Auditoría de protección de datos: ¿qué es y cuándo realizarla?

Estamos seguros de que sabes que la legislación aplicable a empresas y autónomos es amplia, compleja y variada. Ahora bien, ¿sabías que hay algunos puntos más relevantes que otros? Este es, por ejemplo, el caso de la protección de datos y la importancia que tiene realizar una auditoría RGPD. 

Para que te hagas una idea, en este artículo vamos a explicarte aspectos tan cruciales como en qué consiste, cómo se realiza, qué tipos hay o su mayor o menor obligatoriedad. ¡Vamos allá!

Desde un punto de vista genérico, una auditoría de protección de datos es una evaluación externa del modo en el que una empresa o autónomo lleva a cabo el tratamiento de los datos sensibles que tiene bajo su custodia. En este sentido, analiza las medidas que ha implementado, su nivel de eficacia, los motivos que justifican la recopilación y almacenamiento de esos datos, las personas que se responsabilizan de su tratamiento y otros aspectos fundamentales de la cuestión.

Y ¿cuál es la finalidad de todo esto? Determinar si el sujeto auditado cumple o no con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y con el Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

De base, siempre se recomienda someterse a la segunda y no a la primera. De hecho, según los últimos estudios, el 75% de las principales empresas del país optan por las auditorías externas.

Este tipo de análisis son realimente exhaustivos y cubren todas las áreas y procesos relacionados con la recopilación, tratamiento y custodia de los datos personales de clientes, proveedores, colaboradores, etc. A nivel esquemático son:

Si se atiende al contenido estricto y vinculante de la legislación en materia de datos personales, lo cierto es que no existe ninguna obligatoriedad a la hora de someterse a un control de estas características. Es decir, no existe imperativo legal.

Ahora bien, esto no quiere decir que no sea conveniente realizarla. Como más tarde te mostraremos, las leyes española y europea recogen cuantiosas sanciones en caso de incumplimiento de esta normativa. La única manera de estar seguro de que se está cumpliendo con ella es mediante la contratación de auditorías periódicas que sean capaces de señalar los posibles errores.

Normalmente, se recomienda someterse a una auditoría como mínimo una vez cada dos años.

Hemos dicho que las auditorías no son legalmente obligatorias. Sin embargo, el cumplimiento de la normativa sí lo es. Tanto es así, que el RGPD recoge las siguientes sanciones en caso de falta:

• Si es grave: multa de hasta 10 millones de euros o hasta el 2% del volumen de negocio del ejercicio anterior.
  
  
• Si es muy grave: multa de hasta 20 millones de euros o hasta el 4% del volumen de negocio del ejercicio anterior.
  
  

Para que comprendas cuál es el volumen que pueden alcanzar estas multas, el pasado año se British Airways tuvo que pagar 204.600.000 €, y Marriot International, 110.390.200 € en concepto de sanciones.

En conclusión, ya puedes decir que conoces al detalle qué es una auditoría RGDP, en qué consiste, qué cubre y cuándo debes realizarla. Del mismo modo, ya has podido entender lo importante que es, como empresa o autónomo, contar con el apoyo de profesionales en la materia.