Auditoría de protección de datos, ¿es obligatoria?

La auditoría de protección de datos es un proceso de revisión y enmienda en el tratamiento de datos que lleva a cabo una empresa. Como proceso, puede ser interno o externo y cuenta con fases diferenciadas que permiten extraer conclusiones.

¿Qué es una auditoría de protección de datos?

La auditoría de protección de datos personales es un estudio y evaluación del cumplimiento normativo que verifica el nivel de cumplimiento del RGPD y de la LOPDGDD de la entidad, de forma que ésta, pueda implantar los controles necesarios a fin de garantizar la proactividad que el Reglamento exige. El informe de auditoría muestra una visión general de los aspectos en los que es necesario incidir con el fin de garantizar la licitud del tratamiento o mejorar aspectos relacionados con la seguridad, obteniendo un informe con las deficiencias detectadas para, en su caso, adoptar las medidas correctoras o complementarias correspondientes.

Objetivos de una auditoría de protección de datos

Estas auditorías, que también se llaman auditorías de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) o el Reglamento General de Protección de Datos (RGPD), tienen por objetivo analizar y comprobar que los protocolos adoptados cumplen los requerimientos legales.

● Estudiar la situación actual de la empresa.

● Analizar si existen cesiones o transferencias internacionales y si el procedimiento es legal.

● Revisar los procedimientos, reglas, normativas y patrones de seguridad elaborados y establecidos en el organismo.

● Comprobar que la empresa trata o almacena datos de carácter personal según la normativa del LOPD.

● Establecer acciones correctoras para mejorar deficiencias en el sistema de información.

● Estudiar los flujos de datos personales.

Tipos de auditoría de protección de datos

● Auditoría interna. Las auditorías internas son aquellas que pueden realizarse desde dentro de la empresa gracias a contar con personal especializado en protección de datos. Sin embargo, este proceso no es recomendable hacerlo de manera interna para evitar una pérdida de objetividad y por la complejidad de la materia, en especial la legislativa.

● Auditoría externa. Las auditorías externas son realizadas por asesorías o despachos profesionales especializados en materia de protección de datos. Durante el proceso se revisan los datos personales de la empresa, los sistemas informáticos y las medidas de seguridad acordes a la normativa vigente. Posteriormente, estos despachos presentan después un informe con el resultado y propuestas de mejora en materia de seguridad.

Leyes y obligaciones legales

La RGPD establece que las funciones de supervisar el cumplimiento de la normativa en materia de protección de datos y políticas internas de la empresa son del Delegado de Protección de Datos (DPO por sus siglas en inglés). Esto será así siempre y cuando exista dicho puesto en el organigrama empresarial. La LOPDGDD y la RGPD estipulan claramente la obligación de evaluar la eficacia de aquellas medidas de seguridad implantadas, El considerando 74 del RGPD establece que el Responsable de tratamiento ha de poder demostrar la conformidad de las actividades de tratamiento con la normativa estatal y comunitaria de Protección de Datos. De esto se deduce la importancia de identificar las amenazas y riesgos a los que está expuesta cada actividad de tratamiento.

Artículo 24 del RGPD	"Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”
Artículo 32 del RGPD	“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”

Artículo 24 del RGPD

"Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así
como los riesgos de diversa probabilidad y gravedad para los derechos y
libertades de las personas físicas, el responsable del tratamiento aplicará
medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el presente Reglamento. Dichas
medidas se revisarán y actualizarán cuando sea necesario”

Artículo 32 del RGPD

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el
alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, el responsable y el encargado del tratamiento aplicarán
medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo”

En caso de contar con responsables y encargados internos para esta materia, la revisión de la seguridad y la enmienda de errores figuran entre sus obligaciones. Aprende la diferencia entre responsable y encargado de tratamiento de datos en nuestro post.

La ley de protección de datos puede ser liosa por los múltiples aspectos a los que atiende. La política de privacidad, textos legales, cookies, direcciones de correo electrónico o datos guardados para su tratamiento forman parte de la normativa que un negocio debe cumplir para proteger a sus clientes y a sí mismo. Desde PDatos, queremos ayudarte a saber si tu negocio cumple con la ley de protección de datos con este test online en solo dos minutos.

