¿Es o no es obligatorio auditar nuestro sistema de protección de datos?
6 de junio de 2019
¿Es o no es obligatorio auditar nuestro sistema de protección de datos?
Al menos en los casos en los que la empresa esté obligada a designar un DPD, tiene que realizarlas como procedimiento de revisión y evaluación
Las auditorías periódicas venían siendo una obligación directa recogida en la anterior normativa de protección de datos. Ahora, ni el Reglamento General de Protección de Datos, ni la nueva Ley Orgánica de Protección de Datos Personales, imponen la obligación expresa de realizar auditorías. ¿O sí?
El Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (RD 994/99), regulaba en su artículo 17 la obligación de realizar, al menos cada dos años, para los ficheros de nivel medio, auditorías en materia de seguridad de datos. Estas auditorías podían ser internas o externas.
Posteriormente, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), ampliaba el ámbito de la auditoría al extenderlas a los soportes no automatizados a partir de nivel medio y siempre que se produjeran modificaciones sustanciales en los sistemas de información. Asimismo, el Informe de Auditoría ya no se limitaba a las medidas de seguridad, sino también debía dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario.
Sin embargo, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) no ha incluido una referencia expresa y explícita a la obligación de realizar una auditoría de cumplimiento.
Volvamos a la normativa española. Según el artículo 32.1.d del RGPD, entre las medidas técnicas y organizativas que tanto el responsable como el encargado del tratamiento deben implementar para garantizar un nivel de seguridad apropiado para el riesgo se exige un proceso de verificación, evaluación y valoración regulares de la eficacia de esas medidas. No obstante, el RGPD no establece procedimientos o formatos específicos para llevar a cabo dichas tareas de revisión y evaluación. Por lo tanto, se deja a la elección de las empresas definir cuáles serán esos procedimientos a través de los que valorar la eficacia de las medidas diseñadas a garantizar el cumplimiento de la normativa.
Sin embargo, el RGPD dentro de las funciones del Delegado de Protección de Datos (DPD) recoge expresamente, en su artículo 39, la obligación de supervisar el cumplimiento de la normativa, de las políticas internas de la Compañía, incluida las auditorías correspondientes. Por lo que el RGPD sí, incluye, por lo menos en los casos en los que la empresa esté obligada a designar un DPD, la realización de esas auditorías como procedimiento de revisión y evaluación.
Esa auditoría no la podrá realizar el DPD, pues pondría en peligro su independencia y además la auditoría debería verificar también el cumplimiento de las funciones del propio DPD. Su papel se limita a supervisar esas auditorías, debiendo garantizar que las conclusiones lleguen al órgano encargado de proponer y/o implantar acciones que puedan derivarse de las posibles no conformidades detectadas.
Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), no entra ni en la obligación de realizar auditorías ni procesos de verificación alguno, ni hace referencia al RGPD sobre este aspecto.
La Agencia Española de Protección de Datos (AEPD) sí que ha hecho referencia a la realización de auditorías, pero lo ha hecho en el marco de las relaciones entre responsable y encargado de tratamiento. En la Guía con las directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento que publicó con los puntos clave a tener en cuenta en esta relación contractual conforme las nuevas implicaciones legales establecidas por el RGPD, sí recoge la obligación del encargado de permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable y de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías.
Por tanto, en los casos de encargados de tratamientos la obligación de realizar auditoría es obligatoria al menos en su relación con el responsable y dentro del deber de diligencia que la norma le impone a éste.
¿A qué conclusión podemos llegar tras analizar los distintos reglamentos y normativas? Pues que ni el RGPD ni la LOPDGDD requieren incluir la auditoría en sí como una medida obligatoria. Ninguna de las dos normativas concretan en qué casos y a qué tratamientos resultaría obligatoria esta auditoría, sino que vendrá determinada por sus propios riesgos. Ahora bien, estamos convencidos de que los procesos para verificar la eficacia de todas las medidas adoptadas en materia de protección de datos pueden, y deberían, incluir la realización de auditorías de cumplimiento. Más vale prevenir…