Papel del Delegado de Protección de Datos en las Auditorías

0

Algunos, candidatos a “sufrir” auditorías, decían respirar tranquilos porque el RGPD no tenía artículos que exigieran auditorías.

Y ha habido otros (auditores y asimilados oportunistas) que veían un horizonte amplio de posibilidades de negocio, porque el RGPD no limita el ámbito y periodicidad de las auditorías sino que pueden entenderse amplias e imprescindibles.

Lo cierto es que estamos acostumbrados a la exigencia directa de auditorías desde el Reglamento de medidas de seguridad hasta el Reglamento de desarrollo de la LOPD.

Es decir, la auditoría era una exigencia “local”, de España.

Pero, ¿qué ocurre ahora con el RGPD? ¿Debemos seguir haciendo auditorías?

Aquí tienes la respuesta.

Auditorías y RGPD

El RGPD, aunque no regula expresamente las auditorías en Protección de Datos, se refiere a ellas en varios de sus artículos.

Así, al referirse al Encargado del tratamiento, indica que pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones exigidas. También para posibilitar la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Era necesario que figurara algo así en el contrato de prestación de servicios, para evitar situaciones en las que el encargado se negaba a dar facilidades.

También, al regular las normas corporativas vinculantes, el RGPD indica que dichas normas especificarán varios elementos. Y entre ellos, los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes.

Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado.

Por último, al hablar de los poderes de “cada autoridad de control”, se incluye entre los poderes de investigación llevar a cabo investigaciones en forma de auditorías de protección de datos.

En el caso de las autoridades de control en España puede que se establezcan como inspecciones, que con frecuencia asociamos con posibles sanciones.

Funciones del DPO

Al hablar de las funciones del DPO, se recoge como una de ellas la de supervisar el cumplimiento de:

  • lo dispuesto en el presente Reglamento,
  • otras normas de protección de datos de los Estados miembros o de la UE y
  • las políticas en materia de protección de datos del responsable o del encargado del tratamiento. Incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento. Y las auditorías correspondientes.

Se deduce que las auditorías no las debe hacer el DPO. Más bien puede tener funciones de implantación, supervisión y control interno.

La auditoría –interna o externa- revisara si se cumple lo anterior, incluido el cumplimiento de las funciones del propio DPO.

Lo cual no impide que este supervise las auditorías, que puede ser:

  • promover su encargo,
  • coordinar su realización sin entorpecer la independencia de los auditores internos o externos, y
  • garantizar que los informes llegan al nivel adecuado, se analizan, se considera la implantación de recomendaciones y se ponen en marcha las aprobadas.

En la práctica los DPDs harán algunas auditorías, especialmente en entidades pequeñas.

Finalidad de la auditoría

Recordemos que puede haber auditoría interna o externa, o ambas y cada una en su momento. Con el objetivo, alcance y profundidad que se determinen en cada encargo, pero que en todo caso pueden combinarse una auditoría de cumplimiento y una auditoría de seguridad.

La finalidad de la auditoría puede ser única o referirse a más de un objetivo.

Lo habitual será querer conocer las debilidades e incumplimientos. Y puede ser por diferentes motivos como:

  • tener garantías de que la entidad está cumpliendo y así disminuir riesgos,
  • porque se lo exija la entidad matriz, en algunos casos multinacional extranjera,
  • se lo exijan sus clientes, o
  • que, sin una exigencia específica, la entidad quiera tener un informe que si es favorable constituya un argumento comercial.

La profundidad mínima será la que nos permita alcanzar evidencias para sustentar nuestros informes.

Normalmente mediante entrevistas, análisis y muestreos puede ser suficiente. Pero en ocasiones se requiere verificar los perfiles de todos los usuarios, el seguimiento de todas las incidencias, investigar hechos anteriores… Y habrá que saber esto con antelación para estimar el presupuesto y la duración.

En el caso de muestreos es importante que:

  • las muestras sean representativas,
  • podamos llegar a conclusiones muy similares a las que alcanzaríamos si hubiéramos evaluado todos los casos, y
  • podamos estimar el margen de desviación.

Alcance

Al determinar el alcance será necesario matizar:

  • entidades que abarca si es un grupo de empresas,
  • tratamientos y procesos,
  • ubicaciones y centros,
  • unidades organizativas y
  • periodo de operaciones a analizar.

