Son numerosas las consultas recibidas sobre si es obligatorio o no tener que realizar una auditoría de protección de datos en las empresas. Por eso, en el siguiente artículo explicaremos cuándo se deben auditar las medidas de seguridad que garantizan un correcto tratamiento de datos personales.
¿Qué es la auditoría de protección de datos?
Según la ley, una auditoría de protección de datos o auditoría LOPD o RGPD es un proceso de verificación de la correcta implantación y efectividad de las medidas de seguridad adoptadas por la organización para la protección de datos de carácter personal que maneja.
La auditoría LOPD o RGPD genera un informe en el que se registran los puntos verificados, las carencias o errores detectados y las medidas necesarias para su corrección. Este informe debe ser analizado por el responsable del tratamiento, quien, en su caso, hará llegar al encargado del tratamiento todas las medidas correctoras pendientes de aplicar en la empresa.
La auditoría de protección de datos personales consiste en la evaluación del tratamiento de datos que realiza una empresa, de su gestión y de la pertinencia y eficacia de las medidas de seguridad implantadas, además de determinar los responsables y la finalidad para la recogida y el tratamiento de dichos datos.
Objetivos de la auditoría de protección de datos
Llevar a cabo una auditoría LOPD o RGPD de datos tiene varios objetivos:
- Verificar y constatar el cumplimiento de la normativa de protección de datos:
- Permite satisfacer la obligación de verificar las medidas de seguridad cuando sea necesario (cómo veremos más adelante, ese «cuando» queda a la arbitrariedad del responsable del tratamiento o del DPO).
- Constatar posibles deficiencias en el sistema de información de la empresa y establecer acciones correctoras.
- Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
- Estudiar los flujos de datos personales: Se trata de estudiar en detalle los flujos de datos personales o procedimientos internos en los que la LOPDGDD y el RGPD tienen un especial impacto, para poder ajustarlos a la normativa de manera adecuada.
- Formar y concienciar al personal: Concienciar y preparar al personal sobre la importancia de la información personal, asegurando de esta forma la protección de los derechos de los interesados (o titulares de los datos).
Tipos de auditoría de protección de datos
La auditoría legal del reglamento de protección de datos puede llevarse a cabo tanto de manera interna como de forma externa, por lo que podemos hablar de dos tipos de auditoría de protección de datos:
Auditoría interna de protección de datos
Si la empresa cuenta con personal formado y especializado en materia de protección de datos, la auditoría LOPD puede realizarse de manera interna, haciéndola de acuerdo a una serie de pasos que veremos más adelante. El informe de la auditoría LOPD correspondiente se presentará tanto a la dirección de la empresa, como al responsable del tratamiento (y encargado si procede), como ya indicamos, para que se lleven a cabo las modificaciones y correcciones que fuera necesario hacer.
Aunque nada impide recurrir a una auditoría de protección de datos interna, se recomienda, sin embargo, que esta se realice de forma externa, ya que en el proceso de auditoría interna se puede perder objetividad.
Auditoría externa de protección de datos
La auditoría externa de protección de datos se encarga a una asesoría o despacho profesional especializado en protección de datos, que se ocupará de revisar todos los procesos y procedimientos relacionados con el tratamiento de datos personales de la empresa, sus sistemas informáticos, las medidas de seguridad adoptadas y comprobar que se cumple con todas las exigencias y requisitos de la normativa de protección de datos vigente.
El auditor externo elaborará el correspondiente informe de la auditoría LOPD con el resultado de la evaluación, en el que también incluirá las propuestas de mejora que haya determinado necesarias implantar.
¿Cómo realizar una auditoría de protección de datos?
A continuación veremos, como un posible modelo de auditoría de protección de datos a seguir, los pasos necesarios que debemos tener en cuenta para realizar una auditoría de protección de datos, si finalmente decidimos hacerla de manera interna (aunque, como ya hemos dicho, es recomendable que la haga un auditor externo para asegurar una completa objetividad).
