A l’empresa, cal diferenciar dos tipus d’auditoria de protecció de dades personals: l’auditoria prèvia al projecte d’adequació i la posterior. Les analitzem.
SALVADOR MUJAL VALLS. Expert en protecció de dades.
L’auditoria prèvia al projecte d’adequació té per objecte conèixer la situació de l’empresa pel que fa a les dades de caràcter personal que s’estan tractant. L’auditoria posterior al projecte d’adequació, en canvi, busca saber si l’organització realment compleix amb la llei o si, per contra, en aquest sentit cal fer canvis a l’empresa.
Així, l’auditoria prèvia és el primer pas que ha de donar una empresa que vulgui adequar-se a la normativa vigent en matèria de protecció de dades. El que pretén aquesta auditoria és determinar quines dades de caràcter personal es tracten a l’empresa, ja que són les úniques sobre les quals cal aplicar les mesures que es detallen i desenvolupen en el reglament de desplegament de la Llei de protecció de dades. Per tant, una bona anàlisi de la situació de l’empresa respecte de les dades personals que gestiona és important perquè pot suposar una reducció considerable de la inversió i dels recursos necessaris per complir amb la citada Llei.
Aquesta anàlisi ha de concloure en l’emissió d’un informe que ha d’indicar quina és la situació actual de l’empresa amb relació al compliment de la normativa vigent. Així, el document haurà d’indicar quins són els diversos fitxers i/o tractaments de dades personals que s’hagin detectat a l’empresa, quin nivell de seguretat envolta a aquestes dades, els procediments que caldria desenvolupar/modificar i implantar, la llista de mesures preliminars i el calendari d’actuacions a dur a terme.
D’altra banda, un cop ha finalitzat el projecte d’adequació, les empreses han de conèixer el grau de compliment de la normativa que l’organització ha assolit per determinar si és suficient o si, per contra, encara resulten necessaris més canvis.
Les empreses amb fitxers o tractaments de dades de nivell mitjà o alt han de realitzar una auditoria -esdevé una obligació normativa- almenys cada dos anys, llevat que es produeixin canvis substancials que obliguin a una auditoria extraordinària.
