Muchas empresas y pymes han hecho un esfuerzo para adaptarse a las obligaciones que establecía el Reglamento UE 679/2016, General de Protección de Datos (RGPD), algunas antes de su entrada en vigor y, otras, tras su entrada en vigor, realizando los pasos iniciales de elaborar un inventario de los tratamientos, modificando y actualizando los procesos de recogida de datos, obtención del consentimiento, información, implementando nuevos contratos con prestadores de servicios y adoptando nuevos procedimientos de atención de derechos, brechas de seguridad, realizando un análisis de riesgos para ciertos tratamientos de datos según el criterio fijado por el Reglamento UE 679/2018 y por nuestra normativa interna.
Ahora, un año después de la entrada en vigor del RGPD, muchas de ellas se plantean si con la adecuación es bastante o, por el contrario y como establecía nuestra anterior normativa (artículos 96 y 110 del Real Decreto 1720/2007), deben o no realizar auditorías sobre las medidas de seguridad. Y la respuesta es Sí.
El RGPD establece como principio relativo al tratamiento de datos personales que éstos datos serán -"tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")"[1]– e introduce la responsabilidad proactiva, estableciendo que el Responsable del tratamiento deberá -"teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos es conforme con el Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario"[2] -.
El proceso de auditoría tendrá como punto de partida la recolección de la información del inventario del tratamiento de los datos, que ofrecerá el marco de utilización de los datos, los sistemas de tratamiento utilizados (aplicaciones, equipos, servicios informáticos propios y/o de terceros, incluso la firma de contratos de acceso a datos por parte de terceros).
Es importante que antes de realizar la auditoría, se defina la metodología que va a ser utilizada. Dependiendo del objetivo perseguido, la profundidad y el ámbito, definiremos el ámbito de la revisión y análisis de cada una de las medidas de seguridad aplicadas, bien a cada tratamiento o bien a la globalidad de tratamientos realizados por el Responsable del Tratamiento; por ello, podremos simplificar la realización de la auditoria incluyendo análisis e informes comunes de aquellas medidas que comparten varios tratamientos, recogiendo las evidencias, los datos, los hechos y las observaciones, en las que se basan los análisis y conclusiones, además de las recomendaciones, y medidas específicas para tratamientos de especial protección o que puedan suponer un alto riesgo para los derechos y libertades de los interesados.
A diferencia de la anterior normativa, en la que existía un catálogo de medidas de seguridad, actualmente deberá realizarse dentro de la auditoría un análisis de riesgos, con la finalidad de verificar si las medidas técnicas y organizativas son las correctas para:
- El ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas,
- Y si las medidas adoptadas garantizan un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales.
Así una vez recibida esta información, deberá procederse a analizar los procesos de recogida de datos y de información que se facilita a los interesados, para determinar si estos son o no conformes a la ley y a las finalidades de los tratamientos; los encargados del tratamiento contratados, para evaluar los servicios que presta al Responsable y las medidas qué el encargado aplica a los tratamientos.
Asimismo, deberá procederse a realizar la auditoría de las medidas técnicas y organizativas, partiendo de la premisa del artículo 24 y del artículo 32 del RGPD, y en muchas ocasiones tomando como base las medidas de seguridad que han implementado a lo largo del tiempo de acuerdo al Título VIII del Real Decreto 1720/2007; en otros casos, las medidas de seguridad implementadas serán auditadas conforme a estándares de seguridad (como pueden ser las normas ISO 27001 y 27002, por ejemplo).
Y, dentro del proceso de auditoria se revisarán:
- Las normas, estándares, políticas de seguridad.
- Los procedimientos existentes: gestión de usuarios, gestión de dispositivos, copias de respaldo y recuperación, gestión de incidencias, etc…
- Mecanismos y sistemas de control: identificación y autenticación de usuarios, control de accesos lógicos y físicos, registro de accesos.
- Sistemas de seguridad: cifrado, almacenamiento de contraseñas seguras.
- Sistemas de comunicaciones y redes, centros de procesamiento de datos.
- Procedimientos de teletrabajo.
- Dispositivos de seguridad en puertas, armarios, archivadores.
- Criterios de archivo, almacenamiento y destrucción de soportes no automatizados.
Con el resultado de la Auditoria, deberá procederse a elaborar un Informe que se pondrá a disposición bien del Delegado de Protección de Datos (si el Responsable del Tratamiento tiene la obligación de implementar este Delegado o lo ha adoptado de manera voluntaria) o bien al Responsable de Privacidad, advirtiendo de las conclusiones para que se corrijan o se adopten nuevas medidas de seguridad; una vez corregidas las deficiencias y adoptadas las medidas o recomendaciones propuestas, se procederá a una verificación de la implantación de las mismas.
[1] Artículo 5.1 f) del Reglamento UE 679/2016, General de Protección de Datos.
[2] Artículo 24.1 del Reglamento UE 679/2016, General de Protección de Datos.
