Las auditorías en materia de protección de datos son obligatorias cuando se recogen y tratan datos de nivel medio y/o alto.
Recordemos que, los datos de nivel medio son aquellos datos relativos a sanciones administrativas, penales, información de hacienda, etc. Mientras que, los datos de nivel alto son aquellos que hacen referencia a la salud, sexualidad, ideología, etc. del afectado.
¿Cuándo se tienen que hacer las auditorías de protección de datos?
Las auditorías de protección de datos deben hacerse cada dos años y, siempre que, cambien sustancialmente las circunstancias de recogida y tratamiento de los datos de manera que se haga necesaria una nueva adaptación de las medidas de seguridad.
Esta obligatoriedad viene regulada en el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
¿Quién puede hacer las auditorías?
Las auditorías de protección de datos pueden ser internas o externas. Lo único que se exige a nivel formal es que el informe de auditoría incluya:
- Si la adecuación de las medidas de seguridad exigidas por la Ley y su desarrollo reglamentario se cumplen.
- La identificación de las deficiencias encontradas y una propuesta de las medidas correctoras o complementarias necesarias.
- Los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
El informe de auditoría será valorado por el Responsable de Seguridad, que es el encargado de velar porque las medidas de seguridad se implanten, quien alzará sus conclusiones al responsable del fichero o tratamiento, que deberá adoptar las medidas correctoras del informe de auditoría para dar cumplimiento a la Ley.
¿Qué pasa si no hago la auditoría de protección de datos?
De tener conocimiento la Agencia Española de Protección de Datos de ello, podría imponer una sanción, de entre 40.001 a 300.000 euros, por la comisión de una infracción grave ya que, no cumplir con las medidas de seguridad (la auditoría es una medida de seguridad) se considera infracción grave.
Debe tenerse en cuenta que el hecho de realizar las auditorías de protección de datos no solo sirve para evitar la posible multa que la Agencia Española de Protección de Datos, sino que, además, ante una posible infracción (por cualquier otro motivo), el importe de la sanción puede ser reducida si la empresa cumple con la normativa y eso incluye el haber pasado las auditorías. Artículo 45.4 i) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Pingback: ¿Cada cuánto tiempo hay que hacer una auditoría de protección de datos?