{"id":10922,"date":"2018-05-04T07:19:25","date_gmt":"2018-05-04T07:19:25","guid":{"rendered":"https:\/\/www.sage.com\/es-es\/blog\/?p=10922"},"modified":"2026-02-04T18:49:11","modified_gmt":"2026-02-04T17:49:11","slug":"rgpd-como-hacer-una-auditoria-en-tu-empresa-antes-de-su-entrada-en-vigor","status":"publish","type":"post","link":"https:\/\/www.sage.com\/es-es\/blog\/rgpd-como-hacer-una-auditoria-en-tu-empresa-antes-de-su-entrada-en-vigor\/","title":{"rendered":"RGPD: c\u00f3mo hacer una auditor\u00eda en tu empresa antes de su entrada en vigor"},"content":{"rendered":"<header class=\"entry-header has-dark-background-color entry-header--has-illustration entry-header--has-illustration--generic\">\n\t<div class=\"container\">\n\t\t<div class=\"entry-header__row row align-center\">\n\t\t\t<div class=\"col col-lg-7 col-xlg-6 entry-header__content\">\n\t\t\t\t\t\t\t<div class=\"component component-single-header\">\n\t\t\t\t\t\t\t\t\t\t<div class=\"entry-header__misc text--subtitle text--uppercase text--small\">\n\t\t\t\t\t\t\t<a href=\"https:\/\/www.sage.com\/es-es\/blog\/categoria\/legal\/\" class=\"entry-header__link\">Legal<\/a>\t\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t<div class=\"entry-title-wrapper\">\n\t\t\t\t\t<h1 class=\"entry-title\">\n\t\t\t\t\t\tRGPD: c\u00f3mo hacer una auditor\u00eda en tu empresa antes de su entrada en vigor\t\t\t\t\t<\/h1>\n\t\t\t\t<\/div>\n\n\t\t\t\t\t\t\t\t\t<p class=\"entry-header__description\">\n\t\t\t\t\t\t\t\t\t\t\t<\/p>\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\n\t\t\t<\/div>\n\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t<\/div>\n\t<div class=\"single-post-details container\">\n\t\t<div class=\"col\">\n\t\t\t<span class=\"posted-on \"><time class=\"entry-date published\" datetime=\"2018-05-04T07:19:25+02:00\">4 mayo, 2018<\/time><\/span><span class=\"reading-time\"> minutos de lectura<\/span>\n\t\t<button\n\t\t\ttype=\"button\"\n\t\t\tclass=\"social-share-button button button--icon button--secondary js-social-share-button\"\n\t\t\tdata-share-title=\"RGPD: c\u00f3mo hacer una auditor\u00eda en tu empresa antes de su entrada en vigor\"\n\t\t\tdata-share-url=\"https:\/\/www.sage.com\/es-es\/blog\/rgpd-como-hacer-una-auditoria-en-tu-empresa-antes-de-su-entrada-en-vigor\/\"\n\t\t\tdata-share-text=\"Please read this interesting article\"\n\t\t>\n\t\t\t<span class=\"social-share-button__share-label\">Compartir<\/span>\n\t\t\t<span class=\"social-share-button__copy-label\" hidden>Copiar enlace<\/span>\n\t\t\t<span class=\"social-share-button__copy-tooltip\" aria-hidden=\"true\" hidden>Copiado<\/span>\n\t\t<\/button>\n\n\t\t\t\t<\/div>\n\t<\/div>\n<\/header>\n\n\n\n<div class=\"wp-block-post-author has-dark-background-color alignfull\">\n\t<div class=\"container\">\n\t\t<div class=\"col\">\n\t\t\t\t\t\t\t<div class=\"co-authors\">\n\t\t\t\t\t\n\t\t<div class=\"entry-author-wrapper\">\n\t\t\t<a class=\"entry-author\" href=\"https:\/\/www.sage.com\/es-es\/blog\/author\/carlos-roberto-cabelllo\/\">\n\t\t\t\t<img loading=\"lazy\" decoding=\"async\" width=\"40\" height=\"40\" src=\"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2017\/10\/Carlos-Roberto-Cabello.jpg\" class=\"entry-author__image\" alt=\"Carlos Roberto Cabello\" \/>\t\t\t\t<span class=\"entry-author__name\">Carlos Roberto Cabello<\/span>\n\t\t\t<\/a>\n\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t<\/div>\n<\/div>\n<div