ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX REUNIDOS

Transcripción

1 ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX En Barcelona a X de XXXX de 2008 REUNIDOS DE UNA PARTE BARCELONA DE SERVEIS MUNICIPALS, S.A. (en adelante BSM) domiciliada en XXXXX, provista de CIF XXXX, representada por XXXXX en calidad de... en virtud de los poderes concedidos a su favor mediante escritura pública otorgada ante Notario... con fecha de..., bajo el número de protocolo... DE OTRA PARTE EMPRESA (en adelante EMPRESA) domiciliada en.. y provista de CIF.., representada por., en calidad de apoderados en virtud de los poderes concedidos a su favor mediante escritura pública otorgada ante Notario con fecha de., bajo el número de protocolo.. Ambas partes, reconociéndose previa y recíprocamente la capacidad legal necesaria para el otorgamiento del presente Acuerdo: EXPONEN Que BSM es una sociedad dedicada.. Que EMPRESA es una compañía dedicada a la realización de... CLÁUSULAS PRIMERA.- OBJETO. BSM ha contratado los servicios de EMPRESA con el objeto de que la misma le preste servicios de BSM es Responsable del Fichero que contiene datos de carácter personal notificados a la Agencia de Protección de Datos con nombre y nº de inscripción. En virtud del objeto de este contrato, EMPRESA accederá a ficheros que contienen datos de carácter personal en calidad de Encargado del Tratamiento según lo dispuesto en los artículos 12 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante, LOPD y los artículos 20 y siguientes del Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la LOPD (en adelante RLOPD), en vigor desde el 19 de abril de

2 Dado que el acceso a estos datos es necesario para la prestación del servicio objeto del presente contrato al arriba denominado Responsable del Fichero, y con el fin de proteger dichos datos de carácter personal y dar cumplimiento a lo establecido en el artículo 12 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), y en el RLOPD se celebra el presente contrato. SEGUNDA.- DEBER DE SECRETO. EMPRESA se compromete a guardar la máxima reserva y secreto sobre la información clasificada como confidencial. Se considerará información confidencial cualquier dato al que EMPRESA acceda en virtud del presente contrato y/o en el acuerdo general que regula los servicios a prestar por parte de EMPRESA a BSM, en especial la información y datos propios de BSM a los que haya accedido o acceda durante la ejecución del mismo. No tendrán el carácter de confidencial todas aquellas informaciones y datos que fueran de dominio público o que estuvieran en posesión de EMPRESA con anterioridad a iniciar la prestación de sus servicios y hubieran sido obtenidas por medios lícitos. La obligación de confidencialidad recogida en el presente contrato tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre las partes. De igual manera, EMPRESA será responsable de que su personal, colaboradores, directivos y en general, todas las personas que tengan acceso a la información confidencial y a los ficheros de BSM, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento automatizado de datos de carácter personal. Por tanto, EMPRESA realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios, con dichas personas, con el fin de asegurar el cumplimiento de tales obligaciones. Las partes reconocen que EMPRESA podrá tener acceso a ficheros que contienen datos de carácter personal, de los que BSM es responsable, para la prestación del servicio arriba indicado, y que este servicio es necesario para el desarrollo de la actividad de EMPRESA. No obstante lo anterior, BSM es, con carácter único, quien decidirá sobre la finalidad, contenido y uso de los ficheros de datos existentes o que puedan ser creados y a los que pueda tener acceso EMPRESA, como resultado de las actividades realizadas por ésta. TERCERA.- OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO. EMPRESA, en su calidad de Encargada del Tratamiento asume las obligaciones siguientes: Acceder a los ficheros o bases de datos de carácter personal de BSM, únicamente, cuando el mismo sea imprescindible para el buen desarrollo de los servicios para los que ha sido contratado. Respetar todas las obligaciones que pudieran corresponderle como Encargado del Tratamiento con arreglo a las disposiciones de la LOPD y del RLOPD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable. Únicamente tratará los datos conforme a las instrucciones que reciba expresamente de BSM. 2

