ÍNDICE
auditoria cumplimiento rgpd admindatos

Una Auditoría en materia de Protección de Datos es una revisión sistemática, en la que se realiza un análisis exhaustivo del grado de cumplimiento de la normativa de Protección de Datos europea y nacional.

Todo ello con la intención final de comprobar si el tratamiento de datos es conforme o ajustado a Derecho.

El RGPD en su artículo 39 establece que el DPO tendrá entre otras las funciones de supervisar el cumplimiento del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

 

También tendrá las funciones de supervisar las políticas del responsable o del encargado del tratamiento en materia de protección de datos, incluidas las Auditorías correspondientes.

Tanto responsables como encargados, deberán realizar un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento (Art. 32 RGPD).

¿Podemos distinguir más de un tipo de auditoría en protección de datos?

Sí. Podemos distinguir dos tipos distintos destacados de Auditorías. La Auditoría de control de cumplimiento del RGPD UE y la Auditoría de Medidas de Seguridad en materia de Protección de Datos.

 

¿Cuándo debo realizar una auditoria de cumplimiento de RGPD?

A mi juicio, al no determinar expresamente el RGPD UE y la LOPDGDD, cuando hay que llevar a cabo la Auditoría, en mi opinión habría que realizarla cuando el nivel de riesgo aplicable sea moderado o elevado/muy alto y con una periodicidad temporal de 2 años (o bienalmente).

Contenido del cuestionario de la Auditoría

A continuación procedemos a indicar el contenido mínimo del cuestionario del proceso de control de cumplimiento del RGPD UE.

En el apartado de Estudio Previo indicaremos cual ha sido el protocolo inicial a ejecutar antes de proceder al tratamiento de los datos. En el apartado de Datos Recogidos dejaremos constancia de todo el proceso utilizado a la hora de tratar los datos y de que modo se lleva a cabo dicho tratamiento. En el siguiente apartado (Legitimación del Tratamiento) se recogen las bases legitimadoras que legalizan el tratamiento de los datos personales.

Seguidamente en el apartado de Tratamiento de Datos nos centraremos sobre todas las cuestiones referentes a las circunstancias del tratamiento y las características del mencionado tratamiento, incluyendo la naturaleza de los datos tratados.

En penúltimo lugar en el apartado de Derechos de los Afectados haremos referencia al ejercicio de los derechos por parte de los interesados, como pueden ser los Clientes. Y por último, haremos referencia a las Medidas de Seguridad a implementar por parte del responsable del tratamiento o del encargado del tratamiento.  

ESTUDIO PREVIO

  1. *¿Se ha realizado un estudio previo de la tipología de datos tratados, su forma de obtención, la finalidad o finalidades del tratamiento para las que se utilizan y sus transferencias a terceros?
  2. *¿Los datos se tratan de manera lícita?

DATOS RECOGIDOS

  1. ¿La recogida de datos se realiza con fines determinado, explícitos y legítimos?
  2. *¿Durante el tiempo en que los datos son tratados, se comprueba que su uso sigue respetando las finalidades para las que se recogieron inicialmente?
  3. *¿Los datos tratados son exclusivamente los necesarios para los fines para los que han sido recogidos?
  4. *¿Se actualizan los datos siempre que es necesario para garantizar su exactitud?
  5. *¿Los datos se mantienen de forma que permitan la identificación de los interesados únicamente durante el tiempo imprescindible?
  6. *¿En caso de respuesta negativa a la pregunta anterior la conservación de los datos durante periodos más largos de los necesarios queda amparada por su tratamiento exclusivamente con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos?
  7. *¿Se aplican medidas técnicas y organizativas adecuadas para garantizar la confidencialidad y la integridad de los datos?

