1. Recopilar las distintas legislaciones a la que está sujeta la empresa por su actividad.

2. Recopilar la documentación relevante: Solicitar y revisar la documentación relacionada con la protección de datos de la empresa, como su política de privacidad, aviso de privacidad, contratos con terceros y cualquier otro documento que describa cómo gestionan y protegen los datos personales.

3. Identificar los datos personales que maneja la empresa: Determinar qué tipo de datos personales recopila, almacena y procesa la empresa. Estos datos pueden incluir información de clientes, empleados u otras partes interesadas.

4. Verificar si la empresa tiene un registro de actividades de tratamiento: En el caso del RGPD, las empresas están obligadas a mantener un registro de las actividades de tratamiento de datos personales que realizan. Asegurarse de que la empresa tenga este registro y que esté actualizado.

5. Evaluar las medidas de seguridad implementadas: Revisar las medidas de seguridad técnicas y organizativas que la empresa ha implementado para proteger los datos personales. Esto puede incluir medidas como el cifrado de datos, la realización de copias de seguridad, el acceso restringido a los datos, políticas de contraseñas seguras, entre otros.

6. Revisar los procedimientos de consentimiento: Verificar si la empresa obtiene el consentimiento adecuado de las personas cuyos datos recopila y procesa. Asegurarse de que el consentimiento sea libre, específico, informado e inequívoco, y que se haya obtenido de acuerdo con los requisitos legales.

7. Evaluar las prácticas de transferencia de datos: Si la empresa realiza transferencias internacionales de datos, asegúrate de que se estén llevando a cabo de acuerdo con las restricciones y salvaguardias legales aplicables.

8. Considerar la política de retención de datos: Revisar la política de retención de datos de la empresa y verifica si los datos personales se conservan durante el tiempo necesario y se eliminan de manera adecuada cuando ya no sean necesarios.

9. Identificar si la empresa ha designado un responsable de protección de datos: En el caso del RGPD, algunas organizaciones están obligadas a designar a un responsable de protección de datos (DPO). Verifica si la empresa ha designado a un DPO y si cumple con sus obligaciones.

10. Realizar una evaluación de impacto en la protección de datos: Si la empresa realiza actividades de tratamiento de datos que pueden suponer un alto riesgo para los derechos y libertades de las personas, es posible que deba realizar una evaluación de impacto en la protección de datos (EIPD). Verifica si se han realizado estas evaluaciones cuando corresponda.