[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/","headline":"La Auditor\u00eda de Protecci\u00f3n de Datos \u00bfEs obligatoria?","name":"La Auditor\u00eda de Protecci\u00f3n de Datos \u00bfEs obligatoria?","description":"\u00bfEs obligatorio hacer una Auditoria de Proteccion de Datos? \u00bfCu\u00e1ndo hay que hacer una auditor\u00eda LOPD\u00a0en la empresa? \u00bfEn qu\u00e9 consiste la auditor\u00eda? \u2705","datePublished":"2016-08-05","dateModified":"2022-06-21","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/08\/auditoria-proteccion-datos-1.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/08\/auditoria-proteccion-datos-1.jpg","height":603,"width":1599},"url":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/","commentCount":"6","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#Comment1","dateCreated":"2020-10-01 18:27:30","description":"Buenas tardes Rosa Mar\u00eda, es recomendable realizar una auditor\u00eda cada a\u00f1o para comprobar que todo est\u00e9 correcto","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#Comment2","dateCreated":"2020-09-30 17:35:55","description":"HOLA SOY AUTONOMO ME DEDICO A LA REPARACION DE VEHICULOS ME GUSTARIA SABER A CADA CUANTO TIEMPO TENGO QUE HACER UNA AUDITORIA. UN SALUDO","author":{"@type":"Person","name":"ROSA MARIA","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#Comment3","dateCreated":"2019-11-27 15:10:54","description":"Buenas tardes Mar\u00eda, ni el RGPD ni la LOPDGDD establecen la obligaci\u00f3n de realizar auditor\u00edas como tal. En estas normas no se especifica en qu\u00e9 supuestos ni sobre qu\u00e9 tratamiento deber\u00eda realizarse obligatoriamente una auditor\u00eda. Esa obligatoriedad estar\u00e1 determinada por los riesgos existentes en cada caso y por el principio de responsabilidad proactiva. Pero es recomendable incluir las auditor\u00edas de cumplimiento para comprobar que las medidas que hemos adoptado en materia de Protecci\u00f3n de datos son eficaces.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#Comment4","dateCreated":"2019-11-27 10:46:48","description":"cuales son vuestras fuentes para explicar asi este apartado, en que articulos o normas os basais?\r\ngracias","author":{"@type":"Person","name":"maria","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#Comment5","dateCreated":"2017-05-23 17:07:47","description":"Buenas tardes Luis,\n\nAl tener acceso a datos personales existe la obligaci\u00f3n de inscribirse en la AEPD y disponer de documento de seguridad. Si los datos son de nivel alto tambi\u00e9n debe realizar auditor\u00eda. Gracias a ti por leer el blog y por tu consulta","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#Comment6","dateCreated":"2017-05-16 21:27:58","description":"Un encargado de tratamiento que realiza servicio en remoto sin almacenar datos, pero con datos de nivel alto, \u00bfest\u00e1 obligado a realizar auditor\u00eda cada dos a\u00f1os? \u00bfy documento de seguridad? Gracias!","author":{"@type":"Person","name":"Luis","url":""}}],"about":["LOPDGDD & RGPD"],"wordCount":3399,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Son numerosas las consultas recibidas sobre si es obligatorio o no tener que realizar una auditor\u00eda de protecci\u00f3n de datos en las empresas. Por eso, en el siguiente art\u00edculo explicaremos cu\u00e1ndo se deben auditar las medidas de seguridad que garantizan un correcto tratamiento de datos personales.\u00bfQu\u00e9 es la auditor\u00eda de protecci\u00f3n de datos?Objetivos de la auditor\u00eda de protecci\u00f3n de datosTipos de auditor\u00eda de protecci\u00f3n de datosAuditor\u00eda interna de protecci\u00f3n de datosAuditor\u00eda externa de protecci\u00f3n de datos\u00bfC\u00f3mo realizar una auditor\u00eda de protecci\u00f3n de datos?Revisar los documentos de la empresaRevisar el sistema inform\u00e1tico de la empresaRevisar las instalaciones de nuestra empresaEntrevistar a los responsablesEmitir informe de la auditor\u00eda LOPD \/ RGPD\u00bfLa auditor\u00eda de protecci\u00f3n de datos es obligatoria para las empresas?