qué tiene que tener una buena auditoría rgpd

Máster en Protección de Datos por la AEPD y UNED

Contenidos

Si deseas que tu negocio siga en evolución y crecimiento debes saber su estado de cumplimiento en protección de datos. Lo ideal es que realices una auditoría RGPD y seas consciente de los cambios y mejoras que necesitas. 

 

Para la realización de una buena auditoría de protección de datos se deben tener en cuenta varios puntos claves como son el apartado legal, las cuestiones organizativas y los elementos técnicos y de seguridad. No te preocupes que te daré las principales claves a tener presente en las auditorías de protección de datos. 

 

Desde el punto de vista legal debes tratar los datos personales de tus clientes y suscriptores siempre amparados en una base legal, como puede ser el consentimiento, o el establecimiento de una contrato o relación comercial. La claridad y transparencia hacia tu comunidad es vital.

 

También debes ofrecer los medios para el ejercicio de sus derechos a los interesados

 

Como responsable de los datos de tus clientes, debes tener debidamente firmado, contratos con todos los proveedores, que para prestarte un servicio accedan a datos personales. 

 

Además de tener un protocolo de brechas de seguridad y tener implementadas medidas de seguridad que te permitan en caso de un incidente de seguridad, notificarlo en las 72 horas exigidas a la autoridad de control.

El auditor presentará un informe de la auditoría RGPD donde tendrá en cuenta los aspectos organizativos que garanticen una estructura adecuada en la organización que permita reducir riesgos. Por ejemplo dentro de tu empresa puedes tener una política de protección de datos, un documento que rija el control de tu negocio. La existencia de una buena gestión de la privacidad, es también un elemento importante a tener en cuenta. Así como el cumplimiento de normas internas que incluya el control de proveedores, política de uso adecuado de los dispositivos móviles y las medidas de seguridad a tener en cuenta en el teletrabajo.

La auditoría de protección de datos, también debe tener presente los aspectos técnicos y de seguridad, para garantizar la confidencialidad, integridad, y disponibilidad. Dentro de tu organización lo puedes comprobar con la existencia de medidas antispam y antiphishing para proteger los emails. Asegúrate que tu página web esté segura. También es esencial que existan copias de seguridad y actualización de los sistemas operativos, la política de respuesta ante incidentes y la gestión de brechas de seguridad también son aspectos claves.

Modelo auditoría RGPD

En el modelo de auditoría RGPD se debe tener presente que en algunas organizaciones solicitan realizar determinadas  auditorías  de datos siguiendo  un  modelo normalizado. Esto les permite a las organizaciones tener un marco de referencia con relación a dicho modelo de auditoría de protección de datos y a su aplicación en otras entidades. De esta manera pueden elegir un modelo adecuado de auditoría de RGPD .

 

Las cualidades que hacen interesante la elección de un modelo determinado son:  que sea cuantificable,  consistente y que se pueda repetir.  Además que sea  válido más allá del período de tiempo actual. 

 

Los organismos internacionales que  se ocupan del control y de la auditoría de los  sistemas de información  son  fuente  de  fuente  de estándares en  los  que  se  fijan  distintas metodologías. El ajustarse a estas normas no es obligatorio, al contrario, la mayoría de ellas animan a adaptarlas al  objeto de la auditoría, el entorno de la entidad, las peculiaridades del proceso, etc., pero el auditor de sistemas de información debe, a la hora de ejecutar la auditoría, justificar cualquier desviación  o adaptación de la norma seleccionada. 

 

Es importante tener presente que múltiples modelos de priorización de los resultados y sus acciones de mejora, si bien aconsejamos tender a utilizar modelos que no nos lleven a zonas de confort intermedias, para valorar los resultados obtenidos tras el análisis cuantitativo de las pruebas de auditoría, utilizando escalas pares que hacen que nos cueste decantar nos por la opción neutral (por ejemplo: si utilizamos una escala del 1 al 7 tendemos a ir al 4, mientras que si usamos del 1 al 6 nos permitirá reflexionar más sobre si nos situamos en un 3 o un 4), en relación al informe de la auditoría legal del reglamento de protección de datos.

Importancia de tener en cuenta la RGPD

El RGPD no regula la periodicidad de las auditorías de protección de datos, sino que te traslada la obligación como responsable del tratamiento de evaluar el riesgo inherente a las actividades que realiza. Teniendo en cuenta el nivel de riesgo que se detecte, se implementarán medidas para que, conforme a dicho nivel de riesgos se pongan en marcha y ejecuten las medidas de control más adecuadas, entre ellas la auditoría, con la periodicidad que considere más adecuada al riesgo.

¿La auditoría de protección de datos es obligatoria en 2022?

