¿Qué es RGPD?¿Tiene mi empresa la obligación de realizar una auditoría de protección de datos? ¿Qué tengo que hacer para cumplir con la protección de datos? Estas son algunas de las preguntas más frecuentes que en materia de protección de datos surgen entre quienes tienen una empresa y tratan datos personales. Ni todas las empresas tienen que tener las mismas medidas de seguridad, ni todas las empresas están obligadas a realizar una auditoría de protección de datos.

Vamos a dar algunas pinceladas con las que esperamos aclarar estas cuestiones.

RGPD ¿Qué es?

RGPD  o GDPR (en inglés) son las siglas de Reglamento General de Protección de Datos y es el Reglamento Europeo que regula la protección de datos de las personas físicas en lo relativo al tratamiento de sus datos y a su libre circulación.

¿Por dónde empiezo para ponerme al día  con la protección de datos?

La primera aproximación puedes realizarla a través de alguna empresa especializada en auditoría de protección de datos, y si quieres tener algunas nociones previas para no sentirte perdido puedes consultar la página web de la Agencia Española de Protección de datos, la  AEPD (aepd.es) que ofrece información muy útil.

Es la AEPD la primera que alerta a pymes y autónomos sobre la existencia de prácticas de algunas empresas que ofrecen servicios de adecuación a la legislación de protección de datos a precios muy bajos o incluso a coste cero y que califica como fraudulentas.

Como se indica por la propia AEPD, “Un servicio de adecuación a una normativa específica requiere, para obtener un resultado correcto, un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, además de un programa formativo para los empleados de la entidad”

Las advertencias que realiza la AEPD van encaminadas a evitar que pymes y autónomos resulten engañados si se les hace creer que no pueden por sus propios medios dar cumplimiento a las normas, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos personales  y garantía de derechos digitales  (LOPDGDD); si se les hace creer que siempre es obligatorio designar un Delegado de Protección de Datos, cuando no es así.

¿Puedo ocuparme yo mismo de adaptar mi empresa a la protección de datos?

Sí, puedes hacerlo. Pero la complejidad y la conveniencia de contar con quien te ayude en esta materia va a depender de los datos que trates, del nivel del  riesgo derivado de la protección de los derechos y libertades de las personas físicas.

Hay empresas que realizan un tratamiento de datos personales que puede calificarse de escaso riesgo, tanto por volumen como por contenido de esos datos.

Es evidente que el riesgo del tratamiento que puede realizar una pyme que se dedica a comercializar pinturas industriales no tiene nada que ver con el riesgo de una empresa que realiza consultas e intervenciones de estética.

En el primer caso los datos tratados apenas serán los de los clientes y proveedores, – que en un gran porcentaje serán datos de empresas y no de personas físicas-, y los del propio personal. Teniendo en cuenta el escaso riesgo de la actividad las medidas de seguridad necesarias seguramente serán mínimas, por lo que, con algo de ayuda, no será muy difícil adaptarse con los medios propios.

En el segundo caso, teniendo en cuenta que la actividad va dirigida no a empresas sino a particulares, que por el tipo de datos que se van a tratar (incluso datos de salud) los riesgos no son escasos, y que será necesario que las medidas técnicas y organizativas para garantizar la protección y evitar brechas de seguridad sean más elevadas, adaptarse sin ayuda puede ser  laborioso y complejo  si no cuentas con quien tenga experiencia y conocimientos técnicos y legales.

¿Y es obligatorio realizar una auditoría de protección de datos?

La respuesta tiene muchos matices entre  los expertos aunque todos coinciden en señalar que en las más recientes normas, el RGDP y la LOPDGDD, no se menciona que la auditoría sea obligatoria.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016  (RGPD) no contiene como obligación expresa la auditoría para verificar el cumplimiento de la protección de datos.

Sin embargo, en su artículo 32.1 señala que el responsable y encargado del tratamiento aplicarán medidas técnicas  y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, en función de los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, así como riesgos de probabilidad y gravedad para los derechos y libertades de las personas físicas.

Y entre esas medidas, el mismo artículo en  la letra d), expresamente se refiere al proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Entonces, ¿ese proceso de verificación, evaluación y valoración equivale a una  auditoría? Lo cierto es que el RGPD no concreta cuál ha de ser ese proceso de verificación y evaluación, por lo que el responsable deberá determinar si utiliza para ello una  auditoría o recurre a un proceso alternativo.

