ü LA AUDITORÍA EN EL RGPD

 

Una auditoría consistirá en una verificación de todos los aspectos relacionados con el cumplimiento normativo derivado del RGPD.

 

Esta auditoría se concretará en verificar en cada caso, y en relación con los datos personales objeto de tratamiento, los siguientes principios: 

  • Licitud
  • Lealtad
  • Transparencia entendida como información
  • Fines determinados explícitos y legítimos
  • Adecuados, pertinentes y limitados a lo necesario
  • Exactos y si fuera necesario actualizados
  • Limitación en el plazo de conservación
  • Tratados con garantías de confidencialidad, seguridad e integridad

Estos parámetros de verificación se auditarán a través de un adecuado estudio de cumplimiento normativo respecto de:

 

El Registro de Actividades de Tratamiento, verificando que se adecúa a la situación real de la empresa, proponiendo las necesarias medidas correctoras o complementarias para su actualización.

 

  • Análisis de las Medidas de protección de datos desde el Diseño y por Defecto
  • Verificación de cumplimiento de las medidas de seguridad técnicas adecuadas que garanticen la confidencialidad integridad y seguridad de las actividades de tratamiento en base al estudio de los niveles de riesgo aplicados y en su caso la verificación de la seudoanonimización y el cifrado, así como la capacidad de restaurar el sistema
  • Evaluación de impacto a la protección de datos (en caso de ser necesario), se analizará la metodología utilizada, sus resultados, la implantación de medidas que mitiguen, eliminen o trasladen los riesgos
  • Consultas previas a la autoridad de control (en caso de ser necesario), verificando la aplicación de las recomendaciones propuestas por la Autoridad de Control.
  • Designación de un DPO (en caso de ser necesario). Verificación de la existencia de un DPO y cumplimiento de sus funciones y obligaciones  (solo en caso de que esta figura sea independiente del Auditor)
  • Notificaciones de violaciones de seguridad, verificación del procedimiento y en caso de que hayan existido, el análisis de las medidas aplicadas para evitar que se repita.
  • Códigos de conducta o certificaciones, en el momento en que el responsable se haya adscrito a estos códigos o certificaciones una valoración completa de su cumplimiento para futuras renovaciones.
  • Cualesquiera otras obligaciones derivadas de la aplicación de la norma y que sean necesarias para el cumplimiento de la obligación de diligencia debida o Accountability.

 

Tengase en cuenta que no quedan especificados en el RGPD los plazos de realización de auditorías, pero no se debe dejar de lado las siguientes situaciones que requerirán de una auditoría:

 

  • El desarrollo de nuevas actividades de tratamiento de datos.
  • Las modificaciones sustanciales de las actividades de tratamiento, en especial de su finalidad y usos
  • Las modificaciones en sistemas y aplicaciones que varíen las condiciones del análisis de riesgos
  • En cualquier caso tras dos años, deberán verificarse si se mantienen las condiciones de seguridad, integridad, disponibilidad y confidencialidad.

 

Los procesos de auditoría anteriores al RGPD 2016/679 se harán conforme determina la actual normativa (LOPD 15/1999), y su objetivo será determinar si se han establecido las medidas de seguridad recogidas en el Reglamento de desarrollo de dicha Ley Orgánica, si las medidas son adecuadas y si éstas se cumplen.