class=\"sage-block-classic-wrapper\">\n\n<p>Analizamos la necesidad de realizar una auditor\u00eda en la empresa para medir los riesgos a los que nos enfrentamos antes de la llegada del Reglamento General de Protecci\u00f3n de Datos (RGPD)<\/p>\n<ul>\n<li>A d\u00eda de hoy, el RGPD no determina claramente cu\u00e1l es la funci\u00f3n del Delegado de Protecci\u00f3n de Datos (DPD) en relaci\u00f3n a las auditor\u00edas, ni tampoco lo hace el proyecto de ley<\/li>\n<li>En aquellas empresas en las que no exista la figura del DPD ser\u00e1 recomendable designar a una persona en funci\u00f3n de sus conocimientos en la materia<\/li>\n<\/ul>\n<p><!--more--><\/p>\n<p>El <a href=\"https:\/\/www.sage.com\/es-es\/blog\/siete-cuestiones-que-debemos-conocer-antes-de-la-llegada-del-rgpd-dentro-de-un-mes\/\">nuevo RGPD es de aplicaci\u00f3n obligatoria el 25 de mayo de 2018.<\/a> Una de las novedades que impone a las empresas es la <strong>necesidad de realizar un an\u00e1lisis de riesgos<\/strong>, una auditor\u00eda en la que se deben identificar las amenazas, evaluar los riesgos y tratarlos de forma adecuada para prevenir incidentes.<\/p>\n<p>Seg\u00fan el apartado 2 del art\u00edculo 32 del RGPD:<\/p>\n<blockquote><p><i>\u201cAl evaluar la adecuaci\u00f3n del nivel de seguridad se tendr\u00e1n particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucci\u00f3n, p\u00e9rdida o alteraci\u00f3n accidental o il\u00edcita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicaci\u00f3n o acceso no autorizados a dichos datos.\u201d<\/i><\/p><\/blockquote>\n<h2>Identificar amenazas y riesgos<\/h2>\n<p>El primer paso consistir\u00eda en realizar una identificaci\u00f3n de las amenazas y los riesgos. El <a href=\"https:\/\/www.sage.com\/es-es\/blog\/caracteristicas-de-la-nueva-figura-del-rgpd-el-delegado-de-proteccion-de-datos-infografia\/\">DPD\u00a0<\/a>ser\u00eda la persona adecuada para realizar todo el proceso. Existen fundamentalmente dos procedimientos. Por un lado, el an\u00e1lisis de riesgos, que reflejar\u00eda la <strong>p\u00e9rdida que podr\u00edan sufrir las empresas debido a un posible incidente<\/strong> y c\u00f3mo proteger los datos.<\/p>\n<p><mark class=\"highlight-and-share\">Para cumplir con el RGPD, es necesario tomar medidas adecuadas. Identifica los riesgos y toma medidas para evitar que surjan problemas. <\/mark><\/p>\n<p>Por otro, la <strong>Evaluaci\u00f3n de Impacto<\/strong> determina qu\u00e9 situaci\u00f3n se producir\u00eda si tiene lugar un incidente que afecte a los datos personales de la empresa. A la vez se identifican los recursos necesarios para gestionar dichos peligros.<\/p>\n<p>Para realizar la auditor\u00eda antes de la puesta en marcha tenemos que tener claros ambos procedimientos. Basta con realizar unas simples preguntas para tener clara la necesidad de realizar este an\u00e1lisis de riesgos. \u00bfRecoge la empresa <a href=\"https:\/\/www.sage.com\/es-es\/blog\/rgpd-guia-rapida-sobre-como-afectara-a-las-asesorias-y-despachos-profesionales-ebook\/\">datos de car\u00e1cter personal<\/a>? \u00bfSe comunican dichos datos a terceros?\u00bfSe tratan datos especialmente protegidos?\u00bfSe van a utilizar de forma masiva en acciones de marketing?<\/p>\n<h2>\u00bfC\u00f3mo se recoge la informaci\u00f3n?