Modulo III, parte 1

MÓDULO III. TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE
PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 3.1.
“LA AUDITORÍA DE PROTECCIÓN DE DATOS”

ESTRUCUTRA DIDÁCTICA
3.1. La auditoría de protección de datos.
3.1.1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría. Características básicas de la Auditoría.
3.1.2. Elaboración del informe de auditoría. Aspectos básicos e importancia del informe de auditoría.
3.1.3. Ejecución y seguimiento de acciones correctoras.
3.2. Auditoría de Sistemas de Información.
3.2.1. La Función de la Auditoría en los Sistemas de Información. Conceptos básicos. Estándares y Directrices de Auditoría
de SI.
3.2.2. Control interno y mejora continua. Buenas prácticas. Integración de la auditoria de protección de datos en la
auditoria de SI.
3.2.3. Planificación, ejecución y seguimiento.
3.3. La gestión de la seguridad de los tratamientos.
3.3.1. Esquema Nacional de Seguridad ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de Sistemas de Gestión
de Seguridad de la Información, SGSI)
3.3.2. Gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad aplicada a las TI y a la
documentación.
3.3.3. Recuperación de desastres y Continuidad del Negocio. Protección de los activos técnicos y documentales.
Planificación y gestión de la Recuperación del Desastres.

ESTRUCUTRA DIDÁCTICA
3.4. Otros conocimientos.
3.4.1. El cloud computing.
3.4.2. Los Smartphones.
3.4.3. Internet de las cosas (IoT).
3.4.4. Big data y elaboración de perfiles.
3.4.5. Redes sociales
3.4.6. Tecnologías de seguimiento de usuario
3.4.7. Blockchain y últimas tecnologías
.

UNIDAD DIDÁCTICA 3.1. LA AUDITORÍA DE PROTECCIÓN DE DATOS
ESTRUCTURA DIDÁCTICA
Introducción
3.1 La auditoria de protección de datos
3.1.1. El proceso de auditoría. Cuestiones generales y aproximación a la auditoría.
Características básicas de la Auditoría.
3.1.2. Elaboración del informe de auditoría. Aspectos básicos e importancia del informe de
auditoría.
3.1.3. Ejecución y seguimiento de acciones correctoras.

INTRODUCCIÓN
Las técnicas para garantizar el cumplimiento de la normativa de protección de datos debe ser
supervisada por los poderes de los Estados de la Unión, cuyas fracciones serán sancionadas como
establece el considerando 11 de RDPG. El proyecto de LOPD*3 establece.
“Art.51.1 La Agencia Española de Protección de Datos desarrollará su actividad
de investigación a través de las actuaciones previstas en el Título VII y de los
planes de auditoría preventivas.”
“Art.54 Planes de auditoría preventiva.
El Presidente de la Agencia Española de Protección de Datos podrá acordar la
realización de planes de auditoría preventiva, referidos a los tratamientos de un
sector concreto de actividad.”

INTRODUCCIÓN
Entre las técnicas de supervisión que
garanticen el cumplimiento de la normativa
se encuentra la Auditoría de Protección de
Datos, que se rige por el principio de
responsabilidad proactiva, que debe
atender no solo la Auditoría de Control sino
el responsable de tratamiento

3.1. LA AUDITORÍA DE PROTECCIÓN DE DATOS
INTRODUCCIÓN
A continuación de hará referencia a los artículos sobre las funciones y la relación contractual de los RT ,
Autoridad de control y DPD necesarios para llevar a cabo sus papel como supervisores del cumplimiento
del RGPD:
Art. 28, relativo a los Encargados de tratamiento, y su relación contractual con el Responsable,
Art. 39, relativo a las funciones del Delegado de Protección de Datos.
“h) pondrá a disposición del responsable toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y
contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro
auditor autorizado por dicho responsable.”
b) …la asignación de responsabilidades, la concienciación y formación del personal que participa en
las operaciones de tratamiento, y las auditorías correspondientes.”

