El artículo 32.1.d) del RGPD establece la obligación de definir un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento de los datos personales.
La finalidad de la auditoría
La finalidad de la auditoría puede ser única o referirse a más de un objetivo. Lo habitual será querer conocer las debilidades e incumplimientos, y puede ser para tener garantías de que la entidad está cumpliendo y así disminuir riesgos, o porque se lo exija la entidad matriz, en algunos casos multinacional extranjera, o que por ser un encargado del tratamiento se lo exijan sus clientes, o que sin una exigencia específica la entidad quiera tener un informe que si es favorable constituya un argumento comercial.
Tipos de auditoría
Recordemos que puede haber auditoría interna o externa, o ambas y cada una en su momento, con el objetivo, alcance y profundidad que se determinen en cada encargo, pero que en todo caso pueden combinarse una auditoría de cumplimiento y una auditoría de seguridad – riesgos.
¿Está obligada mi empresa a pasar una auditoría?
La obligación de definir un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento de los datos personales es para todos los responsables del tratamiento, independientemente del tipo de datos personales que traten.
De igual modo, todos los responsables del tratamiento están obligados a elegir únicamente encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.
¿Qué recibimos tras una auditoría?
La consultoría en protección de datos entregará un informe, debidamente firmado y sellado, que dictaminará sobre la adecuación de lo auditado en su empresa al RGPD y demás normativa nacional aplicable, identificando las deficiencias encontradas y proponiendo las medidas correctoras o complementarias necesarias. Se incluirán los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
¿Cuándo mi organización debe realizar auditorías?
Hasta el 25 de mayo de 2018 son voluntarias, aunque pertinentes para determinar si su organización y/o proveedores están preparados para aplicar correctamente el RGPD. A partir de dicha fecha, serán obligatorias.
El artículo 32.1.d) del RGPD establece la obligación de definir un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento de los datos personales.
Pidan presupuesto sin compromiso de implantación de la normativa vigente
