¿Cada cuánto tiempo establece el Nuevo Reglamento de la LOPD que se debe auditar una empresa?

De acuerdo con lo establecido en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de carácter personal (RLOPD), las empresas están obligadas a pasar una auditoría de manera bianual en el caso de que los sistemas de información e instalaciones de tratamiento y almacenamiento de datos contengan datos calificados como de nivel medio o alto. Esta auditoría afectará tanto a los ficheros automatizados como no automatizados. La empresa de acuerdo con lo que establece el artículo 96 podrá elegir entre una auditoría a nivel externo como interno.
En estas auditorías lo que se deberá verificar es que se cumple con las medidas de seguridad establecidas en el título VIII del RLOPD.

Como novedad incluida en el Reglamento se obliga con carácter extraordinario a las empresas a realizar una auditoría en el caso de que se hagan modificaciones sustanciales en el sistema de información. Son calificadas en la norma como sustanciales, aquellas modificaciones que se hagan de tal manera que estas puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Una vez se realice esta auditoría extraordinaria empezará a contar de nuevo el cómputo de tiempo para la realización de la siguiente auditoría bienal, lo cual es un punto a favor de aquellas empresas que pasen la auditoría sin tener claro que las modificaciones realizadas sean realmente sustanciales.

El auditor lo que deberá hacer independientemente del tipo de auditoría que estemos hablando, será identificar las deficiencias existentes y proponer las medidas a tomar, bien correctoras, bien complementarias para los sistemas e instalaciones auditadas. En los informes en los que se determinen estas deficiencias además se le obliga a que incluya los datos, hechos y observaciones sobre las que se basen sus recomendaciones.

Los informes de auditoría tendrán que ser analizados por el Responsable de Seguridad de la empresa el cual deberá poner al corriente al responsable del fichero o tratamiento de las medidas a adoptar las cuales quedan a disposición de la Agencia Española de Protección de Datos o en su caso de las Agencias existentes a nivel autonómico (estas últimas en el caso de que los ficheros sean de titularidad de las Administraciones Públicas).