Ejemplo de Auditoría LOPD en Una Clínica

Ejemplo de auditoría LOPD en una clínica/consulta
privada (I)
SUPUESTO:
El supuesto que os presento es el más sencillo que puede ocurrir en lo que a clínicas
privadas se refiere:
Sani-To es una clínica privada compuesta por dos profesionales de la Medicina en la
que prestan sus servicios realizando consultas médicas y pequeñas intervenciones
quirúrgicas. En Sani-To son algo tradicionales, y para las historias clínicas de sus
pacientes utilizan fichas en papel como toda la vida; si les va bien…. ¿para que
cambiar? Hasta no hace mucho, pensaban que como no había ordenadores en la clínica,
eso de la LOPD no iba con ellos, pero un aviso de inspección de la Consejería de Salud
les ha hecho ponerse alerta respecto a estos asuntos, así que se han puesto en contacto
con GC Consultores para que les hagan una auditoría de cumplimiento de la LOPD… a
ver qué sale.
Auditoría LOPD (II). Pertinencia

El Reglamento de Medidas de Seguridad de los ficheros de carácter personal establece,
cuando existen ficheros de nivel medio o alto:
Artículo 96. Auditoría.
1.- A partir del nivel medio, los sistemas de información e instalaciones de tratamiento
y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría
interna o externa, que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen
modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con objeto de verificar la adaptación, adecuación y eficacia de las mismas.
Esta auditoría inicia el cómputo de dos años señalado en el apartado anterior.
Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de
datos, al menos, cada dos años.
2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y
controles a la Ley (LOPD) y su desarrollo reglamentario (RD 1720/2007), identificar
sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los
dictámenes alcanzados y recomendaciones propuestas.
3.- Los informes de auditoría serán analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o tratamiento para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
de Española de Protección de Datos o, en su caso, de las autoridades de control de las
comunidades autónomas.
Auditoría LOPD (III). Objeto y Alcance de la

Auditoría
El presente documento informará sobre el nivel de adecuación a la Ley Orgánica de
Protección de Datos de Carácter personal, identificando las deficiencias o no
cumplimientos detectados proponiendo las medidas correctoras oportunas para corregir
las faltas de cumplimiento encontradas.
Se excluye expresamente de este documento la información relativa al nivel de
adecuación al Real Decreto 1720/2007 de Medidas de Seguridad.
El presente informe queda limitado a los hechos y observaciones encontrados en
Clínica.
La técnica empleada para la recolección de información será a través de entrevistas con
los responsables identificados. Sin embargo, en la medida de lo posible, a través de
correo electrónico, se recopilará información en forma de preguntas directas y sencillas
de fácil resolución.
La auditoría se llevará a cabo en las siguientes fases:
 Inventario de Activos
 Identificación de Responsables
 Análisis de adecuación LOPD
 Informe de Auditoría
 Presentación
La auditoría obligada por el Reglamento del R.D. 1720/2007 se ha realizado durante los
días………… y ha constado de las siguientes fases:
 Conocimiento genérico de la empresa, su ámbito de negocio, los sistemas de
información de que disponen, su estructura administrativa, sus relaciones con
organismos oficiales, asociaciones, instituciones y otras empresas, todo ello a
través de formularios preestablecidos suministrados al responsable de los
ficheros de la empresa objeto de auditoría, en los que se recopilan datos
fundamentales para el conocimiento del nivel de adaptación a la normativa
vigente en materia de seguridad de datos de carácter personal de la misma.
 Elaboración de un programa de trabajo en el que se detallan las actividades o
tareas a auditar, teniendo para ello en cuenta, por un lado, los requisitos de
revisión impuestos por el Reglamento en relación con la auditoría, y por el otro,
el ámbito de negocio y sistemas de la empresa, recopilados a través de los
formularios anteriormente mencionados, de los que se extraen las deficiencias
detectadas a priori, y los datos a recopilar para confirmar el cumplimiento en los
puntos en que se define el Responsable del Fichero acorde a la normativa
vigente.
 Realización del trabajo de campo, esto es, la revisión práctica de las actividades
incluidas en el plan de trabajo.
 Análisis de los puntos débiles y obtención de conclusiones y recomendaciones.
 Elaboración del informe.
A partir del hecho de que la auditoría debe verificar el cumplimiento la LOPD, el Plan
de Trabajo deberá incluir específicamente la comprobación de todos los artículos de
aquel que sean de aplicación a tenor del tipo de ficheros de que disponga la empresa
(medio, alto).
Para la realización organizada de esta auditoría se han preparado unos formularios a
modo de “checklist”. Estos formularios están divididos en 6 áreas de manera que se
puedan identificar aquellos ítems a auditar de una manera lógica. De esta manera las
áreas serán las siguientes:
 NIVEL DE CUMPLIMIENTO SOBRE LEY DE PROTECCIÓN DE DATOS

o Registro de Ficheros
o Información y Consentimiento
o Principios de Protección de Datos
o Derechos ARCO
o Relación con Terceros
o Seguridad
Auditoría LOPD(IV). Identificación de Ficheros y

Tratamientos
Análisis de los Ficheros y Tratamientos realizados por la Clínica:
La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los
derechos de las personas en lo que concierne al tratamiento de los datos personales. Por
ello, por tratar datos personales deben cumplirse con las previsiones y principios de la
Ley.
Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse
con el deber de inscripción de los ficheros ante el Registro General de Protección de
datos de la Agencia Española de Protección de Datos. Si se trata de una administración
distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o
la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades
autonómicas de protección de datos.
Se han verificado los siguientes puntos de control respecto de la Identificación de
Ficheros y Tratamientos con las siguientes respuestas.
Registro de ficheros
ID Control Resp. Evidencia Comentarios
Con la información de la que
dispone actualmente ¿Cree que Sí
LOPD001 Vd. o su empresa realizan Entrevista
tratamientos de datos de No
carácter personal?
Sí
Si Vd. trata datos personales
LOPD002 Entrevista
¿los incluye en ficheros?
No
¿Se han notificado los ficheros
Registro
a la AEPD para su inscripción
LOPD003 No inscripción
en el Registro General de
AEPD
Protección de Datos?
Ley.
De acuerdo con los controles realizados y las respuestas obtenidas se proponen las
recomendaciones siguientes:
MEDIDAS CORRECTORAS MC001

