GDPR Hack 02 – Periodicidad de las auditorías GDPR

  PLANTEAMIENTOS Planteamiento 1 – Proyecto inicial incompleto
  1. La mayor parte de los proyectos de adecuación al RGPD se planificaron para acabar el 25 de mayo de 2018.
  2. La prioridad de cumplir el plazo hizo que algunos proyectos no profundizasen en algunos puntos críticos.
  3. La idea era completar el proyecto posteriormente, pero muchas empresas no lo han hecho.
Planteamiento 2 – Información inicial escasa
  1. Una parte de las guías de las autoridades de control se publicaron tras la finalización del proyecto.
  2. El nivel de detalle y concreción del RGPD es escaso en algunos puntos.
  3. Las empresas no dispusieron durante el proyecto de tanta información como la existente en la actualidad.
Planteamiento 3 – Cultura de auditoría
  1. Las grandes empresas realizan auditorías de riesgos cada año.
  2. Los riesgos derivados del RGPD han sido incluidos por Auditoría Interna en las auditorías anuales.
  3. El alcance de estas auditorías hasta ahora ha sido limitado.
Planteamiento 4 – Criterio del legislador
  1. El RGPD menciona las auditorías al hablar de las funciones del DPO pero no establece plazos.
  2. El RGPD también habla de las auditorías a los encargados del tratamiento pero tampoco establece plazos.
  3. El legislador español estableció una periodicidad máxima de dos años en la normativa anterior.
Planteamiento 5 – Cambios constantes en el modelo de datos y en las finalidades
  1. El modelo de datos (la estructura de campos) de los tratamientos cambian constantemente.
  2. También pueden producirse cambios en las finalidades de los tratamientos.
  3. El registro de tratamientos queda desactualizado muy rápidamente.
  4. El principio de privacidad desde el diseño y por defecto exige realizar verificaciones periódicas.
  5. El principio de responsabilidad proactiva exige realizar verificaciones periódicas del cumplimiento.
Cuestión planteada ¿Cuál es la periodicidad más adecuada de las auditorías GDPR? Interpretación 1 – Auditoría anual El RGPD exige la realización de verificaciones periódicas. El modelo de datos y las finalidades de los tratamientos están sujetos a cambios constantes. El registro de actividades de tratamiento se desactualiza rápidamente. Es aconsejable realizar una auditoría cada año. Interpretación 2 – Auditoría bienal Es suficiente realizar una auditoría cada dos años. Interpretación 3 – Auditoría mixta Se pueden revisar cada año los elementos más afectados por los cambios y realizar una auditoría en profundidad cada dos años. Interpretación 4 – Auditoría continuada Las tareas de revisión se pueden repartir a lo largo del año con verificaciones mensuales de un tratamiento grupo de tratamientos, de un departamento o de un grupo de controles. COMENTARIOS Puedes realizar tus aportaciones y apoyar una de las dos alternativas en la sección de comentarios de GDPR Hacks en Campus Ribas. Las opiniones pueden ir acompañadas de fundamentación jurídica o de los criterios que te han llevado a tomar partido por la alternativa escogida. Acceso a Campus Ribas https://www.campus-ribas.com Acceso a GDPR Hacks https://www.campus-ribas.com/p/gdpr-hacks