\u00bfEs recomendable hacer una auditor\u00eda de protecci\u00f3n de datos en tu empresa?\u00bfCu\u00e1ndo hay que realizar una auditor\u00eda LOPD \/ RGPD?Plazo de conservaci\u00f3n de auditor\u00eda\u00bfCu\u00e1l es el precio de una auditor\u00eda de protecci\u00f3n de datos?\u00bfQui\u00e9n debe valorar el informe de la auditor\u00eda LOPD \/ RGPD?\u00bfHacer la auditor\u00eda de protecci\u00f3n de datos me puede librar de sanciones?Resumen\u00bfNecesitas cumplir el RGPD?\u00bfQu\u00e9 es la auditor\u00eda de protecci\u00f3n de datos?Seg\u00fan la ley, una auditor\u00eda de protecci\u00f3n de datos o auditor\u00eda LOPD o RGPD es un proceso de verificaci\u00f3n de la correcta implantaci\u00f3n y efectividad de las medidas de seguridad adoptadas por la organizaci\u00f3n para la protecci\u00f3n de datos de car\u00e1cter personal que maneja.La auditor\u00eda LOPD o RGPD genera un informe en el que se registran los puntos verificados, las carencias o errores detectados y las medidas necesarias para su correcci\u00f3n. Este informe debe ser analizado por el responsable del tratamiento, quien, en su caso, har\u00e1 llegar al encargado del tratamiento todas las medidas correctoras pendientes de aplicar en la empresa.La auditor\u00eda de protecci\u00f3n de datos personales consiste en la evaluaci\u00f3n del tratamiento de datos que realiza una empresa, de su gesti\u00f3n y de la pertinencia y eficacia de las medidas de seguridad implantadas, adem\u00e1s de determinar los responsables y la finalidad para la recogida y el tratamiento de dichos datos.Objetivos de la auditor\u00eda de protecci\u00f3n de datosLlevar a cabo una auditor\u00eda LOPD o RGPD de datos tiene varios objetivos:Verificar y constatar el cumplimiento de la normativa de protecci\u00f3n de datos: Permite satisfacer la obligaci\u00f3n de verificar las medidas de seguridad cuando sea necesario (c\u00f3mo veremos m\u00e1s adelante, ese \u00abcuando\u00bb queda a la arbitrariedad del responsable del tratamiento o del DPO).Constatar posibles deficiencias en el sistema de informaci\u00f3n de la empresa y establecer acciones correctoras.Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.Estudiar los flujos de datos personales: Se trata de estudiar en detalle los flujos de datos personales o procedimientos internos en los que la LOPDGDD y el RGPD tienen un especial impacto, para poder ajustarlos a la normativa de manera adecuada.Formar y concienciar al personal: Concienciar y preparar al personal sobre la importancia de la informaci\u00f3n personal, asegurando de esta forma la protecci\u00f3n de los derechos de los interesados (o titulares de los datos).Tipos de auditor\u00eda de protecci\u00f3n de datosLa auditor\u00eda legal del reglamento de protecci\u00f3n de datos puede llevarse a cabo tanto de manera interna como de forma externa, por lo que podemos hablar de dos tipos de auditor\u00eda de protecci\u00f3n de datos:Auditor\u00eda interna de protecci\u00f3n de datosSi la empresa cuenta con personal formado y especializado en materia de protecci\u00f3n de datos, la auditor\u00eda LOPD puede realizarse de manera interna, haci\u00e9ndola de acuerdo a una serie de pasos que veremos m\u00e1s adelante. El informe de la auditor\u00eda LOPD correspondiente se presentar\u00e1 tanto a la direcci\u00f3n de la empresa, como al responsable del tratamiento (y encargado si procede), como ya indicamos, para que se lleven a cabo las modificaciones y correcciones que fuera necesario hacer.Aunque nada impide recurrir a