Tanto en el Reglamento General de Protección de datos Europeo (RGPD) UE 679/2016, como en su transposición a la legislación española (Ley Orgánica 3/2018 de 5 de Diciembre LOPDGDD), se establece que las organizaciones deben llevar a cabo una … Concretamente, en el artículo 32.1.d del RGPD, se define que, ….. las medidas de seguridad implantadas por un responsable o un Encargado de tratamiento de datos, deben incluir, entre otros, d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Ello significa pues que, aunque no se define una periodización de cuando deben llevarse a cabo, en función del estado de la técnica, de los costes de aplicación, de la naturaleza de los datos tratados, sus fines, así como los riesgos de probabilidad y gravedad en caso de vulneración, tal periodicidad deberá ser determinada por el Responsable de seguridad de datos (o el DPD en su caso). Se recomienda que como mínimo una vez al año se lleve a cabo tal proceso de verificación, evaluación y valoración, registrándose documentalmente los resultados y, si proceden, las acciones correctoras de mejora o solución de puntos débiles o incumplimientos reglamentarios identificados.
La disposición de un cheklist de control y la realización del proceso por parte de personas el máximo de independientes del propio proceso, es recomendable.
Desde APTABEL, a través de uno de los equipos multidisciplinarios internos especializados en RGPD-LOPDGDD pueden ofrecer una solución adecuada a este requisito legal, a la vez que un Informe de situación, plan de acciones y certificación de la realización del proceso de verificación, evaluación y valoración de su Sistema de Protección de Datos.