Un poquito de morriña para los más… “seniors”
El “antiguo-antiguo” Reglamento de Medidas de Seguridad (RMS, aprobado por RD 994/1999), introdujo en España la obligación de auditar las medidas de seguridad de lo que conocíamos en aquel entonces como “ficheros automatizados de nivel medio y alto”.
Este reglamento de julio de 1999, nació muy tarde y casi obsoleto, pues desarrollaba la LORTAD de 1992 que fue derogada en enero de 2000, cuando entró en vigor la LOPD de 1999 (ampliando su alcance a ficheros no automatizados y mixtos).
Sin embargo, aguantamos con él 8 años, hasta diciembre de 2007, cuando fue derogado por el antiguo Reglamento de Desarrollo de la antigua LOPD (RLOPD, aprobado por RD 1720/2007). El RLOPD también mantuvo la auditoría de los ficheros de nivel medio y alto, pero adaptándose a la LOPD, y ampliando su alcance a los ficheros no automatizados.
Estas auditorías eran bienales y sólo eran exigibles sobre las medidas de seguridad contempladas dentro del RMS o del RLOPD. A pesar de ello, lo más habitual era extender su alcance a las medidas legales de cumplimiento por la sencilla razón de que los fallos en las medidas de seguridad, apenas se denunciaban y sancionaban. Tanto es así, que no es fácil recordar más de 1 ó 2 sanciones por falta de Documento de Seguridad, mientras que la mayoría podemos recordar más de 20 casos variados por fallos de información y consentimiento.
La fiesta del GDPR
2018 fue una auténtica fiesta para la privacidad en medio mundo. Quizá es difícil ser objetivo desde dentro, pero es probable que pocas normas hayan tenido más impacto social que el GDPR (aunque en gran parte fuese por desaciertos de algunas empresas que pretendían regularizar sus bases de datos de forma innecesaria).
Sin embargo, el GDPR no es una norma perfecta, ni mucho menos, y tiene muchos factores reprochables. Uno de los más destacados es la falta de claridad, de nitidez y, en definitiva, de seguridad jurídica, que riega toda la norma. De hecho, uno podría leer atentamente el GDPR de “pe a pa” y concluir que no existe la obligación de realizar auditorías de protección de datos.
Sin embargo, en una segunda (o trigésimo-novena) lectura, más madura y sosegada, podemos intuir lo contrario, basándonos en las siguientes referencias:
- 28.3.h): Exige al Encargado de Tratamiento que contribuya a la realización de auditorías del Responsable.
- 32.1.d): Exige al Responsable y al Encargado que apliquen medidas técnicas y organizativas adecuadas al riesgo, proponiendo, en su caso, entre otras, “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento” (en otras palabras, que se hagan auditorías periódicas).
- 39.1.b): Establece como una de las funciones del DPO la supervisión de las “auditorías correspondientes”.
- Y, por último, el comodín de la suerte para quienes ostentan la competencia sancionadora en materia de protección de datos, el denominado principio de accountability o de responsabilidad proactiva, que prácticamente configura el cumplimiento del GDPR como un ideal aspiracional… una arcadia feliz y muy privada, que requiere un sistema de mejora continua incluyendo las pertinentes revisiones o auditorías periódicas.
Sí, muchos dirán que el GDPR deja de tratar a las empresas como si fuesen niños para empezar a tratarlas como adultos, pero cuando estamos hablando del ejercicio de la potestad sancionadora por parte de poderes públicos, más vale que las obligaciones sean cristalinas, aunque solo sea para respetar los principios de tipicidad y legalidad.
Sin duda, hubiese sido de agradecer una indicación específica de la obligación de auditar, la periodicidad, y la consecuencia (infracción) de no hacerlo.
Si no está tan claro… ¿por qué auditar?
Al margen de si son obligatorias o no, el hecho es que las empresas son sistemas complejos y cambiantes (y cada día más).
Detectar, analizar e implantar medidas de cumplimiento en este tipo de sistemas complejos y cambiantes, requiere también de una verificación de que:
1.- La información detectada/obtenida y analizada era correcta y completa (que no siempre es así, porque no todos los departamentos de una empresa hablan siempre el mismo idioma)
2.- La medida de cumplimiento:
- Era adecuada.
- Se implantó correctamente.
- Y sigue siendo adecuada con el paso del tiempo.
Además, una auditoría siempre es una oportunidad de mejora y como hemos dicho, en un marco donde abundan los grises más que los blancos y negros, la mejora continua es una necesidad (y para ello, necesitamos evaluar periódicamente las medidas).
Por último, al hacer una auditoría, en el “peor” de los casos (o el menos útil), constataremos que hacemos todo bien y generaremos oportunidades de mejora. En el “mejor” de los casos (que también es el más habitual), detectaremos y corregiremos errores que, en un futuro, podrían haber llegado a suponer una dolorosa sanción económica. No se trata de ponerle la cara colorada a nadie ni de “salir bien en la foto”.
Ok, ¿y cómo lo hacemos?
El proceso de auditoría consiste en obtener una foto del grado de cumplimiento de la empresa.
A diferencia de un PIA o una consultoría, la auditoría se hace a posteriori, cuando el tratamiento ha sido previamente analizado y se han implantado las medidas de cumplimiento. Esto permite obtener EVIDENCIAS que apoyen el dictamen del auditor.
Al margen de eso, el proceso de auditoría puede ser totalmente configurable en función de:
- ¿Quién la realiza? Pueden hacerse auditorías:
- Internas o de 1ª parte, en las que la empresa se audita a sí misma con recursos propios o ajenos.
- Externas, que pueden ser de 2ª parte (en las que la empresa es auditada por otra entidad que tiene un interés propio en que nuestra empresa cumpla, como p.e. un cliente o un franquiciador) o de 3ª parte (en las que la empresa contrata a un tercero que ofrece garantías de independencia, como una entidad de certificación).
- ¿Qué auditamos? También podemos elegir entre:
- Completas, en las que se auditarían todos los controles de la norma, sobre todos los tratamientos de datos personales, junto con los sistemas de información que los soportan.
- Parciales, en las que podríamos decidir auditar sólo una parte de los tratamientos que consideremos más críticos, o sólo una selección de controles de la norma, o dividir una auditoría completa en varias parciales hasta completar un ciclo.
- ¿Cada cuánto auditamos? Lo más habitual es definir un plazo de 1 – 3 años para repetir la auditoría. Incluso se puede jugar y hacer auditorías parciales anuales, completando un ciclo cada cierto número de años. También se podrían elegir plazos más cortos (aunque requerirían un gran esfuerzo por parte de la empresa) o más largos (que podrían ser adecuados para empresas más pequeñas, sencillas y/o menos cambiantes).
En cualquier caso, es importante valorar todas estas opciones y programarlas a varios años vista, porque de lo contrario siempre encontraremos excusas para no hacerlas.
José Carlos Moratilla
Departamento Legal
Áudea Seguridad de la Información