Una auditoría de protección de datos es un proceso de verificación obligatorio para las empresas y autónomos mediante el cual se comprueba la correcta implantación de las medidas de seguridad en relación al tratamiento de los datos personales que lleva a cabo la persona física o jurídica, ya sean automatizados o manuales.
¿Es obligatorio realizar una auditoría de protección de datos periódica en las empresas, según el RGPD?
- Sí. Según el artículo 32.1. letra d) del RGPD, el responsable (y el encargado del tratamiento) implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo y, entre esas medidas, evaluarán regularmente la efectividad de las medidas adoptadas para garantizar la seguridad de los archivos.
¿Cómo se tiene que llevar a cabo la auditoría de protección de datos?
- El RGPD no establece procedimientos o formatos específicos para realizar las tareas de revisión y evaluación. Por tanto, entendemos desde Emindset Law que, a menos que se establezcan normas nacionales vinculantes, el responsable y el encargado del tratamiento no estarán obligados a seguir un tipo específico de auditoría obligatoria. Queda a la discreción y elección de las empresas y del responsable o el encargado del tratamiento de datos la definición de los procedimientos de revisión y evaluación, con la condición de que dichos procedimientos garanticen plenamente la verificación y evaluación de los riesgos relacionados con la seguridad de los ficheros.
¿Qué empresas están obligadas a realizar auditorías de protección de datos? ¿Autónomos? ¿Pymes? ¿Startups?
- El art. 39 del RGPD recoge expresamente dentro de las funciones del Delegado de Protección de Datos (DPD) la obligación de supervisar el cumplimiento de la normativa, de las políticas internas de la Compañía, incluida las auditorías correspondientes. Por lo que, en los casos en los que la empresa esté obligada a designar un DPD, la realización de esas auditorías como procedimiento de revisión y evaluación, será obligatorio.
- En ningún caso la auditoría la podrá realizar el DPD, pues pondría en peligro su independencia y además la auditoría debería verificar también el cumplimiento de las funciones del propio DPD. Su papel se limita a supervisar esas auditorías, debiendo garantizar que las conclusiones lleguen al órgano encargado de proponer y/o implantar acciones que puedan derivarse de las posibles no conformidades detectadas.
“MEJOR PREVENIR QUE CURAR”.