El cumplimiento de la normativa de protección de datos no puede ser acometido desde una perspectiva pasiva, y requiere que las organizaciones lleven a cabo, tal y como se indica en el RGPD, un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas organizativas y técnicas de la implantación para garantizar la seguridad del tratamiento de los datos personales.
De acuerdo con el Principio de Responsabilidad Proactiva, las empresas deben llevar a cabo una monitorización periódica del cumplimiento de la normativa, de manera que se generen evidencias de dicho cumplimiento. Desde un punto de vista práctico, este proceso se puede llevar a cabo mediante la realización de controles periódicos o una auditoría de cumplimiento.
- En relación con los controles periódicos, estos implicarán la verificación del cumplimiento de las principales obligaciones que impone la regulación, analizando en un primer momento la modificación en los datos personales objeto de tratamiento o la finalidad de este. Desde un punto de vista organizativo, esta revisión permitiría detectar la necesidad de modificar los procedimientos de atención a los ejercicios de derechos, la notificación de brechas de seguridad, o la existencia de terceros prestadores de servicios con acceso a datos personales que no hubieran suscrito el pertinente contrato de encargo del tratamiento. Desde un punto de vista técnico, se deberá verificar la eficacia de las medidas de seguridad implantadas, tales como la correcta realización de copias de seguridad, la efectividad del registro de accesos, cuando este se haya considerado necesario, o el mantenimiento actualizado de diferentes inventarios, tales como el de documentación o de soportes.
- En cuanto a la auditoría de cumplimiento, permitirá de una manera más exhaustiva, determinar el estado de cumplimiento de la normativa, así como fijar mediante la emisión de un informe, las pertinentes acciones de mejora y recomendaciones necesarias para optimizar el cumplimiento. En este sentido, la normativa actual no recoge tal y como hacia la anterior, la obligación de realización de una auditoría, sin embargo, si encontramos mención a esta en diferentes preceptos del RGPD, como, por ejemplo, entre las funciones del delegado de protección de datos, que deberá supervisar el cumplimiento de la normativa mediante la realización de auditorías, cuando lo estime conveniente.
Por lo tanto, Unive Abogados recomienda que, una vez finalizado el proyecto de adecuación, se procure garantizar el cumplimiento por parte de las organizaciones.
