Una auditoría de protección de datos es una medida de control fundamental para garantizar que la información privada que se almacena y maneja dentro de una organización sea, en efecto, privada. ¿Por qué se ha revelado como imprescindible para la mayoría de empresas que realizan tratamientos masivos o de riesgo de datos personales? A continuación podrás entenderlo con argumentos concretos. Presta atención.
La auditoría debe tener en cuenta las exigencias de la nueva LOPD
En primer lugar, vale la pena que repases los antecedentes claves para el ámbito de estas auditorías. La privacidad de los datos en España es un concepto que ha ido evolucionando durante los últimos años.
La Ley Orgánica de Protección de Datos (LOPD) y su posterior Reglamento de desarrollo ya supusieron la primera regulación específica de estos documentos. Pero has de tener en cuenta, como ya lo hacen todas las empresas (incluso las pequeñas y medianas), que el cambio sustancial ha venido de la mano de la aprobación del Reglamento Europeo de Protección de Datos (RGPD). Este entró en vigor en mayo de 2018, con el fin de armonizar la legislación en la materia de los Estados miembros de la Unión Europea e incrementa las garantías relativas a la privacidad.
Como cada Estado debe adaptar su legislación a estos reglamentos, que tienen aplicación directa, a finales de 2018 se aprobó la Ley Orgánica de Protección de Datos y Garantía de los Datos Digitales. También conocida como nueva LOPD o LOPDGDD.
Esta normativa es la que, sobre todas las demás, van a tener en cuenta los auditores cuando se dediquen a garantizar el cumplimento del artículo 96 del Real Decreto 1720/2007. Se trata de la obligación de llevar a cabo una auditoría interna y externa cada dos años que asegure el cumplimiento de la legalidad en el tratamiento y almacenamiento de los datos.
No se sanciona, por otra parte, por no llevarla a cabo, sino por las pérdidas y modificaciones de información y los accesos no autorizados a ella. No atender un requerimiento de auditoría por parte de la Agencia Española de Protección de Datos (AEPD) también sería motivo de sanción.
¿En qué consisten las auditorías de protección de datos?
Se trata de un proceso de verificación de las medidas implantadas para garantizar que la introducción y el mantenimiento de los datos, tanto manuales como automatizados, sean seguros. Recuerda que estos procedimientos son obligatorios para las organizaciones que manejan datos considerados, por sus riesgos asociados, de nivel medio o alto.
En las siguientes líneas puedes comprobar sus contenidos. Toma nota.
– Se detallarán los defectos encontrados.
– Igualmente, se reseñarán las medidas de corrección y mejora a implantar.
– El responsable o el encargado de los tratamientos de los datos deberá colaborar de manera fluida con el auditor, a cuya disposición pondrá los suficientes recursos de análisis.
– Estos perfiles profesionales de la empresa serán los que se habrán de ocupar de aplicar las medidas aconsejadas por el auditor.
– Los auditores también deben impartir formación a los trabajadores de la plantilla respecto a la protección de los datos personales y contribuir tanto al reciclaje de sus conocimientos en la materia como a su concienciación solidaria con la empresa.
Recuerda que vale la pena subcontratar la función de auditor. En este sentido, una ClickDatos cuenta con los profesionales oportunos para realizar estos trabajos.
Las dos perspectivas claves de la auditoría
Por otro lado, toda auditoría de los datos personales que recopila una organización parte de una estrategia dividida en dos análisis fundamentales. Por una parte, la verificación informática. Por otra parte, la técnica.
Lógicamente es básico que se comprometa a llevarlas a cabo un organismo independiente, como la citada consultoría de protección de datos, la cual trabaja por encargo externalizado. De lo contrario, si se ocupara de ellas algún miembro de la plantilla, aparte de que seguramente no contaría con la cualificación oportuna, podría abordarlas sin la objetividad e imparcialidad necesarias e influido por factores internos y externos que menoscabarían su labor.
Por lo que respecta al análisis de riesgos informático, se comprobarán la privacidad del sistema existente y su protección mediante contraseñas y copias de seguridad. Asimismo, estudiarán cómo se ponen en práctica estos mecanismos y con qué periodicidad.
En cuanto al técnico, valorarán los sistemas para destruir los datos y la protección relativa a los accesos tanto a las copias de seguridad como a los ficheros.
Las fases de estas auditorías
Por último, te interesa conocer la secuencia que se sigue en todos los supuestos de auditoría, aunque varíen las condiciones de partida. Sigue leyendo.
1. Organización. Lo primero que se hace, una vez se ha constatado el estado de los servicios de protección de datos de una organización, es establecer unos objetivos y los procesos mediante los que se lograrán. En este aspecto, se controlarán factores como los archivos a verificar, los empleados que tendrán que estar concernidos en cada procedimiento, los sistemas a corregir o implantar y los programas y medidas de seguridad a aplicar.
2. Programación y acopio de información. Esta fase consiste en fijar una agenda que permita recoger la información pertinente, mantener entrevistas con los empleados y realizar las comprobaciones oportunas respecto a los sistemas de seguridad.
3. Verificar el cumplimiento de la nueva LOPD. Se constatarán las conclusiones obtenidas en la fase de planificación y recopilación de los datos, y se contrastarán con el articulado de la nueva normativa de protección de datos en vigor. Se detectarán los fallos y se prepararán las alternativas para hacerles frente.
4. Redacción del informe. La última parte del trabajo de los auditores supone presentar, a quienes los subcontrataron, un balance que informe de qué problemas han constatado y cuáles son las medidas propuestas para afrontarlos. De esta manera se logrará cumplir con las leyes de protección de datos, lo que evitará las indeseadas sanciones. Igual que la dirección empresarial tendrá acceso a este informe, este estará a disposición de la AEPD. En cierto modo, se tratará de la carta de presentación respecto a la privacidad de los datos de la organización.
En definitiva, una auditoría de protección de datos te garantiza una solución a los inconvenientes en materia de riesgos y seguridad que estos supongan para tu empresa.