Modelo Auditoria

INFORME DE AUDITORÍA DE SEGURIDADPROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

CLÍNICA DENTAL_______________________________________

Granada, __________________________________________

Informe de Auditoría Interna de SeguridadCLÍNICA DENTAL:

1. Antecedentes

El presente Informe se elabora tras la realización de una Auditoría de los sistemas de información e instalaciones de tratamiento de datos personales titularidad de la clínica dental…………………

El mismo constituye lo que en el artículo 110 de la actual normativa en materia de protección de datos personales se denomina Auditoria Interna indicada para revisar el cumplimiento del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal que viene a derogar al anterior Real Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contuviesen datos de carácter personal los procedimientos y las instrucciones vigentes en materia de seguridad de datos.

2. Normativa

La Auditoría ha sido realizada para comprobar y verificar el cumplimiento de las medidas de seguridad en materia de protección de datos de carácter personal dispuestas por el Reglamento de Seguridad y detalladas en el Documento de Seguridad de elaborado por la clínica dental, utilizando para ello la siguiente normativa:

- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm.298 de 14 de diciembre de 1999).

- Real Decreto 195/2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio (BOE núm.49 de 26 de febrero de 2000).

- RESOLUCIÓN de 22 de junio de 2001, de la Subsecretaría por la que se dispone la publicación del Acuerdo de Consejo de Ministros por el que se concreta el plazo para la implantación de medidas de seguridad de nivel alto en determinados sistemas de información. (BOE núm.151 de 25 de junio de 2001).

- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 1571999, de 13 de diciembre, de protección de datos de carácter personal (BOE núm.17 de 19 de enero de 2008).

2


3. Identificación del Responsable del fichero o tratamiento.

Datos de la clínica dental auditada:

Nombre o razón social……………………………………………

C.I.F. ……………………………………………

Domicilio social ………………………………………………………………………………………………………………………………………

Objeto socialEl Diagnóstico y el tratamiento de la salud bucodental de los pacientes.

El desarrollo de la auditoría se ha realizado para la revisión in situ de las instalaciones de tratamiento de datos y sistemas de información en los locales de la Clínica dental situada en la calle ……………………………………..

4. Ficheros o tratamientos objeto de la Auditoría.

Los tratamientos auditados objeto del presente informe responsabilidad de …………………………………… auditado, han sido los correspondientes a los niveles de seguridad Alto, que el que corresponde a los ficheros de una clínica dental de acuerdo con los criterios establecidos en el Documento de Seguridad y el Reglamento de Seguridad. A continuación, se describen brevemente algunas características de los tratamientos que se desprenden de los formularios de inscripción presentados ante el Registro General de Protección de Datos:

Fichero/Tratamiento PACIENTES

Ubicación principal

Finalidad Gestión de la salud

Nivel de seguridad Alto

Fichero/Tratamiento PROVEEDORES


Finalidad Gestionar la relación con los proveedores

3


de bienes y servicios a la clínica

Nivel de seguridad Bajo

Fichero/Tratamiento PERSONAL


Finalidad Cumplimiento de las obligaciones legales derivadas de la relación laboral de los empleados de la clínica dental

Nivel de seguridad Alto

Actualmente no existe ningún otro fichero inscrito ante el Registro General de Protección de Datos.

5. Estudio de los niveles de seguridad

De conformidad con la información obrante en las notificaciones de inscripción de los ficheros que contienen datos de carácter personal auditados y, a la existente en los sistemas e instalaciones de tratamiento de la Clínica auditada, a continuación se ponen de manifiesto las siguientes cuestiones respecto a los niveles de seguridad asignados a cada fichero:

FICHERO “PACIENTES”

Nivel asignado por el responsable del fichero: ALTO

Nivel que le corresponde a juicio del auditor: ALTO

FICHERO “PROVEEDORES”

Nivel asignado por el responsable del fichero: BAJO

Nivel que le corresponde a juicio del auditor: BAJO

FICHERO “PERSONAL”

Nivel asignado por el responsable del fichero: ALTO

Nivel que le corresponde a juicio del auditor: ALTO

FICHERO “………”

Nivel asignado por el responsable del fichero:

Nivel que le corresponde a juicio del auditor:

4


6. Lista de distribución

El presente informe quedará guardado, de conformidad a lo dispuesto en la normativa correspondiente, a disposición de las autoridades competentes, habiendo sido elaborado por la persona encargada/autorizada del tratamiento de los ficheros:

Nombre y apellidos Cargo / Departamento

7. Adecuación de las medidas y controles internos al Reglamento de Seguridad.

En relación a los tratamientos auditados, a continuación se ponen de manifiesto, de acuerdo con lo dispuesto en el Reglamento de Seguridad, los hechos, datos y observaciones revisados y comprobados por el auditor respecto de la adecuación de los mismos a las medidas de seguridad establecidas en la normativa vigente relativa a seguridad de datos personales, así como la identificación de todas las deficiencias encontradas y la propuesta de medidas correctoras o complementarias recomendadas a adoptar en la clínica dental.

