En 2016 conocíamos el Reglamento Europeo de Protección de Datos, cuya fecha límite de implantación se cumplió el 25 de mayo de 2018, hace escasamente 2 años. Este cambio normativo suponía inicialmente un cambio de estrategia para aquellos que veníamos aplicando la LOPD española. De la reactividad a la proactividad. La transparencia. Simplificar la resolución de conflictos mediante la figura mediadora del Delegado de Protección de Datos. ¿Y qué fue de las auditorías?
El Real Decreto 1720/2007 que aprobaba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, en su Artículo 110, hablaba de la figura de la auditoría: “Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título”. Estas auditorías se realizarían de manera ordinaria al menos cada 2 años dentro de las medidas de seguridad que debían aplicarse en el momento que tratábamos ficheros de nivel medio o alto.
Curiosamente, si el RGPD pretende que sea proactivo, que deje constancia de todas las medidas que estoy aplicando, cómo las valido y cómo las reviso, ¿no tendría sentido continuar realizando auditorías? ¿Por qué no existe un Artículo en el RGPD o en la actual LOPDGDD dedicado a ello? La explicación es sencilla: sí existe.
Una búsqueda de la palaba “auditoría” en el texto del RGPD nos lleva a dos resultados:
- En el Art. 39, relativo a las Funciones del Delegado de Protección de Datos, en su primer punto, letra b, se describe que una de las funciones del DPD es “supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;”, por lo que dejan claro la necesidad de realizar auditorías. Siendo la figura del DPO obligatoria en algunas circunstancias y voluntario en el resto, ¿podemos extrapolar que la Auditoría es necesaria siempre, haya o no la obligación de implantar un DPO que la supervise?
- En el Art. 47 del RGPD relativo a las normas corporativas vinculantes, punto 2, letra j, los mecanismos establecidos para garantizar la verificación del cumplimiento de estas normas incluirán auditorías de protección de datos.
Y aún así podríamos pensar que en los casos en los que no requiera implantar el Data Protection Officer o Delegado de Protección de Datos (DPO/DPD), y que no disponga de norma vinculante, estoy exento de la realización de auditorías. De nuevo, la lectura de la norma debe realizarse de manera cuidadosa:
- En el Artículo 32 del RGPD relativo a la Seguridad del Tratamiento, aplicable a todos los Responsables del Tratamiento, nos pide aplicar medidas técnicas y organizativas apropiadas que incluyan, entre otros, “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”. Lo que viene siendo una AUDITORIA, aunque lo podríamos llamar VERIFICACION/EVALUACION/VALORACION.
En resumen, la actual normativa de Protección de Datos aplicable en España no sólo exige la realización de auditorías como con la norma anterior, sino que esta obligación se aplica a todo tratamiento de datos, no sólo aquellos denominados antiguamente como medios o altos.