INTRODUCCIÓN
A continuación de hará referencia a los artículos sobre las funciones y la relación contractual de los
RT , Autoridad de control y DPD necesarios para llevar a cabo sus papel como supervisores del
cumplimiento del RGP:
Art. 47, relativo a las Normas corporativas vinculantes que según punto 2) especificarán, como
mínimo:
Art. 58, Poderes, sobre “cada Autoridad de Control”, hace referencia a las investigaciones en forma
de auditorías de protección de datos:
“j) … incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para
proteger los derechos del interesado.”

INTRODUCCIÓN
Art. 58, Poderes, sobre “cada Autoridad de Control”, hace referencia a las investigaciones en forma de
auditorías de protección de datos:
El responsable del departamento no tiene como obligación llevar a cabo las auditorías según el
RGPD.
Se debe de tener en cuenta que las auditorías no son limitadas por el RGPD, en cuanto al ámbito y
continuidad en las que se puede realizar por el RGPD
Las auditorías sirven para conocer las debilidades e incumplimiento de las organizaciones,
acreditando dicho cumplimiento o no de acuerdo al RGPS y el principio de proactividad. La auditoría
debe realizarse como exigencia de los clientes, o la entidad.

INTRODUCCIÓN
Las fuentes de información y documentación dependerá del objetivo a alcanzar, así cómo las
funciones de los auditores que nos indicará si cumplen con un perfil correcto o no.
Por medio de auditorías se podrá obtener una evaluación de las debilidades e incumplimientos
para llevar a cabo medidas que lo restablezcan, para que cumplan con la normativa establecida por
el RGPD.
Para llevar a cabo una auditoría se debe de identificar quién puede y quién debe realizarlo.
• Las auditorías pueden ser realizadas , por perfiles no concretos , que no requieren una
titulación. Pero deben contar con experiencia y un perfil adecuado independiente a la entidad a
la que audita, que sepa adaptarse a laos entonos, evaluar los riesgos y el cumplimiento de la
normativa, con el fin de aportar medidas eficientes.

INTRODUCCIÓN
Para llevar a cabo una auditoría se debe de identificar quién puede y quién debe realizarlo.
• Por otro lado deben de llevar a cabo la auditoría aquellos que cumplan con los requisitos en
materia de evaluación , protección de datos personales, y conocimientos del nuevo reglamento,
como pueden ser los equipos especializados
Los principios éticos que deben de seguir los auditores son los siguientes: conducta ética,
objetividad, profesionalidad e independencia.

PRINCIPIOS DE LOS AUDITORES
Conducta ética: basado en la confianza, confidencialidad, discreción y coherencia, establecido por los
Códigos de Conducta
Objetividad: los informes elaborados por la auditoría deben ser verificados y precisos de acuerdo con
su actividad, cualquier inconveniente entre auditor y auditado debe de ser comunicado.
Profesionalidad: deben de ajustarse a sus funciones y tener un conocimiento experto acerca de la
auditoría.
Independencia e imparcialidad: deben ser ajenos a la entidad auditada, y a los conflictos de intereses.
Por lo tanto no puede auditar directamente áreas llevadas a cabo por familiares, amigos, etc.

INTRODUCCIÓN
Para auditar debemos de tener en cuenta dos tipos. Por un lado encontramos la auditoría legal,
cuya documentación referida a las obligaciones establecidas es presentada; y por otro lado
auditoría de seguridad, encargada de evaluar las medidas establecidas en materia de Seguridad.
Para llevar a cabo la auditoría, el auditor debe emplear un checklist. El propio auditor,
dependiendo de la organización establecerá una auditoría en relación al RGPD ( ckecklist), donde
aportará soluciones en relación con los resultados obtenidos en la evaluación de los riesgos de la
organización

3.1.1. EL PORCESO DE AUDITORÍA. CUESTIONES GENERALES Y APROXIMACIÓN A LA
AUDITORÍA. CARACTERÍSTICAS BÁSICAS DE LA AUDITORÍA.
La auditoría debe de verificar el cumplimiento conforme al reglamento
La auditoría legal está formada por : una legislación específica sobre la protección de datos del
país, los códigos de conducta de la organización. Además de las normas corporativas, sectoriales y
complementarias que afecten y competen a las autoridades de protección de datos. Que se
relaciona con las normativa interna de la entidad ( contratos y compromisos) que pueden afectar.
Para llevar a cabo la auditoría legal se deben tener en cuenta los principios de los artículos 5 al 11
del RGPD.

