A partir de la constitución del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, son asentadas una serie de normativas estandarizadas para la regulación de la actividad empresarial y la garantía de la protección de la información.
En esta reglamentación surge la normativa ISO 27701, que básicamente es un estándar internacional para gestionar la información.
Esta normativa define una estructura de claves, que protegen a la organización de cualquier incumplimiento en materia de seguridad y privacidad de la información.
Certificado de Seguridad Información ISO 27001
El Certificado de Seguridad de la Información establece los requisitos necesarios, para que una institución opere con las garantías que significan la protección de datos y la seguridad de la información.
Toda evaluación realizada bajo el diplomado debe confirmar el cumplimiento de 114 controles distintos, que integran las áreas técnicas, legales y de entendimiento de la organización.
Los controles o requisitos engloban actividades como:
· Control de acceso
· Seguridad física y ambiental
· Seguridad de comunicaciones
· Criptografía
· Relaciones con proveedores
· Seguridad de recursos humanos
Existen diferentes apartados y anexos de control para la auditoria y la Agencia de Protección permite la actividad a partir de la evaluación positiva de todos los requisitos.
Claves de la auditoría técnica
El auditor evaluará los controladores que brindan seguridad y protección de los datos. En ese caso, tendrá en consideración lo siguiente:
· Quiénes son los que tienen el acceso a una información privada.
· Desde dónde tienen el acceso a dicha información privada.
· ¿El sistema posee o no un paso de destrucción de datos?
· ¿En qué parte quedan alojados y registrados los datos de la empresa?
· ¿Cuáles sistemas de seguridad son implementados durante todo el proceso en que se usa la información?
· ¿Cómo es el mantenimiento de los sistemas de seguridad?
La falta en distintos controladores puede dar como fallida la auditoría, pero esto no significa un mal paso, sino que es una iniciativa para mejorar los aspectos que resalte el propio auditor.
Es posible que se deba realizar más de una auditoría para lograr la homologación y gozar de los privilegios de disponer las bases de datos de salud, de estado financiero o de información de la ciudadanía.
Claves de la auditoría legal
A partir de las últimas resoluciones y normativas, las auditorías de privacidad de los datos personales son de obligación directa.
La renovación periódica y las frecuencias de las auditorías están contempladas en el Real Decreto 994/1999 del 11 de Junio.
El artículo 17 de dicho Decreto, obliga a las empresas a realizar auditorías periódicas para los ficheros de nivel de seguridad medio y alto.
Frecuencia de las auditorías
En este caso, las s auditorías de privacidad de los datos personales deben realizarse cada 2 años.
Consecuencias de no auditar la implantación de RGPD
El incumplimiento de la renovación de las auditorias tiene una sanción monetaria de entre €40.000 y €300.000.
La falta de ética y otras acciones criminales relacionadas con la divulgación de información, o la utilización de los datos personales para calumnias y fraudes, tiene posibilidad de acciones penales.