Consultores RGPD
Vaya al Contenido

Auditorías RGPD

Servicios
Auditorías de cumplimiento RGPD

Normativas aplicables
• Reglamento General de Protección de Datos, Reglamento (UE) 2016/679 (GDPR-RGPD).
• Ley Orgánica (ES) 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
• E-Privacy Regulation (pendiente de aprobación UE)
Plazos
Las auditorías de protección de datos bajo el RGPD no tienen plazo de realización asignado ya que forman parte de la documentación del Responsable para demostrar su cumplimiento
Realización de auditorías de protección de datos
La entrada en vigor del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) supuso un cambio radical en la forma en la que las empresas debían cumplir sus obligaciones en materia de protección de datos.

En España disponíamos del "guion" para realizarlas que nos proporcionaba la antigua LOPD 15/1999 y su Reglamento de desarrollo, el RDLOPD 1720/2007 (art. 96), pero el RGPD nos obligó a diseñar y evaluar nuestras propias medidas, según resultaran necesarias en nuestra organización, pero que pudieran garantizar el cumplimiento con el RGPD y la LOPDGDD.

Ni el Reglamento General de Protección de Datos, ni la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), establecen obligaciones explícitas por las que haya que realizar una auditoría de cumplimiento, pero sí existe la obligación de cumplir el "principio de responsabilidad proactiva" (art. 5.2 del RGPD), por lo que el responsable, como "debe cumplir y además ser capaz de demostrarlo", deberá ir recogiendo evidencias de su cumplimiento, por lo que una auditoría de protección de datos también puede serle de utilidad.

Una auditoría de protección de datos tiene por objeto comprobar el grado de adecuación de la entidad a la normativa vigente de protección (RGPD y LOPDGDD).

El objetivo final de la misma es verificar el grado de adecuación de la entidad a las medidas y controles de la normativa en Protección de Datos, identificando sus deficiencias y proponiendo las medidas correctoras o complementarias necesarias. A su vez, debe incluir los datos, hechos y observaciones en los que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Solicita una Auditoría
Contacta con nosotros para solicitar una auditoría de cumplimiento
¿Qué aspectos se deben revisar en una Auditoría de protección de datos?
Los puntos básicos a revisar en una Auditoría de protección de datos serían:
  • Aspecto Técnico: se debe revisar el cumplimiento de las medidas de seguridad que deben cumplir cada uno de los tratamientos de datos que realiza la entidad conforme a su registro de actividades.
  • Aspecto Organizativo: se deben revisar los procedimientos normativos y reglas de seguridad elaborados e implantados por la entidad.
  • Aspecto Jurídico: se debe revisar la tipología de los datos almacenados en los sistemas de información y aplicaciones informáticas, y se debe realizar un análisis de riesgos que determine si la entidad debe realizar una Evaluación de impacto de algunos de los tratamientos que realiza o debe contar con un Delegado de protección de datos.


FASES DEL PROCESO DE AUDITORÍA
El proceso de auditoría generalmente requiere de los siguientes pasos:

  • Recopilación de información: Obtención de documentación relevante, políticas, procedimientos y registros relacionados con la protección de datos en la organización.
  • Evaluación de procesos: Revisión detallada de cómo se recopilan, almacenan, procesan y comparten los datos personales en la organización.
  • Identificación de riesgos y deficiencias: Identificación de posibles áreas donde la organización no cumple con los requisitos del RGPD o donde existen riesgos de incumplimiento.
  • Recomendaciones: Proporcionar recomendaciones y acciones correctivas para abordar las deficiencias identificadas y mejorar el cumplimiento con el RGPD.
  • Informe de auditoría: Presentación de un informe detallado que resuma los hallazgos de la auditoría, incluyendo los puntos fuertes y las áreas que requieren mejoras.
  • Seguimiento y revisión: Después de implementar las recomendaciones, es importante realizar un seguimiento y revisión periódica para asegurarse de que la organización siga cumpliendo con las regulaciones de privacidad de datos.

