Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Manuel Benet


Consultor de seguridad en S2 Grupo

La “seriedad” de las auditorías del RDLOPD


Hace unas semanas aparecía en prensa la noticia de que el Ministerio de Economía y Hacienda había sancionado por falta grave a Gassó, la auditora que se encargó de supervisar las cuentas de la constructora Astroc en 2006, cuando salió a bolsa, al haber aprobado las mismas sin poner ninguna salvedad, cuando posteriormente PwC detectó irregularidades. Esto supuso una multa de aproximadamente 200.000 € para la auditora, y de 8.000 € para el auditor que firmó el trabajo.

No me cabe ninguna duda de que una auditoría del Reglamento de la LOPD tiene en general una relevancia menor que una auditoría financiera, por la relevancia e impacto que esta última tiene sobre los inversores y el desarrollo económico de la organización, pero no por ello deja de ser menos cierto que a la auditoría del RDLOPD no se le concede en mi opinión la importancia que se debería. Y en esto tiene culpa tanto el cliente, para quien la auditoría es en ocasiones poco más que un molesto trámite a cuyo resultado no le va a prestar la más mínima atención, como las empresas auditoras, que en muchos casos simplemente buscan cubrir el expediente y facturar los servicios; si bien es cierto que en nuestro equipo de consultoría tendemos a valorar en la auditoría aspectos que van más allá de lo que marca el RDLOPD, por tratarse de un reglamento de mínimos, he tenido acceso a informes de auditoría presumo que nada baratos que rozaban lo vergonzoso (en realidad, algunos lo eran). En una situación adecuada, la auditora propone iniciativas a cumplir, y el cliente implanta, dentro de sus análisis coste/riesgo y sus posibilidades económicas aquellas que considere oportunas, pero esto sólo se da en ocasiones.

Dicho esto, ¿qué razones hay para considerar algo “serio” una auditoría del RDLOPD?

La primera de todas, es que es un requisito legal/reglamentario para datos de nivel medio y alto (art. 96 y 110 del RDLOPD, respectivamente). No se trata de un capricho de las consultoras/auditoras, que nos gusta importunar a nuestros clientes con reuniones, informes, preguntas y demás parafernalia implicada. Si hay que molestar, pues se molesta, pero molestar para nada, como que no.

Sigamos con las razones económicas. Espero no decir una barbaridad al afirmar que una auditoría financiera viene a tomar el pulso a la “salud económica” de una entidad, de cara a los accionistas, inversiones, solicitud de subvenciones, préstamos bancarios, etc. Por su parte, lo que la auditoría del RDLOPD analiza es la “salud” de los tratamientos de datos de carácter personal, con el objetivo de detectar incumplimientos y evitar sanciones de la Agencia Española de Protección de Datos que puedan derivarse de éstos. Aunque la agencia ha reducido significativamente el importe de las multas, conocedora de las implicaciones que sus actuaciones pueden tener para una organización de tamaño pequeño o mediano, una sanción de 600.000 € (o incluso de más, si hay varios incumplimientos) es algo a tener en cuenta por el impacto económico tanto directo como indirecto (léase reputacional), ya sea para una empresa del IBEX35, empresas cotizadas más pequeñas, o simplemente, cooperativas. Dicho de otra forma, de la misma forma que el mercado obliga a ciertas empresas a publicar sus análisis de “salud financiera” y exponer así su “riesgo financiero”, el accionista de una empresa, un cooperativista o cualquier persona que aporta capital a una organización (incluso las entidades financieras) debería saber el riesgo que la organización de la que participan tiene de sufrir una sanción de la AEPD.

Por supuesto, una auditoría de la RDLOPD no tiene como fin solucionar los incumplimientos que detecta, ya que eso es tarea de la organización, pero sí ofrece una visión del grado de cumplimiento de la organización, y debe proponer iniciativas, proyectos y soluciones de aquellas no conformidades detectadas, de cara a mejorar el grado de adecuación, y de nuevo, reducir el riesgo.

