Nombre y apellidos

Cargo y departamento

ANÁLISIS DE LOS DATOS, HECHOS, OBSERVACIONES, ADECUACIÓN DE LAS MEDIDAS Y CONTROLES DE SEGURIDAD AL TÍTULO VIII DEL RDLOPD Y DE LA LOPD, IDENTIFICACIÓN DE LAS DEFICIENCIAS Y PROPUESTA DE MEDIDAS CORRECTORAS

 

Respecto de los tratamientos auditados, a continuación se pone de manifiesto, de acuerdo con lo dispuesto en el RDLOPD, los hechos, datos y observaciones revisados y comprobados por el auditor respecto de la adecuación de los mismos a las medidas y controles de seguridad establecidos en el Título VIII del RDLOPD y LOPD, la identificación de todas las deficiencias encontradas y la propuesta de medidas correctoras o complementarias que recomienda el auditor.

 

(A continuación describimos la manera de redactar este apartado del informe de auditoría, basándonos en el ejemplo de los tres tratamientos reflejados en el apartado anterior, teniendo en cuenta que el tratamiento de “usuarios web” no será objeto de auditoría puesto que su nivel de seguridad es el básico).

 

TRATAMIENTO RRHH

 

Medida de Seguridad:[18]      

 

Definición:[19]      

 

Datos, hechos y observaciones:[20]      

 

Verificación de su cumplimiento:[21]      

 

Salvedades:[22]      

 

Propuesta de medidas correctoras:[23]      

 

Propuesta de medidas complementarias[24]:      

 

Recomendaciones del Auditor:[25]      

 

 

TRATAMIENTO CURRÍCULOS

 

Medida de Seguridad:

 

     

 

Definición:

 

     

 

Datos, hechos y observaciones:

 

     

 

Verificación de su cumplimiento:

 

     

 

Salvedades:

 

     

 

Propuesta de medidas correctoras:

 

     

 

Propuesta de medidas complementarias

 

     

 

Recomendaciones del Auditor:

 

     

 

(A continuación cumplimentamos un ejemplo del tratamiento de RRHH)

 

 

Véase gráficamente un ejemplo

Medida de Seguridad:

 

Funciones y obligaciones del personal

 

 

Definición:

 

Artículo 89 del RDLOPD.- Funciones y obligaciones del personal. 1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

 

Asimismo, y de acuerdo 105 del RDLOPD, será de aplicación lo dispuesto en el artículo 89 respecto de los ficheros y tratamientos no automatizados.

 

Datos, hechos y observaciones:

 

El auditor ha procedido a entrevistar a uno de los usuarios del departamento de RRHH requiriéndole información acerca de las medidas de seguridad controles y procedimientos que debía cumplir en esta materia a lo cual el usuario ha respondido a las distintas preguntas incluidas en el cuestionario manifestando que la ENTIDAD AUDITADA en todo momento les ha advertido de la existencia de una serie de normas de seguridad que le afectan para el desarrollo de sus funciones con graves consecuencias en caso de incumplimiento, todo lo cual el usuario puede consultar permanentemente en la intranet de la empresa.

 

Asimismo, el entrevistado manifiesta que el último curso sobre protección de datos que ENTIDAD AUDITADA ha impartido fue en el año 1999 con la entrada en vigor del Reglamento de Medidas de Seguridad (actualmente derogado).

 

Verificación de su cumplimiento:

 

Se ha comprobado la existencia de unos comunicados en la intranet de ENTIDAD AUDITADA advirtiendo a los empleados de las normas de seguridad que afectan al desarrollo de sus funciones y su obligación de cumplirlas así como las consecuencias de su incumplimiento conforme lo dispuesto en el convenio colectivo que es de aplicación a ENTIDAD AUDITADA y subsidiariamente en el Estatuto de los Trabajadores.

 

No obstante, el auditor ha verificado que en las normas de seguridad proporcionadas...

Para continuar leyendo

REGÍSTRATE GRATIS