El director de Techware Consulting Training, Pablo González
Melgar, ha analizado en el último Lunes del IAI los cambios
legislativos tras la aplicación del Reglamento General de Protección de Datos
(RGPD, durante el año posterior a su implantación; las lecciones aprendidas
desde la perspectiva de Auditoría Interna; y las directrices que ésta
deberá tener en cuenta en el contexto del cumplimiento del Reglamento.
Según González Melgar, con los trabajos realizados sobre la adecuación
de las empresas al RGPD se ha observado que es conveniente concienciar en lo
relativo a cultura del riesgo, “porque hemos identificado que el Data
Protection Officer (DPO), que tiene que velar por el cumplimiento del
reglamento, ha hecho un sobreesfuerzo para implantar las medidas de adecuación
al RGPD y, en cierta forma, ha perdido su imparcialidad como elemento de
monitorización como Segunda Línea de Defensa que es”.
En muchas compañías, si bien se ha llevado a cabo la implantación, y por
tanto el cumplimiento de los principios, derechos y obligaciones en materia de
protección de datos, falta la definición formal de un modelo de gobierno de la
privacidad sustentado por un sistema de gestión de privacidad que pueda
garantizar el mantenimiento y mejora continua de la implantación del
Reglamento.
Este hecho es consecuencia en parte, según González Melgar, “del hecho
de que hayan confluido a lo largo de este año la adecuación al RGPD y la
aparición de la Ley Orgánica 3/2018 de Protección de Datos, que complementa
cómo llevar a cabo su tratamiento en sistemas específicos, lo que hace que se
realicen nuevas labores de adecuación”. Auditoría Interna deberá tenerlo en
cuenta al realizar la auditoría del cumplimiento normativo relativo a la
protección de datos.
El trabajo de Auditoría Interna
Como ha afirmado el director de Techware Consulting & Training, al
planificar sus trabajos Auditoría Interna deberá considerar todos los cambios
legislativos presentados a lo largo del año y la complejidad de los proyectos
de adecuación, ya que “en muchos casos las empresas -como responsables del
tratamiento de los datos- deben definir y formalizar principios y criterios que
no venían recogidos en el Reglamento”.
El hecho de que, además, la aplicación del RGPD aún no esté
suficientemente madura implica que Auditoría Interna debe garantizar que la
empresa le da el enfoque oportuno a la adecuación con el RGPD, de forma que se
implante un modelo de gestión de la privacidad y se preserve su trabajo.
En el corto plazo, una vez auditado el modelo de gobierno y el sistema
de gestión de privacidad se deberán realizar las auditorías de cada proceso de
tratamiento de datos en base a una clasificación previa de los procesos según
la probabilidad de que se materialice el riesgo de incumplir los
derechos, principios y obligaciones recogidos en el Reglamento.
¿Te ha
gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario