Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Las auditorías son obligatorias?

Al amparo de la regulación vigente, la obligatoriedad de las auditorías no viene dada por el tenor literal de las normas, sino por la obligación impuesta de verificar, evaluar y valorar regularmente la eficacia de las medidas implantadas.

Veamos el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD):

  • El artículo 28.3.h) impone al encargado del tratamiento la obligación de poner a disposición del responsable del tratamiento «toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable».
  • El artículo 32.1.d) establece que el responsable y el encargado del tratamiento adoptarán las medidas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluirá «un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas». El RGPD no establece procedimientos o formatos específicos para llevar a cabo dichas tareas de revisión y evaluación. Por lo tanto, se deja a la elección de los responsables y encargados del tratamiento definir cuáles serán esos procedimientos a través de los que valorar la eficacia de las medidas diseñadas a garantizar el cumplimiento de la normativa.
  • El artículo 39.1.b) prevé que el delegado de protección de datos tiene asignado, entre otras, la función de «supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes». 
  • El artículo 47.2.j) dispone que las normas corporativas vinculantes especificarán, entre otros: «Los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite».

Por lo que respecta a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), dicha norma no entra en la obligación de realizar auditorías, ni proceso de verificación alguno, ni hace referencia al RGPD sobre el particular.

El RGPD establece un sistema de responsabilidad proactiva, en el que el responsable del tratamiento debe, además de cumplir, demostrar que ha cumplido, y los informes de auditoría permiten acreditar que, no solo ha implantado las medidas necesarias para garantizar la seguridad del tratamiento, sino que ha evaluado regularmente su eficacia. 

Con relación a la periodicidad con la que han de realizarse, el RGPD no establece un plazo obligatorio, siendo necesario evaluar «regularmente». A mayor riesgo en el tratamiento, mayor regularidad deberá aplicarse en los controles. Determinan una mayor periodicidad, ciertos factores como la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad para los derechos y libertades de los afectados como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de los datos, el tratamiento a gran escala, la complejidad de las transferencias internacionales o cesiones y el tratamiento de datos correspondientes a categorías especiales.

Siguiendo con el tema de la periodicidad, el artículo 96 apartado 1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal* dispone que: «A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título». En cualquier caso, deberá realizarse una auditoría siempre que se realicen modificaciones sustanciales en el sistema de información, que puedan repercutir en el cumplimiento de las medidas de seguridad con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

Las auditorías pueden ser externas o internas. La persona encargada de realizar la auditoría debe tener plena independencia de la entidad auditada, así como un perfil y experiencia apropiados para su realización, pues deberá ser capaz de valorar el grado de cumplimiento de la normativa y los riesgos asociados al tratamiento con el objetivo de que pueda aportar recomendaciones coherentes. En las auditorías internas el resultado de las mismas puede verse condicionado por conflictos de intereses. Pensemos que un asesor que se evalúe a sí mismo tiene mayor probabilidad de emitir un informe satisfactorio, sin serlo, que un asesor externo, cuya visión será más crítica y constructiva. 

La consecuencia de no realizar auditorías puede traducirse en posibles incumplimientos y también en posibles sanciones, si bien la no realización de auditorías por sí mismo no es sancionable.

Existen dos modalidades de auditorías: las de «cumplimiento» que sirven para verificar el grado de cumplimiento de la normativa y las de «seguridad y control» que ayudan a verificar la efectividad de las medidas de seguridad adoptadas y de los controles de privacidad. 

Por último, tengan presente la utilidad de las auditorías, no solo garantizan el cumplimiento de la legalidad, también contribuyen a prevenir y detectar las amenazas a las que se exponen las actividades de tratamiento, ayudando a mitigar los posibles riesgos. 

* Disposición derogatoria única de la LOPDGDD. Derogación normativa.

  1. Sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria cuarta, queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  2. Queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
  3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

Hemos de entender que el Real Decreto 1720/2007 no está derogado en su totalidad, sino únicamente aquellas disposiciones que «contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la LOPDGDD».

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).