¡Pide presupuesto en 2 min! ✓
Empresa

Auditoría de protección de datos, ¿es obligatoria?

By
7 Mins read
5901
0
Share

Se trata de una duda recurrente, ¿tienen las empresas obligación de hacer una auditoría de protección de datos? En este artículo explicaremos tanto en qué consiste este tipo de auditoría LOPD, cuándo debe hacerse y si tiene carácter obligatorio.

¿Qué es la Auditoría de protección de datos?

La auditoría de protección de datos personales es una evaluación del tratamiento de los datos personales que hace la empresa, de cómo se gestionan y qué medidas de seguridad están implementadas, así como su eficacia, de quiénes son los responsables y de la finalidad para la que se recogen los datos.

Se menciona la auditoría en la Ley de Protección de Datos (LOPD), así como en el Reglamento General de Protección de Datos (RGPD).

¿En qué consiste? Objetivos de la auditoria LOPD

La auditoría LOPD de una empresa tiene por objetivo comprobar que las acciones que ha adoptado esta cumplan con los requerimientos establecidos en la legislación. Puede ser interna, realizada por la propia empresa, o un experto contratado; pero el Informe de Auditoría ha de incluir:

  • Estudio de la situación actual de la empresa.
  • Comprobar que la empresa recoge, trata y/o almacena datos de carácter personal cumpliendo las normativas establecidas en la LOPD.
  • Analizar si existen cesiones y/o transferencias internacionales actualmente, y que su procedimiento es correcto conforme a derecho.
  • Verificar si se firman los contratos con las personas o entidades que tienen acceso a los datos.
  • Revisión de procedimientos, reglas, normativas y patrones de seguridad elaborados y establecidos en el organismo.
  • Revisión del cumplimiento de las políticas internas de la empresa.
  • En caso de haber existido una auditoría previa, análisis del Informe de Auditoría para conocer las deficiencias en el momento de su creación, las medidas de corrección propuestas a la empresa, si éstas han sido implantadas, y las faltas corregidas.

Verificar y constatar las deficiencias en materia de protección de datos que comete la empresa

Como uno de sus objetivos, la auditoría de protección de datos debe verificar y constatar aquellas deficiencias que puedan poner en riesgo los datos personales que maneja la empresa. Un buen punto de partida para llevar a cabo esta función es recurrir al Documento de Seguridad y comprobar qué medidas técnicas y organizativas se han implementado para garantizar la seguridad de los datos, cuáles no se han implementado y aquellas que puedan presentar alguna vulnerabilidad que sea necesario subsanar.

Además, se deben revisar las medidas de seguridad de los sistemas informáticos de la empresa, para poder comprobar deficiencias y proponer las medidas correctoras necesarias para subsanarlas. Aquí se incluye la seguridad de las bases de datos de la empresa, para las que podemos emplear herramientas de auditoría y protección de bases de datos (DAP), que nos ayudarán a mantener un control se seguridad constante y poder realizar revisiones más pequeñas pero periódicas de las mismas.

Estudiar en detalle los flujos de datos personales

También se deben estudiar y evaluar aquellos procedimientos internos sobre los que el RGPD y la LOPD tienen un especial impacto, de manera que se ajusten a la normativa actual.

Concienciar y preparar al personal en la mejora de la seguridad de los datos de clientes y usuarios

Dado que muchas veces el factor humano es el que mayores vulnerabilidades representa, el informe de la auditoría también debería servirnos para reforzar y mejorar la preparación del personal en materia de seguridad de los datos personales, concienciándoles de la importancia de la protección de datos y presentando los problemas y riesgos que se  hayan detectado.

Imagen conceptual de candado y teclado para auditoría de protección de datos

Tipos de Auditorías

La auditoría de protección de datos puede realizarse con la propia plantilla de la empresa como un servicio contratado.

Personal especializado en la misma plantilla

Si dentro de la plantilla de la empresa, se cuenta con personal especializado en materia de protección de datos, esta podrá llevar a cabo la auditoría LOPD, realizándola de acuerdo a las fases que veremos más adelante, y presentando el informe correspondiente a la empresa y al encargado o responsable del tratamiento, para que tomen las medidas adecuadas en caso de ser necesarias.

Sin embargo, no se recomienda que la auditoría se haga de manera interna, por un lado, porque se pierde objetividad, y por otro lado, porque la protección de datos es un tema complejo que necesita conocimientos especializados sobre la materia y las leyes vigentes.

Contratando un despacho profesional

La auditoría lopd la llevará a cabo una asesoría o despacho profesional, especialista en materia de protección de datos, que se encargará de revisar todos los procedimientos de tratamiento de datos personales de la empresa, los sistemas informáticos, las medidas de seguridad y todas las exigencias de la normativa actual de protección de datos, para presentar después un informe con el resultado de la evaluación y las propuestas que en materia de seguridad y protección de datos es necesario implementar.

¿Es obligatoria la Auditoría LOPD para las empresas?

En la anterior LOPD la auditoría era obligatoria para aquellas empresas que recogían o trataban datos de nivel medio y/o alto (sanciones administrativas, penales, salud, ideología, sexualidad, etc.). Pero en la actual LOPDGDD y en el RGPD no se específica que sea obligatorio llevarla a cabo.

Sin embargo, ambas normativas sí que dicen que es obligatorio llevar a cabo una verificación, evaluación y valoración de las medidas técnicas y organizativas implementadas para asegurar la protección de datos personales. Y la forma más adecuada para llevar acabo esto es recurrir a la auditoría, puesto que permite conocer el estado del que parte la empresa, revisar todos sus sistemas de información y medidas para protegerlos y proponer soluciones allí donde se detecten problemas.

