search
El medio de comunicación que reinventa la empresa
Registrar un software

Auditoría del RGPD: combinar negocios y placer

Auditoría del RGPD: combinar negocios y placer

Por Alexis Quentrec

El 12 de noviembre de 2024

El RGPD es la encarnación de muchas fantasías: nuevas obligaciones desproporcionadas, una revisión de la organización, sanciones prohibitivas, etcétera. Pero, ¿y usted? ¿Está ya preparado para gestionar el RGPD sin saberlo?

Un breve recordatorio

Sin entrar demasiado en detalle sobre el tema, el Reglamento General de Protección de Datos (RGPD) entrará en vigor el 28 de mayo.

Su transposición a la legislación francesa se está debatiendo actualmente en el Parlamento, pero las principales obligaciones están grabadas en piedra.

Los datos personales son aquellos que identifican directa o indirectamente a una persona. Apellidos, nombre, dirección de correo electrónico personal o profesional, dirección física, número de teléfono, etc. También incluye todos los metadatos vinculados al uso de diversos servicios en línea o intercambios electrónicos.

Con el objetivo de regular el uso de los datos personales, el RGPD establece una serie de obligaciones relativas a la recogida y el tratamiento de datos personales.

Entre ellas se incluyen, entre otras, el consentimiento explícito del usuario para cada operación de tratamiento (y la prueba del consentimiento), los periodos de conservación de los datos y el derecho a modificarlos/borrarlos/exportarlos.

Se han establecido otras obligaciones para las empresas, más allá de su relación directa con usuarios y clientes:

  • el nombramiento de un responsable de la protección de datos
  • mantenimiento de un registro de tratamiento de datos
  • corresponsabilidad en el tratamiento con subcontratistas
  • etc.

Por último, pero no por ello menos importante, el enfoque de la "privacidad por defecto" en el despliegue de nuevos servicios se ha convertido en sacrosanto, se exige a las empresas que aseguren los datos en relación con los riesgos para los derechos y libertades de las personas, y las empresas pueden organizar sus propias mejores prácticas a través de códigos de conducta.

En resumen, son muchos los elementos que abarcan tanto aspectos técnicos como organizativos y que van mucho más allá del ámbito de la ciberseguridad, lo que refuerza la aparente complejidad de esta normativa.

Gnothi seauton

No, no es una palabrota, es griego antiguo. Tales, Pitágoras, Heráclito y Sócrates se atribuyeron el aforismo "Gnothi seauton", que significa "Conócete a ti mismo".

Para quienes prefieran una referencia más moderna, la película Matrix producida por los Wachowski popularizó "Temet Nosce", traducción latina de la frase griega precedente.

Esta máxima resume el enfoque del cumplimiento del RGPD: para elaborar un plan de acción, primero hay que medir lo lejos que se está del objetivo. Una auditoría inicial permite hacer balance de los esfuerzos ya realizados y de la forma en que se hacen las cosas.

Esta auditoría es esencial para prepararse para los cambios que se avecinan: más allá de las medidas técnicas, el principal impacto del RGPD se refiere a la responsabilidad del uso de los datos, y esto se refiere exclusivamente al responsable del tratamiento de datos humanos.


Esta auditoría inicial dista mucho de ser un fin en sí misma; de hecho, es todo lo contrario. Más que congelar una situación, marca la línea de salida de la carrera que es el cumplimiento del RGPD (cuya distancia será más o menos larga en función de lo que la auditoría saque a la luz).

Esta auditoría no debe quedarse en un análisis perdido entre los demás documentos de una mesa desordenada. Al contrario, debe traducirse en una hoja de ruta, con acciones claramente identificadas, entregables concretos y una visión más global de cómo encajan estas acciones para lograr el cumplimiento del RGPD.

El recurso a un socio experto en el tema en cuestión puede ser una primera respuesta al cumplimiento del RGPD: este punto de contacto y experiencia podrá aunar las energías de la empresa en torno a un reto común y a competencias transversales: jurídico, SI, marketing, compras, etc.

Aprender haciendo

La auditoría inicial nos permite elaborar una primera evaluación de lo que está ocurriendo, pero sobre todo construir un plan de acción para desarrollar las organizaciones, los procesos y las herramientas existentes.

El objetivo no es ser víctima de nuevas normativas, sino aprovechar una nueva forma de hacer las cosas para perfeccionar y optimizar los procesos, y nuevas formas de hacer las cosas para generar un valor diferente y diferenciador para los usuarios finales.


Para lograrlo, es esencial implicar a las partes interesadas internas de la empresa: el departamento jurídico no puede ser el único garante del cumplimiento. Se trata de una cuestión interfuncional, y depende profundamente de los métodos de trabajo de todos.

