La Auditoría de Seguridad en la Protección de Datos

de Carácter Personal

AUDITOR2009-00 29/7/09 09:58 Página 1

AUDITOR2009-00 29/7/09 09:58 Página 2

La Auditoría de Seguridad en la Protección de Datos

de Carácter Personal

Autores:

Ana Marzo PorteraAlejandro Macho-Quevedo Pérez-Victoria

AUDITOR2009-00 29/7/09 09:58 Página 3

© 2009, Ediciones Experiencia, S.L.

© 2009, Ana Marzo Portera© 2009, Alejandro Macho-Quevedo Pérez-Victoria

Edita: Ediciones Experiencia, S.L.C/ Sant Eusebi, 53 - 1.º-2.ª08006 BarcelonaTel.: 93 241 10 25Fax: 93 241 31 29ediciones@edicionesexperiencia.com

Primera edición: febrero 2004Segunda edición: julio 2009

Reservados todos los derechos. No está permitida la reproducción total o par-cial de esta publicación, ni su tratamiento informático, ni la transmisión deninguna forma o por cualquier medio, ya sea electrónico, mecánico, por foto-copia, por registro u otros medios, sin el permiso previo y por escrito de lostitulares del copyright.

La editorial no comparte obligatoriamente las opiniones expresadas en laobra. Ni el editor ni los autores aceptarán responsabilidades por las pérdidasocasionadas a las personas naturales o jurídicas que actúen o dejen de actuarcomo resultado de ninguna información contenida en esta publicación.

Depósito legal: B. 19.213-2009 ISBN: 978-84-96283-78-7Compone e imprime: Gràfiques 92, S.A., Avda. Can Sucarrats, 91

Rubí (Barcelona) Impreso en España - Printed in Spain

Consejo editorial:

Juan Manuel Perulles MorenoCatedrático de Derecho Financiero y Tributario Abogado

Mª Luisa Ochoa TrepatProfesora Titular de Derecho Financiero y TributarioDoctora en Derecho

Domingo Carbajo VascoEconomista. Abogado Inspector de Hacienda del Estado

José Luis Díaz EchegarayDoctor en DerechoAbogado

AUDITOR2009-00 30/7/09 11:18 Página 4

A nuestros padres, por ellos estamos aquí

5

AUDITOR2009-00 29/7/09 09:58 Página 5

AUDITOR2009-00 29/7/09 09:58 Página 6

ÍNDICE

NOTA ACLARATORIA

Cuando aparece este icono se refiere al procedimiento administrati-vo a seguir ya sea mediante la cumplimentación, presentación ocomprobación de algún documento.

PRESENTACIÓN DE LA OBRA ......................................................................................................... 11

INTRODUCCIÓN .................................................................................................................................. 13

ABREVIATURAS UTILIZADAS ......................................................................................................... 17

NORMATIVA UTILIZADA .................................................................................................................. 19

GLOSARIO DE TÉRMINOS Y DEFINICIONES.............................................................................. 21

I. MARCO LEGAL DE LA AUDITORÍA ..................................................................................... 25

1. Marco legal regulador de la seguridad de datos en el tratamiento de datos de carácter personal . 272. Antecedentes de la Auditoría de medidas de seguridad.......................................................... 293. Alcance de la obligación de realizar la Auditoría ................................................................... 304. Sujetos sometidos a la Auditoría ............................................................................................. 315. Ficheros y tratamientos sometidos a la Auditoría ................................................................... 326. Excepciones a la obligación de Auditoría ............................................................................... 337. Objeto de la Auditoría ............................................................................................................. 348. Plazos de implantación de las medidas de seguridad.............................................................. 35

7

AUDITOR2009-00 29/7/09 09:58 Página 7

II. CARACTERÍSTICAS DE LA AUDITORÍA ............................................................................ 41

9. Tipos de Auditoría ................................................................................................................... 4310. Auditoría bienal y auditoría extraordinaria en relación con los ficheros y tratamientos

automatizados .......................................................................................................................... 4311. Auditoría bienal en relación con los ficheros y tratamientos no automatizados .................... 4512. Características de la condición de auditor............................................................................... 4513. Auditoría interna...................................................................................................................... 4614. Auditoría externa ..................................................................................................................... 4715. Contratación del servicio......................................................................................................... 47

III. CONTENIDO DE LA AUDITORÍA .......................................................................................... 53

16. Contenido mínimo del informe de Auditoría .......................................................................... 5517. Adecuación de las medidas y controles al RDLOPD. ............................................................ 5618. Adecuación de las medidas y controles a la LOPD. ............................................................... 6919. Identificación de las deficiencias ............................................................................................ 7120. Propuesta de medidas correctoras o complementarias............................................................ 7121. Enumeración y descripción de los datos, hechos y observaciones en que se basen los dictá-

menes alcanzados y las recomendaciones propuestas............................................................. 73

IV. FASES DE LA AUDITORÍA ....................................................................................................... 79

22. El compromiso y apoyo de la dirección.................................................................................. 8123. Identificación de las fases de la Auditoría .............................................................................. 8324. Identificación de los interlocutores ......................................................................................... 8325. Elaboración del calendario de actuaciones ............................................................................. 8526. Recogida de información......................................................................................................... 8727. Obtención de información a través de las entrevistas............................................................. 8928. Solicitud expresa de documentación ....................................................................................... 9229. Revisión de las medidas y controles de seguridad.................................................................. 10030. Análisis de la información....................................................................................................... 10431. Aclaraciones ............................................................................................................................ 10532. El informe provisional............................................................................................................. 10733. Estudio y opiniones sobre el informe provisional................................................................... 10734. El informe definitivo ............................................................................................................... 108