una auditor\u00eda de protecci\u00f3n de datos interna, se recomienda, sin embargo, que esta se realice de forma externa, ya que en el proceso de auditor\u00eda interna se puede perder objetividad.Auditor\u00eda externa de protecci\u00f3n de datosLa auditor\u00eda externa de protecci\u00f3n de datos se encarga a una asesor\u00eda o despacho profesional especializado en protecci\u00f3n de datos, que se ocupar\u00e1 de revisar todos los procesos y procedimientos relacionados con el tratamiento de datos personales de la empresa, sus sistemas inform\u00e1ticos, las medidas de seguridad adoptadas y comprobar que se cumple con todas las exigencias y requisitos de la normativa de protecci\u00f3n de datos vigente.El auditor externo elaborar\u00e1 el correspondiente informe de la auditor\u00eda LOPD con el resultado de la evaluaci\u00f3n, en el que tambi\u00e9n incluir\u00e1 las propuestas de mejora que haya determinado necesarias implantar.\u00bfC\u00f3mo realizar una auditor\u00eda de protecci\u00f3n de datos?A continuaci\u00f3n veremos, como un posible modelo de auditor\u00eda de protecci\u00f3n de datos a seguir, los pasos necesarios que debemos tener en cuenta para realizar una auditor\u00eda de protecci\u00f3n de datos, si finalmente decidimos hacerla de manera interna (aunque, como ya hemos dicho, es recomendable que la haga un auditor externo para asegurar una completa objetividad).Fases de la Auditor\u00eda de Protecci\u00f3n de DatosCualquier plantilla de auditor\u00eda RGPD o LOPD est\u00e1 basada en los siguientes pasos:Revisar los documentos de la empresaDebemos comprobar que se hayan firmado todos los contratos necesarios en materia de protecci\u00f3n de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. Tambi\u00e9n tendremos que revisar si se han hecho modificaciones en las medidas de seguridad adoptadas por la empresa o se realizan nuevas actividades de tratamiento de datos personales que deban incluirse en el registro de actividades de tratamiento.Revisar el sistema inform\u00e1tico de la empresaLa revisi\u00f3n del sistema inform\u00e1tico de la empresa es parte clave de la auditor\u00eda, especialmente cuando se almacenan bases de datos de car\u00e1cter personal. De manera que habr\u00e1 que comprobar si tenemos un sistema para asignar nuevos usuarios con contrase\u00f1as individualizadas, si las contrase\u00f1as caducan como m\u00ednimo una vez al a\u00f1o. Igualmente, revisar si se realizan copias de seguridad, en qu\u00e9 formato y con qu\u00e9 periodicidad.Respecto a las bases de datos, actualmente existen herramientas de auditor\u00eda y protecci\u00f3n de bases de datos (DAP) que podemos emplear para monitorear la seguridad de nuestras bases de datos. Adem\u00e1s, nos pueden servir para llevar a cabo esas revisiones peque\u00f1as, constantes y peri\u00f3dicas.Revisar las instalaciones de nuestra empresaComprobaremos si disponemos de sistemas seguros de destrucci\u00f3n de la informaci\u00f3n y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor est\u00e1 limitado de alg\u00fan modo.Entrevistar a los responsablesDebemos entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.Emitir informe de la auditor\u00eda LOPD \/ RGPDUna vez revisados estos puntos, como un checklist de la auditor\u00eda RGPD o LOPD, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protecci\u00f3n de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.El informe de esa auditor\u00eda no se env\u00eda a la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos, sino que es un documento interno que la empresa debe conservar y poner a disposici\u00f3n de la AEPD si esta se lo solicita.Cada consultora o empresa tiene su propio modelo de informe de auditor\u00eda interna LOPD, pero todos comparten una estructura similar, con los siguientes