IDENTIFICACIÓN DE FICHEROS Y TRATAMIENTOS
Control Tipo de fichero Nivel de seguridad Artículo
LOPD001 26 LOPD
26.1 Toda persona o entidad que proceda a la creación de ficheros de datos de carácter
personal. Lo notificará previamente a la Agencia de Protección de Datos
Se tratan datos personales y se dispone de ficheros y/o sistemas de información.
Evidencia Historias Clínicas de Pacientes en Papel.
Impacto Infracción leve LOPD
Se debe proceder a la inscripción del fichero ante el Registro
Medidas correctoras General de Protección de Datos o el registro competente
conforme a lo dispuesto en el artículo 26 LOPD
Infracción leve art. 44.2.c. No solicitar la inscripción del fichero
de datos de carácter personal en el Registro General de
Protección de Datos, cuando no sea constitutivo de infracción
grave…
Gravedad
Las infracciones leves serán sancionadas con multa de 601,01€
a 60.101,21€
Riesgo de otras infracciones a la LOPD debido a la falta de
asesoramiento adecuada
NOTA: interpretación de los iconos utilizados en las tablas de Medidas Correctoras.
Tipos de ficheros
Fichero automatizado
Fichero no Automatizado
Todos los tipos de Ficheros

Niveles de Seguridad
Ficheros de Nivel Básico
Ficheros de Nivel Medio
Ficheros de Nivel Alto

Carácter de las Medidas Correctoras
Adopción Obligatoria de la medida
Adopción Recomendable de la medida
Tipología de las Medidas Correctoras
Medida de Carácter Legal
Medida de Carácter Organizativo
Medida de Carácter Técnico
Auditoría LOPD(V). Información y Consentimiento

Continuamos realizando la auditoría LOPD a Clinica, en esta ocasión analizamos los
controles LOPD relativos a Información y consentimiento:
El consentimiento constituye el principal elemento de legitimación que permite a los
responsables de un fichero o tratamiento tratar datos de carácter personal. Sólo en los
casos en los que la Ley o una norma comunitaria de aplicación directa, exima del mismo
pueden tratarse datos sin consentimiento.
El consentimiento debe ser previo, libre, específico e informado. Por ello, es esencial
informar siempre que se recaban datos personales. La información previa no sólo es
relevante para conocer, para qué tipo de tratamiento se consiente sino también quién va
a tratar los datos, a quién se comunicarán o ante quién ejercer los derechos de acceso,
rectificación, cancelación u oposición al tratamiento.
Por otra parte, hay que tener en cuenta que respecto de determinadas tipologías de datos
relativos a la ideología, la afiliación sindical, la religión o creencias, la salud, el origen
racial o la vida sexual, el consentimiento de prestarse de modo expreso y en
determinados casos además escrito.
Se han verificado los siguientes puntos de control respecto de la Información y
Consentimiento del afectado obteniendo las siguientes respuestas.
Información y Consentimiento
ID Control Resp. Evidencia
¿Cómo obtiene sus datos? (Indique Su Respuesta)
LOPD 004
Me los proporciona directamente la persona a
X Entrevista EL PACIENTE
quien pertenecen.
Entrevista
Si le proporciona directamente los datos la persona
a quien pertenecen…
LOPD 005 Procedimiento para TÁCITO
X
obtener
Lo hace con su consentimiento
consentimiento
Los datos que trato me los proporciona
directamente la persona a quien pertenecen sin su
LOPD 006 consentimiento porque los obtengo en el marco de No Entrevista
la celebración de un contrato, precontrato o
relación laboral, o negocial.
directamente la persona a quien pertenecen sin su
LOPD 007 consentimiento porque somos Administración No Entrevista
Pública y los obtenemos en el marco del ejercicio
de nuestras funciones.
Trato los datos sin consentimiento porque los
obtengo de una fuente accesible al público como la Fuentes de acceso
LOPD 008 guía telefónica, un listado de profesionales, diarios No Público de donde
y boletines oficiales o medios de comunicación obtiene los datos
social
Los datos que trato me los proporciona Ley que regula el
LOPD 009 directamente la persona a quien pertenecen, sin su No tratamiento sin
consentimiento en virtud de una obligación legal. consentimiento
directamente la persona a quien pertenecen Servicios que
LOPD 010 X SANITARIOS
debido a que presto servicios sanitarios y/o debo presta
proteger un interés vital del interesado.
directamente la persona a quien pertenecen sin su Ley o Norma que
LOPD 011 consentimiento, porque tiene por objeto la No ampara el
satisfacción de un interés legítimo amparado por la tratamiento
Ley o una norma comunitaria de aplicación directa.
LOPD 012 Los datos que trato me los proporciona un tercero. No Entrevista
Los datos que trato me los proporciona un tercero
LOPD 013 No Entrevista
que los recoge por encargo mío.
Indique si trata alguno de los siguientes datos
(Escoger entre los siguientes).
LOPD 014 X Entrevista
Origen racial, salud o vida sexual
Trato datos sobre ideología, afiliación sindical,
LOPD 015 religión o creencias y obtengo el consentimiento No Entrevista
del interesado.
Entrevista
Trato datos sobre origen racial, salud o vida sexual
y obtengo el consentimiento del interesado. Modelo para
Sí
recogida del CONSENTIMIENTO
De modo expreso y por escrito, por ejemplo consentimiento TÁCITO (LEY
No
LOPD 016 mediante una ficha que rellenan y firman. 41/2002 DE
Modelo para AUTONOMÍA DEL
Me facilitan el consentimiento por otros medios recogida del PACIENTE)
Si
que no son escritos, pero que no ofrecen duda consentimiento
respecto del carácter expreso del mismo. escrito
Trata datos sobre comisión de infracciones penales

