Cuáles son los tipos de auditoría de protección de datos más eficaces

Antes de analizar los distintos tipos de auditoría de protección de datos, conviene realizar una delimitación al término, conforme a lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento General de Protección de Datos) y conforme la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

La auditoría en materia de protección de datos se define como el instrumento mediante el cual, los tratamientos de datos personales realizados por una empresa, en su condición de Responsable del Tratamiento, se someten a una evaluación con el objetivo de determinar el cumplimiento de las obligaciones establecidas por la normativa reguladora por parte del Responsable.

De entre las finalidades de este tipo de auditorías se puede destacar:

• La comprobación del nivel de seguridad para el tratamiento de los datos personales objeto de tratamiento;
• Detectar las posibles deficiencias en los sistemas informáticos de la empresa;
• Analizar aquellos aspectos del tratamiento de datos a mejorar y,
• Transmitir a los empleados del Responsable del Tratamiento, la importancia en torno al cumplimiento de las obligaciones en materia de recolección, protección y correcto tratamiento de los datos personales.

Tipos de auditoría de protección de datos

Existen dos tipos de auditoría a realizar por los Responsables del Tratamiento, según sean asumidas o no por éste, en concreto, encontramos:

• Auditoría Interna

Se lleva a cabo por el propio personal del Responsable del Tratamiento que se encuentre especializado en protección de datos personales.

Éstos deberán llevarla a cabo en distintas fases y, posteriormente, remitirán sus informes a otros sujetos intervinientes en el tratamiento de datos, con el objetivo de que éstos puedan implementar las medidas que resultaren oportunas para paliar las posibles deficiencias o mitigar futuros riesgos.

Curso Gestión y Auditoría en Protección de Datos: Consultor LOPD (Titulación Universitaria + 8 Créditos ECTS) Más información

En la práctica, esta tipología de auditorías no es recomendable, ya que se pierde cierta objetividad, así como requiere de unos conocimientos específicos sobre la meritada materia y la normativa vigente.

• Auditoría Externa

En este caso, el servicio de auditoría queda encomendado por el Responsable del Tratamiento a una entidad externa, especializada en protección de datos, cuyo objetivo será revisar los procedimientos internos, los sistemas informáticos, así como el resto de las obligaciones que les resulta atribuida por la legislación.

Una vez superadas cada una de sus fases se deberá presentar un informe con el resultado y las propuestas a implementar.

Fases de una Auditoría de Protección de Datos

Normalmente y, según los tipos de modelo de auditoría de protección de datos, estos procesos suelen quedar divididos en cuatro fases:

1) Organización

Se detallan los objetivos de la auditoria y la forma en la que se organizará el procedimiento.

2) Planificación y recopilación de información

Se define un calendario de entrevistas con los empleados; para la recopilación de la documentación y para su comprobación.

3) Verificación del cumplimiento de la normativa vigente

Esta etapa se corresponde con las actuaciones llevadas a cabo para verificar y controlar el cumplimiento de todos los procedimientos internos, conforme a la normativa vigente.

4) Informe final

Destinado a reunir en un documento, las deficiencias detectadas, las propuestas de mejora y el nivel de adecuación a las obligaciones establecidas en la normativa vigente.

Sin embargo, las fases de este tipo de auditorías variarán en función de la entidad que desarrolle este proceso.

Modelo de auditoría de protección de datos

Una vez expuesto el objetivo de las auditorías de protección de datos, tendentes éstas a verificar el cumplimiento de la normativa vigente, se incorpora una estructura, a las instrucciones y guías de la Agencia Española de Protección de Datos.

• Primero. Principios relativos al tratamiento de datos
• Segundo.  Licitud del Tratamiento
• Tercero. Consentimiento Informado
• Cuarto. Consentimiento de menores de edad
• Quinto. Tratamiento de categorías especiales de datos personales
• Sexto. Tratamientos que no requieren identificación
• Séptimo. Derechos del Interesado (en este apartado se deberá analizar la transparencia de la información facilitada cuando ésta se obtiene o no de los interesados)
• Octava. Derechos del Interesado (análisis del cumplimiento de cada tipo de derecho)
• Novena. Decisiones Individuales Automatizadas
• Décimo. Responsabilidad del Responsable, Encargado y Corresponsable del Tratamiento
• Undécimo. Protección de datos desde el diseño y por defecto
• Duodécimo. Registros de Actividades del Tratamiento
• Decimotercero.  Seguridad del Tratamiento
• Decimocuarto. Brechas de Seguridad
• Decimoquinto. Evaluación de Impacto en materia de Protección de Datos
• Decimosexto. Delegado de Protección de Datos
• Decimoséptimo. Transferencias Internacionales de Datos Personales

Básicamente, dentro de cada uno de los apartados deberá incorporarse un checklist, en el que se incluirán las comprobaciones realizadas y se calificará con un “SI/NO/N.A.”.

Asimismo, se detallará el nivel de cumplimiento de ese punto analizado; se incluirán las recomendaciones a implementar y la legislación aplicable al punto auditado.

En el siguiente enlace tiene disponible el informe de auditoría completo de AMICA y sus centros especiales de empleo: SAEMA, SOEMCA EMPLEO y DIVERSIA EMPLEO.

¿Es obligatorio realizar una Auditoría en protección de datos?

Como tal, la normativa referencia no establece como tal, la obligación de llevar a cabo estos procesos.

Simplemente se establece entre sus obligaciones, la actuación por parte de los principales actores intervinientes en el tratamiento de datos personales conforme al principio de responsabilidad proactiva.

Junto a esto, la necesidad de realizar estas auditorías tiene su manifestación en los artículos 24.1 y 32.1, letra d) del Reglamento Comunitario.

En el primero de ellos, se establece que, en función de la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Respecto al segundo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

En este sentido, se desprende el objetivo del legislador de recoger la necesidad de realizar auditorías periódicas, así como de establecer un marco continuo de revisión de las medidas técnicas y organizativas implementadas para verificar el cumplimiento de la normativa vigente.