(A CONTINUACIÓN HACEMOS UNA RELACIÓN DETALLADA A MODO DE EJEMPLO, LO QUE NO CORRESPONDA HABRÁ QUE MODIFICARLO)7.1. Documento de Seguridad

Artículo 88 del Reglamento de Seguridad: “1El responsable del fichero o tratamiento elaborará un

documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la

normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los

sistemas de información. 3. El documento deberá contener, como mínimo, los siguientes aspectos: a)

Ámbito de aplicación del documento con especificación detallada de los recursos protegidos b) Medidas,

normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de

seguridad exigido en este reglamento c) Funciones y obligaciones del personal en relación con el

tratamiento de los datos de carácter personal incluidos en los ficheros d)Estructura de los ficheros con

datos de carácter personal y descripción de los sistemas de información que los tratan e) Procedimiento

de notificación, gestión y respuesta ante las incidencias f)Los procedimientos de realización de copias de

respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados g) Las medidas que

sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los

documentos y soportes, o en su caso, la reutilización de estos últimos”

Artículo 88.4 del Reglamento de Seguridad: “El documento de seguridad deberá contener, además, de

lo indicado anteriormente, la identificación del responsable o responsables de seguridad, los controles

periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento”

5


7.1.1. El Documento de Seguridad de la Clínica Dental se encuentra en un archivo de la misma situado en la calle ……………………..

7.1.2. Se ha verificado que el Documento de Seguridad no está actualizado. 7.1.3. Se ha verificado que se realizan controles periódicos por parte del Responsable de Seguridad para el cumplimiento del Documento de Seguridad del Colegio.

7.1.4. Se ha verificado que el Responsable de Seguridad se haya correctamente nombrado y designado.

7.2. Funciones y obligaciones del personal.

Artículo 89 del Reglamento de Seguridad: “1. Las funciones y obligaciones de cada uno de los usuarios

o perfíles de usuarios con acceso a los datos de carácter personal y a los sistemas de información

estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las

funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal

conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones

así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”

7.2.1. Se ha verificado que el personal de la clínica dental conoce y cumple las obligaciones y los deberes en materia de protección de datos.

7.3. Control de Accesos físicos a las instalaciones y equipos informáticos

Artículo 98 del Reglamento de Seguridad: “Exclusivamente el personal autorizado en el documento de

seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte

a los sistemas de información”

7.3.1. Se ha verificado y comprobado que la clínica dental no dispone de un listado de usuarios autorizados para acceder a los locales donde se encuentran los datos personales y el resto de información.

7.4. Control de accesos, identificación y autenticación

Artículo 91 del Reglamento de Seguridad: “1. Los usuarios tendrán acceso únicamente a aquellos

recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de

que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para

cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario

pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal

autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado

sobre los recursos, conforme a los criterios establecidos por el responsable del fichero”.

6


Artículo 93 del Reglamento de Seguridad: “1. El responsable del fichero o tratamiento deberá adoptar

las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable

del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y

personalizada de todo aquel usuario que intente acceder al sistema de información y verificación de que

está autorizado.

7.4.1. Se ha comprobado y verificado que la clínica dental dispone de una relación de usuarios actualizada y completa que tiene acceso a los datos personales titularidad de la misma.

7.4.2. Se ha verificado que la clínica dental dispone de sistemas de identificación y autenticación individuales y distintos de los usuarios autorizados.

7.4.3. Se ha verificado que el responsable de la clínica dental asigna y distribuye, a cada uno de los usuarios autorizados, las contraseñas correspondientes.

7.4.4. Se ha verificado que las contraseñas se renuevan periódicamente, cada mes, y que se almacenan a través del programa …………….. para clínicas dentales.

7.4.5. Se ha verificado que los usuarios tienen acceso únicamente a los datos y recursos que precisan para el desarrollo de sus funciones.

7.4.6. Se ha verificado que el programa informático que se utiliza registra automáticamente los accesos que se hacen a los datos de nivel alto.

7.4.7. Se ha verificado que el sistema informático bloquea el acceso reiterado de un determinado usuario no autorizado.

7.5. Registro de Incidencias

Artículo 90 del Reglamento de Seguridad: “Deberá existir un procedimiento de notificación y gestión de

las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga

constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que

realiza la notificación a quién se le comunica, los efectos que se hubieran derivado de la misma y las

medidas correctoras aplicadas ”.