apartados:Descripci\u00f3n del objeto de la auditor\u00edaDescripci\u00f3n de las fases en la realizaci\u00f3n de la auditor\u00edaDescripci\u00f3n del plan de trabajo, en el que se detalla cada punto auditado, se incluye el checklist correspondiente al mismo, el nivel de cumplimiento y las recomendaciones del auditor al respecto:Principios relativos al tratamientoLicitud del tratamientoCondiciones para el consentimientoConsentimiento de menores de edadTratamiento de categor\u00edas especiales de datosTratamientos relativos a condenas e infracciones penalesTratamientos que no requieren identificaci\u00f3nDerechos del interesado. Transparencia de la informaci\u00f3nDerechos del interesado. Informaci\u00f3n a facilitar cuando los datos se obtienen del interesadoDerechos del interesado. Informaci\u00f3n a facilitar cuando los datos no se obtienen del interesadoDerechos del interesado:AccesoRectificaci\u00f3nSupresi\u00f3nLimitaci\u00f3n del tratamientoPortabilidad de los datosOposici\u00f3nDerechos del interesado. Decisiones individuales automatizadas, incluida la elaboraci\u00f3n de perfilesResponsabilidad del responsable del tratamientoProtecci\u00f3n de datos desde el dise\u00f1o y por defectoCorresponsables del tratamientoEncargado del tratamientoRegistro de las actividades de tratamientoSeguridad del tratamientoBrechas de seguridad:Notificaci\u00f3n a la AEPDNotificaci\u00f3n al interesadoEvaluaci\u00f3n de impactoDelegado de protecci\u00f3n de datosTransferencias a terceros pa\u00edses y organizaciones internacionalesConclusiones finales y certificaci\u00f3n de cumplimiento de las obligaciones del RGPD y la LOPDGDD\u00bfLa auditor\u00eda de protecci\u00f3n de datos es obligatoria para las empresas?La LOPD establec\u00eda la obligaci\u00f3n de realizar auditor\u00eda de protecci\u00f3n de datos para los responsables que trataban datos de nivel medio o alto. Sin embargo, esta obligaci\u00f3n de llevar a cabo la auditor\u00eda LOPD cambi\u00f3 con el Reglamento Europeo de Protecci\u00f3n de Datos (RGPD) y la Ley de Protecci\u00f3n de Datos y Garant\u00eda de Derechos Digitales (LOPDGDD). \u00bfQu\u00e9 nos dicen estos textos al respecto?Ni el RGPD ni la LOPDGDD recogen la obligaci\u00f3n literal de realizar una auditor\u00eda de protecci\u00f3n de datos personales, pero s\u00ed estipulan claramente la obligaci\u00f3n de evaluar la eficacia de las medidas de seguridad implantadas al respecto. Concretamente, el art\u00edculo 24 del RGPD dice que las medidas t\u00e9cnicas y organizativas deben revisarse y actualizarse \u00abcuando sea necesario\u00bb. Mientras que el art\u00edculo 32 obliga a Responsables y Encargados a aplicar las medidas t\u00e9cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que debe incluir \u00abun proceso de verificaci\u00f3n, evaluaci\u00f3n y valoraci\u00f3n regular de la eficacia de las medidas t\u00e9cnicas y organizativas para garantizar la seguridad del tratamiento\u00bb.De esto podemos desprender que aunque no se habla expresamente de la obligaci\u00f3n de llevar a cabo una auditor\u00eda de protecci\u00f3n de datos en el RGPD o la LOPDGDD, s\u00ed que es obligatoria la verificaci\u00f3n, evaluaci\u00f3n y valoraci\u00f3n regular de las medidas que se hayan implantado en la empresa para asegurar el adecuado cumplimiento de la norma. Y la herramienta adecuada para llevar esto a cabo es precisamente la auditor\u00eda de protecci\u00f3n de datos, puesto que a trav\u00e9s de ella se puede comprobar la eficacia de las medidas implantadas, as\u00ed como sus deficiencias.Por otro lado, el RGPD establece como funciones que corresponden al Delegado de Protecci\u00f3n de Datos (DPO), la obligaci\u00f3n de supervisar el cumplimiento de la normativa de Protecci\u00f3n de datos y las pol\u00edticas internas de la empresa. Aqu\u00ed