AEPD Establece que los Informes de Auditoría de Seguridad Deben Conservarse Durante Dos Años para Cumplir con la Normativa de Protección de Datos

El Informe 0191/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda el plazo durante el cual debe conservarse a disposición de la AEPD el informe de auditoría de seguridad, conforme al artículo 96 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

El artículo 96 del mencionado reglamento establece que, a partir del nivel medio de seguridad, los sistemas de información deben someterse a una auditoría interna o externa cada dos años para verificar el cumplimiento de las medidas de seguridad. Además, se debe realizar una auditoría extraordinaria siempre que haya modificaciones sustanciales en el sistema de información que puedan afectar a las medidas de seguridad implantadas.

El apartado 3 del artículo 96 indica que los informes de auditoría deben quedar a disposición de la AEPD o de las autoridades de control de las Comunidades Autónomas, aunque no especifica el plazo de conservación. El artículo 44.2 h) de la Ley Orgánica 15/1999 considera una infracción grave no mantener los ficheros y sistemas con las debidas condiciones de seguridad, y esta infracción prescribe a los dos años de su comisión, según el artículo 47.1 de la misma ley.

El informe concluye que, dado que la obligación de realizar una auditoría cada dos años coincide con el plazo de prescripción de la infracción por no cumplir con esta obligación, el informe de auditoría debe estar a disposición de la AEPD durante un período de dos años. Esto significa que, si la AEPD solicita el último informe de auditoría, la entidad debe tener disponible un informe emitido en los dos años anteriores al momento de la solicitud.

Además, para evitar posibles infracciones en caso de que se haya realizado una nueva auditoría pero no se hayan ultimado sus conclusiones, se recomienda que siempre esté disponible el último informe de auditoría emitido, sin necesidad de mantener los informes anteriores.

En resumen, el informe establece que el plazo durante el cual el informe de auditoría debe estar a disposición de la AEPD es de dos años, asegurando así el cumplimiento de las obligaciones legales y evitando posibles infracciones.

Deja un comentario

Responsable: PRIVTOOLS. Finalidad de la recogida y tratamiento de los datos personales: gestionar la aceptación y publicación de tu comentario en esta página. Legitimación: Necesario para publicar y gestionar los comentarios. Datos: Nombre, email y un fragmento de la dirección IP. Destinatarios: Los datos no serán cedidos salvo obligación legal. Transferencias internacionales no están previstas. Derechos: podrás acceder, rectificar, limitar y suprimir tus datos escribiéndome a daniel(at)privtools.eu, así como presentar una reclamación ante una autoridad de control.