Como garantizar un buen seguimiento, actualización y revisión de lo realizado
Auditorias e Informes de Estado de Cumplimiento
La auditoría y/o informe de cumplimiento normativo se lleva de acuerdo con un procedimiento desarrollado por “Quality Legal Service” establecido a través de:
- Entrevista con el Responsable Interno de Cumplimiento Normativo
- Entrevista o requerimiento con el CISO (Responsable de Seguridad Informático) de la empresa (a) medidas de seguridad (b) acciones asociadas a test de penetración
- Estudio de contratos de encargado de tratamiento y servicios de estos proveedores estratégicos a nivel de cumplimiento normativo
- Cuestionarios para usuarios/empleados con accesos lógicos
El informe contará con conclusiones, salvedades (si se dan) y recomendaciones para mejorar el cumplimiento normativo de la empresa (responsable de datos).
Este tipo de informes se contemplan como medida de carácter activo, y para dar alcance a lo establecido en el art 32 de RGPD 2016/679 “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros … d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
Soporte de Consultoría
El soporte de consultoría se deberá ajustar a las necesidades reales de la empresa. El alcance, con carácter general del servicio, a título enunciativo y no limitativo, será:
- Elaborar o supervisar contratos de encargado de tratamiento con proveedores. En especial aquellos estratégicos
- Revisar y actualizar textos del sitio web (ante cambios del sitio web o del desarrollo normativo): Aviso legal, Política de Privacidad, Política de Cookies, Condiciones de Contratación o Condiciones de Uso
- Dar soporte al Responsable de cumplimiento interno ante requerimientos de la Agencia Española de Protección de Datos (AEPD)
- Elaborar alegaciones ante procedimientos administrativos incoados por la Autoridad competente
- Atender ejercicios de derechos realizados por titulares de datos o por su representante legal.