En las últimas semanas la gran mayoría de nuestros clientes han coincidido en plantearnos una duda que trataremos de resolver en esta publicación: ¿La nueva Ley Orgánica de Protección de Datos Personales y de Garantía de los Derechos (LOPDGDD) obliga a realizar auditoría? ¿Y quién está facultado a llevarla a cabo? ¿Cuándo se deben afrontar?
Si bien no hay mucha claridad al respecto, el Reglamento General de Protección de Datos (en adelante, RGPD) hace mención expresa a las auditorías, al señalar que éstas se deben llevar a cabo como norma corporativa vinculante. Establece, por tanto, la obligatoriedad de las auditorías en materia de protección de datos, pero no efectúa un desarrollo en su definición, dejando tal tarea a la normativa nacional de cada uno de los países que conforman la Unión Europea.
Dicho lo anterior y en base a la normativa de reciente aprobación en materia de protección de datos, te informamos que sí será obligatorio realizar una auditoría. Pero, ¿todas las empresas? No. Solo en aquellas organizaciones que tengan un nivel de seguridad medio o alto de los datos personales que traten.
¿Qué debemos tener en cuenta en una auditoría LOPD?
Básicamente, la auditoría LOPD sirve para verificar la correcta implementación de las medidas de seguridad que hayamos adoptado en nuestra empresa: nivel bajo, medio o alto. Tras realizar la auditoría, se deberá elaborar un informe que registre las cuestiones verificadas, incidencias detectadas y las medidas a adoptar para corregir tales inconformidades. Este informe deberá ser analizado por el responsable de seguridad, quien, a continuación, deberá indicarle al responsable del fichero todas las medidas a aplicar en la sociedad.
¿Cada cuánto tiempo deberemos llevar a cabo una auditoría LOPD?
En esta cuestión no ha habido apenas cambios respecto a lo que se establecía en la ley anterior, pues se deberá realizar una auditoría cada dos años, salvo que se realicen modificaciones sustanciales en el tipo o tratamiento de los datos personales e implique un cambio en las medidas de seguridad a adoptar.
¿Las auditorías deben efectuarse a nivel interno?
No. Puede ser que designemos a alguien de la plantilla, especializado en la materia, para realizar tal función, pero también podemos externalizar el servicio. De hecho, aconsejamos encarecidamente externalizar los servicios de protección de datos a despachos y gabinetes especialistas en la materia, pues se trata de un tema delicado que requiere de la mayor preparación posible.
¿Cuáles son los objetivos que se deberán tener presentes en una auditoría?
• Verificar las medidas de seguridad cada dos años.
• Detectar posibles deficiencias en los sistemas de información de la organización y, en su caso, fijar unas medidas de corrección.
• Analizar los flujos de datos personales y los procedimientos internos en los que la LOPDGDD tiene un especial interés y adecuarlos a la normativa en vigor.
• Estudiar las medidas de seguridad auditadas y proponer recomendaciones para mejorarlas y fortalecerlas, de ser posible.
• Concienciar a trabajadores y colaboradores de la importancia de cumplir con la normativa aplicable en protección de datos y concienciar de la importancia de respetar y preservar la información personal.
¿Me sancionarán si no llevo a cabo la auditoría de protección de datos?
Con toda seguridad, sí.
De hecho la LOPDGDD considera como infracción grave tal incumplimiento. Si quieres conocer más acerca de las sanciones y de los importes que se aplicarán en cada caso, puedes consultar el artículo que publicamos al respecto en nuestro blog sobre las primeras sanciones LOPD/RGDP en Europa.
Como has podido observar, la auditoría es una cuestión muy importante en toda empresa que gestiona datos personales que requieren de un nivel de seguridad medio o alto, dada la sensibilidad de la información que contienen.
Si eres el gestor de una empresa o bien tienes un negocio en el que manejas información sensible de terceros, te recomendamos buscar a la persona adecuada dentro de tu organización para establecer las medidas de seguridad pertinentes, hacer un seguimiento periódico de su cumplimiento y analizar constantemente la forma de fortalecerlas y mejorarlas.
Recuerda que la normativa actual es muy exigente y que no cumplir con ella puede generar cuantiosas multas económicas que pongan en peligro la continuidad de la empresa. Si no dispones de recursos humanos para tal tarea, te recordamos que la Ley permite externalizar la función a terceras empresas.
En asesorialopd.com contamos con abogadas y abogados especialistas en protección de datos que pueden ayudarte a analizar si tu negocio requiere de auditoría o no, y, en caso que sí lo necesite, recomendarte qué medidas de seguridad aplicar y llevar a cabo la revisión periódica a la que obliga la normativa actual. Puedes contactar con nosotros a través de nuestro formulario de contacto.
Contacta con un abogado experto