Ejemplo de auditora LOPD en una clnica/consulta privada (I)

Omos hablar y hablar de la famosa LOPD, de las consecuencias que puede tener si no la cumplimos, de que tenemos que pasar una auditora cada dos aos, de que hay que implantar unas medidas de seguridad que no sabemos muy bien cules son ni en qu consisten pero, por falta de informacin, por desconfianza en los productos que nos ofrecen algunos profesionales o por lo que sea, no acabamos de pasar esa auditora en nuestra clnica. Comenzamos hoy con una serie de artculos que intentar descubrir los secretos de una auditora sobre el nivel de adecuacin a la LOPD. No hay nada como difundir la informacin para despejar dudas y miedos al respecto. Adems, me han llegado noticias de que la Consejera de Salud est realizando inspecciones en las clnicas privadas y est exigiendo el cumplimiento de la LOPD para renovar las licencias, as que parece ser que hay cierta preocupacin entre los profesionales. Advierto, la serie ser larga, muy larga. Nos inventaremos una clnica ficticia y una empresa especializada en LOPD tambin ficticia y haremos una auditora LOPD COMPLETA. Si COMPLETA, de principio a fin, revisando todos los controles que un auditor experto en LOPD debera revisar. Para cada deficiencia o falta de cumplimiento detectado, se propondrn las medidas correctoras oportunas. En base a los controles, elaboraremos el INFORME DE AUDITORIA que debe incluir los hechos y observaciones detectados por el auditor as como las medidas correctoras oportunas. Haremos un plan de accin para la adecuacin a la LOPD de la clnica y, por ltimo, corregiremos las deficiencias detectadas. O sea, servicio completo. Con esta serie de artculos, que probablemente os parecer interminable, trato de dar una idea muy aproximada de lo que debe ser una auditoria profesional, de forma que si os decids a contratar unos servicios de auditoria para adaptar vuestra clnica podis saber de que va este asunto y no os cuelen cualquier chapuza (que las hay). Bueno, espero que si algn auditor o profesional llega a ver esta serie nos preste su opinin al respecto (por si soy yo el de las chapuzas).

Sin ms prembulos os presento a la clnica Sani-To dnde los profesionales son una maravilla y los pacientes salen invariablemente satisfechos con sus servicios, pero cmo andan estos profesionales respecto al nivel de cumplimiento de la legislacin vigente? SUPUESTO: El supuesto que os presento es el ms sencillo que puede ocurrir en lo que a clnicas privadas se refiere: Sani-To es una clnica privada compuesta por dos profesionales de la Medicina en la que prestan sus servicios realizando consultas mdicas y pequeas intervenciones quirrgicas. En Sani-To son algo tradicionales, y para las historias clnicas de sus pacientes utilizan fichas en papel como toda la vida; si les va bien. para que cambiar? Hasta no hace mucho, pensaban que como no haba ordenadores en la clnica, eso de la LOPD no iba con ellos, pero un aviso de inspeccin de la Consejera de Salud les ha hecho ponerse alerta respecto a estos asuntos, as que se han puesto en contacto con GC Consultores para que les hagan una auditora de cumplimiento de la LOPD a ver qu sale.

Auditora LOPD (II). Pertinencia

En el artculo anterior presentamos a la clnica Sani-To , que se puso en contacto con GC Consultores para encangarles una auditora de complimiento sobre la LOPD. GC Consultores, comienza a analizar la situacin particular de Sani-To (como buenos asesores y auditores saben que en estas cosas no valen las generalizaciones). GC Consultores confirma a Sani-To que efectivamente su actividad est afectada por la LOPD y que debe someterse a una auditora de cumplimiento. El Reglamento de Medidas de Seguridad de los ficheros de carcter personal establece, cuando existen ficheros de nivel medio o alto: Artculo 96. Auditora. 1.- A partir del nivel medio, los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una auditora interna o externa, que verifique el cumplimiento del presente ttulo. Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos sealado en el apartado anterior. Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos aos. 2.- El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley (LOPD) y su desarrollo reglamentario (RD 1720/2007), identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuestas.

