Una de las principales características de la aplicación del RGPD es que es el propio responsable, mediante un minucioso análisis de riesgos, el que determina cuáles son las medidas técnicas y organizativas más apropiadas para el tratamiento que se lleva a cabo en su entidad.
En el art.32 del RGPD se indican como mínimo algunas de las medidas que se deben aplicar para garantizar la confidencialidad, disponibilidad e integridad de la información. En concreto, se menciona a la auditoría de protección de datos como “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
En la anterior normativa se establecía un plazo para su realización dependiendo del nivel de seguridad bajo, medio o alto. En la actualidad como estos plazos no se encuentran regulados por la ley, será el responsable el que en función del análisis de riesgos establezca la periodicidad para su realización.
No solamente será obligación del responsable, también el encargado del tratamiento. Este tiene que poner a disposición del responsable para permitirle la realización de auditorías, incluidas las inspecciones, por parte del responsable o auditor autorizado.
IMPORTANTE
Uno de los cometidos de los delegados de protección de datos es la supervisión del cumplimiento del RGPD, incluidas las auditorías.