<\/h2>\n<p>Una vez que lo tenemos claro, es fundamental establecer el <strong>flujo de informaci\u00f3n sobre los datos personales<\/strong>. Para ello, hay que establecer un <a href=\"https:\/\/www.sage.com\/es-es\/blog\/rgpd-que-hacer-desde-que-se-registra-un-nuevo-contacto-hasta-su-eliminacion-infografia\/\">ciclo de vida<\/a>, desde que se recogen los datos, c\u00f3mo se informa al usuario sobre sus derechos, hasta la finalidad que tienen. Tambi\u00e9n se debe conocer la sensibilidad de los datos recogidos, ya que algunos est\u00e1n especialmente protegidos y requieren de medidas especiales.<\/p>\n<p>Para la empresa es fundamental tener claro<strong> para qu\u00e9 se van a utilizar dichos datos<\/strong>, c\u00f3mo se almacenan y qui\u00e9n accede a dicha informaci\u00f3n. De esta forma es mucho m\u00e1s sencillo saber a qu\u00e9 tipo de incidentes nos podemos enfrentar a la hora de determinar los riesgos. Por \u00faltimo, hay que tener en cuenta c\u00f3mo se destruyen los datos que puedan estar en sistemas, archivos o soportes de almacenamiento cuando ya no sean necesarios.<\/p>\n<h2>Evaluar los riesgos<\/h2>\n<p>Una vez que tenemos claro el tipo de datos que tratamos, tenemos que determinar los <strong>posibles riesgos a los que est\u00e1n sometidos<\/strong>. Se trata de establecer la posibilidad de que dichos datos personales mantengan su integridad, est\u00e9n disponibles para realizar el <strong>tratamiento adecuado y sean confidenciales<\/strong>. Un ejemplo muy sencillo es el acceso no autorizado a datos por parte del personal de la empresa.<\/p>\n<p>Pero tambi\u00e9n existen los riesgos que van asociados al <a href=\"https:\/\/www.sage.com\/es-es\/blog\/estas-son-las-novedades-en-proteccion-de-datos-que-llegaran-con-el-rgpd\/\">RGPD <\/a>y los derechos de los usuarios. Por ejemplo, utilizar los datos de un cliente para una <a href=\"https:\/\/www.sage.com\/es-es\/blog\/diccionario-empresarial\/marketing-de-contenidos\/\">campa\u00f1a de marketing<\/a> cuando no ha autorizado dicho uso. Pero tambi\u00e9n que un interesado <strong>no pueda ejercer sus derechos de forma sencilla<\/strong> cuando quiere realizar una portabilidad, simplemente porque la organizaci\u00f3n no tiene establecidos los procedimientos correspondientes.<\/p>\n<p>Por eso, para evaluar los riesgos, se tienen en cuenta tres fases:<strong> identificaci\u00f3n, evaluaci\u00f3n y tratamiento<\/strong>. Para realizar correctamente el proceso de identificaci\u00f3n, es necesario tener muy clara una <strong>descripci\u00f3n detallada del tratamiento<\/strong>, de su contexto y de los elementos m\u00e1s relevantes que intervienen en la misma. A medida que el riesgo es m\u00e1s alto, las medidas de seguridad deben aumentar.<\/p>\n<h2>Tratar los riesgos<\/h2>\n<p>Para cumplir con el <a href=\"https:\/\/www.sage.com\/es-es\/rgpd\/\">RGPD<\/a>, es necesario tomar medidas adecuadas. Una vez identificados estos riesgos, es necesario tomar medidas para evitar que surjan problemas. Por ejemplo:<\/p>\n<ul>\n<li>Establecer diferentes<strong> perfiles de acceso a la informaci\u00f3n<\/strong> en las organizaciones.<\/li>\n<li>Control de <strong>monitorizaci\u00f3n<\/strong> de amenazas en la red.<\/li>\n<li>Realizaci\u00f3n de<a href=\"https:\/\/www.sage.com\/es-es\/blog\/razones-por-las-que-tu-empresa-debe-realizar-copia-seguridad-anual\/\"> copias de seguridad<\/a> y pruebas de recuperaci\u00f3n de dichos datos, que garanticen su integridad y disponibilidad. Es fundamental establecer un esquema con ubicaciones diferentes. Si los datos van a salir de la empresa, deber\u00e1n hacerlo siempre cifrados.