Las auditorías de protección de datos son evaluaciones sobre cómo se tratan los datos personales de carácter personal con los que trabaja la empresa, así como de su gestión y de las medidas de seguridad implementadas, de quién se hace responsable de esta información sensible y la finalidad por la que se recoge.
Según el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), no es obligatorio realizar la auditoría de protección de datos, sin embargo, es recomendable.
Para comprobar que las medidas adoptadas son eficaces, se debe llevar a cabo este tipo de auditorías, ya que el incumplimiento del deber de seguridad en cuanto a información sensible se refiere, conlleva sanciones graves con multas de 40.000 euros a 300.000 euros.
A pesar de que la no realización de la auditoría no es sancionable, la pérdida, la alteración, el acceso o el tratamiento no autorizado de los datos de carácter personal sí lo es.
Para la realización de las auditorías del RGPD/LOPD hay que tener en cuenta lo siguiente:
- La auditoría puede ser interna o externa. Es recomendable que sea realizada por profesionales con formación acreditada en la materia y se realice de forma externa para garantizar la objetividad.
- El Informe de Auditoría debe hacerse, mínimo, cada dos años. El plazo en el que prescribe la sanción por incumplimiento de la evaluación de las medidas es de 24 meses y el informe no se envía a la Agencia Española de Protección de Datos (AEPD), sino que se debe conservar para ponerlo a su disposición cuando la agencia lo solicite.
- Se debe verificar el cumplimiento de las medidas de seguridad. Es obligatoria la verificación, evaluación y valoración regular de las medidas técnicas y organizativas implantadas por la empresa.
- Se establece como función del Delegado de protección de datos (DPO) supervisar el cumplimiento de la normativa de protección de datos y de las políticas internas de la empresa, y en los casos en los que sea obligatorio contar con un DPO, este tendrá la obligación de analizar y revisar el informe de auditoría realizado para el cumplimiento de la normativa.
- El informe de Auditoría debe ser revisado por el responsable de seguridad o de tratamiento y DPO para que puedan llevar a cabo las correcciones pertinentes e implementen las medidas de seguridad faltantes.
- Cuando el responsable lo solicite, es obligatorio elaborar el Informe de Auditoría para el encargado del tratamiento de los datos personales.
En ISB Consultoría somos expertos en la elaboración de Auditorías de Protección de Datos, para asegurar el correcto tratamiento de los datos de carácter personal y adaptar tu empresa a los Reglamentos actuales. Te ayudamos a cumplir con las medidas de seguridad.
Consúltanos sin compromiso en el 94 454 2970 o a través del siguiente formulario: