Novedades Legales

Auditoría de Protección de Datos ¿Es obligatoria?

  • Equipo de Easy Telecom Law
  • 29 enero, 2022
Auditoría de protección de datos

¿Qué es la Auditoría de protección de datos?

La auditoría de protección de datos es una evaluación del tratamiento de datos de carácter personal que realiza la empresa, de cómo se gestionan y la efectividad de las medidas de seguridad  implementadas, de quienes son los encargados, y actualizaciones a los sistemas operativos.

Realizar auditorías puede librarte de sanciones

La realización de auditorías no es obligatoria pero sí es recomendable porque nos ayudará a saber qué medidas de seguridad necesitamos implementar y qué vulnerabilidades es necesario subsanar.

Nos pueden sancionar si no cumplimos con el deber de adoptar las medidas de seguridad necesarias para asegurarnos de que no se producen pérdidas, alteraciones o accesos no autorizados a los datos de carácter personal que maneja la empresa.

Realizar auditorías regulares de protección de datos nos puede librar de sanciones

No proteger los datos de tu empresa puede suponer sanciones de 40.001€ a 300.000€. Tómatelo en serio porque no es ninguna broma, contacta cuanto antes con nuestro equipo de abogados especializados en RGPD / LOPDGDD

¿Cada cuanto tiempo hay que pasar una auditoría de datos a la empresa?

La anterior normativa LOPD exigía realizar auditorías cada 2 años o si en la empresa se produce un cambio sustancial en el sistema de información de la empresa que pueda repercutir en el cumplimiento de las medidas de seguridad. En este caso se realizará una auditoría extraordinaria y a partir de esta auditoría inicial se empieza a computar cada dos años.

Actualmente, se recomienda la realización de auditorías regulares dentro del plazo de los dos años, o que los datos estén bajo la vigilancia y revisión de un Delegado de Protección de Datos.

¿Cual es el objetivo de la Auditoría de la protección de datos?

El objetivo es comprobar  las acciones que ha adoptado la empresa cumplan con los requisitos exigidos en las normas actuales en materia de protección de datos, para ello se puede realizar por la propia empresa, aunque se recomienda que se realice por un tercero experto especializado en la materia.

¿Que debe incluir la auditoría de Protección de Datos?

El informe de la Auditoría de protección de datos, debe contener los siguientes aspectos:

  • Estudio de la situación actual de la empresa.
  • Comprobar si el tratamiento de datos de carácter personal (Accede, recoge,consulta, almacena, elimina.) cumple con la normativa vigente en materia de protección de datos.
  • Analizar si existen cesiones y/o transferencias internacionales actualmente, y que su procedimiento se encuentra ajustado a derecho.
  • Verificar si se firman los contratos con los encargados que realizan tratamiento por cuenta del responsable.
  • Revisión de procedimientos, políticas, y medidas de seguridad elaborados y establecidos en el organismos.
  • Revisión del cumplimiento de las políticas internas de la empresa.
  • Identificar si existe un tratamiento de alto riesgo, para proceder a realizar una Evaluación de impacto – EIPD.
  • Verificar y constatar las deficiencias en materia del RGPD y LOPDGDD.

¿ Es obligatoria la Auditoría de protección de datos para las empresas?

Ni el RGPD ni la LOPODGDD recogen la obligatoriedad de realizar una auditoría de protección de datos personales, pero sí estipula claramente la obligación de evaluar la eficacia de medidas de seguridad implantadas en el apartado 1 del artículo 24 del RGPD señalando “ Dichas medidas se revisarán y actualizarán cuando sea necesario”. De igual manera, en el artículo 32 del mismo Reglamento obliga a Responsables y encargados  aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, en el que debe incluir “ Un Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas  para garantizar la seguridad del tratamiento”.

Lo que podemos concluir que las herramienta adecuada para llevar a cabo lo estipulado anteriormente en el artículo 24 y 32 del RGPD es a través de una Auditoría, puesto que a través de de ella se puede verificar la eficacia de las medidas implantadas, así como sus deficiencias.

Por otra parte, el RGPD, establece como una función del Delegado de Protección de Datos, supervisar  el cumplimiento de la normativa de protección de datos  y las políticas internas de la empresa, lo que significa que en el caso que la empresa tenga la obligación de contar con un DPO, esté último tendrá la obligación de realizar auditoria como proceso de análisis y revisión del cumplimiento de la normativa.

Además, La Agencia Española de Protección de Datos (AEPD), en reiteradas resoluciones y guías señala la obligación de realizar auditorías cuando existe relación entre el responsable y el encargado del tratamiento. para garantizar, que el encargado trata los datos por cuenta del responsable acorde con las obligaciones de la normativa en materia de protección de datos.

Finalmente, llevar la auditoría de protección de Datos servirá para acreditar que no solo la empresa ha implementado medidas de seguridad, si no que ha llevado a cabo una evaluación  regular de las mismas, cumpliendo así con el artículo 5 del RGPD “principio de responsabilidad proactiva”.

En Easy Telecom Firm encontrarás un equipo de abogados especialistas con los que cumplirás con la normativa en materia de Protección de datos de tu empresa. Pide cita con un especialista: +34 910 059 807

Otros servicios de asesoría

derecho al olvido

HONOR, INTIMIDAD E IMAGEN
DERECHO DIGITAL
BRECHAS DE SEGURIDAD
HONOR, INTIMIDAD E IMAGEN
DERECHO DIGITAL
BRECHAS DE SEGURIDAD
Sor Arteaga

Sor Arteaga

Socia Directora.
Abogada en Ejercicio.
Responsable del Departamento Jurídico.