3.- Los informes de auditora sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarn a disposicin de la Agencia de Espaola de Proteccin de Datos o, en su caso, de las autoridades de control de las comunidades autnomas.

Auditora LOPD (III). Objeto y Alcance de la Auditora

GC Consultores, comienza a elaborar el informe de auditora, estableciendo para ello los lmites de la misma (Objeto y Alcance) El presente documento informar sobre el nivel de adecuacin a la Ley Orgnica de Proteccin de Datos de Carcter personal, identificando las deficiencias o no cumplimientos detectados proponiendo las medidas correctoras oportunas para corregir las faltas de cumplimiento encontradas. Se excluye expresamente de este documento la informacin relativa al nivel de adecuacin al Real Decreto 1720/2007 de Medidas de Seguridad. El presente informe queda limitado a los hechos y observaciones encontrados en Clnica Sani-To. La tcnica empleada para la recoleccin de informacin ser a travs de entrevistas con los responsables identificados. Sin embargo, en la medida de lo posible, a travs de correo electrnico, se recopilar informacin en forma de preguntas directas y sencillas de fcil resolucin. La auditora se llevar a cabo en las siguientes fases:

Inventario de Activos Identificacin de Responsables Anlisis de adecuacin LOPD Informe de Auditora Presentacin

La auditora obligada por el Reglamento del R.D. 1720/2007 se ha realizado durante los das 22 y 29 de Junio de 2010 y ha constado de las siguientes fases:

Conocimiento genrico de la empresa, su mbito de negocio, los sistemas de informacin de que disponen, su estructura administrativa, sus relaciones con organismos oficiales, asociaciones, instituciones y otras empresas, todo ello a travs de formularios preestablecidos suministrados al responsable de los ficheros de la empresa objeto de auditora, en los que se recopilan datos fundamentales para el conocimiento del nivel de adaptacin a la normativa vigente en materia de seguridad de datos de carcter personal de la misma.

Elaboracin de un programa de trabajo en el que se detallan las actividades o tareas a auditar, teniendo para ello en cuenta, por un lado, los requisitos de revisin impuestos por el Reglamento en relacin con la auditora, y por el otro, el mbito de negocio y sistemas de la empresa, recopilados a travs de los formularios anteriormente mencionados, de los que se extraen las deficiencias detectadas a priori, y los datos a recopilar para confirmar el cumplimiento en los puntos en que se define el Responsable del Fichero acorde a la normativa vigente. Realizacin del trabajo de campo, esto es, la revisin prctica de las actividades incluidas en el plan de trabajo. Anlisis de los puntos dbiles y obtencin de conclusiones y recomendaciones. Elaboracin del informe.

A partir del hecho de que la auditora debe verificar el cumplimiento la LOPD, el Plan de Trabajo deber incluir especficamente la comprobacin de todos los artculos de aquel que sean de aplicacin a tenor del tipo de ficheros de que disponga la empresa (medio, alto). Para la realizacin organizada de esta auditora se han preparado unos formularios a modo de checklist. Estos formularios estn divididos en 6 reas de manera que se puedan identificar aquellos tems a auditar de una manera lgica. De esta manera las reas sern las siguientes:

NIVEL DE CUMPLIMIENTO SOBRE LEY DE PROTECCIN DE DATOS o Registro de Ficheros o Informacin y Consentimiento o Principios de Proteccin de Datos o Derechos ARCO o Relacin con Terceros o Seguridad

Auditora LOPD(IV). Identificacion de Ficheros y Tratamientos

A partir de hoy, en los artculos siguientes os ir presentando los hechos y observaciones observados por el auditor y las medidas correctoras propuestas para cada deficiencia. El post de hoy analiza los Ficheros y Tratamientos realizados por la Clnica Sani-To: La Ley Orgnica de Proteccin de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley. Si adems los datos se incorporan a ficheros, en la legislacin espaola debe cumplirse con el deber de inscripcin de los ficheros ante el Registro General de Proteccin de datos de la Agencia Espaola de Proteccin de Datos. Si se trata de una administracin distinta de la Administracin General del Estado, con sede en el Pas Vasco, Catalua o la Comunidad de Madrid la inscripcin se realizar en el Registro de las autoridades autonmicas de proteccin de datos. Se han verificado los siguientes puntos de control respecto de la Identificacin de Ficheros y Tratamientos con las siguientes respuestas.

