¿Son obligatorias las auditorías?

Hasta mayo del 2018, fecha en la que entra en vigor el Reglamento General de Protección de Datos (RGPD). Las auditorias se encontraron reguladas como una de las obligaciones previstas. Desde entonces, ya no están estipuladas expresamente, y en España, dicho impacto se traslada a la legislación interna con la promulgación de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Ahora bien, ¿podremos decir que no son importantes, o en su defecto obligatorias, de no encontrarse expresamente en la normativa? La respuesta es no, ya que es el legislador quien se encarga de dejar claro que las auditorías son también necesarias para la conformidad de la ley.

El RGPD establece como uno de sus principios rectores la responsabilidad proactiva (o también denominada en inglés, accountability), ordenando no solo que el responsable del tratamiento debe cumplir con la normativa legal, sino que debe ser capaz de demostrarlo. Es decir, no resulta suficiente con reaccionar ante la normativa de protección de datos y cumplirla. El Responsable deberá realizar lo necesario para cumplir con las disposiciones de la ley y, de igual manera, deberá demostrar que cumple.

auditoría empresas

Establecimiento de las auditorías

De ello surge la necesidad de contar con evidencias de cumplimiento, que generalmente requerirán documentar todas las medidas implementadas. A su vez, el RGPD establece al responsable revisar las medidas técnicas y organizativas que haya adoptado, y para ello requiere generar un proceso de verificación, evaluación y valoración regular de la eficacia de dichas medidas, garantizando la seguridad del tratamiento y pudiendo demostrar el cumplimiento que nos ordena el Reglamento. Este concepto se ve manifestado a lo largo de varios artículos, lo relativo a: los Encargados de Tratamiento (art. 28), Normas Corporativas vinculantes (art. 47), y Códigos de Conducta (art.40).
Es así como, se desprende la intención clara de transmitir la necesidad de la realización de auditorías, y a su vez la de generar un marco de revisión continua de cumplimiento normativa en materia de protección de datos.

ISO 19.011 (Directrices para la auditoría de Sistemas de Gestión)

Al hablar de auditorías, no podremos olvidarnos de la ISO 19.011, que es el estándar internacional por excelencia en esta materia. Allí nos encontraremos con la definición de auditorías:

“proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría.”

De las evidencias objetivas y los criterios de auditoría surge un tercer concepto que se denomina “Hallazgo de la auditoría”, que vendrían a ser los resultados de la evaluación de la evidencia objetiva frente a los criterios de auditoría. De estos hallazgos se puede desprender:

• La identificación de la conformidad o no conformidad
• Se pueden indicar las oportunidades para la mejora o el registro de buenas prácticas
• Si los criterios de auditoría se seleccionan con base en requisitos legales, el hallazgo se denomina cumplimiento o incumplimiento.

Conclusiones de las auditorías

Desde el punto de vista de las organizaciones, que funcionan como responsables del tratamiento, las auditorías les permitiría:

Evaluar los riesgos y verificar si las medidas son suficientes
• Levantar nuevos riesgos
• Adaptar nuevas medidas en un proceso de continua mejora
• Demostrar el cumplimiento

Sin la realización de una auditoría, la empresa puede seguir funcionando, lo más probable es que no se hayan adoptado todas las medidas de seguridad necesarias para garantizar la integridad de la información que se utiliza. Y eso podría acarrear denuncias y sanciones por parte de la Agencia Española de Protección de Datos (AEPD). Ante ello vienen las auditorías, para salvarnos y poder anticiparnos de incidencias, brechas de seguridad, inconformidades a la ley y sanciones, ya que con ellas podremos ser capaces de mejorar en la seguridad de la información, garantizar la protección de los datos y demostrar una actitud proactiva.

Si te ha parecido interesante nuestro artículo, aprende todo sobre la documentación legal que necesita una página web.