El nuevo Reglamento Europeo de Protección de Datos, la ISO 27001 y la necesidad de formar auditores internos en la materia
El nuevo Reglamento Europeo de Protección de Datos, la ISO 27001 y la necesidad de formar auditores internos en la materia
El nuevo Reglamento Europeo de Protección de Datos, aprobado en abril de 2016 y aplicable a partir de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa y evitar así sanciones que podrían llegar a los 20 millones de euros.
Las empresas deben adoptar medidas que aseguren con certeza que se encuentran en condiciones de cumplir los principios, derechos y garantías que exige el Reglamento. Una de las principales novedades de esta normativa es la Responsabilidad activa de la empresa por la que se considera que, si se actúa después de haberse producido la infracción, puede causar importantes perjuicios para los afectados, difíciles de reparar. Entre las obligaciones que impone el Reglamento está la de elaborar una evaluación de impacto cuando las actividades de tratamiento de datos impliquen un riesgo específico para los afectados por su naturaleza, alcance y fines (coincidente con la evaluación de riesgos ISO 27001).
El hecho de que la nueva normativa se haya construido desde la máxima de la prevención, y no de la reparación de daños cuando se ha cometido la infracción, hace que el auditor interno tenga un papel esencial a la hora de trabajar e implantar medidas de seguridad y mecanismos de verificación, y de probar ante una posible inspección que, efectivamente, la empresa está adaptada al Reglamento.
A pesar de que no todos los requisitos del Reglamento quedan cubiertos de forma directa por la norma ISO 27001, existen diversos aspectos en los que la norma puede ayudar a las organizaciones a conseguir el cumplimiento de dicho reglamento (evaluación de riesgos, cumplimiento, notificaciones, gestión de activos, relaciones con proveedores, etc.).