<\/li>\n<li>Establecer mecanismos de <strong>control de acceso<\/strong> a los datos y trazabilidad para identificar qui\u00e9n accede a los mismos.<\/li>\n<li><strong>Segmentaci\u00f3n de la red<\/strong> en caso de ser necesario. Un ejemplo muy claro es una <a href=\"https:\/\/www.sage.com\/es-es\/blog\/diccionario-empresarial\/wps\/\">red Wifi<\/a> que la empresa ofrece a los clientes para que se conecten a Internet en la sala de espera. Tiene que estar totalmente separada de la red corporativa y nunca deber\u00edan ser capaces de llegar hasta la informaci\u00f3n almacenada.<\/li>\n<li>Garantizar los derechos de los titulares de los datos para que puedan ejercerlos.<\/li>\n<li>Evitar el tratamiento il\u00edcito de los datos, para lo cual es fundamental que de cada titular quede claramente reflejado los consentimientos que otorga para el tratamiento de sus datos.<\/li>\n<\/ul>\n<p>Todo esto no se acaba con la auditor\u00eda. No basta con demostrar que se ha<a href=\"https:\/\/www.sage.com\/es-es\/blog\/12-preguntas-respuestas-esenciales-sobre-rgpd-video\/\"> cumplido con el RGPD<\/a> en un momento concreto, sino que es necesario <strong>realizar una monitorizaci\u00f3n constante<\/strong> para asegurarse de que no se observan nuevos riesgos, que las medidas de seguridad siguen siendo efectivas y el nivel de exposici\u00f3n al riesgo sigue siendo bajo.<\/p>\n<h2>Una protecci\u00f3n de datos desde el dise\u00f1o<\/h2>\n<p>Y todo el <strong>proceso debe quedar debidamente documentado<\/strong>. Tanto el responsable del tratamiento de datos como aquellos en los que deleguen deben saber c\u00f3mo proceder en todo momento. Adem\u00e1s, es un documento que requiere de una revisi\u00f3n continua para asegurarse que se est\u00e1 dando el tratamiento adecuado de los datos.<\/p>\n<p>Por \u00faltimo, es importante no olvidar que hay que tener en cuenta que el <a href=\"https:\/\/www.sage.com\/es-es\/rgpd\/\">RGPD<\/a> establece la obligaci\u00f3n de realizar la protecci\u00f3n desde el propio dise\u00f1o, lo que significa que cualquier actividad que pueda afectar a las expectativas de la privacidad de las personas debe tenerse en cuenta en cada etapa de cualquier actividad de tratamiento.<\/p>\n\n<div class=\"single-cta\">\n\t<div class=\"single-cta__positioner\">\n\t\t<div class=\"single-cta__wrapper has-dark-background-color\">\n\t\t\t<div class=\"single-cta__content\">\n\t\t\t\t\t\t\t\t<h2 class=\"single-cta__title h3\">\u00bfA\u00fan no cumples con la normativa RGPD? <\/h2>\n\n\t\t\t\t\t\t\t\t\t<div class=\"single-cta__description\">\n\t\t\t\t\t\t<p>Las Soluciones RGPD Ready de Sage incluyen funcionalidades avanzadas para que tu negocio evite posibles sanciones y no cometa errores en la gesti\u00f3n de los datos personales.