La auditoría de protección de datos personales es una evaluación del manejo y manejo de los datos personales por parte de la empresa, las medidas de seguridad implementadas, su efectividad, el responsable y la finalidad de la recolección de los datos. El propósito de la auditoría de la empresa es verificar si las acciones que realiza cumplen con los requisitos de la ley. Puede ser interno, realizado por la propia empresa, o puede ser la contratación de expertos. Investiga la situación actual de la empresa, verifica si la recogida, tratamiento y/o almacenamiento de datos personales por parte de la empresa cumple con la normativa establecida en la LOPD, analizar si existen despachos y/o traslados internacionales, y si los trámites son correctos de acuerdo con la ley. Verifica que exista un contrato con una persona o entidad que tenga acceso a los datos. Igualmente, revisan las políticas internas de la empresa y, si existe una auditoría previa, revisan las deficiencias que haya podido tener.
Como uno de sus objetivos, las auditorías de protección de datos deben verificar y cumplimentar defectos que puedan poner en riesgo los datos personales tratados por la empresa. Un buen punto de partida para realizar esta función es utilizar documentación de seguridad y comprobar qué medidas técnicas y organizativas se han implementado para garantizar la seguridad de los datos, cuáles no se han implementado y cuáles pueden tener alguna vulnerabilidad que deba corregirse. Además, se deben revisar las medidas de seguridad de los sistemas informáticos de la empresa para verificar las deficiencias y proponer las medidas correctoras necesarias para subsanarlas. Esto incluye la seguridad de la base de datos de la empresa, para lo cual podemos utilizar herramientas de auditoría y protección de bases de datos (DAP), que nos ayudarán a mantener un control de seguridad continuo y poder realizar revisiones pequeñas pero regulares de la misma.
El 27 de abril del 2016, la entrada en vigor de un nuevo reglamento relativo a la protección de las personas físicas sobre el tratamiento de datos personales y, a la libre circulación de los datos, supuso un cambio 360 para el cumplimiento de las obligaciones por parte de las organizaciones. A partir de entonces, son las empresa las que deben diseñar y evaluar las medidas necesarias para garantizar que se cumplen con las normativas.
El 6 de diciembre del 2018, entró en vigor la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, sustituyendo a la anterior del año 1999, cuyo objetivo era adaptar la legislación española a la normativa europea que está vigente desde el 25 de mayo del 2018. La finalidad de la nueva ley es la de proteger la intimidad, privacidad e integridad del individuo, cumpliendo con la Constitución Española.
La nueva y actual ley de 26 de mayo del 2021, cuyo objetivo es establecer las normas de protección de personas físicas, para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales.
Índice de contenidos
Tipos de auditoría de protección de datos
Las auditorías pueden ser internas, si puede realizarse en la misma plantilla de la empresa, o externa, en este caso sería un servicio contratado externamente.
- Auditoría interna. Hay veces que dentro de la plantilla se cuenta con personal especializado en materia de protección de datos, entonces, están capacitados para llevar la auditoría.
La realizarán llevando a cabo las fases correspondientes y presentando el informe a la empresa, también suele haber un encargado o responsable del tratamiento que toman las medidas adecuadas en caso de ser necesarias. Por otra parte, la recomendación es que no se hagan las auditorías internamente porque se pierde objetividad y el tema de la protección de datos es un tema tan complejo, que es recomendable encargarlo a una empresa especializada y actualizada, ya que, las leyes se van actualizando con el paso del tiempo.
- Auditoría externa. Es cuando la auditoría la lleva una asesoría o un despacho profesional, que son especialistas en protección de datos. Se encargarán de revisar todos los procedimientos de datos de la empresa, sistemas informáticos, medidas de seguridad y, en definitiva, todas las normas que estén vigentes en materia de protección de datos. Tras el procedimiento descrito anteriormente, se presentará un informe a la empresa y las propuestas en materia de seguridad a implementar por parte de la empresa.
Comunicare
En Comunicare, ofrecemos nuestros servicios tanto a consumidores como a empresas de cualquier tipo. Tenemos un gran equipo profesional que ofrece servicios de marketing online 360, es decir, dentro del marketing digital destacan los servicios de posicionamiento SEO y SEM, Social Ads, Market place Ads, Email marketing, Remarketing, Analítica web y fidelización de clientes.
Preguntas frecuentes
¿Cómo se realizan las auditorías de protección de datos?
- La auditoría de la LOPD debe pasar por una serie de etapas para obtener los datos necesarios para elaborar el informe final que se presentará a la empresa. El primer paso es identificar y recopilar datos, para lo cual se deben revisar los documentos de la empresa, verificar que se hayan firmado todos los contratos de protección de datos, que las partes relevantes hayan acordado claramente procesar sus datos, que se haya logrado el propósito de la recopilación de datos, se han firmado los acuerdos de confidencialidad y transmisión necesarios. El contrato requerido proporciona datos a terceros. Asimismo, se revisará cualquier cambio realizado en los documentos de seguridad. Durante la auditoría de protección de datos, es necesario entrevistar a los empleados, por lo que además de recopilar todos los documentos necesarios que contienen datos personales.
- El siguiente paso es analizar y verificar el cumplimiento de la LOPD, es decir, utilizar la información y los datos recogidos en las etapas anteriores para comprobar si han cumplido con todos los requisitos obligatorios de protección de datos dentro de la empresa. Se utilizará para detectar errores y vulnerabilidades que deban corregirse. Finalmente, el paso final es preparar un informe final que contenga los resultados de la auditoría. El informe detallará las áreas que necesitan ser mejoradas, las posibles deficiencias y las sugerencias del auditor para mejoras y soluciones a estos problemas, a fin de cumplir con los requisitos reglamentarios. El informe debe presentarse a la dirección de la empresa y al responsable de seguridad al mismo tiempo para que se puedan tomar las medidas correctoras adecuadas.
¿Es obligatoria la auditoría de protección de datos?
Para las empresas que recolectan o procesan datos de medio y/o alto nivel (administrativo, penal, salud, ideología, sexualidad, etc.), las auditorías LOPD son obligatorias. Sin embargo, es muy deseable que cualquier empresa lleve a cabo la verificación, evaluación y valoración de las medidas técnicas y organizativas implementadas para garantizar la protección de los datos personales.
La forma más adecuada es realizar una auditoría, porque puede comprender el estado de la empresa, revisar todos sus sistemas de información y medidas para protegerlos, y proponer soluciones cuando se encuentran problemas. Nos asegura que cumplimos con la ley.
¿Una auditoría puede librar de multas?
Nos pueden sancionar en caso de no adoptar las medidas de seguridad necesarias para evitar pérdidas, accesos no autorizados a los datos personales que maneja la empresa. Las sanciones pueden ir desde los 40.000 euros hasta los 300.000 euros, con lo cual, se considera una falta muy grave y, cumplir con una auditoría de protección de datos en regla nos ayudará a evitar sanciones innecesarias y a saber cuales son las medidas necesarias a llevar a cabo.
Una vez se haga la auditoría, el informe lo valorará el responsable de seguridad, que es quien decida que medidas de seguridad se implantan en la empresa.