Diariamente, tanto las empresas como los particulares se ven obligados a solicitar o facilitar sus datos personales, oír hablar del Reglamento General de Protección de Datos o leer las últimas sanciones y multas impuestas por las autoridades.
Sin embargo, no reciben la misma publicidad las medidas y obligaciones que sobre todo las empresas pueden adoptar para evitar ser titular como “sujeto sancionado”. Entre estas medidas preventivas cabe citar una obligación, que otorga garantías de cumplimiento, como es la realización de auditorías de cumplimiento de forma preventiva.
La anterior normativa, en concreto, el Real Decreto 1720/2007, regulaba la obligación de llevar a cabo auditorías de cumplimiento periódicas, tanto internas como externas. Esto para garantizar un nivel de seguridad adecuado de los sistemas de información que tratasen datos personales. Además, introducía una periodicidad de realizarlas, como mínimo, cada dos años. De esta forma, los responsables de los datos personales conocían, de forma periódica, el estado de las medidas adoptadas, la necesidad de incrementar o mejorar las mismas, o los riesgos existentes.
Por el contrario, la entrada en vigor del RGPD sentó silencio en este sentido y dejó libertad a las empresas para decidir el modo, forma y periodicidad con la que garantizar su nivel de adecuación y cumplimiento.
Ahora bien ¿quiere esto decir que las empresas no están hoy obligadas a realizar auditorías de cumplimiento periódicas?
Lógicamente, la respuesta debe ser “no”. Aunque no encontramos un apartado específico que regule esta periodicidad u obligación de someterse a auditorías de cumplimiento. Sí que a lo largo del RGPD se desprende esta medida (p.ej. art. 32 como medidas de seguridad contar con un proceso de verificación, evaluación y valoración regular de las mismas.) Esta última interpretación es la que prima hoy en día, motivo por el cual la mayoría de las empresas realizan auditorías periódicas en protección de datos.
Muchas de estas auditorías se realizan como medida reactiva ante la detección de irregularidades en la compañía, incidentes o violaciones de seguridad y ante el temor de ser objeto de sanción. En estos casos, aunque siempre resulte beneficiosa su realización, no cabe entender satisfecho el fin último de las auditorías de cumplimiento con. Ello, en tanto las finalidades perseguidas con la realización de auditorías son:
- Detectar y prevenir deficiencias y riesgosen el tratamiento de datos y sistemas de información;
- Verificar las medidas de seguridad implantadas y, en su caso;
- Adoptar medidas adicionales para mitigar nuevos riesgos;
- Garantizar el cumplimiento y adecuaciónnormativa de la compañía.
Con la realización de estas auditorías, las empresas pueden anticiparse y contar así con evidencias de cumplimiento ante la materialización de incidentes o requerimientos de las autoridades.
Por ello, desde UBT L&C hacemos hincapié a nuestros clientes en la necesidad de llevar a cabo tanto auditorías preventivas como anuales de cumplimiento. De este modo, gracias a nuestros servicios e informes resultado de dichas auditorías, los clientes pueden conocer y evidenciar su cumplimiento en materia de protección de datos.
Lo anterior, en aras de lograr una práctica cada vez más extendida en materia de protección de datos, como es la evidencia de cumplimiento continuo.
Miriam Romano, Abogada y consultora legal.
- Multa por publicar imágenes sin consentimiento en un centro estético
- PBC en el fútbol: nuevas normativas
- Efectos de la economía colaborativa en servicios digitales
- Autoridades Independientes de Protección al Informante en España: estado actual y novedades
- Multa histórica a Uber: claves del caso
- Compliance en BCG: Caso FCPA