<\/p>\n<header>\n<div class=\"container\">\n<p class=\"intro\">\n<\/div>\n<\/header>\n\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<a\n\t\t\t\t\t\thref=\"https:\/\/www.sage.com\/es-es\/rgpd\/\"\n\t\t\t\t\t\tclass=\"single-cta__button button button--primary\"\n\t\t\t\t\t\t\t\t\t\t\t\t\tid=\"cta-id-10802\"\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tdata-button-location=\"cta_box\"\n\t\t\t\t\t\t\t\t\t\t\t>M\u00e1s informaci\u00f3n<\/a>\n\t\t\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<\/div>\n\n\t\t\t\t\t<img decoding=\"async\" width=\"1252\" height=\"810\" src=\"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2018\/04\/1700x1100-Webinar-RGPD-1252x810.jpg\" class=\"single-cta__image\" alt=\"sage\" loading=\"lazy\" srcset=\"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2018\/04\/1700x1100-Webinar-RGPD-1252x810.jpg 1252w\" sizes=\"auto, (min-width: 48em) 33vw, 100vw\" \/>\t\t\t<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Analizamos la necesidad de realizar una auditor\u00eda en la empresa para medir los riesgos a los que nos enfrentamos antes de la llegada del Reglamento General de Protecci\u00f3n de Datos (RGPD) A d\u00eda de hoy, el RGPD no determina claramente cu\u00e1l es la funci\u00f3n del Delegado de Protecci\u00f3n de Datos (DPD) en relaci\u00f3n a las [&hellip;]<\/p>\n","protected":false},"author":244,"featured_media":8581,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_sage_video":false,"post_featured_image_hide":false,"footnotes":""},"categories":[6],"tags":[202,249],"business_type":[10,11,8],"lilypad":[],"context":[],"industry":[],"persona":[],"imagine_tag":[280,287,285,286,260,284],"coauthors":[413],"class_list":["post-10922","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal","tag-novedades-legales","tag-rgpd","business_type-pequena-empresa","business_type-mediana-empresa","business_type-asesorias-despachos-profesionales"],"sage_meta":{"region":"es-es","author_name":"Carlos Roberto Cabello","featured_image":"https:\/\/www.sage.com\/es-es\/blog\/wp-content\/uploads\/sites\/8\/2017\/12\/ThinkstockPhotos-177775121.jpg","imagine_tags":{"280":"Asesor\u00edas y despachos","287":"Aut\u00f3nomos","285":"Emprendedores","286":"Enterprise","260":"Legal","284":"Pymes"}},"distributor_meta":false,"distributor_terms":false,"distributor_media":false,"distributor_original_site_name":"Sage Advice Espa\u00f1a","distributor_original_site_url":"https:\/\/www.sage.com\/es-es\/blog","push-errors":false,"_links":{"self":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/posts\/10922","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/users\/244"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/comments?post=10922"}],"version-history":[{"count":0,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/posts\/10922\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/media\/8581"}],"wp:attachment":[{"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/media?parent=10922"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/categories?post=10922"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/tags?post=10922"},{"taxonomy":"business_type","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/business_type?post=10922"},{"taxonomy":"lilypad","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/lilypad?post=10922"},{"taxonomy":"context","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/context?post=10922"},{"taxonomy":"industry","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/industry?post=10922"},{"taxonomy":"persona","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/persona?post=10922"},{"taxonomy":"imagine_tag","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/imagine_tag?post=10922"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.sage.com\/es-es\/blog\/api\/wp\/v2\/coauthors?post=10922"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}