o administrativas.
Trato datos distintos de los de ideología, afiliación
sindical, religión o creencias, origen racial, salud o
Modelo para
LOPD 018 vida sexual, e infracciones administrativas o
recogida del
penales y obtengo el consentimiento del No
consentimiento
interesado.
¿Trata datos de menores de edad?
Sí Entrevista
LOPD 019
Tanto de mayores de 14 como de menores de 14
Sí Entrevista
años.
CONSENTIMIENTO
Si trata datos de menores de 14 años o de mayores
Modelo de INFORMADO
de 14, pero para un negocio que requiere que
LOPD 020 Sí Consentimiento MÉDICO PARA
consientan sus padres, ¿Solicita el consentimiento
Menores INTERVENCIONES
a su padre, madre o tutor legal?
QUIRÚRGICAS
Entrevista.
Cuando recoge datos de menores de edad para
tratarlos.
LOPD 021 Modelo
INFORMACIÓN
información
Les informa de modo comprensible para su edad. Sí VERBAL AL MENOR
Menores.
¿Dispone de un procedimiento para verificar la Procedimiento de
edad del menor cuyo consentimiento ha verificación de
LOPD 022
solicitado? edad de menores.
No X Entrevista.
En el proceso de obtención de datos Ud. informa
a la persona a la que pertenecen de los aspectos Entrevista
LOPD 023 básicos de protección de datos:
No informo sobre estas cuestiones X Entrevista.

Cuando recibe Ud. datos de un tercero. Entrevista
LOPD 024
No recibo datos cedidos por terceros. X Entrevista
Cuando los datos los recoge un tercero por
NO SE RECOGEN
encargo mío, informo a la persona a la que
LOPD 025 No Contrato Tercero DATOS DE
pertenecen de los aspectos básicos sobre
TERCEROS
protección de datos…
No recibo datos obtenidos en mi nombre por un
X Entrevista
encargado.
Fuente de Acceso
He obtenido los datos de una fuente accesible al NO SE OBTIENEN
LOPD 026 No Público
público DATOS
No utilizo datos obtenidos de una fuente accesible

X Entrevista
al público.
Ley.

INFORMACIÓN Y CONSENTIMIENTO
LOPD023 5 LOPD
5.1. Los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco…
Se constata que no se cumple con el deber de información al afectado previo al
consentimiento en los términos exigidos en el artículo 5 LOPD. La información en la
recogida de datos constituye un deber inexcusable salvo que exista una excepción
fundamental en una norma legal o constitucional. Al contrario que para el consentimiento,
no es éste el caso.
Evidencia No se evidencia procedimiento.
Impacto Infracción leve LOPD
Se debe de elaborar procedimiento para informar a los
pacientes en los términos establecidos en la LOPD:
a) De la existencia de un fichero o tratamiento de
datos de carácter personal, de la finalidad de
la recogida de éstos y de los destinatarios de la
Medidas correctoras información.
b) De la identidad y dirección del responsable del
tratamiento o, en su caso, de su
representante.
NOTA: Se sugiere cartel informativo a la vista de ltodos los
pacientes de forma que resulte imposible no verlo.
Infracción leve art. 44.2.d. Proceder a la recogida de datos de
carácter personal de los propios afectados sin proporcionarles
la información que señala el artículo 5 de la presente Ley.
Gravedad Las infracciones leves serán sancionadas con multa de 601,01€
a 60.101,21€

INFORMACIÓN Y CONSENTIMIENTO
LOPD022 13.4 RDLOPD
Corresponderá al responsable del fichero o tratamiento, articular los procedimientos que
garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad
del consentimiento prestado en su caso, por los padres, tutores o representantes legales.
No se dispone de un procedimiento específico para la verificación de la edad del menor.
Evidencia No se evidencia procedimiento.
Impacto Infracción Grave LOPD
Resulta muy recomendable diseñar procedimientos que
garanticen que ha verificado la edad y que el padre, madre o
tutor legal que ha autorizado el tratamiento goza de una
representación suficiente. En tal sentido se debería disponer
Medidas correctoras
de copia de un documento oficial que lo identifique así como
copia del Libro de Familia o documento que acredite
capacidad para autorizar el tratamiento de los datos
personales del menor.
Infracción grave art. 44.3.d. Tratar los datos de carácter
personal o usarlos posteriormente con conculcación de los
Gravedad
principios y garantías establecidos en la presente Ley o con
incumplimiento de los preceptos de protección que impongan
las disposiciones reglamentarias de desarrollo, cuando no
constituya infracción muy grave.
Las infracciones leves serán sancionadas con multa de 601,01€
a 60.101,21€
Auditoria LOPD (VI). Principios que Rigen el

