La auditoría en protección de datos no es obligatoria para las empresas ni para ningún tipo de organización, ya que no está específicamente contemplada ni en el RGPD ni en la LOPD.
Sin embargo, aunque no sea obligatorio, es altamente recomendable realizar auditorías periódicas de protección de datos para cumplir con la LOPD y el RGPD, garantizando así el cumplimiento normativo y evitando denuncias, reclamaciones y multas.
No obstante, es fundamental que las empresas que son responsables del tratamiento de datos de sus clientes tomen medidas para proteger la información y los datos personales que custodian, así como asegurarse de la seguridad de sus sistemas. Las auditorías se llevan a cabo para evaluar los sistemas y recursos utilizados por la empresa en el tratamiento de la información y los datos personales, la forma en que los gestionan y las medidas de seguridad implementadas, con el fin de determinar el nivel de cumplimiento de la normativa de protección de datos.
Aunque no se mencione como obligación, el RGPD establece la evaluación de la eficacia de las medidas de seguridad técnicas y organizaciones adoptadas por la empresa, según los artículos 24 y 32 del RGPD.
El artículo 24 establece la revisión y actualización de las medidas técnicas y organizativas «cuando sea necesario». Mientras que el artículo 32 obliga a los responsables y encargados del tratamiento a someter las medidas de seguridad a «un proceso de verificación, evaluación y valoración regular de la eficacia […] para garantizar la seguridad del tratamiento».
La mejor manera de cumplir con estas obligaciones y el principio de responsabilidad proactiva del RGPD es realizar auditorías de protección de datos.
Existen dos tipos de auditorías de protección de datos: internas y externas.
La auditoría interna puede ser llevada a cabo por personal especializado en protección de datos dentro de la empresa. Sin embargo, no se recomienda realizarla internamente, ya que puede carecer de objetividad y se requieren conocimientos especializados y actualizados sobre la materia y las leyes vigentes.
Por otro lado, la auditoría externa será realizada por un despacho o asesoría profesional especializada en protección de datos. Ellos se encargarán de revisar los procedimientos de tratamiento de datos, los sistemas informáticos, las medidas de seguridad y todas las exigencias de la normativa actual de protección de datos. Luego, completen un informe con los resultados de la evaluación y las propuestas para implementar medidas de seguridad y protección de datos necesarias.