Índice

8

AUDITOR2009-00 29/7/09 09:58 Página 8

9

Índice

V. EL RESPONSABLE DE SEGURIDAD Y EL INFORME DE AUDITORÍA ......................... 113

35. El informe de auditoría de verificación del cumplimiento del Título VIII del RDLOPD...... 11536. La figura del responsable de seguridad................................................................................... 11637. El análisis del informe de auditoría por el responsable de seguridad..................................... 12038. Contenido del informe de conclusiones del responsable de seguridad................................... 12139. Archivo interno de la auditoría y documentos que la componen ........................................... 123

VI. EL INFORME LEGAL DE ACOMPAÑAMIENTO EN MATERIA DE PROTECCIÓN DE DATOS ..................................................................................................................................... 129

40. Objeto ...................................................................................................................................... 13341. Contenido................................................................................................................................. 13342. Documentos sujetos a revisión................................................................................................ 13443. El informe legal de acompañamiento...................................................................................... 135

VII. EL INFORME DE AUDITORÍA Y LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ............................................................................................................................................ 137

44. La AEPD y las Agencias de las Comunidades Autónomas .................................................... 13945. Funciones de la AEPD............................................................................................................. 14046. Estructura organizativa de la AEPD........................................................................................ 14147. La AEPD ante el informe de Auditoría ................................................................................... 14348. Solicitud del informe de Auditoría .......................................................................................... 14449. Adopción de medidas cautelares ............................................................................................. 14850. Infracciones y sanciones.......................................................................................................... 148

VIII. USO DE LOS FORMULARIOS DE AUDITORÍA ................................................................... 155

AUDITOR2009-00 29/7/09 09:58 Página 9

IX. FORMULARIOS DE AUDITORÍA ............................................................................................ 161

NOTA ACLARATORIA

Para descargar los Formularios visite la ficha del libro en nuestra web: www.edicionesexperiencia.com

Modelo n.º 1 Modelo de contrato de acceso a datos para la prestación de servicios .......................... 163A) Cuestionario de entrevista al responsable de seguridad............................................ 169B) Cuestionario de entrevista a usuarios ........................................................................ 251

Modelo n.º 2 Modelo de acta de reunión ............................................................................................. 305Modelo n.º 3 Modelo de informe de Auditoría .................................................................................... 309

A) Alcance de los trabajos.............................................................................................. 311B) Análisis de los datos, hechos, observaciones, adecuación de las medidas y contro-

les de seguridad al título VIII del RDLOPD y LOPD, identificación de las deficien-cias y propuesta de medidas correctores ................................................................... 317

C) Metodología............................................................................................................... 325D) Cláusula de confidencialidad y deber de secreto ...................................................... 331E) Limitaciones............................................................................................................... 332F) Tabla de medidas correctoras..................................................................................... 333G) Tabla de medidas complementarias........................................................................... 334H) Conclusiones para entidad auditada .......................................................................... 335

Modelo n.º 4 Modelo de informe de análisis y conclusiones del informe de Auditoría...................... 337Modelo n.º 5 Modelo de informe de revisión de adopción de las medidas de seguridad ................... 345

Índice

10

AUDITOR2009-00 29/7/09 09:58 Página 10

D esde que en el año 1992 se publicara nuestraprimera Ley de Protección de Datos de Carác-

ter Personal hasta la fecha, como jurista puedo decirque si alguna faceta de este nuevo derecho ha pene-trado en el mundo empresarial es precisamente la deseguridad y confidencialidad de la información.

Posiblemente los motivos son varios, pero consideroque el principal ha sido que desde que en el año 1999naciera nuestro primer Reglamento de Medidas deSeguridad para la Protección de los Datos de CarácterPersonal, el mercado de la consultoría y calidad haempujado el negocio de la seguridad de los datos per-sonales, en ocasiones, como labor inseparable de laseguridad de los sistemas de información en general.Pero ante un derecho tan novedoso como este de laprotección de datos de carácter personal, la labor delabogado o jurista es esencial para apoyar cualquierproyecto de adaptación de las medidas de seguridadderivadas de la normativa sobre protección de datos,puesto que a diferencia de cualquier proyecto de con-sultoría o calidad en general, los proyectos de adap-tación a la normativa sobre protección de datos per-sonales tienen por objeto garantizar el derecho fun-damental de los individuos a la protección de susdatos, o dicho de otra forma, garantizar el poder dedisposición y control que cada persona tiene sobresus datos, y por tanto no solo se trata de que lasempresas y organizaciones mejoren sus procesos paraser competitivas, securizar sus activos o gestionar lacalidad de éstos, sino que por el contrario el únicoobjetivo pretendido por la Ley Orgánica 15/1999, de

13 de diciembre, de Protección de Datos de CarácterPersonal es el de garantizar y proteger un derechofundamental que ostenta cualquier individuo.

El artículo 9 de la Ley Orgánica 15/1999, de 13 dediciembre, de Protección de Datos de CarácterPersonal (LOPD) obliga tanto a responsables como aencargados del tratamiento (en definitiva a cualquie-ra que en el marco del ámbito de aplicación de la Leytrate datos personales) al cumplimiento de una seriede medidas de seguridad desarrolladas primeramenteen el Real Decreto 994/1999 y en la actualidad, en eltítulo VIII del Real Decreto 1720/2007, de 21 dediciembre, por el que se aprueba el Reglamento deDesarrollo de la LOPD, el cual asimismo ha deroga-do al anterior.

Como pone de manifiesto la Exposición de Motivosdel citado Real Decreto 1720/2007, “el título VIIIregula un aspecto esencial para la tutela del derechofundamental a la protección de datos, la seguridad,que repercute sobre múltiples aspectos organizativos,de gestión y aún de inversión, en todas las organiza-ciones que traten datos personales. En este sentido,el reglamento trata de ser particularmente rigurosoen la atribución de los niveles de seguridad, en lafijación de las medidas que corresponda adoptar encada caso y en la revisión de las mismas cuando elloresulte necesario. Además, se ha pretendido regularla materia de modo que contemple las múltiples for-mas de organización material y personal de la segu-ridad que se dan en la práctica y como no podía serde otra manera, el Real Decreto en su título VIII

11

PRESENTACIÓN DE LA OBRA

AUDITOR2009-00 29/7/09 09:58 Página 11

regula un conjunto de medidas destinadas a losficheros y tratamientos automatizados y otro paquetede medidas para aquellos ficheros y tratamientosestructurados y no automatizados, todo lo cual ofre-ce a los responsables un marco claro de actuación”.

En el ámbito concreto de la protección de datos decarácter personal, la obligación de adoptar las medi-das de seguridad previstas en el título VIII del RealDecreto 1720/2007 se constituye como una obliga-ción de medios que opera sobre la base de círculosconcéntricos de seguridad, exigiendo la implantaciónde mayores niveles de seguridad en atención al carác-ter de los datos objeto de tratamiento. Estos nivelesson clasificados por el Reglamento como básico,medio y alto. En esta línea se encuentra la obligaciónde auditoría de verificación del cumplimiento deltítulo VIII del Real Decreto 1720/2007.

Cuando los autores de este manual nos propusimos suelaboración, nuestro objetivo fue obtener una guíapráctica que permitiese a cualquier persona -indepen-dientemente de su perfil técnico o jurídico- abordarcon éxito la realización de las auditorías de medidasde seguridad reguladas en el título VIII del RealDecreto 1720/2007, tanto respecto de ficheros y tra-tamientos automatizados como no automatizados omanuales. Además otro de los propósitos fue realizarun análisis práctico de las medidas de seguridad con-templadas en la normativa vigente a fin de propor-cionar al lector, desde nuestra amplia y multidiscipli-nar experiencia, un patrón a seguir.

La obra se compone de una descripción previa delmarco jurídico en el que deben ser desarrollados lostrabajos de la auditoría de medidas de seguridad parala verificación del título VIII del Real Decreto1720/2007, de 21 de diciembre, por el que se aprue-

ba el Reglamento de Desarrollo de la LOPD, dondeademás se describen las características y contenidode la auditoría. Posteriormente se aborda el estudiode cada una de las fases por las que atraviesan los tra-bajos de auditoría, para finalmente llegar a la des-cripción de lo que supone la redacción última delinforme y su almacenamiento y gestión frente al res-ponsable de seguridad y la Agencia Española deProtección de Datos.

El manual está acompañado de todos los formulariosnecesarios para realizar los trabajos de auditoría y decompletas explicaciones en cuanto a su uso. Recogeasimismo las principales posturas doctrinales y admi-nistrativas de la Agencia Española de Protección deDatos y lo que es fundamental, los criterios jurispru-denciales de los Órganos Jurisdiccionales competen-tes para la revisión de las resoluciones sancionadorasde la citada Agencia.

El resultado final es producto de diecinueve años deexperiencia en esta materia por parte de los autores,de muchas horas de estudio y un objetivo permanen-te: que el lector disponga de una herramienta estudia-da, sencilla y clara para abordar los trabajos de audi-toría en materia de protección de datos personales, deforma seria y responsable.

Solo me queda por añadir la esperanza de que ningúnlector quede defraudado por el uso de esta obra quetengo el placer de presentar.

Ana Marzo PorteraLicenciada en Derecho por la Universidad de

Valencia.Abogado del Ilustre Colegio de Abogados de

Madrid.

Presentación de la obra

12

AUDITOR2009-00 29/7/09 09:58 Página 12

INTRODUCCIÓN

13

L a ya derogada Ley Orgánica 5/1992 reguladoradel tratamiento automatizado de los datos de

carácter personal (LORTAD) y su sustituta la vigen-te Ley Orgánica 15/1999 de 13 de diciembre, deProtección de Datos de Carácter Personal publicadaen el Boletín Oficial del Estado de 14 de diciembrede 1999 (LOPD) han venido ha establecer el marcoregulador previsto por nuestro legislador –junto conotras normas– para poder llevar a cabo el tratamien-to de los datos de carácter personal y toda modali-dad de uso posterior de estos datos por los sectorespúblico y privado, con la garantía y protección delas libertades públicas y los derechos fundamentalesde las personas físicas y especialmente de su honore intimidad personal y familiar.

Como ya puso de manifiesto la Sentencia 292/2000(en adelante St.) de 30 de noviembre de 2000 delTribunal Constitucional (en adelante TC) dictada enresolución del recurso de inconstitucionalidad res-pecto de los artículos 21.1 y 24.1 y 2 de la LOPD, “lagarantía de la vida privada de la persona y de sureputación poseen hoy una dimensión positiva queexcede el ámbito propio del derecho fundamental ala intimidad (art. 18.1 CE), y que se traduce en underecho de control sobre los datos relativos a la pro-pia persona.

….. La llamada libertad informática es así el dere-cho a controlar el uso de los mismos datos insertosen un programa informático (habeas data) y com-prende, entre otros aspectos, la oposición del ciuda-dano a que determinados datos personales sean uti-

lizados para fines distintos de aquel legítimo que jus-tificó su obtención”

Así dispone la sentencia que, el objeto de proteccióndel derecho fundamental a la protección de datos nose reduce sólo a los datos íntimos de la persona, sinoa cualquier tipo de dato personal, sea o no íntimoporque su objeto no es sólo la intimidad individual,que para ello está la protección que el art. 18.1 de laConstitución Española (en adelante CE) otorga, sinolos datos de carácter personal.

En este sentido, “el derecho a la protección de datosatribuye a su titular un haz de facultades consistenteen diversos poderes jurídicos cuyo ejercicio imponea terceros deberes jurídicos, que no se contienen enel derecho fundamental a la intimidad, y que sirven ala capital función que desempeña este derecho fun-damental.” En definitiva, a otorgar al titular de losdatos un poder de disposición sobre los mismos.

