Blog

RGPD

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

Según el RGPD, no se detalla explícitamente en ninguno de los artículos la obligación de realizar una auditoría para su cumplimiento. Simplemente establece que las empresas tienen que cumplir de forma permanente y tienen que estar constantemente actualizadas.

Por otra parte, el RLOPD (Reglamento de la Ley Orgánica de Protección de Datos) que será aprobado por las Cortes Generales a finales de año en un principio, prevé que las empresas con un alto número de trabajadores y/o centros de trabajo y/o que traten datos catalogados como “sensibles” a la propia ley, tienen que llevar a cabo un proceso de auditoría de forma bianual y con carácter obligatorio.

¿Que se considera datos sensibles para saber si tengo que hacer auditorías bianuales?

Los datos sensibles son aquellos que debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, necesitan una mayor protección que el resto de datos personales. Actualmente, la categoría de datos considerados sensibles quedaría de la siguiente forma:
  • Opiniones políticas
  • Afiliación sindical
  • Convicciones religiosas
  • Convicciones filosóficas
  • Origen racial o étnico
  • Datos relativos a la salud
  • Vida sexual
  • Datos genéticos
  • Datos biométricos
  • Orientación sexual

Listado de empresas que por el tipo de tratamiento requieren medidas de seguridad de nivel medio o alto y, por tanto, requieren de auditoría.

Empresas que su actividad principal coincida con alguna de las siguientes:

  • Marketing digital
  • Comercio electrónico
  • Centros educativos o academias
  • Centros sanitarios (fisioterapia, ópticas, clínicas dentales, clínicas médicas, de cualquier tipo que impliquen un mantenimiento de historia clínica o informes médicos de pacientes).
  • Psicólogos
  • Colegios profesionales

Para empresas que tengan o bien más de 100 trabajadores o más de un centro de trabajo, es recomendable que hagan auditoría.

Los Privacy Impact Assessment (Evaluaciones de impacto)

Según la Agencia Española de Protección de Datos, los PIA son el “ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados, con el fin de afrontar la gestión eficaz de medidas necesarias para eliminarlos o mitigarlos”.

¿Cuándo debe realizarse?

No siempre es necesaria la realización de una Evaluación de Impacto, no obstante es recomendable analizar los posibles riesgos de la empresa tal y como comentábamos anteriormente.

La nueva regulación europea tasa que es obligatoria cuando se dé alguna de las siguientes características:

  1. Alto riesgo
  2. Evaluación sistemática
  3. Tratamiento a gran escala de datos especialmente protegidos
  4. Uso de tecnologías invasivas. Serían tecnologías invasivas con la privacidad, por ejemplo:
    • Videovigilancia a gran escala
    • Aeronaves no tripuladas (drones)
    • Vigilancia electrónica
    • Minería de datos
    • Biometría
    • Técnicas genéticas
    • Geolocalización

¿Qué empresas están obligadas a realizar un PIA? Algunas de las entidades que tienen que realizar una evaluación de impacto son:

  • Farmacéuticas
  • Hospitales y clínicas
  • Seguridad privada, vigilancia y control
  • Comercializadoras de energía
  • Empresas que realicen e-commerce
  • Colegios

Pridatect, además del software de adecuación, ofrece el servicio de auditoria para garantizar el cumplimiento total del reglamento de forma sencilla y eficiente. Contáctanos para saber más información.

Aviso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar su configuración u obtener más información aquí.