¿Son obligatorias las AUDITORÍAS RGPD?
A pesar de que algunas voces han llegado a indicar que en el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) no se recoge la obligatoriedad de realizar auditorías como lo hace taxativamente el artículo 96 del RD 1720/2007. Lo cierto es que en el RGPD encontramos hasta en cuatro ocasiones referencias a la realización de auditorias para garantizar el control y cumplimiento de la normativa en materia de protección de datos:
1-Artículo 28-Encargado del tratamiento, (…) “pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable“.
2-Artículo 39-Funciones del delegado de protección de datos “(…)supervisar el cumplimiento de lo dispuesto en el presente Reglamento (…) incluida la concienciación y formación del personal (…), y las auditorías correspondientes (…).
3-Artículo 47-Normas corporativas vinculantes, se indica que dentro de los mecanismos de control del cumplimiento de las normas vinculantes se (…) “incluirán las auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado”.
4-En el artículo 58–Poderes, referido a los de cada autoridad de control, se incluye entre los poderes de investigación (…) llevar a cabo investigaciones en forma de auditorías de protección de datos (…)
En conclusión, el RGPD no solo no limita el ámbito y periodicidad de las auditorías sino que pueden entenderse amplias e imprescindibles si, llegado el momento, queremos poder demostrar el cumplimiento en materia de protección de datos.