Una auditoría en materia de protección de datos es un proceso sistemático y objetivo de evaluación y verificación del cumplimiento de la normativa vigente en esta materia por parte de una organización. Su finalidad es identificar las fortalezas y debilidades de las medidas técnicas y organizativas adoptadas para garantizar la seguridad, confidencialidad e integridad de los datos personales que se tratan, así como para respetar los derechos y libertades de las personas afectadas.
Una auditoría en materia de protección de datos es importante realizarla por varios motivos: en primer lugar, porque es una obligación legal derivada del principio de responsabilidad proactiva que establece el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD); en segundo lugar, porque es una herramienta de gestión que permite mejorar la calidad y eficiencia de los procesos relacionados con el tratamiento de datos personales; y en tercer lugar, porque es una forma de prevenir y evitar posibles sanciones administrativas o reclamaciones judiciales por parte de las autoridades de control o de los interesados.
Normativa aplicable
La realización de una auditoría en materia de protección de datos implica el cumplimiento de la normativa vigente en esta materia, tanto a nivel europeo como nacional. Las principales normas que regulan el tratamiento de datos personales y establecen las obligaciones de los responsables y encargados del tratamiento son:
- El Reglamento General de Protección de Datos (RGPD), que es el marco legal común para toda la Unión Europea y que entró en vigor el 25 de mayo de 2018. El RGPD establece los principios, derechos y garantías que deben respetarse en el tratamiento de datos personales, así como las medidas de seguridad, los requisitos de información y transparencia, las bases jurídicas para el tratamiento, las obligaciones de los responsables y encargados del tratamiento, las transferencias internacionales de datos, las autoridades de control y las sanciones por incumplimiento.
- La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el ordenamiento jurídico español al RGPD y complementa sus disposiciones en algunos aspectos específicos. La LOPDGDD regula, entre otros aspectos, el régimen aplicable a los tratamientos realizados por las Administraciones Públicas, los derechos digitales de los ciudadanos, las infracciones y sanciones en materia de protección de datos, el funcionamiento y competencias de la Agencia Española de Protección de Datos (AEPD) y la cooperación entre las autoridades autonómicas.
Además del RGPD y la LOPDGDD, existen otras normas sectoriales que pueden afectar al tratamiento de datos personales en determinados ámbitos o sectores de actividad. Por ejemplo:
- La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que regula las condiciones para la prestación y contratación de servicios por vía electrónica, así como el envío de comunicaciones comerciales por medios electrónicos.
- La Ley 11/2022, de 8 de junio, General de Telecomunicaciones, que establece el régimen jurídico aplicable a los operadores que prestan servicios o redes públicas o privadas de comunicaciones electrónicas.
- La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y ejecución de sanciones penales, que adapta al ordenamiento jurídico español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines relacionados con la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales.
Estas normas sectoriales pueden contener disposiciones específicas sobre el tratamiento de datos personales que deben tenerse en cuenta a la hora de realizar una auditoría en materia de protección de datos.
Criterios para determinar la periodicidad de las auditorías
Una de las cuestiones más importantes a la hora de realizar una auditoría de protección de datos es decidir cada cuánto tiempo hay que hacerla. El RGPD y la LOPDGDD no establecen un plazo mínimo o máximo legalmente obligatorio para realizar las auditorías, sino que dejan un margen de apreciación al responsable del tratamiento, que deberá tener en cuenta los siguientes factores:
- El nivel de riesgo que supone el tratamiento de datos personales para los derechos y libertades de los interesados. Cuanto mayor sea el riesgo, mayor será la frecuencia con la que se deberá auditar el tratamiento.
- La naturaleza, el ámbito, el contexto y los fines del tratamiento. No es lo mismo tratar datos sensibles o masivos que datos básicos o limitados, ni hacerlo con fines comerciales o de investigación que con fines administrativos o sociales.
- Las medidas técnicas y organizativas implementadas para garantizar la seguridad y la confidencialidad de los datos. Si se han adoptado medidas adecuadas y proporcionales al riesgo, se podrá espaciar más el tiempo entre las auditorías, siempre que se verifique su eficacia y se actualicen en caso de cambios relevantes.
