La auditoría de protección de datos es la revisión bianual (año sí, año no) que deben pasar todas las empresas (grandes y pequeñas) y autónomos que tratan datos personales de nivel medio o alto.
Nos encontramos ante datos de nivel medio o alto, catalogados así por la normativa de protección de datos, cuando recogemos, por ejemplo: datos de la renta de las personas físicas, datos tributarios, datos de salud, orientación sexual, religión, afiliación sindical, etc. Es decir, ante datos que podríamos catalogar como sensibles. En el caso de los datos personales de los trabajadores (datos que recoge cualquier empresa de sus trabajadores), pese a que se recogen datos de salud, se entiende que son datos de nivel básico (es una de las pocas excepciones de la ley).
Así, todas aquellas empresas o autónomos que por su actividad económica tengan acceso a datos de nivel medio o alto, deberán pasar por una auditoría de protección de datos, como mínimo, de forma bianual. Y es que, la normativa prevé que las auditorías (artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal) se hagan siempre que hayan cambios sustanciales en el tratamiento de los datos personales de nivel medio o alto (sensibles) o, en su defecto, de forma bianual.
Someterse a la auditoría de protección de datos es obligatorio y el no hacerlo es sancionable. El incumplimiento de esta obligación legal puede suponer la comisión de una infracción grave que puede ser sancionada con una multa económica, que oscila entre los 30.001 euros y los 40.000 euros, y que puede imponer el órgano competente, que en este caso, es la Agencia Española de Protección de Datos.
Las auditorías bianuales pueden hacerse bien por expertos externos de la empresa o por profesionales internos, pero en cualquier caso, debe hacerse por un profesional especialista en la materia.
En contra de lo que el nombre pueda parecer, las auditorías de protección de datos, nada tienen que ver con las auditorías tributarias o fiscales. En el caso de las auditorías de protección de datos, de lo que se trata es de verificar qué deficiencias en materia de medidas de seguridad se cumplen y cuáles no y hacer recomendaciones y seguimiento para que las medidas de seguridad se cumplan y de esa manera, los datos personales que trata la empresa queden protegidos.
A modo de ejemplo, paso a señalar algunas de las actividades económicas más comunes que deben pasar por la auditoría de protección de datos:
- Médicos
- Dentistas
- Despachos de abogados
- Gestorías fiscales
- Colegios
- Ópticas
Por último, recordar que pasar por auditorías de protección de datos es solo una de las muchas obligaciones que las empresas deben cumplir para adecuarse y cumplir con la normativa en materia de protección de datos ya que, al final se trata de proteger uno de nuestros derechos fundamentales, el derecho fundamental a la protección de datos que tiene cualquier ciudadano.