A continuación de desarrolla un breve esquema regulatorio del proceso de auditora en materia de protección de datos dentro de una organización.

Artículos que la regulan
5.2, 24.1, 28.3.h, 32.1.d y 39 del RGPD, y 54 de la LOPDGDD
Obligatoriedad
No es obligatoria pero se aconseja que las empresas cuyos tratamientos de datos personales están sujetos a los requisitos del RGPD realicen de forma periódica auditorías para comprobar el nivel de cumplimiento.
Quién puede hacerla
No se exige un perfil concreto, sí que la persona tenga plena independencia de la entidad auditada y un perfil y experiencia apropiados para su realización.
Se excluyen aquellos sujetos que no reúnan las condiciones necesarias para su realización. Puede ser un equipo multidisciplinar.
Si en la organización se cuenta con un Delegado de Protección de Datos debe supervisar el cumplimiento de lo dispuesto en el RGPD y del resto de normativa aplicable a la materia. La auditoría se puede realizar a través de un auditor interno o externo a la organización.
Contenido
Debe recaer sobre tres aspectos:
-legales: tratar datos personales conforme a las bases legitimadoras del art. 6 y 9 del RGPD; cumplir el deber de transparencia hacia el interesado en los términos del art. 12 del RGPD; gestionar el ejercicio de derechos por los interesados conforme a los art. 15 a 22 del RGPD; incluir protección de datos desde el diseño y por defecto; regularizar las relaciones de corresponsabilidad; regularizar las relaciones del encargado de tratamiento; disponer de registro de actividades del tratamiento; medidas que permitan notificar brechas de seguridad a la autoridad de control y a los interesados cuando proceda; realizar EIPD en los casos del art. 35 del RGPD y consulta previa a la autoridad de control si fuese preciso; contar con un DPD como mínimo en los casos establecidos en el art. 37 del RGPD.
– organizativos: políticas corporativas de protección de datos; políticas de gobierno de la privacidad; marco de controles en materia de protección de datos; política sobre el uso de herramientas corporativas, recursos compartidos, etc; normas internas que contengan los principios y reglas aplicables a la contratación de proveedores; política sobre dispositivos móviles y el uso del teletrabajo.
– técnicos o de seguridad: controles tecnológicos para la seguridad de la información; medidas para la continuidad del negocio y recuperación ante desastres; medidas para proteger el uso de herramientas habituales como antispam o antiphising; protección de sitios web; realización de copias de seguridad y actualización de sistemas operativos; cifrado de ficheros; cifrado de discos; sistemas de control de accesos; cortafuegos; herramientas para analizar y controlar la actividad del usuario en el envío de información al exterior desde su puesto de trabajo; gestión centralizada de contraseñas, control de accesos y sesiones; gestión de usuarios; políticas de respuestas incidencias y gestión de brechas de seguridad.
En cuanto a dominios funcionales, el plan de auditoría debe considerar: gobierno de la privacidad, DPD, licitud y transparencia, gestión de derechos, privacidad por diseño, registro de actividades, análisis de riesgos y EIPD, notificación de brechas, medidas de seguridad, accountability y formación, encargados del tratamiento, transferencias internacionales, corresponsabilidad.
Consecuencias de no realizar una auditoría
No existe una obligación explícita de realizar auditoría pero es una herramienta que sirve para verificar y demostrar el cumplimiento de la normativa de protección de datos por parte de los responsables del tratamiento y encargados.
El cumplimiento de la normativa de protección de datos personales se basa en el enfoque de aproximación al riesgo derivado de la protección de los derechos y libertades de las personas físicas.
Las consecuencias de no realizar una auditoría implican que la organización no evaluará los riesgos ni verificará si las medidas son suficientes, no podrá anticiparse a los nuevos riesgos que puedan surgir, no podrá adoptar nuevas medidas en un proceso de mejora continua y no podrá demostrar el cumplimiento.
Delegado de Protección de Datos
En relación con el proceso de auditoría, también pueden verse determinadas las funciones del DPD en su desarrollo, incidiendo en: análisis de la necesidad de DPD y decisión tomada por la entidad; acta de nombramiento del DPD; organigrama de la entidad, posición del DPD y nivel de reporte; canales de comunicación internos y externos del DPD; nombramiento y difusión de los responsables de privacidad; análisis de compatibilidad o incompatibilidad de funciones; análisis de cualificación y dimensionamiento de la oficina del DPD; revisión de funciones del DPD. En cuanto a su función dentro del proceso de auditoría su misión consiste únicamente en supervisar la realización de la auditoría, garantizando que las conclusiones lleguen al órgano encargado de proponer o implantar acciones que puedan derivarse de las posibles no conformidades detectadas.
No puede participar activamente en el proceso de revisión pues ello pone en peligro su independencia puesto que uno de los aspectos de la propia auditoría se centrará en revisar sus funciones tal y como establece el artículo 39.1, b) del RGPD.
Para más información, puede consultar la Guía de Buenas Prácticas en Auditorías RGPD.