La auditoría de protección de datos no es obligatoria según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) . Aún así, las empresas responsables del tratamiento de datos de sus clientes deben adoptar medidas para proteger lo máximo posible la información y los datos personales que tienen que custodiar; así como confirmar la seguridad de sus sistemas. Las auditorías consisten en evaluarlos sistemas y medios que tiene la empresa para tratar la información y los datos personales, cómo gestionan éstos, y las medidas de seguridad que tienen implementadas y su eficacia; con el objetivo de determinar cuál es el grado de cumplimiento de la normativa sobre protección de datos.

Hay varios tipos de auditorías que explicaremos más detalladamente, por lo que la empresa puede escoger la forma en la que evaluar su nivel de cumplimiento de la normativa. Cabe mencionar que la auditoría se ha de realizar en diferentes fases para recabar el máximo de información posible que posteriormente será evaluada y los resultados plasmados en un informe que recibirá tanto la Dirección de la compañía como los encargados de gestionar la protección de datos en la misma.

Auditoría en protección de datos en RGPD

La auditoría en protección de Dato no es obligatoria. Sin embargo, el RGPD establece claramente la obligación de evaluar la eficacia de las medidas técnicas y organizativas adoptadas y, sin duda, la auditoría es el instrumento idóneo para lograr este fin. En concreto, debe destacarse:

  • Artículo 32 RGPD: incluye como medida apropiada “Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
  • Artículo 24 RGPD: dispone que “Dichas medidas se revisarán y actualizarán cuando sea necesario”.

En consecuencia, aunque el RGPD no establezca la obligatoriedad de realizar una auditoría, sí es altamente recomendable realizarla para detectar problemas y verificar que las medidas adoptadas para proteger los datos de los clientes, potenciales clientes, empleados, etc son apropiadas. Las auditorías son un medio necesario para que la empresa conozca la “foto” o el grado de cumplimiento de la normativa sobre protección de datos.

Servicio de Auditoría de Protección de Datos

Objetivo de las auditorías

El objetivo principal de realizar una auditoría en una empresa es comprobar si las acciones que se han tomado en materia de protección de datos cumplen con los requisitos y obligaciones establecidos en el RGPD y en la LOPDGDD. Se realiza recabando información de toda la empresa, entrevistando a sus empleados, y comprobando los documentos relacionados con datos personales y confidencialidad.

Ya sea una auditoría realizada por un experto en protección de datos en la compañía, o contratando a una empresa para realizarlo de forma externa, hay una serie de puntos que el Informe de Auditoría ha de incluir:

  • Estudio de la situación actual de la empresa
  • Revisión del Registro de Actividades de Tratamiento (RAT)
  • Revisión del Análisis de riesgos de los tratamientos y las medidas de seguridad técnicas y organizativas (política de contraseñas, copias de seguridad, políticas de seguridad del personal, etc ) adoptadas en función de dicho análisis, para determinar si efectivamente son apropiadas o, en su lugar, deben modificarse
  • Verificar la necesidad de realizar Evaluaciones de Impacto
  • Verificar la necesidad de nombrar un Delegado de Protección de Datos
  • Análisis de los sistemas de tratamiento (automatizados y no automatizados): herramientas informáticas/aplicaciones/softwares, almacenamiento en papel, etc.
  • Adecuación de las cláusulas informativas con empleados, clientes, potenciales clientes, candidatos a un puesto de trabajo, etc y, en general, con cualquier interesado susceptible de recabar sus datos de carácter personal
  • Verificación de la licitud de los tratamientos de forma que, en el momento de la recogida de los datos, se cuenta con el consentimiento del interesado o con cualquier otra base de legitimación (ejecución del contrato, cumplimiento de obligación legal, etc)
  • Cumplimiento de los principios de protección de datos (minimización de los datos, limitación del plazo de conservación, etc)
  • Realización de cesiones y transferencias internacionales asegurando un nivel adecuado de protección
  • Adecuación de los contratos de encargados de tratamientos con los proveedores con acceso a datos
  • Análisis de las cláusulas de confidencialidad
  • Revisión de protocolos internos para la gestión de solicitudes de ejercicio de derechos (acceso, supresión, etc) y violaciones de seguridad
  • En general, revisión de cualquier tipo de procedimiento, norma, protocolo o política interna establecida en la organización

Tipos de auditoría

Las auditorías RGPD y LOPDGDD pueden ser en la práctica de dos tipos, según si se realizan con la propia plantilla de la empresa o bien como un servicio contratado por la misma.