Te puedes preguntar ¿Tengo la obligación de auditoría para mi negocio? No existe ni en el RGPD , ni en la Ley de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) ningún artículo que obligue a la realización de auditorías lopd o rgpd, pero si es muy recomendable, para que tu negocio cumpla los principios de responsabilidad proactiva y enfoque a riesgos. Es decir, no solo que cumplas con la protección de datos en tu organización, sino que seas capaz de demostrarlo. 

 

El RGPD ofrece una mayor capacidad de disposición de los interesados sobre sus datos personales y además fomenta la autoresponsabilidad y autogestión de las empresas. Estos aspectos posibilitan que sea viable diseñar y realizar los programas de auditoría de protección de datos.

 

Las auditorías de protección de datos personales deben evaluar los controles de riesgos sobre la protección de los datos personales definidos e implementados por las empresas relativos a la organización, procesos y tecnología.

 

De manera general, las entidades deberían establecer un programa de evaluación que trate una o más normas de sistemas de gestión u otros requisitos, realizadas por separado o en combinación. La extensión de un programa de auditoría debería basarse en el tamaño y la naturaleza de la entidad auditada, así como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades y el nivel de madurez de sistemas de gestión.

Tipos de auditoría RGPD

Existen dos tipos de auditorías: auditorías internas y auditorías externas.  En tu organización debes decidir qué tipo de auditoría realizarás. Así como si te apoyas en un auditor de protección de datos interno , o contratas a un auditor externo a tu negocio, para que inspeccione  el cumplimiento de la protección de datos.  También se puede dar los casos en el que en las organizaciones se apoyan en ambos tipos de auditorías. 

Diferencia intre auditoría externa y auditoría interna

Auditoría interna y externa no deben entenderse, en ningún caso, como opuestas entre sí. De hecho, la principal diferencia que deberíamos encontrar entre ambas es la relación laboral o mercantil de los auditores en relación con la organización auditada.

 

En relación a los trabajos realizados por ambas ante un mismo alcance deberían ser similares, ya que las técnicas utilizadas en ambos casos son las mismas. Ambas centran su atención en aspectos de control interno y en la evaluación de riesgos para formular observaciones que, junto con una opinión general, quedan reflejadas en un informe de auditoría.

 

No obstante, sí que existen factores que pueden repercutir a la hora de decidir si ejecutar  la auditoría de forma interna o externa, como pudieran ser por ejemplo: que en tu organización, exista personal con el perfil y la experiencia adecuados.  El tema de presupuesto, también te puede condicionar a que tomes la decisión, con respecto al tipo de auditoría. Otro ejemplo es la posibilidad de que se puedan presentar conflictos de intereses.

LAS MEJORES AUDITORIAS RGPD CON LEGAL BOX PLUS

Tienes las claves principales sobre las auditorías RGPD y cómo pueden influir en tu negocio. Te animamos a contratar nuestro servicio de Auditoría RGPD para verificar tu sitio web legalmente. Además todo los elementos y documentos para pasar cualquier auditoría de protección de datos la tienes en la herramienta Legal Box. No solo cumplirás sino que podrás demostrar que lo haces.

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario

Responsable: Luz Soluciones TIC, S.L(Legal Box Plus) Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico. Legitimación: Consentimiento del interesado. Destinatarios: No se cederán a terceros salvo obligación legal. Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus. Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí en nuestra Política de Privacidad

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable: Luz Soluciones TIC, S.L (Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.

Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.

Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

Carrito de compra

 

Ayuda

CLASSIC

BASIC

BUSINESS

Cuenta

 

 

 

 

Dominios incluidos

Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos.

1

1

Venta online

Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega.

1

Usuarios

Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal.

3

10

25

Web

Ayuda

CLASSIC

BASIC

BUSINESS

Política de Privacidad

Generación personalizada de la política de privacidad de la web

ok

ok

Aviso Legal

Generación personalizada del aviso legal de la web

ok

ok

Política de Cookies

Generación personalizada de la política de cookies de la web

ok

ok

Actualizaciones de las políticas

Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas.

ok

ok

Políticas dinámicas

La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados.

ok

ok

Políticas HTML

Puedes incrustar políticas estáticas en tu web usando HTML

ok

ok

Leyendas legales

Para la primera capa informativa según el tipo de sistema de captación.

ok

ok

Banner Cookies

Texto a incorporar en los pop ups e cookies

ok

ok

Guía Webmaster

Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web.

ok

ok

Quitar logotipo de Legal Box

Elimina la marca Legal Box Plus de tus políticas

ok

RGPD

Ayuda

CLASSIC

BASIC

BUSINESS

Política PD

Documento sobre el protocolo de los principales elementos para cumplir con el RGPD

ok

Acuerdos confidencialidad

Contratos de confidencialidad con empleados, socios y colaboradores

3

5

10

Acuerdos con terceros

Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable

3

5

10

Acuerdo de cesión

Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos.