Entre los principios de protección de datos reguladospor la LOPD figura de un modo destacado el deno-minado principio de seguridad de los datos que regu-la un aspecto esencial para la tutela del derecho fun-damental a la protección de datos, la seguridad, querepercute sobre múltiples aspectos organizativos, degestión y aún de inversión, en todas las organizacio-nes que traten datos personales.

Aunque la primera norma española sobre protecciónde datos –la LORTAD– fue publicada en el año 1992,el año 1994 supuso un avance significativo desde el

AUDITOR2009-00 29/7/09 09:58 Página 13

punto de vista de la aplicación de la misma, puestoque se hizo realidad la presencia de la AgenciaEspañola de Protección de Datos (en adelante AEPD)como órgano encargado de velar por el cumplimien-to de la Ley, dotándola de la necesaria infraestructu-ra para lograr un correcto funcionamiento.

No obstante, finalizado el año 1994, todavía no sehabía producido el desarrollo reglamentario previstopor el artículo 9 de la LORTAD en materia de segu-ridad, haciéndose cada vez más necesario analizar elcontenido y aplicabilidad de los elementos recogidosen la citada disposición, para poder construir unmarco operativo –si bien provisional hasta la aproba-ción del futuro reglamento– que guiase la actuaciónde la AEPD en materia de seguridad de los sistemasde tratamiento automatizado de datos de carácter per-sonal. En este sentido, la remisión a un futuro desa-rrollo reglamentario por el artículo 9 de la LORTADplanteaba la cuestión de la exigibilidad de implanta-ción de medidas de seguridad hasta tanto no fueranaprobados los reglamentos que las determinasen, demanera que, quedaba vacío de contenido el principiode seguridad de los datos personales establecido en laLey y, por tanto, a su vez quedaba perdido el soportede la seguridad en el tratamiento de los datos.

El desarrollo reglamentario previsto en el artículo 9de la LORTAD relativo a la seguridad de los datospersonales (el cual se corresponde con el actual artí-culo 9 de la vigente LOPD) no se efectuó hastamediados del año 1999.

En este sentido, la AEPD en el año 1996 comenzó atrabajar en un borrador de reglamento de medidas deseguridad con objeto de desarrollar lo dispuesto en elartículo 9 de la derogada LORTAD, realizando previa-mente un estudio que analizaba las ventajas e inconve-nientes ofrecidas por las tres alternativas que fueron

evaluadas: (a) realizar un único reglamento general deaplicación para todos los ficheros, (b) elaborar unaserie de desarrollos sectoriales considerando sus carac-terísticas propias, o bien (c) desarrollar el borradorestableciendo las medidas de seguridad en función dela configuración de los sistemas de información.

a) La primera de las opciones descartada fue elmodelo de un reglamento de seguridad adecuado alas diferentes configuraciones de los sistemas deinformación existentes. El grado de definición quepodría haber alcanzado el reglamento hubiera sidomucho mayor que el ofrecido por el reglamento defi-nitivamente redactado, y ello presentaba fundamen-talmente dos graves inconvenientes que lo hacíanprácticamente inviable: por un lado, la constante yrápida evolución de las tecnologías de la información–lo cual podría dejar el reglamento obsoleto en uncorto periodo de tiempo o incluso antes de su publi-cación- y por otra parte, el gran número de configu-raciones distintas de sistemas de información exis-tentes planteaba graves problemas para su clasifica-ción y selección.

b) El modelo de un reglamento que tratara separada-mente sectores diferentes de actividad económica fuedescartado por la dificultad de establecer qué secto-res merecerían un tratamiento diferenciado y cuálesrespecto a las medidas de seguridad a contemplar.

c) También se consideró la posibilidad de que elreglamento elaborado fuera completado mediante laautorregulación propia.

Pero finalmente, se adoptó el modelo de un regla-mento único general de medidas de seguridad exigi-bles a todos los ficheros automatizados de tratamien-to de datos por considerarse la alternativa más senci-lla y viable.

Introducción

14

AUDITOR2009-00 29/7/09 09:58 Página 14

Esta alternativa además permitía que el objetivo aalcanzar consistiera en la definición de un marco glo-bal de actuación donde posteriormente se puntualiza-rían aquellos aspectos susceptibles de interpretaciónprincipalmente en dos formas diferentes: por un lado,mediante instrucciones del Director de la AEPD disi-pando dudas interpretativas y, por otro lado, con eldesarrollo de códigos tipo que permitieran profundi-zar en el contenido del reglamento, en base a lascaracterísticas de los diferentes sectores de actividado configuraciones de los sistemas de información.

A finales de 1996 la AEPD había terminado el borra-dor de reglamento de medidas de seguridad de losficheros automatizados de datos de carácter personal.El citado borrador fue remitido al Ministerio deJusticia para facilitar un punto de partida para su tra-mitación y poner de manifiesto la preocupación quepara la AEPD suponía la inexistencia de desarrolloreglamentario en cuanto impedía la aplicación dedeterminados principios de la Ley Orgánica.

Durante la tramitación del expediente y evolución delreglamento en sus diferentes fases, la AEPD continuócolaborando activamente con el Ministerio deJusticia hasta que el 25 de Junio de 1999 se publicóen el BOE el Real Decreto 994/1999, de 11 de junio,por el que se aprobó el reglamento de medidas deseguridad de los ficheros automatizados de datos de ca-rácter personal (en adelante RMS).

Aunque el RMS desarrolló el artículo 9 de la deroga-da LORTAD en el momento de la aprobación de la

LOPD su disposición transitoria tercera “Subsisten-cia de normas preexistentes” determinó que el RMScontinuaría en vigor con su propio rango hasta tantoel gobierno aprobase o modificase aquella disposi-ción reglamentaria.

Así las cosas, finalmente el RMS ha sido derogadopor el Real Decreto 1720/2007, de 21 de diciembre,por el que se aprueba el reglamento de desarrollo dela LOPD (en adelante RDLOPD)1 que en su TítuloVIII “De las medidas de seguridad en el tratamientode datos de carácter personal” regula todos losaspectos relativos a la seguridad de los datos.

