Ayuda Ley Protección Datos

La Auditoría de Protección de Datos ¿Es obligatoria?

Son numerosas las consultas recibidas sobre si es obligatorio o no tener que realizar una auditoría de protección de datos en las empresas. Por eso, en el siguiente artículo explicaremos cuándo se deben auditar las medidas de seguridad que garantizan un correcto tratamiento de datos personales.

¿Qué es la auditoría de protección de datos?

Según la ley, una auditoría de protección de datos o auditoría LOPD o RGPD es un proceso de verificación de la correcta implantación y efectividad de las medidas de seguridad adoptadas por la organización para la protección de datos de carácter personal que maneja.

La auditoría LOPD o RGPD genera un informe en el que se registran los puntos verificados, las carencias o errores detectados y las medidas necesarias para su corrección. Este informe debe ser analizado por el responsable del tratamiento, quien, en su caso, hará llegar al encargado del tratamiento todas las medidas correctoras pendientes de aplicar en la empresa.

La auditoría de protección de datos personales consiste en la evaluación del tratamiento de datos que realiza una empresa, de su gestión y de la pertinencia y eficacia de las medidas de seguridad implantadas, además de determinar los responsables y la finalidad para la recogida y el tratamiento de dichos datos.

Objetivos de la auditoría de protección de datos

Llevar a cabo una auditoría LOPD o RGPD de datos tiene varios objetivos:

Tipos de auditoría de protección de datos

La auditoría legal del reglamento de protección de datos puede llevarse a cabo tanto de manera interna como de forma externa, por lo que podemos hablar de dos tipos de auditoría de protección de datos:

Auditoría interna de protección de datos

Si la empresa cuenta con personal formado y especializado en materia de protección de datos, la auditoría LOPD puede realizarse de manera interna, haciéndola de acuerdo a una serie de pasos que veremos más adelante. El informe de la auditoría LOPD correspondiente se presentará tanto a la dirección de la empresa, como al responsable del tratamiento (y encargado si procede), como ya indicamos, para que se lleven a cabo las modificaciones y correcciones que fuera necesario hacer.

Aunque nada impide recurrir a una auditoría de protección de datos interna, se recomienda, sin embargo, que esta se realice de forma externa, ya que en el proceso de auditoría interna se puede perder objetividad.

Auditoría externa de protección de datos

La auditoría externa de protección de datos se encarga a una asesoría o despacho profesional especializado en protección de datos, que se ocupará de revisar todos los procesos y procedimientos relacionados con el tratamiento de datos personales de la empresa, sus sistemas informáticos, las medidas de seguridad adoptadas y comprobar que se cumple con todas las exigencias y requisitos de la normativa de protección de datos vigente.

El auditor externo elaborará el correspondiente informe de la auditoría LOPD con el resultado de la evaluación, en el que también incluirá las propuestas de mejora que haya determinado necesarias implantar.

¿Cómo realizar una auditoría de protección de datos?

A continuación veremos, como un posible modelo de auditoría de protección de datos a seguir, los pasos necesarios que debemos tener en cuenta para realizar una auditoría de protección de datos, si finalmente decidimos hacerla de manera interna (aunque, como ya hemos dicho, es recomendable que la haga un auditor externo para asegurar una completa objetividad).

Fases de la Auditoría de Protección de Datos

Cualquier plantilla de auditoría RGPD o LOPD está basada en los siguientes pasos:

Revisar los documentos de la empresa

Debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han hecho modificaciones en las medidas de seguridad adoptadas por la empresa o se realizan nuevas actividades de tratamiento de datos personales que deban incluirse en el registro de actividades de tratamiento.

Revisar el sistema informático de la empresa

La revisión del sistema informático de la empresa es parte clave de la auditoría, especialmente cuando se almacenan bases de datos de carácter personal. De manera que habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente, revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.

Respecto a las bases de datos, actualmente existen herramientas de auditoría y protección de bases de datos (DAP) que podemos emplear para monitorear la seguridad de nuestras bases de datos. Además, nos pueden servir para llevar a cabo esas revisiones pequeñas, constantes y periódicas.