Las auditorías RGPD son una herramienta fundamental para garantizar que las organizaciones manejen los datos personales de manera responsable y cumplan con las obligaciones legales. También ayudan a fortalecer la confianza de los clientes y las partes interesadas al demostrar un compromiso serio con la privacidad de los datos.
¿Dónde se menciona en el RGPD o en la LOPDGDD la obligación de realización de una auditoría?
Existen varias referencia en el RGPD:
  • Art. 28.3h (Encargados del tratamiento): "pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable".
  • Art. 39.1b (DPO y sus funciones): al detallar la función de supervisión del cumplimiento de la normativa de protección de datos por el DPD establece que ello incluirá: "... la asignación de responsabilidades, la concienciación y formación del
    personal que participa en las operaciones de tratamiento, y las auditorías correspondientes"
  • Art. 47.1j (Normas corporativas vinculantes): cuando al establecer el contenido de las mismas se refiere a que incluirán los mecanismos que permitan garantizar la verificación de su cumplimiento y especifica que: "... Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado..."

En cuanto a la LOPDGDD, la única referencia la encontramos en el art. 54.1 (
Planes de auditoría), indicando que "La Presidencia de la Agencia Española de Protección de Datos podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad. Tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría".
Otros servicios relacionados
Servicios Jurídicos
• Asesoramiento a las entidades ante inspecciones de la Agencia Española de Protección de Datos o ante el traslado de reclamación y solicitud de información.
• Defensa jurídica ante la AEPD. Recursos contencioso-administrativos.
Representante en la UE
Servicio para Responsables establecidos fuera de la UE que tratan datos personales de personas que se encuentren en la Unión, ofreciéndoles bienes o servicios o controlando su comportamiento
Delegado de protección de datos
• Servicio de DPD-DPO externo.
• Servicio de ayuda al DPO interno.
Consulte si por su actividad necesita implantar un DPD en su empresa y la necesidad o no de contratar el servicio externo (puede nombrarse como DPD a una persona de la organización)
Evaluación de impacto
Servicio para la elaboración de una Evaluación de Impacto en la protección de los datos personales (DPIA-EIPD).
Consulte si, en función a las actividades de tratamiento que se llevan a cabo con los mismos, está obligado a su realización.
Formación RGPD
Cursos de formación online (programados o autoaprendizaje), con emisión de certificados de aprovechamiento.
Formación para Usuarios, Responsable del tratamiento, Encargado de Seguridad y Encargado del ejercicio de derechos.
Servicios informáticos
• Aplicación de medidas técnicas en los equipos del Cliente (por medio de acceso remoto).
• Formularios de captación y obtención del consentimiento a medida (personalizados con logos de la entidad)
• Diseño HTML para firmas de correo electrónico personalizados.
Políticas de seguridad de la información
Políticas personalizadas y adaptadas a la entidad:
• Ampliación de las políticas de seguridad de la empresa para entidades que así lo requieran.
• Directivas de uso para: control de acceso, uso adecuado del correo electrónico, uso del equipo informático y sistemas de información, internet, uso legal del software, formación del personal, para la seguridad física y del entorno, uso de la web corporativa.
Auditor RGPDRecomendaciones y otra información
Las auditorías RGPD pueden ser realizadas internamente por la propia organización o externamente por auditores especializados en privacidad y protección de datos.
• Si la organización cuenta con DPO, éste debe encargarse de indicar al Responsable cuándo y cómo debe realizar la auditoría.
• Se pueden encontrar herramientas útiles para realizar una auditoría en la página web de la AEPD, como:
- La "Guía-listado de cumplimiento normativo del RGPD"
- "Hoja de ruta básica para la aplicación del RGPD y la LOPDGDD"
- "Gestión del riesgo y evaluación de impacto en tratamientos de datos personales"
- "Guía de Buenas Prácticas en Auditorías RGPD de ISMS Forum"
Regreso al contenido