Auditoría RGPD

    Please prove you are human by selecting the car.

    Auditoría RGPD

    02 Feb Auditoría RGPD

    Posted at 10:00h in proteccion de datos by
    0 Likes

    Una auditoría RGPD es una auditoría de protección de datos. Sirve para comprobar cuál es el tratamiento que se da a los datos personales dentro de tu empresa. Hay dos tipos de auditoría según quién la realice, por ello, puede ser externa o interna. Además, hay un check list de auditoría RGPD que son todos los requisitos que tiene que cumplir tu empresa. 

    Qué es la Auditoría RGDP

    Una auditoría RGPD es un proceso por el que se puede evaluar el tratamiento y la gestión que hace una empresa de los datos de carácter personal. Además, evalúa a todos los responsables del tratamiento de los datos y por qué la empresa recoge esos datos.

    ¿Es obligatoria la Auditoría de Protección de Datos?

    En sí, no es obligatorio realizar una auditoría de protección de datos, pero sí que es recomendable pasarla cada 2 años para saber si tu empresa trata correctamente todos los datos de carácter personal tanto de tus clientes como de tus empleados. Es conveniente que conozcas el nivel de seguridad de tu negocio, para conocer si los datos son manejados acorde con la normativa vigente.

    Tipos de Auditoría de RGDP

    Existen dos tipos de auditoría de RGPD en función de quien la realice puede ser interna o externa.

    Interna

    La auditoría de RGDP y LOPD interna la realiza el personal especializado de la empresa en protección de datos. Tienen que presentar un informe a la propia empresa y al responsable del tratamiento de los datos personales, por si fuera necesario tomar nuevas medidas de seguridad para tratar los datos acorde con la ley vigente. 

    No es muy recomendable que la realice el personal interno de tu empresa, ya que puede perder la objetividad necesaria y puede que no tenga los conocimientos necesarios para realizar una auditoría de RGDP.

    Externa

    La auditoría de RGDP y LOPD externa la realiza una asesoría profesional especialista en este tema. La asesoría revisa todos los datos de la empresa, los sistemas informáticos de la empresa, las medidas de seguridad y todas las obligaciones que hay que cumplir para actuar dentro del margen de la ley. Una vez comprueben todos los factores te presentarán un informe de evaluación con propuestas de mejora para la seguridad y la protección de los datos. 

    Siempre es recomendable utilizar este tipo de servicios de forma externa porque son más objetivos, independientes y autónomos, ya que no están relacionados con tu negocio.

    Objetivos de una auditoría de Protección de Datos

    Objetivos de una auditoría de Protección de Datos

    Los objetivos de una auditoría de protección de datos son los siguientes:

    Asegurar el cumplimiento de la LOPDGDD

    Verificar que todo el proceso del tratamiento de los datos de carácter personal se hace cumpliendo la Ley Orgánica de Protección de Datos.

    Estudiar el estado de la empresa

    Sirve para conocer y estudiar el estado actual de tu empresa.

    Cumplimiento de las políticas internas

    Hay que revisar si se cumplen correctamente las políticas de la empresa y todas las medidas de seguridad creadas por la misma.

    Buena práctica empresarial

    Sirve para verificar que la empresa es transparente con el tratamiento de los datos de sus clientes y de sus empleados.

    Comprobar la cesión de datos

    Permite comprobar si la cesión de datos entre los departamentos es correcta.

    Buen desarrollo de los contratos con terceros

    Sirve para comprobar si hay cesiones de datos o transferencias internacionales con otras empresas y que procedimiento se realiza.

    Revisión de las Auditorías previas

    Para conocer si ya se hicieron mejoras en la protección de datos de tu empresa, es necesario revisar las auditorías previas, por si no entendiste algún apartado para poder explicártelo o comprobar que lo has aplicado correctamente.

    Checklist para el control de los aspectos de la Auditoría de Protección de Datos

    Checklist para el control de los aspectos de la Auditoría de Protección de Datos

    La check list de la auditoría RGPD tiene que contener los siguientes apartados para el control de la protección de datos:

    Documento de seguridad

    Tiene que existir un documento de seguridad y lo tienen que tener tanto el responsable de la protección de datos de tu empresa como todos los trabajadores que tratan con los datos personales. En el documento tiene que constar el grado de conocimiento, sensibilización, aceptación y cumplimiento. Es una ampliación del documento de acuerdo exigido por el RGPD y de los recursos que están protegidos por el mismo reglamento.

    Control de acceso

    Verifica el control de acceso a los sistemas donde se almacenan los datos. Para ello, se realizan pruebas de intrusión y se revisa la seguridad de las telecomunicaciones de tu empresa.

    Sistema de identificación y autentificación

    Tiene que ser una lista donde aparezcan todos los usuarios autorizados y tiene que estar siempre autorizada para conocer qué accesos tiene cada uno de los usuarios. Es necesario cambiar periódicamente todas las contraseñas y almacenar las contraseñas de manera cifrada.

    Gestión de soportes

    Es necesario que identifiques los soportes y tienes que hacer un inventario de los mismos. Además, tienes que realizar un almacenamiento seguro y comprobar el funcionamiento de los registros de entrada y salida.

    Antivirus

    El antivirus tiene que ser actualizado de manera periódica y se revisa la automatización del control del antivirus. Además, sirve para comprobar si cumple con las obligaciones necesarias que se contemplan en la Ley.

    Copias de seguridad

    Las copias de seguridad necesitan unos niveles de cumplimiento de las obligaciones relativas con las tareas de recuperación, al almacenamiento de las copias de seguridad y la periodicidad que has establecido.

    Procedimiento de incidencias

    Tienes que notificar todas las incidencias que se producen, tienes que dar respuestas a las mismas y registrarlas.

    Normas internas y funciones de la plantilla

    Tienes que comprobar que todas las personas que tratan con los datos personales tienen un nivel de conocimiento, sensibilización, aceptación y cumplimiento necesarias. Además, tienes que aplicar las medidas correctoras y disciplinarias necesarias. Además, todas las personas relacionadas con el tratamiento de los datos tienen que tener copias para conocer el sistema y tienen que estar firmadas por tus empleados

    Normas de la propiedad intelectual 

    Es importante que cumplas las normas de la propiedad intelectual, es decir, tienes que hacer un inventario de las licencias de uso, las listas de los programas homologados y tienes que revisar cada una de las terminales. Además, tienes que controlar el contenido y las bases de datos.

    Confidencialidad y secreto

    Tienes que definir el nivel de confidencialidad de cada documento para poder establecer el control necesario en cada uno de los canales de distribución de los documentos.