Plazo de conservación de los documentos de auditoría
La documentación que forma parte de las auditorías de seguridad requeridas por la normativa debe conservarse al menos durante tres años, o hasta la siguiente auditoría, para la cual pueden transcurrir como máximo dos años.
Según el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, "a partir del nivel de seguridad medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento" del Título VIII del Reglamento, añadiendo que "con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas". Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
Se dice posteriormente que el informe de auditoría deberá estar a disposición de las agencias de protección de datos pero no indica durante cuánto tiempo deben conservarse estos informes.
El artículo 44.3 h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, indica que "es infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". Dicha infracción prescribirá a los dos años de su comisión, tal y como dispone el artículo 47.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Así la entidad requerida debería siempre tener a disposición de la Agencia un informe emitido durante los dos años anteriores al momento en el que se solicita el requerimiento.
Sin embargo la Autoridad Catalana de Protección de Datos, considera que el plazo de conservación de estos documentos de Auditoría sería de tres años, considerando que el registro de incidencias, puede resultar un valioso elemento probatorio en la investigación de otros tipos de infracciones que tienen atribuido un plazo de prescripción más largo, en el caso de infracciones muy graves, que tendría un plazo de prescripción de tres años.
En conclusión, la documentación que forma parte de las auditorías de seguridad requeridas por dicha normativa debe conservarse durante un período mínimo de tres años, o hasta que se realice la auditoría de seguridad siguiente, si esta no se ha efectuado dentro del plazo de dos años exigible.
Más información:
Navactiva, Agencia Española de Protección de Datos y Autoridad Catalana de Protección de Datos.
Fuente: Navactiva.