LEGITIMACIÓN DEL TRATAMIENTO

  1. *¿El responsable es capaz de demostrar que trata los datos de manera lícita, leal y transparente?
  2. *¿El responsable realiza el tratamiento de los datos amparado en alguna de las bases legales descritas por el RGPD?
  3. *¿La base legal para el tratamiento es el consentimiento del interesado?
  4. *¿,Cuándo se responde afirmativamente a la pregunta anterior se dispone del consentimiento expreso del interesado para el tratamiento de sus datos con unas finalidades concretas que le han sido comunicadas previamente?
  5. *¿.En caso de respuesta afirmativa el responsable puede probar el consentimiento aportado por el interesado para el tratamiento de sus datos?
  6. *¿,Si la  respuesta afirmativa la solicitud del consentimiento se ha realizado de forma inteligible, de fácil acceso y con lenguaje claro y sencillo?
  7. *¿.En caso de respuesta afirmativa se ha informado al interesado de la posibilidad de retirar el consentimiento para el tratamiento de sus datos en cualquier momento?
  8. *¿,En el caso de respuesta afirmativa el interesado puede retirar el consentimiento de forma sencilla, por el mismo procedimiento que lo otorgó?
  9. *¿.En caso de respuesta afirmativa cuando el interesado sea un menor de 14 años, el consentimiento lo facilita el titular de la patria potestad o tutela?
  10. *¿La base legal del tratamiento es la existencia de un contrato o la aplicación de medidas precontractuales?
  11. *¿En caso de respuesta afirmativa a la pregunta anterior se ha verificado la relación entre los datos tratados y el contrato?
  12. *¿La base legal para el tratamiento es el cumplimiento de una obligación legal?
  13. *¿En caso de respuesta afirmativa a la pregunta anterior está identificada la normativa de carácter estatal o de la UE que legítima el tratamiento?
  14. *¿La base legal para el tratamiento es la necesidad de proteger intereses vitales?
  15. *¿En caso de respuesta afirmativa a la pregunta anterior se puede justificar esta necesidad así como identificar los intereses vitales afectados?
  16. *¿El tratamiento es necesario para el cumplimiento de una misión realizada en interés público?
  17. *¿En caso de respuesta afirmativa a la pregunta anterior se puede identificar esta misión?
  18. *¿El tratamiento es necesario para la satisfacción de intereses legítimos del responsable o de un tercero?
  19. *¿En caso de respuesta afirmativa a la pregunta anterior se puede identificar este interés legítimo alegado y además se puede justificar que no prevalecen sobre él los intereses, derechos o libertades del interesado?

TRATAMIENTO DE DATOS

  1. *¿ Se utilizan los datos para fines diferentes a los inicialmente previstos?
  2. *¿En caso de respuesta afirmativa a la pregunta anterior se ha valorado la necesidad y proporcionalidad del tratamiento para fines distintos de aquéllos para los que fueron recogidos los datos?
  3. *¿Se tratan categorías especiales de datos que revelen el origen racial, opiniones políticas o convicciones religiosas o filosóficas o la afiliación sindical, datos biométricos, genéticos, de salud o de orientación sexual?
  4. *¿.En caso de respuesta afirmativa a la pregunta anterior el tratamiento se realiza con el consentimiento explícito del interesado?
  5. *¿..En caso de respuesta negativa a la pregunta el tratamiento se realiza sin consentimiento explícito del afectado, pero al amparo de alguno de los supuestos del artículo 9.2 del RGPD?
  6. *¿…En caso de que se traten categorías especiales de datos personales el responsable se ha cerciorado de que el tratamiento no está sujeto a ninguna prohibición por el derecho de la UE o de sus Estados miembros?
  7. *¿Se tratan datos personales relativos a condenas e infracciones penales?
  8. *¿En caso de respuesta afirmativa a la pregunta anterior el tratamiento se lleva a cabo bajo la supervisión de las autoridades públicas o cumpliendo las condiciones establecidas?

