Auditoría LOPD: ¿Qué es y para qué sirve?

La LOPD obliga a empresas y autónomos que traten con datos personales, tanto de forma automatizada como manual, a hacer una auditoría cada dos para cumplir con las medidas de seguridad. ¿Quieres descubrir en qué consiste?

La Ley Orgánica de Protección de Datos (LOPD) es de obligado cumplimiento para las empresas que tratan con información personal de personas físicas. Por ello, la auditoría en LOPD o auditoría RGPD adquiere un papel fundamental para la mayor parte de negocios y no hay que considerarlo como un asunto menor.

De hecho, según el artículo 96 del RD 1720/2007, por el que se aprueba el desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, “los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa, que verifique el cumplimiento de la legislación vigente”.

Además, “los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas”.

Así, la normativa obliga a las empresas y autónomos que manejen datos personales y tengan dado de alta los ficheros en la Agencia Española de Protección de Datos (con nivel de protección medio o alto), y sin tener en cuenta el tipo de datos, a hacer una auditoría cada dos años.

Con carácter extraordinario, como determina también la normativa, si se realizan modificaciones sustanciales en el sistema de información, para garantizar el cumplimiento de las medidas de seguridad relacionadas con la protección de dichos datos.

¿Qué es una auditoría LOPD?

Se trata de un proceso de verificación obligatorio para las empresas, para comprobar la correcta implantación de las medidas de seguridad relacionadas con el tratamiento de los datos personales, que realiza cada organización, ya sean de forma automatizada o manual.

auditoría LOPD y RGPD

Dicha auditoría está relacionada con el control y la supervisión de la información de carácter personal almacenada. Se trata, por tanto, de una herramienta de control que sirve para conocer los fallos en el manejo de los datos personales, a través de la revisión, investigación, comprobación, consulta y obtención de toda evidencia sobre un hecho o sistemas establecidos.

El objetivo pasa por cumplir con la garantía del buen uso de los datos personales, que realiza el personal cualificado para ello.

La empresa será la que decida cómo llevar a cabo estas auditorías, pero deberá tener en cuenta que deben efectuarse con objetividad e imparcialidad. En este sentido, la labor del auditor es tener presentes estos criterios y no dejar que le influyan factores internos o externos de la empresa, puesto que sería conveniente que tuviera un criterio independiente frente al negocio que va a auditar. La empresa auditora seguirá un protocolo de actuación para elaborar un informe final, donde destaquen los hechos obtenidos y a la vez los informes generados a partir del documento de seguridad.

¿Para qué sirve una auditoría?

Llevar a cabo una auditoría en LOPD tiene varios objetivos. Todos ellos relacionados con la seguridad de los datos personales que trata una empresa. ¿Para qué sirve esta auditoría LOPD?

  • Detectar posibles deficiencias en los sistemas de información de una compañía.
  • Detallar las acciones que se pueden llevar a cabo para solucionar esas deficiencias.
  • Cumplir con la normativa vigente y comprobar las medidas de seguridad en materia de protección de datos cada dos años.
  • Mejorar estas medidas de seguridad. Se trata de verlo como una oportunidad para que la empresa mejore.
  • Para que los trabajadores tomen conciencia de la importancia del tratamiento de los datos personales de terceros, así como para asegurar su protección durante el tratamiento de los mismos.

Hay que tener en cuenta que no llevar a cabo una auditoría podría suponer una sanción económica para la compañía, que oscila entre los 40.000 y los 300.000 euros por incumplimiento de las medidas de seguridad. Pero hay que destacar que lo sancionable no es realizar esa auditoría, sino lo realmente sancionable es la modificación, la pérdida o el acceso no autorizado a datos personales, tal y como se señala en el artículo o de la LOPD.

Si necesitas la ayuda profesional para conocer mejor cómo realizar una auditoría y cumplir con la LOPD, no dudes en ponerte en contacto con Goya Soluciones para que podamos asesorarte.