Auditorias de LOPD y RGPD

Temas relacionados con supuesto práctico y defensa
Responder
Avatar de Usuario
egondie
Usuario registrado
Mensajes: 33
Registrado: Dom Sep 27, 2015 2:01 pm

Auditorias de LOPD y RGPD

Mensaje por egondie » Jue Jul 19, 2018 7:11 pm

Buenas tardes

Con la LOPD, para niveles medio y alto había que realizar auditorias (y una comprobación más básica para nivel bajo).
Ahora que el RGPD está plenamente vigente, ya no existe esa clasificación de datos nivel bajo, medio y alto.
¿Qué pasaría con las auditorias? Creo (aunque reconozco que no me he revisado el RGPD completo) que el RGPD no incluye auditorias de cumplimiento, en este caso, se eliminarían las auditorias obligatorias por la LOPD? Entiendo que sí

Me confunde un poco lo de que la LOPD sigue en vigor excepto los preceptos que no siguen las directrices del RGPD, no sé muy bien interpretar esa frase en la práctica.
Muchas gracias y saludos

logos
Usuario registrado
Mensajes: 20
Registrado: Lun May 21, 2018 2:02 pm

Re: Auditorias de LOPD y RGPD

Mensaje por logos » Jue Jul 19, 2018 8:50 pm

Hola,
Al desaparecer los niveles de la LOPD, que son los que ligaban con la realización de auditorías bienales, también desaparece la obligación explícita de éstas. No obstante, en el RGPD hay referencias a actividades de supervisión que encajan con el concepto de auditoría. Aquí lo explican bastante bien:

https://blog.cuatrecasas.com/propiedad- ... recuentes/

En resumen: no son obligatorias pero hay que hacerlas :D

Un saludo

Avatar de Usuario
al83
Usuario registrado
Mensajes: 222
Registrado: Sab Nov 18, 2017 10:31 am

Re: Auditorias de LOPD y RGPD

Mensaje por al83 » Jue Jul 19, 2018 8:54 pm

Buenas,

Yo entiendo que lo que procede es incluir la auditoría de protección de datos dentro de la auditoría del ENS.

Avatar de Usuario
dazu
PreparaTIC25
Mensajes: 80
Registrado: Mié Dic 30, 2015 2:28 pm

Re: Auditorias de LOPD y RGPD

Mensaje por dazu » Jue Jul 19, 2018 10:32 pm

Buenas,

Habéis mencionado ya los aspectos más importantes. Añado información adicional debajo por si os resulta de utilidad.
Pero antes, resumiendo y respondiendo a la pregunta de egondie: como te indicaba logos, las auditorias ya no son obligatorias pero sí muy útiles (y recomendadas) para verificar que el análisis de riesgos sigue siendo acertado y las medidas de seguridad se están aplicando correctamente. Sobre todo tened en cuenta que todo esto es ahora parte de la responsabilidad proactiva del responsable de tratamiento.

Cito del documento del pack3 denominado "RGPD Adaptacion a las AAPP" (dentro de "Material" -> "05.- Aplicar legislación" -> "04.- Protección de datos")
"7. MEDIDAS DE SEGURIDAD
Según RGPD: Art 32 – seguridad en el tratamiento.
Objetivo: responsable y encargado aplican medidas técnicas y organizativas para adecuar la seguridad a los riesgos. Condicionantes: estado de la técnica, costes de aplicación, naturaleza, alcance, contexto y fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas. Ejemplos de riesgos: destrucción, pérdida o alteración accidental o ilícita de datos personales, comunicación o accesos no autorizados. Ejemplos de medidas: seudonimización y cifrado de datos personales, garantizar la confidencialidad, integridad y disponibilidad, capacidad de restauración de los sistemas rápidamente, supervisión periódica de las medidas. Se puede demostrar su cumplimiento mediante la adhesión a un código de conducta o a un mecanismo de certificación.

Según guías y publicaciones de la AEPD: (adicionalmente a lo comentado en RGPD)
El RGDP indica principios generales, no medidas de seguridad concretas, que deberán ser determinadas por el responsable.
Con el RGPD, deja de aplicarse la clasificación por niveles (bajo, medio y alto) de la LOPD y el esquema de medidas concretas de seguridad por nivel del RDLOPD que venía condicionado por el tipo de datos objeto de tratamiento. En el RGPD, los responsables y encargados establecen las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, el coste de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.
Es decir, las medidas de seguridad para el tratamiento de datos indicadas en el RDLOPD no son automáticamente válidas y trasladables al nuevo RGPD, se requiere un análisis de riesgos específico para cada tratamiento por parte del responsable. En algunos casos, el responsable podrá seguir aplicando las mismas medidas del RDLOPD si los resultados del análisis de riesgos previo indican que estas medidas son las óptimas. En otras ocasiones, será necesario complementarlas con medidas adicionales.
En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios para la protección de la información establecidos principalmente en el ENS (aunque también seguridad gestionada o ISO27001). El documento de seguridad desaparece en su concepto actual, aunque puede integrarse con el inventario de tratamientos. Las auditorias serán un mecanismo muy útil para verificar la implantación de estas medidas de seguridad y evaluar el riesgo residual, siendo su uso valorado por el responsable."