La Ley Orgnica de Proteccin de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley. Si adems los datos se incorporan a ficheros, en la legislacin espaola debe cumplirse con el deber de inscripcin de los ficheros ante el Registro General de Proteccin de datos de la Agencia Espaola de Proteccin de Datos. Si se trata de una administracin distinta de la Administracin General del Estado, con sede en el Pas Vasco, Catalua o la Comunidad de Madrid la inscripcin se realizar en el Registro de las autoridades autonmicas de proteccin de datos. De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

NOTA: os dejo una figura con la interpretacin de los iconos utilizados en las tablas de Medidas Correctoras para su mejor interpretacin

Auditora LOPD(V). Informacin y Consentimiento

Continuamos realizando la auditora LOPD a Sani-to, en esta ocasin analizamos los controles LOPD relativos a Informacin y consentimiento: El consentimiento constituye el principal elemento de legitimacin que permite a los responsables de un fichero o tratamiento tratar datos de carcter personal. Slo en los casos en los que la Ley o una norma comunitaria de aplicacin directa, exima del mismo pueden tratarse datos sin consentimiento. El consentimiento debe ser previo, libre, especfico e informado. Por ello, es esencial informar siempre que se recaban datos personales. La informacin previa no slo es relevante para conocer para que tipo de tratamiento se consiente sino tambin quin va a tratar los datos, a quin se comunicarn o ante quin ejercer los derechos de acceso, rectificacin, cancelacin u oposicin al tratamiento. Por otra parte, hay que tener en cuenta que respecto de determinadas tipologas de datos relativos a la ideologa, la afiliacin sindical, la religin o creencias, la salud, el origen racial o la vida sexual, el consentimiento de prestarse de modo expreso y en determinados casos adems escrito. Se han verificado los siguientes puntos de control respecto de la Informacin y Consentimiento del afectado obteniendo las siguientes respuestas.

La Ley Orgnica de Proteccin de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley. Si adems los datos se incorporan a ficheros, en la legislacin espaola debe cumplirse con el deber de inscripcin de los ficheros ante el Registro General de Proteccin de datos de la Agencia Espaola de Proteccin de Datos. Si se trata de una administracin distinta de la Administracin General del Estado, con sede en el Pas Vasco, Catalua o la Comunidad de Madrid la inscripcin se realizar en el Registro de las autoridades autonmicas de proteccin de datos. De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

Auditoria LOPD (VI). Principios que Rigen el Tratamiento de los datos personales
El artculo de hoy analizar el cumplimiento de los controles relativos a los principios que Rigen el Tratamiento de los Datos Personales. El informe de Auditora al respecto, sera algo como lo siguiente: Adems de la informacin y el consentimiento existen en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal un conjunto de principios que definen como deben tratarse los datos, para que finalidades, durante cunto tiempo y de qu modo. Se trata del principio de calidad de los datos y del deber de secreto y confidencialidad. El responsable del fichero debe adecuar su actuacin de modo que trate los datos adecuados, leales y lcitamente, procurar que se encuentren actualizados y utilizarlos exclusivamente para las finalidades para las que se recogieron. Se han verificado los siguientes puntos de control respecto de los principios que rigen el tratamiento de los datos personales, obteniendo las siguientes respuestas.

