La auditoría de protección de datos, o auditoría LOPD o auditoría RGPD, es una de las herramientas fundamentales para comprobar y evaluar el nivel de cumplimiento de la normativa de protección de datos en empresas y organizaciones, pero ¿en qué consiste?, ¿cómo debe hacerse?, ¿es la auditoría de protección de datos o auditoría LOPD obligatoria? En las siguientes líneas responderemos a todas estas cuestiones relativas a la auditoría de protección de datos personales.
En este artículo hablamos de:
- ¿Qué es la Auditoría de protección de datos?
- Objetivos de una auditoría de protección de datos
- Tipos de auditoría de protección de datos
- ¿Cómo se realiza una auditoría de protección de datos?
- ¿La auditoría LOPD es obligatoria en 2023?
- ¿Necesitas realizar una auditoría de protección de datos para tu empresa?
¿Qué es la Auditoría de protección de datos?
La auditoría de protección de datos es un proceso de verificación tanto de los tratamientos de datos personales que hace la empresa u organización, como de las medidas de seguridad técnicas y organizativas implementadas por el responsable del tratamiento, así como su eficacia, de los encargados del tratamiento y de la finalidad para la que se destinan los datos recabados.
Por lo tanto, y como decíamos en la introducción, la auditoría de protección de datos verifica y evalúa el nivel de cumplimiento del RGPD y la LOPDGDD (o LOPD) en una empresa u organización que realiza cualquier tipo de tratamiento de datos personales.
Objetivos de una auditoría de protección de datos
El principal objetivo de las auditorías de protección de datos es comprobar que la empresa u organización cumple con las obligaciones y requisitos establecidos en el RGPD y la LOPD respecto al tratamiento y uso de datos personales. Para ello, el auditor de protección de datos recabará información de toda la empresa, incluidas entrevistas a empleados, así como revisión de la documentación relativa a la protección de datos y la confidencialidad.
Otros objetivos que forman parte de la auditoría de protección de datos y que deben quedar recogidos en el correspondiente informe son:
- Estudio de la situación actual de la empresa en materia de protección de datos.
- Comprobar que la empresa recoge, trata y/o almacena datos de carácter personal cumpliendo las normativas establecidas en la LOPD y el RGPD.
- Si procede, revisión del Registro de Actividades de Tratamiento.
- Analizar si existen cesiones y/o transferencias internacionales actualmente, y que su procedimiento es correcto conforme a derecho.
- Verificar si se firman los contratos con las personas o entidades que tienen acceso a los datos.
- Revisión de procedimientos, reglas, normativas y patrones de seguridad elaborados y establecidos en el organismo (análisis de riesgos, medidas de seguridad implementadas, necesidad de evaluaciones de impacto, etc.).
- Evaluación de los sistemas de tratamiento, automatizados y no automatizados (software, aplicaciones, archivo físico, etc.).
- Verificar la necesidad de designar a un DPO (Delegado de Protección de Datos).
- Comprobación de las cláusulas informativas para empleados, clientes, potenciales clientes, proveedores y cualquier otro tipo de interesado cuyos datos puedan ser tratados.
- Revisión del cumplimiento de las políticas internas de la empresa.
- En caso de haber existido una auditoría previa, análisis del Informe de Auditoría para conocer las deficiencias en el momento de su creación, las medidas de corrección propuestas a la empresa, si éstas han sido implantadas, y las faltas corregidas.
Objetivos de la Auditoría de Protección de datos
Tipos de auditoría de protección de datos
Podemos hablar de dos tipos de auditoría de protección de datos en función de quién la realice: internas o externas.
Auditoría LOPD / RGPD interna
Si dentro de la plantilla de la empresa, se cuenta con personal especializado en materia de protección de datos, esta podrá llevar a cabo la auditoría LOPD / RGPD, realizándola de acuerdo a las fases que veremos más adelante, y presentando el informe correspondiente a la empresa y al encargado del tratamiento o responsable del tratamiento, para que tomen las medidas adecuadas en caso de ser necesarias.
Sin embargo, no se recomienda que la auditoría se haga de manera interna, por un lado, porque se pierde objetividad, y, por otro lado, porque la protección de datos es un tema complejo que necesita conocimientos especializados sobre la materia y las leyes vigentes.
Auditoría RGPD / LOPD externa
La auditoría RGPD / LOPD externa la llevará a cabo una asesoría o despacho profesional, especialista en materia de protección de datos, que se encargará de revisar todos los procedimientos de tratamiento de datos personales de la empresa, los sistemas informáticos, las medidas de seguridad y todas las exigencias de la normativa actual de protección de datos, para presentar después un informe con el resultado de la evaluación y las propuestas que en materia de seguridad y protección de datos es necesario implementar.
Se recomienda contratar la auditoría de protección de datos a un servicio externo por la objetividad, independencia y autonomía que brinda este tipo de servicio a la elaboración de la auditoría y el informe.
¿Cómo se realiza una auditoría de protección de datos?
La auditoría legal del Reglamento de protección de datos y la Ley de protección de datos debe realizarse a través de una serie de fases que permitan obtener los datos necesarios para elaborar el informe final que se presentará a la empresa, el encargado de seguridad y el DPO (si se cuenta con él). Veamos un modelo de auditoría de protección de datos y sus diferentes fases.
Las 4 Fases de una Auditoría de Protección de Datos
– Identificación y recopilación de los datos personales que gestiona la empresa:
El primer paso para elaborar una auditoría RGPD/LOPD es la identificación y recopilación de datos, para lo que es necesario revisar los documentos de la empresa; comprobando que todos los contratos de protección de datos estén firmados, se cuenta con el consentimiento expreso de los interesados para el tratamiento de sus datos, se cumplan los fines para los que se recabaron dichos datos, se hayan firmado los acuerdos de confidencialidad necesarios y aquellos contratos de necesarios para la cesión de datos a terceros.