Revisar las instalaciones de nuestra empresa

Comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.

Entrevistar a los responsables

Debemos entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Emitir informe de la auditoría LOPD / RGPD

Una vez revisados estos puntos, como un checklist de la auditoría RGPD o LOPD, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos, sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si esta se lo solicita.

Cada consultora o empresa tiene su propio modelo de informe de auditoría interna LOPD, pero todos comparten una estructura similar, con los siguientes apartados:

¿La auditoría de protección de datos es obligatoria para las empresas?

La LOPD establecía la obligación de realizar auditoría de protección de datos para los responsables que trataban datos de nivel medio o alto. Sin embargo, esta obligación de llevar a cabo la auditoría LOPD cambió con el Reglamento Europeo de Protección de Datos (RGPD) y la Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). ¿Qué nos dicen estos textos al respecto?

Ni el RGPD ni la LOPDGDD recogen la obligación literal de realizar una auditoría de protección de datos personales, pero sí estipulan claramente la obligación de evaluar la eficacia de las medidas de seguridad implantadas al respecto. Concretamente, el artículo 24 del RGPD dice que las medidas técnicas y organizativas deben revisarse y actualizarse «cuando sea necesario». Mientras que el artículo 32 obliga a Responsables y Encargados a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que debe incluir «un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».

De esto podemos desprender que aunque no se habla expresamente de la obligación de llevar a cabo una auditoría de protección de datos en el RGPD o la LOPDGDD, sí que es obligatoria la verificación, evaluación y valoración regular de las medidas que se hayan implantado en la empresa para asegurar el adecuado cumplimiento de la norma. Y la herramienta adecuada para llevar esto a cabo es precisamente la auditoría de protección de datos, puesto que a través de ella se puede comprobar la eficacia de las medidas implantadas, así como sus deficiencias.

Por otro lado, el RGPD establece como funciones que corresponden al Delegado de Protección de Datos (DPO), la obligación de supervisar el cumplimiento de la normativa de Protección de datos y las políticas internas de la empresa. Aquí se incluye la revisión de las correspondientes auditorías LOPD o RGPD.

Esto supone que en los casos en los que la empresa tenga la obligación de nombrar un DPD, el RGPD sí establece la obligación de realizar auditorías como proceso de análisis y revisión del cumplimiento.

Además, la Agencia Española de Protección de Datos (AEPD), por su parte, sí ha indicado que existe obligación de realizar auditorías dentro de las relaciones entre el responsable y el encargado del tratamiento. Establece que el encargado del tratamiento tiene la obligación de permitir que el responsable realice auditorías o inspecciones él mismo o se lo encargue a un auditor externo. Y también debe facilitar al responsable del tratamiento toda la información que necesite para realizar esas auditorías y para justificar que cumple con sus obligaciones en materia de Protección de datos.

Por tanto, los encargados del tratamiento tienen la obligación de realizar auditorías de protección de datos si así se lo exige el responsable del tratamiento y para cumplir con su deber de diligencia exigido por la normativa.

Finalmente, llevar a cabo la auditoría de protección de datos servirá para acreditar que la empresa no solo ha implantado medidas de seguridad, sino que lleva a cabo una evaluación regular de las mismas. Cumpliendo así con el sistema de responsabilidad activa que establece la ley.

¿Es recomendable hacer una auditoría de protección de datos en tu empresa?

De acuerdo a lo expresado en el punto anterior, sí es recomendable hacer una auditoría de protección de datos, puesto que, como hemos dicho,  no solo es la forma en la que la empresa puede acreditar la implantación de las medidas de seguridad necesarias para garantizar la privacidad y seguridad de los datos personales, sino que también se lleva a cabo una evaluación regular de las mismas, para comprobar su adecuación y efectividad.

¿Cuándo hay que realizar una auditoría LOPD / RGPD?