3 EMPRESA no destinará, aplicará o utilizará los datos a los que tenga acceso con fin distinto al expresamente indicado o de cualquier otra forma que suponga un incumplimiento de las instrucciones expresas que BSM, en su condición de Responsable del Tratamiento, le proporcione. No revelar, transferir, ceder o de otra forma comunicar los ficheros o datos en ellos contenidos, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo la correspondiente autorización a la subcontratación en caso de ser necesario, en los términos del artículo 21 del RLOPD. A tal efecto EMPRESA sólo podrá permitir el acceso a los datos a aquellos empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados. EMPRESA mantendrá indemne a BSM frente a cualquier reclamación que derive del tratamiento de datos de carácter personal que realice en relación con el objeto del presente contrato como consecuencia del incumplimiento de dicha normativa. CUARTA.- OBLIGACIONES DEL RESPONSABLE DEL FICHERO. BSM manifiesta y hace constar, a los efectos legales oportunos que: Los ficheros a cuyos datos accederá EMPRESA se hallan debidamente legalizados, legitimados y cumplen con todas las medidas de seguridad previstas en el artículo 9 de la LOPD y en RLOPD. Los términos del presente contrato en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles a BSM, como Responsable del Fichero, en virtud de la vigente legislación en materia de protección de datos. QUINTA.- MEDIDAS DE SEGURIDAD. EMPRESA manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las medidas de seguridad de nivel básico y medio previstas en el artículo 9 de la LOPD así como en los artículos 82 y 85 al 100, ambos inclusive, del RLOPD, con respecto de los ficheros automatizados. De igual manera, será necesario aplicar las medidas de nivel básico y medio recogidas en los artículos 105 a 110, ambos inclusive, para todos aquellos datos que se encuentren en ficheros no automatizados, en el caso de que el servicio prestado por el Encargado del Tratamiento requiera el acceso a este tipo de ficheros. Asimismo, EMPRESA garantiza el mantenimiento de estas medidas de seguridad que se adjuntan en el Anexo I así como cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para garantizar la seguridad, presente y futura, de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de carácter personal. SEXTA.- DESTINO DE LOS DATOS AL FINALIZAR LA RELACIÓN CONTRACTUAL. En cumplimiento del artículo 22.1 del RLOPD, una vez cumplida o resuelta la prestación contractual acordada entre EMPRESA y BSM, y que justifica el acceso a los datos de carácter personal respecto de los cuales es responsable BSM, los datos de carácter personal serán destruidos o devueltos a BSM, al igual que 3

4 cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. La destrucción no procederá en el caso de que una previsión legal exija la conservación de los datos, en cuyo caso deberá procederse a la devolución de los mismos garantizando el Responsable del Fichero dicha conservación. En cualquier caso, los datos permanecerán convenientemente bloqueados.. SÉPTIMA.- EJERCICIO DE DERECHOS. Si los afectados ejercitan sus derechos de acceso, rectificación, cancelación u oposición ante EMPRESA y solicitan el ejercicio de tales derechos ante la misma, EMPRESA deberá dar traslado de la mencionada solicitud, en el plazo máximo de 3 días, a BSM a fin de que por el mismo se resuelva, en los plazos establecidos por la normativa vigente. OCTAVA.- DEBER DE INFORMACIÓN MUTUO. Las partes, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se informan mutuamente de que los datos de la/ s persona/ s de contacto que figura en el encabezamiento del presente contrato así como los datos personales de cualquier empleado que se proporcionen entre sí como consecuencia de la relación de negocio objeto del presente contrato serán incorporados a los ficheros titularidad de cada una de las partes con la finalidad de gestionar dicha relación. Las partes podrán ejercitar sus derechos de acceso, rectificación, cancelación u oposición de sus datos, dirigiendo una notificación al efecto, a la dirección de la otra parte que figura en el encabezado del presente documento. NOVENA.- CONFIDENCIALIDAD. La totalidad de los términos y condiciones del presente documento, incluidos sus anexos, tienen carácter confidencial, estando sujetos a las obligaciones expuestas a lo largo del acuerdo. DÉCIMA.- SUBCONTRATACIÓN. En el caso de que EMPRESA tuviera que subcontratar todos o algunos de los servicios contratados por BSM en los que intervenga el tratamiento automatizado de datos personales, la subcontratación requerirá de una autorización expresa por parte de BSM en la que autorice a EMPRESA a contratar en nombre y por cuenta de BSM detallándose de forma expresa los servicios autorizados para la subcontratación, así como la empresa encargada de su realización. No será necesaria la autorización de empresa para llevar a cabo la subcontratación en los siguientes casos: Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el Encargado del Tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del Responsable del Fichero. Que el Encargado del Tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el apartado anterior. No obstante, en relación con la subcontratación se estará en todo momento a lo establecido por el RLOPD en su artículo 21 y en cualquier caso el subcontratista será 4