Se recogen y tratan los datos estrictamente necesarios para las finalidades propias de su organizacin. Esta prctica es adecuada siempre que se informe previamente al interesado de dicha finalidad. En el caso de que dichas finalidades cambien o se requiera tratar los datos personales para una nueva finalidad se debera modificar la inscripcin de su fichero, e informar y obtener el consentimiento de los interesados en los casos en los que proceda. Sin necesidad de que lo solicite el interesado, el principio de calidad de los datos obliga al responsable a corregir errores cuando se constatan y a cancelar los datos cuando dejan de ser necesarios. El deber del responsable de cancelar o rectificar de oficio obliga al responsable a notificar al cesionario estas acciones a fin de garantizar que ste pueda proceder a actualizar los datos personales que le fueron cedidos. Sani-To no realiza cesiones de datos a aseguradoras u otras instituciones sanitarias ni de otro tipo, es por tanto que no es necesario un procedimiento de notificacin de rectificacin o cancelacin de datos a cesionarios. El deber de secreto no slo afecta al responsable sino a todas y cada una de las personas de la organizacin relacionadas con el tratamiento de datos personales.

Auditora LOPD (VII). Derechos ARCO

Hoy tocan estudiar el cumplimiento de los controles correspondientes al Ejercicio de Derechos de Acceso, Rectificacin, Cancelacin y Oposicin (ARCO). De acuerdo con el supuesto planteado para nuestra clnica ficticia, el informe de auditora quedara algo as como lo siguiente: Los llamados derechos ARCO forman parte del contenido esencial del derecho fundamental a la proteccin de datos. Mediante su ejercicio el interesado, la persona cuyos datos se tratan, puede ejercer control sobre los tratamientos efectivamente realizados por el responsable. Se trata de derechos cuyo ejercicio es personalsimo, de carcter gratuito y sujetos a plazo. Por tanto es necesario establecer procedimientos para su satisfaccin. Deben tenerse como mnimo en cuenta los criterios que se indican a continuacin:

DERECHO DE ACCESO

Resolucin: Su denegacin debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Espaola de Proteccin de Datos. Justificacin: Debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentacin. Plazo: 10 das hbiles.

DERECHO DE RECTIFICACIN

Resolucin: Su denegacin debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Espaola de Proteccin de Datos. Justificacin: Debe indicarse el dato a rectificar y la causa que lo justifica, aportando documentacin. Plazo: 10 das hbiles

DERECHO DE CANCELACIN

Resolucin: Su denegacin debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Espaola de Proteccin de Datos. Justificacin: Debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentacin. Plazo: 10 das hbiles.

DERECHO DE OPOSICIN

Resolucin: Su denegacin debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Espaola de Proteccin de Datos. Justificacin: Concurrencia de un motivo legtimo y fundado, referido a su concreta situacin personal, que lo justifique, siempre que una Ley no disponga lo contrario. Basta con ejercer el derecho cuando se trate de datos utilizados con fines de publicidad o prospeccin comercial. Cabe oposicin a las decisiones basadas nicamente en un tratamiento automatizado de datos, aunque el tratamiento es posible si existe una relacin contractual que lo justifique. Plazo: 10 das hbiles.

Se han verificado los siguientes puntos de control respecto de los derechos de Acceso, Rectificacin, Cancelacin y Oposicin (ARCO), obteniendo las siguientes respuestas.

Cuando se satisface un derecho de acceso efectivamente debe contestarse en cualquier caso en el plazo mximo de un mes, se tenga o no datos. Tenga en cuenta que el objeto de este derecho se limita a los datos objeto de tratamiento y que dispone de un plazo de 10 das hbiles para hacerlo efectivo. Se Acta correctamente ante el ejercicio de un derecho de rectificacin o cancelacin. No olvide que debe contestar siempre a los ciudadanos cuando ejerciten sus derechos con independencia de que se tengan datos personales o no en los ficheros, dentro del plazo previsto de 10 das hbiles. Si se deniega la peticin deber motivarlo, indicar la razn de la denegacin, e informar al afectado que podr invocar la tutela de la Agencia Espaola de Proteccin de Datos. Su organizacin atiende las peticiones relativas al derecho de oposicin en el plazo previsto. Recuerde el plazo se mide en das hbiles. Si el derecho se denegase deber motivarlo, indicar la razn de la denegacin, e informar al afectado que podr invocar la tutela de la Agencia Espaola de Proteccin de Datos. Se atienden correctamente las peticiones de revocacin del consentimiento para el tratamiento de los datos. Recuerde que el consentimiento para el tratamiento de los datos podr ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

