LAS AUDITORIAS EN LA PROTECCIÓN DE DATOS PERSONALES: NECESIDAD Y TIPOLOGÍAS
Con respecto a las Auditorías, el anterior RDLOPD 1720/2007 nos daba una serie de indicaciones:
Artículo 96 1: A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Y en su artículo 110: Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Dentro del marco europeo el RGPD nos encontramos con los siguientes artículos:
Artículo 28.3.h: “pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.”
Artículo 39.1.b: “Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.”
Las Auditorías deberán ser únicas y exclusivas para cada entidad siendo el principal elemento objetivo el análisis y estudio legal del tratamiento de datos personales para a continuación auditar la seguridad y las medidas técnicas a implantar o implementadas.
Las Auditorías se podrán calificar en tres tipologías:
- Auditorías de primera parte, las que podremos realizar internamente.
- Auditorías de segunda parte, las que nos podrán exigir o realizar aquellos terceros legitimados para realizarla a nuestra organización, p. e. la exigida por un responsable del fichero a un encargado de tratamiento respecto a la verificación de sus servicios.
- Auditorías de tercera parte, las realizadas para la obtención de certificaciones con relación a una norma estándar, por ejemplo, ISO 27000, ISO 9000, ISO 14000, etc.
Y en virtud del enfoque que apliquemos a la auditoría, podremos diferenciar tres tipos:
- Auditorias al sistema de gestión, que valorarán su efectividad para desarrollar las políticas y estrategias, así como su capacidad para lograr los objetivos esperados.
- Auditorías a los procesos, éstas evalúan la efectividad de las medidas de gestión de un proceso concreto.
- Auditorías a los resultados del servicio, que evalúa la efectividad de las medidas de gestión adoptadas para garantizar el cumplimiento de los objetivos determinados para un servicio.
Comité Europeo de Protección de Datos: nuevas directrices sobre protección de datos desde el diseño y por defecto
/en Noticias /por coolaboraSobre nosotros
Somos una empresa de consultoría de ámbito nacional, especializada en el cumplimiento de la Ley Organica 3/2018, de 5 de diciembre y el Nuevo Reglamento de Protección de datos (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, y en todo lo que implica al Derecho de las Nuevas Tecnologías y Sistemas de Gestión.