Cualquier plantilla de auditoría RGPD o LOPD está basada en los siguientes pasos:
Revisar los documentos de la empresa
Debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han hecho modificaciones en las medidas de seguridad adoptadas por la empresa o se realizan nuevas actividades de tratamiento de datos personales que deban incluirse en el registro de actividades de tratamiento.
Revisar el sistema informático de la empresa
La revisión del sistema informático de la empresa es parte clave de la auditoría, especialmente cuando se almacenan bases de datos de carácter personal. De manera que habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente, revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.
Respecto a las bases de datos, actualmente existen herramientas de auditoría y protección de bases de datos (DAP) que podemos emplear para monitorear la seguridad de nuestras bases de datos. Además, nos pueden servir para llevar a cabo esas revisiones pequeñas, constantes y periódicas.
Revisar las instalaciones de nuestra empresa
Comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.
Entrevistar a los responsables
Debemos entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.
Emitir informe de la auditoría LOPD / RGPD
Una vez revisados estos puntos, como un checklist de la auditoría RGPD o LOPD, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.
El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos, sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si esta se lo solicita.
Cada consultora o empresa tiene su propio modelo de informe de auditoría interna LOPD, pero todos comparten una estructura similar, con los siguientes apartados:
- Descripción del objeto de la auditoría
- Descripción de las fases en la realización de la auditoría
- Descripción del plan de trabajo, en el que se detalla cada punto auditado, se incluye el checklist correspondiente al mismo, el nivel de cumplimiento y las recomendaciones del auditor al respecto:
- Principios relativos al tratamiento
- Licitud del tratamiento
- Condiciones para el consentimiento
- Consentimiento de menores de edad
- Tratamiento de categorías especiales de datos
- Tratamientos relativos a condenas e infracciones penales
- Tratamientos que no requieren identificación
- Derechos del interesado. Transparencia de la información
- Derechos del interesado. Información a facilitar cuando los datos se obtienen del interesado
- Derechos del interesado. Información a facilitar cuando los datos no se obtienen del interesado
- Derechos del interesado:
- Acceso
- Rectificación
- Supresión
- Limitación del tratamiento
- Portabilidad de los datos
- Oposición
- Derechos del interesado. Decisiones individuales automatizadas, incluida la elaboración de perfiles
- Responsabilidad del responsable del tratamiento
- Protección de datos desde el diseño y por defecto
- Corresponsables del tratamiento
- Encargado del tratamiento
- Registro de las actividades de tratamiento
- Seguridad del tratamiento
- Brechas de seguridad:
- Notificación a la AEPD
- Notificación al interesado
- Evaluación de impacto
- Delegado de protección de datos
- Transferencias a terceros países y organizaciones internacionales
- Conclusiones finales y certificación de cumplimiento de las obligaciones del RGPD y la LOPDGDD
¿La auditoría de protección de datos es obligatoria para las empresas?
La LOPD establecía la obligación de realizar auditoría de protección de datos para los responsables que trataban datos de nivel medio o alto. Sin embargo, esta obligación de llevar a cabo la auditoría LOPD cambió con el Reglamento Europeo de Protección de Datos (RGPD) y la Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). ¿Qué nos dicen estos textos al respecto?
Ni el RGPD ni la LOPDGDD recogen la obligación literal de realizar una auditoría de protección de datos personales, pero sí estipulan claramente la obligación de evaluar la eficacia de las medidas de seguridad implantadas al respecto. Concretamente, el artículo 24 del RGPD dice que las medidas técnicas y organizativas deben revisarse y actualizarse «cuando sea necesario». Mientras que el artículo 32 obliga a Responsables y Encargados a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que debe incluir «un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».
De esto podemos desprender que aunque no se habla expresamente de la obligación de llevar a cabo una auditoría de protección de datos en el RGPD o la LOPDGDD, sí que es obligatoria la verificación, evaluación y valoración regular de las medidas que se hayan implantado en la empresa para asegurar el adecuado cumplimiento de la norma. Y la herramienta adecuada para llevar esto a cabo es precisamente la auditoría de protección de datos, puesto que a través de ella se puede comprobar la eficacia de las medidas implantadas, así como sus deficiencias.
