¿Mi empresa está obligada a realizar una auditoría de protección de datos?

Desde que el 12 de mayo de 2018 entrase en vigor el nuevo Reglamento General de Protección de Datos, las empresas están obligadas a tomar diferentes medidas que garanticen la seguridad y confidencialidad de los datos que manejan de terceras personas, ya que de lo contrario podrían sufrir importantes sanciones económicas, de hasta 20 millones de euros. ¿Es la auditoría de protección de datos una de estas medidas?

¿Qué es una auditoría de protección de datos y para qué sirve?

Una auditoría de protección de datos tiene el objetivo de verificar que se hayan implantado de la manera correcta, todas aquellas medidas necesarias para garantizar la seguridad de los datos en una empresa.

La auditoría va acompañada de un informe en el que se recogen todos los puntos analizados, los errores o fallos encontrados, así como las medidas necesarias a aplicar para la corrección de los posibles errores.

Cumple con un papel fundamental respecto a la supervisión y el control de la información de carácter personal almacenada, por lo que hay que darle la importancia que se merece.

Te interesa:

Las claves del Nuevo Reglamento General de Protección de Datos.

Auditoría de protección de datos: ¿está tu empresa obligada a hacerla?

Una auditoría de protección de datos siempre es recomendable para certificar que la estrategia llevada a cabo es correcta pero, ¿es o no obligatoria? La respuesta es depende.

Con el Real Decreto 994/1999, de 11 de junio, las empresas estaban obligadas a realizar una auditoría de seguridad de datos una vez cada dos años, ya fuera de manera interna o externa.

Con la anterior normativa las auditorías de protección de datos eran una obligación para todas las empresas, con la entrada en vigor del nuevo RGPD las empresas ya no están obligadas a realizarlas.

Según lo establecido en el RGPD tu empresa está obligada a designar un Delegado de Protección de Datos (DPD), cuyo principal objetivo será supervisar que se cumpla la normativa, revisando las políticas internas y las correspondientes auditorías, la realización de auditorías internas de protección de datos, revisión y evaluación; siempre dependiendo de las necesidades de cada empresa.

En ese caso, la auditoría no debería ser realizada por el DPD de la propia empresa, ya que la función de la auditoría de seguridad de datos es, entre otras cosas, garantizar que el delegado de protección de datos está cumpliendo con sus funciones correctamente. Únicamente podría limitarse a supervisar el proceso de auditoría y garantizar la implantación de las acciones promovidas.

¿En qué consiste una auditoría de protección de datos?

Una auditoría de protección de datos debe cumplir con una serie de requisitos que certifiquen la seguridad de cualquier dato o información de carácter personal:

• La auditoría debe analizar tanto los archivos automatizados como los manuales.
• Las empresas obligadas a su realización deben hacerla una vez cada dos años.
• Si se realizan modificaciones en el sistema de información que puedan afectar al cumplimiento de las medidas de seguridad, deberá realizarse una auditoría de manera extraordinaria.
• Debe detallar todas las posibles deficiencias detectadas, y las medidas para solventarlas.
• El DPP o responsable de los datos personales será el encargado de garantizar que se aplicarán las correcciones indicadas en el informe.

Te interesa:

¿Qué empresas están obligadas a auditar sus cuentas?

Será la propia empresa la que podrá decidir la forma en la que quiere realizar las auditorías, siempre y cuando se realice de manera objetiva e imparcial, para comprobar que se cumplen las medidas de seguridad necesarias para la protección de datos.

La auditoría de protección de datos debe realizarse mediante un proceso sistemático, a través de una serie de procedimientos y protocolos de actuación, que permitan obtener los datos necesarios para elaborar el informe final.

Auditoría externa

Si se opta por una auditoría externa, tendrá que ser realizada por un profesional que no tenga ningún vínculo con la empresa a auditar, utilizando técnicas y procedimientos para la revisión de los métodos empleados para garantizar la seguridad de los datos confidenciales manejados por las empresas.

Auditoría interna

La auditoría interna, ésta deberá realizarla un profesional especializado en el nuevo Reglamento General de Protección de Datos, y son suficientes conominientos informáticos y legales para revisar si lo smétodos de control de seguridad establecidos por la empresa, son los adecuados y cumplen con la legalidad.

Conclusión

Las empresas que manejan datos personales no están obligadas a realizar una auditoría de protección de datos, pero pueden realizarla de manera voluntaria para evitar posibles sanciones, y garantizar así la efectividad de las medidas implantadas en sus negocios.