Desde 1999 estamos familiarizados con la realización de auditorías bienales a muchos de nuestros clientes para determinar si las medidas de seguridad aplicadas a los datos personales se habían establecido debidamente, si eran adecuadas y si cumplían con la antigua -y ya derogada- normativa sobre protección de datos (LOPD 15/1999).
Si bien con la irrupción del RGPD 2016/679 y la nueva LOPD-GDD 3/2018 no se establecen indicaciones expresas sobre esta cuestión de las auditorías, a nuestro entender sí que se realizan referencias que dejan bien a las claras la necesidad de continuar realizando auditorías en algunos casos… Pero ya se trata de auditorías “a la vieja usanza” (por obligación legal según determinados casos establecidos reglamentariamente), sino que ahora deben ser proactivas, puesto que cada responsable y cada encargado habrá aplicado las medidas de seguridad que correspondan tras haber realizado el análisis de riesgos a cada uno de los tratamientos.
Todo ello en base a los nuevos conceptos de responsabilidad proactiva o diligencia debida recogidos en el art. 5 del RGPD, de los que se infiere que no sólo debemos cumplir con los principios reglamentarios sino que además tenemos que ser capaces de demostrarlo, y de acuerdo también con las referencias que establece el art. 32 del RGPD cuando en su apartado 1.d) establece que, tanto responsable como encargado, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros, un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Sí podemos estar de acuerdo en que la actual normativa no especifica ni el cómo ni el cuándo realizar las auditorías, y básicamente se justifica su realización en la aplicación del principio de responsabilidad proactiva, de manera que la decisión sobre esos dos extremos se deja en manos del responsable o el encargado. Por ello, y en base a lo establecido anteriormente, en muchos casos recomendamos la realización de auditorías en protección de datos.
Nuestros sistemas de auditoría realizarán las siguientes actuaciones:
- Un completo análisis de cumplimiento normativo RGPD y LOPD-GDD (normativo, organizacional y técnico)
- Un detallado análisis de las medidas correctoras y/o complementarias de auditorías anteriores, aunque estén referidas a la LOPD 15/1999 o al Titulo VIII de su Reglamento.
- Un completo chequeo de las medidas de seguridad adoptadas conforme al análisis de riesgos realizado y actualmente en vigor, bien por defecto, bien incluido en una EIPD.
- Una completa revisión del Registro de Actividades de Tratamiento para verificar si se ajusta al contexto y situación actual de la organización, así como una valoración de su contenido.
- Una completa revisión de la documentación actualmente utilizada, con especial incidencia en clausulas informativas, contratos de encargo, solicitud de consentimiento, etc.
- Los resultados de todo este proceso de análisis se verán reflejados en el correspondiente Informe de Auditoría en materia de protección de datos, muy útil para poder avanzar en el proceso de mejora continua en materia de privacidad y para poder cumplir el principio de responsabilidad proactiva y diligencia debida (accountability).