Supervisión de cumplimiento

Descripción y objetivo

El objetivo de este elemento es el de establecer los mecanismos de evaluación por parte de los Responsables de Tratamiento (RT), para dar cumplimiento a los procesos de verificación establecidos en la normativa de protección de datos, y demostrar su responsabilidad proactiva en la protección de los tratamientos.

Buena práctica

Las buenas prácticas en este elemento deberían ir claramente orientadas a diseñar e implantar un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas, así como a demostrar los principios de responsabilidad proactiva del RT en sus funciones de velar por el cumplimiento de la normativa de protección de datos. Para ello, se debería tener en cuenta los siguientes requisitos:

  • Definir los mecanismos válidos para realizar los procesos de verificación y cumplimiento.
  • Documentar los procesos y recursos asociados a dichos mecanismos, y que se pongan a disposición de los RT a través de la normativa interna y las herramientas de cumplimiento.
  • Definir las periodicidades de los procesos de verificación y cumplimiento, atendiendo a criterios validados por el RT y los órganos de gobierno.
  • Definir los criterios de revisión y almacenamiento de evidencias, para aquellos mecanismos que lo requieran.

Ejemplos de implantación

Como ejemplo de implementación de esta buena práctica, se podrían definir los siguientes procesos de supervisión del cumplimiento:

  • Autoevaluación: Proceso rápido e informal, a través del cual desde el Servicio centralizado se elaboraría un cuestionario de diagnóstico compuesto por preguntas relacionadas con el cumplimiento de las medidas establecidas en la Normativa Interna, junto con la ayuda y referencias necesarias para completarlo. Este cuestionario se enviaría a los RT a través de la Herramienta de Cumplimiento, los cuales se encargarían de responder a cada pregunta. En función de las respuestas, se les mostraría su estado de cumplimiento y las principales carencias que deberían solucionar. Desde el Servicio centralizado se fijarían unos umbrales de cumplimiento mínimo y, en caso de no superarse, se realizaría un seguimiento posterior para proporcionar soporte a la implantación de las medidas necesarias para alcanzar esos mínimos.
  • Verificación con evidencias: Proceso rápido y semiformal, a través del cual desde el Servicio centralizado se lanzaría un proceso similar al de Autoevaluación pero, a diferencia de este, para un conjunto determinado de preguntas
    se requeriría la aportación de evidencias por parte del RT que avalen su respuesta. En este caso, una vez completado el cuestionario, desde Soporte Especializado del Servicio centralizado se analizarían las evidencias aportadas, dictaminando sobre su conformidad o no, en base a criterios preestablecidos.
  • Auditoría externa: Proceso lento
    y formal, a través del cual un auditor externo al RT evaluaría el cumplimiento de la normativa de protección de datos, a través de procesos reglados y la aportación de evidencias. Desde el Servicio centralizado se podría llevar a cabo un proceso de negociación y homologación de proveedores de auditoría, para homogeneizar el proceso y estandarizar el catálogo tasado de servicios de auditoría.

Guías, herramientas, enlaces, documentación

  • ISO/IEC 19011: 2018 - Directrices para la auditoría de los sistemas de gestión

    Visitar web

  • Verificación cumplimiento medidas del ENS (CCN)

    Descargar archivo

  • Guía de Requisitos de Auditoría de Tratamientos que incluyan Inteligencia Artificial (AEPD)

    Visitar web

  • COBIT (ISACA)

    Visitar web