Modelo auditoría RGPD

¿Para qué sirve el modelo de auditoría RGPD?

¿Para qué sirve un modelo de auditoría RGPD? ¿Cuándo es obligatoria realizar una auditoría RGPD? ¿Quién valora el modelo de auditoría RGPD?

Disponer de un modelo de auditoría RGPD sirve como herramienta para realizar la evaluación del tratamiento de los datos personales que hace la empresa, cómo se gestionan, qué medidas de seguridad hay implantadas, la finalidad de la recogida de estos datos y quiénes son los responsables de estos. Es decir, un modelo de auditoría RGPD facilita la adaptación de la normativa a una empresa a través de la comprobación de las acciones adoptadas cumplen con los requerimientos establecidos en la legislación.

Realizar un modelo de auditoría RGPD de protección de datos es obligatorio en aquellas empresas que recogen y tratan datos personales de nivel medio/alto. Esta auditoría debe realizarse, como mínimo, cada dos años, siempre y cuando las circunstancias de recogida y tratamiento de datos no hayan cambiado de forma sustancial. Asimismo, contar con un modelo de auditoría RGPD para la implantación de las medidas técnicas y organizativas es recomendable para cualquier empresa, ya que esta asegura el cumplimiento de la ley.

El modelo de auditoría RGPD realizado debe ser evaluado por el responsable de seguridad. Este es el rol que se asegura de implantar las medidas de seguridad y de transmitir sus conclusiones al responsable del fichero o tratamiento. Este último llevará a cabo las medidas correctoras del modelo de auditoría RGPD para así dar cumplimiento a lo establecido en la ley.

Cabe señalar que realizar un modelo de auditoría RGPD puede resultar complejo. Es por este motivo que se aconseja acudir a un despacho profesional para que especialistas en protección de datos se encarguen de revisar todos los procedimientos de tratamiento de datos personales de la empresa. También, recurrir a un despacho de especialistas hará que en el modelo de auditoría RGPD ejecutado se comprueben los sistemas informáticos, las medidas de seguridad y todas las exigencias de la normativa actual de protección de datos.

Pasos a seguir: Modelo de auditoría RGPD

A continuación, se presentan los puntos que se deben tener en cuenta a la hora de realizar una auditoría, es decir, se presenta un modelo de auditoría RGPD. Este modelo de auditoría RGPD servirá de base para adoptar las medidas de seguridad necesarias para garantizar la integridad de la información y de los datos tratados.

• Descripción del objeto de la auditoría.

• Descripción de las fases en la realización de la auditoría.

• Descripción del plan de trabajo, en el que se detalla cada punto auditado, se incluye el checklist correspondiente al mismo, el nivel de cumplimiento y las recomendaciones del auditor al respecto:

   

  • Principios relativos al tratamiento.

     

  • Licitud del tratamiento.

     

  • Condiciones para el consentimiento.

     

  • Consentimiento de menores de edad.

     

  • Tratamiento de categorías especiales de datos.

     

  • Tratamientos relativos a condenas e infracciones penales.

     

  • Tratamientos que no requieren identificación.

     

  • Derechos del interesado. 
    • Transparencia de la información.
    • Información a facilitar cuando los datos se obtienen del interesado.
    • Información a facilitar cuando los datos no se obtienen del interesado.
    • Acceso
    • Rectificación
    • Supresión
    • Limitación del tratamiento
    • Portabilidad de los datos
    • Oposición
    • Derechos del interesado. Decisiones individuales automatizadas, incluida la elaboración de perfiles.
    • Responsabilidad del responsable del tratamiento.
    • Protección de datos desde el diseño y por defecto.
    • Corresponsables del tratamiento.
    • Encargado del tratamiento.
    • Registro de las actividades de tratamiento.
    • Seguridad del tratamiento.

   

  • Brechas de seguridad
    • Notificación a la AEPD.

    • Notificación al interesado.

       

  • Evaluación de impacto.

   

  • Delegado de protección de datos.

     

  • Transferencias a terceros países y organizaciones internacionales.

Ejemplo de consentimiento expreso RGPD

Como se ha comentado, el primer paso de la auditoría RGPD es comprobar que se cuenta con el consentimiento expreso de los interesados. Según el RGPD, el consentimiento es “la manifestación de voluntad libre, específica, informada e inequívoca por la cual el interesado acepta, mediante una clara acción afirmativa, el tratamiento de sus datos personales”. Un ejemplo de consentimiento expreso RGPD puede ser: “Si desea que se le envíe información comercial, marque la casilla”. A continuación, se pasa a analizar por qué este ejemplo de consentimiento expreso RGPD tiene las características para considerarse legítimo.

• Libre. La persona debe tener la opción de aceptar o no, sin ningún tipo de intervención, los términos regulados por el Código Civil.

• Específico. Se le debe pedir a la persona que consienta tipos individuales de tratamiento de los datos, es decir, referido a una determinada operación de tratamiento.

• Informado. La persona debe conocer con anterioridad el tratamiento, la existencia de este y la finalidad por las que se produce.

• Inequívoco. El lenguaje debe ser claro y sencillo. Es necesario que exprese claramente una acción que implique que hay consentimiento.

• Clara acción afirmativa. La persona debe consentir expresamente haciendo o diciendo algo. No son válidas aceptaciones tácitas como ocurría hasta ahora en la LOPD con casillas ya marcadas.

• El RGPD establece un sexto requisito y es que el consentimiento debe poder retirarse fácilmente. Es decir, una vez se disponga de consentimiento, se debe facilitar su retirada.