Todo el personal de la organización recibirá una formación básica para que conozcan lo que deben o no deben hacer para evitar fugas de datos, infección de equipos, etc.En el caso de que la organización sufra una Brecha de Seguridad esta debe informarse a la AEPD en plazo y forma correcta. Recibirá un asesoramiento de cómo debe hacerlo para evitar una sanción de la AEPD.El 95% de los programas actualmente son en la nube, (SaaS, Cloud, etc.) en los que alojamos infinidad de datos, este tratamiento debe regularse por ley y debe hacerse de forma correcta para evitar fuga de datos y tratamiento incorrectos.Para la realización de campañas de marketing y Redes Sociales y el uso de imágenes tan habitual, dispone de un servicio de asesoramiento para que lo ejecute sin incumplir la normativa y evitar sanciones.En caso de que la AEPD inspeccione a la organización tendrá a su disposición un abogado con experiencia en la normativa para interponer el recurso en la AEPD.Disponemos de un seguro de responsabilidad civil para cubrir sanciones de la Agencia Española de Protección de Datos.Dispone de una línea directa de asistencia con su consultor asignado para resolver dudas sobre la aplicación de la normativa en su organización.Todos los meses recibe en su correo un Boletín con noticias relevantes e importantes que hayan ocurrido dentro del mes anterior.Al finalizar la implantación y tras una comprobación se hará entrega de un certificado de implantaciónRecibirá el sello de organización adaptada a la LOPD y/o LSSI en formato digital para incluir en documentos y una pegatina para pegar en el establecimiento.Conectará con un consultor que recabará la información necesaria para elaborar la documentación y diseñar la hoja de ruta para adecuar su actividad a la normativa.

Son muchas las empresas que en su día a día se hacen la pregunta de si están obligadas normativamente a realizar una auditoría de protección de datos. La respuesta a ello es un claro y rotundo, Sí.

Desde la entrada en vigor del RGPD, el principio de proactividad viene a determinar que el responsable del tratamiento no solamente tiene que cumplir con los requisitos exigidos en el reglamento sino también debe ser capaz de demostrarlo.

Las empresas tienen que demostrar que tratan los datos personales de tal manera que garantizan una seguridad adecuada de los mismos, incluyendo la confidencialidad y la integridad de los datos. Para ello deben aplicar unas medidas técnicas y organizativas adecuadas, pero no deben ser unas medidas aleatorias sin más, sino aquellas que resulten de un completo análisis de riesgos que haya realizado el responsable y encargado del tratamiento.

 

Ya tengo las medidas, ¿Por qué necesito una auditoría?

 

Esta es otra de las preguntas que a raíz de lo explicado anteriormente se plantean las empresas. Una vez realizado el análisis de riesgos y aplicado las medidas, les da un falso cumplimiento de que están siendo proactivos en su actividad y no es así. Esas medidas implementadas, tanto las de carácter técnico como organizativas, tienen que ser verificadas y evaluadas. Es una de las obligaciones generales de los responsables.

Así viene dispuesto en el artículo 32 del RGPD:

  1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
  2. la seudonimización y el cifrado de datos personales;
  3. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  4. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  5. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 En la propia norma, por lo tanto, encontramos la respuesta. Se debe llevar a cabo un proceso de verificación, evaluación y valoración. Todos ellos conceptos que se engloban en una auditoría, considerando por lo tanto a la misma como una medida a implementar por el responsable y el encargado de tratamiento.

 

 

Una pregunta más; ¿Cuáles son las consecuencias de no hacer la auditoría?

 

En este caso, es la normativa nacional la que nos da la respuesta. En el Título IX de Régimen sancionador de nuestra Ley Orgánica de protección de datos conocida como LOPDGDD, se considera como una infracción grave la falta de adopción de medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo del tratamiento.

Con el informe de auditoría la empresa podrá conocer su nivel de cumplimiento en protección de datos, así como verificar la eficacia de las medidas de seguridad implantadas y revisar los procedimientos e instrucciones vigentes en materia de seguridad de datos personales. En el proceso de auditoría se tienen que aplicar las estrategias de verificación que permitan alcanzar eficazmente el objetivo de la auditoría, estas estrategias consisten en: análisis de la documentación, revisión de registros, inspección visual, entrevistas con responsables y entrevistas con usuarios.

Otro aspecto importante a tener en cuenta cuando se realiza la auditoría es la independencia y objetividad del auditor que analice y recoja todas las evidencias necesarias para ejecutar el informe. El auditor ha de ser un profesional con conocimientos técnicos para valorar la eficacia de las medidas técnicas y organizativas implantadas y legales para analizar la documentación en materia de protección de datos personales.

 

Uno de los servicios que ofrece Grupo CFI es realizar auditorías de protección de datos. Puedes solicitar presupuesto para este servicio aquí.

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.