La obligatoriedad de realizar auditorías en materia de protección de datos

Fuente: Legal Today

Autor: Gerard Espuga Torné, abogado

La entrada en vigor del Reglamento UE 2016/679, de 27 de abril, de 2016 relativo a la protección de las personas físicas en lo que respecta el tratamiento de datos personales y a la libre circulación de estos datos (RGPD) ha supuesto un cambio radical en el modelo de cumplimiento de las obligaciones en materia de protección de datos personales por parte de las organizaciones. En este cambio de paradigma, las empresas y organizaciones son ahora las que deben diseñar y evaluar las medidas necesarias para garantizar el cumplimiento teniendo en cuenta la normativa en cuestión.

El RGPD establece como uno de sus fundamentos esenciales el principio de “accountability” (o de responsabilidad proactiva) lo que se traduce en la asunción directa de responsabilidad por parte de las organizaciones en el cumplimiento de las disposiciones normativas en materia de protección de datos y en su capacidad para demostrar dicho cumplimiento.

Teniendo ello en cuenta, resulta esencial disponer de evidencias que acrediten el cumplimiento que, generalmente, requerirán documentar de forma adecuada todas las medidas implementadas con la finalidad de poder demostrarlo, lo que conlleva la realización de controles periódicos y auditorías de cumplimiento.

La necesidad de realizar auditorías tiene su manifestación en distintos preceptos del RGPD: entre otros, en el art. 24.1 en el que se establece la obligación del responsable de revisar las medidas técnicas y organizativas implantadas a fin de poder demostrar que el tratamiento es conforme con el RGPD o en el art. 32.1 d) en el que se establece la necesidad de realizar un proceso de verificación y evaluación regular de la eficacia de las medidas técnicas y organizativas implantadas con la finalidad de garantizar la seguridad del tratamiento.

Teniendo en cuenta lo anterior, se desprende la intención del legislador europeo no solo de transmitir la necesidad de la realización de auditorías periódicas, sino también la necesidad de establecer un marco de revisión continua de las medidas técnicas y organizativas implantadas y, en general, de verificación del cumplimiento normativo en materia de protección de datos, siendo la auditoría uno de los mecanismos de verificación más adecuados para implantar dichos procesos.

Como vemos, de igual manera que en cualquier otro marco de cumplimiento normativo, las auditorías en materia de protección de datos son esenciales en los procesos de mejora y revisión continua al tratarse de un modelo enfocado al riesgo derivado de la protección de los derechos y libertades de las personas físicas, lo que permite:

• Evaluar los riesgos existentes y verificar si las medidas implantadas son suficientes para mitigarlos.
• Descubrir nuevos riesgos antes inexistentes o no detectados.
• Adaptar las medidas implantadas a los nuevos riesgos.
• Demostrar el cumplimiento de la normativa.

En cuanto al alcance de las auditorías si bien en la normativa anterior se establecía la obligación de verificar el cumplimiento de determinadas disposiciones relativas a las medidas de seguridad aplicables al tratamiento, en relación a las auditorías de cumplimiento en base al RGPD debe evaluarse tanto el cumplimiento de la organización que se trate con las disposiciones que establecen obligaciones relativas a medidas de seguridad adecuadas al riesgo que implica cada tratamiento para los derechos y libertades de los interesados como la medidas de carácter técnico-jurídico y organizativo implantas.

En relación a la periodicidad de las auditorías el RGPD no viene a establecer un plazo de tiempo determinado para llevar a cabo las mismas (recordemos que con la normativa anterior tenían una periodicidad bianual y únicamente eran obligatorias para determinados tipos de tratamiento), sino que deberá ser cada organización la que valore el riesgo inherente a sus actividades de tratamiento adoptando las medidas de control más adecuadas, como lo es la realización de auditorías de cumplimiento y, consiguientemente, establezca la periodicidad que considere necesaria en función de dichos riesgos.