La auditoría debe de verificar el cumplimiento conforme al reglamento
Para llevar a cabo la auditoría legal se deben tener en cuenta los principios de los artículos 5 al 11
del RGPD.
El artículo 5.1.f del RGPD, especifica:
Este artículo acreditará el cumplimiento por medio de un soporte de un Prestador Cualificado de
Servicios de Confianza respecto al Reglamento el DAS
“Tratados de tal manera que se garantice una seguridad adecuada de los datos personales,
incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas
apropiadas («integridad y confidencialidad»).”

Respecto al art.9 comprueba que se cumplen con las categorías especiales de los datos
personales, de acuerdo a los derechos del interesado , establecidos en el art.12 al 23, y 26,
donde se verifica si se han adoptado las medidas necesarias en los casos requeridos a partir del
tratamiento empelado.
En los artículos 21 y 22, se puede observar si se han cumplido las condiciones a realizar en caso
de elaborar perfiles , siendo también otro aspecto a verificar si estos perfiles no requieren de su
realización. De esta manera recoge los artículos nombrado las siguientes puntualizaciones:
• De acuerdo al art.24 supervisar su el RT cumple con sus funciones y obligaciones establecidos
por el RGPD, así como le grado de cumplimiento del Código de Conducta adherido, y si este
último cumple con las características adecuadas.

• También pueden verificar por medio de un examen de documentación o una entrevista si se
requiere la aplicación de la protección de datos desde el diseño y / o por defecto estipulado
en el art.25 , y por consiguiente si es aplicada.
• Conforme al art.27, los RT o ET que no se encuentren dentro de la Unión y en el caso del
tratamiento de datos personales fuera de la frontera , dependiendo del riesgo que pueda
suponer, puede enviarse un cuestionario , llevar a cabo una videoconferencia o recibir un
informe de auditoría interna o externa sobre sus encargados , para verificar la seguridad del
proceso.

• Existen casos en los que el ET ( art. 28 y 29) que se encuentren en entidades que presenten
servicios dentro de España y que a su vez almacenan datos en sus sistemas, como en la nube ,
a los que no hace referencia el RGPD al ser un medio muy utilizado.
Las revisiones a encargados debe realizarse de manera similar en las instalaciones del
responsable, comprobando si se han iniciado en otro país , evitando desplazamientos. También se
deberá de revisar los contratos referidos a otro marco legal de otro país y la utilización de
idioma.

La auditoría de un encargado , pueden ser en ocasiones difíciles al no recibir toda la información
necesaria, donde en el art.3 .h) se hace referencia a los dossier de documentos:
• En el artículo 30 se establece que el registro de las actividades del tratamiento pueden
incluidos como objeto de la auditoría, en caso de ser obligatorio para la entidad, donde debe
constar los contenidos adecuados. Algunos establecen que esa incorporación, sustituye al
Documento de Seguridad del RDLOPD23, a pesar de no especificarse detalles y si añade datos
útiles, que anteriormente las entidades no podían tanto en casos de seguridad como en otros,
según se detalla en los artículos 1.g) y 2.d).
• DPDP debe presentar un perfil idóneo y acreditado de acuerdo al art. 37

