Archive for the 'Datos Personales' Category

¿Se sanciona no realizar una auditoría en protección de datos?

La pregunta que planteo en el título de este post, puede parecer que tiene una respuesta muy sencilla: Según la LOPD sí, por incumplimiento del deber de seguridad de su artículo 9 , lo que conllevaría una infracción de su artículo 44.3.h y supondría una sanción de 40.001 euros a 300.000  euros, si la infractora fuese una entidad privada, según su artículo 45.2.

No obstante, para mí la respuesta puede que no sea tan sencilla, a tenor de algunas resoluciones de la Agencia Española de Protección de Datos y de la doctrina de la Audiencia Nacional.

Lo primero que debemos preguntarnos es qué es una auditoría en protección de datos. Se podría definir, de manera general, como aquella medida que, según los artículos 96 y 110 del Real Decreto 1720/2007, deben tener en cuenta todos los responsables cuando traten datos de nivel medio.

Ahondando un poco más, se podría señalar que es aquella medida, de carácter interno o externo, que deberán cumplir los sistemas de información e instalaciones que traten datos de nivel medio y que tendrá dictaminar sobre la adecuación de las medidas y controles a la LOPD y al Real Decreto 1720/2007, identificar las deficiencias y proponer las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen el dictamen alcanzado, así como, las recomendaciones en que se base ese dictamen.

En este punto, podría entrar al debate de cual es la metodología de una auditoría de protección de datos (porque en realidad legalmente no existe ninguna metodología, aunque algunos sectores les interese señalar que su metodología es la que se debe seguir para realizar una correcta auditoría en protección de datos), pero creo que se apartaría, en mi opinión de lo que es la intención inicial de este post, que no es otra de conocer la naturaleza jurídica de una auditoría en protección de datos, como medida para garantizar el deber de seguridad.

Por tanto, en este punto, la auditoría en protección de datos (o cualquiera de las medidas del Título VIII del Real Decreto 1720/2007) qué es: ¿una obligación de medios o una obligación de resultado? La doctrina de la Audiencia Nacional es clara en cuanto al deber de seguridad:  se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica (…)”

Así pues, nos encontramos con que las medidas para dar el cumplimiento al deber de seguridad son una obligación de resultado, lo que quiere decir que se deben tener implantadas para evitar cualquier “alteración, pérdida, tratamiento o acceso no autorizado” (tal y como se dispone en el artículo 9 de la LOPD), de manera que, a sensu contrario, si no se tienen implantadas y no se constata una alteración, pérdida, tratamiento o acceso no autorizado, no existiría un incumplimiento del deber de seguridad, porque si se sancionara, estaríamos hablando de una obligación de medios y, ya se ha visto que, según la doctrina de la Audiencia Nacional, es justamente lo contrario: una obligación de resultado.

En otras palabras, lo que pretende el deber de seguridad no es imponer la obligación de implantar unas medidas (obligación de medios), sino implantarlas con un resultado concreto: evitar una alteración, pérdida, tratamiento o acceso no autorizado (obligación de resultado).

La Agencia Española de Protección de Datos, también ha llegado a esta conclusión y se puede observar, entre otras, en su Resolución R/00351/2008 en la que se declara el archivo de las actuaciones en un supuesto en el que se constata por la Inspección que un responsable no cifra los soportes con datos de nivel alto cuando son trasladados, se realizan mensualmente copias de seguridad, no existe la figura del responsable de seguridad, no existe un registro de acceso a los datos de nivel alto y no consta la realización auditoría alguna, ya que “de la inspección realizada no se concluye que se haya producido una alteración, pérdida, tratamiento o acceso no autorizado”.

Así, a la pregunta que planteo en este post se debe responder que no, mientras no se produzca una alteración, pérdida, tratamiento o acceso no autorizado. Cuestión diferente es que sea una muy buena práctica para verificar que las medidas implantadas por cualquier entidad en materia de protección de datos, son eficientes para evitar hipotéticas alteraciones, perdidas, tratamientos o accesos no autorizados.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo


Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

  1. Derecho de las TIC
  2. jsolerabogado

Última entrada del Blog de Jesús Soler: jsolerabogado

Simplificación Administrativa en la AGE.

Hace una semana se publicó en el BOE la Resolución de 7 de octubre de 2014, de la Secretaría de Estado de Administraciones Públicas, por la que se publica el Acuerdo del Consejo de Ministros, de 19 de septiembre de 2014, por el que se toma conocimiento del Manual de simplificación administrativa y reducción de cargas […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Fotos captadas por el público asistente a una carrera popular

Continuando con el post anterior, en el cual comenzábamos a analizar las implicaciones jurídicas del tratamiento de datos, y fundamentalmente de imágenes en las carreras populares, dejamos a un lado la perspectiva del organizador, y en ésta entrada nos centramos en la cuestión de las fotos tomadas por el público asistente. Desde el punto de […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica