Cómo Realizar una Auditoría RGPD de tu Empresa en Un Día

Una auditoría RGPD formal realizada por un especialista externo es una inversión valiosa para muchas empresas — pero no es la única forma de entender tu posición de cumplimiento. Una autoevaluación estructurada, realizada de forma honesta y sistemática, revelará la mayoría de las brechas significativas y te dará una lista de acciones clara.

Esta guía te lleva a través de una autoauditoría RGPD de un día. Reserva un día completo de trabajo, avanza por las secciones en orden y documenta tus respuestas.

Antes de empezar: reúne lo que necesitas

Bloquea el día en tu calendario. Recopila lo siguiente:

• Tu aviso de privacidad actual (de tu sitio web)
• Los Acuerdos de Encargado del Tratamiento con proveedores de software
• Tu política de retención de datos actual (si existe)
• Los últimos 12 meses de solicitudes de interesados y cómo se gestionaron
• Tu registro de brechas (si existe)
• Registros de formación del personal en protección de datos

Si alguno de estos no existe, anótalo. Su ausencia es en sí misma un hallazgo.

Mañana (9h–12h): El panorama de los datos

9:00 — Registro de Actividades de Tratamiento

Revisa cada categoría de datos personales que maneja tu empresa. Para cada una, responde:

• ¿Qué datos recopilamos?
• ¿Por qué los recopilamos? (la finalidad)
• ¿Cuál es nuestra base jurídica?
• ¿Dónde se almacenan?
• ¿Quién tiene acceso?
• ¿Cuánto tiempo los conservamos?
• ¿Con quién los compartimos?

Puntuación: Rojo si no puedes responder estas preguntas. Ámbar si tienes respuestas aproximadas pero no documentadas. Verde si tienes respuestas documentadas y actuales.

10:30 — Evaluación de Base Jurídica

Para cada actividad de tratamiento, ¿es la base jurídica correcta y está documentada?

Vigila estos errores comunes:

• Usar consentimiento donde se aplica una base más apropiada
• Citar intereses legítimos sin una prueba de equilibrio documentada
• Tratar datos de categorías especiales sin una condición adicional del Artículo 9

11:00 — Revisión del Aviso de Privacidad

Lee tu aviso de privacidad como si nunca lo hubieras visto. Comprueba:

• ¿Describe con precisión todas las actividades de tratamiento?
• ¿Nombra a todos los encargados y terceros?
• ¿Explica la base jurídica para cada categoría?
• ¿Explica los períodos de retención?
• ¿Explica cómo los individuos pueden ejercer sus derechos?
• ¿Está escrito en un lenguaje que un no-abogado pueda entender?
• ¿Está actualizado?

11:30 — Registro de Encargados

Lista cada empresa que trata datos personales en tu nombre. Para cada una:

• ¿Hay un Acuerdo de Encargado firmado?
• ¿Está el AET vigente?
• ¿Incluye las cláusulas obligatorias del Artículo 28 del RGPD?

Hora del almuerzo: Puntúa y prioriza

Revisa los hallazgos Rojos de la mañana. Estas son tus brechas más prioritarias. Clasifícalas por:

1. Riesgo regulatorio: las brechas de consentimiento, base jurídica y acuerdos con encargados atraen las multas más altas
2. Riesgo operativo: las brechas que impedirían responder a una brecha o solicitud de datos crean exposición inmediata
3. Volumen: las brechas que afectan a muchos individuos tienen más peso

Escribe tus cinco acciones urgentes principales.

Tarde (13h–17h): Los controles operativos

13:00 — Proceso de Derechos de los Interesados

Prueba tu proceso. Pregúntate: si un cliente nos enviara un correo hoy solicitando todos los datos que tenemos sobre él, ¿qué ocurriría?

• ¿Existe un canal designado para estas solicitudes?
• ¿Existe un proceso documentado?
• ¿Quién es responsable de responder?
• ¿Podemos localizar todos los datos de un individuo en todos nuestros sistemas?
• ¿Podemos eliminar datos de todos los sistemas ante una solicitud de supresión?

14:00 — Respuesta a Brechas

Si mañana descubriéramos que se accedió a datos personales sin autorización, ¿qué haríamos?

• ¿Tenemos un procedimiento escrito de respuesta a brechas?
• ¿Sabe cada empleado cómo notificar una posible brecha?
• ¿Hay una persona nombrada responsable de las decisiones de evaluación?
• ¿Tenemos un registro de brechas?

14:30 — Retención de Datos

Extrae una muestra de tus datos — registros de clientes de hace dos años, registros de ex-empleados, listas de prospectos inactivos.

• ¿Debería seguir conservándose estos datos?
• ¿Existe un período de retención definido para cada categoría?
• ¿Se está aplicando la retención de forma automática o manual?

15:00 — Controles de Acceso

• ¿Está el acceso a datos personales limitado a quienes lo necesitan?
• ¿Se han dado de baja las cuentas de ex-empleados?
• ¿Se aplica la autenticación multifactor en los sistemas con datos personales?

15:30 — Formación

• ¿Han recibido todos los empleados que manejan datos personales formación RGPD en los últimos 12 meses?
• ¿Se mantienen registros individuales de finalización?

16:00 — Transferencias internacionales

Si usas software que transfiere datos personales fuera de la UE/EEE:

• ¿Existe un mecanismo legal para cada transferencia?
• ¿Se ha realizado una Evaluación de Impacto de Transferencia para transferencias a EE.UU.?

Final del día: El resultado de la auditoría

Para las 17h debes tener:

1. Una evaluación Rojo/Ámbar/Verde en todas las secciones
2. Una lista priorizada de las brechas más urgentes
3. Una comprensión de si las brechas son sistémicas (el programa no existe) u operativas (el programa existe pero tiene fallos)

Las brechas sistémicas — sin registro de actividades, sin procedimiento de brechas, sin AETs con encargados — deben abordarse primero. Las brechas operativas suelen ser más rápidas de abordar.

Qué hacer con los resultados

El resultado de la auditoría es una lista de acciones, no un informe para archivar. Asigna un responsable y un plazo a cada hallazgo Rojo. La empresa que realiza esta auditoría y actúa sobre los resultados está sustancialmente mejor posicionada que una que nunca la realiza.