5 considerado Encargado de Tratamiento siéndole de plena aplicación lo establecido en la cláusula undécima del presente contrato. Asimismo, EMPRESA se compromete a suscribir un contrato de servicios y confidencialidad con la empresa subcontratada que regule los servicios encargados, las instrucciones para el tratamiento, la no comunicación de los datos objeto de tratamiento a terceros, garantizándose la correcta utilización de los datos, la devolución o destrucción de los mismos una vez realizado el servicio, así como la custodia y adopción de las medidas de seguridad legalmente establecidas y demás obligaciones previstas en el art. 12 de la Ley Orgánica de Protección de Datos de Carácter Personal y en los arts. 20 a 22, ambos inclusive, del RLOPD. UNDÉCIMA.- RESPONSABILIDAD. EMPRESA se compromete a cumplir con las obligaciones establecidas en el presente Contrato y en la normativa vigente, en relación con el presente encargo de tratamiento. De conformidad con lo establecido en el art de la LOPD y 20.3 del RLOPD, EMPRESA será considerada Responsable del Tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del presente Contrato, respondiendo de las infracciones en que hubiera incurrido personalmente. Ambas partes, en prueba de su conformidad, firman el presente contrato, por duplicado ejemplar, en el lugar y fecha arriba indicados. EMPRESA BARCELONA DE SERVEIS MUNICIPALS, S.A. 5

6 ANEXO I AL ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Medidas de Seguridad de nivel medio adoptadas por EMPRESA de los ficheros automatizados. 1. Acceso a datos a través de redes de comunicaciones Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar el nivel de seguridad, según el art. 85 del RLOPD, equivalente al correspondiente a los accesos en modo local, conforme a los criterios establecidos según el art. 80 del RLOPD. 2. Régimen de trabajo fuera de los locales del Responsable del Fichero o Encargado del Tratamiento. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del Responsable del Fichero, o del Encargado del Tratamiento, será preciso que exista una autorización previa del Responsable del Fichero o Tratamiento, y en todo caso deberá, según el art. 86 del RLOPD, garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Esta autorización deberá constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas. 3. Ficheros temporales o copias de trabajo de documento. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares, según el art. 87 del RLOPD, deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el art. 81 del RLOPD. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación. 4.- Documento de Seguridad El documento de seguridad, según el art. 88 del RLOPD, contiene información relativa a los siguientes aspectos: a.- Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b.- Medidas, normas, procedimientos, reglas y estándares internos encaminados a garantizar el nivel de seguridad exigido por la normativa aplicable en protección de datos de carácter personal. c.- Funciones y obligaciones del personal que tengan acceso a la base de datos. 6

