Según el RGPD, no se detalla explícitamente en ninguno de los artículos la obligación de realizar una auditoría para su cumplimiento. Simplemente establece que las empresas tienen que cumplir de forma permanente y tienen que estar constantemente actualizadas.
Por otra parte, el RLOPD (Reglamento de la Ley Orgánica de Protección de Datos) que será aprobado por las Cortes Generales a finales de año en un principio, prevé que las empresas con un alto número de trabajadores y/o centros de trabajo y/o que traten datos catalogados como «sensibles» a la propia ley, tienen que llevar a cabo un proceso de auditoría de forma bianual y con carácter obligatorio.
¿Que se considera datos sensibles para saber si tengo que hacer auditorías bianuales?
- Opiniones políticas
- Afiliación sindical
- Convicciones religiosas
- Convicciones filosóficas
- Origen racial o étnico
- Datos relativos a la salud
- Vida sexual
- Datos genéticos
- Datos biométricos
- Orientación sexual
Listado de empresas que por el tipo de tratamiento requieren medidas de seguridad de nivel medio o alto y, por tanto, requieren de auditoría.
Empresas que su actividad principal coincida con alguna de las siguientes:
- Marketing digital
- Comercio electrónico
- Centros educativos o academias
- Centros sanitarios (fisioterapia, ópticas, clínicas dentales, clínicas médicas, de cualquier tipo que impliquen un mantenimiento de historia clínica o informes médicos de pacientes).
- Psicólogos
- Colegios profesionales
Para empresas que tengan o bien más de 100 trabajadores o más de un centro de trabajo, es recomendable que hagan auditoría.
Los Privacy Impact Assessment (Evaluaciones de impacto)
Según la Agencia Española de Protección de Datos, los PIA son el “ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados, con el fin de afrontar la gestión eficaz de medidas necesarias para eliminarlos o mitigarlos”.
¿Cuándo debe realizarse?
No siempre es necesaria la realización de una Evaluación de Impacto, no obstante es recomendable analizar los posibles riesgos de la empresa tal y como comentábamos anteriormente.
La nueva regulación europea tasa que es obligatoria cuando se dé alguna de las siguientes características:
- Alto riesgo
- Evaluación sistemática
- Tratamiento a gran escala de datos especialmente protegidos
- Uso de tecnologías invasivas. Serían tecnologías invasivas con la privacidad, por ejemplo:
- Videovigilancia a gran escala
- Aeronaves no tripuladas (drones)
- Vigilancia electrónica
- Minería de datos
- Biometría
- Técnicas genéticas
- Geolocalización
¿Qué empresas están obligadas a realizar un PIA? Algunas de las entidades que tienen que realizar una evaluación de impacto son:
- Farmacéuticas
- Hospitales y clínicas
- Seguridad privada, vigilancia y control
- Comercializadoras de energía
- Empresas que realicen e-commerce
- Colegios
Pridatect, además del software de adecuación, ofrece el servicio de auditoria para garantizar el cumplimiento total del reglamento de forma sencilla y eficiente. Contáctanos para tener más información.
