✔ El objeto del presente informe es analizar la normativa histórica y la normativa vigente en materia de protección de datos con el propósito de dilucidar la obligatoriedad del Responsable del tratamiento de someterse a una auditoria en protección de datos.

La derogada Ley Orgánica española no contiene ninguna disposición relativa a la obligatoriedad de que el Responsable del tratamiento se someta a una auditoria en protección de datos. No obstante, el artículo 9 de la misma establecía que El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, señala los siguientes:

  1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría en protección de datos interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

  2. El informe de auditoría en protección de datos deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

  3. Los informes de auditoría en protección serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Así las cosas, podemos concluir la obligatoriedad de realización de auditorias en protección de datos a la vista de la normativa histórica española.

¿Aún dudas cual es el cumplimiento normativo legal que afecta a tu empresa?

☑ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.

☛ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.

Auditoría en protección de datos en RGPD

En la normativa actual, no se especifica ninguna disposición específica relativa a la obligatoriedad de realizar auditorias en protección de datos por cuenta del responsable. No obstante, el artículo 32 del RGPD establece que:

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: […] un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

En efecto, a diferencia de la normativa derogada, el texto europeo únicamente señala la necesidad de evaluar y verificar las medidas de seguridad implantadas, con el objetivo de garantizar su adecuación. El RGPD no señala la obligatoriedad de realizar esta operación únicamente con datos considerados de “nivel medio”, no se señala la obligatoriedad de realizarla cada dos años, o cuando se realicen modificaciones sustanciales, o como debe ser presentado el informe de auditoria en protección de datos por el auditor.

Así las cosas, la normativa actual señala la obligatoriedad de realizar una auditoría, pero será el Responsable el que decidirá como y cuando. Ello es una manifestación más del carácter abierto de la norma de la UE, en particular el principio de responsabilidad proactiva que señala el RGPD en su artículo 5.2.

Conclusión

Nos gustaría recordar que el Reglamento de desarrollo de la LOPD continúa siendo aplicable, en aquellas disposiciones que no contradigan el RGPD. Nuestro punto de vista es que la rigidez que señala el Reglamento podría contradecir el citado principio de responsabilidad proactiva de la norma europea. Como hemos señalado supra, será el Responsable el que decidirá los medios para evaluar la adecuación de las medidas de seguridad que ha implantado. Así las cosas, podemos concluir que la auditoria en protección de datos continúa siendo obligatoria para el Responsable, no obstante, se le concede mayor libertad de como y cuando realizarla.

De modo contrario, la no realización de auditoria en protección de datos podría conllevar una sanción grave tal y como señala el artículo 73.f de la LOPDGDD – La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679 -. Recordamos que las infracciones graves pueden acarrear sanciones de hasta 10 millones de euros o el 2% de la facturación global anual.

▸Estimado lector, ¡¡gracias por su tiempo!!

Si te gustó este contenido quizás te interese…

Solicitud Cancelación de Datos Personales
Big Data, Protección de datos y compañías aseguradoras
Aplicaciones móviles y protección de datos