Son muchas las empresas que en su día a día se hacen la pregunta de si están obligadas normativamente a realizar una auditoría de protección de datos. La respuesta a ello es un claro y rotundo, Sí.
Desde la entrada en vigor del RGPD, el principio de proactividad viene a determinar que el responsable del tratamiento no solamente tiene que cumplir con los requisitos exigidos en el reglamento sino también debe ser capaz de demostrarlo.
Las empresas tienen que demostrar que tratan los datos personales de tal manera que garantizan una seguridad adecuada de los mismos, incluyendo la confidencialidad y la integridad de los datos. Para ello deben aplicar unas medidas técnicas y organizativas adecuadas, pero no deben ser unas medidas aleatorias sin más, sino aquellas que resulten de un completo análisis de riesgos que haya realizado el responsable y encargado del tratamiento.
Ya tengo las medidas, ¿Por qué necesito una auditoría?
Esta es otra de las preguntas que a raíz de lo explicado anteriormente se plantean las empresas. Una vez realizado el análisis de riesgos y aplicado las medidas, les da un falso cumplimiento de que están siendo proactivos en su actividad y no es así. Esas medidas implementadas, tanto las de carácter técnico como organizativas, tienen que ser verificadas y evaluadas. Es una de las obligaciones generales de los responsables.
Así viene dispuesto en el artículo 32 del RGPD:
- Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En la propia norma, por lo tanto, encontramos la respuesta. Se debe llevar a cabo un proceso de verificación, evaluación y valoración. Todos ellos conceptos que se engloban en una auditoría, considerando por lo tanto a la misma como una medida a implementar por el responsable y el encargado de tratamiento.
Una pregunta más; ¿Cuáles son las consecuencias de no hacer la auditoría?
En este caso, es la normativa nacional la que nos da la respuesta. En el Título IX de Régimen sancionador de nuestra Ley Orgánica de protección de datos conocida como LOPDGDD, se considera como una infracción grave la falta de adopción de medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo del tratamiento.
Con el informe de auditoría la empresa podrá conocer su nivel de cumplimiento en protección de datos, así como verificar la eficacia de las medidas de seguridad implantadas y revisar los procedimientos e instrucciones vigentes en materia de seguridad de datos personales. En el proceso de auditoría se tienen que aplicar las estrategias de verificación que permitan alcanzar eficazmente el objetivo de la auditoría, estas estrategias consisten en: análisis de la documentación, revisión de registros, inspección visual, entrevistas con responsables y entrevistas con usuarios.
Otro aspecto importante a tener en cuenta cuando se realiza la auditoría es la independencia y objetividad del auditor que analice y recoja todas las evidencias necesarias para ejecutar el informe. El auditor ha de ser un profesional con conocimientos técnicos para valorar la eficacia de las medidas técnicas y organizativas implantadas y legales para analizar la documentación en materia de protección de datos personales.
Uno de los servicios que ofrece Grupo CFI es realizar auditorías de protección de datos. Puedes solicitar presupuesto para este servicio aquí.
Julio César Miguel Pérez
CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.