Auditoría de Protección de Datos

En el reglamento de desarrollo de la antigua LOPD se decía de manera clara que se debía realizar una Auditoría de Protección de Datos cada dos años en todas las organizaciones que tuvieran unas medidas de seguridad de nivel medio o alto.

Artículo 96 Auditoría. 1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En la actual normativa no se dice de manera explícita, por ello mucha gente erróneamente ha interpretado que las auditorías en protección de datos ya no son obligatorias.

Frente a la opinión de muchas personas el RGPD sí hace varias menciones a la auditoría:

  • El art 32 del RGPD  señala que se deberán asegurar las medidas de seguridad con entre otros :

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

  • El art 28.3 h) sobre el encargado del tratamiento:

Artículo 28.3.h) sobre el Encargado del tratamiento: … así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Artículo 39 sobre las Funciones del delegado de protección de datos: Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, … , incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

  • El art 47 del RGPD nos habla sobre las Normas corporativas vinculantes y la necesidad de auditorías de protección de datos:

Artículo 47 sobre las Normas corporativas vinculantes: Especificarán los mecanismos establecidos … . Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado.

  • Por último, el art 58 del RGPD nos dice que la autoridad de control podrá llevar a cabo investigaciones en forma de auditorías:

Artículo 58 sobre los Poderes de las autoridades de control: Llevar a cabo investigaciones en forma de auditorías de protección de datos.

 

¿Por qué realizar una auditoría de Protección de Datos?

  • Evaluar los riesgos a los que la compañía está expuesta.
  • Revisar las medidas de seguridad implantadas.
  • Detectar nuevos riesgos que, con la contínua evolución tecnológica, no lo supusieron en el pasado.
  • Adaptar las medidas de seguridad en el proceso de mejora contínua.
  • Demostrar el cumplimiento frente a terceros. Cúpula directiva, accionistas, inversores etc

El criterio de la Agencia de Protección de Datos frente a las auditorías determina que, con el RGPD, no son preceptivas pero sí necesarias.

Ahora que ha quedado más claro que las auditorías son necesarias para cumplir con el principio de responsabilidad proactiva y verificar si el grado de cumplimiento en protección de datos es correcto, le invitamos a solicitarnos más información en el siguiente enlace.

 


Certificación ISO 27001

Para cumplir la normativa europea de Protección de Datos, cada organización deberá evaluar los riesgos de los datos personales tratados, con el fin de implantar los mecanismos necesarios para protegerlos. Con esta finalidad, muchas organizaciones ven en la norma ISO 27001 un medio adecuado para establecer su Sistema de Gestión de Seguridad de la Información.

La norma ISO 27001 permite a las empresas certificar su Sistema de Gestión de Seguridad de la Información (SGSI). Una empresa que obtiene la certificación  traslada a sus clientes, empleados y proveedores su preocupación por la información.

En Auratech contamos con abogados certificados por AENOR para auditar y certificar a su empresa en la normativa ISO 27001 SGSI.

Esta norma internacional establece directrices para la seguridad de la información en las organizaciones y prácticas de gestión de la seguridad de la información, incluyendo la selección, la implantación y la gestión de los controles, teniendo en consideración el entorno de riesgos de seguridad de la información de la organización.

Esta norma internacional está diseñada para ser utilizada en organizaciones que pretendan:

  • a) Seleccionar controles en el proceso de implantación de un Sistema de Gestión de la Seguridad de la Información basado en la Norma ISO/IEC 27001.
  • b) Implantar controles de seguridad de la información comúnmente aceptados.
  • c) Desarrollar sus propias directrices de seguridad de la información.

El RGPD supone un cambio muy significativo en la normativa de protección de datos a nivel europeo y mundial en los últimos 20 años. La finalidad que persigue es la protección de la privacidad de la información personal de todos los ciudadanos residentes en la Unión Europea.

La norma ISO 27001 es la norma internacional por excelencia para garantizar la seguridad de la información.

Se desarrolla basándose en la norma británica BS 7799-2, publicada por primera vez en 2005. Muchas empresas ven en la certificación de la norma ISO 27001 el primer punto de partida para cumplir con el RGPD.

1 comentario
  1. Migdonia Moreno Marulanda
    Migdonia Moreno Marulanda Dice:

    Buenas tardes:

    Ustedes cuentan con un programa o curso, al que se pueda acceder para recibir el certificado como Auditor en Protección de Datos?

    Gracias

    Responder

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *