Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Las auditorías son obligatorias?

Bajo la regulación vigente, la obligatoriedad de las auditorías no deriva directamente del texto literal de las normas, sino de la obligación impuesta de verificar, evaluar y valorar regularmente la eficacia de las medidas implantadas para garantizar el cumplimiento normativo.

Veamos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD):

  • El artículo 28.3.h) impone al encargado del tratamiento la obligación de poner a disposición del responsable del tratamiento «toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable».
  • El artículo 32.1.d) establece que el responsable y el encargado del tratamiento adoptarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluirá, entre otras, «un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas». El RGPD no define procedimientos o formatos específicos para estas tareas de revisión y evaluación, dejando a los responsables y encargados del tratamiento la libertad de determinarlos, siempre que permitan valorar de manera efectiva la eficacia de las medidas adoptadas para asegurar el cumplimiento normativo.
  • El artículo 39.1.b) prevé que el delegado de protección de datos tiene asignada, entre otras, la función de «supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes». 
  • El artículo 47.2.j) dispone que las normas corporativas vinculantes especificarán, entre otros aspectos: «Los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite».

En cuanto a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), esta norma no establece obligaciones específicas sobre auditorías ni procesos de verificación, ni hace referencias adicionales al RGPD en este sentido, aunque refuerza derechos digitales y complementa el principio de responsabilidad proactiva.

El RGPD promueve un sistema de responsabilidad proactiva (accountability), en el que el responsable del tratamiento no solo debe cumplir con la normativa, sino también demostrar dicho cumplimiento. Los informes de auditoría sirven para acreditar que se han implantado las medidas necesarias para garantizar la seguridad del tratamiento y que se ha evaluado regularmente su eficacia, especialmente en contextos de alto riesgo como el uso de inteligencia artificial.

Respecto a la periodicidad con la que han de realizarse, el RGPD no establece un plazo obligatorio, limitándose a requerir evaluaciones periódicas. A mayor riesgo en el tratamiento, mayor regularidad deberá aplicarse en los controles. Determinan una mayor periodicidad, ciertos factores como la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad para los derechos y libertades de los afectados como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de los datos, el tratamiento a gran escala, la complejidad de las transferencias internacionales o cesiones y el tratamiento de datos correspondientes a categorías especiales.

Siguiendo con el tema de la periodicidad, el artículo 96, apartado 1, del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal* dispone: «A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título». En cualquier caso, se recomienda realizar una auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información que puedan afectar al cumplimiento de las medidas de seguridad, con el fin de verificar su adaptación, adecuación y eficacia.

Las auditorías pueden ser externas o internas. La persona o entidad encargada de realizar la auditoría debe tener plena independencia de la auditada, así como un perfil y experiencia adecuados para su realización, pues deberá ser capaz de valorar el grado de cumplimiento de la normativa y los riesgos asociados al tratamiento con el objetivo de que pueda aportar recomendaciones coherentes. En las auditorías internas, el resultado de las mismas puede verse condicionado por conflictos de intereses. Pensemos que un asesor que se evalúe a sí mismo tiene mayor probabilidad de emitir un informe satisfactorio, sin serlo, que un asesor externo, cuya visión será más crítica y constructiva. 

La consecuencia de no realizar auditorías puede traducirse en posibles incumplimientos y también en posibles sanciones, si bien la no realización de auditorías por sí mismo no es sancionable.

Existen principalmente dos modalidades de auditorías: las de cumplimiento, que sirven para verificar el grado de cumplimiento de la normativa; y las de seguridad y control, que evalúan la efectividad de las medidas de seguridad implementadas y los controles de privacidad. 

Por último, es esencial destacar la utilidad de las auditorías: no solo aseguran el cumplimiento legal, sino que también ayudan a prevenir, detectar y mitigar amenazas en las actividades de tratamiento, reduciendo riesgos potenciales y fomentando una cultura de privacidad proactiva en la organización.

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es