3

5

10

Consentimiento de cesión

Documento de consentimiento de los afectados para la cesión de datos.

3

5

10

Otros acuerdos

Como es el caso del acuerdo de autorización de recuperación de datos por tercero.

3

5

10

Registro de tratamientos

Documento corporativo sobre todos los tratamientos de datos que realiza el responsable.

ok

Manuales Usuarios

Manuales de seguridad para usuarios por perfiles.

3

5

10

Cláusulas informativas

Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc.

3

5

10

Análisis de riesgos

Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.

Protocolos

Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc.

1

ok

ok

Avisos

Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia

1

ok

ok

Cláusula servicios

Cláusula a incorporar en los contratos de servicios

ok

Gestión

Ayuda

CLASSIC

BASIC

BUSINESS

Peticiones

Gestión de derechos. Peticiones por cada derecho.

ok

ok

ok

Nombramiento DPD

Gestión del nombramiento del delegado de protección de datos

Registros

De entrada y salida de soportes de tratamiento de datos

ok

ok

ok

Derechos

Gestión de derechos, registros de derechos atendidos

ok

ok

ok

Incidencias

Registro y control de incidencias y brechas de seguridad

ok

Auditorias

Sistema de auditoría de los distintos tratamiento de datos

Marketing

Ayuda

CLASSIC

BASIC

BUSINESS

Acuerdo Imagen

Contrato de cesión de derechos de imagen

ok

Leyenda emails

Cláusula a incorporar en la firma de las cuentas de correo electrónico

ok

ok

Campañas

Cláusula a incorporar en las newsletter y en los boletines electrónicos

ok

ok

Grabaciones

Acuerdo de consentimiento de grabaciones sesiones de retransmisión

ok

ok

Ayuda CLASSIC WEB ECOMMERCE
Cuenta  
Dominios incluidos Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos. 1 1
Venta online Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega. 1
Usuarios actividad Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal. 3
Web Ayuda CLASSIC WEB ECOMMERCE
Política de Privacidad Generación personalizada de la política de privacidad de la web ok ok
Aviso Legal Generación personalizada del aviso legal de la web ok ok
Política de Cookies Generación personalizada de la política de cookies de la web ok ok
Actualizaciones de las políticas Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas. ok ok
Políticas dinámicas La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados. ok ok
Políticas HTML Puedes incrustar políticas estáticas en tu web usando HTML ok ok
Leyendas legales Para la primera capa informativa según el tipo de sistema de captación. ok ok
Banner Cookies Texto a incorporar en los pop ups e cookies ok ok
Guía Webmaster Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web. ok ok
Quitar logotipo de Legal Box Elimina la marca Legal Box Plus de tus políticas ok
RGPD Ayuda CLASSIC WEB ECOMMERCE
Política PD Documento sobre el protocolo de los principales elementos para cumplir con el RGPD ok
Acuerdos confidencialidad Contratos de confidencialidad con empleados, socios y colaboradores 3
Acuerdos con terceros Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable 3
Acuerdo de cesión Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos. 3
Consentimiento de cesión Documento de consentimiento de los afectados para la cesión de datos. 3
Otros acuerdos Como es el caso del acuerdo de autorización de recuperación de datos por terceros. 3
Registro de tratamientos Documento corporativo sobre todos los tratamientos de datos que realiza el responsable. ok
Manuales Usuarios Manuales de seguridad para usuarios por perfiles. 3
Cláusulas informativas Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc. 3
Análisis de riesgos Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.
Protocolos Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc. ok
Avisos Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia ok
Cláusula servicios Cláusula a incorporar en los contratos de servicios ok
Gestión Ayuda CLASSIC WEB ECOMMERCE
Peticiones Gestión de derechos. Peticiones por cada derecho. ok
Nombramiento DPD Gestión del nombramiento del delegado de protección de datos
Registros De entrada y salida de soportes de tratamiento de datos ok
Derechos Gestión de derechos, registros de derechos atendidos ok
Incidencias Registro y control de incidencias y brechas de seguridad
Auditorias Sistema de auditoría de los distintos tratamiento de datos
Marketing Ayuda CLASSIC WEB ECOMMERCE
Acuerdo Imagen Contrato de cesión de derechos de imagen ok ok
Leyenda emails Cláusula a incorporar en la firma de las cuentas de correo electrónico ok ok
Campañas Cláusula a incorporar en las newsletter y en los boletines electrónicos ok ok
Grabaciones Acuerdo de consentimiento de grabaciones sesiones de retransmisión ok ok