Son numerosas las consultas recibidas sobre la obligatoriedad de tener que realizar una Auditoría de Protección de Datos en las empresas. Por eso, explicamos las diferentes circunstancias en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales.

¿Qué es una auditoría de protección de datos?

Según la ley una auditoría de protección de datos es un proceso de verificación de la correcta implantación de las medidas de seguridad a adoptar en la organización para la protección de los datos de carácter personal que maneja; estas medidas vienen determinadas en función del nivel que el corresponda: bajo, medio y alto.

Una vez realizada la auditoría de protección de datos, se debe elaborar un informe donde se registran los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá ser analizado por el Responsable, para hacerle llegar al Encargado todas las medidas correctoras pendientes de aplicar en la empresa.

Las auditorías de protección de datos persiguen una serie de objetivos para las empresas u organizaciones:

  • Satisfacer la obligación de verificar las medidas de seguridad cuando sea necesario (como veremos más adelante, este «cuando» queda a la arbitrariedad del Responsable o el DPO).
  • Constatar posibles deficiencias en el sistema de información de la empresa, y establecer acciones correctoras.
  • Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  • Estudiar en detalle flujos de datos personales o procedimientos internos en los que la ley de protección de datos tiene un especial impacto, para ajustarlos a la normativa.
  • Concienciar y preparar al personal sobre la importancia de la información personal, asegurando de esta forma la protección y los derechos de los afectados.

¿Es obligatoria?

La LOPD establecía la obligación de realizar auditoría de protección de datos para los responsables que trataban dados de nivel medio o alto. Sin embargo, esta obligación de llevar a cabo la auditoría cambió con el Reglamento Europeo de Protección de Datos (RGPD) y la Ley de Protección de Datos y Garantían de Derechos Digitales (LOPDGDD). ¿Qué nos dicen estos textos al respecto?

Ni el RGPD ni la LODGDD recogen literalmente la obligación literal de realizar una auditoría de protección de datos personales, pero sí estipulan claramente la obligación de evaluar la eficacia de las medidas de seguridad implantadas al respecto. Concretamente, el artículo 24 del RGPD dice que las medidas técnicas y organizativas deben revisarse y actualizarse «cuando sea necesario». Mientras que el artículo 32 obliga a Responsables y Encargados a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que debe incluir «un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».

De esto podemos desprender que aunque no se habla expresamente la obligación de llevar a cabo una auditoría de protección de datos en el RGPD o la LOPDGDD, sí que es obligatoria la verificación, evaluación y valoración regular de las medidas que se hayan implantado en la empresa para asegurar el adecuado cumplimiento de la norma. Y la herramienta adecuada para llevar esto cabo es precisamente la auditoría, puesto que a través de ella se puede comprobar la eficacia de las medidas implantadas, así como sus deficiencias.

Por otro lado, el RGPD establece como funciones que corresponden al Delegado del Protección de Datos (DPO), la obligación de supervisar el cumplimiento de la normativa de Protección de datos y las políticas internas de la empresa. Aquí se incluye la revisión de las correspondientes auditorías.

Esto supone que en los casos en los que la empresa tenga la obligación de nombrar un DPD, el RGPD sí establece la obligación de realizar auditorías como proceso de análisis y revisión del cumplimiento.

Además, la Agencia Española de Protección de Datos (AEPD), por su parte, sí ha indicado que existe obligación de realizar auditorías dentro de las relaciones entre el responsable y el encargado del tratamiento. Establece que el encargado del tratamiento tiene la obligación de permitir que el responsable realice auditorías o inspecciones él mismo o se lo encargue a un auditor externo. Y también debe facilitar al responsable del tratamiento toda la información que necesite para realizar esas auditorías y para justificar que cumple con sus obligaciones en materia de Protección de datos.

Por tanto, los encargados del tratamiento tienen la obligación de realizar auditorías si así se lo exige el responsable del tratamiento y para cumplir su deber de diligencia exigido por la normativa.

Finalmente, llevar a cabo la auditoría de protección de datos servirá para acreditar que la empresa no solo ha implantado medidas, sino que lleva a cabo una evaluación regular de las mismas. Cumpliendo así con el sistema de responsabilidad activa que establece la ley.

Auditoria lopd

¿Cuándo y cómo hay que realizar una auditoría LOPD?

Para llevar a cabo una auditoría legal de acuerdo al reglamento de protección de datos, se debe tener en cuenta qué nos dice la normativa respecto a cada cuánto tiempo se debe hacer y cómo se debe realizar.

¿Cuándo hay que realizar una auditoría y cada cuánto hay que renovarla?

El texto anterior de la LOPD establecía que había que llevar a cabo una auditoría cada dos años o menos, si se realizaban cambios sustanciales en los sistemas de información. Sin embargo, como hemos visto, el RGPD dice que los procesos de evaluación deben realizarse «cuando sea necesario», es decir, que no se especifica una periodicidad determinada. Entonces, ¿cuándo debe hacerse y renovarse? Dependerá del análisis de riesgos, el sector y las categorías de los datos manejados.

En cualquier caso, es recomendable que se lleven a cabo procesos de revisión constantes y periódicos, aplicando constantemente el principio de seguridad desde el diseño y por defecto. Y realizar auditorías parciales o totales con las que se puedan evaluar las medidas de seguridad implantadas en materia de protección de datos con una periodicidad mayor; dependiendo de la empresa, el sector, los datos tratados, etc., podríamos hablar de auditoría anuales o bianuales.

