Los aspectos más relevantes de la Auditoría conforme al RGPD y la LOPD 3/2018. Covadonga Pérez Píriz. Socia Cumplen
- La obligatoriedad de llevarla a cabo. En la auditoría legal, tendremos que prestar especial atención al cumplimiento de los principios establecidos entre los artículos 5 a 11 del RGPD.
En este sentido se pronuncia el artículo 53 de la LOPD 3/2018 que determina que “La Presidencia de la Agencia Española de Protección de Datos podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad. Tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría.” (sic)
- La temporalidad. Se recomienda auditorías a intervalos de tiempos estipulados.
- Quien puede hacerla. La auditoría de protección de datos se puede llevar a cabo con a través de un auditor experto en la materia, bien interno o externo.
Auditor Interno, forma parte de la plantilla de la empresa auditada, con la que mantiene un contrato laboral.
Auditor externo, no forma parte de la plantilla de la empresa auditada. Mantiene con la empresa auditada un contrato de prestación de servicios.
- El contenido. En ambas normas se revisa la licitud del tratamiento.
1. Protocolo para la gestión de las violaciones de seguridad.
2. Normas para la gestión de la privacidad desde el diseño.
3. Creación registros de actividades de tratamiento.
4. Adecuación Aviso Legal web, políticas de privacidad y de cookies.
5. Adecuación de los contratos de confidencialidad con terceros y la firma de los mismos por las personas interesadas.
6. Actualización de las cláusulas sobre el deber de información al afectado.
7. Procedimientos relacionados nuevos derechos de las personas y observación de la forma en que se pueden ejercitar.
8. Firma del Contrato de Confidencialidad
9. Informes de impacto en la privacidad. Evaluación de Impacto en los casos que sea obligatorio realizarlo.
10. Adecuación de procedimientos críticos internos con relación en la protección de datos personales
- Las consecuencias de no realizarla. Es un incumplimiento del principio básico del mismo, es decir, tratamiento desde el diseño y por defecto, así como la responsabilidad proactiva, articulo 25.
- Delegado de Protección de datos. Esta figura no es el encargado de realizar una auditoria si bien puede supervisarla o determinar que se realice.