Servicio de Auditoría

Una vez finalizado el proyecto de adecuación es muy conveniente conocer cuál es el grado de cumplimiento de la normativa que la organización ha alcanzado y poder así determinar si es suficiente o, si por el contrario, aún resultan necesarios más cambios.

 

Cuando además nos encontremos con ficheros o tratamientos de nivel medio y/o alto, esta posibilidad recomendada se convierte en  obligación.

 

El  objetivo de la auditoría es determinar si se han establecido, si son adecuadas y si se cumplen las medidas de seguridad recogidas en el Título VIII del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

Su realización es obligatoria para ficheros de nivel medio y alto.

 

Puede ser interna o externa, aunque la externa contempla mayores garantías, debido a la independencia, imparcialidad y objetividad de los Auditores.

 

Deberá realizarse al menos cada dos años. Excepcionalmente, si se han realizado modificaciones sustanciales en el sistema de información, deberá realizarse una auditoría para comprobar la adecuación, adaptación y eficacia de las medidas de seguridad. Esta auditoría iniciará el cómputo de dos años.

 

Este servicio se desarrolla mediante:

  1. Análisis actual de la Organización a auditar.
  2. Análisis de los ficheros actualmente declarados en la AEPD mediante cuestionarios y entrevistas que contemplan todos y cada uno de los requerimientos legales, tanto del reglamento como de la Ley.
  3. Informe de Auditoría que refleja
    1.  Deficiencias y Medidas Correctoras
    2. Carencias y Medidas Complementarias
    3. Recomendaciones Generales:
      1. Técnicas
      2. Organizativas
      3. Legales
  4.  Actualización del Documento de Seguridad.
  5. Inscripción de los nuevos ficheros y/o modificación o cancelación de los actuales según proceda en cada caso en base a los resultados de la auditoría.

Cuando un responsable del tratamiento requiera de una auditoría que verifique el cumplimiento normativo en base al principio de responsabilidad proactiva deberá auditar el cumplimiento de la norma en base a la periodicidad que se establezca en la normativa o sea recomendada por las Autoridades de Control.

 

Una auditoría consistirá en base al RGPD en una verificación de todos los aspectos relacionados con el cumplimiento normativo de él derivado.

 

Esta auditoría se concretará en verificar en cada caso los siguientes principios en relación con los datos personales objeto de tratamiento:

  • Licitud
  • Lealtad
  • Transparencia entendida como información
  • Fines determinados explícitos y legítimos
  • Adecuados, pertinentes y limitados a lo necesario
  • Exactos y si fuera necesario actualizados
  • Limitación en el plazo de conservación
  • Tratados con garantías de confidencialidad, seguridad e integridad

Estos parámetros de verificación se auditarán a través de un adecuado estudio de cumplimiento normativo respecto de:

  • El Registro de Actividades de Tratamiento, verificando que se adecúa a la situación real de la empresa, proponiendo las necesarias medidas correctoras o complementarias para su actualización.
  • Análisis de las Medidas de protección de datos desde el Diseño y por Defecto.
  • Verificación de cumplimiento de las medidas de seguridad técnicas adecuadas que garanticen la confidencialidad integridad y seguridad de las actividades de tratamiento en base al estudio de los niveles de riesgo determinados y en su caso la verificación de la seudoanonimización y el cifrado, así como la capacidad de restaurar el sistema.
  • Evaluación de impacto a la protección de datos (en caso de ser necesario), se analizará la metodología utilizada, sus resultados, la implantación de medidas que mitiguen, eliminen o trasladen los riesgos.
  • Consultas previas a la autoridad de control (en caso de ser necesario), verificando la aplicación de las recomendaciones propuestas por la Autoridad de Control.
  • Designación de un DPO (en caso de ser necesario). Verificación de la existencia de un DPO y cumplimiento de sus funciones y obligaciones  (solo en caso de que esta figura sea independiente del Auditor).
  • Notificaciones de violaciones de seguridad, verificación del procedimiento y en caso de que hayan existido, el análisis de las medidas aplicadas para evitar que se repita.
  • Códigos de conducta o certificaciones, en el momento en que el responsable se haya adscrito a estos códigos o certificaciones una valoración completa de su cumplimiento para futuras renovaciones.
  • Cualesquiera otras obligaciones derivadas de la aplicación de la norma y que sean necesarias para el cumplimiento de la obligación de diligencia debida o Accountability.

Téngase en cuenta que no quedan especificados en el RGPD los plazos de realización de auditorías, pero no se debe dejar de lado las siguientes situaciones que requerirán de una auditoría:

  • El desarrollo de nuevas actividades de tratamiento de datos.
  • Las modificaciones sustanciales de las actividades de tratamiento, en especial de su finalidad y usos.
  • Las modificaciones en sistemas y aplicaciones que varíen las condiciones del análisis de riesgos.
  • En cualquier caso tras dos años, deberán verificarse si se mantienen las condiciones de seguridad, integridad, disponibilidad y confidencialidad.