La auditoría de protección de datos no es obligatoria según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) . Aún así, las empresas responsables del tratamiento de datos de sus clientes deben adoptar medidas para proteger lo máximo posible la información y los datos personales que tienen que custodiar; así como confirmar la seguridad de sus sistemas. Las auditorías consisten en evaluarlos sistemas y medios que tiene la empresa para tratar la información y los datos personales, cómo gestionan éstos, y las medidas de seguridad que tienen implementadas y su eficacia; con el objetivo de determinar cuál es el grado de cumplimiento de la normativa sobre protección de datos.
Hay varios tipos de auditorías que explicaremos más detalladamente, por lo que la empresa puede escoger la forma en la que evaluar su nivel de cumplimiento de la normativa. Cabe mencionar que la auditoría se ha de realizar en diferentes fases para recabar el máximo de información posible que posteriormente será evaluada y los resultados plasmados en un informe que recibirá tanto la Dirección de la compañía como los encargados de gestionar la protección de datos en la misma.
Auditoría en protección de datos en RGPD
La auditoría en protección de Dato no es obligatoria. Sin embargo, el RGPD establece claramente la obligación de evaluar la eficacia de las medidas técnicas y organizativas adoptadas y, sin duda, la auditoría es el instrumento idóneo para lograr este fin. En concreto, debe destacarse:
- Artículo 32 RGPD: incluye como medida apropiada “Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
- Artículo 24 RGPD: dispone que “Dichas medidas se revisarán y actualizarán cuando sea necesario”.
En consecuencia, aunque el RGPD no establezca la obligatoriedad de realizar una auditoría, sí es altamente recomendable realizarla para detectar problemas y verificar que las medidas adoptadas para proteger los datos de los clientes, potenciales clientes, empleados, etc son apropiadas. Las auditorías son un medio necesario para que la empresa conozca la “foto” o el grado de cumplimiento de la normativa sobre protección de datos.