Blog

¿ES OBLIGATORIO REALIZAR AUDITORIAS DE PROTECCION DE DATOS?

Desde mayo de 2018 es de aplicación el Reglamento General de Protección de Datos (RGPD) y muchas empresas y/o profesionales todavía se preguntan si como consecuencia de ello es obligatorio realizar auditorías periódicas de protección de datos.

Dichas dudas se suscitan en muchos casos porque dicha obligación si venía impuesta expresamente por la antigua LOPD 15/1999, al regular de forma expresa la obligatoriedad de realizar una auditoría de seguridad, interna o externa, bienal de los sistemas de información.

El nuevo Reglamento y la nueva Ley Orgánica de Protección de datos 3/2018 no establecen de manera expresa la obligación de realizar una “Auditoría de Seguridad” en un periodo concreto de tiempo, si bien, ello no significa que no haya que realizar “auditorias” o “controles periódicos” con el objeto de verificar el cumplimiento de la norma.

Dicha obligación de realizar “auditorias” o “controles periódicos”, se deduce con claridad de una lectura e interpretación sistemática de la norma y de los principios que la rigen que, indudablemente, nos llevan a la conclusión de la necesidad ineludible de realizar dichas auditorias y/o controles periódicos.

En primer lugar, debemos tener en cuenta el principio de responsabilidad proactiva o la diligencia debida, regulado en el Artículo 24 del Reglamento (UE) 2016/679 (RGPD)  que establece como obligación del responsable y del encargado aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con dicho Reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, imponiendo al responsable la obligación de revisar y actualizar dichas medidas cuando sea necesario

Para poder cumplir con la anterior obligación, determinar y analizar la idoneidad de las medidas de seguridad implementadas, así como el grado de cumplimiento de la norma por parte de los responsables, se hará necesario realizar auditorías y/o controles periódicos que permitan verificar en cada momento dicho extremo, siendo preferible y muy recomendable documentar la realización de dichos controles y/o auditorias, entre otros muchos motivos, para ayudarnos a acreditar el cumplimiento de la norma.

Por si hubiera alguna duda sobre la obligación de realizar auditorías y/o controles periódicos, el artículo 32.1.d, también del RGPD, impone expresamente la obligación al Responsable y al encargado de tratamiento de establecer un procedimiento de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

En cumplimiento de lo anteriormente indicado en cualquier momento en el que se advierta o ponga en evidencia que una medida de seguridad pueda resultar insuficiente o haya dejado de serlo, el responsable y/o el encargado del tratamiento procederá sin dilación a establecer una medida apropiada a fin de garantizar la seguridad e integridad de los datos de carácter personal y, en consecuencia, el cumplimiento de la normativa.

En resumen, si bien el RGPD no emplea el término “auditoria” ni establece de manera expresa  un periodo para su realización, se puede deducir sin ningún género de dudas la obligación de realizarlas (llámense auditorias y/o controles periódicos), y su frecuencia no será una fija y/o determinada sino la necesaria como para poder verificar el grado de cumplimiento de la norma y la eficacia de las medidas de seguridad implementadas, siendo muy aconsejable su documentación con el objeto de que pueda servir, además de para poder realizar dicha labor de una manera más sistemática y eficaz, para poder acreditar el cumplimiento de la norma y la realización de dichos controles y/o auditorias de forma periódica.

El objetivo principal de dichos controles y/o auditorias es, por lo tanto, detectar posibles incumplimientos de la norma y, por lo tanto, poder subsanarlos, detectando y/o previendo potenciales infracciones y evitar la imposición de sanciones, sirviendo, además, para verificar el nivel de madurez y compromiso de la entidad con el cumplimiento de la norma, alcanzando de esta forma una mejor reputación y confianza de cara a los usuarios y un valor añadido.

 

Abrir chat
¿Necesitas ayuda?
Hola
¿En que podemos ayudarte?