Y el RGPD  hace referencia a las auditorías:

  • En relación con la obligación de los encargados de tratamiento de poner a disposición de los responsables la información necesaria para demostrar el cumplimiento de sus obligaciones, contribuyendo a la realización de las auditorías.
  • Cuando se refiere a las funciones de los delegados de protección de datos (DPD)
  • Al mencionar el contenido de las normas corporativas vinculantes.

Algunos expertos en protección de datos señalan que como el Real Decreto 1720/2007, de 21 de diciembre, que aprueba el reglamento  de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos personales, (RLOPD),  continúa en vigor en todo lo que no contradiga a la regulación del RGPD, es aconsejable seguir utilizando los criterios de dicho reglamento respecto de las auditorías  de protección de datos.

Es decir, que como señala el artículo 96 del RLOPD, la auditoría bianual sería obligatoria para las empresas a partir del nivel medio de seguridad, debiendo someterse a auditoría interna o externa los sistemas de información e instalaciones de tratamiento y almacenamiento de datos.

Y con carácter extraordinario debería realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

En cuanto al contenido del informe de auditoría, debe concluir sobre la adecuación de las medidas y controles a la normativa, identificar las posibles deficiencias y proponer las medidas correctoras o complementarias necesarias. Y debe incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

En palabras de Jorge Torres, Director General de Grupo Adaptalia: ”La no realización de auditoría de protección de datos podría conllevar una sanción grave tal y como señala el artículo 73.f de la LOPDGDD”.

Otros expertos consideran que según el RGPD hay que realizar una auditoría al menos  en aquellos casos en los que la empresa viene obligada a nombrar un delegado de protección de datos (DPD). Y apoyan su opinión en el artículo 39.1 b) que recoge, de forma expresa, entre las funciones del DPD  la supervisión del cumplimiento de las disposiciones sobre protección de datos, las políticas del responsable o encargado del tratamiento, incluidas las auditorías correspondientes.

Al indicar que el DPD debe supervisar las auditorías se está excluyendo la posibilidad de que sea el propio delegado de protección de datos quien realice la auditoría, aunque pueda realizar el control y seguimiento.

Como ni el RGPD ni la LOPDGDD contienen referencia a auditoría externa o interna, es el responsable del tratamiento quien decidirá considerando si dispone de personal con el perfil y experiencia necesarios  y si puede existir conflicto de intereses.

Y en cuanto al alcance de la auditoría a la vista del RGPD, los aspectos que deberían evaluarse dependerán del tipo de organización que vaya a ser auditada aunque habrá que considerar los elementos  legales, organizativos y técnicos.

Entre los legales debería evaluarse si los datos se tratan de forma lícita, según las bases que legitiman ese tratamiento y se enumeran en los artículos 6 y 9 del RGPD; si se cumple con el deber de transparencia hacia el interesado, en los términos del artículo 12 RGPD; si se gestionan los ejercicios de derechos tal como se prevé en los artículos 15 a 22 del RGPD; o si se incluye la protección desde el diseño y por defecto del artículo 25 RGPD.

Como aspectos organizativos deberían evaluarse la estructura de la empresa y la toma de decisiones, la formación del personal y la existencia de normas en esta materia aplicables tanto a empleados como a colaboradores.

Y entre los elementos técnicos, debería evaluarse si estos garantizan la confidencialidad, integridad, disponibilidad y resiliencia  permanentes de los sistemas y servicios de tratamiento a los que se refiere el artículo 32 del RGPD.

Aunque no estés obligado a designar un delegado de protección de datos ni a realizar una auditoría  nada te impide hacerlo de forma voluntaria. Teniendo en cuenta el cumplimiento de los principios de responsabilidad proactiva y enfoque de riesgos la auditoría puede ser el instrumento más adecuado para cumplir con la normativa, y te permitirá:

  • Verificar la implantación de las medidas necesarias para cumplir la normativa de protección de datos.
  • Probar el cumplimiento y la eficacia de las medidas.
  • Revisar y actualizar las medidas.

¿Te ha resultado útil esta información?

Haz click en las estrellas para valorarlo

Valoración media / 5. Total votos:

Nos alegra que te haya resultado útil

Estaríamos muy agradecidos si además nos escribes, en un minuto, una reseña positiva en Google , para ayudarnos a seguir escribiendo contenido relevante gratuito.
HAZ CLIC EN ESTA IMAGEN
Entra en Google y haznos unas reseña

Y síguenos en redes sociales para estar al día de nuevos contenidos

Sentimos que no te haya resultado útil

Intentaremos mejorar este contenido

Redacción CDE

Redacción CDE

Redacción CDE

Latest posts by Redacción CDE (see all)