En este artículo responderemos todas las dudas sobre la auditoría de protección de datos, incluyendo qué son, si son obligatorias o no, qué empresas deben pasarlas, si son mejores internas o externas o cómo se realizan.
¿Qué es una auditoría de protección de datos?
La Auditoría de protección de datos personales consiste en un proceso de revisión periódico que busca comprobar y garantizar el correcto sistema de gestión implementando para el cumplimiento de la normativa de protección de datos y privacidad.
Mediante este proceso se comprobará que todo el sistema de gestión, documentación, contratos y obligaciones formales de la normativa se cumplen correctamente asegurando que la compañía está debidamente protegida.
Además servirá para responder ante posibles reclamaciones ante la AEPD, garantizar la responsabilidad proactiva de la compañía y descubrir posibles fuentes de mejora que no estén correctamente garantizadas.
¿Son obligatorias las auditorías de protección de datos?
La auditoría de protección de datos, si bien no lo recoge ni el RGPD ni la LOPDGDD, de manera explícita y con esa terminología exacta, sí podemos considerar que es obligatoria y se establece en la normativa al señalar el artículo 24 del RGPD que las medidas técnicas y organizativas se revisarán y actualizarán cuando sean necesario.
Así mismo, el artículo 32 también indica que se deberá contar con medidas técnicas y organizativas acordes al riesgo de la compañía y por lo tanto será necesario someter estas medidas a un proceso de verificación, evaluación y valoración de la eficacia de las mismas.
Todo esto, sumado a la experiencia en el trámite de expedientes ante la AEPD, en la que habitualmente pide la última auditoría realizada nos lleva a la conclusión de que, efectivamente, las auditorías de protección de datos es todavía un instrumento obligatorio que las empresas deberán realizar periódicamente.
Te preguntarás, además, cada cuanto tiempo es necesario llevar a cabo a una auditoría, y aquí la respuesta no es sencilla, ya que será la empresa la que deberá determinar de acuerdo al riesgo, modificación de las operaciones de tratamiento, herramientas, etc., cual es el plazo aceptable. Teniendo en cuenta que la ya derogada LOPD 15/99 establecía la obligatoriedad de realizar auditorías cada dos años, podría valernos como un estándar a seguir para llevar a cabo una acción de este tipo.
¿Qué empresas deben realizarla la auditoría de protección de datos?
Las auditorías de protección de datos son necesarias en cualquier compañía pública o privada que trate datos personales.
Es decir, ninguna empresa está exenta de realizar una auditoría. Sin embargo, en función del riesgo asociado a sus tratamientos deberá tener un alcance más amplío o más limitado, así como la periodicidad de la misma también podrá ser distinta.
Todas las compañías, independientemente del tamaño o riesgo de la misma, podrá ser requerida por la AEPD para que presente su auditoría de protección de datos, de manera que si no cuenta con este procedimiento de revisión documentado podrá verse sujeto a una acción coercitiva de carácter sancionador.
¿Auditoría de protección de datos, interna o externa?
La normativa no dice nada al respecto de si la auditoría de protección de datos ha de ser interna o externa por lo que la compañía podrá decidir la manera de llevarla a cabo.
Sin embargo, hay claros motivos para considerar que una auditoría de protección de datos externa puede ser más garantista ya que revisarán los procesos de manera más objetiva e imparcial al no haber participado en la implementación de la misma. De esta manera será más sencillo garantizar que, efectivamente, las medidas correctoras y recomendadas son las adecuadas.
Esto ocurre independientemente de que se cuente con un departamento interno o con una consultora especializada interna.
Sí será necesario garantizar que el auditor o equipo de auditores cuenten con el debido conocimiento y expertise que les permita comprobar cualquier cuestión de manera correcta.
Hacerla interna también tiene ventajas e inconvenientes, ya que el departamento podrá conocer de manera previa todos los tratamientos y estado de los mismo y conllevará un descenso en los costes.
Consideramos que si se quiere estar completamente cubierto y garantizar que la medida es efectiva y lo suficientemente garantista se tiene que realizar por expertos externos que revisen que el sistema de gestión actual está debidamente implementado, porque si no “quién vigila al vigilante”.
¿Cómo se realiza una auditoría de protección de datos?
Como casi cualquier sistema de revisión de un procedimiento o proceso la auditoría de protección de datos se realizará siguiendo diferentes fases que, finalmente, permitirá alcanzar una conclusión sobre el cumplimiento de la normativa.
A continuación podemos ver los pasos que se deberán llevar a cabo, simplificados al máximo:
1. Definición del alcance, objeto y sistemas.
Normalmente las auditorías de protección de datos se realizarán de manera completa a todo el sistema de gestión, tratamientos y medidas técnicas y organizativas establecidas en la compañía. Sin embargo, no siempre es así, y también podrá definirse un alcance más limitado a algunos tratamientos que nos permitirá realizar la auditoría por fases, aunque esto suele quedar reducido a empresas de un volumen de tratamientos o complejidad muy elevados.
Así mismo, también se definir las entrevistas, tiempos de realización y alcance de las mismas.
2. Entrevistas.
En esta segunda fase se realizarán entrevistas con los diferentes departamentos y personas implicadas en los tratamientos que se hayan determinado en el punto inicial, intentando recabar la mayor información posible sobre los flujos de datos, información, sistemas y herramientas utilizadas y sobre todos los tratamientos desarrollados en la compañía.
3. Revisión documental.
Una vez mantenidas las entrevistas y determinados todos los tratamientos se irá comprobando que cada uno de ellos se realiza de manera adecuada, cuenta con las garantías documentación, información y medidas necesarias para garantizar el cumplimiento de la normativa que es el fin último de la auditoría de protección de datos.
4. Análisis final y plan de acción
Una vez recabada toda la información y realizadas las entrevistas, empieza la elaboración del informe en el que se detectarán aquellos puntos que estén correcto, que sean mejorable o que sean necesarios corregir para asegurar el cumplimiento.
Finalizado el informe, se deberá presentar un plan de acción que desarrolle las medidas que serán necesarias en la organización para solventar aquellas cuestiones que se hayan determinado que no cumplen la normativa de protección de datos.
Posteriormente, si estas medidas se corrigen se podrá elaborar un anexo al informe de auditoría indicando todos aquellos cambios que se hayan adoptado con posterioridad.
Como vemos la auditoría de protección de datos y los procesos de revisión del cumplimiento de las medidas, son imprescindibles si queremos garantizar que nuestro sistema de gestión sigue cumpliendo con el objetivo. Documentarlo y estar en disposición de presentarlo ante la AEPD será capital si no queremos sufrir una sanción que de al traste con el balance de la compañía.
Si tienes cualquier duda o necesitas expertos que realmente puedan ayudarte con esta cuestión, no dudes en contactarnos. Estaremos encantados de ayudarte.