Auditoria interna

El primer tipo de auditoría es la auditoría interna: ésta se realiza con personal de la plantilla de la propia empresa si se cuenta con personal especializado en materia de protección de datos. Tendrá que realizarla siguiendo las fases que mencionaremos más adelante. Al finalizar, se redactará un informe para hacérselo llegar al responsable de protección de datos de la misma quien lo elevará a la Dirección de la empresa. A partir de ahí, se tomarán las medidas necesarias.

Cabe destacar que, aunque es una manera más eficiente y económica para la empresa, la auditoría interna no resulta la mejor manera de realizar este tipo de auditorías ya que al ser un trabajador de la empresa, el informe pierde objetividad y veracidad. Otro motivo puede ser la complejidad que implica la protección de datos. Para tratar este tipo de temas es más idóneo contratar una empresa con conocimientos especializados sobre la materia y todo lo que ello conlleva: leyes vigentes, metodologías, etc.

Auditoria externa

La auditoría externa se lleva a cabo cuando se contrata a una asesoría o despacho profesional para la realización de la misma. Lo más recurrente es que se cuente con asesorías jurídicas especialistas en la temática de protección de datos. Estas asesorías se encargan de gestionar la auditoría para las empresas que contratan sus servicios: desde revisar todos los procedimientos de tratamiento de datos personales de la empresa, hasta los sistemas informáticos y las medidas de seguridad. Tienen que asegurarse que cumple todas las exigencias de la normativa actual de protección de datos.

Al igual que en la auditoría interna, el resultado de la evaluación será un informe que se le presentará a la empresa e incluirá propuestas de mejora en materia de seguridad y protección de datos, o bien los cambios que será necesario aplicar.

Cómo se realiza una auditoría en protección de datos

La auditoría RGPD y LOPDGDD se realiza en varias fases que ayudarán a obtener los datos para la posterior evaluación que acabará con el informe final. Este informe será finalmente lo que reciba la empresa: o bien al Responsable de Protección de Datos de la empresa o bien el Delegado de Protección de Datos, si se cuenta con él, quiénes lo elevarán a la Dirección de la compañía.

1ª Fase: Revisión de la documentación de la empresa

En primer lugar, se ha de recabar toda la documentación en materia de protección de datos que haya implementado la organización (Registro de actividades de Tratamiento, cláusulas informativas, cláusulas de confidencialidad, contratos de Encargado de Tratamiento, etc).

2ª Fase: Planificación de la autoría

Será necesario en la segunda fase de la auditoría de Protección de Datos entrevistar al personal de la empresa. En dicha entrevista, se aclaran las dudas respecto a la documentación en materia de protección de datos mencionada anteriormente; se analizan las medidas de seguridad adoptadas así como los sistemas de tratamiento.

3ª Fase: Análisis y documentación del nivel de cumplimiento de la empresa con la LOPDGDD y el RGPD

Tras recabar la documentación necesaria y realizar las entrevistas al personal de la empresa, se analiza con detenimiento todos los datos que se tienen de las fases anteriores y se verifica si la empresa está cumpliendo con todos los requisitos del RGPD y la LOPDGDD. Así, se identifican errores y vulnerabilidades que deberán ser arregladas.

4ª Fase: Creación y entrega del informe de auditoría con los resultados obtenidos

El último paso es el más importante, ya que es la elaboración del informe final con los resultados del previo análisis de la información y de las entrevistas en la empresa, realizadas por la auditoría de RGPD y LOPDGDD. Se redactarán con detalle las deficiencias y propuestas del auditor para mejorar y solucionar los posibles problemas que se hayan detectado para cumplir con las exigencias normativas. Este informe se presentará al Responsable de Protección de Datos de la empresa o bien el Delegado de Protección de Datos, si se cuenta con él, quiénes lo elevarán a la Dirección de la empresa; como hemos mencionado anteriormente.

 
Contáctenos

Me interesa, quiero más información

Consúltenos sin compromiso e infórmese de nuestros servicios de Consultoría Protección de Datos.

legales(Obligatorio)
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS. Responsables: Grupo Adaptalia LEGAL- FORMATIVO S.L. | Finalidad principal: Gestionar la potencial relación comercial/profesional; atender a sus consultas y remitirle la información que nos solicita; facilitarle información respecto a los servicios y actividades de su interés | Derechos: Acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan. | Información adicional: Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad
Suscribete a nuestra Newsletter