DERECHOS DE LOS AFECTADOS

  1. *¿Toda la información proporcionada al afectado se facilita de forma concisa, transparente, inteligible, con fácil acceso y lenguaje claro, por escrito o por medios electrónicos?
  2. *¿Se informa a los afectados de forma clara y suficiente sobre la posibilidad y forma del ejercicio de los derechos de interesados o derechos personalísimos?
  3. *¿Se facilita al afectado el ejercicio de los derechos en materia de protección de datos que le asiste la normativa vigente RGPD y LOPDGDD?
  4. *¿En caso de ejercicio de algunos de estos derechos por parte del interesado, se le informa en el plazo de un mes de las actuaciones realizadas en relación a su solicitud?
  5. *¿Si existiera una prórroga del plazo de un mes para contestar al afectado que ha ejercitado alguno de estos derechos, se le informa de la prórroga aplicada y de las causas que la justifican?
  6. *¿En el supuesto de no tramitarse la solicitud de ejercicio de los mencionados derechos por parte del interesado, se le informa de las razones de dicha inactividad?
  7. *¿La tramitación de los derechos ejercidos por los afectados es gratuita para éstos, o en caso de cobrarse alguna cantidad, esta justificado legalmente?
  8. *¿En el momento de obtención de los datos, se cumple con el deber de información RGPD y se le informa al interesado, de los extremos contemplados por el art. 13 RGPD?
  9. *Si se utilizaran posteriormente los datos para fines distintos a los indicados al afectado: ¿se informa previamente a éste de los nuevos fines?
  10. *¿Se utilizan datos personales que no han sido facilitados directamente por éste, y no concurre ninguna causa que exima de la obligación de informar al afectado?
  11. *¿En el caso de respuesta afirmativa a la pregunta anterior, se informa al afectado de los derechos recogidos en el art. 14 RGPD?
  12. *¿Suponiendo una respuesta afirmativa a la pregunta, esta información se aporta siempre dentro de un mes desde el momento en que se disponen los datos, o en la primera comunicación?
  13. *¿En caso de ejercicio del derecho de acceso, se le contesta indicando si se están tratando sus datos, así como la información correspondiente y se le facilita una copia o acceso remoto a dichos datos?
  14. *¿Si se da el caso del ejercicio del derecho de rectificación por el afectado, se procede a modificar los datos correspondientes?
  15. *¿En caso de ejercicio del derecho de supresión por el interesado, se procede a dicha supresión sin dilación indebida en los casos previstas legalmente?
  16. *¿Suponiendo que sea obligatoria la supresión de los datos y se hayan hecho públlicos, se informa a los responsables que estén tratando los datos de la solicitud ejercida por el afectado de supresión de cualquier enlace a los datos o de cualquier copia o réplica?
  17. *¿Cuándo se deniega el ejercicio del derecho de supresión se comprueba que concurre alguna de las causas contempladas por el art. 17.3 RGPD que impide dicha supresión?
  18. *¿Si el afectado ejercita su derecho a la limitación del tratamiento, está garantizado que los datos sólo serán objeto de tratamiento en los casos previstos legalmente?
  19. *¿En caso de levantarse la limitación del tratamiento ejercida por el afectado, se le informa inmediatamente a éste?
  20. *¿Cuándo se hayan comunicados datos del interesado a otros destinatarios, se les informa del ejercicio de los derechos por parte del afectado?
  21. *¿Se el interesado lo solicita, se le da información de los destinatarios a los que se han facilitado sus datos?
  22. *¿Si el afectado ejercita su derecho a la portabilidad, se le facilitan los datos en un formato estructurado, de uso común y lectura mecánica?
  23. *¿En caso de que el afectado lo solicite, al ejercer el derecho a la portabilidad, se transmiten directamente los datos al responsable indicado por éste?
  24. *¿Si el afectado ejerce el derecho de oposición al tratamiento de sus datos, se dejan de tratar dichos datos automáticamente?
  25. *¿En caso de denegación del ejercicio del derecho de oposición, se fundamenta en motivos legítimos que prevalecen sobre los derechos del afectado?
  26. *¿Si el afectado ejercita su derecho a que los datos no sean tratados con fines de mercadotecnia directa, los datos dejan de ser tratados con estos fines?
  27. *¿Se facilita al afectado el ejercicio del derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles?
  28. *¿En el supuesto de denegarse dicho derecho, se verifica que concurre alguna de las condiciones previstas por el RGPD?
  29. *¿Se garantiza que no se generan decisiones individuales automatizadas en relación a datos especialmente protegidos, salvo que concurran las condiciones previstas por el RGPD …?

MEDIDAS DE SEGURIDAD

  1. *¿Las medidas de seguridad técnicas y organizativas se revisan y actualizan periódicamente?
  2. *¿Se aplican las medidas necesarias para garantizar que sólo son objeto de tratamiento los datos necesarios para las finalidades del tratamiento definidas?
  3. *¿Las medidas de seguridad garantizan, que por defecto los datos no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas?
  4. *¿Los datos son tratados por otra entidad/empresa que ejerce de encargado del tratamiento?
  5. *¿En caso de respuesta afirmativa a la pregunta se han firmado los contratos ET que incorporen toda la información obligatoria y describan los derechos y obligaciones del responsable y del encargado?
  6. *¿En caso de respuesta afirmativa a la pregunta se han elegido encargados del tratamiento que apliquen medidas de seguridad y cumplan con el RGPD?
  7. *¿Suponiendo que sea obligatorio, se ha elaborado un registro de actividades de tratamiento, que incorpore toda la información exigida por el RGPD?
  8. *¿Se ha elaborado un protocolo de actuación en el caso de violación de seguridad de los datos que incorpore la notificación a la AEPD y, en su caso a los afectados cuando sea obligatorio?
  9. *¿En caso de producirse una brecha de seguridad, ésta se documenta indicados los hechos acaecidos, sus efectos y las medidas correctivas?
  10. *¿Se realizan evaluaciones de impacto, como mínimo, cuando concurren los casos en que se impone como obligatoria por el RGPD?
  11. *¿Cuándo es obligatoria, la EIPD – PIA incorpora los requisitos mínimos contemplados por el artículo 35.7 RGPD?
  12. *¿Se formula una consulta a la AEPD antes de proceder al tratamiento en los casos en que la EIPD desprende que el tratamiento implica una alto riesgo si no se toman medidas para mitigarlo?
  13. *¿En el caso de ser obligatorio se ha nombrado un DPO cuando concurre alguno de los supuestos contemplados por el RGPD?
  14. *¿Se respetan las previsiones del RGPD en materia de Transferencia Internacional de Datos?