Artículo 100 del Reglamento de Seguridad: “1. En el registro regulado en el artículo 90 deberán

consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona

que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar

manualmente en el proceso de recuperación. 2. Será necesaria la autorización del responsable del

fichero para la ejecución de los procedimientos de recuperación de los datos”.

7.5.1. Se ha comprobado y verificado que existe un Registro de Incidencias titularidad de la clínica dental.

7


7.5.2. Se ha verificado que la clínica dental dispone de un sistema de recuperación de datos, a través del propio software de las copias de seguridad del programa…………….

7.6. Registro de Auditorías

Artículo 98 del Reglamento de Seguridad: “A partir del nivel medio los sistemas de información e

instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una

auditoría interna o externa, que verifique el cumplimiento del presente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones

sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de

seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

Esta auditoría inicia el cómputo de los años señalado en el párrafo anterior.

. 2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y

su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o

complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se

basen los dictámenes alcanzados y las recomendaciones propuestas. 3. Los informes de auditoría serán

analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del

fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la

Agencia Española de Protección de Datos, o en su caso, de las autoridades de control de las

comunidades autónomas.”

7.6.1. Se ha verificado y comprobado que la clínica dental dispone de un Registro de Auditorías y que está debidamente actualizado.

7.7. Registro de Accesos

Artículo 103 del Reglamento de Seguridad: “De cada intento de acceso se guardarán, como mínimo, la

identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha

sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la

información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de

accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir

la desactivación ni la manipulación de los mismos. 4. El período mínimo de conservación de los datos

registrados será de dos años. 5. El responsable de seguridad se encargará de revisar al menos una vez al

mes la información de control registrada y elaborará un informe de las revisiones realizadas y los

problemas detectados. 6. No será necesario el registro de accesos definido en este artículo en caso de

que concurran las siguientes circunstancias: a) Que el responsable del fichero o del tratamiento sea una

persona física. b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene

acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse

constar expresamente en el documento de seguridad”.

7.7.1. Se ha verificado que la clínica dental dispone de un Registro de Accesos a los datos personales de los pacientes de la misma, indicando a su vez el nivel de acceso que tienen los usuarios autorizados.

8


7.8. SoportesArtículo 92 del Reglamento de Seguridad: “1. Los soportes y documentos que contenga datos de

carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y

sólo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los

comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del

fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente

autorizada en el documento de seguridad. 4. Siempre que vaya a desecharse cualquier documento o

soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado,

mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o

su recuperación posterior”.

Artículo 97 del Reglamento de Seguridad: “1. Deberá establecerse un sistema de registro de entrada de

soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora,

el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que

contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente

autorizada. 2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita,

directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el

número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de

envío y la persona responsable de la entrega que deberá estar debidamente autorizada.”

7.8.1. Se ha comprobado y verificado que no existe ningún sistema de identificación de soportes que contengan datos personales titularidad de la clínica dental.

7.8.2. Se ha verificado y comprobado que los soportes se guardan en un lugar de acceso restringido a usuarios autorizados, en concreto en un archivo bajo llave.

7.8.3. Se ha verificado y comprobado que el Responsable del Fichero autoriza las salidas que puedan realizarse de los soportes que contienen datos personales.

7.8.4. Se ha verificado que la clínica dispone de un Registro en el que se anotan todas las entradas y salidas de soportes que contienen datos personales.

7.8.5. Se ha verificado que la distribución de soportes no se hace de forma cifrada.

7.8.6. Se ha verificado que no se transmiten datos personales de nivel alto por medio de redes de telecomunicaciones

7.8.7. Se ha comprobado que no se utiliza ningún sistema de cifrado o encriptación para el envío por redes de telecomunicaciones de datos de nivel alto.

7.8.8. Se ha comprobado que la clínica dental no dispone de un procedimiento de inventario de soportes.

9


7.9. Copias de seguridad

Artículo 94 del Reglamento de Seguridad: “1. Deberán establecerse procedimientos de actuación para

la realización como mínimo semanal de copias de respaldo, salvo que en dicho periodo no se hubiera

producido ninguna actualización de los datos. 2. Asimismo, se establecerán procedimientos para la

recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se

encontraban al tiempo de producirse la pérdida o destrucción. 3. El responsable del fichero se encargará

de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de

realización de copias de respaldo y de recuperación de los datos.”

Artículo 102 del Reglamento de Seguridad: “Deberá conservarse una copia de respaldo de los datos y

de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren

los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad

exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la

información, de forma que sea posible su recuperación”.

