No te pierdas nuestros contenidos
SuscribirmeLa Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una nueva entrada en su blog | Cuándo hay que revisar las medidas de protección de datos, recordando la obligación de los responsables del tratamiento de revisar y actualizar las medidas implantadas en los tratamientos para garantizar que cumplen con la normativa de protección de datos. Podemos encontrar esta obligación en varios preceptos, la mayoría de ellos en el Reglamento General de Protección de Datos (RGPD), en sus artículos 24, 28, 32 y 39, así como en el artículo 27 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (que traspone el artículo 19 de la Directiva 680/2016).
No obstante, la normativa no hace referencia expresa a ningún método de revisión y actualización, como sí lo hacía su antecesora, lo que ha dado pie a que surjan diversas propuestas y metodologías distintas para tratar de cumplir con esta obligación.
Es precisamente por la influencia que tuvo la normativa anterior en nuestro ordenamiento jurídico, así como por la experiencia obtenida con el paso del tiempo que, bajo nuestro parecer, ningún método de revisión y actualización de las medidas de protección de datos es tan eficaz y exhaustivo como la realización de una auditoría enfocada específicamente a los tratamientos de datos llevados a cabo en una organización.
Enfoque basado en el riesgo
El enfoque basado en el riesgo que adopta la normativa empuja a los responsables del tratamiento a aplicar medidas adecuadas para garantizar y poder demostrar el cumplimiento de esta obligación, para lo que una auditoría de protección de datos resulta idónea. Esta herramienta facilita el cumplimiento de los requisitos señalados por la AEPD en su publicación, entre los que se encuentra la selección de medidas mediante “un proceso racional basado en criterios de aptitud y eficacia (…) con el objetivo de garantizar y demostrar el cumplimiento de un tratamiento concreto”.
Cambios en el tratamiento
Respecto a la periodicidad, la normativa de protección de datos no exige ningún plazo concreto para llevar a cabo esta revisión. Pero, implícitamente, exige que se esté al corriente de los cambios a los que los tratamientos de datos puedan verse expuestos, por ejemplo:
- Si se incorpora una nueva tecnología en una operación del tratamiento;
- Si empiezan a tratarse algunas categorías de datos con mayor granularidad;
- Si se están materializando nuevos tipos de brechas de datos personales en entidades o tratamientos similares;
- Si se amplían o modifican los fines últimos o instrumentales; o
- Si hay conciencia de nuevos riesgos para los derechos fundamentales de los interesados.
Periodicidad y alcance de las auditorías
Excepcionalmente, la normativa ha indicado la periodicidad con la que debe llevarse a cabo esta revisión. Lo vemos, por ejemplo, en los tratamientos sometidos al Esquema Nacional de Seguridad, que deberán someterse a “una auditoría regular ordinaria, al menos cada dos años” (Capítulo V de la Ley Orgánica 7/2021).
Sin embargo, en la gran mayoría de los casos, se deberá establecer “un proceso de verificación, evaluación y valoración regulares” (artículo 32.1.d del RGPD), sin que la normativa haya llegado a especificar un alcance y periodicidad concreta para llevar a cabo este proceso, por lo que corresponde al responsable del tratamiento definir estas cuestiones, atendiendo a sus propias características y a las de los tratamientos que realiza. En consecuencia, las auditorías:
- Pueden tener un alcance total, es decir, de toda la organización y de todos los tratamientos que en ella se llevan a cabo; o parcial, lo que implicaría auditar actividades, departamentos o áreas específicas; y, por otro lado
- Pueden realizarse de forma bienal, como establecía la normativa de protección de datos antecedente; anual, especialmente, cuando la naturaleza, el ámbito, la extensión, el contexto o los fines del tratamiento así lo requieran; o de forma progresiva.
Considerando todo lo expuesto, tras casi un lustro desde la entrada en aplicación del RGPD, nuestra recomendación a los responsables del tratamiento para este año 2023 es que se sometan a una nueva auditoría de protección de datos, siguiendo las indicaciones de las autoridades de protección de datos y de la propia normativa analizada.
No te pierdas nuestros contenidos
Suscribirme