Auditora LOPD (VIII). Relaciones con Terceros

En el artculo de hoy analizaremos otro de los aspectos importantes de la LOPD, las relaciones con terceros y las transferencias internacionales. Como es lgico, nuestra modesta clnica Sani-To no tiene empresas subcontratadas con acceso a sus datos y mucho menos an realiza transferencias internacionales. El apartado correspondiente a las relaciones con terceros del informe de auditora quedara algo as como lo siguiente: Las relaciones con terceros abarcan un conjunto de supuestos en las que una persona fsica o jurdica distinta de la organizacin del responsable, y distinta del interesado cuyos datos tratamos, usa, trata, accede o simplemente consulta los datos. Estos supuestos pueden ser de naturaleza muy distinta. Una comunicacin de datos es un tratamiento que supone su revelacin a una persona distinta del interesado. Debe tenerse en cuenta que no es necesario apropiarse fsicamente de un dato basta con que sea posible su consulta. Debe existir el consentimiento previo o habilitacin en una ley que exima del mismo. Adems el consentimiento deber ser informado de forma que se conozca inequvocamente la finalidad a la que se destinarn los datos respecto de cuya comunicacin se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En segundo lugar, existir un encargado del tratamiento cuando se contrate una prestacin externa de servicios que requiera acceder al sistema de informacin. Se define el encargado como persona fsica o jurdica, pblica o privada, u rgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin para la prestacin de un servicio. En este caso, el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos de Carcter Personal y el artculo 12 LOPD establecen la necesidad de formalizar un contrato por escrito cuyo contenido establezca:

Las instrucciones a las que se someter el encargado del tratamiento. La prohibicin de uso para fin distinto al que figure en dicho contrato. La prohibicin de comunicar los datos a otras personas. Las medidas de seguridad. Las condiciones de subcontratacin de los servicios por el encargado.

Eventualmente, cuando resulte necesario podr incluir las condiciones de conservacin por el encargado, cuando exista obligacin legal o resulte necesario por razones de responsabilidad, y las formas de destruccin o devolucin de los datos como la entrega a un nuevo encargado. Es fundamental ser diligente en la eleccin del encargado. Por tanto, ste deber acreditar de algn modo que se encuentra en condiciones de cumplir con los principios y requisitos que la LOPD establece para los tratamientos.

Por ltimo en las transferencias internacionales de datos personales en la prctica existe una cesin o un encargo del tratamiento a una persona fsica o jurdica que se encuentra en un pas distinto de los Estados Miembros de la Unin Europea o del Espacio Econmico Europeo. Las transferencias en virtud de lo dispuesto en los artculos 33 y 34 LOPD se encuentran sujetas a autorizacin del Director de la Agencia Espaola de Proteccin de Datos cuando no se trate de un pas seguro en materia de proteccin de datos o no se den las excepciones del artculo 34 LOPD. Se han verificado los siguientes puntos de control respecto de las relaciones con terceros, obteniendo las siguientes respuestas:

No se comunican datos a otras entidades o personas ajenas a la organizacin y no hay relaciones contractuales con terceros con acceso a datos. De igual manera no se realizan transferencias internacionales de datos. No se proponen medidas correctivas ni preventivas en este apartado.

