La importancia de las primeras fases de una auditoría LOPD

Procedimiento de análisis de datos

En un post anterior hablaba sobre la importancia que tiene un adecuado análisis del flujo de datos para la consultoría LOPD. En esta ocasión vamos a volver sobre el tema, tratando un caso práctico para que se pueda ver con más claridad a que me refiero.

Vamos a ponernos en la piel de un consultor que analiza los datos de una empresa. En concreto, durante este ejemplo vamos a tratar los datos de clientes y potenciales clientes. El procedimiento sería más o menos el siguiente:

  • Origen de los datos. Es importante determinar como se obtienen los datos: si se obtienen fruto de la relación comercial con los mismos o si por el contrario son datos recogidos mediantes visitas comerciales o a través de algún tipo de formulario de contacto a través de la web corporativa. En el primero de los casos no será necesario obtener el consentimiento para su tratamiento, pero en el segundo caso habrá que orquestar algún tipo de procedimiento para tenerlo y de esta manera poder explotar estos datos. En cualquiera de los dos caso, si que habrá que poner en marcha los protocolos para que se puedan ejercer de los derechos reconocidos por la LOPD para los propietarios de los datos.
  • Gestión de los datos. Una vez clarificado su origen y su conformidad para su tratamiento, habrá que analizar como se lleva a cabo este. Es importante determinar que datos se encuentran en soporte automatizado (servidores, pc, etc) y cuales se gestionan de manera manual. De la misma manera, es importante saber que usuarios tienen acceso a los mismos. El inventario de usuarios con acceso a los datos, nos ayudará a establecer las medidas de seguridad necesarias y sobretodo a averiguar si realmente todo el que accede a los datos, tiene este acceso justificado. Por la fuerza de la costumbre, podemos encontrarnos con usuarios que disponen de privilegios de acceso (aunque no lo usen o siquiera lo sepan) mucho más elevados de los que su propio puesto de trabajo determinaría. Por ejemplo en una estructura donde hubiera una diferenciación entre un departamento de marketing y otro de atención al cliente, no tendría mucho sentido que estos últimos tuvieran acceso a los potenciales clientes, ya que todavía no lo son.
  • Medidas de seguridad. Una vez analizado el origen y quien/quienes son los responsables de gestionar los datos de clientes y potenciales clientes, llega el momento de establecer las medidas de seguridad. En este punto sería cuando se desarrollarían los perfiles de usuario adecuados para acceder a esos datos: quien tiene acceso a que. Siguiendo el criterio de “need to know”, podemos establecer una sencilla política que nos permitirá controlar estos accesos. Durante esta fase del proyecto también se determinaría cual sería la política respecto a las copias de seguridad de estos datos. También es el momento de analizar si el acceso a estos datos se realiza desde fuera del centro de trabajo mediante conexiones telemáticas de cualquier tipo. Tendríamos que garantizar las medidas de seguridad suficientes para que el acceso remoto se realizara en las mismas condiciones que si se hiciera desde dentro de la estructura física. Todas estas medidas de seguridad tendrán que estar reflejadas en el Documento de Seguridad.
  • Encargado de tratamiento y cesiones. Llega el momento de analizar las cesiones necesarias para la gestión de estos datos. Por un lado tendremos las cesiones que obligatoriamente habremos de hacer a la Agencia Tributaria y otros organismos oficiales. Por otro lado, en este caso concreto, tenemos una asesoría que se encarga de la gestión de facturas y la cual tiene acceso a los datos de nuestros clientes para la confección de facturas, impuestos, etc. En este caso la asesoría asumiría el papel de Encargado de Tratamiento y tendríamos que subscribir con ella el contrato que la norma prevé. En el caso de que la gestión de marketing estuviera externalizada, nos encontraríamos con un caso similar en tanto en cuanto tendría, la agencia contratada, acceso a determinados datos de clientes y por tanto también requeriría la firma del contrato de Encargado de Tratamiento.
  • Declaración de ficheros. Una vez completado todo el proceso, se procedería a la declaración y presentación ante la Agencia de Protección de Datos del tratamiento de datos que estemos analizando. El análisis anterior es fundamental para poder completar con garantías el formulario de declaración.

Para terminar el ejemplo, habría que verificar que realmente los clausulados de información y recogida de consentimiento para el tratamiento de estos datos, están localizables en la web corporativa o en la documentación en papel que utilicemos a tal fin.

Como hemos visto, se trata de un ejemplo muy esquemático, pero que nos puede servir como guía a la hora de analizar los datos en un proyecto de adecuación LOPD.

Evidentemente, el mismo proceso se repetiría con cada uno de los tratamientos de datos que tenga la entidad.

Photo credit: AJC1 / Foter / CC BY-SA

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.