Tratamiento de los datos personales
Además de la información y el consentimiento existen en la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal un conjunto de principios
que definen como deben tratarse los datos, para que finalidades, durante cuánto tiempo
y de qué modo. Se trata del principio de calidad de los datos y del deber de secreto y
confidencialidad.
El responsable del fichero debe adecuar su actuación de modo que trate los datos
adecuados, leales y lícitamente, procurar que se encuentren actualizados y utilizarlos
exclusivamente para las finalidades para las que se recogieron.
Se han verificado los siguientes puntos de control respecto de los principios que rigen el
tratamiento de los datos personales, obteniendo las siguientes respuestas.
Información y Consentimiento
ID Control Resp. Evidencia
LOPD 028 Usted recoge y trata
Los datos estrictamente necesarios para las Datos recogidos,
NO INFORMA SOBRE
finalidades propias de su organización de las que X copia de HC
LOPD
informó al interesado en la recogida anonimizada
Una vez que deja de existir la finalidad que
LOPD 029 justifique el tratamiento de los datos personales Entrevista
que ha recogido y tratado:
Los sigue conservando X Entrevista
LOPD 030 Respecto de la actualización de los datos: Entrevista
Dispone de un método que le permite corregir
SE CORRIGE SOBRE EL
errores y cancelar los datos cuando dejan de ser No Procedimiento
PAPEL
necesarios.
NO SE CEDEN DATOS A
Si cedió datos a otra persona u organización y estos ASEGURADORAS NI
LOPD 031 Entrevista
resultaran ser inexactos o debe cancelarlos. OTRAS INSTITUCIONES
SANITARIAS
No dispone de ningún método para notificar la
X Entrevista
rectificación o cancelación al cesionario.
Respecto de los datos personales que trata conoce
LOPD 032
su deber de secreto y confidencialidad
Nº DE TRABAJADORES
Sí X Entrevista
(MÉDICOS)
Se recogen y tratan los datos estrictamente necesarios para las finalidades propias de su
organización. Esta práctica es adecuada siempre que se informe previamente al
interesado de dicha finalidad. En el caso de que dichas finalidades cambien o se
requiera tratar los datos personales para una nueva finalidad se debería modificar la
inscripción de su fichero, e informar y obtener el consentimiento de los interesados en
los casos en los que proceda.
Sin necesidad de que lo solicite el interesado, el principio de calidad de los datos obliga
al responsable a corregir errores cuando se constatan y a cancelar los datos cuando dejan
de ser necesarios.
El deber del responsable de cancelar o rectificar de oficio obliga al responsable a

notificar al cesionario estas acciones a fin de garantizar que éste pueda proceder a
actualizar los datos personales que le fueron cedidos.
Clínica no realiza cesiones de datos a aseguradoras u otras instituciones sanitarias ni de

otro tipo, es por tanto que no es necesario un procedimiento de notificación de
rectificación o cancelación de datos a cesionarios.
El deber de secreto no sólo afecta al responsable sino a todas y cada una de las personas
de la organización relacionadas con el tratamiento de datos personales.

PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE LOS DATOS PERSONALES
LOPD029 4.5 LOPD
4.5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesario
o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un
periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o
registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos
los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se
decida el mantenimiento íntegro de determinados datos.
La satisfacción de la finalidad define el momento a partir del cual, el responsable debe cesar en el
tratamiento. Por ello, no cabe conservar los datos y, salvo que una norma lo autorice, los datos
deberán cancelarse. La Cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de Administraciones Públicas, Jueces y Tribunales, para la atención de posibles
responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el
citado plazo, deberá procederse a la supresión. Tenga en cuenta que el periodo de bloqueo previo a
la supresión, depende de la naturaleza del dato y de la Ley aplicable.
De acuerdo al artículo 17.1 y 17.2 de la Ley 41/2002 (disposición final 4.2 de la Ley 19/2015) de
Autonomía del paciente:
1. Los centros sanitarios tienen la obligación de conservar la documentación clínica
en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no
necesariamente en el soporte original, para la debida asistencia al paciente durante el
tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del
alta de cada proceso asistencial.
No obstante, los datos de la historia clínica relacionados con el nacimiento del
paciente, incluidos los resultados de las pruebas biométricas, médicas o analíticas que
en su caso resulten necesarias para determinar el vínculo de filiación con la madre, no se
destruirán, trasladándose una vez conocido el fallecimiento del paciente, a los archivos
definitivos de la Administración correspondiente, donde se conservarán con las debidas
medidas de seguridad a los efectos de la legislación de protección de datos.
2. La documentación clínica también se conservará a efectos judiciales de
conformidad con la legislación vigente. Se conservará, asimismo, cuando existan razones
epidemiológicas, de investigación o de organización y funcionamiento del Sistema
Nacional de Salud. Su tratamiento se hará de forma que se evite en lo posible la
identificación de las personas afectadas.
Sin perjuicio del derecho al que se refiere el artículo siguiente, los datos de la
historia clínica relacionados con las pruebas biométricas, médicas o analíticas que
resulten necesarias para determinar el vínculo de filiación con la madre del recién
nacido, sólo podrán ser comunicados a petición judicial, dentro del correspondiente
proceso penal o en caso de reclamación o impugnación judicial de la filiación materna.
Evidencia No se evidencia procedimiento de bloqueo-cancelación de datos.
Se debe establecer un procedimiento para el bloqueo de
datos, y definir adecuadamente el periodo de bloqueo
(Historias Clínicas Pasivas) que deberá ser a partir de los cinco
años del último episodio asistencial (Ley 41/2002 de
Medidas correctoras
Autonomía del Paciente). Así mismo, se establece un plazo
adecuado para la conservación de las Historias Clínicas a
efectos (algunas comunidades autónomas lo ha regulado a 20
años) tras el cual la Historia clínica deberá ser cancelada.
Gravedad
Las infracciones leves serán sancionadas con multa de
60.101,21€ a 300.506,05€.