se incluye la revisi\u00f3n de las correspondientes auditor\u00edas LOPD o RGPD.Esto supone que en los casos en los que la empresa tenga la obligaci\u00f3n de nombrar un DPD, el RGPD s\u00ed establece la obligaci\u00f3n de realizar auditor\u00edas como proceso de an\u00e1lisis y revisi\u00f3n del cumplimiento.Adem\u00e1s, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD), por su parte, s\u00ed ha indicado que existe obligaci\u00f3n de realizar auditor\u00edas dentro de las relaciones entre el responsable y el encargado del tratamiento. Establece que el encargado del tratamiento tiene la obligaci\u00f3n de permitir que el responsable realice auditor\u00edas o inspecciones \u00e9l mismo o se lo encargue a un auditor externo. Y tambi\u00e9n debe facilitar al responsable del tratamiento toda la informaci\u00f3n que necesite para realizar esas auditor\u00edas y para justificar que cumple con sus obligaciones en materia de Protecci\u00f3n de datos.Por tanto, los encargados del tratamiento tienen la obligaci\u00f3n de realizar auditor\u00edas de protecci\u00f3n de datos si as\u00ed se lo exige el responsable del tratamiento y para cumplir con su deber de diligencia exigido por la normativa.Finalmente, llevar a cabo la auditor\u00eda de protecci\u00f3n de datos servir\u00e1 para acreditar que la empresa no solo ha implantado medidas de seguridad, sino que lleva a cabo una evaluaci\u00f3n regular de las mismas. Cumpliendo as\u00ed con el sistema de responsabilidad activa que establece la ley.\u00bfEs recomendable hacer una auditor\u00eda de protecci\u00f3n de datos en tu empresa?De acuerdo a lo expresado en el punto anterior, s\u00ed es recomendable hacer una auditor\u00eda de protecci\u00f3n de datos, puesto que, como hemos dicho,\u00a0 no solo es la forma en la que la empresa puede acreditar la implantaci\u00f3n de las medidas de seguridad necesarias para garantizar la privacidad y seguridad de los datos personales, sino que tambi\u00e9n se lleva a cabo una evaluaci\u00f3n regular de las mismas, para comprobar su adecuaci\u00f3n y efectividad.\u00bfCu\u00e1ndo hay que realizar una auditor\u00eda LOPD \/ RGPD?Ahora que ya sabemos c\u00f3mo hacer una auditor\u00eda RGPD o LOPD, \u00bfcu\u00e1ndo es recomendable hacerla?El texto anterior de la LOPD establec\u00eda que hab\u00eda que llevar a cabo una auditor\u00eda cada dos a\u00f1os o menos, si se realizaban cambios sustanciales en los sistemas de informaci\u00f3n. Sin embargo, como hemos visto, el RGPD dice que los procesos de evaluaci\u00f3n deben realizarse \u00abcuando sea necesario\u00bb, es decir, que no se especifica una periodicidad determinada. Entonces, \u00bfcu\u00e1ndo debe hacerse y renovarse? Depender\u00e1 del an\u00e1lisis de riesgos, el sector y las categor\u00edas de los datos manejados.En cualquier caso, es recomendable que se lleven a cabo procesos de revisi\u00f3n constantes y peri\u00f3dicos, aplicando constantemente el principio de seguridad desde el dise\u00f1o y por defecto. Y realizar auditor\u00edas parciales o totales con las que se puedan evaluar las medidas de seguridad implantadas en materia de protecci\u00f3n de datos con una periodicidad mayor; dependiendo de la empresa, el sector, los datos tratados, etc., podr\u00edamos hablar de auditor\u00eda de protecci\u00f3n de datos anual o bianual.Plazo de conservaci\u00f3n de auditor\u00edaDe nuevo, ni el RGPD ni la LOPDGDD recogen un tiempo m\u00ednimo de conservaci\u00f3n de las auditor\u00edas de protecci\u00f3n de datos realizadas; con la antigua obligaci\u00f3n de hacerlas como m\u00ednimo cada dos a\u00f1os y dado que el plazo de prescripci\u00f3n de la sanci\u00f3n por no cumplir con la obligaci\u00f3n de evaluaci\u00f3n de las medidas de seguridad es precisamente de dos a\u00f1os, es recomendable conservarlas durante esos dos a\u00f1os.A la vista de lo anterior, teniendo en cuenta los plazos de prescripci\u00f3n y de obligaci\u00f3n de sometimiento a la auditor\u00eda, el t\u00e9rmino durante el cual el informe deber\u00eda estar a disposici\u00f3n de la AEPD o autoridad auton\u00f3mica de control competente deber\u00eda ser el de dos a\u00f1os, de modo que si no se dispusiera de un informe de esa antig\u00fcedad, la entidad responsable o encargada estar\u00eda vulnerando lo dispuesto en la normativa de protecci\u00f3n de datos.