La Auditoría y Consultoría en LOPD consiste en el estudio por parte de un consultor especializado de su actividad, para valorar las medidas de seguridad que se deben implementar para cumplir las exigencias del marco legal y se asesora de forma continuada para su cumplimiento.
Una vez realizado el estudio se redacta un documento de seguridad en el que se describirán el tipo de ficheros que trata el responsable de fichero (ficheros de nivel de seguridad básico, medio o alto), así como las medidas de seguridad a implementar según la tipología de cada fichero. El documento de seguridad es de obligado cumplimiento para el responsable del fichero.
La normativa que regula, tanto la protección de datos de carácter personal, como el comercio electrónico, y la contratación informática es muy amplia, tanto en el ámbito nacional como en el internacional. Entre otras normas, se incluyen las siguientes:
* Constitución Española de 1978.
* Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. (LOPDGDD)
* Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
* Ley 34/2002, de 11 de julio, Servicios de la Sociedad de la Información y de Comercio Electrónico.
* Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la Protección de las Personas Físicas en lo que respecta al tratamiento de Datos Personales y a la Libre Circulación de estos Datos.
* Real Decreto de 24 de julio de 1889, por el que se publica el Código Civil.
* Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la de Defensa de los Consumidores y Usuarios.
Todos los Ayuntamientos, Mancomunidades de Municipios, y el resto de las entidades locales, empresas, Pymes, autónomos, asociaciones, entidades jurídicas, comunidades de propietarios que en su actividad gestionen datos de sus clientes, proveedores, asociados, trabajadores etc.
Los titulares de dominios web que realicen una actividad económica a través de internet (comercio electrónico).
Las partes contratantes en un contrato informático (contrato de Hardware, contrato de Software, contrato de instalación llave en mano, contratos de servicios auxiliares).
Aunque el cumplimiento del marco es complejo y casuístico, se pueden destacar las siguientes obligaciones básicas:
– Confeccionar el Registro de Actividades del Tratamiento.
– Redactar el documento de seguridad para implementar las medidas de seguridad.
– Cumplir las medidas de seguridad recogidas en el documento de seguridad.
– Confeccionar la Evaluación de Riesgo, y en los casos en que sea necesario, la Evaluación de Impacto del Tratamiento.
– Llevar a cabo un seguimiento proactivo del cumplimiento de las medidas de seguridad implantadas.
Infracciones y sanciones: la cuantía de las sanciones que impone la LOPD se gradúa atendiendo, entre otros criterios, a la naturaleza de los derechos personales afectados. Detallamos algunos ejemplos de infracciones y sanciones que se regulan en nuestra legislación.
* Son infracciones leves: Sanciones entre 601,01 € y 60.101,21 €.
– No atender a las solicitudes de rectificación o cancelación de los titulares de los datos.
– Recopilar datos personales sin informar previamente.
* Son infracciones graves: Sanciones entre 60.101,21 € y 300.505,25 €.
– No tener el consentimiento del interesado para recabar sus datos personales.
– Mantener sus ficheros sin las debidas condiciones de seguridad.
* Son infracciones muy graves: Sanciones entre 300.505,25 € y 601.012,1 €.
– La comunicación o cesión de datos cuando ésta no esté permitida por el titular de los datos.
– La transferencia internacional de datos de carácter personal a otros países sin nivel de protección equiparable o sin autorización.
– Vulnerar el secreto sobre datos especialmente protegidos (ideología, afiliación sindical, religión y creencias, salud, origen racial o étnico, vida sexual)