Principios que Rigen el Tratamiento de los Datos Personal
LOPD032 10 LOPD
10. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de
los datos de carácter personal, están obligados al secreto profesional respecto de los
mismo y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
El deber de secreto es conocido por todos los socios de ……………… exigido además en el
artículo 2.7 de la Ley 41/2002 de Autonomía del Paciente. Sin embargo, no es suficiente
con que el responsable conozca dicho deber, sino que es fundamental notificar este deber
y formar adecuadamente a todos los usuarios de los sistemas de información y a cualquier
persona de la organización que eventualmente pueda acceder a datos.
No se evidencia procedimientos de la información/formación
Evidencia sobre funciones y obligaciones de los usuarios de los Sistemas
de Información.
Se debe establecer un procedimiento para la
Medidas correctoras difusión/formación de los deberes y obligaciones de los
usuarios de los sistemas de información.
Gravedad
60.101,21€ a 300.506,05€.
Auditoría LOPD (VII). Derechos ARCO

Ejercicio de Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
Los llamados derechos ARCO forman parte del contenido esencial del derecho
fundamental a la protección de datos. Mediante su ejercicio el interesado, la persona
cuyos datos se tratan, puede ejercer control sobre los tratamientos efectivamente
realizados por el responsable.
Se trata de derechos cuyo ejercicio es personalísimo, de carácter gratuito y sujetos a

plazo. Por tanto es necesario establecer procedimientos para su satisfacción.
Deben tenerse como mínimo en cuenta los criterios que se indican a continuación:
DERECHO DE ACCESO
 Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

tutela de la Agencia Española de Protección de Datos.
 Justificación: Debe indicarse el dato a cancelar y la causa que lo justifica,
aportando documentación.
 Plazo: 10 días hábiles.
DERECHO DE RECTIFICACIÓN
 Justificación: Debe indicarse el dato a rectificar y la causa que lo justifica,
 Plazo: 10 días hábiles
DERECHO DE CANCELACIÓN

 Justificación: Debe indicarse el dato a cancelar y la causa que lo justifica,
DERECHO DE OPOSICIÓN

 Justificación: Concurrencia de un motivo legítimo y fundado, referido a su
concreta situación personal, que lo justifique, siempre que una Ley no disponga
lo contrario.
 Basta con ejercer el derecho cuando se trate de datos utilizados con fines de
publicidad o prospección comercial.
 Cabe oposición a las decisiones basadas únicamente en un tratamiento
automatizado de datos, aunque el tratamiento es posible si existe una relación
contractual que lo justifique.
Se han verificado los siguientes puntos de control respecto de los derechos de Acceso,
Rectificación, Cancelación y Oposición (ARCO), obteniendo las siguientes respuestas.
Derechos ARCO
¿Conoce Vd. los derechos que la LOPD otorga a las
LOPD 033 Entrevista
personas cuyos datos trata?
CONOCE LA LEY Y UNA
No Sí
CIERTA IDEA
¿Se han establecido los procedimientos para
facilitar y garantizar el ejercicio de los derechos de
LOPD 034 No Procedimientos
oposición al tratamiento, acceso, rectificación y
cancelación?
No Sí
¿Sabría Vd. como actuar si alguien le solicita
LOPD 035 Entrevista
acceder a sus datos personales?
Contestar en cualquier caso, en el plazo máximo de
un mes, tenga o no datos, y ofrecer en su caso el Sí ACEPTARÍA EN 30 DÍAS
acceso en los 10 días siguientes.
¿Sabría Vd. como actuar si alguien le solicita
LOPD 036 Entrevista
rectificar o cancelar sus datos personales?
Contestar en 10 días denegando o aceptando su
petición y rectificando o cancelando en su caso el Sí
dato.
¿Qué debe Vd. hacer si alguien le pide que deje de
LOPD 037 utilizar sus datos oponiéndose al tratamiento que Entrevista
realiza?
NO HAY
Atender su petición en 10 días, pues está
Sí PROCEDIMIENTO
ejercitando su derecho de oposición
ESTABLECIDO
Si alguien consintió libremente en tratar sus datos
LOPD 038 Entrevista
y le notifica que revoca su consentimiento…
NO HAY
Atiende su petición en 10 días, pues está
Sí PROCEDIMIENTO
ejercitando su derecho de revocación
ESTABLECIDO
Los derechos de acceso, rectificación, cancelación y
LOPD 039 Entrevista
oposición.
Los satisface únicamente cuando los ejerce el
afectado o interesado cuyos datos puede estar Vd.
Sí
tratando, o su representante si es menor de u
otorgó representación.
Si alguien ejerce derechos de acceso, rectificación,
LOPD 040 Entrevista
cancelación y oposición
Estos derechos son gratuitos, no los factura, salvo
que se escoja un modo de acceso distinto del que Sí
Vd. ofrece
Tengo un servicio de atención al cliente en el que NO HAY SERVICIO DE
existe un procedimiento de identificación previa. ATENCIÓN AL USUARIO
Pero no permito el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición, a Sí
través de este medio.
NO HAY ENCARGADOS
LOPD 042 Tengo un encargado del tratamiento y… No Entrevista
DE TRATAMIENTO
No he fijado ningún procedimiento Sí
Cuando se satisface un derecho de acceso efectivamente debe contestarse en cualquier
caso en el plazo máximo de un mes, se tenga o no datos. Tenga en cuenta que el objeto
de este derecho se limita a los datos objeto de tratamiento y que dispone de un plazo de
10 días hábiles para hacerlo efectivo.
Se Actúa correctamente ante el ejercicio de un derecho de rectificación o cancelación.
No olvide que debe contestar siempre a los ciudadanos cuando ejerciten sus derechos
con independencia de que se tengan datos personales o no en los ficheros, dentro del
plazo previsto de 10 días hábiles. Si se deniega la petición deberá motivarlo, indicar la
razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia
Española de Protección de Datos.
Su organización atiende las peticiones relativas al derecho de oposición en el plazo
previsto. Recuerde el plazo se mide en días hábiles. Si el derecho se denegase deberá
motivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la
Se atienden correctamente las peticiones de revocación del consentimiento para el
tratamiento de los datos. Recuerde que el consentimiento para el tratamiento de los
datos podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan
efectos retroactivos.

