Una de las obligaciones más importantes que establece la legislación de protección de de carácter personal, una vez ya implantado el sistema de seguridad de protección de datos personales, es la de realizar una Auditoría de los sistemas de información e instalaciones de tratamiento de datos, que verifique el cumplimiento del Reglamento de Medidas de Seguridad, de los procedimientos e instrucciones vigentes en materia de seguridad, al menos, cada dos años.
Debe emitirse un exhaustivo Informe de Auditoría, que dictamine sobre la adecuación de las medidas y controles al Reglamento, identifique deficiencias y proponga las medidas correctoras o complementarias necesarias, e igualmente incluya los datos, hechos y observaciones en los que se basen los dictámenes alcanzados y las recomendaciones propuestas. El Informe de Auditoría quedará a disposición de la Agencia de Protección de Datos.
La Auditoría bienal es obligatoria para los ficheros que contengan datos de los niveles medio y alto, y el plazo para haber efectuado la primera Auditoría está ampliamente sobrepasado. El incumplimiento de esta obligación puede representar la comisión de una infracción, que se califica como grave, sancionable con multa entre 60.000 y 300.000 euros.
Nuestra experiencia en la consultoría y auditoría de sistemas de protección de datos personales en empresas y organizaciones públicas y privadas revela que en la gran mayoría de los casos, el incumplimiento de las obligaciones responde al desconocimiento de la legislación por parte de las organizaciones, mientras que resulta relativamente sencillo y requiere un escaso esfuerzo alcanzar el cumplimiento exigido, sobre todo si se compara con el riesgo que se contrae en caso de incumplimiento.