Realizar una auditoría legal del reglamento de protección de datos nos asegura el estar cumpliendo la ley.

Imagen conceptual de tablet y movil para auditoría de protección de datos

¿Cómo se realiza una auditoría de protección de datos? Fases de una auditoría LOPD

La auditoría LOPD se debe realizar a través de una serie de fases que permitan obtener los datos necesarios para elaborar el informe final que se presentará a la empresa, el encargado de seguridad y el DPO (si se cuenta con él).

Identificación y recopilación de datos

El primer paso es la identificación y recopilación de datos, para lo que es necesario revisar los documentos de la empresa; comprobando que todos los contratos de protección de datos estén firmados, se cuenta con el consentimiento expreso de los interesados para el tratamiento de sus datos, se cumplan los fines para los que se recabaron dichos datos, se hayan firmado los acuerdos de confidencialidad necesarios y aquellos contratos de necesarios para la cesión de datos a terceros.

Así mismo, se revisarán aquellas modificaciones que se hayan podido hacer en el Documento de Seguridad.

Planificación

Durante la auditoría de protección de datos será necesario entrevistar al personal, por lo que se deben planificar estas entrevistas, además de reunir toda la documentación necesaria que incluya datos personales y que ya hemos citado en el punto anterior.

Análisis y verificación de cumplimiento con la LOPD. Nivel y medidas de seguridad aplicables

El siguiente paso es analizar y verificar el cumplimiento con la LOPD, es decir, revisar si están cumpliendo todos los requisitos obligatorios en materia de protección de datos dentro de la empresa, utilizando para ello la información y los datos recopilados en las fases anteriores.

Esto servirá para detectar errores y vulnerabilidades que deben ser subsanadas.

Creación y entrega del informe con los resultados de la auditoría

Finalmente, el último paso es elaborar un informe final con los resultados de la auditoría. En este informe se detallarán aquellos aspectos a mejorar, las posibles deficiencias y las propuestas del auditor para mejorar y solucionar estos problemas y cumplir así con las exigencias normativas.

Este informe se debe presentar tanto a la dirección de la empresa como al encargado de seguridad y el DPO (si lo hubiera), para que se puedan tomar las medidas correctoras oportunas.

Ejecución de la Auditoria

En base a los resultados del informe, la empresa, a través del encargado de seguridad, el responsable de tratamiento y/o el DPO, deberá ejecutar las propuestas correctoras necesarias para subsanar aquellos errores y vulnerabilidades en materia de protección de datos detectados en sus tratamientos de datos, sus sistemas de almacenamiento o en el cumplimiento de la normativa.Imagen conceptual de candado y cadenas para auditoría de protección de datos

¿Qué precio tiene una auditoria de protección de datos?

El precio de una auditoría de protección de datos varía en función del tamaño de la empresa, el número de trabajadores y la categoría de datos personales que se manejen en la empresa. Por lo que es necesario evaluar estos aspectos previamente y así poder formular un presupuesto ajustado al cliente.

¿Quién debe realizar la auditoría?

Podría ocuparse el DPO de la empresa, pero es poco recomendable, por la posible falta de objetividad. Así que la recomendación es siempre encargar la auditoría de protección de datos a un servicio especializado en la materia.

E-book

Guía LOPDGDD

ebook guia lopdgdd

¿Quién debe valorar el informe de auditoría?

El informe realizado será evaluado por el responsable de seguridad, que es quien debe cerciorarse de que las medidas de seguridad se implanten y transmitir sus conclusiones al responsable del fichero o tratamiento para que este último lleve a cabo las medidas correctoras del informe y así dar cumplimiento a lo establecido en la Ley.

¿Cuándo hay que realizar una auditoría LOPD?

La anterior LOPD exigía realizar una auditoría bienal o cuando se efectuasen cambios sustanciales en el tipo de tratamiento de los datos personales e implicasen un cambio en las medidas de seguridad a adoptar.

Actualmente, se sigue recomendado realizar la auditoría de protección de datos cada dos años o cuando se hacen modificaciones significativas en el Documento de Seguridad.

Consecuencias de no hacer la auditoría obligatoria ¿Me pueden sancionar?

Aunque ya no es obligatorio realizar la auditoría de protección de datos, sí que nos pueden sancionar en el caso de que no cumplamos con el deber de adoptar las medidas de seguridad necesarias para asegurarnos de que no se producen pérdidas, alteraciones o accesos no autorizados a los datos de carácter personal que maneja la empresa.

Estas sanciones van desde los 40.001 € a los 300.000 €, puesto que se consideran infracción grave por la LOPDGDD.

Así que realizar la auditoría de protección de datos nos puede librar de estas sanciones, ya que nos ayudará a saber qué medidas de seguridad necesitamos implementar y qué vulnerabilidades es necesario subsanar.

5901
0
Share
Related posts
EmpresaIgualdad

SGI 2010. Norma Básica de Gestión de Igualdad de Oportunidades

By
6 Mins read
Cuando una empresa elabora su Plan de Igualdad, puede tener dudas respecto a si las medidas que pretende implantar son las adecuadas…
EmpresaIgualdad

¿Cómo fomentar la corresponsabilidad laboral en la empresa?

By
4 Mins read
La corresponsabilidad es un concepto vinculado directamente con la conciliación de la vida familiar y laboral y con la igualdad de género…
DocumentosEmpresa

El acuerdo de confidencialidad (NDA). Todo lo que necesitas saber

By
5 Mins read
El acuerdo de confidencialidad (NDA) es un documento habitual en el mundo empresarial, pero ¿qué es exactamente?, ¿para qué se utiliza?, ¿cuándo…