En la empresa, hay que diferenciar dos tipos de auditoría
de protección de datos personales: la auditoría previa al proyecto de adecuación y la posterior. Las analizamos.
SALVADOR MUJAL VALLS. Experto en protección de datos.
La auditoría previa al proyecto de adecuación tiene por objeto conocer la situación de la empresa con respecto a los datos de carácter personal que se están tratando. La auditoría posterior al proyecto de adecuación, en cambio, busca saber si la organización realmente cumple con la ley o si, por el contrario, en este sentido hay que hacer cambios en la empresa.
Así, la auditoría previa es el primer paso que debe dar una empresa que quiera adecuarse a la normativa vigente en materia de protección de datos. Lo que pretende esta auditoría es determinar qué datos de carácter personal se tratan en la empresa, ya que son las únicas sobre las que hay que aplicar las medidas que se detallan y desarrollan en el reglamento de desarrollo de la Ley de protección de datos. Por lo tanto, un buen análisis de la situación de la empresa respecto de los datos personales que gestiona es importante porque puede suponer una reducción considerable de la inversión y los recursos necesarios para cumplir con la citada Ley.
Este análisis debe concluir en la emisión de un informe que tiene que indicar cuál es la situación actual de la empresa con relación al cumplimiento de la normativa vigente. Así, el documento deberá indicar cuáles son los diversos archivos y/o tratamientos de datos personales que se hayan detectado en la empresa, qué nivel de seguridad rodea a estos datos, los procedimientos que habría que desarrollar/modificar e implantar, la lista de medidas preliminares y el calendario de actuaciones a llevar a cabo.
Por otra parte, una vez ha finalizado el proyecto de adecuación, las empresas deben conocer el grado de cumplimiento de la normativa que la organización ha logrado para determinar si es suficiente o si, por el contrario, aún resultan necesarios más cambios.
Las empresas con ficheros o tratamientos de datos de nivel medio o alto deben realizar una auditoría -se convierte una obligación normativa- al menos cada dos años, a menos que se produzcan cambios sustanciales que obliguen a una auditoría extraordinaria.