¿Cómo se realiza una auditoría de protección de datos?

Las auditorías de protección de datos se dividen en diferentes fases, las cuales permiten obtener aquellos datos necesarios para la elaboración final de un informe. No hay un modelo predeterminado para llevar a cabo el análisis, pero habitualmente son cuatro pasos o fases indispensables:

Identificar y recopilar. El primer paso es identificar y recopilar todos los documentos necesarios para la revisión de la empresa. Deben tenerse en cuenta los contratos de protección de datos, en especial atendiendo al consentimiento expreso del tratamiento de datos.
Planificar. Ordenar la documentación necesaria de la fase previa permite llevar a cabo una planificación correcta y pautada de la auditoría de protección de datos. Debe tenerse en cuenta que para poder realizar un análisis completo hay que entrevistar al personal, lo cual cuenta también como planificación.
Analizar. La tercera fase es la de analizar y verificar que todos los requisitos de la normativa vigente en materia de protección de datos se cumplen en el tratamiento de la empresa. Es aquí donde pueden aparecer errores del sistema que deben ser enmendados, como este caso sobre envíos de publicidad incumpliendo la LOPDGDD.
Entregar. El informe final debe detallar todos los aspectos a mejorar. El responsable del tratamiento deberá analizar el informe de auditoría es el responsable de que se adopten las medidas correctoras o complementarias. El informe quedará a disposición de la Autoridad de Control, no siendo necesaria su notificación a la Agencia Española de Protección de Datos.

¿Cuándo debe realizarse una auditoría de protección de datos?

Las auditorías de protección de datos no cuentan con una periodicidad fijada en la actual normativa. El anterior texto de la LOPDGDD establecía que cada dos años como máximo debería realizarse una auditoría si los cambios en los sistemas de información eran relevantes. Según el RGPD, los procesos de evaluación de este tipo deben realizarse “cuando sea necesario”. de forma periódica y/o cuando se hayan producido cambios significativos en la entidad.

Las empresas deben cuantificar los riesgos y las categorías y cantidad de datos manejados para decantarse por la opción de llevar a cabo una auditoría. Lo más recomendable es realizar procesos de revisión periódicos, en especial para comprobar que los sistemas de seguridad responden a su función. También pueden hacerse auditorías parciales con menor periodicidad, sometiendo a análisis diferentes aspectos, como el tratamiento o el sistema informático. Si no estás seguro de si tu empresa cumple con la Ley de Protección de Datos, asegúrate con este artículo.

Sanciones

El tratamiento de datos realizado de manera incorrecta lleva acarreado una sanción proporcional a la falta cometida. El hecho de no realizar una auditoría no es sancionable por sí mismo. Sin embargo, la pérdida de datos o el tratamiento no autorizado durante un tiempo determinado están ligados a una falta de análisis, como es la auditoría en este caso. Estos supuestos pueden acarrear multas, como en el caso de este hotel. La infracción del deber de seguridad está considerado como grave en el RGPD y su sanción va de los 40.001 a los 300.000 euros.

Saber qué tipo de datos acumula tu site y el tipo de tratamiento que se hace de ellos es fundamental. También es básico contar y actualizar los textos legales de un lugar web. ¿No sabes cuáles son? En Pdatos trabajamos y elaboramos textos legales de manera gratuita para tu web. Podemos evaluar tu actual tratamiento de datos, redactamos los textos y te los hacemos llegar por e-mail. ¡Solicítalos ya!

En Pdatos somos expertos en protección de datos y contamos con especialistas con dilatada experiencia que te ayudarán a adaptar y analizar tu empresa acorde a la normativa de protección de datos. Asegúrate de cumplir con la normativa vigente y de no vulnerar alguno de sus puntos, o podrás afrontar sanciones de elevada cuantía impuestas por la Agencia Española de Protección de Datos.