– Planificación de la auditoría:
Durante la auditoría de protección de datos será necesario entrevistar al personal, por lo que se deben planificar estas entrevistas, además de reunir toda la documentación necesaria que incluya datos personales, y que ya hemos citado en el punto anterior, para resolver cualquier duda respecto a dicha documentación.
Así mismo, se analizan las medidas de seguridad técnicas y organizativas implementadas por la empresa y los sistemas de tratamiento empleados.
– Análisis y documentación del nivel de cumplimiento de la empresa con la LOPDGDD y el RGPD:
El siguiente paso es analizar y verificar el cumplimiento con la LOPD y el RGPD, es decir, revisar si están cumpliendo todos los requisitos obligatorios en materia de protección de datos dentro de la empresa, utilizando para ello la información y los datos recopilados en las fases anteriores.
Esto servirá para detectar errores y vulnerabilidades que deben ser subsanadas.
– Creación y entrega del informe de auditoría con los resultados obtenidos:
La última fase de una auditoría RGPD/LOPD es elaborar un informe final con los resultados de la auditoría. En este informe se detallarán aquellos aspectos a mejorar, las posibles deficiencias y las propuestas del auditor para mejorar y solucionar estos problemas y cumplir así con las exigencias normativas.
Este informe se debe presentar tanto a la dirección de la empresa como al encargado de seguridad y el DPO (si lo hubiera), para que se puedan tomar las medidas correctoras oportunas. Para que elaborar este informe sea más sencillo, es conveniente contar con una plantilla para auditoría RGPD.
¿La auditoría LOPD es obligatoria en 2023?
La auditoría en protección de datos no es obligatoria para las empresas ni para ningún tipo de organización, puesto que ya no se contempla específicamente ni el RGPD ni en la LOPD.
Ahora bien, que no sea obligatoria la auditoría LOPD, no quiere decir que no sea necesario y muy recomendable realizar auditorías de protección de datos con carácter periódico, para cumplir con la LOPD y el RGPD con todas las garantías y evitar denuncias, reclamaciones y multas, como las que podéis ver en algunos de los ejemplos de sanciones por no cumplir la Ley de protección de datos.
Esto es así porque, aunque no se cite la auditoría como obligación, el RGPD sí que establece como obligación evaluar la eficacia de las medidas de seguridad técnicas y organizativas adoptadas por la empresa, tal y como se recoge en los artículos 24 y 32 del RGPD.
El artículo 24 dice que las medidas técnicas y organizativas se revisarán y actualizarán «cuando sea necesario». Mientras que el artículo 32 obliga a responsables y encargados del tratamiento a someter a las medidas de seguridad a «un proceso de verificación, evaluación y valoración regular de la eficacia […] para garantizar la seguridad del tratamiento».
La mejor manera para cumplir con estas obligaciones, así como con el principio de responsabilidad proactiva del RGPD es, precisamente, hacer auditorías de protección de datos.
Además, para empresas que quieran obtener el certificado LOPD, es un requisito someterse a un proceso de auditoría en protección de datos por parte de la entidad certificadora. Para superar este proceso con garantías, haber efectuado previamente una auditoría de protección de datos a nivel interno o hecha por una consultoría de protección de datos externa, es fundamental.
¿Necesitas realizar una auditoría de protección de datos para tu empresa?
Aunque te pueda parecer lo contrario, porque, como hemos dicho, no hay que hacer una auditoría LOPD obligatoria, lo cierto es que debes hacer auditorías de protección de datos periódicas en tu empresa u organización, puesto que gracias a ellas no solo podrás demostrar ante la AEPD en un proceso de investigación, que cumples con normativa de manera adecuada y efectiva, evitando así posibles sanciones, sino que, además, los informes de auditoría te servirán para subsanar problemas y errores antes de que terceros puedan denunciarte por ello, evitando así males mayores (y posiblemente, costosos) a tu empresa.
La protección de datos en empresas nunca puede darse por completa, si no sometemos nuestras medidas, procesos y procedimientos en materia de protección de datos a la correspondiente auditoría.
Sin embargo, realizar esta tarea requiere de conocimientos en la materia y también de una objetividad de la que, usualmente, la auditoría de protección de datos interna carece. Por ello, la mejor opción es recurrir a un servicio de protección de datos para que ellos lleven a cabo la auditoría.
Y si te preguntas si el precio de la auditoría de protección de datos merece la pena, debes verlo como una inversión y una forma de evitar posibles sanciones por incumplimiento, que sin duda, le costarán más caro a tu empresa.
En Atico34 encontrarás un equipo de auditores con el que podrás asegurar el cumplimiento normativo de tu empresa
Grupo Atico34 somos la empresa líder en protección de datos, y contamos con una amplia trayectoria realizando auditorías RGPD/LOPD para empresas y negocios de todos los sectores.
Nuestro equipo de especialistas en materia de protección de datos (abogados con dilatada experiencia en esta área) conocen a fondo todos los procedimientos y requisitos, y cómo ponerlos en práctica.
Gracias a nuestra ayuda profesional te asegurarás cumplir con la normativa LOPDGDD y RGPD y podrás centrarte en el éxito de tu negocio.
Contacta con nosotros, cuéntanos tu caso y pídenos presupuesto sin compromiso. Te ayudaremos en todo lo que esté en nuestra mano.