El art. 96 del Reglamento de la Ley de Protección de Datos, (LO 15/1999, de 13 de diciembre), establece que:
“a partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente Título”, y a continuación añade que “con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior”.
© kemaltaner – Fotolia.com
Así pues, de lo anterior se deduce que:
- La auditoría es obligatoria cuando los datos que se traten de los clientes o prospectos sean de los calificados por la ley como de “nivel medio”, (datos relativos a la comisión de infracciones administrativas o penales; servicios de solvencia patrimonial y de crédito; los que ofrezcan una definición de la personalidad y permitan evaluar aspectos de la misma o del comportamiento de las personas; etc. Por supuesto, que también cuando se trata de datos de “nivel alto”, (datos sobre la ideología, afiliación sindical, religión , origen racial, vida sexual, etc).
- Que la auditoría podrá ser de carácter externo, (realizada por otra empresa), o interna, (realizada por ti mismo). La elección es libre.
- Que el objetivo es verificar el cumplimiento de las medidas de seguridad.
- Dicha auditoría habrá que realizarla cada dos años, o cuando se produzcan cambios sustanciales en el sistema, en cuyo caso, el plazo de dos años empezará a contar desde la realización de esta auditoría “extraordinaria”.
Además, el apartado 3 del precepto anterior dispone que “los informes de auditoría (…) quedarán a disposición de la Agencia Española de Protección de Datos”, para que en caso de requerimiento por ésta, pueda aportársele, pero el precepto no establece ningún plazo concreto para mantener esa disposición a favor de la Agencia.
¿Significa eso que no existe plazo y que tendrás que dejarlos guardados indefinidamente?. Bueno, aunque es cierto que no existe un plazo específico, sin embargo es interesante que el art. 44.2 h) de la Ley de Protección de Datos, establece que es una infracción grave “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. El plazo de prescripción de esta infracción es de dos años, como dispone el art. 47.1 de la Ley, de donde se desprende que una vez pasados esos dos años, aunque existiera infracción ya no podría sancionarse, de donde se concluye que, al menos desde un punto de vista práctico, el plazo para mantener dichos informes será de dos años, de manera que todos los informes que hayan sobrepasado ese plazo, podrán ser destruidos, pues aún si fueran requeridos por la Agencia Española de Protección de Datos y no se le aportasen, ésta ya no podría imponer sanción alguna.
Por ello, si en tu negocio on-line, tratas datos de carácter personal de nivel medio o alto, no olvides tener siempre, al menos, el último informe de auditoría, ya sea interno o externo, y que en cualquier caso deberá de comprender los dos últimos años de actividad.
David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.