Check list de auditoría RGPD: asegura tu éxito

Si quieres cumplir perfectamente con la normativa, lo mejor es que hagas una check list de auditoría RGPD. En Pujals Assessors queremos poner a tu disposición con este artículo un modelo para que tengas en mente o lo modifiques a tu conveniencia.

De este modo, te será más sencillo y rápido comprobar de manera visual gracias a tu check list de auditoría RGPD si te estás adaptando a lo exigido por la ley europea.

Ventajas que te ofrece una check list de auditoría RGPD

Hasta hace unos años, estábamos acostumbrados al modelo establecido por la LOPD de 1999. Esta normativa detallaba bastante todo lo que se debía incluir en los procesos para la gestión de los datos.

Ahora, en cambio, al pasar de la Ley Orgánica de Protección de Datos al Reglamento General de Protección de Datos, tenemos muchas cuestiones que se quedan por completo en el aire.

Bueno, no exactamente en el aire, pero es el responsable del tratamiento de los datos, el que debe tomar las medidas según considere oportunas. Es por este motivo por lo que en alguna ocasión no sabemos bien que incluir o que no, e incluso como abordar ciertos puntos.

De hecho, la propia Agencia Española de Protección de Datos (AEPD) es consciente de lo difusos que son ciertos conceptos en la normativa. Por este mismo motivo, en 2019 sacaron una check list de auditoría RGPD propia, aunque ciertamente extensa.

Estos son los motivos por los que es beneficioso contar con un modelo de auditoría RGPD.

Si no te quieres basar completamente o no consideras necesario cumplir con todos los puntos de la extensísima check list de auditoría de protección de datos propuesta por la AEDP, te vamos a proponer varios que consideramos esenciales cumplir.

Todos ellos están íntegramente sacados de la recomendación de la AEDP. En estos casos es mejor no dejar nada a la suerte. Los siguientes son los que nosotros consideramos que debe incluir tu check list de auditoría RGPD.

Principios relativos al tratamiento

  • Los datos personales se mantienen exactos.
  • Los datos personales se mantienen actualizados.
  • Se mantiene la trazabilidad de los fines del tratamiento.
  • Se recogen los datos con fines determinados.
  • Se recogen los datos personales con fines legítimos.

En tu check list de auditoría RGPD es esencial que incluyas, sobre todo, los fines con los que se recogen los mismos. Es el motivo principal de dicha captación.

Licitud del tratamiento

  • Existe obligación legal.
  • El tratamiento es necesario para proteger intereses vitales.

Este es otro de los aspectos cruciales para añadir a tu check list de auditoría RGPD. Es siempre esencial que la empresa valore la necesidad y la obligación relacionadas con la recogida de datos.

Condiciones para el consentimiento

  • Se solicita usando lenguaje claro y sencillo.
  • Para ejecutar un contrato se solicitan solo los datos necesarios.
  • Para prestar un servicio se solicitan únicamente los datos necesarios.

Consentimiento de niños en relación con los servicios de la Sociedad de la Información

  • Se verifica que el consentimiento fue dado por el titular de la patria potestad o tutela sobre el niño.
  • Se recaba el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre el niño.

Tratamiento de Categorías Especiales de Datos

  • Es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del derecho laboral y de la seguridad y protección en la medida que existe un convenio colectivo con arreglo a derecho.
  • Se tratan los datos solo cuando existen normas que lo exceptúen.
  • Se tratan datos que el interesado ha hecho manifiestamente públicos.

En caso de que haya excepciones a lo convencional, tu check list de auditoría RGPD debería contar con ello.

Tratamientos relativos a condenas e infracciones penales

  • Se tratan los datos bajo la autorización de normas de derecho.
  • Se tratan los datos bajo la supervisión de las autoridades públicas.
  • El registro completo de condenas penales se realiza bajo el control de las autoridades públicas.

Tratamientos que no requieren identificación

  • Se informa al interesado y se recaba su consentimiento cuando se llega a su identificación.
  • Se mantiene información adicional con vistas a identificar al interesado cuando los fines no requieren esa identificación.

Estos suelen ser de los más comunes, muchas cámaras exteriores pueden captarlos. Por ello es indispensable en tu check list de auditoría RGPD.

Derechos del interesado. Transparencia de la información

  • La información se facilita de forma concisa, transparente e inteligible.
  • Se permite a los interesados el ejercicio de derechos por medios electrónicos.
  • Se facilita al interesado el ejercicio de sus derechos.

Derechos del interesado. Derecho de supresión (“El derecho al olvido”)

  • Se suprimen los datos cuando se retira el consentimiento en que se basa el tratamiento.
  • Se suprimen los datos cuando han sido tratados ilícitamente.
  • Se suprimen los datos cuando se opone al tratamiento.

Información al interesado ante la rectificación, supresión o limitación en el tratamiento

  • Se comunican al interesado la rectificación, supresión o limitación en el tratamiento.

Derechos del interesado. Derecho de oposición

  • Se ponen los medios necesarios para que pueda ejercer su derecho a oponerse por medios automatizados.

Responsabilidad del responsable del tratamiento

  • Se tienen en cuenta los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.
  • Se tiene en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento para garantizar y poder demostrar que el tratamiento es conforme con el RGPD.

Hay que tener muy claro que es lo que puede y debe hacer el responsable, por ello no es mala idea que tu check list de auditoría RGPD cuente con estos puntos.

Encargado del tratamiento

  • El encargado del tratamiento no recurre a otro encargado sin la autorización previa por escrito.
  • El contrato establece que se tomarán las medidas de seguridad necesarias.
  • Solo se accede a los datos siguiendo instrucciones del responsable.
  • El contrato consta por escrito.

Registro de las actividades de tratamiento

  • El registro recoge los fines del tratamiento.
  • Se lleva un registro de las actividades de tratamiento.
  • Incluye los plazos previstos para la supresión de las categorías de datos.

Seguridad del tratamiento

  • Se han incluido medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Se han tomado medidas para garantizar que las personas autorizadas a acceder a datos exclusivamente los tratan siguiendo instrucciones.

Mantener las medidas de seguridad adecuadas de los datos durante el tiempo que se almacenen es vital. Inclúyelo en tu check list de auditoría RGPD.

Comunicación de una brecha al interesado

  • Existe un procedimiento para comunicar la brecha sin dilación indebida cuando sea probable que entrañe un alto riesgo para los derechos y libertades.

Contáctanos

En caso de que quieras hacer tu check list de auditoría RGPD de manera mucho más personalizada, nosotros te ayudamos. Ponte en contacto con nosotros y estaremos encantados de aseso

Artículos Relacionados

Entradas recientes

  • Uncategorized

Asesoría contable para PYMES: por qué es importante para crecer como empresa

1 año hace
  • Uncategorized

Errores de empresas sin asesoramiento laboral profesional

1 año hace
  • Uncategorized

Dinero fiduciario: ¿Qué es y para qué sirve?

1 año hace
  • Uncategorized

Auditoría de protección de datos RGPD, ¿es obligatoria?

2 años hace
  • News

Aprende a rellenar el cartel de zona videovigilada

2 años hace
  • News

Cierre provisional de la hoja registral de la sociedad

2 años hace

Usamos cookies propias y de terceros para mejorar nuestros servicios y mostrarte publicidad relacionada con tus preferencias mediante análisis de tus hábitos de navegación. Si continuas navegando consideramos que aceptas su uso. Puedes obtener información y cambiar tu configuración en nuestra política de cookies.

Leer más