La propia exposición de motivos del RDLOPD ponede manifiesto que la experiencia dimanante de laaplicación del RMS ha permitido conocer las difi-cultades que habían enfrentado los responsables deficheros e identificar los puntos débiles y fuertes dela regulación, por lo cual el RDLOPD ha regulado laseguridad de los datos personales con los siguientesobjetivos:

✓ Trata de ser particularmente riguroso en la atribu-ción de los niveles de seguridad, en la fijación delas medidas que corresponda adoptar en cadacaso y en la revisión de las mismas cuando elloresulte necesario.

✓ Ordena con mayor precisión el contenido y lasobligaciones vinculadas al mantenimiento deldocumento de seguridad.

15

1 Disposición derogatoria única del RDLOPD. Derogación normativa. Quedan derogados el Real Decreto 1332/1994, de 20 de junio, por el que se desa-rrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal,el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengandatos de carácter personal y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en el presente Real Decreto.

Introducción

AUDITOR2009-00 29/7/09 09:58 Página 15

✓ Ha pretendido regular la materia de modo quecontemple las múltiples formas de organizaciónmaterial y personal de la seguridad que se dan enla práctica.

✓ Introduce un conjunto de medidas destinadas alos ficheros y tratamientos estructurados y noautomatizados que ofrezca a los responsables unmarco claro de actuación.

Introducción

16

AUDITOR2009-00 29/7/09 09:58 Página 16

ABREVIATURAS UTILIZADAS

AEPD Agencia Española de Protección de Datos

AN Audiencia Nacional

BOE Boletín Oficial del Estado

CCAA Comunidades Autónomas

CE Constitución Española

COBIT Control Objectives for Information and related Technology

CISA Certified Information Systems Auditor

Instrucción Instrucción 1/1995 de 1 de marzo, relativa a prestación de servicios de informaciónsobre solvencia patrimonial y crédito

ISACA Information Systems Audit and Control Association

LOPD Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal

LORTAD Ley Orgánica 5/1992 reguladora del tratamiento automatizado de los datos de carác-ter personal

OCDE Organización para la Cooperación y Desarrollo Económico

RDLOPD Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamentode desarrollo de la LOPD

RGPD Registro General de Protección de Datos

RMS Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidasde Seguridad de los ficheros automatizados que contengan datos de carácter personal

St Sentencia

TC Tribunal Constitucional

17

AUDITOR2009-00 29/7/09 09:58 Página 17

AUDITOR2009-00 29/7/09 09:58 Página 18

NORMATIVA UTILIZADA

19

Comunicación de la Comisión al Consejo, alParlamento Europeo, al Comité Económico ySocial y al Comité de las Regiones sobre Seguridadde las redes y de la información: Propuesta para unenfoque político europeo.

Conferencia impartida por el Director de la Agenciade Protección de Datos, Ilmo. Sr. D. José Luis PiñarMañas, en Madrid el día 23 de julio de 2003, conmotivo de la entrega de los premios “Protección deDatos Personales”

Diccionario de la Real Academia Española.

Instrucción número 1/1995, de 1 de marzo, de laAgencia de Protección de Datos, relativa aPrestación de Servicios de Información sobreSolvencia Patrimonial y Crédito.

Ley Orgánica 15/1999, de 13 de Diciembre, deProtección de Datos de carácter Personal.

Líneas Directrices de la OCDE para la Seguridadde los Sistemas de Información (Recomendación delConsejo de la OCDE, de 26 de noviembre de 1992).

Manual de preparación al examen CISA 2002.

Memorias de la Agencia de Protección de Datoscorrespondientes a los ejercicios de los años 1994,1995, 1996, 1997, 1998, 1999, 2000, 2001.

Real Decreto 428/1993, de 26 de Marzo, por el quese aprueba el Estatuto de la Agencia Española deProtección de Datos.

Real Decreto 994/99, de 11 de junio, por el que seaprueba el Reglamento de Medidas de Seguridad delos ficheros automatizados que contengan Datos deCarácter Personal.

Real Decreto 1720/2007 de 21 de diciembre, por elque se aprueba el Reglamento de desarrollo de la LeyOrgánica 15/1999, de 13 de Diciembre, de Protec-ción de Datos de carácter Personal.

Sitio web www.agpd.es

ST. 292/2000 de 30 de Noviembre de 2000.

AUDITOR2009-00 29/7/09 09:58 Página 19

AUDITOR2009-00 29/7/09 09:58 Página 20

A los efectos previstos en este manual, se entenderá por:

Accesos autorizados: autorizaciones concedidas aun usuario para la utilización de los diversos recur-sos. En su caso, incluirán las autorizaciones o funcio-nes que tenga atribuidas un usuario por delegacióndel responsable del fichero o tratamiento o del res-ponsable de seguridad.

Afectado o interesado: persona física titular de losdatos que sean objeto del tratamiento.

Autenticación: procedimiento de comprobación dela identidad de un usuario.

Contraseña: información confidencial, frecuente-mente constituida por una cadena de caracteres, quepuede ser usada en la autenticación de un usuario oen el acceso a un recurso.

Control de acceso: mecanismo que en función de laidentificación ya autenticada permite acceder a datoso recursos.

Copia de respaldo: copia de los datos de un ficheroautomatizado en un soporte que posibilite su recupe-ración.

Datos de carácter personal: cualquier informaciónnumérica, alfabética, gráfica, fotográfica, acústica o

de cualquier otro tipo concerniente a personas físicasidentificadas o identificables.

Datos de carácter personal relacionados con lasalud: las informaciones concernientes a la saludpasada, presente y futura, física o mental, de un indi-viduo. En particular, se consideran datos relacionadoscon la salud de las personas los referidos a su porcen-taje de discapacidad y a su información genética.

