Auditoría RGPD en empresas de automoción
Han pasado ya más de dos años desde que entró en aplicación el Reglamento General de Protección de Datos (en adelante, RGPD) y en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) y muchas empresas del sector de la automoción nos preguntan si tienen obligación legal en realizar las auditorías bienales.
Las auditorías en materia de protección de datos son una parte esencial de los procesos de revisión y mejora a la que está obligada la empresa, en cumplimiento del principio de responsabilidad proactiva (accountability), según el artículo artículo 5.2. del RGPD.
El principio de accountability implica que la empresa sea capaz de demostrar, mediante evidencias, que ha implementado adecuadamente todas las medidas para el cumplimiento de las obligaciones establecidas en la normativa de protección de datos.
En este sentido, las empresas tienen la obligación de analizar los riesgos, para que, conforme a dicho nivel de riesgo, implementen las medidas de control más adecuadas (entre ellas, la auditoría) con la periodicidad que considere más adecuada.
Los beneficios de la realización de auditorías son los de evaluar los riesgos y verificar si las medidas son suficientes, levantar nuevos riesgos, adoptar nuevas medidas en un proceso de mejora continua y demostrar el cumplimiento de la normativa vigente de protección de datos, y, con ello, evitar multas que van hasta 20 millones de euros o el 4% de la facturación global de la compañía.
¿Qué aspectos deben evaluarse?
Los aspectos que deben evaluarse, según la Guía de buenas prácticas en auditorias del RGPD, publicada el 28 de mayo de 2020 ¿por la? International Information Security Community (ISM Forum), son tres:
a) Aspectos legales:
- El cumplimiento del deber de información (que los formularios tengan las correspondientes cláusulas).
- Que los datos recabados y mantenidos por la empresa tengan una justificación lícita, por ejemplo, que se mantenga por motivos de un contrato, cumplimiento legal, consentimiento, etc.
- Mecanismos para gestionar los ejercicios de los derechos de los interesados.
- Procedimientos para la implantación y evaluación de los sistemas de tratamiento de datos, como, por ejemplo, las evaluaciones a los Dealership Management System (DMS), con el fin de verificar que sí cumplen con el RGPD.
- Regularizar las relaciones de corresponsabilidad y/o cesión de datos con la marca u otras empresas del grupo.
- Disponer de un registro de las actividades de tratamiento.
- Implementar medidas que permitan la realización de notificaciones de brechas de seguridad.
- Procedimiento para la evaluación y realización de una evaluación de impacto
- Contar con un delegado de protección de datos o responsable de privacidad.
b) Aspectos organizativos:
- Políticas corporativas de protección de datos.
- Políticas de formación periódica en protección de datos, en función de las tareas desarrolladas dentro de la compañía.
- Controles en materia de protección de datos.
- Política sobre el uso de herramientas corporativas, recursos compartidos, etc.
- Normas internas que contengan los principios y reglas aplicables a la contratación de los proveedores.
- Política sobre dispositivos móviles y el uso del teletrabajo.
c) Aspectos técnicos o de seguridad, por ejemplo:
- Controles tecnológicos para la seguridad de la información.
- Medidas para la continuidad del negocio y recuperación ante desastres.
- Medidas para proteger el uso de herramientas habituales (correo electrónico) como antispam o antiphishing.
- Protección de sitios web.
- Realización de copias de seguridad y actualización de sistemas operativos.
- Cifrado de ficheros.
- Cifrado de discos.
- Sistemas de control de accesos.
- Herramientas que permitan analizar y controlar la actividad del usuario en el envío de información al exterior desde su puesto de trabajo, mediante la detección de fugas de información.
- Gestión centralizada de contraseñas, control de accesos y sesiones: quién accede, cuándo y a qué.
- Gestión de usuarios.
- Políticas de respuesta ante incidencias y gestión de brechas de seguridad.
¿Cada cuánto tiempo hay que realizar una auditoría de protección de datos?
La periodicidad de las auditorías debe realizarse en atención a los riesgos, procesos y controles existentes, y ser específicas, continuas y cíclicas.
Aconsejamos a las empresas tener un programa de auditoría que debe elaborarse en atención al tipo de actividad, a la marca de coches a la que pertenezca, al tamaño, y al nivel de madurez de los sistemas de gestión.
Asimismo, se deberían tener prefijados los objetivos que se persiguen, lo que permitirá orientar su planificación y ejecución.
Nuestra recomendación es implementar un programa de auditoría continua, con el fin de que, durante el año, se vayan revisando aspectos legales, organizativos y técnicos o de seguridad, para asegurarse de que se han alcanzado sus objetivos.
La auditoría puede realizarse siguiendo las fases establecidas en la Norma ISO 19001 de Auditorías de Sistemas de Gestión, que son:
- Inicio de la auditoría.
- Preparación de las actividades de la auditoría.
- Realización de la auditoría.
- Informe: preparación y distribución del informe de auditoría.
- Finalización de la auditoría.
- Seguimiento: realización de actividades de seguimiento.
¿Quién puede realizar las auditorías de protección de datos de la empresa?
Las auditorías pueden ser realizadas por personal interno o externo cualificado, que no tenga conflicto de intereses, y deben centrarse en aspectos de control interno y en la evaluación de riesgos para formular observaciones que queden reflejadas en un informe de auditoría.
Posteriormente, debe realizarse un plan de acción con el fin de subsanar las debilidades y alcanzar los objetivos auditados.
Crea un calendario de auditorías continuas
Nuestro reto para este año es incentivar a las empresas a mantener y cultivar una cultura empresarial respetuosa con los datos, dado que serán estos la mayor fuente de ingresos a medida que las empresas se digitalicen y los clientes demanden más servicios online.
Les proponemos a nuestros lectores crear un calendario de auditorías continuas en el que, cada mes, se revisen algunos controles y se elaboren informes y planes de acción, sencillos y constantes. Siguiendo este consejo, las empresas avanzarán en el cumplimiento del RGPD.
Debemos dar más importancia a los pequeños logros mensuales y a la mejora continua, y prepararnos para la visita de un auditor cada dos años, algo puntual, pero que aún no forma parte de la cultura empresarial.
Sara Mora Socia de Aledia Legaltech