Checklist de cumplimiento RGPD

En esta ocasión comparto un checklist con algunos controles para verificar el cumplimiento RGPD dentro de una empresa.

La aplicación del RGPD, hace poco más de tres años, supuso, no solo un cambio normativo importante y una nueva filosofía en la gestión de los datos personales, sino también para los consultores, un cambio importante en la metodología de trabajo.

De una norma (LOPD 15/1999) que detallaba los procesos de gestión de forma bastante concreta, pasamos a una norma que deja bastantes cosas indefinidas y a consideración del Responsable del Tratamiento o de los consultores.

Esta falta de definición en algunos conceptos, provoca que por ejemplo, no quede claramente definidos los controles a observar en una auditoria RGPD. El mismo concepto de auditoría, que viene reflejado en cuatro ocasiones en el texto normativo, queda siempre mencionado de forma muy vaga. En concreto:

  • En el artículo 28.h, relativo al Encargado de Tratamiento: “h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
  • En el artículo 39.b, relativo a las funciones del Delegado de Protección de Datos: b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • En el artículo 47.j, relativo a las normas corporativas vinculantes: j) los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. (…)
  • Finalmente en el artículo 58.b, al detallar los poderes de las Autoridades de Control: b) llevar a cabo investigaciones en forma de auditorías de protección de datos;

En ningún otro apartado del texto normativo se hace referencia a estas auditorías, ni se detalla como deben ser las mismas. A pesar de todo esto, la propia AEPD, publicó en 2019 un listado de cumplimiento normativo, que detallaba que controles se deberían verificar a la hora de realizar una auditoría RGPD.

Además de todo esto, los consultores hemos desarrollados nuestros propios procedimientos de verificación, mediante checklist u otras herramientas, que nos permiten comprobar el cumplimiento del RGPD dentro de una organización.

Mi checklist RGPD personal

Quiero compartir con vosotros mi propio checklist de verificación RGPD, desarrollado en base a mi experiencia y que vengo usando con mis clientes.

Me gustaría hacer hincapié en que es un listado de controles muy personal, que me sirven a mí como consultor para tener una foto del escenario de mi cliente. Para cualquier otro profesional no tiene porqué ser válido o simplemente puede tener una valoración diferente de la importancia de algunos de los controles o los trabaja en un orden diferente.

Visto esto, vamos a dar un vistazo al checklist RGPD:

ÁREA DE TRABAJO: Gestión de la privacidad

DESCRIPCIÓN: Todos aquellos aspectos “burocráticos” dentro de la estructura, que están relacionados con el cumplimiento del RGPD.

CONTROLES:

  • Existencia de una política de privacidad adecuada
  • Existencia de roles y responsables de diversos aspectos relacionados con la privacidad
  • Existencia de normas internas sobre privacidad y seguridad
  • Si es necesario, nombramiento y comunicación a la AEPD del DPD
  • Auditorías LOPD/RGPD anteriores
  • Si corresponde, normas corporativas vinculantes

ÁREA DE TRABAJO: Legalidad de los tratamientos

DESCRIPCIÓN: Aspectos relacionados con la base jurídica que soporta el tratamiento.

CONTROLES:

  • Comprobación de las bases jurídicas del tratamiento
  • Comprobación de la existencia de los consentimientos necesarios
  • Cláusulas informativas en contratos, entornos online y comunicaciones
  • Si corresponde, comprobación de consultas a Listas Robinson

ÁREA DE TRABAJO: Gestión de derechos

DESCRIPCIÓN: Todos aquellos aspectos y procedimientos definidos para la gestión de los derechos de los usuarios.

CONTROLES:

  • Información sobre los diferentes derechos a los usuarios en los diversos entornos, online y offline
  • Procedimientos de derecho
  • Pruebas y controles del ejercicio de derechos
  • Existencia o no de un canal centralizado de ejercicio de derechos
  • Verificación de personas responsables

ÁREA DE TRABAJO: Registro de Actividades de Tratamiento (RAT)

DESCRIPCIÓN: Existencia y justificación del RAT

CONTROLES:

  • Existencia del RAT
  • Inclusión, si corresponde, de nuevos tratamientos de datos
  • Actualización, si corresponde, de los tratamientos de datos existentes
  • Verificación de las bases jurídicas
  • Revisión de las finalidades de cada uno de los RAT
  • Entornos, procedimientos y aplicaciones que soportan cada RAT
  • Comprobación de los plazos de conservación de los tratamientos

ÁREA DE TRABAJO: Encargados de tratamiento

DESCRIPCIÓN: Procesos relacionados con la gestión de los encargados de tratamiento con acceso a datos

CONTROLES:

  • Revisión y actualización del listado de encargados de tratamiento
  • Revisión del procedimiento de idoneidad como encargado de tratamiento
  • Revisión y actualización, si corresponde, de los contratos de encargo de tratamiento

ÁREA DE TRABAJO: Corresponsabilidad en el tratamiento

DESCRIPCIÓN: Procesos destinados a validar la corresponsabilidad de un tratamiento de datos

CONTROLES:

  • Revisión de los acuerdos de corresponsabilidad
  • Revisión de los trabajos coordinados entre los responsables
  • Información destinada al usuario sobre el acuerdo suscrito

ÁREA DE TRABAJO: Transferencias internacionales de datos

DESCRIPCIÓN: Revisión de los procesos de transmisión de información a terceros países fuera de la UE.

CONTROLES:

  • Revisión y actualización de destinos para la transferencia de datos
  • Revisión de las garantías existentes en cada país destino
  • Si existen, revisión de consultas a la AEPD

ÁREA DE TRABAJO: Cumplimiento

DESCRIPCIÓN: Medidas destinadas a garantizar el cumplimiento normativo dentro de la estructura.

CONTROLES:

  • Formación y acreditación de dicha formación al personal
  • Documentos y/o planes de concienciación al personal
  • Existencia de planes de revisión de cumplimiento periódicos
  • Controles y KPI’s destinados a verificar el cumplimiento

ÁREA DE TRABAJO: Delegado de Protección de Datos

DESCRIPCIÓN: Procedimientos relacionados con la gestión de la figura dentro de la empresa.

CONTROLES:

  • Justificación de la existencia de la figura del DPD
  • Nombramiento y comunicación a la AEPD
  • Análisis y definición de las funciones

ÁREA DE TRABAJO: Privacidad por defecto y desde el diseño

DESCRIPCIÓN: Procesos de verificación de las políticas de privacidad por defecto y desde el diseño

CONTROLES:

  • Procedimientos y políticas de minimización de datos
  • Procedimientos y políticas de conservación de datos
  • Justificaciones para la implantación o no de la privacidad por defecto o desde el diseño

ÁREA DE TRABAJO: Medidas de seguridad

DESCRIPCIÓN: Medidas y procedimientos implantados para asegurar la información y el cumplimento normativo.

CONTROLES:

  • Existencia de una relación de medidas de seguridad
  • Roles y perfiles implicados en su aplicación
  • Existencia de Evaluaciones de Impacto o Análisis de Riesgos, cuando corresponda

ÁREA DE TRABAJO: Notificación de brechas de seguridad

DESCRIPCIÓN: Verificación de la existencia de procedimientos para la comunicación de brechas de seguridad y violaciones de datos ante la AEPD.

CONTROLES:

  • Procedimiento de verificación y comunicación de brechas
  • Revisión de las comunicaciones de brechas existentes, si corresponde
  • Procedimientos para restauración del estado de los datos tras el incidente

ÁREA DE TRABAJO: Evaluación de impacto y análisis de riesgos

DESCRIPCIÓN: Existencia y justificación del RAT

CONTROLES:

  • Existencia de evaluaciones de impacto y análisis de riesgo, según corresponda
  • Existencia de comunicaciones a la AEPD, sobre la necesidad de una evaluación de impacto
  • Metodologías utilizadas
  • Evaluación de las medidas implantadas tras la evaluación de impacto o el análisis de riesgos

Como comentaba al principio, este es un resumen del checklist de verificación que utilizo en las auditorías RGPD de mis clientes. Obviamente es solo una guía porque en cada empresa y cada sector, los controles pueden ser diferentes, pero si que da una idea general de que items hemos de comprobar en la realización de una auditoría RGPD.

Repito, es un checklist personal, fruto de mi propia experiencia y que me sirve para tener una fotografía del estado de una estructura respecto al RGPD. Por tanto, no tiene porqué ser válido para otros profesionales.

Mi intención era simplemente mostrar una guía de que aspecto considero importantes a la hora de cumplir con la norma.

Cualquier comentario o añadido, será bienvenido.

Créditos de la imagen: Photo by Ralf Appelt on Foter.com

guest
0 Comentarios
Inline Feedbacks
View all comments