7 d.- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e.- Procedimiento de notificación, gestión y respuesta ante las incidencias. El procedimiento contiene un registro en el que se hace constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quien se comunica y los efectos que se hubieran derivado de la misma. f.- Los procedimientos de realización de copias de respaldo y de recuperación de los datos. El documento deberá mantenerse actualizado y será revisado cuando se produzcan cambios relevantes en el sistema de información o en la organización del mismo. El contenido del documento de seguridad deberá adecuarse, en todo momento a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. 5.- Funciones y obligaciones del personal de EMPRESA que tenga acceso a la base de datos. a.- Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el artículo 89 del RLOPD, tanto para los ficheros automatizados como para los no automatizados, esto último en virtud del artículo del mismo RLOPD. b.- EMPRESA adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. 6.- Registro de incidencias. Se indicará, según el art. 90 del RLOPD, la naturaleza de todas y cada una de las incidencias, la fecha y hora en que se produjo la incidencia, el nombre de la persona que notificó la incidencia, y el nombre de la persona que recibió dicha notificación, así como los efectos de la incidencia, ya se trate de incidencias que afecten a datos contenidos en ficheros automatizados o no automatizados. Según el art. 100 del RLOPD: a.- En el registro regulado en el art. 90 del RLOPD deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. b.- Será necesaria la autorización de EMPRESA para la ejecución de los procedimientos de recuperación de los datos. En virtud de lo establecido en el art del RLOPD todo lo establecido anteriormente será de aplicación a los ficheros no automatizados en lo relativo a: - Funciones y obligaciones del personal. 7

8 - Registro de incidencias. - Control de acceso. - Gestión de soportes. 7.- Control de acceso. Según el art. 91 del RLOPD: a.- Los usuarios de EMPRESA sólo tienen acceso autorizado a aquellos datos y recursos que precisen para el desarrollo de sus funciones. b.- EMPRESA establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. c.- El Responsable del Fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. d.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el Responsable del Fichero. e.- En caso de que exista personal ajeno al Responsable del Fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio Respecto al control de acceso físico, según el art. 99 del RLOPD, exclusivamente el personal autorizado por EMPRESA en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información. 8.- Gestión de soportes y documentos. Según el art. 92 del RLOPD: a.- Los soportes y documentos informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. b.- La salida de soportes y documentos informáticos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada por EMPRESA. c.- En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. d.- Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante 8

9 la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. e.- La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. Según el art. 97 del RLOPD: a.- Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. b.- Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. 9.- Identificación y autenticación. EMPRESA, según el art. 93 del RLOPD, garantiza que: a.- Mantiene una relación actualizada de los usuarios que tengan acceso autorizado al sistema de información y que ha establecido procedimientos de identificación y autenticación para dicho acceso, que permite la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. b.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. c.- Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad, que nunca será superior a un año, y mientras estén vigentes se almacenarán de forma ininteligible. EMPRESA, según el art. 98 del RLOPD, establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 10. Copias de respaldo según el art. 94 del RLOPD: a.- EMPRESA se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 9

10 b.- Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. c.- Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos. 11. Responsable de Seguridad EMPRESA deberá designar en el documento de seguridad, según el art. 95 y 109 del RLOPD, uno o varios Responsables de Seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde a EMPRESA de acuerdo con el RLOPD. 12. Auditoría Respecto a las auditorias, según el art. 96 y 110del RLOPD, EMPRESA se compromete a: a.- A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de la Ley. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. b.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. c.- Los informes de auditoría serán analizados por el Responsable de Seguridad competente, que elevará las conclusiones a EMPRESA para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas. 10

11 Además de todo ello, para los ficheros no automatizados que contengan datos de carácter personal de nivel medio, habrán de seguirse las siguientes medidas de seguridad: 1. Criterios de archivo. El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación, art. 106 del RLOPD. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, EMPRESA deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo. 2. Dispositivos de almacenamiento. Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal, según el art. 107 del RLOPD, deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, EMPRESA adoptará medidas que impidan el acceso de personas no autorizadas. 3. Custodia de soportes. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma, según el art. 108 del RLOPD, deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. 4. Responsable de seguridad Según el art. 109 del RLOPD, se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el art. 95 del RLOPD. 5. Auditoría Según el art. 110 del RLOPD, los ficheros se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de la Ley. EMPRESA BARCELONA DE SERVEIS MUNICIPALS, S.A. 11