14 julio 2011

Hacia un nuevo modelo de auditoría de protección de datos

Hacia un nuevo modelo de auditoría de protección de datos
Principios y valores

Son ya doce años, desde que se promulgo el RD 994/99 de 11 de Junio, a través del cual se establecía por primera vez, la obligatoriedad de realizar auditorías sobre protección de datos de carácter personal.

El legislador perdió una magnífica oportunidad de desarrollar este precepto con el RD 1720/07 de 21 de Diciembre, quien mantuvo el mismo texto con una única salvedad, la realización de auditorías extraordinarias, cuando hubiese modificaciones sustanciales en los sistemas de información que pudieran repercutir en el cumplimiento de las medidas de seguridad.

El actual texto vigente, determina que el informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificará sus deficiencias y propondrá las medidas correctoras o complementarias, incluyendo hechos y observaciones en los que se basen los dictámenes alcanzados y las recomendaciones propuestas.

En una línea muy parecida, se definen las auditorías de seguridad en el Esquema Nacional de Seguridad (RD 3/2010 de 8 de Enero), pero incorporando un elemento clave en esta materia la independencia. De este modo se describe como revisión y examen independiente de los requisitos y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad (mutatis mutandis Documento de Seguridad) y los procedimientos operativos establecidos, detecta las infracciones y recomienda modificaciones apropiados de los controles y de los procedimientos (El Centro Criptográfico Nacional desde el sentido común, habilita la concurrencia de auditorías del artículo 96 del RD 1720/07 de 21 de Diciembre con las del Artículo 34 del RD 3/2010 de 8 de Enero). Guía de Seguridad CCN-STIC-802).

Desde el estándar ISACA para la realización de auditorías de sistemas de información, Institución que debe ser tomado como referente en esta materia (Memoria Anual de la Agencia Española de Protección de Datos del año 2.002) a falta de una reglamentación, define como estructura y contenido mínimo de una auditoría de sistemas de información:
  • Introducción, declaración de objetivos, alcance, carácter y extensión de los procedimientos de auditoría
  • Opinión y conclusión respecto a si los controles y procedimientos son adecuados
  • Hallazgos detallados
  • Limitaciones
  • Declaración sobre las directrices seguidas
La función de la auditoría debe jugar un papel crucial como garante del adecuado diseño del sistema de protección de los datos y del correcto funcionamiento del mismo, por lo que la auditoría bien sea interna o externa, no debe quedarse en un mero testeo de los controles y debe recogerse de manera implícita toda una serie de valores y formalismos.

En este sentido, la auditoría debe contar con un enfoque integrado, tolerancia cero al riesgo al estar en juego derechos fundamentales del individuo y obligaciones de resultado, y bajo los valores y principios de transparencia, objetividad, seguimiento, neutralidad, independencia y recursos especializados.



Desde la experiencia en el sector, considero que se debe alcanzar una mejora global, sustancial y en su conjunto de la calidad de los trabajos de auditoría, debiéndose proyectar sobre todos los actores que ejercitan la actividad de auditoría.

El sector de las auditorías sobre protección de datos, no deben ser totalmente ajenas en cuanto a los principios del sector de otro tipo de auditorías como las de cuentas. La Comisión Europea en un estudio el sector de la auditoría en la UE, mostraba la falta de objetividad y estima explorar la posibilidad de crear un certificado de calidad europeo para sociedades de auditoría de cuentas (Libro Verde de la Comisión Europea. Política de Auditoría. Lecciones de la Crisis).

El Supervisor Europeo de Protección de Datos, en su reciente Dictamen 2011/C 181/01, un enfoque global de la protección de datos personales en la UE, reconoce la necesaria certificación de servicios desde una perspectiva general, que entre otros elementos ayudará a las Autoridades encargadas de la protección de datos en su papel de supervisión. Camino que beneficiara a todos los agentes en juego.

Tal y como exponía, el legislador perdió una oportunidad de oro para desarrollar esta materia en aras de buscar calidad, independencia, neutralidad y objetividad en la realización de auditorías sobre protección de datos, habiendo desarrollado en su día el articulado relativo a las auditorías, aunque hubiese sido como mera recomendación “ad cautelam”.

Comparándonos con el modelo de auditoría de cuentas, que cuenta con una mayor proyección histórica y mayor desarrollo legislativo, es interesante como han ido incorporando mejoras de carácter técnico aconsejadas por la experiencia y la practica desarrollada desde el año 1.988, hasta su reciente Texto Refundido por RDL 1/2011 de 1 de Julio:
  • Contenido mínimo del informe de auditoría
  • Responsabilidad plena de la empresa auditora
  • Sistema de fuentes jurídicas a las que se debe someter la actividad de auditoría:
    • Normas de auditoría
    • Normas Éticas
    • Normas de control de calidad
  • Régimen de incompatibilidades
  • Inscripción en el Registro Oficial
En línea con lo expuesto y con el objeto de crear seguridad jurídica entre todas las partes (Prestadores de Servicios, Responsable de Ficheros y/o Encargados de Tratamiento), considero que debe desarrollarse el marco jurídico de auditorías con el fin de garantizar los principios, valores y resultados de las auditorías, con un nivel de calidad mínimo y donde quede claro y manifiesto entre otros muchos elementos el régimen de responsabilidad civil.

En cuanto al modo de reglamentación. Considero que la figura de la Instrucción de la Agencia Española de Protección de Datos, quizás no tenga cabida, a pesar del valor normativo de éstas (Sentencia del Tribunal Supremo de 16 de Febrero de 2.007. Fundamento Jurídico Tercero), La figura de la Instrucción debe ir dirigida a adecuar tratamientos a los principios de la Ley, por lo que a mi entender lo realizaría a través de un nuevo texto Reglamentario y huir de otras vías del tipo, disposición adicional trigésimo octava de una Ley de Acompañamiento, o como Disposición Adicional Primera de una Ley relativa a la protección del Lince Ibérico. Tendencia habitual del legislador de denominar inadecuadamente las Leyes. Las esconde bajo rótulos, títulos e indicadores que nada tienen que ver con el ámbito objeto de regulación. Lo que el Primer Presidente del Tribunal Supremo tras la Transición, el eminente jurista, Excmo. Don Federico Carlos Sainz de Robles llamó “el juego del escondite”.

Lo justo y lo injusto no son productos de la naturaleza, sino de la Ley (Arquelao).

------------------------------------------------------------------------------------------

Contribución por:
Gonzalo Salas Claver
Senior Manager
Grupo SIA

1 comments :

prestiti INPDAP dijo...

Me parece una gran iniciativa que favorecerà los derechos y la privacidad de las personas anònimas. Un paso hacìa adelante!