Plazo de conservación de auditoría

De nuevo, ni el RGPD ni la LOPDGDD recogen un tiempo mínimo de conservación de las auditorías de protección de datos realizadas; con la antigua obligación de hacerlas como mínimo cada dos años y dado que el plazo de prescripción de la sanción por no cumplir con la obligación de evaluación de las medidas de seguridad es precisamente de dos años, es recomendable conservarlas durante esos dos años.

A la vista de lo anterior, teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la AEPD o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la normativa de protección de datos.

Cómo realizar una Auditoría de Protección de Datos: Pasos a seguir

A continuación veremos, como un posible modelo de auditoría de protección de datos a seguir, los pasos necesarios que debemos tener en cuenta para realizarla. Si bien, antes debemos recordar que aunque la ley no exige en ningún momento que el proceso deba llevarlo un auditor de protección de datos externo, pudiendo hacerse manera interna, es recomendable recurrir a un agente externo. ¿Por qué?

Si es el propio Responsable o DPO quien lleva a cabo de la auditoría, se corre el riesgo (más que seguro) de que no ser objetivo en la evaluación y el informe resultante, ya que podría generarse un posible conflicto de interés. Sin embargo, contratar un auditor externo nos asegura imparcialidad y objetividad en el resultado de la auditoría.

Fases de la Auditoría de Protección de Datos
Fases de la Auditoría de Protección de Datos

A la hora de auditar el cumplimiento de la normativa de Protección de Datos en la empresa debemos seguir los siguientes pasos:

Revisar los documentos de la empresa

Debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han realizado modificaciones en el Documento de Seguridad o se ha actualizado este.

Revisar el sistema informático de la empresa

La revisión del sistema informático de la empresa es parte clave de la auditoría, especialmente cuando se almacenan bases de datos de carácter personal. De manera que habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.

Respecto a las bases de datos, actualmente existen herramientas de auditoría y protección de bases de datos (DAP) que podemos emplear para monitorear la seguridad de nuestras bases de datos. Además, nos pueden servir para llevar a cabo esas revisiones pequeñas revisiones constantes y periódicas que mencionamos más arriba.

Revisar las instalaciones de nuestra empresa

Comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.

Entrevistar a los responsables

Debemos entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Emitir informe

Una vez revisados estos puntos, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si ésta se lo solicita.

¿Me pueden sancionar si no realizo una auditoría de Protección de Datos?

Ahora, puede que estéis pensando que siendo una pyme pequeña, quizás podáis ahorraros el precio de una auditoría de protección datos, ya que tampoco manejáis tantos datos personales o ni siquiera tenéis una base de datos propiamente dicha almacenada en el ordenador de vuestros clientes. Sin embargo, estáis un error que podría costaros más caro.

Según la LOPD, el incumplimiento del deber de seguridad será considerado como infracción grave con una sanción de 40.001 a 300.000 €.

Las medidas a adoptar para cumplir el deber de seguridad son una obligación de resultado ya que deben implantarse para evitar cualquier pérdida, alteración o acceso no autorizado a datos de carácter personal. Por tanto, el deber de seguridad no consiste en la obligación de implantar unas medidas sino en implantar esas medidas con un resultado concreto.

Podemos concluir, por tanto, que el hecho de no realizar la auditoría no es sancionable por sí mismo. Lo que se sanciona es la pérdida, alteración, acceso o tratamiento no autorizado de datos personales. Sin embargo, sí es recomendable realizar esa auditoría para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.

Resumen

La conclusión a la que podemos llegar es que no se exige la auditoría como medida obligatoria ni por el RGPD ni por la LOPDGDD. En estas normas no se especifica en qué supuestos ni sobre qué tratamiento debería realizarse obligatoriamente una auditoría. Esa obligatoriedad estará determinada por los riesgos existentes en cada caso.

Pero nuestra recomendación es que deben incluirse las auditorías de cumplimiento para comprobar que las medidas que hemos adoptado en materia de Protección de datos son eficaces. Por eso debes tener en cuenta respecto a las auditorías lo siguiente:

  • Obligatorio para organizaciones con un nivel de seguridad medio o alto.
  • Puede auditarse de manera interna o externa. Se recomienda que sea externa.
  • Se debe realizar un Informe de Auditoría mínimo cada dos años.
  • Se verificará el cumplimiento de las medidas de seguridad.

¿Necesitas cumplir la LOPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Un encargado de tratamiento que realiza servicio en remoto sin almacenar datos, pero con datos de nivel alto, ¿está obligado a realizar auditoría cada dos años? ¿y documento de seguridad? Gracias!

    1. Buenas tardes Luis,

      Al tener acceso a datos personales existe la obligación de inscribirse en la AEPD y disponer de documento de seguridad. Si los datos son de nivel alto también debe realizar auditoría. Gracias a ti por leer el blog y por tu consulta

    1. Buenas tardes María, ni el RGPD ni la LOPDGDD establecen la obligación de realizar auditorías como tal. En estas normas no se especifica en qué supuestos ni sobre qué tratamiento debería realizarse obligatoriamente una auditoría. Esa obligatoriedad estará determinada por los riesgos existentes en cada caso y por el principio de responsabilidad proactiva. Pero es recomendable incluir las auditorías de cumplimiento para comprobar que las medidas que hemos adoptado en materia de Protección de datos son eficaces.

  2. HOLA SOY AUTONOMO ME DEDICO A LA REPARACION DE VEHICULOS ME GUSTARIA SABER A CADA CUANTO TIEMPO TENGO QUE HACER UNA AUDITORIA. UN SALUDO

    1. Buenas tardes Rosa María, es recomendable realizar una auditoría cada año para comprobar que todo esté correcto