Ahora que ya sabemos cómo hacer una auditoría RGPD o LOPD, ¿cuándo es recomendable hacerla?

El texto anterior de la LOPD establecía que había que llevar a cabo una auditoría cada dos años o menos, si se realizaban cambios sustanciales en los sistemas de información. Sin embargo, como hemos visto, el RGPD dice que los procesos de evaluación deben realizarse «cuando sea necesario», es decir, que no se especifica una periodicidad determinada. Entonces, ¿cuándo debe hacerse y renovarse? Dependerá del análisis de riesgos, el sector y las categorías de los datos manejados.

En cualquier caso, es recomendable que se lleven a cabo procesos de revisión constantes y periódicos, aplicando constantemente el principio de seguridad desde el diseño y por defecto. Y realizar auditorías parciales o totales con las que se puedan evaluar las medidas de seguridad implantadas en materia de protección de datos con una periodicidad mayor; dependiendo de la empresa, el sector, los datos tratados, etc., podríamos hablar de auditoría de protección de datos anual o bianual.

Plazo de conservación de auditoría

De nuevo, ni el RGPD ni la LOPDGDD recogen un tiempo mínimo de conservación de las auditorías de protección de datos realizadas; con la antigua obligación de hacerlas como mínimo cada dos años y dado que el plazo de prescripción de la sanción por no cumplir con la obligación de evaluación de las medidas de seguridad es precisamente de dos años, es recomendable conservarlas durante esos dos años.

A la vista de lo anterior, teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la AEPD o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad, la entidad responsable o encargada estaría vulnerando lo dispuesto en la normativa de protección de datos.

¿Cuál es el precio de una auditoría de protección de datos?

El precio de una auditoría de protección de datos externa depende del tamaño de la empresa, el número de trabajadores y las categorías y cantidades de datos personales que se manejen. Para poder determinar un presupuesto, es necesario evaluar estos aspectos de manera previa.

¿Quién debe valorar el informe de la auditoría LOPD / RGPD?

El informe de la auditoría de protección de datos debe valorarlo el responsable de seguridad, el responsable del tratamiento y, en su caso, el DPO, para que estos apliquen las correcciones que sea necesario hacer e implanten las medidas de seguridad necesarias que falten.

¿Hacer la auditoría de protección de datos me puede librar de sanciones?

Ahora, puede que estéis pensando que siendo una pyme pequeña, quizás podáis ahorraros el precio de una auditoría de protección datos, ya que tampoco manejáis tantos datos personales o ni siquiera tenéis una base de datos propiamente dicha de vuestros clientes almacenada en el ordenador. Sin embargo, estáis cometiendo un error que podría costaros más caro.

Según la normativa, el incumplimiento del deber de seguridad será considerado como infracción grave con una sanción de 40.001 a 300.000 €.

Las medidas a adoptar para cumplir el deber de seguridad son una obligación de resultado, ya que deben implantarse para evitar cualquier pérdida, alteración o acceso no autorizado a datos de carácter personal. Por tanto, el deber de seguridad no consiste en la obligación de implantar unas medidas, sino en implantar esas medidas con un resultado concreto.

Podemos concluir, por tanto, que el hecho de no realizar la auditoría no es sancionable por sí mismo. Lo que se sanciona es la pérdida, alteración, acceso o tratamiento no autorizado de datos personales. Sin embargo, sí es recomendable realizar esa auditoría LOPD para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.

Resumen

La conclusión a la que podemos llegar es que no se exige la auditoría como medida obligatoria ni por el RGPD ni por la LOPDGDD. En estas normas no se especifica en qué supuestos ni sobre qué tratamiento debería realizarse obligatoriamente una auditoría. Esa obligatoriedad estará determinada por los riesgos existentes en cada caso.

Pero nuestra recomendación es que deben incluirse las auditorías de cumplimiento para comprobar que las medidas que hemos adoptado en materia de protección de datos son eficaces. Por eso debes tener en cuenta respecto a las auditorías LOPD o RGPD lo siguiente:

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos