La realización de auditorías en materia de protección de datos: ¿está mi organización obligada a llevarla a cabo?

La entrada en vigor del Reglamento UE 2016/679, de 27 de abril, de 2016 relativo a la protección de las personas físicas en lo que respecta el tratamiento de datos personales y a la libre circulación de estos datos (RGPD) ha supuesto un cambio radical en el modelo de cumplimiento de las obligaciones en materia de protección de datos personales por parte de las organizaciones. En este cambio de paradigma, las empresas y organizaciones son ahora las que deben diseñar y evaluar las medidas necesarias para garantizar el cumplimiento teniendo en cuenta la normativa en cuestión.

El RGPD establece como uno de sus fundamentos esenciales el principio de “accountability” (o de responsabilidad proactiva) lo que se traduce en la asunción directa de responsabilidad por parte de las organizaciones en el cumplimiento de las disposiciones normativas en materia de protección de datos y en su capacidad para demostrar dicho cumplimiento.

Teniendo ello en cuenta, resulta esencial disponer de evidencias que acrediten el cumplimiento que, generalmente, requerirán documentar de forma adecuada todas las medidas implementadas con la finalidad de poder demostrarlo, lo que conlleva la realización de controles periódicos y auditorías de cumplimiento.

La necesidad de realizar auditorías tiene su manifestación en distintos artículos del RGPD: entre otros, en el art. 24.1 en el que se establece la obligación del responsable de revisar las medidas técnicas y organizativas implantadas a fin de poder demostrar que el tratamiento es conforme con el RGPD o en el art. 32.1 d) en el que se establece la necesidad de realizar un proceso de verificación y evaluación regular de la eficacia de las medidas técnicas y organizativas implantadas con la finalidad de garantizar la seguridad del tratamiento.

Teniendo en cuenta lo anterior, se desprende la intención del legislador europeo no solo de transmitir la necesidad de la realización de auditorías periódicas, sino también la necesidad de establecer un marco de revisión continua de las medidas técnicas y organizativas implantadas y, en general, de verificación del cumplimiento normativo en materia de protección de datos, siendo la auditoría uno de los mecanismos de verificación más adecuados para implantar dichos procesos.

Como vemos, de igual manera que en cualquier otro marco de cumplimiento normativo, las auditorías en materia de protección de datos son esenciales en los procesos de mejora y revisión continua al tratarse de un modelo enfocado al riesgo derivado de la protección de los derechos y libertades de las personas físicas, lo que permite:

  • Evaluar los riesgos existentes y verificar si las medidas implantadas son suficientes para mitigarlos.
  • Descubrir nuevos riesgos antes inexistentes o no detectados.
  • Adaptar las medidas implantadas a los nuevos riesgos.
  • Demostrar el cumplimiento de la normativa.

A estos efectos, desde el departamento jurídico de BETA LEGAL nos ponemos a su entera disposición para efectuar los controles periódicos y auditorias previstas en la normativa aplicable, a los efectos de acreditar el cumplimiento de la misma y la implementación de las medidas técnicas y organizativas correspondientes.

BETA LEGAL ASSESSORS, S.L.