Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Auditoría de protección de datos RGPD y LOPD

La auditoría de protección de datos es la herramienta que permite comprobar y evaluar el nivel de cumplimiento de la ley de protección de datos en empresas y organizaciones.

Si bien, ni el RGPD ni la LOPD recogen explícitamente la auditoría de protección de datos, el primero sí que la contempla en los artículos 24 y 32, en los que se establece la obligación de responsables y encargados del tratamiento de evaluar la eficacia de las medidas de seguridad técnicas y organizativas adoptadas por la empresa, autónomo u organización.

Así, el artículo 24 dice que las medidas técnicas y organizativas se revisarán y actualizarán «cuando sea necesario». Mientras que el artículo 32 obliga a responsables y encargados del tratamiento a someter a las medidas de seguridad a «un proceso de verificación, evaluación y valoración regular de la eficacia […] para garantizar la seguridad del tratamiento».

En ese sentido, la auditoría de protección de datos sirve a este propósito de revisión, ya que es un proceso de verificación de los tratamientos de datos personales que hace la empresa u organización y de las medidas de seguridad técnicas y organizativas implementadas por el responsable del tratamiento, así como su eficacia, de los encargados del tratamiento y de la finalidad para la que se destinan los datos recabados.

La auditoría LOPD, o auditoría RGPD, es una auditoría de cumplimiento que sirve a las empresas y autónomos y otras organizaciones para evaluar y comprobar el que sus políticas y protocolos de protección de datos funcionan de manera eficiente y cumplen con las obligaciones establecidas en la normativa.

Así mismo, es la herramienta más adecuada para cumplir con el principio de responsabilidad proactiva o accountability del RGPD y la LOPDGDD.

Obligatoriedad de la auditoría de protección de datos

La auditoría de protección de datos no es obligatoria (en el pasado, antes de la entrada en vigor del RGPD, sí que la auditoría LOPD era obligatoria, ya que así lo recogía la ley de 1999, pero actualmente, esta obligación no está recogida en la LOPD de 2018).

Ahora bien, cómo hemos visto, que no se recoja explícitamente la obligatoriedad de realizar una auditoría de protección de datos en la normativa, no significa que no sea necesario hacerla, puesto que responsables y encargados de tratamiento sí que deben demostrar que cumplen con las obligaciones de la misma.

Además, la mejor manera de cumplir con la LOPD y el RGPD (especialmente con el principio de responsabilidad proactiva) es realizar auditorías de protección de datos con carácter periódico, ya que sus informes nos servirán para determinar el nivel de cumplimiento de nuestra empresa y ayudarnos a evitar denuncias, reclamaciones y multas, como las que podéis ver en algunos de los ejemplos de sanciones por no cumplir la Ley de protección de datos.

Sin embargo, sí que hay una instancia en la que la auditoría de protección de datos sí es obligatoria; cuando la empresa quiere obtener el certificado LOPD, ya que para ello deberá someterse a un proceso de auditoría por parte de la entidad certificadora. Para superar este proceso con garantías, haber efectuado previamente una auditoría de protección de datos a nivel interno o hecha por una consultoría de protección de datos externa, es fundamental.

Servicio de auditoría de protección de datos para empresas y autónomos

La protección de datos en empresas nunca puede darse por completa, si no sometemos nuestras medidas, procesos y procedimientos en materia de protección de datos a la correspondiente auditoría.

Sin embargo, realizar esta tarea requiere de conocimientos en la materia y también de una objetividad de la que, usualmente, la auditoría de protección de datos interna carece. Por ello, la mejor opción es recurrir a un servicio de protección de datos para que ellos lleven a cabo la auditoría.

tarifas proteccion datos

Grupo Atico34 cuenta con una amplia experiencia realizando la auditoría de protección de datos para empresas y autónomos de todos los sectores. Nuestro equipo de especialistas en materia de protección de datos (abogados con dilatada experiencia en esta área) conocen a fondo todos los procedimientos y requisitos, y cómo ponerlos en práctica.

Elaboramos tu auditoría de protección de datos. Ponte en contacto con nosotros y descubre cómo podemos ayudarte desde solo 180 euros al año.

Objetivos de las auditorías de protección de datos

El principal objetivo de una auditoría de protección de datos es comprobar el nivel de cumplimiento y la adecuación a la normativa de protección de datos de una empresa u organización, es decir, comprobar cómo y en qué medida cumple con las obligaciones y requisitos establecidos en el RGPD y la LOPD respecto a los tratamientos de datos personales que realiza.

Para cumplir con este objetivo principal, la auditoría LOPD debe cubrir los siguientes aspectos:

  • Revisar el registro de actividades de tratamiento.
  • Revisar los análisis de riesgos realizados por la empresa, así como las medidas de seguridad técnicas y organizativas adoptadas y aplicadas por esta para minimizar la probabilidad de materialización y el nivel de impacto de los riesgos detectados, para comprobar su eficacia y efectividad, así como si son suficientes o es necesario modificarlas o adoptar nuevas medidas.
  • Verificar si existen tratamientos que requieran efectuar una evaluación de impacto en protección de datos y revisar aquellas que se hayan realizado.
  • Verificar si es necesario nombrar un Delegado de Protección de Datos.
  • Analizar los sistemas de tratamiento que usa la empresa (herramientas o dispositivos informáticos, software, aplicaciones, archivos físicos, etc.).
  • Verificación de la licitud de los tratamientos, es decir, si estos pueden basarse en el consentimiento explícito de los interesados o en una de las bases legitimadoras recogidas en los artículos 6 y 9 del RGPD.
  • Verificación del cumplimiento de los principios de protección de datos del artículo 5 del RGPD.
  • Comprobar la adecuación de las cláusulas informativas para empleados, clientes potenciales, clientes, candidatos en procesos de selección, usuarios, etc.
  • Comprobar que las cesiones y transferencias internacionales de datos se hacen de acuerdo a la normativa y garantizando un nivel adecuado de protección.
  • Comprobación de los contratos de encargo de tratamiento con proveedores con acceso a datos personales.
  • Análisis de las cláusulas confidencialidad.
  • Revisión y comprobación de los protocolos de la organización o negocio para gestionar y responder a las solicitudes de ejercicio de derechos ARSULIPO.
  • Revisión y comprobación del protocolo ante brechas de seguridad.

Tipos de auditoría

Cuando hablamos de tipos de auditoría en protección de datos, nos referimos a la posibilidad de hacer una auditoría interna (realizada por el propio personal de la entidad) o someter la empresa a una auditoría LOPD externa (llevada a cabo por una consultoría especializada).

Auditoría interna

Si dentro de la plantilla de la empresa, se cuenta con personal especializado en materia de protección de datos, esta podrá llevar a cabo la auditoría LOPD, realizándola de acuerdo a las fases que veremos más adelante, y presentando el informe correspondiente a la empresa y al encargado o responsable del tratamiento, para que tomen las medidas adecuadas en caso de ser necesarias.

Sin embargo, pese a que su coste sería menor y quedaría dentro de la empresa, no se recomienda que la auditoría se haga de manera interna, por un lado, porque se pierde objetividad, y, por otro lado, porque la protección de datos es un tema complejo que necesita conocimientos especializados sobre la materia y las leyes vigentes.

Auditoría externa

La auditoría externa la llevará a cabo una asesoría o despacho profesional, especialista en materia de protección de datos, que se encargará de revisar todos los procedimientos de tratamiento de datos personales de la empresa, los sistemas informáticos, las medidas de seguridad y todas las exigencias de la normativa actual de protección de datos, para presentar después un informe con el resultado de la evaluación y las propuestas que en materia de seguridad y protección de datos es necesario implementar.

Si realmente la empresa quiere «poner a prueba» su nivel de cumplimiento de la ley de protección de datos, deberá someterse a una auditoría LOPD externa.

¿Cómo se realiza una auditoría de protección de datos?

Aunque no podemos hablar de una auditoría de protección de datos modelo, sí que existe una estandarización de los procedimientos de auditoría, que podemos dividir en cuatro fases que nos permitirán obtener los datos necesarios para elaborar el informe final que se presentará a la empresa, el encargado de seguridad y el DPO (si cuenta con él).

A continuación vemos cada una de las fases de la auditoría de cumplimiento en protección de datos:

Fases auditoria protección de datos

Las 4 Fases de una Auditoría de Protección de Datos

1ª Fase: Revisión de la documentación de la empresa

El primer paso para elaborar una auditoría RGPD/LOPD es la identificación y recopilación de datos, para lo que es necesario revisar los documentos de la empresa; comprobando que todos los contratos de protección de datos estén firmados, se cuenta con el consentimiento expreso de los interesados para el tratamiento de sus datos, se cumplan los fines para los que se recabaron dichos datos, se hayan firmado los acuerdos de confidencialidad necesarios y aquellos contratos de necesarios para la cesión de datos a terceros.

2ª Fase: Planificación de la autoría

Durante la auditoría de protección de datos será necesario entrevistar al personal, por lo que se deben planificar estas entrevistas, además de reunir toda la documentación necesaria que incluya datos personales, y que ya hemos citado en el punto anterior, para resolver cualquier duda respecto a dicha documentación.

Así mismo, se analizan las medidas de seguridad técnicas y organizativas implementadas por la empresa y los sistemas de tratamiento empleados.

3ª Fase: Análisis y documentación del nivel de cumplimiento de la empresa con la LOPDGDD y el RGPD

El siguiente paso es analizar y verificar el cumplimiento con la LOPD y el RGPD, es decir, revisar si están cumpliendo todos los requisitos obligatorios en materia de protección de datos dentro de la empresa, utilizando para ello la información y los datos recopilados en las fases anteriores.

Esto servirá para detectar errores y vulnerabilidades que deben ser subsanadas.

4ª Fase: Elaboración y presentación del informe

La última fase de la auditoría de protección de datos es elaborar un informe final con los resultados de la auditoría. En este informe se detallarán aquellos aspectos a mejorar, las posibles deficiencias y las propuestas del auditor para mejorar y solucionar estos problemas y cumplir así con las exigencias normativas.

Este informe se debe presentar tanto a la dirección de la empresa como al encargado de seguridad y el DPO (si lo hubiera), para que se puedan tomar las medidas correctoras oportunas. Para que elaborar este informe sea más sencillo, es conveniente contar con una plantilla para auditoría RGPD.

Finalmente, si te preguntas si el precio de la auditoría de protección de datos merece la pena, debes verlo como una inversión y una forma de evitar posibles sanciones por incumplimiento, que sin duda, le costarán más caro a tu empresa.

Contacta con nosotros, cuéntanos tu caso y pídenos presupuesto sin compromiso. Te ayudaremos en todo lo que esté en nuestra mano.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.