Para cumplir la LOPD la auditoría obligatoria se ha venido refiriendo a ficheros / tratamientos con datos de nivel superior al básico, si bien algunos clientes pedían también auditoría referida a los de básico, en muchas ocasiones en un informe diferenciado al no ser obligatoria.

En el RGPD no se especifica nada.

Siguiendo con el alcance, la auditoría de cumplimiento debiera verificar en qué medida se cumple el propio RGPD y cualquier norma complementaria de las autoridades de protección de datos que resulte aplicable. Así como la normativa interna de la entidad y además su grado de alineamiento con el RGPD, y contratos y compromisos que afecten.

Cuestiones a verificar

Según el objetivo, se determinarán:

  • fuentes de información y de documentación más idóneas,
  • pruebas a realizar,
  • funciones ¿y personas? a entrevistar,
  • posibles herramientas a utilizar,
  • técnicas a aplicar…

Hasta llegar a alcanzar las evidencias necesarias para poder evaluar la situación y determinar las posibles debilidades o incumplimientos, y elaborar las recomendaciones correspondientes.

Si hay encargados de tratamiento o la propia entidad auditada lo es, deben además verificarse los contratos o acuerdos y el grado de cumplimiento.

Si nos centramos en la auditoría de seguridad, salvo excepciones no debiera ser una evaluación profunda de riesgos tecnológicos, sino la verificación del análisis de riesgos que hubiera llevado a cabo la entidad. Y la valoración actualizada de las amenazas existentes y controles implantados, para determinar la vulnerabilidad.

Esta parte será más técnica, pero la auditoría de cumplimiento puede abarcar muchos aspectos jurídicos, que en conjunto hacen muy aconsejable un equipo de auditores con un perfil conjunto mixto y además experiencia adecuada en protección de datos.

Quienes estén muy acostumbrados a listas de verificación pueden elaborarlas a partir del propio RGPD, porque, salvo que se limite dentro del encargo la auditoría podría ser muy amplia. A la hora de evaluar la seguridad, por ahora nos faltan puntos de contraste concretos. Son los auditores los que deben determinar los aspectos a revisar y evaluar la situación.

Ahora será necesaria más experiencia e imaginación para evaluar el grado de cumplimiento y el riesgo, ya no será solo marcar SÍ o NO como respuesta.

Cabe esperar que las autoridades de protección de datos, y especialmente la AEPD, publique alguna guía o aporte alguna herramienta. O al menos que exprese qué partes de la LOPD se mantienen o qué nuevo marco se define.

Fases

Aunque dependerá del objetivo de la auditoría, alcance y tipo de encargo, las posibles fases de la auditoría podrían ser:

Recopilación de información y documentación previas

Recopilar ficheros y tratamientos y tipos de datos, actividad de la entidad, normativa interna así como estructura y organización.

La documentación que nos facilita la entidad a veces es muy completa y estructurada. En otras ocasiones, por el contrario, se produce un goteo como respuesta a cada petición.

El ver buena voluntad por parte de los auditados, sinceridad, y sobre todo veracidad, facilita mucho las cosas.

De todo lo que recibamos mantendremos la confidencialidad, y así lo hacemos constar en la propuesta, y en caso necesario firmamos un compromiso especial según estándares de la entidad auditada.

Análisis

En la fase de análisis (sin que haya una separación absoluta entre fases, pero sí ciertas precedencias) estudiaremos la documentación y haremos pruebas técnicas.

Intercalaremos entrevistas para pedir aclaraciones, y para entender mejor la documentación, los sistemas, los procesos, los registros, los controles y las vulnerabilidades.

Las verificaciones pueden consistir en revisar:

  • documentos o registros,
  • una prueba de una aplicación,
  • un muestreo (por ejemplo de perfiles y autorizaciones de usuarios, de incidencias producidas y tratamiento…).

Para ello se pueden utilizar técnicas y herramientas, como podría ser para verificar los puertos y servicios abiertos en un punto de una red de comunicaciones, o las reglas de un cortafuegos, o si la contraseña de administrador estándar de un sistema ha sido cambiada.

Borrador e informe definitivo

En cuanto es posible se va iniciando el borrador del informe, generalmente cada parte por parte de quienes hayan realizado las verificaciones correspondientes.

