|
Mi
empresa es pequeña, somos el mismo personal de siempre y apenas
tenemos cambios, por lo que no necesito realizar ninguna
actualización del documento de seguridad, ni realizar auditorías.
Otra
afirmación errónea muy habitual.
Cierto
sería decir que una empresa de pequeño tamaño (pyme o micropyme),
que habitualmente tiene poca rotación de personal y con un sencillo
sistema de información, tiene poca necesidad de realizar revisiones
para aplicar cambios o actualizar el documento de seguridad y los
procedimientos definidos de forma continua o en corto plazo de
tiempo. Posiblemente con realizar dicho trabajo con una periodicidad
anual, sería suficiente, pero eso no significa que no necesiten
realizar o aplicar las actualizaciones del documento de seguridad, ni
realizar auditorías.
Tal
como se especifica en el artículo 88.7 del R.D. 1720/2007,
El
documento de seguridad deberá mantenerse en todo momento actualizado
y será revisado siempre que se produzcan cambios relevantes en el
sistema de información, en el sistema de tratamiento empleado, en su
organización, en el contenido de la información incluida en los
ficheros o tratamientos o, en su caso, como consecuencia de los
controles periódicos realizados. En todo caso, se entenderá que un
cambio es relevante cuando pueda repercutir en el cumplimiento de las
medidas de seguridad implantadas.
La
normativa no especifica ningún plazo de aplicación de las
actualizaciones, sino que estas serán llevadas a cabo "siempre que
se produzcan".
En
la práctica los administradores o responsables de toda la gestión
sobre el cumplimiento de la LOPD, aplican dichos cambios cuando son
detectados en las revisiones llevadas a cabo en una periodicidad
determinada.
Dichos
plazos de revisión suelen ser establecidos en función de la
frecuencia de producirse los cambios, aunque esto no signifique que
no puedan sucederse durante dicho intervalo.
Respecto
a la realización de auditorías, en el artículo 96.1 del R.D.
1720/2007, se especifica que,
A
partir del nivel medio los sistemas de información e instalaciones
de tratamiento y almacenamiento de datos se someterán, al
menos cada dos años, a una auditoría interna o externa que
verifique el cumplimiento del presente título.
Con
carácter extraordinario deberá realizarse dicha auditoría siempre
que se realicen modificaciones sustanciales en el sistema de
información que puedan repercutir en el cumplimiento de las medidas
de seguridad implantadas con el objeto de verificar la adaptación,
adecuación y eficacia de las mismas. Esta auditoría inicia el
cómputo de dos años señalado en el párrafo anterior.
Como
se puede apreciar, en el caso de que existan datos de nivel medio o
alto, es obligatoria la realización de una auditoría "al menos
cada dos años", con la salvedad de realizarla de nuevo en el
supuesto de cambios sustanciales en el sistema de información.
Podría
darse el caso de que una empresa no disponga de datos de nivel medio,
lo que les eximiría de la realización de dicha auditoría. Pero en
la práctica esto no suele ocurrir. La mayoría de las empresas
disponen de datos de este nivel, estando obligados a la adopción de
medidas acordes a ese nivel y a la realización de la auditoría de
seguridad bienal.
Un
caso común de datos de este nivel, son los datos de los empleados de
una empresa. Estos son recogidos para llevar a cabo la relación
laboral entre el mismo y la empresa, siendo necesaria la recogida de
datos de nivel medio como estudios, situación familiar, etc.
Todo
esto deshace la afirmación de que una empresa que tenga previstos
pocos cambios en su organización, debido a su tamaño y habituales
pocos cambios en el personal, no necesite realizar revisiones para
actualizar el documento de seguridad, ni la realización de
auditorías.
El
primero de los argumentos es incierto. La empresa deberá realizar
dichas revisiones, que seguramente se llevarán a cabo en un plazo
mas dilatado que en una empresa mayor y con un sistema de información
mas complejo, pero igualmente las tendrá que realizar.
El
segundo argumento, podría ser cierto en el caso de que la empresa no
tenga datos personales de nivel medio o alto, pero esto se aplica en
pocos casos.
|