Documento: todo escrito, gráfico, sonido, imagen ocualquier otra clase de información que puede ser tra-tada en un sistema de información como una unidaddiferenciada.

Encargado del tratamiento: la persona física o jurí-dica, pública o privada, u órgano administrativo que,solo o conjuntamente con otros, trate datos persona-les por cuenta del responsable del tratamiento o delresponsable del fichero, como consecuencia de laexistencia de una relación jurídica que le vincula conel mismo y delimita el ámbito de su actuación para laprestación de un servicio.

Podrán ser también encargados del tratamiento losentes sin personalidad jurídica que actúen en el tráfi-co como sujetos diferenciados.

Fichero: todo conjunto organizado de datos de carác-ter personal, que permita el acceso a los datos con

21

GLOSARIO DE TÉRMINOS Y DEFINICIONES

AUDITOR2009-00 29/7/09 09:58 Página 21

arreglo a criterios determinados, cualquiera que fuerela forma o modalidad de su creación, almacenamien-to, organización y acceso.

Ficheros de titularidad privada: los ficheros de losque sean responsables las personas, empresas o enti-dades de derecho privado, con independencia dequien ostente la titularidad de su capital o de la pro-cedencia de sus recursos económicos, así como losficheros de los que sean responsables las corporacio-nes de derecho público, en cuanto dichos ficheros nose encuentren estrictamente vinculados al ejerciciode potestades de derecho público que a las mismasatribuye su normativa específica.

Ficheros de titularidad pública: los ficheros delos que sean responsables los órganos constitucio-nales o con relevancia constitucional del Estado olas instituciones autonómicas con funciones análo-gas a los mismos, las Administraciones públicasterritoriales, así como las entidades u organismosvinculados o dependientes de las mismas y lasCorporaciones de derecho público siempre que sufinalidad sea el ejercicio de potestades de derechopúblico.

Fichero no automatizado: todo conjunto de datos decarácter personal organizado de forma no automati-zada y estructurado conforme a criterios específicosrelativos a personas físicas, que permitan acceder sinesfuerzos desproporcionados a sus datos personales,ya sea aquél centralizado, descentralizado o repartidode forma funcional o geográfica.

Ficheros temporales: ficheros de trabajo creadospor usuarios o procesos que son necesarios para untratamiento ocasional o como paso intermedio duran-te la realización de un tratamiento.

Identificación: procedimiento de reconocimiento dela identidad de un usuario.

Incidencia: cualquier anomalía que afecte o pudieraafectar a la seguridad de los datos.

Perfil de usuario: accesos autorizados a un grupo deusuarios.

Persona identificable: toda persona cuya identidadpueda determinarse, directa o indirectamente,mediante cualquier información referida a su identi-dad física, fisiológica, psíquica, económica, culturalo social. Una persona física no se considerará identi-ficable si dicha identificación requiere plazos o acti-vidades desproporcionados.

Recurso: cualquier parte componente de un sistemade información.

Responsable de seguridad: persona o personas a lasque el responsable del fichero ha asignado formal-mente la función de coordinar y controlar las medidasde seguridad aplicables.

Responsable del fichero o del tratamiento: personafísica o jurídica, de naturaleza pública o privada, uórgano administrativo, que sólo o conjuntamente conotros decida sobre la finalidad, contenido y uso deltratamiento, aunque no lo realizase materialmente.

Podrán ser también responsables del fichero o del tra-tamiento los entes sin personalidad jurídica que ac-túen en el tráfico como sujetos diferenciados.

Sistema de información: conjunto de ficheros, trata-mientos, programas, soportes y en su caso, equiposempleados para el tratamiento de datos de carácterpersonal.

Glosario de términos y definiciones

22

AUDITOR2009-00 29/7/09 09:58 Página 22

Sistema de tratamiento: modo en que se organiza outiliza un sistema de información. Atendiendo al sis-tema de tratamiento, los sistemas de informaciónpodrán ser automatizados, no automatizados o par-cialmente automatizados.

Soporte: objeto físico que almacena o contiene datoso documentos, u objeto susceptible de ser tratado enun sistema de información y sobre el cual se puedengrabar y recuperar datos.

Tercero: la persona física o jurídica, pública o priva-da u órgano administrativo distinta del afectado ointeresado, del responsable del tratamiento, del res-ponsable del fichero, del encargado del tratamiento yde las personas autorizadas para tratar los datos bajola autoridad directa del responsable del tratamiento odel encargado del tratamiento.

Podrán ser también terceros los entes sin personali-dad jurídica que actúen en el tráfico como sujetosdiferenciados.

Transmisión de documentos: cualquier traslado,comunicación, envío, entrega o divulgación de lainformación contenida en el mismo.

Tratamiento de datos: cualquier operación o proce-dimiento técnico, sea o no automatizado, que permi-ta la recogida, grabación, conservación, elaboración,modificación, consulta, utilización, modificación,cancelación, bloqueo o supresión, así como las cesio-nes de datos que resulten de comunicaciones, consul-tas, interconexiones y transferencias.

Usuario: sujeto o proceso autorizado para acceder adatos o recursos. Tendrán la consideración de usua-rios los procesos que permitan acceder a datos orecursos sin identificación de un usuario físico.