Por otro lado, el RGPD establece como funciones que corresponden al Delegado de Protección de Datos (DPO), la obligación de supervisar el cumplimiento de la normativa de Protección de datos y las políticas internas de la empresa. Aquí se incluye la revisión de las correspondientes auditorías LOPD o RGPD.
Esto supone que en los casos en los que la empresa tenga la obligación de nombrar un DPD, el RGPD sí establece la obligación de realizar auditorías como proceso de análisis y revisión del cumplimiento.
Además, la Agencia Española de Protección de Datos (AEPD), por su parte, sí ha indicado que existe obligación de realizar auditorías dentro de las relaciones entre el responsable y el encargado del tratamiento. Establece que el encargado del tratamiento tiene la obligación de permitir que el responsable realice auditorías o inspecciones él mismo o se lo encargue a un auditor externo. Y también debe facilitar al responsable del tratamiento toda la información que necesite para realizar esas auditorías y para justificar que cumple con sus obligaciones en materia de Protección de datos.
Por tanto, los encargados del tratamiento tienen la obligación de realizar auditorías de protección de datos si así se lo exige el responsable del tratamiento y para cumplir con su deber de diligencia exigido por la normativa.
Finalmente, llevar a cabo la auditoría de protección de datos servirá para acreditar que la empresa no solo ha implantado medidas de seguridad, sino que lleva a cabo una evaluación regular de las mismas. Cumpliendo así con el sistema de responsabilidad activa que establece la ley.
¿Es recomendable hacer una auditoría de protección de datos en tu empresa?
De acuerdo a lo expresado en el punto anterior, sí es recomendable hacer una auditoría de protección de datos, puesto que, como hemos dicho, no solo es la forma en la que la empresa puede acreditar la implantación de las medidas de seguridad necesarias para garantizar la privacidad y seguridad de los datos personales, sino que también se lleva a cabo una evaluación regular de las mismas, para comprobar su adecuación y efectividad.
¿Cuándo hay que realizar una auditoría LOPD / RGPD?
Ahora que ya sabemos cómo hacer una auditoría RGPD o LOPD, ¿cuándo es recomendable hacerla?
El texto anterior de la LOPD establecía que había que llevar a cabo una auditoría cada dos años o menos, si se realizaban cambios sustanciales en los sistemas de información. Sin embargo, como hemos visto, el RGPD dice que los procesos de evaluación deben realizarse «cuando sea necesario», es decir, que no se especifica una periodicidad determinada. Entonces, ¿cuándo debe hacerse y renovarse? Dependerá del análisis de riesgos, el sector y las categorías de los datos manejados.
En cualquier caso, es recomendable que se lleven a cabo procesos de revisión constantes y periódicos, aplicando constantemente el principio de seguridad desde el diseño y por defecto. Y realizar auditorías parciales o totales con las que se puedan evaluar las medidas de seguridad implantadas en materia de protección de datos con una periodicidad mayor; dependiendo de la empresa, el sector, los datos tratados, etc., podríamos hablar de auditoría de protección de datos anual o bianual.
Plazo de conservación de auditoría
De nuevo, ni el RGPD ni la LOPDGDD recogen un tiempo mínimo de conservación de las auditorías de protección de datos realizadas; con la antigua obligación de hacerlas como mínimo cada dos años y dado que el plazo de prescripción de la sanción por no cumplir con la obligación de evaluación de las medidas de seguridad es precisamente de dos años, es recomendable conservarlas durante esos dos años.
A la vista de lo anterior, teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la AEPD o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad, la entidad responsable o encargada estaría vulnerando lo dispuesto en la normativa de protección de datos.
¿Cuál es el precio de una auditoría de protección de datos?
