El tractament de fitxers amb dades personals per part d’empreses i particulars està regulat, i és per això que cal tenir especial cura en la gestió d’aquestes dades, tant per evitar accions punittives de l’APD (agència de protecció de dades), com per evitar possibles demandes civils. L’auditoria LOPD consta de quatre facetes, detallades a continuació:
- Auditoria tècnica: Aquesta fase consisteix en un anàlisi acurat de totes les dades que la empresa tracta, es fan recerques guiades per l’usuari i d’altres sense la seva intermediació per part dels tècnics assignats. També s’estudien les mesures de seguretat del sistema informàtic de l’empresa, i es fa un exàmen exhaustiu de l’actitut dels usuaris respecte a les dades i el seu tractament (enviament via mail, no bloqueig d’equips, nivell de seguretat de passwords, etc.)
- Auditoria legal: En aquest punt, el departament tècnic d’IN280 detalla el tipus de dades personals contingudes als fitxers del client als serveis jurídics, que procedeixen a l’estudi de les mateixes i, posteriorment, determinaran quin tipus de nivell d’aplicació cal per a cada tipus de dada trobada. Elaboració d’informe jurídic.
- Creació de documentació: El personal d’IN280, conjuntament amb els serveis jurídics, crearan tots els protocols d’aplicació de la LOPD. Es crea tota la documentació necessària perqué el personal de l’empresa sigui capaç d’aplicar la LOPD de manera ordenada i segura i axí pugui evitar futures sancions i demandes.
- Període d’Implantació: En aquest punt el departament tècnic implantarà a domicili del client tots els protocols generats amb anterioritat i formarà al personal de l’empresa per tal d’assolir una correcta implementació de la LOPD.
Marc normatiu:
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (en adelante LOPD).
– Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. (en adelante RD 994/1999 o Reglamento de Medidas Seguridad).
– Real Decreto 195/2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el RD 994/1999.
– Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre.
– Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
– Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones.
– Múltiples instrucciones de la Agencia de Protección de Datos.