VIII. DOCUMENTACIÓN Y AUDITORÍA Como establece el principio de responsabilidad proactiva en el artículo 24.1 del RGPD, las medidas y garantías de PDpD han de estar documentadas y recoger la información suficiente para permitir, de forma satisfactoria y demostrable, acreditar el cumplimiento del RGPD. Esta documentación ha de permitir la trazabilidad de las decisiones tomadas y de las comprobaciones realizadas siguiendo los principios de minimización antes señalados. Formando parte de la documentación del tratamiento ha de encontrarse la documentación relativa a los componentes estándar, que el responsable tiene la obligación de asegurar que es completa y suficiente22 para justificar la decisión de haber incluido el componente en el tratamiento. En particular, cuando dicho componente estándar corresponda a un servicio desarrollado por un tercero, el responsable ha de garantizar que se describe en la documentación la información necesaria para determinar la correcta aplicación del principio del PDpD en dicho sistema, producto o servicio. En definitiva, el tratamiento ha de ser auditable a lo largo de su ciclo de vida, incluyendo la etapa de retirada de este. La auditoría para determinar la correcta aplicación de la PDpD se integrará dentro de un plan de auditoría de protección de datos y este, a su vez, dentro del plan de auditoría general del tratamiento que podría abarcar objetivos más allá del RGPD. La PDpD forma parte de las condiciones de cumplimiento estricto del RGPD que no está sujeta ni condicionada por el resultado de un análisis de riesgos para los derechos y libertades, como, entre otros, la existencia de una base jurídica que legitime el tratamiento o las obligaciones de información establecidas en los artículos 13 y 14. Por lo tanto, los controles a analizar en el caso de una auditoría que incluya la PDpD no serán seleccionados como consecuencia de un análisis de riesgos para los derechos y libertades. A continuación, se enumeran, de forma enunciativa y no exhaustiva, los controles básicos que deberían ser tomados en consideración para determinar el cumplimiento del tratamiento con relación a la PDpD. Como se ha dicho anteriormente, esta lista de verificaciones debe considerarse circunscrita a una auditoría de PDpD de forma aislada que deberá quedar integrada en el marco global de una auditoría de protección de datos: 1. Comprobar que está disponible en la entidad responsable la documentación necesaria para aplicar PDpD de forma objetiva; en particular, la definición de roles y obligaciones de los miembros de la organización, la política de control de accesos, la política de información y cualquier otra documentación significativa. 2. Comprobar que la entidad tiene implementados procedimientos que garanticen el cumplimiento de las políticas anteriores y que están operativos. 3. Comprobar que está disponible la información básica relativa al tratamiento, en particular, sobre la naturaleza, el ámbito, el contexto y los fines, así como el análisis de proporcionalidad y necesidad. 4. Tener documentado un análisis del tratamiento desde el punto de vista de la PDpD. a. Comprobar que el análisis de tratamiento se ha descompuesto en fases e identificar para cada fase las operaciones, la implementación organizativa y técnica, los datos personales y los intervinientes internos y externos
22
La información comercial o la contenida en las acciones publicitarias no puede considerarse información completa y suficiente.
Página: 24 de 39