La auditoría de un encargado , pueden ser en ocasiones difíciles al no recibir toda la información
necesaria, donde en el art.3 .h) se hace referencia a los dossier de documentos:
• Comprobar el cumplimiento y nivel de adecuación del Código de Conducta de la organización,
señalado en el art.24 y art.40
• Respecto con la Certificación (artículo 42), que debe de realizar el organismo de certificación
autorizado,. Pueden establecerse auditorías previas como las obligadas por el ISO 27001 y otras
certificaciones que formen parte de la revisión general de RGPD.
• Se establecen las transferencias de datos a terceros países u organismos internacionales en los
artículos 44 y 49
• En el art.47 se indican las normas corporativas de un grupo de empresas

Destacar que en el art.9 de la Ley Orgánica 15/1999 sobre la Protección de Datos de Carácter
Personal (LOPD), indica en el punto 1, que las medidas técnicas y organizativas deben ser utilizadas
por el ET , cuya documento sobre la Seguridad fue aprobado por el Reglamento de desarrollo de la
LOPD, en el Real Decreto 172072007. Ley que será DEROGADA

Auditoría de seguridad técnica
Respecto a la auditoría de seguridad técnica, se tendrán en cuenta los artículos 32 a 34 del RGPD
sobre seguridad y violaciones de seguridad, y salvo en casos excepcionales, no se llevará a cabo
una evaluación detallada sobre los riesgos tecnológicos, sino la supervisión del análisis de
riesgos realizado por la entidad, y la revalorización de las medidas adoptadas, así como las
posibles amenazas.
El art.32 sobre seguridad del tratamiento se interpretará cuando debe aplicarse ciertas medidas
y cuando no., de acuerdo al RGPD, cuyas medidas no pueden ser detalladas por el RGPD
respecto a cada organización ni tratamiento, por lo que se requerirá de manera obligatoria
determinar un criterio.

Las organizaciones no pueden comparar los resultados adquiríos por la auditoría y los obtenidos
por el RDLOP o RGPD; al no corta con indicadores comparativos ni normas homogéneas.
Resumen:
La auditoria del RGPD, no cuenta lo puntos definidos de los artículos del RDLOPD y contenidos del
documento de seguridad, que estaban establecidos en el RDLOP, donde se obtenían respuesta
cuantitativas por medio de respuestas SI o No, que quedaban recogidos en el resultado de un
modelo escala o niveles ( alto- medio- bajo)

Los tratamientos y almacenamientos de documentos no automatizados,
aunque hoy día se utilizan medios , formatos y tratamientos electrónicos,
esos documentos físicos deben de tratarse con la mayor protección posible
debido a la categorías especiales de datos que albergan como señalan en el
artículo 9 del RGPD.

3.1.2. ELABORACIÓN DEL INFORME DE AUDITORÍA. ASPECTOS BÁSICOS E IMPORTANCIA
DEL INFORME DE AUDITORÍA.
Las verificaciones sobre le tratamiento deben quedar documentadas en un borrador del
informe, así como sus evidencias y conclusiones fundamentadas Si participan varios auditores
estos deberán realizar las supervisiones que les correspondan.
El informe , para que sea emitido, debe de profundizar las pruebas y evidenciadas de la
verificación de la organización de acuerdo a la normativa, para ello deben aportar datos fiables,
cuantitativos y cualitativos como interlocutores, muestreos, etc.
Las características de los borradores de informe se especifican a continuación.
• Los borradores de informe son revisados por varios niveles, antes de la recepción del cliente.

o Los procesos son: revisión de los autores de lo escrito y una revisión general e interna que
unifique las conclusiones de ambas partes para la Dirección. En estas revisiones, cualquiera
puede participar en la mejora y justificación del borrador.
o Se entrega al Directo de la Organización el borrador, por si se requiere una modificación del
mismo.
o Los puntos del informe que se hayan modificado o el cliente haya solucionado algún punto
tras el examen, debe de reflejarse la actualización y no eliminar el punto, con el fin de
valorar la efectividad de la s medidas empleadas.

