Tabla de contenidos
La actual normativa en protección de datos tiene una máxima: “No basta que cumplas, debes demostrarlo”, y una de las fórmulas para demostrar que efectivamente se está cumpliendo en tu empresa, es mediante la realización de una auditoría en protección de datos personales, ya que, como en cualquier otro marco de gestión del cumplimiento, las auditorías son una parte esencial de los procesos de revisión y mejora continua.
¿Hace mención expresa el Reglamento General de Protección de Datos a la auditoría en protección de datos?
El Reglamento General de Protección de Datos se refiere a los procesos de auditorías de forma literal al hablar de:
- Los encargados del tratamiento, obligando a estos a contribuir con el responsable del tratamiento en la realización de auditorías.
- El Delegado de Protección de Datos o DPD, al indicar como una de sus funciones la de participar en las auditorías de protección de datos.
- Las Normas Corporativas Vinculantes, indicando que, en el contenido de las mismas deberán regularse mecanismos que incluyan auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado.
¿Es obligatorio en España y Europa realizar auditorías en protección de datos?
La entrada en vigor del Reglamento General de Protección de Datos en mayo de 2018 ha supuesto un cambio de paradigma por relación a la obligatoriedad de realización de la auditoría en protección de datos, en tanto, no establecen una obligación explícita para los responsables del tratamiento, si bien, resulta necesario disponer de evidencias de cumplimiento que, fundamentalmente, se obtienen mediante la realización de proceso de verificación, evaluación y valoración, es decir, mediante auditorías de protección de datos.
Con todo, el RGPD deja claro que es esencial realizar auditorías, en tanto, son la herramienta fundamental para una revisión continua del cumplimiento normativo en materia de protección de datos
¿Cada cuánto tiempo debe realizar una empresa una auditoría en protección de datos?
Como se ha venido indicando, el RGPD no regular la periodicidad de auditorías de protección de datos, por lo tanto, será cada responsable del tratamiento, en orden al tratamiento que realiza y al riesgo inherente al mismo, el que determine cada cuánto tiempo debe realizar una auditoría en protección de datos.
Sin detrimento de lo anterior, son muchos los responsables del tratamiento los que están tomando como referente lo indicando en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, según el cual, debe realizarse una auditoría en protección de datos, al menos cada dos años.
¿Qué se debe evaluar una auditoría de protección de datos?
Las auditorías en protección de datos se deben realizar, al menos, desde dos vertientes:
- Vertiente Legal: El RGPD y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) recogen una serie de medidas cuyo incumplimiento podría suponer el establecimiento de sanciones. Por tanto, determinar y poder demostrar que el responsable del tratamiento está cumplimiento con esas medidas es vital para evitar estas posibles sanciones.
- Vertiente Técnica: Las medidas que se señalan en el texto normativo son aquellas que permitan garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento en los términos del artículo 32 de RGPD.
¿La auditoría en protección de datos debe ser interna o externa?
A diferencia de la normativa anterior, ni el RGPD ni la LOPDGDD especifican si la auditoría en protección de datos debe ser externa o interna, por lo que, será el responsable del tratamiento el que defina este aspecto. En cualquier caso, hay una serie de elementos que se deben tener en cuenta como (i) la disponibilidad de recursos internos con el perfil y experiencia adecuados y (ii) la posible existencia de conflictos de interés que suele decantar la balanza por la realización de auditoría de protección de datos externas.
¿Qué papel tiene el Delegado de Protección de Datos o DPD en la auditoría en protección de datos?
Como se recoge en el RGPD, entre las funciones del DPD está la de supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Por lo que su rol es meramente de supervisión, no pudiendo realizar la auditoría en protección de datos por existir conflicto de intereses.
¿Qué ofrecemos en Ceca Magán en las auditorías de protección de datos?
Nuestro equipo está formado por abogados especializados en la normativa protectora de datos de carácter personal, teniendo personal certificado conforme al “Esquema de certificación de delegados de protección de datos de la Agencia Española de protección de datos (esquema AEPD-DPD)” y certificados CISA.
Asimismo, disponemos de un equipo de auditores de sistemas de protección de datos y privacidad, y auditores en 27001, ofreciendo al cliente siempre las máximas garantías en esta materia. Contacte con nuestro equipo aquí.
Manager en el área de nuevas tecnologías
Añadir nuevo comentario