En la normativa de Protección de datos no se establece la obligación de realizar una auditoría pero sí puede entenderse necesaria en cumplimiento del principio de responsabilidad proactiva exigido en el RGPD.
Te contamos en qué consiste la auditoría de Protección de datos y qué empresas deben hacerla.
En este artículo hablamos de:
Auditoría LOPDGDD
La normativa actual no obliga a realizar una auditoría que verifique el cumplimiento de las medidas de seguridad previstas en la LOPD. Pero exige que la empresa adopte medidas que garanticen el cumplimiento de esa normativa.
El informe final de auditoría deberá dictaminar acerca de las medidas y controles, identificar errores y proponer medidas para corregir esos errores. Se deberán incluir los datos en los que se basan los dictámenes y las recomendaciones.
Los informes deberán ser analizados por el responsable de seguridad. También deberán quedar a disposición de la AEPD o de las autoridades de control de las comunidades autónomas.
Los pasos para llevar a cabo una auditoría son:
- Realizar un inventario de ficheros.
- Para cada fichero se deberá revisar el documento de seguridad, el acceso lógico físico a datos personales, políticas de copias de seguridad y el historial de incidencias.
- Si se tratan datos sensibles, se deberá revisar auditorias anteriores y revisar que no se utilicen datos en pruebas reales.
- También se deben revisar las telecomunicaciones y los registros de accesos.
¿Todas las empresas están obligadas a auditar?
Las empresas que se eximen de esta norma son las que no recojan o traten datos de nivel medio y/o alto.
Los datos considerados de nivel medio son los referentes a sanciones administrativas, penales, etc. Mientras que los datos de nivel alto son los relativos a la salud, ideología, sexualidad, etc.
¿En qué consiste una auditoría de protección de datos?
La auditoría de una empresa, tiene por objetivo comprobar que las acciones que ha adoptado ésta cumplan con los requerimientos establecidos en la legislación. Puede ser interna, realizada por la propia empresa, o externa; pero el Informe de Auditoría ha de incluir:
- Estudio de la situación actual de la empresa.
- Constatar que los ficheros que se encuentran en el Registro de Protección de Datos se corresponden con la situación de la empresa en la actualidad.
- Comprobar que la empresa recoge, trata y/o almacena datos de carácter personal cumpliendo las normativas establecidas en la LOPD.
- Analizar si existen cesiones y/o transferencias internacionales actualmente, y que su procedimiento es correcto conforme a derecho.
- Verificar si se firman los contratos con las personas o entidades que tienen acceso a los datos.
- Revisión de procedimientos, reglas, normativas y patrones de seguridad elaborados y establecidos en el organismo.
- Revisión del cumplimiento de las políticas internas de la empresa.
- En caso de haber existido una auditoría previa, análisis del Informe de Auditoría para conocer las deficiencias en el momento de su creación, las medidas de corrección propuestas a la empresa, si éstas han sido implantadas, y las faltas corregidas.
¿Quién debe valorar el informe de auditoría?
El informe realizado será evaluado por el Responsable de Seguridad, que es quien debe cerciorarse de que las medidas de seguridad se implanten y transmitir sus conclusiones al responsable del fichero o tratamiento para que éste último lleve a cabo las medidas correctoras del informe y así dar cumplimiento a lo establecido en la Ley.
Consecuencias de no hacer la auditoría obligatoria de LOPD
En caso de que la Agencia Española de Protección de Datos tenga constancia del incumplimiento de esta medida de seguridad, sería considerado como una infracción grave, y supondría una sanción de de entre 40.001 a 300.000 euros.