La protección de datos en las empresas cobra cada vez más protagonismo e importancia debido al tráfico de datos personales y las exigencias que, cada vez con más frecuencia, llegan de la Unión Europea al respecto de este asunto.
Nuestros lectores y clientes nos plantean como consulta recurrente la cuestión sobre si es obligatoria la realización de una auditoría de LOPD para las empresas y autónomos.
Por este motivo, en el post de hoy te contamos en qué consiste este trámite, su finalidad y los supuestos en los que resulta obligatorio o recomendable realizarla en tu empresa o negocio.
¿Qué es una auditoría de protección de datos?
Es un instrumento que permite verificar, controlar y supervisar el correcto cumplimiento del Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).
Finalidad
- Revisar la correcta implantación de las medidas de seguridad a adoptar en tu empresa o negocio, en función del nivel que le corresponda: bajo, medio o alto.
- Obtener un análisis de las deficiencias o fallos encontrados, así como de las medidas correctoras o complementarias.
- Considerar mejoras y recomendaciones sobre las medidas de seguridad implantadas.
- Concienciar y preparar al personal sobre la importancia de los datos personales y su protección.
¿Es obligatoria?
Tal y como recoge el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 no es obligatoria la auditoría para el cumplimiento de la normativa, a diferencia de lo que marcaba el artículo 96 de la LOPD para las empresas con un nivel de seguridad medio o alto. Pero cuidado.
Las empresas que tengan designado un Delegado de Protección de Datos deben supervisar que la normativa se está cumpliendo correctamente incluida las auditorías. Por lo que si tu empresa tiene un DPD sí que estarás obligado a realizar la correspondiente auditoría LOPD.
Asimismo, el artículo 32.1.d del LOPD deja constancia de que es necesario evaluar y valorar las medidas de seguridad de la organización empresarial.
Sin embargo, la ley no establece los instrumentos o procedimientos para llevar a cabo dichas tareas de evaluación y valoración, por lo que se le dota de margen a las empresas de elegir los procedimientos para valorar el nivel de seguridad de sus medidas.
¿Cuándo debe realizarse?
La auditoría debe realizarse de forma bienal y, también, cuando se realicen modificaciones sustanciales en los sistemas de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
No obstante, desde tugesto recomendamos realizar una auditoría de riesgo inicial para conocer las medidas de protección de datos que deben implantarse y también llevar un control periódico de los cambios que van ocurriendo, por ejemplo, los sistemas informáticos, empleados con acceso a datos personales, dirección postal, datos de contacto, etc.
Cómo realizar una auditoría de protección de datos
Se debe realizar una auditoría a nivel informático y técnico, analizando los sistemas de información y su ubicación, así como la correcta implantación de las medidas que le correspondan según el nivel de seguridad requerido por los ficheros que tratan. Para ello, debemos:
- Revisar el sistema informático: comprobaremos si tenemos un sistema para asignar usuarios y contraseñas individualizadas, si las contraseñas caducan, si se realizan copias de seguridad, cómo se realizan y con qué periodicidad.
- Revisar las instalaciones: comprobaremos si tenemos sistema de destrucción de datos y/o documentación y si el acceso a los archivos con datos personales, a las copias de seguridad o al servidor está limitado.
A nivel jurídico, debemos analizar las cláusulas informativas, los avisos legales, los documentos de recogida de datos, los contratos de confidencialidad suscritos y la actualización del documento de seguridad.
La auditoría puede realizarse, tanto por personal interno como por personal externo.
En cualquier caso, deberá realizarse por personal independiente, y debidamente cualificado, que actúe con objetividad e imparcialidad, sin dejar que influyan factores internos o externos de la empresa auditada.
El informe de la auditoría
La pieza clave de la auditoría realizada es el informe de auditoría que deberá:
- Dictaminar sobre la adecuación de las medidas y controles a la Ley y su reglamento de desarrollo.
- Identificar las deficiencias encontradas.
- Proponer medidas correctoras o complementarias necesarias.
- Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Por todo ello, el informe es realmente completo, tanto desde el punto de vista informático, como jurídico.
Se deberán justificar debidamente todas las conclusiones y recomendaciones propuestas.
El informe debe ser analizado por el responsable de seguridad, y éste lo trasladará al responsable del fichero para que adopte las medidas adecuadas para el cumplimiento de la Ley.
El informe de auditoría debe quedar a disposición de la Agencia Española de Protección de Datos (AEP).
Esto no significa que deba enviarse a la Agencia, sino que el responsable del fichero deberá conservarlo y proporcionarlo si se lo solicitan.
Sanciones
Podemos diferenciar dos tipos de sanciones: las menos graves y las más graves.
Las menos graves se sancionan con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa.
Las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos).
La no realización de auditoría de protección de datos podría imponer una sanción, de entre 40.001 a 300.000 euros, por la comisión de una infracción grave por incumplimiento de las medidas de seguridad, siendo la auditoría una medida de seguridad.
Sin embargo, debemos matizar que la no realización de auditoría no es motivo de sanción por sí misma.
Lo que es sancionable es la alteración, pérdida, tratamiento o acceso no autorizado de datos personales.
Es decir, lo que pretende el deber de seguridad no es imponer la obligación de implantar unas medidas (obligación de medios), sino implantarlas con un resultado concreto, es decir, evitar una alteración, pérdida, tratamiento o acceso no autorizado (obligación de resultado).
Es por ello que la AEPD, en su Resolución R/00351/2008, declara el archivo del procedimiento en cuestión en un supuesto en el que se constata por la inspección que un responsable no realiza auditoría alguna, ya que “de la inspección realizada no se concluye que se haya producido una alteración, pérdida, tratamiento o acceso no autorizado”, según relata.
A pesar de no ser motivo de sanción, en tugesto recomendamos que se realicen las auditorías de protección de datos ya que permiten asegurarnos de que contamos con todas las medidas de seguridad adecuadas para evitar que se produzca un incumplimiento del deber de seguridad que conlleve a la pérdida, alteración, acceso o tratamiento no autorizado de datos personales.
Y, además, ante una posible infracción, por cualquier otro motivo, el importe de la sanción puede ser reducido si la empresa cumple con la normativa y eso incluye el haber pasado las auditorías.
Auditoría de Protección de Datos y Reglamento Europeo de Protección de Datos
Por lo tanto, y a modo de resumen, lo más importante que debes tener claro es que el Reglamento Europeo de Protección de Datos obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, así como a adoptar medidas de seguridad y procesos de verificación para cumplir con la normativa y evitar sanciones de hasta 20 millones de euros.
El Reglamento obliga a elaborar una evaluación de impacto cuando las actividades de tratamiento de datos impliquen un riesgo específico para los afectados por su naturaleza, alcance y fines.
Por tanto, la figura del auditor será esencial a la hora de implantar las medidas de seguridad y verificar su cumplimiento, así como de probar que la empresa cumple con el Reglamento.
En tugesto contamos con nuestro servicio INPD a través del cual adaptamos tu empresa a la legalidad en materia de protección de datos, sin que esto suponga un trastorno para ti o tu negocio, ya que lo gestionamos todo a través de nuestra plataforma online.
Nuestros asesores especializados en LOPD te ayudarán a llevar a cabo las gestiones y trámites necesarios y velarán para que todo esté acorde a la legalidad vigente.
Artículos, guías, recursos y consejos de expertos.