Ejercicio de derechos ARCO
LOPD033 TÍTULO III
TÍTULO III. DERECHOS DE LAS PERSONAS. Art. 13-19
Conocer los derechos ARCO resulta esencial para el cumplimiento de la Ley Orgánica
15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal y para
garantizar el derecho fundamental a la protección de datos. La organización debe realizar
un esfuerzo de cumplimiento en esta materia.
No se evidencia conocimiento de la LOPD sobre los derechos
Evidencia de los ciudadanos de Accesos, Rectificación, Cancelación y
Oposición
Impacto Riesgo de Infracción Grave LOPD
Debe considerarse la formación adecuada sobre la Ley
Medidas correctoras
Orgánica de Protección de Datos.
Infracción grave art. 44.3.e. El impedimento o la
obstaculización del ejercicio de los derechos de acceso y
oposición y la negativa a facilitar la información que sea
Gravedad
solicitada.
60.101,21€ a 300.506,05€.

Ejercicio de derechos ARCO
LOPD034 17 LOPD
1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de
rectificación y cancelación serán establecidos reglamentariamente.
2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición,
acceso, rectificación o cancelación.
No basta solamente con conocer los derechos que tienen los ciudadanos, sino que hay que
hacer posible su ejercicio, para lo cual las personas de su organización dedicadas al
tratamiento de datos personales deben conocer los derechos ARCO y saber cómo actuar
ante una petición.
No se evidencia la existencia de procedimiento para el
Evidencia
ejercicio de los derechos ARCO de los pacientes.
Impacto Riesgo de Infracción Grave LOPD
Debe elaborarse el procedimiento para el ejercicio de los
Medidas correctoras derechos ARCO que a su vez deberá incluirse en el Documento
de Seguridad exigido por el RD 1720/2007
Infracción grave art. 44.3.e. El impedimento o la
obstaculización del ejercicio de los derechos de acceso y
oposición y la negativa a facilitar la información que sea
Gravedad
solicitada.
60.101,21€ a 300.506,05€.
Auditoría LOPD (VIII). Relaciones con Terceros

Nuestra modesta clínica no tiene empresas subcontratadas con acceso a sus datos y
mucho menos aún realiza transferencias internacionales. El apartado correspondiente a
las relaciones con terceros del informe de auditoría quedaría algo así como lo
siguiente:
Las relaciones con terceros abarcan un conjunto de supuestos en las que una persona
física o jurídica distinta de la organización del responsable, y distinta del interesado
cuyos datos tratamos, usa, trata, accede o simplemente consulta los datos. Estos
supuestos pueden ser de naturaleza muy distinta.
Una comunicación de datos es un tratamiento que supone su revelación a una persona

distinta del interesado. Debe tenerse en cuenta que no es necesario apropiarse
físicamente de un dato basta con que sea posible su consulta. Debe existir el
consentimiento previo o habilitación en una ley que exima del mismo. Además el
consentimiento deberá ser informado de forma que se conozca inequívocamente la
finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el
consentimiento y el tipo de actividad desarrollada por el cesionario.
En segundo lugar, existirá un encargado del tratamiento cuando se contrate una

prestación externa de servicios que requiera acceder al sistema de información. Se
define el encargado como persona física o jurídica, pública o privada, u órgano
administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta
del responsable del tratamiento o del responsable del fichero, como consecuencia de la
existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de
su actuación para la prestación de un servicio. En este caso, el Reglamento de desarrollo
de la Ley Orgánica de Protección de Datos de Carácter Personal y el artículo 12 LOPD
establecen la necesidad de formalizar un contrato por escrito cuyo contenido
establezca:
 Las instrucciones a las que se someterá el encargado del tratamiento.

 La prohibición de uso para fin distinto al que figure en dicho contrato.
 La prohibición de comunicar los datos a otras personas.
 Las medidas de seguridad.
 Las condiciones de subcontratación de los servicios por el encargado.
 Eventualmente, cuando resulte necesario podrá incluir las condiciones de
conservación por el encargado, cuando exista obligación legal o resulte
necesario por razones de responsabilidad, y las formas de destrucción o
devolución de los datos como la entrega a un nuevo encargado.
 Es fundamental ser diligente en la elección del encargado. Por tanto, éste deberá
acreditar de algún modo que se encuentra en condiciones de cumplir con los
principios y requisitos que la LOPD establece para los tratamientos.
Por último en las transferencias internacionales de datos personales en la práctica existe

una cesión o un encargo del tratamiento a una persona física o jurídica que se encuentra
en un país distinto de los Estados Miembros de la Unión Europea o del Espacio
Económico Europeo. Las transferencias en virtud de lo dispuesto en los artículos 33 y
34 LOPD se encuentran sujetas a autorización del Director de la Agencia Española de
Protección de Datos cuando no se trate de un país seguro en materia de protección de
datos o no se den las excepciones del artículo 34 LOPD.
Se han verificado los siguientes puntos de control respecto de las relaciones con
terceros, obteniendo las siguientes respuestas:
Relación Terceros
¿los datos de carácter personal son comunicados
a otras personas ajenas a la organización y
LOPD 043
distintas del interesado o del responsable del
fichero?
NO SE COMUNICAN
No Sí Entrevista
DATOS A TERCEROS
¿Solicita Vd. el consentimiento para realizar la
LOPD 044
comunicación de datos?
No, en aquellos casos en los que conforme a la
Ley Orgánica 15/1999, de 13 de diciembre, de
Sí
Protección de Datos de Carácter Personal, el
consentimiento no es necesario.
¿Se ha externalizado algún servicio o tarea de la
LOPD 045 organización que requiera que el prestador No
acceda o trate datos de carácter personal?
NO HAY
No Sí SUBCONTRATACIONES
CON ACCESO A DATOS
¿Se ha regulado la prestación del servicio en un No
LOPD 046
contrato conforme a lo previsto por la LOPD? procede
En caso de haber formalizado un contrato que No
LOPD 047 permita el acceso a los datos por cuenta de procede
terceros:
Si su prestado de servicios contrata o subcontrata No
LOPD 048
la prestación… procede
¿Cede datos o externaliza servicios que No
LOPD 049
comporten la transferencia de los mismos fuera procede
de España?
¿Alguno de los destinatarios de la información, ya No
sea cesionarios o prestadores de servicio, se procede
LOPD 050 encuentra en un país fuera de la Unión Europea o
del estado económico Europeo (Noruega,
Islandia, Liechtenstein)?
Las transferencias internacionales, ¿tienen como No
LOPD 051 destino países que no proporcionan un nivel de procede
protección equiparable al que presta la LOPD?
En el caso de que la transferencia se deba a la No
contratación de un prestador de servicios en un procede
país sin un nivel de protección equiparable, ¿ha
LOPD 052 formalizado un contrato con el destinatario de la
transferencia internacional que garantice el
cumplimiento de los principios y garantías que
establece la legislación comunitaria y española?
No se comunican datos a otras entidades o personas ajenas a la organización y no hay

