En camino hacia el cumplimiento con este método de auditoría de 6 pasos del RGPD

Desde 2016, la gran mayoría de las empresas y organizaciones de la UE están sujetas al Reglamento General de Protección de Datos, más conocido como RGPD.

Esta obligación ha permitido a las entidades afectadas cuestionarse la forma en que recopilan y tratan la información personal de los individuos, incluso cuando internet ha hecho más compleja y multiplicada su circulación.

Pero, sobre todo, los profesionales han tenido que integrar nuevos procesos en su día a día para garantizar su cumplimiento, empezando por la auditoría del RGPD.

¿En qué consiste y cómo se lleva a cabo? ¿Y en qué ayuda (humana o informática) puede confiar?

Echa un vistazo a nuestro ejemplo de auditoría RGPD 🔎.

Ver todos los software Reglamento General de Protección de Datos (RGPD)

¿Qué es una auditoría RGPD?

Definición de una auditoría RGPD

Como recordatorio, el RGPD (por Reglamento General de Protección de Datos) entró en vigor con el objetivo de regular, a escala europea, la recogida, el tratamiento y la gestión de los datos personales.

Afecta a :

• cualquier entidad (empresa, organismo público, asociación sin ánimo de lucro, etc.) situada en la UE,
• cualquier entidad situada fuera de la UE pero que trate información de personas físicas residentes en la Unión Europea,
• subcontratistas y proveedores de servicios que traten datos por cuenta de otras organizaciones.

El RGPD exige la puesta en marcha de diversos procesos (obtención del consentimiento explícito, aplicación del derecho a la información, etc.). Pero su cumplimiento pasa necesariamente por comprobar, en algún momento, cuál es la situación de la entidad en cuanto al cumplimiento de sus obligaciones.

👉 Aquí es donde entra en juego la auditoría del RGPD.

Sin embargo, existen dos tipos de auditoría:

• la auditoría inicial, realizada al inicio del despliegue de las operaciones de cumplimiento,
• la auditoría de seguimiento, realizada periódicamente, ya que el cumplimiento del RGPD forma parte de un proceso continuo.

🤓 Descubre más sobre el tema en nuestro artículo dedicado a las 6 etapas clave y 3 herramientas para implementar tu cumplimiento del RGPD.

Los diferentes tipos de diagnóstico

Para identificar las lagunas y orientar las medidas correctoras necesarias para el cumplimiento, se realizan varios diagnósticos, tanto durante la auditoría inicial como durante las auditorías de seguimiento.

👉 Los principales son :

• Diagnóstico del sistema de información y de las distintas herramientas (programas informáticos, por ejemplo) presentes en la organización,
• Diagnóstico del proceso de recogida de datos personales y de gestión del consentimiento,
• Diagnóstico del tratamiento de estos datos (¿cómo se utilizan y con qué fines?),
• una auditoría de seguridad, destinada en particular a proteger los datos contra las violaciones y los accesos no autorizados.

¿Por qué realizar una auditoría RGPD?

Hay muchas razones para llevar a cabo una auditoría RGPD, entre las que se incluyen las siguientes:

• Hacer balance de su situación actual. Esto le permitirá identificar cualquier laguna entre lo que está ocurriendo realmente y lo que necesita hacer, de modo que sepa qué tareas deben llevarse a cabo para garantizar el cumplimiento del RGPD;
• trazar un mapa de los datos de su empresa y comprender cómo se procesan, para poder gestionarlos con mayor eficacia;
• anticiparse a los posibles riesgos y aplicar las medidas correctoras adecuadas.

En última instancia, la auditoría del RGPD conduce a la aplicación de un plan de acción, desglosado a su vez en una hoja de ruta.

💡 Atención: aunque la auditoría tiene mucho de ejercicio legal (¡cuidado con las sanciones en caso de incumplimiento!), no olvidemos que el control de los datos y la transparencia contribuyen a mantener la reputación de la organización. Sobre todo en un momento en el que los ciudadanos se preocupan más por el uso que se hace de su información personal.

¿Cómo llevar a cabo una auditoría adecuada del RGPD? Los 6 pasos clave

Paso 1: Auditar la recogida de datos personales

Empecemos por uno de los principales aspectos regulados por el RGPD: la forma en que se recopilan los datos personales.

En esta fase, debe

• elaborar una lista de todas las fuentes y métodos de recopilación utilizados, por ejemplo, formularios web, cookies, etc,
• comprobar si esta recopilación es legítima, es decir, si entra dentro del marco legal acordado en el artículo 6 del RGPD:
  • por consentimiento
  • por una medida contractual
  • cumplimiento de una obligación legal,
  • si el tratamiento es necesario para salvaguardar intereses,
  • si el tratamiento es necesario para el cumplimiento de una misión de interés público o en el ejercicio del poder público,
  • si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

☝️ Sin embargo, a las empresas les preocupa sobre todo la cuestión del consentimiento, que, según la CNIL, debe ser :

• libre, es decir, no coaccionado ni influenciado
• específico, dedicado a un fin determinado
• informado, lo que implica que los internautas deben estar plenamente informados
• inequívoca, que no deje lugar a ambigüedades.

Etapa 2: Auditar el sistema de información

Aquí tienes que hacer balance de todas las herramientas y sistemas de tu sistema de información que utilizan datos de una forma u otra. Por ejemplo, los programas informáticos.

A continuación, determine cómo se comportan estos datos dentro del SI y, más concretamente

• de qué tipo de datos se trata
• dónde se almacenan
• cómo circulan, tanto dentro como fuera de la empresa.

Durante esta etapa, le aconsejamos que mapee su sistema de información, para documentar la información relativa a los datos intercambiados dentro de la estructura, pero también los flujos asociados.