Sí, los métodos de trabajo se verán afectados por esta normativa; los cambios en los métodos de trabajo se impondrán globalmente a todos, con una nueva forma de enfocar el uso de los datos personales.

Esto incluye la relación con los subcontratistas, que son más que nunca partes interesadas esenciales que deben participar en este proceso. Con el sistema de corresponsabilidad establecido entre el responsable del tratamiento (= la empresa cliente) y el encargado del tratamiento, ya no es posible desequilibrar la relación a favor de una u otra de las partes.

La relación con el encargado del tratamiento es tanto más importante cuanto que a menudo está vinculada a la utilización de determinadas áreas clave de especialización en el tratamiento de datos personales: análisis estadístico mediante Big Data, tratamiento de RRHH, campañas de marketing, etc.

Por tanto, implicar al subcontratista en los esfuerzos de cumplimiento del RGPD permite reforzar la seguridad general del tratamiento de datos personales.


Al aspirar a la mejora continua, a través de puntos más o menos formales, todo el mundo puede convertirse en protagonista del cumplimiento del RGPD, asumiendo como propios los puntos identificados durante la auditoría. La clave está en crear valor reuniendo a las personas en un proyecto común que sea vinculante para todos y que transforme las prácticas.

¿Y la línea de meta?

Lo primero que hay que aclarar es que no existe la "Certificación RGPD". Lo que está previsto en su lugar es la certificación del cumplimiento de los códigos de conducta, ofrecida no por la CNIL y sus equivalentes europeos, sino por empresas y asociaciones empresariales.

Como no existe una "certificación oficial del RGPD", es necesario que cada empresa construya su propia certificación, que servirá de "código interno" para el tratamiento de datos personales.


Este "código interno" debe haber sido considerado previamente, sobre la base de la auditoría inicial y de las necesidades empresariales identificadas: constituye el marco de referencia interno para el uso de los datos personales.

La creación de este código servirá para múltiples propósitos:

  • Garantizará la coherencia en el uso de los datos personales (datos recogidos, métodos de recogida, consentimiento, requisitos para el encargado del tratamiento, periodo de conservación, etc.);
  • Servirá de referencia para trabajar con subcontratistas;
  • Servirá como objetivo para comprobar que se han cumplido los objetivos identificados durante la auditoría inicial.

Este "código interno" debe cotejarse con la realidad realizando una segunda auditoría más formal, más cercana a la realidad. El alcance de esta nueva auditoría va más allá del marco interno, y debe afectar a todas las partes interesadas que se identificaron inicialmente.

Teniendo en cuenta los objetivos de este "código interno", no debe centrarse únicamente en principios generales amplios, ni en designaciones vagas: debe enmarcar las expectativas de manera no equívoca, en particular en lo que respecta al uso de técnicas específicas para garantizar la confidencialidad de los datos personales (algoritmo de cifrado, por ejemplo, pero también los tipos de autenticación multifactor aceptables, etc.).

El objetivo es identificar áreas de mejora, porque es esencial tener en cuenta que el cumplimiento del RGPD no se conseguirá de la noche a la mañana.

Es más, debe tener en cuenta que el ámbito de aplicación del RGPD en su empresa estará en constante evolución (nuevas operaciones de tratamiento, adición y supresión de aplicaciones, etc.).

¿Cómo funciona la auditoría en la práctica?

La piedra angular de este sistema es un ojo crítico, objetivo y benévolo que le aporta un valor añadido.

Puede disponer de este ojo internamente - y eso es algo excelente - que puede encarnar su Corresponsal de Protección de Datos / futuro Responsable de Protección de Datos.

Sin embargo, esta situación no está muy extendida y es más la excepción que la regla.

En todos los casos, hay que ir más allá de la noción tradicional de auditoría que señala los malos comportamientos, y pasar a un enfoque más global que tenga en cuenta :

  • Su contexto empresarial - tanto más importante a la vista del RGPD ;
  • Su contexto empresarial;
  • Su contexto informático;
  • Su contexto humano.


Nuageo, a través de GDPReady, puede apoyarle en este movimiento hacia el RGPD:

  • proporcionamos una visión interfuncional de sus contextos a la luz de los retos del RGPD,
  • proponemos una hoja de ruta,
  • le apoyamos en la gestión y consecución de los objetivos de esta hoja de ruta, que va más allá de las cuestiones puramente jurídicas o técnicas.

El verdadero reto consiste en proporcionarle los medios para aportar el valor añadido que necesita para su empresa, respetando al mismo tiempo la confidencialidad de los datos personales.

Artículo escrito por Alexis Quentrec, especialista en RGPD de Nuageo, Consultoría de Cloud Computing.

Artículo traducido del francés