¿Quieres saber si tu empresa, o un proveedor, cumple con las normativas en protección de datos?
¿Has realizado un proceso de adecuación pero quieres asegurarte de que se ha realizado correctamente?
¿Te gustaría saber si uno de tus proveedores tiene implementadas las medidas técnicas y organizativas adecuadas para tratar tus datos?
¿Te estás planteando comprar una empresa pero te gustaría saber su nivel de cumplimiento?
¿Para qué sirve una auditoría de protección de datos?
¿Qué es una auditoría de protección de datos?
Una auditoría de protección de datos es una revisión detallada, independiente y documentada de los procesos y procedimientos de una empresa en relación con el tratamiento de datos personales.
Es la mejor forma de asegurarte de que tu empresa, o tu proveedor, está tratando los datos cumpliendo con las normas de privacidad de datos y que tienen implementadas las medidas técnicas y organizativas adecuadas para proteger la información que manejan de acuerdo con la tipología de datos de la que se trate.
¿Cuál es la finalidad de una auditoría de protección de datos?
Podemos decir que la finalidad de una auditoría de protección de datos suele ser:
- Supervisar y garantizar el cumplimiento de la normativa en protección de datos y privacidad.
- Mecanismo de control interno.
- Medida de seguridad preventiva.
- Mecanismo para garantizar un nivel adecuado de cumplimiento de la protección de datos.
Objetivo de la auditoría de protección de datos
Su meta es evaluar si se están cumpliendo con las normas de privacidad de datos y si se están tomando las medidas necesarias para proteger la información personal de los clientes y empleados.
¿Es obligatorio hacer una auditoría?
Las normas no establecen su obligatoriedad de forma literal pero sí las recomienda de acuerdo con lo establecido en el Reglamento General de Protección de Datos ya que impone las siguientes obligaciones:
- Antes de comenzar a trabajar con una empresa como Encargado del Tratamiento, esta deberá de facilitar toda la información necesaria para demostrar que está adecuadamente adaptada a las normativas de protección de datos y privacidad.
- Se establece para los Responsables del Tratamiento (tu empresa) deberán de tener implementado un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Acciones de una auditoría de protección de datos
Identificación de la información, de los procesos y de los sistemas que tratan datos personales.
Evaluación de los sistemas de seguridad, controles y medidas de protección que se aplican a los datos personales.
Preparación de un informe detallado que incluye hallazgos, recomendaciones y un plan de acción para abordar cualquier vulnerabilidad o amenaza identificada.
Identificación de los riesgos y vulnerabilidades asociados con el tratamiento de datos personales y recomendaciones para mitigarlos.
Análisis de la forma en que se recopilan, utilizan, almacenan, procesan y transfieren los datos personales.
Análisis del grado de cumplimiento de la empresa tomando como referencia lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
Fases de la auditoría de protección de datos
0
Fase de pre-auditoría
Antes de realizar una auditoría, el primer paso es determinar la viabilidad de la misma, tanto por nuestra parte como por la vuestra.
Por nuestra parte, tenemos que estar seguros de que disponemos de personal adecuado para desarrollar la auditoría. Cada sector es diferente y es importante que las personas que vayan a participar en la auditoría cuenten con los conocimientos y experiencia suficiente para poder realizar una auditoría con suficientes garantías.
Por tu parte, debes tener claro cuál es el objetivo de la auditoría (si es un control interno o quieres conocer el grado de cumplimiento de un posible proveedor), el alcance de la misma (quieres auditar un tratamiento en concreto, un departamento, una delegación o toda tu empresa) y los criterios que quieres que se tomen como referencia para analizar la auditoría. Además, debes tener algo que auditar. Si tu empresa no ha realizado un proceso de adecuación, no tiene sentido realizar una auditoría ya que no tendremos qué auditar.
1
Fase de solicitud y análisis de documentación
Una vez tengamos claro cuales son los objetivos de la auditoría, el alcance y los criterios comenzaremos con la primera fase: solicitud y análisis de documentación.
Esta fase se inicia con una primera reunión con la dirección de la entidad y aquellas con responsabilidad en la empresa y que intervengan en las áreas a auditar. Es recomendable contar con la presencia del Delegado de Protección de Datos (DPD) y del Responsable de Seguridad de la Información (CISO), en caso de que dispongan de personal con estas funciones asignadas, ya que nos pueden aportar mucha información y podremos hablar en un lenguaje jurídico-técnico que nos permitirá conocer con mayor precisión la realidad de la empresa.
Una vez conozcamos la empresa y su situación, procederemos a solicitar toda aquella documentación que creamos importante conocer o revisar. Si la empresa cuenta con un Sistema de Gestión de la Seguridad de la Información y/o privacidad, tipo ISO 27001, ISO 27701 o Esquema Nacional de Seguridad, es importante que nos faciliten toda la información de la que dispongan. Así como cualquier información relativa a incidentes previos de seguridad de la información o reclamaciones por parte de usuarios, empleados o cualquier agente involucrado.
2
Elaboración del programa de auditoría
Una vez contemos con información suficiente sobre la entidad, los datos que tratan y de qué manera así como su nivel de madurez,, elaboraremos un programa de auditoría donde consensuaremos los recursos internos y externos que necesitamos que intervengan en el proceso de auditoría.
Cuando hablamos de recursos, nos referimos a entrevistas con personal, visitas a las instalaciones o acceso a infraestructuras u oficinas.
3
Ejecución de la Auditoría
Ya tenemos una idea de la empresa, de sus objetivos y hemos organizado todas las visitas y entrevistas que será preciso realizar, ahora comenzaríamos con la auditoría en sí.
Durante esta fase nos centraremos en conocer en profundidad la empresa con la finalidad de detectar cualquier posible incumplimiento, amenaza o vulnerabilidad relativa a las normativas de protección de datos y privacidad todo ello basándonos en la información que nos faciliten las personas entrevistadas (y que posteriormente ratificaremos) así como en aquellos documentos o hallazgos que obtengamos durante las visitas.
Todos los hallazgos serán analizados y se registrarán documentalmente las evidencias del grado de cumplimiento que se detecte.
Si en algún momento de la auditoría se evidencia un incumplimiento grave que pueda afectar seriamente en la continuidad del negocio o en la protección de los derechos y libertades de los usuarios, se comunicará inmediatamente al cliente sin necesidad de esperar a finalizar esta fase.
4
Elaboración y presentación de informe de conclusiones
Una vez que hayamos finalizado el proceso de auditoría, procederemos a la elaboración del informe preliminar de la auditoría, donde recogeremos todas las evidencias y haremos un análisis del grado de cumplimiento de la empresa.
Cuando este documento esté preparado, nos reuniremos de nuevo con la dirección y presentaremos dicho informe acompañando las conclusiones de las evidencias para justificar todo aquello que hayamos detectado, asegurándonos de que el cliente entiende todo.
5
Elaboración del Plan de Acción y posible seguimiento
Con el objetivo de que la empresa pueda subsanar las deficiencias que hayamos detectado durante el proceso de auditoría, en ciertos casos, elaboraremos en colaboración con el cliente, un plan de acción para mitigarlas, con el objetivo de conseguir un cumplimiento total de la normativa de protección de datos y privacidad.
