AUDITORIAS RGPD/LOPD-GDD
Acostumbrados a realizar auditorias bienales para determinar si se habían establecido, si eran adecuadas y si se cumplían las medidas de seguridad aplicadas a los datos personales desde 1999 con la antigua normativa sobre protección de datos, con la irrupción del RGPD y nuestra LOPD-GDD nos encontramos huérfanos de una indicación expresa sobre esta cuestión de las auditorias, y por este motivo vamos a analizar la situación actual y a intentar definir su necesidad u obligatoriedad.
El artículo 17.1 del Real Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, establecía la obligatoriedad de auditar interna o externamente los sistemas de información e instalaciones de tratamiento para verificar el cumplimiento del reglamento, al menos cada dos años si, al menos, nos encontrábamos ante la aplicación de medidas de seguridad de nivel medio… qué tiempos aquellos!!!
Se trata de un claro ejemplo de auditoría reactiva, donde la norma establecía medidas de seguridad a establecer, las cumplías o no y se revisaban al menos cada dos años, de esta manera se alcanzaba un nivel de cumplimento “cómodo”.
Posteriormente el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobaba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD) incidía de nuevo sobre la auditoría reactiva introduciendo matices, como por ejemplo que se debería realizar ante cambios sustanciales en los sistemas de información y sobre tratamientos en soporte papel, sobre las medidas de seguridad, la Ley y su Reglamento alcanzando a cuestiones no solo técnicas, sino de adecuación normativa e incluso organizacional.
Con el actual Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 se incluyen referencias aparentemente algo dispersas sobre las auditorías, hablando de ellas en segundo términos en:
- El art. 28 para hacer referencia a la posibilidad de que el encargado del tratamiento pueda ser auditado por el responsable.
- El art 47. sobre normas corporativas vinculantes donde se vuelve a hacer referencia a la verificación del cumplimiento en un grupo empresarial incluyendo auditorías.
- El art. 58 respecto a la autoridad de control, donde deberá llevar a cabo investigaciones en forma de auditoría
- Y por último, pero no menos importante, en el art 39 al hablar de las Funciones del DPO, entre las que se incluyen las auditorías correspondientes.
Vamos a poner en contexto varias cuestiones para analizar estas referencias como son la responsabilidad proactiva (Accountability) o diligencia debida recogida en el art. 5 del RGPD por el que tenemos que cumplir con los principios reglamentarios y además ser capaces de demostrarlo y las referencias que establece el art 32 del RGPD cuando en su apartado 1.d) establece que tanto responsable como encargado aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Esto, que según algunos no queda bien especificado, para nosotros no deja de ser una clara referencia para realizar una auditoría, pero ya no a la vieja usanza, sino que ahora va a ser proactiva, puesto que cada responsable y cada encargado habrá aplicado las medidas de seguridad que correspondan tras haber realizado el análisis de riesgos a cada uno de los tratamientos o en su caso una EIPD. Sí podemos estar de acuerdo en que no especifica como ni cuándo y básicamente se justifica en la aplicación del principio de responsabilidad proactiva de manera que ese cómo y ese cuando lo decidirá el responsable o el encargado.
Si vamos al art. 39 sobre las funciones del DPD encontramos:
supervisar el cumplimiento de lo dispuesto en el presente Reglamento de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Parece bastante más clara la necesidad de realizar auditorías, al menos en aquellos casos en que el responsable o el encargado disponga de un DPD.
Pero en este caso nos pasa como con la EIPD ya que hay que determinar si es el DPD quien debe realizar la auditoría y es este caso nuestra respuesta será claramente un NO
En el caso de las EIPD se indica en el art 39.1 c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 (queda bastante claro que no incluye su realización, aunque si su participación activa en el proceso)
En el caso de las Auditorías hay que revisar las posibles incompatibilidades de las figuras intervinientes y auditarse a sí mismo no parece ser garantía suficiente de independencia, imparcialidad y objetividad más si cabe cuando llegue la parte de auditoría donde se analice el trabajo del propio DPD y al igual que antes su papel se limitará a asesorar al responsable sobre la necesidad de realizar una auditoría, supervisar esta y participar en todo lo que el auditor le solicite y sobre todo y lo mas importante elevar las conclusiones al más alto nivel jerárquico del responsable o encargado que son los que en definitiva decidirán sobre como y cuando abordar las recomendaciones y propuestas del auditor como máximo órgano decisor en cualquier organización.
Otra cuestión diferente serán aquellas auditorías que un responsable pudiera hacer sobre un encargado del tratamiento en cumplimiento de una de las clausulas del contrato de encargo que las autoridades de control recomiendan y en la que se establece la posibilidad de que el responsable verifique, inspeccione o audite al encargado para supervisar el adecuado cumplimiento de sus obligaciones en el tratamiento encargado y en estos casos la realización de la auditoría por el DPD del responsable sobre el encargado si parece una cuestión independiente, imparcial y objetiva, en definitiva por interés del propio responsable. (hemos de hacer notar que en casos donde el encargado tiene una posición dominante en el mercado y con miles de clientes responsables, véase un AWS por ejemplo se ha optado por una solución operativa de manera que el encargado del alojamiento informático en la nube AWS, realiza una auditoría externa y aporta sus resultados como garantía de cumplimiento para todos sus clientes ya que de otra forma tendría que soportar cientos de auditorías continuas, lo cual es inviable.)
En definitiva, lo que debe marcar la necesidad de auditarse son los riesgos que se determinen en cada tratamiento, igual que se han determinado las actividades que van a requerir de un delegado de protección de datos y aquellas que requerirán de una EIPD.
Si tienes un DPD y si tienes necesidad de realizar una EIPD piensa que tienes obligación de auditarte porque de alguna manera el riesgo de tus tratamientos así lo aconseja, por otra parte, si tus tratamientos son de bajo o escaso riesgo, no tienes necesidad de disponer de un DPD ni hacer una EIPD, la obligación se difumina, pero no estaría de más hacer una revisión completa de manera periódica ya que los tratamientos cambian, se amplían o cesan y hay que mantenerlos actualizados permanentemente en seguridad y cumplimiento normativo.
JM MULERO