RGPD: cómo hacer una auditoría en tu empresa antes de su entrada en vigor

Analizamos la necesidad de realizar una auditoría en la empresa para medir los riesgos a los que nos enfrentamos antes de la llegada del Reglamento General de Protección de Datos (RGPD)

• A día de hoy, el RGPD no determina claramente cuál es la función del Delegado de Protección de Datos (DPD) en relación a las auditorías, ni tampoco lo hace el proyecto de ley
• En aquellas empresas en las que no exista la figura del DPD será recomendable designar a una persona en función de sus conocimientos en la materia

El nuevo RGPD es de aplicación obligatoria el 25 de mayo de 2018. Una de las novedades que impone a las empresas es la necesidad de realizar un análisis de riesgos, una auditoría en la que se deben identificar las amenazas, evaluar los riesgos y tratarlos de forma adecuada para prevenir incidentes.

Según el apartado 2 del artículo 32 del RGPD:

“Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Identificar amenazas y riesgos

El primer paso consistiría en realizar una identificación de las amenazas y los riesgos. El DPD sería la persona adecuada para realizar todo el proceso. Existen fundamentalmente dos procedimientos. Por un lado, el análisis de riesgos, que reflejaría la pérdida que podrían sufrir las empresas debido a un posible incidente y cómo proteger los datos.

Para cumplir con el RGPD, es necesario tomar medidas adecuadas. Identifica los riesgos y toma medidas para evitar que surjan problemas.

Por otro, la Evaluación de Impacto determina qué situación se produciría si tiene lugar un incidente que afecte a los datos personales de la empresa. A la vez se identifican los recursos necesarios para gestionar dichos peligros.

Para realizar la auditoría antes de la puesta en marcha tenemos que tener claros ambos procedimientos. Basta con realizar unas simples preguntas para tener clara la necesidad de realizar este análisis de riesgos. ¿Recoge la empresa datos de carácter personal? ¿Se comunican dichos datos a terceros?¿Se tratan datos especialmente protegidos?¿Se van a utilizar de forma masiva en acciones de marketing?

¿Cómo se recoge la información?

Una vez que lo tenemos claro, es fundamental establecer el flujo de información sobre los datos personales. Para ello, hay que establecer un ciclo de vida, desde que se recogen los datos, cómo se informa al usuario sobre sus derechos, hasta la finalidad que tienen. También se debe conocer la sensibilidad de los datos recogidos, ya que algunos están especialmente protegidos y requieren de medidas especiales.

Para la empresa es fundamental tener claro para qué se van a utilizar dichos datos, cómo se almacenan y quién accede a dicha información. De esta forma es mucho más sencillo saber a qué tipo de incidentes nos podemos enfrentar a la hora de determinar los riesgos. Por último, hay que tener en cuenta cómo se destruyen los datos que puedan estar en sistemas, archivos o soportes de almacenamiento cuando ya no sean necesarios.

Evaluar los riesgos

Una vez que tenemos claro el tipo de datos que tratamos, tenemos que determinar los posibles riesgos a los que están sometidos. Se trata de establecer la posibilidad de que dichos datos personales mantengan su integridad, estén disponibles para realizar el tratamiento adecuado y sean confidenciales. Un ejemplo muy sencillo es el acceso no autorizado a datos por parte del personal de la empresa.

Pero también existen los riesgos que van asociados al RGPD y los derechos de los usuarios. Por ejemplo, utilizar los datos de un cliente para una campaña de marketing cuando no ha autorizado dicho uso. Pero también que un interesado no pueda ejercer sus derechos de forma sencilla cuando quiere realizar una portabilidad, simplemente porque la organización no tiene establecidos los procedimientos correspondientes.

Por eso, para evaluar los riesgos, se tienen en cuenta tres fases: identificación, evaluación y tratamiento. Para realizar correctamente el proceso de identificación, es necesario tener muy clara una descripción detallada del tratamiento, de su contexto y de los elementos más relevantes que intervienen en la misma. A medida que el riesgo es más alto, las medidas de seguridad deben aumentar.

Tratar los riesgos

Para cumplir con el RGPD, es necesario tomar medidas adecuadas. Una vez identificados estos riesgos, es necesario tomar medidas para evitar que surjan problemas. Por ejemplo:

• Establecer diferentes perfiles de acceso a la información en las organizaciones.
• Control de monitorización de amenazas en la red.
• Realización de copias de seguridad y pruebas de recuperación de dichos datos, que garanticen su integridad y disponibilidad. Es fundamental establecer un esquema con ubicaciones diferentes. Si los datos van a salir de la empresa, deberán hacerlo siempre cifrados.
• Establecer mecanismos de control de acceso a los datos y trazabilidad para identificar quién accede a los mismos.
• Segmentación de la red en caso de ser necesario. Un ejemplo muy claro es una red Wifi que la empresa ofrece a los clientes para que se conecten a Internet en la sala de espera. Tiene que estar totalmente separada de la red corporativa y nunca deberían ser capaces de llegar hasta la información almacenada.
• Garantizar los derechos de los titulares de los datos para que puedan ejercerlos.
• Evitar el tratamiento ilícito de los datos, para lo cual es fundamental que de cada titular quede claramente reflejado los consentimientos que otorga para el tratamiento de sus datos.

Todo esto no se acaba con la auditoría. No basta con demostrar que se ha cumplido con el RGPD en un momento concreto, sino que es necesario realizar una monitorización constante para asegurarse de que no se observan nuevos riesgos, que las medidas de seguridad siguen siendo efectivas y el nivel de exposición al riesgo sigue siendo bajo.

Una protección de datos desde el diseño

Y todo el proceso debe quedar debidamente documentado. Tanto el responsable del tratamiento de datos como aquellos en los que deleguen deben saber cómo proceder en todo momento. Además, es un documento que requiere de una revisión continua para asegurarse que se está dando el tratamiento adecuado de los datos.

Por último, es importante no olvidar que hay que tener en cuenta que el RGPD establece la obligación de realizar la protección desde el propio diseño, lo que significa que cualquier actividad que pueda afectar a las expectativas de la privacidad de las personas debe tenerse en cuenta en cada etapa de cualquier actividad de tratamiento.