Auditora LOPD (IX). Seguridad

El artculo de hoy analiza el ltimo aspecto relativo a la LOPD de nuestra clnica de ejemplo, la Seguridad. La auditora hace un breve repaso sobre algunos de los aspectos bsicos sobre seguridad. Por supuesto no se trata de un anlisis en profundidad puesto que eso lo haremos cuando analicemos el cumplimiento del Real Decreto 1720/2007 de Medidas de Seguridad. El informe correspondiente dir algo as como lo siguiente: Las medidas de seguridad constituyen uno de los objetivos esenciales para garantizar el derecho a la proteccin de datos. El objetivo de la seguridad es garantizar:

La confidencialidad, que nadie no autorizado pueda acceder a los datos -, la integridad, que se impida alterar la informacin de modo que los datos slo puedan ser modificados por usuarios autorizados y para las finalidades previstas -, y disponibilidad, que la organizacin sea capaz de restaurar los datos y mantener los sistemas de informacin en funcionamiento ante cualquier evento inesperado -.

Estos objetivos se consiguen mediante la adopcin de medidas tcnicas y organizativas que deben lograr los objetivos dispuestos por el Ttulo VIII del Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos de Carcter Personal. ste establece distintas medidas que se estructuran en tres niveles bsico, medio y alto que son acumulativos de modo que quienes deban aplicar el alto incluirn las medidas previstas en los dos niveles anteriores. Se han verificado los siguientes puntos de control respecto de las relaciones con terceros, obteniendo las siguientes respuestas:

De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

Auditora LOPD (y X). Resumen de Medidas

Bueno, por fin terminamos el informe de auditora LOPD (tranquilos que no os librareis de mi, todava nos queda el informe de auditora sobre Medidas de Seguridad). Los informes de auditora estn llenos de tablas, ilustraciones, medidas correctoras,. En fin, un poco engorroso y un responsable de fichero, al fin y al cabo lo que quiere saber es que tiene que hacer para corregir cualquier incumplimiento de la ley y evitarse problemas. Un informe que se precie deber incluir un RESUMEN DE MEDIDAS CORRECTORAS, de manera que de un solo vistazo los responsables oportunos tengan la oportunidad de hacerse una idea aproximada de a que debern enfrentarse para poner su organizacin en orden. Pues bien, ah va el RESUMEN DE MEDIDAS CORRECTORAS para nuestro supuesto practico:

NOTA IMPORTANTE: Esta supuesta auditora se basa en un supuesto concreto y no debe ser tomada como modelo para evaluar el cumplimiento de ninguna clnica real, el objeto de la serie de artculos es difundir, ilustrar y poner de manifiesto aspectos de cumplimiento legal, as como un acercamiento a las metodologas de auditora para arrojar un poco de transparencia y desmitificar un poco su complejidad. UNA AUDITORA REAL SIEMPRE ES NICA Y DISEADA ESPECFICAMENTE PARA LA ORGANIZACIN QUE SE AUDITA. REFERENCIAS: La metodologa utilizada para la realizacin de esta auditora est basada en estndares y buenas prcticas de nacionales e internacionales propuestos por organismos tales como:

ISACA : InformationSystemsAuditandControl Association(http://www.isaca.org/) CCN: Centro Criptolgico Nacional (https://www.ccn-cert.cni.es/) Muchos de los textos incluidos en los artculos proceden la herramienta EVALUA de la Agencia Espaola de Proteccin de Datos (https://www.agpd.es/) y todas las preguntas relativas a cumplimiento de la LOPD proceden de dicha herramienta. EVALUA es una herramienta de autoevaluacin desarrollada por la propia AEPD para que los responsables de los ficheros puedan hacerse una idea del nivel de cumplimiento sobre la LOPD y el Reglamento de Medidas de Seguridad RD 1720/2007. La herramienta EVALUA genera un informe de auditora en base a un cuestionario totalmente confidencial haciendo propuestas de medidas a adoptar para adecuarse al cumplimiento legal en materia de proteccin de datos. Todas las preguntas relativas al cumplimiento de las medidas de seguridad (RD 1720/2007) estn basadas en la Gua de Seguridad de Datos publicada por la AEPD en 2008. Todas las tablas de Medidas Correctoras han sido elaboradas basndome en la Gua de Seguridad de las TIC (CCN-STIC- 400) del Centro Criptolgico Nacional.