BMD Blog
16 de junio de 2009

Auditoría de seguridad en materia de protección de datos
Share on Twitter

Desde un punto de vista genérico se puede definir el término “auditoría” como la revisión, consulta, verificación y obtención de evidencias sobre un hecho o sistema establecido, en base a unas normas de aplicación, mediante la certificación de personal cualificado y acreditado en la materia.

El concepto de auditoría tiene su origen primario en el siglo XVI, donde comerciantes navales utilizaron técnicas de revisión contable, con el fin de evitar fraudes por parte de los participantes en las expediciones. Más tarde, con la Revolución Industrial, la auditoría de cuentas se utilizó como medio para dar credibilidad a la información que suministraban las compañías cuando solicitaban financiación. En España, en el año 1928 un Decreto Ley estableció la obligatoriedad de la auditoría de cuentas para las Sociedades Anónimas, pero no fue hasta el año 1945 cuando se creó el Instituto de Censores Jurados de Cuentas de España. Desde finales de los años 70 la transcendencia de la Auditoría de Cuentas es notoria, por mandato legal, consistiendo, principalmente, en verificar y dictaminar si las cuentas anuales expresan la imagen fiel del patrimonio y de la situación financiera de la entidad auditada.

Por otro lado, en los años 80 se generalizan los modelos de Gestión de Calidad, exigiéndose auditorías, -que originan sus correspondientes certificaciones- sobre los estándares de gestión de procesos implantados en las empresas, surgiendo organizaciones como la BSI, ISO, o AENOR. En este marco, han ido surgiendo nuevas formas de aseguramiento de la calidad, con entidad propia, como por ejemplo, la gestión de la seguridad de la información, o la gestión del medioambiente.

De carácter obligatorio, por tanto no voluntario como en el supuesto anterior, se presenta tanto en la Ley de Prevención de Riesgos Laborales, como en el Reglamento de los Servicios de Prevención que la desarrolla, como uno de los instrumentos adecuados para garantizar la idoneidad de la actividad preventiva que, como resultado de la evaluación, necesita adoptar el empresario cuando dicha actividad es asumida por él mismo.

Finalmente, llegamos a las auditorías de seguridad de los ficheros y tratamientos de datos de carácter personal, que fueron introducidas, por primera vez, en el R.D. 994/1999, de 11 de junio, que aprobó el conocido como Reglamento de Medidas de Seguridad (RMS). Esta norma fue derogada recientemente por el Reglamento (R.D. 1720/2007, de 21 de diciembre) de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Este R.D. 1720/2007, establece en su Título VIII (Arts. 79 a 114), las medidas de seguridad, de carácter técnico u organizativo, que todo responsable o encargado del tratamiento debe implementar. La referencia expresa a la realización de auditorías la encontramos en los artículos 96 y 110 del precitado R.D., y tiene como objetivo determinar si se han establecido, si son adecuadas y si se observan las medidas de seguridad recogidas en la norma.

La realización de estas auditorías es obligatoria para ficheros que contengan datos personales, que por su naturaleza, deban ser aplicados niveles de seguridad definidos como de nivel medio y alto. Esto es, ficheros que contengan datos que se relacionan en el artículo 81 del R.D. 1720/2007, entre otros, los relativos a la comisión de infracciones administrativas o penales; relacionados con ficheros dedicados a la prestación de información sobre solvencia patrimonial y crédito (ficheros de morosos); aquellos de los que sean responsables las Administraciones tributarias, Entidades Gestoras y Servicios Comunes de la S.S.; los que se refieran a datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual; o aquellos que contengan datos derivados de actos de violencia de género.

Estas auditorías deben realizarse, al menos cada dos años (o antes, si se han realizado modificaciones sustanciales en el sistema de información), bien de forma externa o interna, es decir, realizándola una persona de la propia organización o empresa, o por el contrario contratando a un auditor externo.
No se exige cualificación alguna para la realización de este tipo de auditorías, por lo que existen en el mercado multitud de empresas y “profesionales” que, sin especialización alguna en la materia, ofertan este tipo de servicios, con los riesgos que esto conlleva para quienes les contratan. Un auditor solvente, en materia de protección de datos, debe contar con una titulación en Derecho y con un Máster o Curso de postgrado de garantías, siendo necesario que cuente con una experiencia profesional acreditada.

No resulta aceptable, que los auditores de cuentas, de prevención de riesgos, de calidad… cuenten, como es lógico, con sistemas de acreditación que les habilita como tales, mientras que los auditores de seguridad de la información, en materia de protección de datos, puedan operar, sin ningún requisito o control institucional.

Por otro lado, tal y como exige el R.D. 1720/2007, el informe que elabore el auditor debe dictaminar sobre la adecuación de las medidas y controles establecidos en la propia norma; acerca de la identificación de deficiencias y propuesta de medidas correctoras o complementarias; incluyendo, además, datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas por el auditor. Este informe debe quedar a disposición de la Agencia Española de Protección de Datos (AEPD), que pudiera requerirlo en un momento dado.

Finalmente hay que señalar que la AEPD ha publicado una “Guía de Seguridad de datos” (disponible en www.agpd.es ), con el objetivo de facilitar a los responsables de ficheros, y a los encargados de tratamientos de datos, la adopción de las medidas de seguridad exigidas, incluyendo, en lo que ahora nos interesa, una relación de comprobaciones, o de “checklist”, con el objeto de facilitar la realización de la auditoría de seguridad.

23 de junio de 2009.
Publicado en: La Tribuna del Derecho. Junio de 2009
Javier Alvarez Hernando

Los comentarios están cerrados.

Aviso legal y Política de Privacidad |  Vocabulario |  Mapa Web  | ¡Síguenos!