El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
Esta nueva legislación es de obligado cumplimiento.
AUDITORÍA DE PROTECCIÓN DE DATOS LEGAL + INFORMÁTICA
Debe auditarse el estado en el que se encuentra el cumplimiento de la normativa de protección de datos en la empresa. Esta auditoría ha de realizarse antes de actualizar las políticas, los protocolos y los textos relativos al tratamiento de datos personales.
El equipo auditor debe estar formado por profesionales del ámbito jurídico e informático. El RGPD, en su artículo 25, determina qué tipo de medidas técnicas y organizativas se deben implementar, retirando el listado tradicional de la LOPD e imponiendo uno que debe ser creado de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:
Profesionales con conocimientos jurídicos especializados en protección de datos.
Profesionales informáticos con conocimientos especializados en seguridad informática.
Una auditoría (interna o externa) correcta de protección de datos exige contar con perfiles informáticos, no bastando con que el jurista tenga un blog, lea revistas de hackers o sepa usar clientes SSH. El personal contratado debe ser informático y tener conocimientos teóricos y prácticos actualizados de seguridad informática para poder auditar de forma real los sistemas.
Para ayudar a cumplir mejor el RGPD, la AEPD ha publicado este documento: Guía del Reglamento General de Protección de Datos para responsables de tratamiento.
Recomendación: Auditar, con un equipo de profesionales jurídicos e informáticos, y documentar el cumplimiento de la normativa de protección de datos, en relación con el RGPD, antes de iniciar operaciones de adecuación al Reglamento.
