¿Es obligatorio realizar y conservar el informe de auditoría de una empresa?
El RGPD establece en su artículo 96, como medida de seguridad en el tratamiento de datos personales de nivel medio y alto, la realización de una auditoría que verifique las medidas de seguridad aplicadas a dichos tratamientos.
El informe 0191/2010 de la AEPD aclara los plazos de conservación de dichos informes de auditoría.
De dicho informe jurídico se extrae lo siguiente:
- A partir de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa.
- Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
- Teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años.
- Solo existe la obligación de guardar el último informe de auditoría.
IMPORTANTE
No realizar la obligada auditoría en los plazos que marca la Ley es una infracción grave, con sanción de entre 40.001 y 300.000€.