o En el informe debe de visibilizarse la palabra borrador, en otro color, o e letra hueca en
transversal en cada página, junto con la palabra confidencial, que serán enviados
únicamente a quien haya encargado el trabajo.
o Es preferible llevar a cabo una reunión con las personas adecuadas , para tratar el informe, o
por le contrario, entregarlo al responsables de las áreas auditadas para conocer y defender lo
documentado en el informe.
o Es recomendable enviar le borrador o informe final en PDF, con contraseña cifrada y firmado
electrónicamente.

o Importante la negación de la aquellas modificaciones en beneficio al RT que puedan
perjudicarle, ya que el informe tiene un carácter objetivo con el fin de mejorar la seguridad
retratamiento y eficiencia de la organización.
o En El caso de llevarse a cabo una auditoría externa, se deberá de entregar el informe final y
si se requiere se presentará a la Dirección con previa asistencia. Si en cambio, la auditoría es
interna se realizará un seguimiento continuo del Plan de Acción, con el que se tendrá
informada a la Dirección.

El contenido del informe estarán estructurado de acuerdo con unos objetivos, estilos y
extensiones diferentes según el caso., deberá de contar con una introducción y conclusión para
aclarar el contexto y los puntos establecidos para quién lo reciba en este caso un directivo.
• Lo importante es que refleje las áreas y aquellos aspectos a mejorar, que aporten utilidad al
informe, y justificar el incumplimiento de las normativa interna.
Se requerirá la aportación de un Plan de Acción , que se clasificará de acuerdo a:
• Riesgo: según su nivel (alto- medio- bajo), el incumplimiento y amenazas que pueden
presentar.
• Plazo de solución: a corto, medio o bajo, en relación a la nivel de riesgo.
• Coste: puede ser medio, bajo o alto
• Dificultad: clasificado en baja-media- alta ,dependiendo de las medidas a adoptar y al
número de personas que afecte. P.e : cambiar los software de los ordenadores sin haberlo
hecho antes.

3.1.3. EJECUCIÓN Y SEGUIMIENTO DE ACCIONES CORRECTIVAS.
Según el nivel de riesgos que se puedan asumir, la Dirección General debe establecer unas
prioridades. Las aclaraciones a cerca de las prioridades pueden ser solicitadas al DPD o al
auditor.
En general, los riesgos altos o medios a corto plazo con un coste bajo y dificultad baja suelen ser
abordados principalmente, al menos en la teoría, cuyos puntos comunes de dificultad pueden
ser: interdependencia de proyectos, limitaciones en el presupuesto, falta de recursos técnicos,
entre otros.
El control del seguimiento de las acciones y medidas correctivas, será realizado por el DPD o
auditor, ordenado por la alta dirección, a los que tendrán informados de ello.

Las fichas de seguimiento y control de las acciones correctivas elaboradas por el DPDP o la
auditoría, deberán de tener un carácter periódico, en las que se indicará:
• Periodo: tiempo en el que se ha transcurrido la verificación
• Unidad funcional:, donde se establecen las medidas correctivas
• Director de la Unidad funcional: nombre del responsable de la unidad
• Riesgo: debe indicarse en el Código de la ficha de Seguimiento
• Origen del riesgos ( identificación)
• Medida o Acción correctiva propuesta, junto con su denominación.
• Prioridad de las acciones correctivas aplicadas, en función del riesgo y los criterios
establecidos en la ficha.
• Responsables que aplican la acción correctora y seguimiento
• Acción, la cuál será propuesta como aceptada o rechazada

Las fichas de seguimiento y control de las acciones correctivas elaboradas por el DPDP o la
auditoría, deberán de tener un carácter periódico, en las que se indicará:
• Fechas previstas, del inicio y fin de las acciones correctivas.
• Ejecutado: donde debe de especificarse si ha sido llevada a cabo o no, la medida propuesta
y en que medida ( total o parcialmente)
• Resultado: tras aplicar las medidas correctoras resultados o no. Así como los nuevos riesgos
encontrados.
Cuando las medidas no sean eficientes deberán de identificarse las causa, llevar a cabo las
medidas recomendables e informar a los directores.

Modulo III, parte 1

Más contenido relacionado

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último (20)

Modulo III, parte 1