Las auditorías de protección de datos: ¿para qué sirven? ¿es necesario realizarlas? ¿podría ser sancionado por no realizarlas de forma periódica?

Es posible que tu empresa ya esté realizando auditorías de protección de datos. O tal vez estáis pensando en empezar a realizarlas. En ambos casos, podrías estar preguntándote sobre por qué es necesario realizar este tipo de auditorías y para qué sirven exactamente.

El porqué de las auditorías: el principio de responsabilidad proactiva.

El artículo 5 del Reglamento General de Protección de Datos (RGPD) impone al responsable de tratamiento la obligación de cumplir con lo dispuesto en el mismo y ser capaz de demostrarlo, lo que se conoce como el principio de responsabilidad proactiva

Este principio contiene dos partes:

Responsabilidad: que se refiere a la obligación que tienen los responsables y encargados del tratamiento de aplicar la lista de principios relativos al tratamiento listado en el apartado 1 del artículo 5 (licitud, lealtad, transparencia, etc.).

Proactividad: el RGPD les impone, adicionalmente, la obligación de poder demostrar que están cumpliendo con esta responsabilidad.

La inclusión de la proactividad en la responsabilidad, ha determinado que el responsable del tratamiento de datos personales tenga ahora un deber constante de velar por el respeto a todos los principios que protegen la privacidad de los datos de los interesados. No se trata sólo de algo puntual, sino de una obligación que se mantiene en el tiempo y que de forma periódica el Responsable deberá demostrar su cumplimiento. 

En este sentido, los Responsables de tratamiento han desarrollado e implantado políticas internas que les permiten demostrar el cumplimiento de dicho principio de responsabilidad proactiva, como son la creación de un Comité de Protección de Datos con reuniones periódicas, la constitución de una Unidad Técnica de seguimiento para la ejecución e implantación de medidas, las creación de políticas de privacidad por defecto y por diseño etc., y por supuesto los procesos de Verificación  o Auditoría.

Entendemos por tanto, que las Auditorías de Protección de datos son procedimientos utilizados por el Responsable de tratamiento para garantizar el cumplimiento del Principio de Responsabilidad proactiva, y que por tanto, permite demostrar el cumplimiento de la normativa de protección de datos. 

La obligación fundamental del Responsable de Tratamiento.

En el artículo 24 del RGPD encontramos cómo la norma europea determina el contenido de la responsabilidad del responsable del tratamiento; es decir, todas aquellas medidas que debe adoptar para cumplir con la normativa de protección de datos. Establece este artículo que “el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”.

La conformidad “con el presente Reglamento” es una obligación muy general, pero que en cualquier caso se remite al principio del artículo 5 del RGPD ya mencionado. Es decir: si no cuentas con los medios, no sólo para garantizar, sino además para poder demostrar que estás adoptando todas las medidas apropiadas para cumplir con la minimización de datos, la limitación del tratamiento, exactitud, etc., tu riesgo a ser sancionado aumenta de forma exponencial.

Medidas de seguridad y verificación regulares

Por otro lado, también hay que señalar la obligación de seguridad general que impone la norma en el artículo 32 del RGPD. El RGPD intenta que los responsables y encargados hagan todo lo posible para garantizar que los datos que estén tratando estén seguros; para ello deben ser analizados un amplio elenco de factores (estado de la técnica, probabilidad y gravedad variables de riesgos, etc.) y una lista de medidas de seguridad que deben adoptarse.

Entre dichas medidas, está el de implementar “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento” (letra d). Ha de entenderse por tanto, que las auditorías de protección de datos se enmarcan precisamente en el cumplimento de esta disposición.

Es decir, la auditoría de protección de datos es una medida de seguridad que garantiza que se están teniendo en cuenta todos los factores de riesgo de forma proactiva y constante en el tratamiento de datos, y que se están cumpliendo con las medidas técnicas y organizativas, que conforme al mencionado artículo 24 del RGPD permite garantizar y demostrar que el tratamiento es conforme a la normativa de protección de datos. Porque, como señala la AEPD estos “Riesgos que no son estáticos, evolucionan de forma continua, por lo que una vez identificados, exigen un esfuerzo de supervisión permanente” (expediente N.º: PS/00441/2021).

