Hasta mayo de 2018, fecha de aplicación del actual Reglamento General de Protección de Datos, las auditorías en materia de protección de datos constituían una de las obligaciones previstas en la normativa aplicable. Más concretamente, el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan datos de carácter personal (RD 994/99), contemplaba la necesidad de realizar una auditoría de protección de datos, al menos cada dos años, en aquellos casos en que las empresas tratasen datos de nivel medio y/o alto.
¿Por qué es importante la auditoría del RGPD?
Es esencial destacar en primer lugar, el artículo 32 del Reglamento General de Protección de Datos, el cual a través de su apartado 1.d) considera que entre las medidas técnicas y organizativas que han de aplicar los responsables y encargados de tratamientos destinadas a garantizar un nivel de seguridad adecuado al riesgo, es preciso que incluyan, entre otras,
un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
Asimismo, procede acudir al artículo 39 de este mismo reglamento, en el que se cita intencionadamente entre las funciones asignadas al Delegado de Protección de Datos (en adelante, DPD), la relativa a la supervisión del cumplimiento de lo dispuesto en el reglamento, del resto de disposiciones en la materia, de las políticas de la entidad, así como de las auditorías correspondientes.
Por tanto, el RGPD si prevé, al menos en los casos en los que la entidad esté sometida a la obligación de designar un DPD, la realización de auditorías como procedimientos de verificación, revisión y evaluación del cumplimiento de la normativa en materia de protección de datos.
Cabe destacar, además, que de cara a garantizar la independencia del DPD y para que el cumplimiento de sus funciones quede dentro del alcance de dicha auditoría, que la misma deberá ser llevada a cabo por una persona diferente del DPD.
Verificación y evaluación del RGPD
Como consecuencia lógica de lo anterior, es razonable suponer que ya no existen esos supuestos concretos en los que anteriormente resultaba de obligado cumplimiento la realización de una auditoría de protección de datos, al margen del supuesto en el que resulte obligatorio el nombramiento del DPD. Pero por otro lado, resulta complicado pensar que sea posible llevar a cabo de forma satisfactoria “el proceso de verificación y evaluación”, que sí prevé el Reglamento, si no es realizando una auditoría RGPD.
Adicionalmente, cabe exponer que el principio de responsabilidad proactiva constituye el eje central del RGPD y requiere para su cumplimiento, una actitud consciente, diligente y continua por parte de las entidades. Dicha actitud no se basa únicamente en reaccionar cuando algo ocurre, sino que exige ir siempre por delante, por lo que, de forma preventiva, se han de implantar las medidas de seguridad y controles dirigidas a garantizar la privacidad de los datos personales. Una razón de peso para implantar las auditorías entre nuestros procesos.
Una ejecución periódica de auditorías resulta imprescindible para la obtención de múltiples ventajas en nuestro sistema.
Resulta evidente, en primer término, que las auditorías sacarán a la luz las deficiencias existentes en materia de protección de datos, por lo que constituirán a su vez oportunidades de mejora que acercarán a las empresas a un mayor nivel de cumplimiento y concienciarán a sus empleados de la importancia de la materia. Asimismo, contribuirán a eludir sanciones, ya que con ellas se reforzarán los controles para evitar la pérdida, alteración o acceso no autorizado a datos personales. Máxime cuando dichas auditorías constituyen el ejemplo más claro de la materialización del principio de responsabilidad proactiva; atenuante y eximente de sanciones.
En GlobalSuite Solutions contamos con un equipo de auditoría, compuesto tanto por profesionales jurídicos con amplios conocimientos en la normativa aplicable en materia de auditoría RGPD, así como por profesionales técnicos especializados en seguridad de la información.
A través de esta dualidad de perfiles, altamente cualificados, garantizamos abordar con éxito las auditorías que su empresa necesita para alcanzar un total cumplimiento. Las claves de ello es que se programarán reuniones con las diferentes áreas de la empresa, se solicitarán evidencias y se elaborará un exhaustivo informe donde se detallarán no sólo las desviaciones resultantes, sino, además, recomendaciones de mejora de nuestro equipo auditor con buenas prácticas en su sector en materia de protección de datos.