Aunque ni en el Reglamento General de Protección de Datos, ni en la Ley Orgánica de Protección de Datos, se recoge una exigencia directa de realizar auditorías de cumplimiento de la normativa, debemos de tener en cuenta que, el nuevo modelo de gestión de protección de datos está enfocado a la evaluación continua de los riesgos asociados al tratamiento desde su diseño y por defecto.
Si revisamos en profundidad el RGPD, podemos encontrarnos con varias referencias que nos llevan a deducir que las auditorias se encuentran entre las medidas de seguridad que, tanto responsables como encargados, deben implantar en sus sistemas.
- Medidas de seguridad. Según el artículo 32 del RGPD, se aplicarán medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, entre las que se incluyen: un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas…
- Encargados del tratamiento. En el artículo 28.3.h se establece que, entre las obligaciones del encargado, éste Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
- Delegado de Protección de Datos. En el artículo 39, en el que se determinan las funciones del DPD, se recoge expresamente en el punto 1.h, supervisar el cumplimiento de la normativa, incluidas las auditorías correspondientes.
- Normas corporativas vinculantes. Entre los elementos que deben incluir las normas corporativas vinculantes se encuentran las auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. (Artículo 47.2.j).
- Artículo 58.1.b. Se incluye entre los poderes de investigación de la autoridad de control, llevar a cabo investigaciones en forma de auditorías de protección de datos.
En conclusión, para mantener nuestro sistema de protección de datos conforme a lo establecido en la normativa, es indispensable realizar auditorías periódicas a fin de garantizar la eficacia de las medidas implantadas.