Entre los temas que se abordaron, destacan los siguientes:

– La adaptación de las medidas de protección de datos a la situación generada por la pandemia de Covid-19, que ha supuesto un aumento del teletrabajo, el uso de aplicaciones de rastreo o la recogida de datos sanitarios. Estas circunstancias exigen una evaluación de riesgos y una adecuación de los protocolos y procedimientos para garantizar el respeto a los derechos y libertades de los interesados.

– La tendencia sancionadora de la AEPD, que ha impuesto multas millonarias a empresas por incumplir el Reglamento General de Protección de Datos (RGPD) o la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Estas sanciones ponen de manifiesto la importancia de contar con un sistema de compliance eficaz y preventivo, que evite o mitigue las posibles responsabilidades derivadas del tratamiento de datos personales.

– La implantación de tecnologías basadas en datos, como la inteligencia artificial, el big data o el blockchain, que ofrecen grandes ventajas competitivas y operativas, pero también implican nuevos riesgos y desafíos para la protección de datos. En este sentido, se analizaron las implicaciones jurídicas y éticas de estas tecnologías, así como las buenas prácticas y recomendaciones para su uso conforme al marco normativo vigente.

– La compatibilidad entre el delegado de protección de datos (DPD) y el compliance officer, dos figuras que tienen un papel fundamental en el aseguramiento del cumplimiento normativo en las organizaciones. Se debatió sobre las posibles sinergias y conflictos que pueden surgir entre ambas funciones, así como los criterios para determinar si pueden ser asumidas por la misma persona o si es conveniente separarlas.

– Las auditorías de protección de datos, como una herramienta esencial para verificar el grado de cumplimiento del RGPD y la LOPDGDD, así como para identificar las áreas de mejora y las acciones correctivas necesarias. Se expusieron los criterios y metodologías para realizar una auditoría eficiente y efectiva, así como los beneficios que aporta al sistema de compliance.

La sesión contó con la participación de expertos en la materia, que compartieron sus experiencias y conocimientos con los asistentes. El «Compliance Forum» es una iniciativa que tiene como objetivo crear un espacio de debate y reflexión sobre los temas más relevantes y actuales en materia de compliance.

La entrada La Protección de Datos dentro de los Sistemas de Compliance se publicó primero en Adaptación RGPD.

En el art.32 del RGPD se indican como mínimo algunas de las medidas que se deben aplicar para garantizar la confidencialidad, disponibilidad e integridad de la información. En concreto, se menciona a la auditoría de protección de datos como “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

En la anterior normativa se establecía un plazo para su realización dependiendo del nivel de seguridad bajo, medio o alto. En la actualidad como estos plazos no se encuentran regulados por la ley, será el responsable el que en función del análisis de riesgos establezca la periodicidad para su realización.

No solamente será obligación del responsable, también el encargado del tratamiento. Este tiene que poner a disposición del responsable para permitirle la realización de auditorías, incluidas las inspecciones, por parte del responsable o auditor autorizado.

IMPORTANTE

Uno de los cometidos de los delegados de protección de datos es la supervisión del cumplimiento del RGPD, incluidas las auditorías.

La entrada Las auditorías de protección de datos se publicó primero en Adaptación RGPD.

En el art.32 del RGPD se identifican algunas de las medidas técnicas y organizativas que el responsable y encargado del tratamiento deben aplicar para conseguir un nivel adecuado de seguridad, entre ellas:

32.1.d Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.

En este sentido, el Reglamento se está refiriendo a las auditorías como una de las medidas técnicas que se deben aplicar para salvaguardar la información.

A lo largo del articulado del RGPD, también se pueden encontrar otras referencias a las auditorías, cuando nos indica, en el art. 28 del RGPD, que una de las cláusulas del contrato de acceso a datos por cuenta del responsable, el encargado del tratamiento permitirá y contribuirá a la realización de auditorías, incluidas las inspecciones por parte del responsable o incluso de otro auditor autorizado por dicho responsable.

Así mismo en el art.24 del RGPD, se recoge que el responsable aplicará las medidas adecuadas, con el fin de garantizar y demostrar que el tratamiento es conforme con el RGPD, dichas medidas se revisarán y actualizarán cuando sea necesario.

IMPORTANTE

“La falta de adopción de medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado, según el artículo 32.1 del Reglamento, es una falta grave.

La entrada ¿Se tienen que realizar auditorías de seguridad y cumplimiento de la normativa de protección de datos? se publicó primero en Adaptación RGPD.

El RGPD establece en su artículo 96, como medida de seguridad en el tratamiento de datos personales de nivel medio y alto, la realización de una auditoría que verifique las medidas de seguridad aplicadas a dichos tratamientos.

El informe 0191/2010 de la AEPD aclara los plazos de conservación de dichos informes de auditoría.

De dicho informe jurídico se extrae lo siguiente:

• A partir de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa.
• Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
• Teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años.
• Solo existe la obligación de guardar el último informe de auditoría.

IMPORTANTE

No realizar la obligada auditoría en los plazos que marca la Ley es una infracción grave, con sanción de entre 40.001 y 300.000€.

La entrada ¿Es obligatorio el informe de auditoría? se publicó primero en Adaptación RGPD.