POR QUÉ ES NECESARIO REALIZAR PERIÓDICAMENTE AUDITORIAS DE PROTECCIÓN DE DATOS

460.000 EUROS;

Ésta es la sanción que la Autoridad polaca de Protección de Daos de Polonia (UODO) ha impuesto a una empresa por incumplir varios principios de protección de datos en relación con un incidente de seguridad y, en particular con el principio de responsabilidad proactiva (accountability) del Reglamento General de Protección de Datos (RGPD) que requiere que las organizaciones establezcan medidas técnicas y organizativas adecuadas que garanticen la confidencialidad, seguridad e integridad de los datos personales y puedan demostrar su aplicación y eficacia cuando se les solicite, así como revisar y actualizar esas medidas cuando sea necesario.

La realización de auditorías de protección de datos es una de las medidas organizativas que pueden aplicar los responsables del tratamiento para revisar de forma periódica la idoneidad, necesidad y eficacia de las medidas implementadas, así como demostrar el cumplimiento de sus obligaciones en materia de protección de datos.

La normativa anterior al RGPD establecía la obligatoriedad de realizar auditorías de protección de datos con una periodicidad bienal. Si bien es cierto que el RGPD no establece una obligatoriedad o periodicidad concretas,se refiere a las auditorías en protección de datos y seguridad de los sistemas como herramientas que configuran una de las medidas de seguridad de detección y verificación del cumplimiento de lo previsto en la normativa. Se mencionan en varios de sus artículos:

El art. 28 establece – “El encargado del tratamiento pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable”.

En el art. 39 – se indica la realización de auditorías como una de las funciones del delegado de protección de datos (DPD), aunque las auditorías no las debe llevar a cabo el propio DPD (que tendrá  funciones de implantación, supervisión y control interno) aunque en la práctica los DPD podrían realizar algunas auditorías, especialmente en entidades pequeñas.

Y en el art. 58.1 – se indica que: “Cada autoridad de control dispondrá de todos los poderes de investigación para llevar a cabo investigaciones en forma de auditorías de protección de datos.”

Las auditorías de protección de datos se centrarán en:

  • La verificación de la adecuación de las medidas y controles al RGPD y otras normativas de aplicación.
  • La identificación de las deficiencias y propuesta de medidas correctoras o complementarias necesarias.

En el caso de empresas que actúan -por la prestación de sus servicios- como encargados del tratamiento, estas auditorías pueden serles requeridas por los responsables por cuenta de los cuales traten los datos, como medida a la hora de seleccionar o valorar la adecuación del proveedor a la normativa vigente.

Por lo tanto, además de implementar medidas de revisión internas, las auditorías periódicas de protección de datos son una medida imprescindible a implementar por todas las organizaciones que lleven a cabo tratamiento de datos, propios y/o de terceros.

Contáctenos para que podamos realizar su auditoría de protección de datos, así como para que podamos ayudarles en la elaboración de sus procedimientos internos de revisión.