Foro: Gestión de los datos personales. Cumplimiento de la LOPD

Resolución de una NC relativa a la LOPD - Protección de datos personales

  • Lalli
    • 17/02/11 10:19
    • Imagen de Lalli
    • Reg.: 21/01/11
    • Posts: 16
    (0/0)

    Buenos días a tod@s ,

    Acabo de abrir una NC debido a una puesta en el informe de auditoria interna de LOPD ya q entra dentro del alcance. El problema lo tengo a la hora de definir las acciones correctivas de la NC ya q no estamos de acuerdo con ella y como las interpretaciones pueden ser variadas y lo q nos obliga a hacer no nos proporciona ningún aporte, hemos decidido consultarlo a un abogado para q nos aclare q es lo q debemos hacer y como actuar. Podría poner en la descripción de la acción que estamos pendientes de resolución por parte de los abogados para poder tomar la decisión más acertada????? o no deberíamos reconocer q no estamos de acuerdo????.

    Muchas gracias y un saludo.

  • Wilbert Arturo Vivas Torrez
    • 20/02/11 4:40
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2572
    (0/0)

    Sería conveniente que compartieras más información.

    Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • One Economic&Quality Consulting
    • 22/02/11 0:35
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2898
    (0/0)
    Lalli escribió:

    Buenos días a tod@s ,

    Acabo de abrir una NC debido a una puesta en el informe de auditoria interna de LOPD ya q entra dentro del alcance. El problema lo tengo a la hora de definir las acciones correctivas de la NC ya q no estamos de acuerdo con ella y como las interpretaciones pueden ser variadas y lo q nos obliga a hacer no nos proporciona ningún aporte, hemos decidido consultarlo a un abogado para q nos aclare q es lo q debemos hacer y como actuar. Podría poner en la descripción de la acción que estamos pendientes de resolución por parte de los abogados para poder tomar la decisión más acertada????? o no deberíamos reconocer q no estamos de acuerdo????.

    Muchas gracias y un saludo.

    Si estamos tratando de un SGC basado en 9001 no acabo de ver muy claramente si un abogado os va a poder aclarar un punto relativo a esta norma. Lo que no podéis es decir que como acción correctiva vais a consultar al abogado, porque esto sería mas para recusar la NC que para solucionarla. Otra cosa sería si esa consulta os permita aportar esas acciones correctivas que eliminen la NC y su causa.

    Saludos

    Rafael

    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • Lalli
    • 22/02/11 12:42
    • Imagen de Lalli
    • Reg.: 21/01/11
    • Posts: 16
    (0/0)

    Hola Rafael,

    La consulta es sobre la LOPD, ya q la NC está dirigida a un art. de dicha norma. Consideramos q dicha consulta nos ayudará a subsanarla de manera eficaz, proporcionándonos una AC. Entiendo q si esto es así, en el registro de NC debería aparecer explicado como tal. Espero haberme explicado con mayor claridad.

    Muchas gracias.

  • One Economic&Quality Consulting
    • 22/02/11 12:52
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2898
    (0/0)

    Como acción propuesta para eliminar la NC es perfecta si con la consulta efectivamente podéis aclarar el problema y encontrar la manera de eliminar la NC y su causa.

    Saludos

    Rafael

     

    PS Por curiosidad ¿ cual fue la causa de la NC exactamente ?

    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • Lalli
    • 23/02/11 17:02
    • Imagen de Lalli
    • Reg.: 21/01/11
    • Posts: 16
    (0/0)

    Buenas tardes Rafael,

    Siento haber tardado tanto en contestar. Darte las gracias x la información. La NC es en art. 94.1 de la RLOPD como q no se realizan copias de seguridad de las imágenes de videovigilancia. Yo pienso q el sistema las hace automáticamente pero q no lo tenemos procedimentado.....

    Un saludo

  • Wilbert Arturo Vivas Torrez
    • 23/02/11 17:15
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2572
    (1/0)

    Hola, tengo unas dudas sobre tu NC, efectivamente la ISO 9001 solicita proteger la propiedad del cliente y sus datos así como por otro lado pide cumplir los requisitos legales y reglamentarios, necesitariamos saber a qué se dedica la empresa en la que laboras debido a que la norma sólo establece que se cumplan requisitos legales y reglamentarios directamente del producto, es por ello que no veo por donde entre la NC, estoy de acuerdo que debes proteger la información y datos del cliente y siento que a pesar de que exista un Reglamento si esto no es parte del producto/servicio de tu sistema entonces no veo que lo relacione al SGC, que aclaro no digo que no lo debas de cumplir.

    Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • One Economic&Quality Consulting
    • 24/02/11 14:38
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2898
    (0/0)

    Copio el artículo completo al que haces referencia.

     

    Artículo 94. Copias de respaldo y recuperación.
    1. Deberán establecerse procedimientos de actuación
    para la realización como mínimo semanal de copias
    de respaldo, salvo que en dicho período no se hubiera
    producido ninguna actualización de los datos.

