El nuevo marco regulador del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ha reforzado el concepto de diligencia debida a través del principio de responsabilidad proactiva o accountability consistente en poder demostrar en todo momento que el tratamiento realizado es conforme con dicho Reglamento. Adicionalmente, en lo que respecta a la seguridad del tratamiento, establece la necesaria implantación de un proceso de verificación, evaluación y valoración regular de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

La respuesta de SIA al nuevo contexto

Atendiendo a este nuevo contexto y para afrontar el proceso de auditoría al Reglamento (UE) 2016/679 y a la Ley 3/2018 de 5 de Diciembre con plenas garantías de éxito, proponemos una solución denominada Auditoría al Reglamento (UE) 2016/679 que permite verificar, evaluar y valorar las medidas exigidas por el GDPR.

Esta solución se sustenta en tres pilares fundamentales:

• Metodología alineada con estándares internacionales y directrices emanadas de organismos de referencia, tales como la Agencia Española de Protección de Datos o el Centro Criptológico Nacional y madurada a partir de las sinergias obtenidas de los numerosos proyectos / servicios realizados en materia de privacidad y protección de datos de carácter personal.

• Conocimiento multidisciplinar. Abogados, consultores y auditores tecnológicos con importante reputación en la seguridad de la información, con certificaciones independientes de seguridad, auditoría y diversas tecnologías (CISA, CISM, CISSP, C|CISO, CDPP, CPC/DPO sobre la base del Esquema de la AEPD).

•Nuestra amplia experiencia en proyectos de adecuación y auditoría en materia de protección de datos en los últimos años nos ha permitido formalizar una metodología de trabajo propia que permite alcanzar los objetivos marcados.

Auditoría al Reglamento Europeo (UE) 2016/679 y LO 3/2018 de 5 de Diciembre

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio BParque Oeste Alcorcón28922 Alcorcón - MadridTel.: +34 902 480 580Fax: +34 913 077 980

San Andrés, 143, bajo15003 A CoruñaTel.: +34 902 480 580

Objetivos

El objetivo principal es la prestación de servicios especializados en la revisión de la normativa vigente sobre protección de datos de carácter personal. En particular, la verificación de las medidas y controles definidos en la organización para el cumplimiento del Reglamento Europeo de Protección de Datos y resto de normativa de desarrollo identificará sus deficiencias proponiendo las medidas correctoras o complementarias necesarias. Todo ello, evaluando los controles puestos en marcha en la organización para responder al riesgo y teniendo en cuenta el trío Personas, Procesos y Tecnología.

En concreto, nuestra solución pretende:

• Velar por que la organización se ajuste a las obligaciones y requerimientos dispuestos por el Reglamento UE 2016/679 y la Ley Orgánica 3/218 de 5 de Diciembre, de Protección de Datos Personales y Garantía de Derechos.

• Verificar el cumplimiento de las medidas de índole técnico, jurídico y organizativo exigible por la normativa sobre protección de datos.

• Contrastar el marco organizativo, operacional y de protección implantado en la organización.

• Ejecutar una auditoría sobre los tratamientos de datos de carácter personal.

Centro empresarial City ParcEdificio Atenas, Planta 1ªCtra. Hospitalet 14708940 Cornellá de Llobregat - BarcelonaTel.: +34 93 467 58 88 Fax: +34 93 467 58 30

La solución, paso a paso

La Auditoría al Reglamento (UE) 2016/679 se basa en el siguiente planteamiento metodológico:

Fase 1. Análisis Inicial.

Cuenta con un doble propósito:

• Analizar los sistemas de información e instalaciones que soportan el tratamiento de los datos de carácter personal incluidos en la auditoría, así como el marco normativo de seguridad existente. Se trata de identificar posibles incumplimientos o aspectos susceptibles de mejora en los ámbitos técnico, jurídico y organizativo.

• Analizar el flujo y las características de la información de carácter personal incluidos en la auditoría, así como los formularios, contratos y procedimientos relativos a la misma. El fin es identificar posibles incumplimientos o aspectos susceptibles de mejora en los ámbitos jurídico y organizativo.

A partir de la información facilitada por los diferentes interlocutores, del contenido de la revisión de las instalaciones físicas de tratamiento y almacenamiento, así como del análisis de la documentación y evidencias aportadas u obtenidas, los auditores del equipo técnico y legal elaborarán los correspondientes informes (técnicos y jurídicos) que muestren el nivel de cumplimiento.

Fase 2. Plan de recomendaciones.

Los auditores del equipo técnico y legal confeccionarán un plan de recomendaciones que permitirá a la organización planificar y llevar el seguimiento de cada una de las acciones o proyectos asociados a los incumplimientos o no conformidades detectados, para conseguir la adecuación de los sistemas de información e instalaciones de tratamiento y almacenamiento a los requisitos marcados por la normativa sobre protección de datos.

Fase 3. Informe final de auditoría.

El equipo auditor procederá a ejecutar las oportunas modificaciones sobre el informe preliminar de auditoría, el cual quedará elevado a la categoría de informe final o definitivo.

Servicios relacionados

AdecuaciónLOPD

ConcienciaciónPrivacidad

AuditoríaRegl. LOPD

Herramienta

Adecuación Regl. Europeo

Análisis deImpacto a laPrivacidad (PIA)

Data Privacy Officer (DPO)

Supervisión Encargados del Tratamiento

SATEL® Actuaciones y procesos AEPD

servicios asociados a la pdcp

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio BParque Oeste Alcorcón28922 Alcorcón - MadridTel.: +34 902 480 580Fax: +34 913 077 980

Auditoría

Fase 1 - Análisis inicial Fase 2 - Recomendaciones Fase 3 - Auditoría