💡 Conviene saberlo: facilita tu trabajo utilizando un Repositorio Único de Datos, que centraliza todos los datos sobre tus clientes, productos u otras entidades.

Paso 3: auditar el tratamiento de los datos

Ahora es el momento de entender cómo se están utilizando los datos. Para ello hay que plantearse dos preguntas:

• ¿Cómo se utilizan realmente?
• ¿Y con qué fines?

El hecho de que el RGPD obligue a llevar un registro de tratamiento de datos facilita este análisis. De conformidad con el artículo 30, este documento debe incluir la siguiente información:

• los fines del tratamiento
• una descripción de las categorías de interesados y de las categorías de datos personales
• las categorías de destinatarios a los que se han comunicado o se comunicarán los datos,
• en su caso, las transferencias de dichos datos a un tercer país o a una organización internacional
• los plazos fijados para la supresión de las distintas categorías de datos,
• una descripción general de las medidas de seguridad técnicas y organizativas establecidas.

Es bueno saberlo: la auditoría de tratamiento también es una oportunidad perfecta para identificar los datos que la empresa no utiliza, y así "hacer un poco de limpieza", en línea con la filosofía del RGPD.

Paso 4: Auditoría de seguridad

Comparable a una auditoría técnica, esta etapa consiste en asegurarse de que los datos almacenados en la empresa están perfectamente protegidos.

Hay una serie de puntos que llamarán su atención. Por ejemplo

• las medidas de seguridad básicas desplegadas (antivirus, cortafuegos, detección de intrusos, etc.) en todos los activos, ya sean hardware, software, la red, etc,
• gestión adecuada de los derechos de acceso y las autorizaciones, para garantizar que sólo las personas autorizadas tengan acceso a información específica,
• administración adecuada de las contraseñas, en particular mediante la adopción de una política específica,
• cifrado de datos,
• copias de seguridad periódicas, esenciales para garantizar la continuidad de la actividad en caso de pérdida de datos,
• la sensibilización e incluso la formación de los empleados en materia de protección de la información personal y de seguridad informática en general.

💡 Nota: esta parte del diagnóstico suele ir acompañada de pruebas de intrusión y un análisis en profundidad de los procedimientos establecidos en caso de fuga de datos.

Etapa 5: Elaboración del informe de auditoría del RGPD y aplicación del plan de acción

Al final de la auditoría, deberá redactar un informe en el que se enumeren los puntos conformes y los no conformes. De este modo, podrá identificar cualquier discrepancia entre lo que la normativa espera de usted y la realidad.

Por supuesto, es importante que pongas en marcha un plan de acción (¡y que lo sigas!) para poder retomar el camino rápidamente.

👉 Este plan de acción incluye la siguiente información:

• la naturaleza de los trabajos que deben emprenderse para subsanar las deficiencias detectadas durante la auditoría,
• la priorización de estos proyectos en función de la gravedad de las deficiencias y de su impacto potencial con respecto al RGPD,
• los recursos humanos que se movilizarán para este proyecto, con el detalle de las funciones y responsabilidades de cada uno,
• la hoja de ruta, con las distintas etapas, plazos, hitos, etc.

Paso 6: Realizar auditorías periódicas del RGPD

Si ésta es su primera auditoría RGPD y pensaba que había terminado aquí... malas noticias: ¡se trata de un proceso continuo!

Cumplir la normativa a largo plazo implica realizar diagnósticos periódicos. Aunque la frecuencia depende obviamente de muchos factores, como el tamaño de tu organización, su complejidad o los cambios en tu mercado, realizar este trabajo al menos una vez al año parece un buen comienzo.

💡 Bueno saber: mientras tanto, asegúrese de que todas las buenas prácticas que se han puesto en marcha (sobre la recogida del consentimiento, por ejemplo) se mantienen dentro de la empresa. De ahí la importancia de formar plenamente a los equipos implicados en estas cuestiones.

Gestión de la auditoría RGPD: ¿interna o externalizada?

Dado que la auditoría RGPD requiere conocimientos técnicos y jurídicos, algunas empresas deciden recurrir a profesionales externos, como DPO (Responsables de Protección de Datos) o expertos jurídicos.

Sin embargo, delegar las auditorías RGPD de este modo genera costes adicionales, y muchas organizaciones deciden realizar todas las operaciones internamente. Sobre todo porque esta labor se ve facilitada por la aparición de software especializado en la materia, no solo dirigido a grandes grupos.

👉 Witik, por ejemplo, gestiona todos los procesos asociados al cumplimiento del RGPD para pymes y ETI. Así, apoya a los profesionales en la realización de sus auditorías, a través de programas personalizables y completos (evaluación de los distintos sistemas y medios, de sus subcontratistas, etc.). El programa también gestiona el plan de acción de conformidad y la formación del equipo.

Ver todos los software Reglamento General de Protección de Datos (RGPD)

¿Qué puedo aprender de la auditoría RGPD?

Acaba de leer un ejemplo de metodología para llevar a cabo su auditoría de conformidad con el RGPD en la forma adecuada, y asegurándose de no olvidar ningún diagnóstico: diagnóstico de la recogida de datos personales, diagnóstico del sistema de información, diagnóstico del tratamiento de datos y diagnóstico de la seguridad.

Aunque el procedimiento no parezca excesivamente complicado, requiere rigor... ¡y una buena cantidad de ancho de banda! Por eso le sugerimos que automatice estas operaciones en la medida de lo posible, lo que implica inevitablemente utilizar programas informáticos específicos.

Gracias a estas tecnologías, podrá ahorrar tiempo en sus procesos de RGPD... tiempo que podrá dedicar, por ejemplo, a la formación de su personal, los pilares de su cumplimiento.