\u00bfCu\u00e1l es el precio de una auditor\u00eda de protecci\u00f3n de datos?El precio de una auditor\u00eda de protecci\u00f3n de datos externa depende del tama\u00f1o de la empresa, el n\u00famero de trabajadores y las categor\u00edas y cantidades de datos personales que se manejen. Para poder determinar un presupuesto, es necesario evaluar estos aspectos de manera previa.\u00bfQui\u00e9n debe valorar el informe de la auditor\u00eda LOPD \/ RGPD?El informe de la auditor\u00eda de protecci\u00f3n de datos debe valorarlo el responsable de seguridad, el responsable del tratamiento y, en su caso, el DPO, para que estos apliquen las correcciones que sea necesario hacer e implanten las medidas de seguridad necesarias que falten.\u00bfHacer la auditor\u00eda de protecci\u00f3n de datos me puede librar de sanciones?Ahora, puede que est\u00e9is pensando que siendo una pyme peque\u00f1a, quiz\u00e1s pod\u00e1is ahorraros el precio de una auditor\u00eda de protecci\u00f3n datos, ya que tampoco manej\u00e1is tantos datos personales o ni siquiera ten\u00e9is una base de datos propiamente dicha de vuestros clientes almacenada en el ordenador. Sin embargo, est\u00e1is cometiendo un error que podr\u00eda costaros m\u00e1s caro.Seg\u00fan la normativa, el incumplimiento del deber de seguridad ser\u00e1 considerado como infracci\u00f3n grave con una sanci\u00f3n de 40.001 a 300.000 \u20ac.Las medidas a adoptar para cumplir el deber de seguridad son una obligaci\u00f3n de resultado, ya que deben implantarse para evitar cualquier p\u00e9rdida, alteraci\u00f3n o acceso no autorizado a datos de car\u00e1cter personal. Por tanto, el deber de seguridad no consiste en la obligaci\u00f3n de implantar unas medidas, sino en implantar esas medidas con un resultado concreto.Podemos concluir, por tanto, que el hecho de no realizar la auditor\u00eda no es sancionable por s\u00ed mismo. Lo que se sanciona es la p\u00e9rdida, alteraci\u00f3n, acceso o tratamiento no autorizado de datos personales. Sin embargo, s\u00ed es recomendable realizar esa auditor\u00eda LOPD para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.ResumenLa conclusi\u00f3n a la que podemos llegar es que no se exige la auditor\u00eda como medida obligatoria ni por el RGPD ni por la LOPDGDD. En estas normas no se especifica en qu\u00e9 supuestos ni sobre qu\u00e9 tratamiento deber\u00eda realizarse obligatoriamente una auditor\u00eda. Esa obligatoriedad estar\u00e1 determinada por los riesgos existentes en cada caso.Pero nuestra recomendaci\u00f3n es que deben incluirse las auditor\u00edas de cumplimiento para comprobar que las medidas que hemos adoptado en materia de protecci\u00f3n de datos son eficaces. Por eso debes tener en cuenta respecto a las auditor\u00edas LOPD o RGPD lo siguiente:Obligatorio para el encargado del tratamiento cuando el responsable se lo pida.Puede auditarse de manera interna o externa. Se recomienda que sea externa.Se debe realizar un Informe de Auditor\u00eda m\u00ednimo cada dos a\u00f1os.Se verificar\u00e1 el cumplimiento de las medidas de seguridad. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/08\/05\/obligatoria-auditoria-proteccion-datos\/#breadcrumbitem","name":"La Auditor\u00eda de Protecci\u00f3n de Datos \u00bfEs obligatoria?"}}]}]