- Los resultados de las auditorías anteriores. Si se han detectado incumplimientos o deficiencias en las auditorías previas, se deberá aumentar la periodicidad de las mismas hasta asegurar su corrección y prevención.
- Las recomendaciones o instrucciones de la autoridad de control competente. Si la AEPD ha emitido alguna directriz o requerimiento sobre la realización de auditorías en determinados sectores o tratamientos, se deberá seguir sus indicaciones.
Teniendo en cuenta estos criterios, el responsable del tratamiento deberá establecer una periodicidad razonable y justificada para realizar las auditorías, documentando los motivos que la sustentan y revisándola periódicamente. Como referencia orientativa, se podría considerar una periodicidad anual o bianual para los tratamientos de alto riesgo, y una periodicidad trienal o cuatrienal para los tratamientos de bajo riesgo, siempre que no haya cambios significativos en el tratamiento o en la normativa aplicable.
Recomendaciones prácticas
Una auditoría de protección de datos es un proceso que requiere una planificación y ejecución adecuadas para garantizar el cumplimiento de la normativa vigente y la protección de los derechos y libertades de las personas cuyos datos se tratan. A continuación, se ofrecen algunas recomendaciones prácticas para realizar una auditoría de forma eficaz y eficiente:
- Definir el alcance y los objetivos de la auditoría, teniendo en cuenta los tratamientos de datos que realiza la organización, los riesgos asociados, las obligaciones legales y las expectativas de los interesados.
- Seleccionar al equipo auditor, que debe contar con la competencia, la independencia y la imparcialidad necesarias para llevar a cabo la auditoría. El equipo auditor puede ser interno o externo, según el caso.
- Elaborar un plan de auditoría, que incluya las actividades, los recursos, los plazos y los criterios de evaluación que se van a seguir durante la auditoría. El plan debe comunicarse a las partes implicadas y obtener su aceptación.
- Recabar y analizar la información relevante para la auditoría, tanto documental como mediante entrevistas, observaciones o pruebas. La información debe ser veraz, suficiente y pertinente para evaluar el nivel de cumplimiento de la normativa de protección de datos.
- Identificar y documentar las evidencias, hallazgos y conclusiones de la auditoría, así como las posibles no conformidades o incumplimientos detectados y las medidas correctoras propuestas para subsanarlos o mitigarlos.
- Elaborar y presentar el informe de auditoría, que debe reflejar fielmente los resultados de la auditoría y contener las recomendaciones oportunas para mejorar el tratamiento de datos personales en la organización. El informe debe ser revisado y aprobado por el equipo auditor y entregado al responsable del tratamiento o al encargado del tratamiento, según corresponda.
- Realizar un seguimiento de las acciones correctivas acordadas tras la auditoría, verificando su implantación y efectividad dentro de los plazos establecidos. El seguimiento debe documentarse y comunicarse a las partes interesadas.
Estas recomendaciones prácticas se basan en las orientaciones y criterios ofrecidos por la Agencia Española de Protección de Datos (AEPD) y otras fuentes especializadas en materia de auditorías de protección de datos personales.
Como conclusión, una auditoría en materia de protección de datos es una herramienta esencial para garantizar el cumplimiento de la normativa vigente y para mejorar la gestión de los datos personales en las organizaciones. Al realizar una auditoría, se pueden identificar las fortalezas y debilidades del sistema de protección de datos, así como las oportunidades de mejora y los riesgos potenciales. Además, se puede demostrar ante las autoridades competentes y los interesados el compromiso con la protección de los derechos y libertades de las personas.
No realizar una auditoría o hacerla de forma deficiente puede tener consecuencias negativas para las organizaciones, tanto desde el punto de vista legal como reputacional. El incumplimiento de la normativa puede acarrear sanciones económicas, reclamaciones judiciales o administrativas, y daños a la imagen y la confianza de los clientes, proveedores y empleados. Por ello, es recomendable contar con la asesoría de un abogado especialista y experto en protección de datos, que pueda orientar y supervisar el proceso de auditoría y garantizar su calidad y eficacia.