7.9.1. Se ha verificado que la clínica dental realiza copias de seguridad semanalmente de los datos personales titularidad de la misma.

7.9.2. Se ha verificado que la clínica dental dispone de un sistema que garantiza la reconstrucción cuando se pierden o destruyen.

7.9.3. Se ha verificado que las copias de seguridad se guardan fuera de los locales en los que se encuentran los equipos informáticos.

7.10. Autorizaciones y avisos legales

Artículo 5 de la LOPD: “1. Los interesados a los que se soliciten datos personales deberán ser

previamente informados de modo expreso, preciso e inequívoco: a) de la existencia de un fichero o

tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios

de la información; b) del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean

planteadas; c) de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) de

la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; e) de la

identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”

7.10.1. Se ha verificado que al paciente se le entrega un aviso legal o autorización para poder tratar sus datos personales.

7.10.2. Se ha comprobado que la clínica dental tiene suscritos contratos con los colaboradores que tienen acceso a los datos para prestar sus servicios a la misma.

10


8. Deficiencias detectadas

8.1. Deficiencias del Reglamento de Seguridad

A continuación de la adecuación de la actividad de la Clínica dental………………………………………………………………………………………al Reglamento de Seguridad, y a la vista de cuanto antecede se hace especial mención de que las deficiencias detectadas son las que constan en los apartados: 7.1.2., 7.3.1., 7.8.1., 7.8.5., 7.8.8. y 7.10.2.

9. Medidas correctoras

A continuación se proponen una serie de medidas correctoras en función de las deficiencias detectadas en el epígrafe anterior:

9.1. Medidas correctoras del Reglamento de Seguridad

9.1.1. En relación con el apartado 7.1.2., se recomienda que el documento de seguridad esté actualizado en todo momento.

9.1.2. En relación con el apartado 7.3.1., se recomienda que la clínica dental disponga de un control de acceso físico a los locales donde se encuentren los datos personales titularidad de la misma.

9.1.3. En relación con el apartado 7.8.1., se recomienda que la clínica dental disponga de un sistema de identificación de los soportes que contengan datos personales.

9.1.4. En relación con el apartado 7.8.5., se recomienda que la distribución de soportes se realice de forma cifrada.

9.1.5. En relación con el apartado 7.8.8., se recomienda que la clínica dental disponga de un sistema de inventario de soportes.

9.1.6. En relación con el apartado 7.10.2., se recomienda que la clínica dental tenga suscritos contratos con los colaboradores …………….. y gestorías que tengan acceso a los datos de la misma.

11


10. Conclusiones para el Responsable del Fichero o Tratamiento

En Granada, a …………………………………………..

Para finalizar el presente informe de auditoría de las medidas de seguridad adoptadas en las instalaciones y sistemas de información de la clínica dental ………………………………………………………………………………………, a continuación se presentan las conclusiones al mismo, para un rápido conocimiento de la situación en que se encuentra la clínica auditado.

La situación actual de la misma con relación al nivel de cumplimiento de la legislación vigente en materia de seguridad de los datos de carácter personal respecto de sus instalaciones y tratamiento, es FAVORABLE PERO CON LAS SALVEDADES de que sean corregidas todas y cada una de las deficiencias detectadas y expuestas en el apartado anterior y que deben adoptarse para acabar de adecuarse al Reglamento de Seguridad. En todo caso, el resultado favorable del presente informe quedará condicionado y sometido a la correcta implementación de las medidas correctoras.

Se pone de manifiesto ante la clínica dental auditada que ésta se encuentra sujeta al régimen sancionador establecido en la LOPD, así como que las infracciones en materia de seguridad y en concreto, mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad establecidas en el Reglamento de Seguridad, están tipificadas por la LOPD como infracción grave con sanción de 60.101,21 Euros a 300.506,05 Euros.

Asimismo, se deben adoptar las medidas correctoras adecuadas y, ambos informes, esto es, el que se elabore con las mismas y el presente documento, deben estar a disposición, en su caso, de la Agencia Española de Protección de Datos.

(HEMOS UTILIZADO, para que podáis ver cómo se hace un modelo con, DEFICIENCIAS, MEDIDAS CORRECTORAS, Y FAVORABLE CON SALVEDADES. Pero evidentemente, podría no haber ninguna deficiencia, por lo que no sería necesario utilizar medidas correctoras, siendo FAVORABLE, sin necesidad de hacer ningún tipo de salvedad). (Es decir que esta memoria sirve como referencia pero cada cuál habrá de adaptarla a la situación específica de sus ficheros).

______________

12

Documents

Modelo Auditoria