EVALÚA, herramienta para analizar el grado de cumplimiento de la LOPD
Coincidiendo con la celebración, hoy 28 de enero, del Día Europeo de Protección de Datos, la Agencia Española de Protección de Datos (AEPD) ha presentado Evalúa, una herramienta que permite a empresas, autónomos y administraciones públicas evaluar el grado de cumplimiento de la Ley Orgánica de Protección de Datos.
Esta herramienta, disponible en la web de la AEPD, ofrece la posibilidad de evaluar el estado de implantación de la normativa LOPD en una organización, mediante un test basado en preguntas con respuesta múltiple.
DOS NIVELES DE EVALUACIÓN
El programa consta de dos niveles de evaluación: el primero, el Test de cumplimiento de la LOPD, es un test básico que permite evaluar el grado de cumplimiento de la normativa sobre protección de datos. Así, el test va guiando por una serie de preguntas relativas al procedimiento de recogida de datos personales, obliglaciones de información a los titulares de datos, la obligación de secreto y confidencialidad, los tratamientos que se realizan, la forma en que se permite el ejercio de los derechos ARCO, la cesión de datos a terceros, transferencias internacionales, y otros requisitos de la LOPD. Antes de realizarlo, la AEPD recomienda haber consultado previamente la Guía de la AEPD del Responsable de Ficheros (PDF) y manejar ciertos conceptos básicos.
Por otro lado, el segundo, el Test de cumplimiento de medidas de seguridad, se ha diseñado para facilitar la verificación de las medidas de seguridad previstas por el Reglamento de Desarrollo de la Ley Orgánica de Protección de datos. En este caso, el programa presente primero una introducción básica, y luego va realizando, a lo largo de varios apartados, preguntas sobre el Documento de Seguridad, funciones y obligaciones del personal, controles de acceso, registros de incidencias, gestión de soportes, y demás medidas de seguridad exigibles en función del nivel aplicable a los datos tratados. Para realizarlo es recomendable la consulta previa de la Guía de Seguridad de Datos de la AEPD (PDF).
45-60 MINUTOS PARA COMPLETAR LOS TESTS, SEGÚN LA AEPD
De acuerdo con la AEPD, completar el test de autoevaluación puede llevar entre 45 y 60 minutos, si bien, en mi opinión, a la hora de realizar los tests conviene tener la información sobre nuestra organización bien clara y preparada, así como tener claros ciertos conceptos básicos. En todo caso, se nota que, de alguna manera, la AEPD ha intentado utilizar un lenguaje claro y directo, y además, en cada pregunta se ofrece una pestaña de Ayuda para facilitar su comprensión.
AL FINALIZAR, GENERA UN INFORME “PERSONALIZADO” EN PDF
La herramienta es anónima y gratuita, y además permite dejar el test sin finalizar, asignándole un código único de sesión, para luego recuperarlo y volver a retomar el test en otro momento, sin tener que volver a empezar desde el principio.
Una vez finalizado el test, la herramienta genera un informe descargable en PDF, que, en principio, y según anuncia la AEPD, contiene indicaciones personalizadas en función de las respuestas que se hayan dado en el test, así como ofrece recursos que orientan para cumplir con la LOPD. No obstante, en la primera prueba que he realizado, con información ficticia, el informe que me ha generado parece bastante general, casi una guía completa de la normativa de protección de datos, en lugar de señalar específicamente aquellos puntos que deberían corregirse en el caso concreto.
HERRAMIENTA DIDÁCTICA, MERAMENTE ORIENTATIVA, QUE NO GARANTIZA EL CUMPLIMIENTO DE LA LOPD
Es importante aclarar que la realización de estos tests, y la obtención del informe final, no implica ni significa que una determinada entidad o autónomo esté efectivamente cumpliendo la normativa de protección de datos. De hecho, el propio informe emitido lleva el siguiente aviso al inicio: “Informe basado en las contestaciones proporcionadas a las preguntas del Test de Autoevaluación EVALUA Agencia Española de Protección de Datos. El resultado del test es meramente orientativo. Es una herramienta de ayuda cuyos resultados dependen de las respuestas facilitadas. Por lo tanto, su realización no exime del cumplimiento de la LOPD ni podrá exhibirse con la finalidad de justificar o eximir la responsabilidad ante una eventual infracción.”
Esta herramienta es muy útil, por ejemplo, para (auto)evaluar a priori la situación de una empresa, una PYME, un autónomo o una administración en relación con el cumplimiento de la normativa de protección de datos personales. Siempre y cuando se manejen, como decía, ciertos conceptos básicos. De otra forma, los tests pueden hacerse largos, tediosos y difíciles de completar.
En cualquier caso, la herramienta no sustituye la necesidad de implantar correctamente la LOPD y las medidas de seguridad, para lo cual, sigue siendo recomendable contar con un experto en protección de datos que guie a tal entidad en el cumplimiento debido de las obligaciones derivadas de tal normativa.