    2. Asimismo, se establecerán procedimientos para la
    recuperación de los datos que garanticen en todo momento
    su reconstrucción en el estado en que se encontraban al
    tiempo de producirse la pérdida o destrucción.
    Únicamente, en el caso de que la pérdida o destrucción
    afectase a ficheros o tratamientos parcialmente automatizados,
    y siempre que la existencia de documentación
    permita alcanzar el objetivo al que se refiere el párrafo
    anterior, se deberá proceder a grabar manualmente los
    datos quedando constancia motivada de este hecho en el
    documento de seguridad.
    3. El responsable del fichero se encargará de verificar
    cada seis meses la correcta definición, funcionamiento
    y aplicación de los procedimientos de realización
    de copias de respaldo y de recuperación de los
    datos.
    4. Las pruebas anteriores a la implantación o modificación
    de los sistemas de información que traten ficheros
    con datos de carácter personal no se realizarán con datos
    reales, salvo que se asegure el nivel de seguridad correspondiente
    al tratamiento realizado y se anote su realización
    en el documento de seguridad.
    Si está previsto realizar pruebas con datos reales, previamente
    deberá haberse realizado una copia de seguridad.

     

    La gran pregunta es si el RD cuando dice establecer procedimientos realmente obliga a que sean documentados. En ISO si no aparece la palabra documentado no es necesario plasmarlo.

    Si fueses asi la NC no tendría realmente validez, ya que con que le demostréis al auditor que el procedimiento existe, es conocido y se lleva a cabo, no sería necesaria su documentación.

    Saludos

    Rafael

    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • Lalli
    • 24/02/11 17:04
    • Imagen de Lalli
    • Reg.: 21/01/11
    • Posts: 16
    (0/0)

    La duda de si hay q documentarlo o no es la q tenemos. Siempre nos han recomendado q analicemos los informes o auditorías (aunq no sean de calidad) de los requisitos legales o reglamentarios ya q forman parte de nuestro sistema de calidad. Así q sin darle más vueltas lo dejo reflejado como tal, anotándo todas las ideas q habeis ido aportando y así no tendré problema para defenderlo a la hora de la auditoría de calidad.

    Muchas gracias a todos.

    PD: Cuando sea la auditoría, comentaré el resultado.

  • One Economic&Quality Consulting
    • 24/02/11 17:49
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2898
    (0/0)

    Ten en cuenta una cosa, establecer un procedimiento no implica que deba ser documentado salvo que la norma te lo diga explicitamente. Como se puede ver en ese artículo del RD LOPD, no lo explicíta por lo que en mi opinión no tenéis obligación.

    Muchas veces los auditores piensan que un procedimiento debe estar documentado y en el fondo un procedimiento no es más que una forma de hacer un proceso. El tema es acreditar que existe ese procedimiento y que la gente lo conoce y que en caso de cambio o modificación del mismo se comunica debidamente.

    Saludos

    Rafael

    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • Wilbert Arturo Vivas Torrez
    • 25/02/11 4:46
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2572
    (0/0)
    one escribió:

    Ten en cuenta una cosa, establecer un procedimiento no implica que deba ser documentado salvo que la norma te lo diga explicitamente. Como se puede ver en ese artículo del RD LOPD, no lo explicíta por lo que en mi opinión no tenéis obligación.

    Muchas veces los auditores piensan que un procedimiento debe estar documentado y en el fondo un procedimiento no es más que una forma de hacer un proceso. El tema es acreditar que existe ese procedimiento y que la gente lo conoce y que en caso de cambio o modificación del mismo se comunica debidamente.

    Saludos

    Rafael

    Aquí me vuelve a surgir la duda, hasta dónde puede y debe "husmear" un auditor de calidad, entiendo que existe un Reglamento que solicita copias de respaldo semanales, y por ley lo deben considerar en su sistema si es que les aplica (aunque no sea su servicio/producto), pero un auditor podría poner una NC por no cumplir esa resolución si la empresa lo decidiera no considerar (suposición) en su sistema? Recordemos que se solicita cumplir requisitos legalesy reglamentarios pero sólo del producto/servicio que elabora....

    Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • One Economic&Quality Consulting
    • 25/02/11 11:00
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2898
    (0/0)
    wilvivas escribió:
    one escribió:

    Ten en cuenta una cosa, establecer un procedimiento no implica que deba ser documentado salvo que la norma te lo diga explicitamente. Como se puede ver en ese artículo del RD LOPD, no lo explicíta por lo que en mi opinión no tenéis obligación.

    Muchas veces los auditores piensan que un procedimiento debe estar documentado y en el fondo un procedimiento no es más que una forma de hacer un proceso. El tema es acreditar que existe ese procedimiento y que la gente lo conoce y que en caso de cambio o modificación del mismo se comunica debidamente.

    Saludos

    Rafael

    Aquí me vuelve a surgir la duda, hasta dónde puede y debe "husmear" un auditor de calidad, entiendo que existe un Reglamento que solicita copias de respaldo semanales, y por ley lo deben considerar en su sistema si es que les aplica (aunque no sea su servicio/producto), pero un auditor podría poner una NC por no cumplir esa resolución si la empresa lo decidiera no considerar (suposición) en su sistema? Recordemos que se solicita cumplir requisitos legalesy reglamentarios pero sólo del producto/servicio que elabora....

    Saludos.

    Estoy de acuerdo contigo Wilbert, por pedir un auditor puede pedirte los comprobantes de pago de la Seguridad Social o las nóminas alegando que si no los pagas los empleados pueden decidir ir a la huelga y eso afecta a la capacidad de la empresa para garantizar la producción. Esto lógicamente se puede llevar al infinito y pedir el comprobante de pago de la luz, el agua etc. Aunque efectivamente esto es así, no deja de ser llegar a unos extremos en los que el auditor pienso que no debe entrar. Pero que conste que el caso de la seguridad social si lo he visto.

    Saludos

    Rafael

    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA