LA RESPONSABILIDAD PROACTIVA Y AUDITORÍA INTERNA UN AÑO DESPUÉS DE LA APLICACIÓN DEL RGPD

Estándar

lunes, 24 de junio de 2019

https://youtu.be/NCI7rwRA0ak

El director de Techware Consulting Training, Pablo González Melgar, ha analizado en el último Lunes del IAI los cambios legislativos tras la aplicación del Reglamento General de Protección de Datos (RGPD, durante el año posterior a su implantación; las lecciones aprendidas desde la perspectiva de Auditoría Interna; y las directrices que ésta deberá  tener en cuenta en el contexto del cumplimiento del Reglamento.

Según González Melgar, con los trabajos realizados sobre la adecuación de las empresas al RGPD se ha observado que es conveniente concienciar en lo relativo a cultura del riesgo, “porque hemos identificado que el Data Protection Officer (DPO), que tiene que velar por el cumplimiento del reglamento, ha hecho un sobreesfuerzo para implantar las medidas de adecuación al RGPD y, en cierta forma, ha perdido su imparcialidad como elemento de monitorización como Segunda Línea de Defensa que es”.

En muchas compañías, si bien se ha llevado a cabo la implantación, y por tanto el cumplimiento de los principios, derechos y obligaciones en materia de protección de datos, falta la definición formal de un modelo de gobierno de la privacidad sustentado por un sistema de gestión de privacidad que pueda garantizar el mantenimiento y mejora continua de la implantación del Reglamento.

Este hecho es consecuencia en parte, según González Melgar, “del hecho de que hayan confluido a lo largo de este año la adecuación al RGPD y la aparición de la Ley Orgánica 3/2018 de Protección de Datos, que complementa cómo llevar a cabo su tratamiento en sistemas específicos, lo que hace que se realicen nuevas labores de adecuación”. Auditoría Interna deberá tenerlo en cuenta al realizar la auditoría del cumplimiento normativo relativo a la protección de datos.

El trabajo de Auditoría Interna

Como ha afirmado el director de Techware Consulting & Training, al planificar sus trabajos Auditoría Interna deberá considerar todos los cambios legislativos presentados a lo largo del año y la complejidad de los proyectos de adecuación, ya que “en muchos casos las empresas -como responsables del tratamiento de los datos- deben definir y formalizar principios y criterios que no venían recogidos en el Reglamento”.

El hecho de que, además, la aplicación del RGPD aún no esté suficientemente madura implica que Auditoría Interna debe garantizar que la empresa le da el enfoque oportuno a la adecuación con el RGPD, de forma que se implante un modelo de gestión de la privacidad y se preserve su trabajo.

En el corto plazo, una vez auditado el modelo de gobierno y el sistema de gestión de privacidad se deberán realizar las auditorías de cada proceso de tratamiento de datos en base a una clasificación previa de los procesos según la probabilidad de que se materialice  el riesgo de incumplir los derechos, principios y obligaciones  recogidos en el Reglamento