23

Glosario de términos y definiciones

AUDITOR2009-00 29/7/09 09:58 Página 23

AUDITOR2009-00 29/7/09 09:58 Página 24

I. MARCO LEGAL DE LA AUDITORÍA

1. Marco legal regulador de la seguridad de datos en el tratamiento de datos de carácter personal................................................................... 27

2. Antecedentes de la Auditoría de medidas de seguridad..................... 29

3. Alcance de la obligación de realizar la Auditoría .............................. 30

4. Sujetos sometidos a la Auditoría ........................................................ 31

5. Ficheros y tratamientos sometidos a la Auditoría .............................. 32

6. Excepciones a la obligación de Auditoría .......................................... 33

7. Objeto de la Auditoría ........................................................................ 34

8. Plazos de implantación de las medidas de seguridad......................... 35

AUDITOR2009-01 29/7/09 10:01 Página 25

AUDITOR2009-01 29/7/09 10:01 Página 26

1. Marco legal regulador de la seguridad de datos en el tratamiento de datos de carácterpersonal

N o existen precedentes en nuestro ordenamientojurídico sobre normas reguladoras de la seguri-

dad en la empresa en materia de protección de datoshasta la publicación de la LORTAD en el año 1992.En la actualidad, la LOPD ha mantenido el mismocontenido legal en su artículo 9 que ya tuviera su an-tecesora la LORTAD con una particularidad: la vi-gente LOPD considera que son dos los sujetosobligados a la adopción de las medidas de seguridad:el responsable del fichero o tratamiento y el encar-gado del tratamiento2.

Así el artículo 9 de la LOPD establece que, el res-ponsable del fichero y en su caso, el encargado deltratamiento deberán adoptar las medidas de índole

técnica y organizativas necesarias que garanticen laseguridad de los datos de carácter personal y evitensu alteración, pérdida, tratamiento o acceso no auto-rizado, habida, cuenta del estado de la tecnología, lanaturaleza de los datos almacenados y los riesgos aque están expuestos, ya provengan de la acciónhumana o del medio físico o natural.

En el apartado segundo del mismo artículo, la LOPDprohíbe el registro de datos de carácter personal enficheros que no reúnan las condiciones que se deter-minen por vía reglamentaria3 con respecto a su inte-gridad y seguridad y a las de los centros de trata-miento, locales, equipos, sistemas y programas.

En definitiva podemos afirmar que el artículo 9 de laLOPD establece como objetivos de seguridad losgeneralmente aceptados por la doctrina académica ypráctica profesional en el ámbito de la seguridad delos sistemas de información, esto es, evitar la altera-ción, pérdida, tratamiento o acceso no autorizado lo

27

I. MARCO LEGAL DE LA AUDITORÍA

2 En línea con el artículo 9 de la LOPD, el artículo 79 del RDLOPD “Alcance” establece que: Los responsables de los tratamientos o los ficheros y losencargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Título, con independencia de cual sea su siste-ma de tratamiento.3 Disposición reglamentaria que actualmente debemos entender referida al RDLOPD.

AUDITOR2009-01 29/7/09 10:01 Página 27

cual tiene una correspondencia directa con los tresobjetivos clásicos de la seguridad de los sistemas deinformación4:

Integridad

Disponibilidad

Confidencialidad

Así pues, el alcance y contenido de los objetivos deseguridad enunciados en el artículo 9.1 de la LOPDpuede ser interpretado, en principio, como equivalen-te al alcance y contenido de los conceptos de confi-dencialidad, integridad y disponibilidad:

✓ La integridad evita la alteración indebida de losdatos de carácter personal.

✓ La disponibilidad previene de su pérdida.✓ La confidencialidad impide su tratamiento o acce-

so no autorizados.

Sin embargo, y aunque los objetivos enunciados porel artículo 9.1 de la LOPD pueden ser interpretados

como sinónimos de los tres principios clásicos deconfidencialidad, integridad y disponibilidad, no hayque perder de vista que, en todo caso, su aplicacióndebe ser siempre contemplada en función de los ries-gos concretos que cada situación presenta para elhonor e intimidad personal y familiar de las personascuyos datos están siendo tratados, así como para laprotección de sus libertades públicas y derechos fun-damentales.

El Título VIII del RDLOPD –que podemos afirmarse constituye como el desarrollo reglamentario delartículo 9 de la LOPD– incorpora una relaciónexhaustiva de las medidas de seguridad aplicables alos ficheros y tratamientos de datos personales y ade-más, clasifica dichas medidas en tres niveles: básico,medio y alto5.

Además el Título VIII del RDLOPD deja patente a lolargo de todo su contenido la obligación de controlperiódico que en materia de seguridad correspondetanto a los responsables como a los encargados deltratamiento puesto que como dice la jurisprudenciade la Audiencia Nacional (en adelante AN):

La Auditoría de Seguridad en la Protección de Datos de Carácter Personal

28

4 En efecto, tomando como referencia las definiciones aportadas por el documento Líneas Directrices de la OCDE para la Seguridad de los Sistemas deInformación (Recomendación del Consejo de la OCDE, de 26 de noviembre de 1992), se entiende por integridad de los datos o informaciones el hecho deser exactos y completos, y la preservación de este carácter; por disponibilidad, el hecho de ser accesibles y utilizables en el tiempo deseado y del modorequerido; y por confidencialidad, el estar únicamente al alcance del conocimiento de las personas o entidades autorizadas, en los momentos autorizadosy de una manera autorizada. (Fuente: Memoria de la AEPD del año 1994).5 Artículo 80 del RDLOPD “Niveles de seguridad”.

Sentencia de 29 de marzo de 2006:

… Téngase presente que ha de intensificarse la diligencia en materia de protección de datospara hacer frente a los riesgos que para los derechos de la personalidad puede suponer el aco-pio y tratamiento de datos por medios informáticos …, diligencia especialmente intensa para lasentidades que, en el ejercicio de su actividad, entran en contacto y manejan un volumen alto dedatos personales ....

AUDITOR2009-01 29/7/09 10:01 Página 28

En este sentido, el control por excelencia en materiade seguridad de datos contemplado en la normativavigente está recogido actualmente en los artículos 96(respecto de los ficheros automatizados) y 110 (res-pecto de los ficheros no automatizados) que obligantanto al responsable como al encargado del trata-miento a someter a una Auditoría los sistemas deinformación e instalaciones de tratamiento y almace-namiento de datos personales así como los ficherosque los contienen tanto automatizados como no auto-matizados. Si bien esta obligación se limita –comoveremos más adelante– a aquellos ficheros y trata-mientos de datos personales clasificados en los nive-les medio y alto.

