Cualquier empresa que disponga de datos personales descritos en ficheros con un nivel de seguridad MEDIO o ALTO, está obligada a hacer una auditoría de protección de datos cada dos años que puede ser realizada por personal interno o externo.
También deben realizarse auditorías de forma extraordinaria, siempre que se realicen modificaciones sustanciales en el sistema de información de la empresa y que puedan repercutir en el cumplimiento de las medidas de seguridad.
Mediante la realización de auditorías se consiguen diferentes objetivos
Se trata de una revisión de las medidas de seguridad automatizadas y no automatizadas sobre los ficheros que contienen datos de carácter personal, y que se describen en el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos Personales.
Esas auditorías pueden realizarse de de forma interna por personal de la propia empresa, objetivo y especializado en protección de datos; o externo, a través de un tercero independiente también especializado, como una consultoría jurídica.
¿Qué se quiere conseguir con las auditorías?
Con la realización de las auditorías se consiguen varios objetivos muy importantes:
1. Cumplir con la obligación de auditar las medidas de seguridad cada 2 años.
2. Evidenciar posibles deficiencias en el sistema de información de la empresa, y decidir acciones correctoras.
3. Contemplar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
4. Analizar en detalle flujos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para ajustarlos a la normativa.
5. Concienciar y capacitar sobre la importancia de la información personal, garantizando así la protección y los derechos de los afectados.
¿Qué puede ocurrir si no se hacen las auditorías?
Cuando existe obligación de realizarlas, si se incumple esta medida de seguridad, la empresa se expone a sanciones tipificadas como “graves” (entre 40.001 a 300.000 euros), si consideramos que la empresa estaría manteniendo los ficheros, locales, programas o equipos que contienen datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, puesto que la medida de seguridad “Auditoría” (art. 96 y 110 reglamento LOPD), se estaría incumpliendo.
Por tales circunstancias, no deben dejarse pasar ese periodo crítico de dos años sin someterse a una auditoría en los términos descritos.