Esto, resumido, está extraido del RGPD y de las siguientes guías de la AEPD (dentro de la subcarpeta "Material adicional" de la carpeta anteriormente mencionada):
"RGPD - AEPD - AnalisisDeRiesgosRGPD", pg. 33
"Monitorización continua
Los riesgos son variables y pueden cambiar ante variaciones en las actividades de tratamiento. Garantizar una adecuada gestión de riesgos requiere la monitorización continua de los riesgos y la evaluación periódica de la efectividad de las medidas de control definidas para reducir el nivel de exposición al riesgo.
Se recomienda revisar el análisis de riesgos realizado ante cualquier cambio significativo en las actividades de tratamiento que pueda derivar en la aparición de nuevos riesgos."


"RGPD - AEPD - Impacto_RGPD_en_AAPP", pg. 3
"11. Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos. La normativa española de protección de datos contiene previsiones específicas sobre medidas de seguridad atendiendo básicamente al tipo de datos que se tratan. El RGPD, sin embargo, deja sin efecto esas previsiones, en la medida en que exige que las medidas de seguridad se adecúen a las características de los tratamientos, sus riesgos, el contexto en que se desarrollan, el estado de la técnica y los costes. Puede ocurrir que, tras un análisis de riesgo, y tomando en cuenta todos los demás factores, las medidas de seguridad sean las mismas que la normativa española prevé para un tipo determinado de datos. Pero en todo caso la aplicación de esas medidas no puede derivarse automáticamente de que se traten unos datos u otros, sino que ha de ser la consecuencia de un análisis de riesgos específico para cada tratamiento. En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad."

"RGPD - AEPD - Jornadas - 06.Preguntas_conjuntas_ponentes", pg. 13
¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo?
• El art. 24,1 del RGPD impone la obligación de adoptar medidas técnicas y organizativas adecuadas a “la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa índole y gravedad para los derechos de las personas físicas”. El Cdo. 75 enumera algunas de las posibles situaciones de riesgo
• El Título VIII del RGPD dedica la práctica totalidad de su articulado a enumerar las medidas y no a especificar el enfoque basado en el riesgo al que se refiere el RGPD
• Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa. Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD"


¡Ánimo con el último repaso y que vaya todo muy bien el sábado!

Avatar de Usuario
al83
Usuario registrado
Mensajes: 222
Registrado: Sab Nov 18, 2017 10:31 am

Re: Auditorias de LOPD y RGPD

Mensaje por al83 » Vie Jul 20, 2018 6:45 am

Gracias por la información dazu.

Por añadir algo más, copio abajo el Anexo C de la guía CCN-STIC 802 (auditoría del ENS), donde se establecen unas pautas para la elaboración de auditorías conjuntas ENS-RGPD:

1. El alcance establecido para la auditoría en el artículo 34 del RD 3/2010, no tiene
como objeto auditar o verificar el cumplimiento de las medidas de seguridad
establecidas para el tratamiento de datos de carácter personal.

2. Cuando el sistema auditado tenga por objeto el tratamiento de datos
personales se tendrá en cuenta lo previsto en la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal y su normativa de
desarrollo. A partir del 25 de mayo de 2018, cuando el sistema auditado tenga
por objeto el tratamiento de datos personales, se tendrá en cuanta el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE. A partir de dicha fecha en todo
momento se informará al Delegado de Protección de Datos en calidad de
responsable de la supervisión del cumplimiento del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

3. Si durante la realización de la auditoría a la que es aplicable esta guía, se
identificase algún incumplimiento manifiesto de dicha legislación de protección
o tratamiento de datos, es obligación del equipo auditor comunicarlo, e
incluirlo en el informe de auditoría.

4. Asimismo, es posible que se establezca previamente la realización conjunta de
ambas auditorías. En esta circunstancia, que ambas auditorías coincidan en el
tiempo, y realizadas por el mismo equipo de auditoría, es necesario tener en
cuenta, los aspectos comunes y diferenciados.

5. Se podrá emitir dos informes diferenciados, cada uno con su objetivo y alcance,
o bien indicar en un mismo informe agrupado qué deficiencias afectan al
cumplimiento de una u otra norma.

6. Consecuentemente, dado que estas las normas pueden ser concurrentes en
una gran mayoría de las medidas de seguridad, pero diferentes en otras, el
equipo auditor debe, si se realizan auditorías conjuntas, considerar y
diferenciar en su planificación de la evaluación de las medidas de seguridad
aplicables según la tipología de datos tratados y la finalidad de su tratamiento,
por el sistema de información auditado, y determinar cuándo una revisión o
prueba es válida para ambas auditorías.

Avatar de Usuario
egondie
Usuario registrado
Mensajes: 33
Registrado: Dom Sep 27, 2015 2:01 pm

Re: Auditorias de LOPD y RGPD

Mensaje por egondie » Vie Jul 20, 2018 4:08 pm

Muchas gracias a todos! muy buenas las aportaciones!
Mucha suerte mañana!

Responder

Volver a “TERCER EXAMEN 2017”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado