“El Data Protection Officer ha hecho un sobreesfuerzo para implantar la adecuación al Reglamento, lo que podría hacerle perder imparcialidad e inhabilitarle en el ejercicio de su función”.
El director de Techware Consulting & Training, Pablo González Melgar, ha analizado en el último Lunes del IAI la aplicación del Reglamento General de Protección de Datos (RGPD), un año después de su entrada en vigor.
El experto ha recordado que uno de los principales factores de éxito para cumplir con la normativa de protección de datos es definir e implantar un Sistema de Gestión de la Privacidad como soporte al Modelo de Gobierno, que esté orientado a los procesos de tratamiento de datos y con un enfoque basado en los riesgos de privacidad.
Sin embargo, según los datos de la encuesta Sabor del Mes del Instituto de Auditores Internos, aún el 61% de las empresas no cuenta con un Sistema completo de Gestión de la Privacidad que pueda garantizar el mantenimiento y mejora continua de la implantación del Reglamento.
En muchas compañías, si bien se ha llevado a cabo la implantación, y por tanto el cumplimiento de los principios, derechos y obligaciones en materia de protección de datos, falta la definición formal de un modelo de gobierno de la privacidad sustentado por un sistema de gestión de privacidad que pueda garantizar el mantenimiento y mejora continua de la implantación del Reglamento.
Un 46% de las empresas lo tienen definido, pero aún están en vías de su implantación, y un 15% aún tiene pendiente definirlo e implantarlo. Este hecho es consecuencia en parte, según González Melgar, “de que hayan confluido a lo largo de este año la adecuación al RGPD y la aparición de la Ley Orgánica 3/2018 de Protección de Datos, que complementa cómo llevar a cabo su tratamiento en sistemas específicos, lo que hace que se realicen nuevas labores de adecuación”. Auditoría Interna deberá tenerlo en cuenta al realizar la auditoría del cumplimiento normativo relativo a la protección de datos.
Según González Melgar, tras un año de adecuación al RGPD también se ha observado la conveniencia de concienciar sobre cultura del riesgo, “porque hemos identificado que el Data Protection Officer (DPO), que tiene que velar por el cumplimiento del reglamento, ha hecho un sobreesfuerzo para implantar las medidas de adecuación al RGPD y, en cierta forma, ha perdido su imparcialidad como elemento de monitorización como Segunda Línea de Defensa que es, lo que podría inhabilitarle en el ejercicio de sus funciones”.
El trabajo de Auditoría Interna
Como ha afirmado el director de Techware Consulting & Training, al planificar sus trabajos Auditoría Interna deberá considerar todos los cambios legislativos presentados a lo largo del año y la complejidad de los proyectos de adecuación, ya que “en muchos casos las empresas -como responsables del tratamiento de los datos- deben definir y formalizar principios y criterios que no venían recogidos en el Reglamento”.
Además, Auditoría Interna deberá orientarse a procesos de tratamiento de datos, y priorizar la protección según la evaluación de la sensibilidad de esos procesos e incluirlos en su plan anual de trabajo.
El hecho de que, además, la aplicación del RGPD aún no esté suficientemente madura implica que Auditoría Interna debe garantizar que la empresa le da el enfoque oportuno a la adecuación con el RGPD, de forma que se implante un modelo de gestión de la privacidad y se preserve su trabajo.
En el corto plazo, una vez auditado el modelo de gobierno y el sistema de gestión de privacidad se deberán realizar las auditorías de cada proceso de tratamiento de datos en base a una clasificación previa de los procesos según la probabilidad de que se materialice el riesgo de incumplir los derechos, principios y obligaciones recogidos en el Reglamento.
Acerca del Instituto de Auditores Internos de España:
El Instituto de Auditores Internos de España es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.500 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