Observaciones y conclusiones de la Auditoría

Después de haber contestado a todas las preguntas que componen el cuestionario de Auditoría RGPD y haber indicado las observaciones oportunas, procederemos a dejar constancia de las conclusiones finales.

Tras su revisión final por el responsable o encargado del tratamiento, el informe de Auditoría RGPD deberemos archivarlo en formato electrónico, y éste deberá quedar a disposición de la AEPD ante cualquier inspección de oficio que pudiere realizar.

En su caso dicho Informe de Auditoría, deberá quedar también a disposición del DPO, con funciones de supervisión del cumplimiento de lo dispuesto en el RGPD.

 

¿Qué tengo que hacer a la vista de los resultados de la Auditoría?

Se pueden dar dos supuestos. En el supuesto de que el resultado del informe de la Auditoría, sea de cumplimiento íntegro de las obligaciones contempladas por el RGPD, al ser considerada la Auditoría una medida de seguridad, deberemos realizar un proceso de verificación, evaluación y valoración regulares de la eficacia de dicha Auditoría para garantizar la seguridad del tratamiento.

En caso contrario, en el supuesto de que el informe de Auditoría, concluya que se incumplen algunas de las obligaciones contempladas por la normativa europea de protección de datos, deberemos a la mayor brevedad posible aplicar las correcciones sugeridas a lo largo del informe de Auditoría y en el apartado final de conclusiones finales.        

¿Puedo ser sancionado por no tener realizada la auditoría  de cumplimiento conforme al RGPD?

Al ser  considerada la Auditoría como una medida de seguridad, la infracción de incumplimiento de esta medida de seguridad, conforme al artículo 83.4 a) RGPD UE, puede ser sancionada con multa administrativa de hasta 10.000.000€, o tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.       

Fuente: Reglamento General de Protección de Datos RGPD

Algunos de nuestros servicios

Trabajos de profesroes

Auditoria de cumplimiento RGPD 80 €

El servicio incluye la redacción de informe de auditoria y certificado de cumplimiento.

Fotos de alumnos

Elimina de la red tus datos personales 30 €

Puedes ejercitar tu derecho al olvido en internet, nosotros lo hacemos por ti.

admindatos aviso legal webs

Avio Legal y demás textos obligatorios

Si quieres que tu página web cumpla con la normativa y no sea sancionada contrata nuestro servicio. Textos legales  personalizados e instalados.

  • Aviso Legal
  • Política de Privacidad
  • Banner de cookies

 

96,80 €

admindatos aviso legal word press TIENDA ONLINE

Textos legales para tienda online

Cumplimiento normativo integral para tienda online. Textos legales  personalizados e instalados.

  • Aviso Legal
  • Política de Privacidad
  • Banner de cookies
  • Términos y condiciones de venta . 

120 €

Alberto Giménez Rodríguez
Alberto Giménez Rodríguez
Asesor/Auditor/Consultor de Protección de Datos desde 2007 en Admindatos Diplomado en Relaciones Laborales y Especialista Universitario en Empresas de Economía Social Experto en Evaluaciones de Impacto en Protección de Datos Técnico Medio en Prevención de Riesgos Laborales. Especialista en E-Privacy
279a6fa9-c94a-42cd-8843-711aab5d6c4f.jpg

Try Us for a Week
Absolutely Free

downtown, few minutes walk from subway station.

SUSCRÍBETE

Si formas parte de nuestra comunidad recibirás más contenido y documentos como este.

En base al el Artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD) y al artículo 13 del Reglamento General de Protección de Datos de la UE (RGPD)2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, Admindatos le informa de la existencia de un tratamiento de datos de carácter personal cuyo responsable es Admindatos con CIF: C. I. F. B54242862 con dirección Calle Médico Temístocles Almagro nº 18, 1ª Planta, C.P. 03300, Orihuela (Alicante), teléfono 965 30 63 09 email: info@admindatos.com

Objeto de tratamiento: datos de contacto… más info

Finalidades: Envío de publicidad… más info

Conservación: durante el periodo de vigencia del consentimiento …más info

Legitimación: consentimiento de usuario de la web … más info

Destinatarios: Proveedores de Cookies … más info

Encargados de tratamiento: Proveedor de alojamiento web o hosting y hosting correo electrónico… más info

Transferencias internaciones. Proveedores de Cookies… más info

Ejercicio derechos: acceso, rectificación, supresión, oposición al tratamiento, limitación del tratamiento, portabilidad de sus datos, a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, a retirar el consentimiento en cualquier momento en la dirección Calle Médico Temístocles Almagro nº 18 lc 2, C.P. 03300, Orihuela (Alicante) o mediante vía electrónica, acreditando su personalidad, en la siguiente dirección de correo electrónico a info@admindatos.com más información usted puede consultar nuestra política de privacidad.

Si solo quieres descargar el documento haz clic en el siguiente botón