Hemos de alcanzar las evidencias suficientes para sustentar nuestro informe, y de lo contrario hemos de seguir profundizando: pruebas sustantivas, muestreos más amplios, entrevistas más detalladas o a más interlocutores. Y si no alcanzamos la evidencia no debemos recoger el punto en el informe, y explicarlo así según los casos.

Los borradores tienen varios niveles de revisión antes de la entrega al cliente:

  • los propios autores revisan lo escrito,
  • después suele haber una revisión cruzada interna y
  • finalmente una revisión general de enlace y coherencia entre las diferentes partes.

Si se envían borrador o informe definitivo en formato electrónico es mejor protegerlo contra escritura (formato PDF o similar) y que vaya con contraseña y sobre todo firmado electrónicamente, incluso cifrado si viaja por vías no seguras, porque los propios técnicos del cliente podrían llegar a leerlo de forma no autorizada a través del sistema de correo.

En el caso de auditoría externa, con la entrega del informe final y la posible presentación a la Dirección, normalmente habrá terminado la asistencia. Si es auditoría interna, lo habitual será un seguimiento periódico del Plan de Acción para informar a la Dirección.

Contenido del informe de auditoría

Sobre el contenido del informe, lo cierto es que se pueden cumplir los objetivos con estructuras, estilos y extensiones de informe bien diferentes.

Así, un informe puede ser escueto, como la mayoría de los de auditoría de cuentas, especialmente si existe un cumplimiento total y riesgo cero. Pero es preferible explicar los entornos y los puntos y extenderse lo necesario, pero sin usar el número de páginas como métrica, que es más importante la utilidad del informe que su extensión.

En todos los casos, después de una introducción deben aparecer las conclusiones, que si no van en documento aparte se incluyen para que quien lo lea, especialmente de nivel directivo, pueda hacerse una idea y entender la esencia de la situación.

En los casos en que existan incumplimientos será necesario justificarlos. Y explicar por qué no se cumple el punto o artículo correspondiente, o el aspecto de la normativa interna relacionado.

Plan de acción

El cliente siempre agradecerá que se le aporte un Plan de Acción, e incluso lo habrá exigido expresamente.

Lo que haremos es calificar las recomendaciones en columnas diferentes en cuanto a:

  • Riesgo: bajo, medio o alto. Basándonos en qué se incumple, o en amenazas y sus probabilidades, y en definitiva la vulnerabilidad existente.
  • Plazo sugerido de solución: corto, medio o largo, que estará relacionado con el nivel de riesgo.
  • Coste: bajo, medio o alto. El intentar precisar más puede ser muy difícil, y quedar fuera del objeto de la auditoría.
  • Dificultad: baja, media o alta. A veces la solución será sólo el cambio del valor de un parámetro, pero otras supondrá un cambio organizativo que afecte a cientos o a miles de usuarios, con posible rechazo de estos, por ejemplo cambiar periódicamente las contraseñas sin haberlo hecho hasta ahora.

La Dirección de la entidad tendrá que fijar prioridades, según el nivel de riesgo que pueda y quiera asumir. Puede pedir aclaraciones a los auditores, si bien la decisión final será suya.

Teóricamente se trata de abordar preferentemente los puntos con riesgo alto o medio, plazo corto, y dificultad y coste bajos.

¿Quién puede y quién debe realizar auditorías?

Respecto a quien puede, no se exige un perfil concreto, en contra de lo que es aplicable a profesiones o actividades para las que se puede exigir una titulación, colegiación, habilitación o certificación.

Debe existir independencia respecto a la entidad auditada (o área si es interna), y perfil y experiencia apropiados, para entender los entornos y poder evaluar el grado de cumplimiento y riesgos. Y poder aportar recomendaciones coherentes.

En cuanto a quien debe, deberían auto excluirse quienes no cumplan las condiciones, antes de que el propio mercado los vaya excluyendo.

En el caso del RGPD el perfil y experiencia pueden ser los de un equipo especializado y multidisciplinar. Y parece evidente que un conocimiento adecuado del propio Reglamento.

Espero que con esto te haya quedado claro cómo y cuándo realizar una auditoría de protección de datos.

Papel del Delegado de Protección de Datos en las Auditorías
4.7 (94.29%) 7 votos