LAS AUDITORIAS EN LA PROTECCIÓN DE DATOS PERSONALES: NECESIDAD Y TIPOLOGÍAS

Con respecto a las Auditorías, el anterior RDLOPD 1720/2007 nos daba una serie de indicaciones:

Artículo 96 1: A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Y en su artículo 110: Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Dentro del marco europeo el RGPD nos encontramos con los siguientes artículos:

Artículo 28.3.h: “pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.”

Artículo 39.1.b: “Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.”

Las Auditorías deberán ser únicas y exclusivas para cada entidad siendo el principal elemento objetivo el análisis y estudio legal del tratamiento de datos personales para a continuación auditar la seguridad y las medidas técnicas a implantar o implementadas.

Las Auditorías se podrán calificar en tres tipologías:

• Auditorías de primera parte, las que podremos realizar internamente.
• Auditorías de segunda parte, las que nos podrán exigir o realizar aquellos terceros legitimados para realizarla a nuestra organización, p. e. la exigida por un responsable del fichero a un encargado de tratamiento respecto a la verificación de sus servicios.
• Auditorías de tercera parte, las realizadas para la obtención de certificaciones con relación a una norma estándar, por ejemplo, ISO 27000, ISO 9000, ISO 14000, etc.

Y en virtud del enfoque que apliquemos a la auditoría, podremos diferenciar tres tipos:

• Auditorias al sistema de gestión, que valorarán su efectividad para desarrollar las políticas y estrategias, así como su capacidad para lograr los objetivos esperados.
• Auditorías a los procesos, éstas evalúan la efectividad de las medidas de gestión de un proceso concreto.
• Auditorías a los resultados del servicio, que evalúa la efectividad de las medidas de gestión adoptadas para garantizar el cumplimiento de los objetivos determinados para un servicio.