USO DE COOKIES

Esta web utiliza 'cookies' propias y de terceros para ofrecerle una mejor experiencia y servicio. Al navegar o utilizar nuestros servicios el usuario acepta el uso que hacemos de las 'cookies' Más información

  • Teléfono de contacto
  • (+34) 941 132 859
Menú

¿Son realmente obligatorias las auditorias de protección de datos?

la rioja abogados

volver al listado

 

 ¿Son realmente obligatorias las auditorias de protección de datos?
NOV
28

Publicado en Jurisprudencia
Publicado por

"Las empresas deben auditar periódicamente su plan de protección de datos no solo por el componente de obligatoriedad legal que les aplica, sino también por razones éticas como parte de la responsabilidad social corporativa.

La ya derogada Ley Orgánica 15/1999 de Protección de Datos, y el Real Decreto 1720/2007, establecían auditorías obligatorias cada dos años para los responsables que trataban datos de nivel alto. En la regulación vigente, concretamente el Reglamento General de Protección de Datos (RGPD) y la ley 3/2018 de 5 de diciembre de Protección de Datos y Garantías de los Derechos Digitales, la obligatoriedad de las auditorías no viene dada por el sentido literal de la norma vigente, sino por la obligación de evaluar la eficacia de las medidas implantadas. El Art. 32.1.d) del RGPD establece que el Responsable implementará las medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo que incluirá “un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”. Como puede apreciarse en este precepto, si bien el legislador no establece taxativamente la obligación de auditar, obliga a verificar, evaluar y valorar regularmente. Pero ¿cómo evaluamos la eficacia de las medidas, si no es auditando nuestro plan de protección de datos?

Las normas vigentes de protección de datos establecen un sistema de responsabilidad activa, en el que el Responsable deberá, además de cumplir, demostrar que ha cumplido. El informe de auditoría conformará esa salvaguarda que permitirá acreditar que no solo hemos implantado las medidas, sino que además las hemos evaluado regularmente.

En relación con la periodicidad, tampoco se marca un plazo obligatorio, siendo necesario evaluar “regularmente”. Una vez más, el legislador deja el balón en manos del Responsable, que deberá interpretar la regularidad establecida. Entra entonces en escena el análisis de riesgos, puesto que, a mayor riesgo en el tratamiento, mayor regularidad deberá aplicarse en los controles. Factores como la naturaleza, el alcance, el contexto y los fines del tratamiento, la probabilidad y gravedad de potenciales incidentes de protección de datos, el tratamiento a gran escala habitual y sistemático, la complejidad de las cesiones o transferencias internacionales, o el tratamiento de categorías especiales de datos, podrían apuntar una mayor periodicidad en los controles. En cualquier caso, la determinación de esta “regularidad” debe quedar reflejada en el plan de protección de datos, y los informes de auditoría deberán conservarse para demostrar un cumplimiento activo de la normativa de protección de datos.

Las auditorías podrán ser externas o internas, puesto que la norma no distingue en este sentido. Sin embargo, las auditorías internas, llevadas a cabo por el propio responsable o delegado de protección de datos que ha implantado las medidas, podrían verse claramente afectadas por conflictos de intereses. Un asesor que se evalúe a si mismo, tiene mayor probabilidad de emitir un informe satisfactorio (sin serlo), que un asesor externo, cuya visión será considerablemente más crítica y constructiva. Si bien realizar periódicamente evaluaciones internas puede ser un mecanismo de mejora continua, serán las auditorías externas las que ofrezcan mayor seguridad a la empresa. El auditor seleccionado deberá tener profundos conocimientos de la normativa de protección de datos y de la regulación sectorial, siendo preciso que su cualificación profesional sea acreditable.

La evaluación periódica de la efectividad de las medidas deberá realizarse mediante controles específicos, que deberán abarcar los aspectos legales y organizativos, así como técnicos.

Las auditorías, además de garantizar el cumplimiento de la legalidad, contribuyen a prevenir y detectar amenazas, así como a mitigar los riesgos en protección de datos. Un Plan de protección de datos que no sea efectivo, pone a la empresa en situación inseguridad, que puede derivar en daños a la privacidad de los interesados, así como en daños económicos y reputaciones irreversibles para la empresa. En consecuencia, debemos auditar nuestras medidas de protección de datos con la regularidad que corresponda al tipo de tratamiento de datos que realizamos. Y lo auditaremos no solo porque la ley lo establece, sino también porque la privacidad de nuestros clientes y empleados nos importa, tanto como nos importa garantizar la continuidad de nuestro negocio y su reputación."

Fuente: Diario Jurídico - diariojuridico

Martín abogados
  • Calle del general Gallarza, 18, 26500 Calahorra, La Rioja Spain
  • Contacte con nosotros
  • (+34) 941 132 859
  • (+34) 941 132 563
  • Siguenos también en :

ÚLTIMOS TWEEETS