relaciones contractuales con terceros con acceso a datos.
De igual manera no se realizan transferencias internacionales de datos.
No se proponen medidas correctivas ni preventivas en este apartado.
Auditoría LOPD (IX). Seguridad

Las medidas de seguridad constituyen uno de los objetivos esenciales para garantizar el
derecho a la protección de datos. El objetivo de la seguridad es garantizar:
 La confidencialidad, – que nadie no autorizado pueda acceder a los datos -,
 la integridad, – que se impida alterar la información de modo que los datos sólo
puedan ser modificados por usuarios autorizados y para las finalidades previstas
-,
 y disponibilidad, – que la organización sea capaz de restaurar los datos y
mantener los sistemas de información en funcionamiento ante cualquier evento
inesperado -.
Estos objetivos se consiguen mediante la adopción de medidas técnicas y organizativas
que deben lograr los objetivos dispuestos por el Título VIII del Reglamento de
desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal. Éste
establece distintas medidas que se estructuran en tres niveles: básico, medio y alto que
son acumulativos de modo que quienes deban aplicar el alto incluirán las medidas
previstas en los dos niveles anteriores.
Se han verificado los siguientes puntos de control respecto de las relaciones con
terceros, obteniendo las siguientes respuestas:
Relación Terceros
Defina de acuerdo con la clasificación del R.D.
1720/2007, de 21 de diciembre, por el que se
LOPD 053 Datos
aprueba el Reglamento de Desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre de
Protección de Datos de Carácter Personal, el
máximo nivel de seguridad de sus ficheros.
Alto X SALUD
¿Ha adoptado las medidas de seguridad de NIVEL
LOPD 054 BÁSICO previstas en el Reglamento de desarrollo Entrevista
de la LOPD?
ALGUNAS SI, BAJO
No X
LLAVE
LOPD 055 MEDIO previstas en el Reglamento de desarrollo Entrevista
de la LOPD?
No X
LOPD 056 ALTO previstas en el Reglamento de desarrollo de Entrevista
la LOPD?
No X
Documento
LOPD 057 Dispone Vd. de documento de seguridad.
seguridad
NO HAY DOCUMENTO
No X
DE SEGURIDAD
¿Forma Vd. a sus empleados indicándoles cuáles
LOPD 058 Certificación
son sus obligaciones de seguridad?
CONCIENCIACIÓN
Sí X
LOPD, SIN EVIDENCIAS
Cuando compra, contrata o diseña software
LOPD 059 ¿verifica si cumple con el nivel de seguridad que
corresponda?
¿Ha establecido medidas para los datos

LOPD 060 personales que trata en soportes no Inspección visual
automatizados como el papel?
ALGUNAS MEDIDAS
PARA EL PAPEL
Sí X
(ARMARIOS BAJO
LLAVE)

Medidas de Seguridad
LOPD053-LOPD056 9 LOPD
1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar
las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los
datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos
almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del
medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones
que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de
los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los
ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el
artículo 7 de esta Ley.
Adoptar medidas de seguridad es esencial, las resoluciones de la Agencia Española de
Protección de Datos y la jurisprudencia, indican con claridad que forman parte de la
garantía del derecho a la protección de datos. Deben adaptarse las medidas descritas a
continuación para el caso del fichero o tratamientos no automatizados de nivel alto.
No se evidencia la existencia de las medidas de seguridad
Evidencia exigidas en el RD1720/2007 para los ficheros no
automatizados de nivel alto.
Debe realizarse una auditoría específica y en detalle sobre el
cumplimiento de las medidas de seguridad exigidas en el RD
Medidas correctoras
1720/2007 respecto de los tratamientos no automatizados con
datos de nivel alto.
Gravedad
60.101,21€ a 300.506,05€.

LOPD057 9 LOPD
El Responsable del Fichero tiene la obligación de desarrollar el Documento de Seguridad de
acuerdo en lo establecido en el RD 1720/2007
No se evidencia la existencia del Documento de Seguridad
Evidencia
exigido en el RD 1720/2007.
Medidas correctoras
1720/2007. El informe de auditoría deberá determinar los
aspectos que debe contener el Documento de Seguridad.
Gravedad
60.101,21€ a 300.506,05€.

LOPD057 9 LOPD
El Responsable del Fichero tiene la obligación de conocer y difundir las medidas de
seguridad aplicables a los tratamientos de los que es responsable
No se evidencia la existencia de certificaciones de formación
sobre funciones y obligaciones del personal. Tampoco se
Evidencia encuentran evidencias de que las políticas de seguridad se
encuentren descritas y difundidas entre los usuarios con
acceso a los datos.
Medidas correctoras 1720/2007. El informe de auditoría deberá determinar las
funciones y obligaciones del personla así como sobre los
mecanismos de difusión de las mismas.
Gravedad
60.101,21€ a 300.506,05€.

