02 Feb Auditoría RGPD
Una auditoría RGPD es una auditoría de protección de datos. Sirve para comprobar cuál es el tratamiento que se da a los datos personales dentro de tu empresa. Hay dos tipos de auditoría según quién la realice, por ello, puede ser externa o interna. Además, hay un check list de auditoría RGPD que son todos los requisitos que tiene que cumplir tu empresa.
Qué es la Auditoría RGDP
Una auditoría RGPD es un proceso por el que se puede evaluar el tratamiento y la gestión que hace una empresa de los datos de carácter personal. Además, evalúa a todos los responsables del tratamiento de los datos y por qué la empresa recoge esos datos.
¿Es obligatoria la Auditoría de Protección de Datos?
En sí, no es obligatorio realizar una auditoría de protección de datos, pero sí que es recomendable pasarla cada 2 años para saber si tu empresa trata correctamente todos los datos de carácter personal tanto de tus clientes como de tus empleados. Es conveniente que conozcas el nivel de seguridad de tu negocio, para conocer si los datos son manejados acorde con la normativa vigente.
Tipos de Auditoría de RGDP
Existen dos tipos de auditoría de RGPD en función de quien la realice puede ser interna o externa.
Interna
La auditoría de RGDP y LOPD interna la realiza el personal especializado de la empresa en protección de datos. Tienen que presentar un informe a la propia empresa y al responsable del tratamiento de los datos personales, por si fuera necesario tomar nuevas medidas de seguridad para tratar los datos acorde con la ley vigente.
No es muy recomendable que la realice el personal interno de tu empresa, ya que puede perder la objetividad necesaria y puede que no tenga los conocimientos necesarios para realizar una auditoría de RGDP.
Externa
La auditoría de RGDP y LOPD externa la realiza una asesoría profesional especialista en este tema. La asesoría revisa todos los datos de la empresa, los sistemas informáticos de la empresa, las medidas de seguridad y todas las obligaciones que hay que cumplir para actuar dentro del margen de la ley. Una vez comprueben todos los factores te presentarán un informe de evaluación con propuestas de mejora para la seguridad y la protección de los datos.
Siempre es recomendable utilizar este tipo de servicios de forma externa porque son más objetivos, independientes y autónomos, ya que no están relacionados con tu negocio.
Objetivos de una auditoría de Protección de Datos
Los objetivos de una auditoría de protección de datos son los siguientes:
Asegurar el cumplimiento de la LOPDGDD
Verificar que todo el proceso del tratamiento de los datos de carácter personal se hace cumpliendo la Ley Orgánica de Protección de Datos.
Estudiar el estado de la empresa
Sirve para conocer y estudiar el estado actual de tu empresa.
Cumplimiento de las políticas internas
Hay que revisar si se cumplen correctamente las políticas de la empresa y todas las medidas de seguridad creadas por la misma.
Buena práctica empresarial
Sirve para verificar que la empresa es transparente con el tratamiento de los datos de sus clientes y de sus empleados.
Comprobar la cesión de datos
Permite comprobar si la cesión de datos entre los departamentos es correcta.
Buen desarrollo de los contratos con terceros
Sirve para comprobar si hay cesiones de datos o transferencias internacionales con otras empresas y que procedimiento se realiza.
Revisión de las Auditorías previas
Para conocer si ya se hicieron mejoras en la protección de datos de tu empresa, es necesario revisar las auditorías previas, por si no entendiste algún apartado para poder explicártelo o comprobar que lo has aplicado correctamente.
Checklist para el control de los aspectos de la Auditoría de Protección de Datos
La check list de la auditoría RGPD tiene que contener los siguientes apartados para el control de la protección de datos:
Documento de seguridad
Tiene que existir un documento de seguridad y lo tienen que tener tanto el responsable de la protección de datos de tu empresa como todos los trabajadores que tratan con los datos personales. En el documento tiene que constar el grado de conocimiento, sensibilización, aceptación y cumplimiento. Es una ampliación del documento de acuerdo exigido por el RGPD y de los recursos que están protegidos por el mismo reglamento.
Control de acceso
Verifica el control de acceso a los sistemas donde se almacenan los datos. Para ello, se realizan pruebas de intrusión y se revisa la seguridad de las telecomunicaciones de tu empresa.
Sistema de identificación y autentificación
Tiene que ser una lista donde aparezcan todos los usuarios autorizados y tiene que estar siempre autorizada para conocer qué accesos tiene cada uno de los usuarios. Es necesario cambiar periódicamente todas las contraseñas y almacenar las contraseñas de manera cifrada.
Gestión de soportes
Es necesario que identifiques los soportes y tienes que hacer un inventario de los mismos. Además, tienes que realizar un almacenamiento seguro y comprobar el funcionamiento de los registros de entrada y salida.
Antivirus
El antivirus tiene que ser actualizado de manera periódica y se revisa la automatización del control del antivirus. Además, sirve para comprobar si cumple con las obligaciones necesarias que se contemplan en la Ley.
Copias de seguridad
Las copias de seguridad necesitan unos niveles de cumplimiento de las obligaciones relativas con las tareas de recuperación, al almacenamiento de las copias de seguridad y la periodicidad que has establecido.
Procedimiento de incidencias
Tienes que notificar todas las incidencias que se producen, tienes que dar respuestas a las mismas y registrarlas.
Normas internas y funciones de la plantilla
Tienes que comprobar que todas las personas que tratan con los datos personales tienen un nivel de conocimiento, sensibilización, aceptación y cumplimiento necesarias. Además, tienes que aplicar las medidas correctoras y disciplinarias necesarias. Además, todas las personas relacionadas con el tratamiento de los datos tienen que tener copias para conocer el sistema y tienen que estar firmadas por tus empleados
Normas de la propiedad intelectual
Es importante que cumplas las normas de la propiedad intelectual, es decir, tienes que hacer un inventario de las licencias de uso, las listas de los programas homologados y tienes que revisar cada una de las terminales. Además, tienes que controlar el contenido y las bases de datos.
Confidencialidad y secreto
Tienes que definir el nivel de confidencialidad de cada documento para poder establecer el control necesario en cada uno de los canales de distribución de los documentos.