Aunque el RDLOPD dedica su Titulo VIII a la segu-ridad de los datos reproduciendo en gran parte el con-tenido del derogado RMS de 1999, introduce unanovedad importante como es la de abordar también laregulación de las medidas de seguridad que habrán deimplantarse en los tratamientos no automatizados dedatos de carácter personal (artículos 105 a 114).

El marco legal de las medidas de seguridad en mate-ria de protección de datos se completa con la disposi-ción 44.3.h) de la LOPD relacionada con el incum-plimiento de las obligaciones de seguridad, que tipi-fica como infracción grave el mantener los ficheros,locales, programas o equipos que contengan datos decarácter personal sin las debidas condiciones de segu-ridad que por vía reglamentaria se determinen.

2. Antecedentes de la Auditoría demedidas de seguridad

El primer desarrollo reglamentario en materia deseguridad de datos fue aprobado –como ya hemosadvertido– en el año 1999 pero podemos encontrarun antecedente normativo6 con anterioridad en el año1995 en la denominada Instrucción 1/1995 de 1 demarzo de la AEPD relativa a prestación de serviciosde información sobre solvencia patrimonial y crédi-to (en adelante Instrucción 1/1995), la cual en sunorma cuarta establecía que, “la implantación, ido-neidad y eficacia de las medidas de seguridad exigi-das por el artículo 9.1 de la Ley Orgánica se acredi-tará mediante la realización de una Auditoría, pro-porcionada a la naturaleza, volumen y característi-cas de los datos personales almacenados y tratados,y la remisión del informe final de la misma a laAEPD7.

En todo caso, dos aspectos importantes y diferencia-dores de la Auditoría de medidas de seguridad exigi-da por la Instrucción 1/1995 y la contemplada por elRMS eran los siguientes:

✓ Por un lado, la Instrucción 1/1995 establecía laobligación para las entidades auditadas de remitirel informe final de Auditoría a la AEPD. Dichaobligación por el contrario no se contemplaba enel derogado RMS8.

29

Marco legal de la Auditoría

6 Si es que puede caracterizarse a las instrucciones de contener algún valor normativo dado que, la potestad atribuida a este Organismo lo es únicamentepara dictar instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica, pero no para legis-lar.7 No obstante, los únicos sistemas obligados por la Instrucción 1/1995 a realizar tal auditoría eran aquellos que almacenasen o procesasen información rela-tiva al cumplimiento o incumplimiento de obligaciones dinerarias de acuerdo con el artículo 28 de la LORTAD (actual artículo 29 de la LOPD).8 Ahora bien, sí es preciso mencionar que es bastante usual que la AEPD en las inspecciones que realiza a los responsables y encargados del tratamiento,les exija la entrega del apartado relativo a las conclusiones del informe de auditoría, cuando no, el informe completo.

AUDITOR2009-01 29/7/09 10:01 Página 29

✓ Por otro lado, la exigencia adicional igualmen-te derivada de la Instrucción 1/1995 de some-terse a una nueva Auditoría tras la adopción delas medidas específicas que, en su caso, laAEPD determinara, a resultas de la revisión delinforme inicial de Auditoría que debía serleentregado.

En la actualidad tanto la Instrucción 1/1995 como elRMS se encuentran derogados por el RDLOPD y sibien es cierto que el vigente reglamento tampoco harecogido las obligaciones de remitir el informe deAuditoría a la AEPD ni de someterse a una nuevaAuditoría a resultas de las consideraciones que pudie-ra efectuar la AEPD (como tampoco lo hiciera elRMS) no lo es menos que el RDLOPD ha introduci-do una nueva obligación no contemplada con ante-rioridad en la normativa sobre protección de datoscomo es, la exigencia de realizar con carácterextraordinario una Auditoría siempre que se realicenmodificaciones sustanciales en el sistema de infor-mación que puedan repercutir en el cumplimiento delas medidas de seguridad implantadas por el respon-sable o el encargado del tratamiento, con el objeto deverificar la adaptación, adecuación y eficacia de lasmismas.

3. Alcance de la obligación derealizar la Auditoría

El artículo 9 de la LOPD, dedicado a la seguridad delos datos, dispone que son tanto el responsable delfichero como, en su caso, el encargado del tratamien-to, quienes deberán adoptar las medidas de índoletécnica y organizativas necesarias que garanticen laseguridad de los datos de carácter personal y evitensu alteración, pérdida, tratamiento o acceso no auto-rizado, habida cuenta del estado de la tecnología, lanaturaleza de los datos almacenados y los riesgos aque están expuestos, ya provengan de la acciónhumana o del medio físico o natural.

La propia disposición prohíbe a estas figuras registrardatos de carácter personal en ficheros que no reúnanlas condiciones que se determinen por vía reglamen-taria con respecto a su integridad y seguridad y a lasde los centros de tratamiento, locales, equipos, siste-mas y programas, y les sujeta en su disposición 43 alrégimen sancionador establecido en la LOPD.

Aunque el RDLOPD regula las obligaciones deAuditoría en dos artículos, el 96 (respecto de losficheros automatizados) y el 110 (respecto de losficheros no automatizados), únicamente el artículo 96del RDLOPD señala en toda su extensión el alcancede la Auditoría de medidas de seguridad de protec-ción de datos. A tales efectos dispone lo siguiente:

La Auditoría de Seguridad en la Protección de Datos de Carácter Personal

30

Artículo 96 del RDLOPD

✓ A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almace-namiento de datos se someterán, al menos cada dos años, a una Auditoría interna o externaque verifique el cumplimiento del Título VIII del RDLOPD.

✓ Con carácter extraordinario deberá realizarse dicha Auditoría siempre que se realicen modifica-ciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las

AUDITOR2009-01 29/7/09 10:01 Página 30