Por último, vamos con las razones “éticas”, si las quieren llamar así. No debemos olvidar que la ley de protección de datos tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar (LOPD, Art. 1). La LOPD, más allá de una ley de obligado cumplimiento o un foco de riesgo económico y reputacional (que como les decía antes, viene a ser lo mismo), vela por un derecho de cualquier persona, y eso es algo que las organizaciones, y cualquier persona que trabaja con datos de carácter personal debería tener siempre muy en cuenta; la auditoría del RDLOPD simplemente cuida de que estos derechos se estén aplicando de la manera correcta. Esta razón debería ser en realidad la primera de la lista, aunque la he puesto aquí para que no me tildasen ustedes de idealista.

Llegados a este punto, tenemos tres razones de peso para que una auditoría de la RDLOPD deba considerarse algo “serio”: requisito legal, riesgo económico y obligación ética o moral. Sin embargo, insisto en que la auditoría del RDLOPD sigue siendo algo a lo que se le da escasa importancia, tanto para muchos clientes como para algunas consultoras (entre las que, cabe destacar, y como no podría ser de otra manera, nos estamos incluidos). Para los clientes, o responsables de los datos, está el cuerpo de inspectores de la AEPD y su capacidad sancionadora. Pero, ¿y para las consultoras? ¿Qué implicaciones tiene para una de estas empresas realizar de manera poco profesional, intencionadamente o por simple incompetencia, una auditoría del RDLOPD? ¿Qué pasa cuando una auditora entrega un informe (que en ocasiones no puede ni llamarse así) afirmando que todo está correcto, cuando en realidad existen problemas serios en la gestión de datos personales de la organización?

Básicamente, no pasa nada. Por un lado, porque aunque el cliente pueda ser el primero que prefiere que no le agobien con cambios de aplicaciones, declaración de ficheros, documentos de seguridad, y registros de acceso, tampoco es un experto en el tema; para eso ha contratado a la consultora, y si ésta dice que todo está correcto, pues es de suponer que será cierto, porque ellos son los que saben de esto. Segunda, porque a dicho informe no se le da demasiada importancia, más que en casos muy concretos, a diferencia de un informe de auditoría financiera. Tercera, porque más allá de las acciones legales que una organización pudiera emprender contra la auditora que ha realizado la auditoría del reglamento, no existe ninguna repercusión legal para ésta. Cuarta, que a menudo el responsable interno de la auditoría presiona para que se “maquillen” determinados aspectos encontrados, o al menos que no se encuentren visibles en el informe ejecutivo para dirección. Y quinto, que de la poca importancia que les comentaba antes, se deriva que exista un mercadeo en el que se audita el reglamento por “cuatro duros”, y que provoca que por tanto el trabajo realizado sea conforme a ese importe.

Aquí es donde vuelvo al párrafo inicial con el que comenzaba esta entrada: las sanciones económicas para las consultoras, pero en este caso para las que nos dedicamos a la protección de datos. Sería tan sencillo como hacer que la sanción fuese compartida en un determinado porcentaje entre la organización y la consultora (asusta, ¿eh?), con lo que se incrementaría automáticamente la importancia de la auditoría del reglamento y la protección de datos, y se garantizaría un mínimo de calidad en los informes entregados; el cliente podría hacer la vista gorda si quisiese, pero la auditora no. En ciertos casos, y estoy ya divagando, podrían incluso valorarse penalizaciones temporales o permanentes de inhabilitación para auditoras y auditores.

Por supuesto, la consultora debería poder garantizar que la sanción corresponde a un incumplimiento del que se informó en la auditoría, que el auditor solicitó pero no tuvo acceso a la información de la que se deriva la sanción (bien porque se le ha negado, bien porque no se le ha entregado en tiempo y forma), que el problema originador de la sanción no se encontraba presente en el momento de realizar la auditoría, o que es un aspecto no controlable externamente (por ejemplo, un empleado que habiendo sido formado en materia de LOPD, olvida gestionar una solicitud de acceso). De cualquier modo, aunque pueda ser interesante tratar este último punto en una entrada posterior, ¿qué les parecería una medida así?

Suplemento Temático: Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)

 


Fuente: securityartwork.es
Fecha: 10/11/10

   Mas artículos de Manuel Benet        Otros Expertos   

Este experto ha sido visto por 1939 personas.