La realización de una auditoría de protección de datos es un instrumento que nos permite conocer de manera profunda y eficaz la tipología, volumen y flujo de datos que se gestionan dentro de una empresa u organismo, la existencia o no de un adecuado tratamiento de los mismos y las medidas de seguridad adoptadas en el seno de la organización para garantizar el cumplimiento de la normativa.
Mediante una auditoría de protección de datos se evalúan los tratamientos de datos de carácter personal llevados a cabo por una determinada entidad, responsable de su tratamiento, para determinar su grado de adecuación a la normativa.
Contenido de la auditoría de protección de datos
Durante el proceso de auditoría, el auditor, que puede ser personal interno de la empresa o externo, lleva a cabo una serie de actuaciones consistentes en:
· Analizar el estado inicial de la compañía con el objetivo de conocer los tratamientos de datos y medidas de seguridad implementadas con carácter previo a la realización de la auditoría.
· Comprobar el sistema de recolección, tratamiento y almacenaje de los datos personales dentro de la compañía con el objetivo de verificar su adecuación a la normativa.
· Analizar la existencia de cesiones o transferencias internacionales de datos dentro de la compañía y la adecuación de dichos procedimientos a la normativa.
· Verificación de los contratos de encargo de tratamiento y subencargo.
· Verificación de la correcta implementación de las distintas cláusulas de protección de datos.
· Revisión de la página web de la empresa para comprobar la correcta implementación de los textos legales.
· Revisión de las medidas técnicas y organizativas implementadas en la empresa, así como de sus políticas internas en materia de protección de datos.
Una vez finalizado el proceso de auditoría, los profesionales encargados de llevar a cabo la misma redactarán un informe de auditoría en el que se informará a la empresa de las deficiencias encontradas, las medias de seguridad que la empresa deberá adoptar para paliar dichas deficiencias, así como las recomendaciones que se consideren necesarias para garantizar el adecuado cumplimiento de la normativa de protección de datos.
Objetivos de una auditoria LOPD
Tal y como se deduce de su contenido, el objetivo principal de una auditoría de protección de datos es comprobar las acciones llevadas a cabo por la entidad auditada para verificar la existencia de un adecuado nivel de seguridad y garantizar el cumplimiento de las obligaciones que la normativa LOPD le impone.
Para conseguir el objetivo de garantizar el adecuado nivel de cumplimiento mediante el informa de auditoría la empresa puede:
· Conocer las medidas de seguridad que deberá implementar o corregir para garantizar su adecuación a la normativa.
· Conocer lass medidas técnicas y organizativas que deberá llevar a cabo para ajustar los procedimientos internos en los que el RGPD tiene un especial impacto, para ajustarlos a la normativa.
· Comprobar posibles deficiencias y establecer acciones correctoras.
· Recibir recomendaciones de mejora.
· Formar a su personal en materia de protección de datos.
¿Es obligatorio realizar una auditoría RGPD?
El artículo 32 del RGPD expone que los responsables y encargados de tratamiento deberán aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que en su caso incluya. Entre las medidas que se deben aplicar para garantizar la confidencialidad, disponibilidad e integridad de la información se incluye la necesidad de llevar a cabo un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, es decir, auditorías en materia de protección de datos.
Por su parte, el artículo 24 del RGPD establece que las medidas técnicas y organizativas “se revisarán y actualizarán cuando sea necesario”.
Asimismo, el artículo 39 RGPD incluye expresamente dentro de las funciones del Delegado de Protección de Datos (DPD) la obligación de supervisar el cumplimiento de la normativa, de las políticas internas de la compañía, incluida las auditorías correspondientes.
Por lo tanto, el RGPD establece la obligación de llevar a cabo auditorías de protección de datos si bien deja a la elección de las empresas la periodicidad de las mismas estableciendo que se deberán llevar a cabo “cuando sea necesario” y “para garantizar la seguridad del tratamiento”.
Teniendo en cuenta lo anterior, lo recomendable es establecer un sistema dentro de la compañía que permita mantener actualizados todos los procesos relativos a la protección de datos en el día a día de su actividad, así como realizar auditorías de mayor profundidad de manera anual o cuando se apliquen cambios en la empresa que impliquen modificaciones en los procesos de protección de de datos, es decir:
1. Contar con un servicio de mantenimiento: es necesario revisar los procesos de manera constante y periódica supervisando la implementación de las medidas y aplicando el principio de seguridad desde el diseño y por defecto.
2. Realizar auditorías globales o parciales: como regla general, resulta recomendable llevar a cabo auditorías profundas y globales de cumplimiento de manera anual. Adicionalmente y para supuestos en los que existan actividades de tratamiento estratégicas que necesiten revisarse, cambios significativos en la operativa de la empresa.
Sanciones protección de datos
Una de las principales novedades de la nueva normativa de protección de datos con respecto a la anterior es el considerable aumento de la cuantía de las sanciones que podrán alcanzar hasta los 20.000.000 euros, contemplándose entre los 10 y 20 millones o entre el 2 y el 4% de la facturación global de la empresa.
Las sanciones podrán producirse cuando el tratamiento de los datos no se adecue a las obligaciones establecidas por el RGPD, o bien se detecte alguna brecha de seguridad de datos de carácter personal. La cuantía de las sanciones variarán en función de su consideración como leves, graves o muy graves.
En Type of Legal somos abogados expertos en protección de datos. Realizamos auditorías de protección de datos a todo tipo de empresas y entidades.
Si necesitas revisar tu grado de adecuación a la normativa podemos ayudarte.