En otras palabras, la gestión del riesgo en protección de datos es un proceso, que no puede reducirse a un único momento temporal. La auditoría de protección de datos es el instrumento o herramienta que permite verificar que la gestión del riesgo se mantiene actualizada, y por lo tanto, el mecanismo que permite el cumplimiento del principio de responsabilidad proactiva, al ser un método probatorio idóneo en este sentido.

El nuevo régimen sancionador del RGPD y de la LOPDGDD

Finalmente, podemos comprobar que el régimen sancionador también se ha reforzado en el RGPD, y se ha desarrollado más detenidamente en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPDGDD). Así, el artículo 73 de la LOPDGDD, en conjunción con el art. 84 del RGPD, incluye la posibilidad de ser sancionado con multa administrativa por “El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32.1 del Reglamento (UE) 2016/679”.

Es decir, ya no sólo sancionan por incumplimiento, sino también por no tomar las medidas necesarias para evitar el riesgo de que se dé un incumplimiento. 

Por tanto, conforme a la LOPDGDD, podemos entender que el no incluir procesos de  verificación, evaluación y valoración regulares  del cumplimiento de la normativa de protección de datos, podría suponer una falta de diligencia debida por parte del Responsable de Tratamiento en la implantación  de medidas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa de protección de datos. Es decir, estaríamos incumplimiento el 32.1,d), y por tanto los art.5 y 24 antes mencionados del RGPD.

El incumplimiento de las obligaciones en materia de seguridad conforme al art. 83.4 del RGPD podrá ser sancionado con multas graves de 10.000.000 de euros o tratándose empresas la multa puede representar un cantidad equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. En caso de duda, las autoridades sancionadoras tienen que optar por la de mayor cuantía. 

Respecto a nuestra normativa LOPDGDD, el no incluir procesos de auditoría o verificación del cumplimiento de la normativa de protección de datos, podrá ser considerado como una infracción grave conforme el art. 73 f) y por tanto ser sancionado con multas de 40.000 a 300.000 euros.

Beneficios del Proceso de Verificación o Auditoría.

La realización de Procesos de Verificación o Auditorías de forma regular evita la sanción por no estar cumpliendo con las medidas de seguridad conforme el art. 32.1 d) del RGPD, y reduce exponencialmente la probabilidad de ser sancionado por la falta de la diligencia debida en la implantación de las medidas. Por ejemplo, existen numerosas sanciones de la AEPD con base en un incumplimiento del artículo 35 del RGPD, cuando los responsables del tratamiento no realizan la evaluación de impacto en protección de datos (EIPD) previa, necesaria para estudiar la gestión y minimización de riesgos. El proceso de verificación o auditoría pondría de relieve la necesidad de realizar una EIPD a tiempo, y evitar sanciones económicas por dichos incumplimientos.

Por otro lado, el proceso de Auditoría supone una evaluación del riesgo de incumplimiento de todos los procesos de tratamientos de datos, así como la verificación del cumplimiento de todas las obligaciones que en materia de protección de datos debe cumplir la empresa, permitiendo la ejecución de planes de adecuación o mejora en el tratamiento de datos para su corrección, y por tanto garantiza el cumplimiento de las obligaciones marcadas por la normativa de protección de datos.

En cuanto a la periodicidad, por nuestra experiencia, lo más recomendable es realizar este proceso cada dos años, de manera que se revisen los tratamientos de datos que llevan a cabo los responsables del tratamiento y se identifiquen las modificaciones realizadas, los nuevos tratamientos que se han implantado, y se detecten aquellas anomalías que deben solventarse para cumplir con el principio de responsabilidad proactiva y, en definitiva, con lo dispuesto en la normativa en materia de protección de datos.

Las auditorías pueden parecer un gasto innecesario y un trámite pesado, pero nada más lejos de la realidad, ya que como hemos analizado en el presente artículo es la herramienta más eficaz del Responsable de Tratamiento para cumplir con la normativa de protección de datos dentro de la empresa, y por tanto para cumplir con el Principio de Responsabilidad Proactiva, lo que le llevaría sin duda a evitar las mencionadas sanciones económicas por falta de implantación de medidas de seguridad de 40.000 a 300.000 euros. Como dice la sabiduría popular, “mejor prevenir que curar”.

Catalina von Wichmann Bordallo
Fernando Mª Ramos Suárez
DPO&itlaw (integrado en Club Legal)