El precio de una auditoría de protección de datos externa depende del tamaño de la empresa, el número de trabajadores y las categorías y cantidades de datos personales que se manejen. Para poder determinar un presupuesto, es necesario evaluar estos aspectos de manera previa.
¿Quién debe valorar el informe de la auditoría LOPD / RGPD?
El informe de la auditoría de protección de datos debe valorarlo el responsable de seguridad, el responsable del tratamiento y, en su caso, el DPO, para que estos apliquen las correcciones que sea necesario hacer e implanten las medidas de seguridad necesarias que falten.
¿Hacer la auditoría de protección de datos me puede librar de sanciones?
Ahora, puede que estéis pensando que siendo una pyme pequeña, quizás podáis ahorraros el precio de una auditoría de protección datos, ya que tampoco manejáis tantos datos personales o ni siquiera tenéis una base de datos propiamente dicha de vuestros clientes almacenada en el ordenador. Sin embargo, estáis cometiendo un error que podría costaros más caro.
Según la normativa, el incumplimiento del deber de seguridad será considerado como infracción grave con una sanción de 40.001 a 300.000 €.
Las medidas a adoptar para cumplir el deber de seguridad son una obligación de resultado, ya que deben implantarse para evitar cualquier pérdida, alteración o acceso no autorizado a datos de carácter personal. Por tanto, el deber de seguridad no consiste en la obligación de implantar unas medidas, sino en implantar esas medidas con un resultado concreto.
Podemos concluir, por tanto, que el hecho de no realizar la auditoría no es sancionable por sí mismo. Lo que se sanciona es la pérdida, alteración, acceso o tratamiento no autorizado de datos personales. Sin embargo, sí es recomendable realizar esa auditoría LOPD para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.
Resumen
La conclusión a la que podemos llegar es que no se exige la auditoría como medida obligatoria ni por el RGPD ni por la LOPDGDD. En estas normas no se especifica en qué supuestos ni sobre qué tratamiento debería realizarse obligatoriamente una auditoría. Esa obligatoriedad estará determinada por los riesgos existentes en cada caso.
Pero nuestra recomendación es que deben incluirse las auditorías de cumplimiento para comprobar que las medidas que hemos adoptado en materia de protección de datos son eficaces. Por eso debes tener en cuenta respecto a las auditorías LOPD o RGPD lo siguiente:
- Obligatorio para el encargado del tratamiento cuando el responsable se lo pida.
- Puede auditarse de manera interna o externa. Se recomienda que sea externa.
- Se debe realizar un Informe de Auditoría mínimo cada dos años.
- Se verificará el cumplimiento de las medidas de seguridad.
Un encargado de tratamiento que realiza servicio en remoto sin almacenar datos, pero con datos de nivel alto, ¿está obligado a realizar auditoría cada dos años? ¿y documento de seguridad? Gracias!
Buenas tardes Luis,
Al tener acceso a datos personales existe la obligación de inscribirse en la AEPD y disponer de documento de seguridad. Si los datos son de nivel alto también debe realizar auditoría. Gracias a ti por leer el blog y por tu consulta
cuales son vuestras fuentes para explicar asi este apartado, en que articulos o normas os basais?
gracias
Buenas tardes María, ni el RGPD ni la LOPDGDD establecen la obligación de realizar auditorías como tal. En estas normas no se especifica en qué supuestos ni sobre qué tratamiento debería realizarse obligatoriamente una auditoría. Esa obligatoriedad estará determinada por los riesgos existentes en cada caso y por el principio de responsabilidad proactiva. Pero es recomendable incluir las auditorías de cumplimiento para comprobar que las medidas que hemos adoptado en materia de Protección de datos son eficaces.
HOLA SOY AUTONOMO ME DEDICO A LA REPARACION DE VEHICULOS ME GUSTARIA SABER A CADA CUANTO TIEMPO TENGO QUE HACER UNA AUDITORIA. UN SALUDO
Buenas tardes Rosa María, es recomendable realizar una auditoría cada año para comprobar que todo esté correcto