LOPD060 9 LOPD
El Responsable del Fichero tiene la obligación de adoptar las medidas de seguridad
necesarias para garantizar la seguridad de los datos de acuerdo al tratamiento del que es
responsable.
Hay evidencias de que las Historias Clínicas se encuentran bajo
llave cuando no están siendo utilizados. Sin embargo, no se
Evidencia evidencia la existencia de otras medidas de seguridad relativas
al tratamiento de ficheros no automatizados. (por ejemplo, el
registro de accesos)
Medidas correctoras 1720/2007. El informe de auditoría deberá determinar las
medidas de seguridad aplicables a los ficheros no
automatizados de nivel alto.
Gravedad
60.101,21€ a 300.506,05€.
asesoramiento adecuada.
Auditoría LOPD (y X). Resumen de Medidas
RESUMEN DE MEDIDAS CORRECTORAS

ID MEDIDA CORRECTORA
M001 Se debe proceder a la inscripción del fichero ante el Registro General de Protección
de Datos o el registro competente conforme a lo dispuesto en el artículo 26 LOPD.
M002 Se debe de elaborar procedimiento para informar a los pacientes en los términos
establecidos en la LOPD:
a) De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios
de la información.
b) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
NOTA: Se sugiere cartel informativo a la vista de ltodos los pacientes de forma que
resulte imposible no verlo.
M003 Resulta muy recomendable diseñar procedimientos que garanticen que ha verificado
la edad y que el padre, madre o tutor legal que ha autorizado el tratamiento goza de
una representación suficiente. En tal sentido se debería disponer de copia de un
documento oficial que lo identifique así como copia del Libro de Familia o
documento que acredite capacidad para autorizar el tratamiento de los datos
personales del menor.
M004 Se debe establecer un procedimiento para el bloqueo de datos, y definir
adecuadamente el periodo de bloqueo (Historias Clínicas Pasivas) que deberá ser a
partir de los cinco años del último episodio asistencial (Ley 41/2002 de Autonomía
del Paciente). Así mismo, se establece un plazo adecuado para la conservación de las
Historias Clínicas a efectos (algunas comunidades autónomas lo ha regulado a 20
años) tras el cual la Historia clínica deberá ser cancelada.
M005 Se debe establecer un procedimiento para la difusión/formación de los deberes y
obligaciones de los usuarios de los sistemas de información.
M006 Debe considerarse la formación adecuada sobre la Ley Orgánica de Protección de
Datos.
M007 Debe elaborarse el procedimiento para el ejercicio de los derechos ARCO que a su
vez deberá incluirse en el Documento de Seguridad exigido por el RD 1720/2007.
M008 Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las
medidas de seguridad exigidas en el RD 1720/2007 respecto de los tratamientos no
automatizados con datos de nivel alto.
medidas de seguridad exigidas en el RD 1720/2007. El informe de auditoría deberá
determinar los aspectos que debe contener el Documento de Seguridad.
determinar las funciones y obligaciones del personla así como sobre los mecanismos
de difusión de las mismas.
determinar las medidas de seguridad aplicables a los ficheros no automatizados de
nivel alto.

Ejemplo de Auditoría LOPD en Una Clínica

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Ejemplo de Auditoría LOPD en Una Clínica

Caricato da

Copyright:

Formati disponibili

Ejemplo de auditoría LOPD en una clínica/consulta

Auditoría LOPD (II). Pertinencia

Auditoría LOPD (III). Objeto y Alcance de la

 NIVEL DE CUMPLIMIENTO SOBRE LEY DE PROTECCIÓN DE DATOS

Auditoría LOPD(IV). Identificación de Ficheros y

MEDIDAS CORRECTORAS MC001

NOTA: interpretación de los iconos utilizados en las tablas de Medidas Correctoras.

Todos los tipos de Ficheros

Ficheros de Nivel Alto

Medida de Carácter Organizativo

Medida de Carácter Técnico

Auditoría LOPD(V). Información y Consentimiento

Trata datos sobre comisión de infracciones penales

No informo sobre estas cuestiones X Entrevista.

No utilizo datos obtenidos de una fuente accesible

MEDIDAS CORRECTORAS MC002

MEDIDAS CORRECTORAS MC003

Auditoria LOPD (VI). Principios que Rigen el

El deber del responsable de cancelar o rectificar de oficio obliga al responsable a

Clínica no realiza cesiones de datos a aseguradoras u otras instituciones sanitarias ni de

MEDIDAS CORRECTORAS MC004

MEDIDAS CORRECTORAS MC005

Auditoría LOPD (VII). Derechos ARCO

Se trata de derechos cuyo ejercicio es personalísimo, de carácter gratuito y sujetos a

 Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

 Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

 Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

MEDIDAS CORRECTORAS MC006

MEDIDAS CORRECTORAS MC007

Auditoría LOPD (VIII). Relaciones con Terceros

Una comunicación de datos es un tratamiento que supone su revelación a una persona

En segundo lugar, existirá un encargado del tratamiento cuando se contrate una

 Las instrucciones a las que se someterá el encargado del tratamiento.

Por último en las transferencias internacionales de datos personales en la práctica existe

No se comunican datos a otras entidades o personas ajenas a la organización y no hay

Auditoría LOPD (IX). Seguridad

¿Ha establecido medidas para los datos

MEDIDAS CORRECTORAS MC008

MEDIDAS CORRECTORAS MC009

MEDIDAS CORRECTORAS MC010

MEDIDAS CORRECTORAS MC011

Auditoría LOPD (y X). Resumen de Medidas

RESUMEN DE MEDIDAS CORRECTORAS

Potrebbero piacerti anche