¿ Qué es una Auditoría de Protección de Datos ?
De acuerdo con la Real Academia de la Lengua Española, una auditoría es una revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que debe someterse. En materia de protección de datos, las reglas o criterios son los establecidos por el RGPD 679/2016 y la LOPD 3/2018, y la “situación o actividad” es la entidad a la que vamos a auditar junto con sus procesos, inventario de activos, … etc.
¿ Es obligatorio hacer Auditoría de protección de datos ?
De acuerdo con los artículos 28.3.h, 39.1.b, 47.2.j y 58.1.b del RGPD 679/2016, estamos obligados a realizar las auditorías pertinentes, con la finalidad de poder garantizar que cumplimos con las medidas técnicas, organizativas y legales para proteger los datos de carácter personal que tratamos.
¿ Cómo se hace una Auditoría LOPD ?
El Módulo de Auditorías de la plataforma euroLOPD®, ha sido desarrollado para cumplir con dicha normativa y nos permitirá realizar cualquier de tipo de auditoría, ya sea de cumplimiento legal o bien de carácter técnico verificando si las medidas técnicas adoptadas por la entidad son eficaces para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de carácter personal que manejan. Lógicamente, dentro de este módulo se irán almacenando cronológicamente todas las auditorías realizadas para un cliente determinado, pudiendo además archivar los informes finales correspondientes dentro en el Repositorio del Cliente dentro de la categoría de “Auditorías”.
Plantillas de Auditorías
Dentro de la plataforma euroLOPD® podemos crear “Plantillas de Auditorías”, que nos permiten disponer de “plantillas” para realizar las Auditorías que necesitemos. Este sistema de trabajo permite ahorrar mucho tiempo, y nos ofrece una especie de guión de trabajo con el que realizar la auditoría. Esto significa que no hay que partir de cero a la hora de realizar una auditoría. Por defecto, en la plataforma euroLOPD® ponemos a tu disposición dos plantillas básicas, que si lo deseas puedes duplicarlas y en base a ello crear tu propia plantilla:
· Auditoría de Seguridad para verificar la eficacia de las medidas de seguridad.
· Auditoría de Cumplimiento Normativo (RGPD 679/2016 y LOPDGDD 3/2018).
¿ Quién puede hacer una Auditoría ?
El RGPD no indica un perfil concreto aunque lógicamente podemos intuir que dicho perfil puede ser técnico o jurídico, y que debe tener amplios conocimientos sobre seguridad de la información, y sobre normativa legal respectivamente. Las auditorías es recomendable que sean encargadas a terceras partes con el fin de garantizar que sean imparciales y objetivas. En esta línea, no es recomendable que el DPO (Delegado de Protección de Datos) sea el que realice la auditoría, salvo que la entidad sea muy pequeña. En otras situaciones, el DPO será quien supervise la auditoría.
¿ Cada cuánto tiempo hay que hacer auditorías ?
En el RGPD y LOPDGDD, no hay ninguna indicación sobre el período de tiempo para realizar las auditorías. La recomendación lógica, sería que se realicen al menos una vez al año, al igual que ocurre con el resto de auditorías empresariales, como las auditorías de cuentas contables, auditorías de calidad ISO 9001, …. etc.