La «seriedad» de las auditorías del RDLOPD

Hace unas semanas aparecía en prensa la noticia de que el Ministerio de Economía y Hacienda había sancionado por falta grave a Gassó, la auditora que se encargó de supervisar las cuentas de la constructora Astroc en 2006, cuando salió a bolsa, al haber aprobado las mismas sin poner ninguna salvedad, cuando posteriormente PwC detectó irregularidades. Esto supuso una multa de aproximadamente 200.000 € para la auditora, y de 8.000 € para el auditor que firmó el trabajo.

No me cabe ninguna duda de que una auditoría del Reglamento de la LOPD tiene en general una relevancia menor que una auditoría financiera, por la relevancia e impacto que esta última tiene sobre los inversores y el desarrollo económico de la organización, pero no por ello deja de ser menos cierto que a la auditoría del RDLOPD no se le concede en mi opinión la importancia que se debería. Y en esto tiene culpa tanto el cliente, para quien la auditoría es en ocasiones poco más que un molesto trámite a cuyo resultado no le va a prestar la más mínima atención, como las empresas auditoras, que en muchos casos simplemente buscan cubrir el expediente y facturar los servicios; si bien es cierto que en nuestro equipo de consultoría tendemos a valorar en la auditoría aspectos que van más allá de lo que marca el RDLOPD, por tratarse de un reglamento de mínimos, he tenido acceso a informes de auditoría presumo que nada baratos que rozaban lo vergonzoso (en realidad, algunos lo eran). En una situación adecuada, la auditora propone iniciativas a cumplir, y el cliente implanta, dentro de sus análisis coste/riesgo y sus posibilidades económicas aquellas que considere oportunas, pero esto sólo se da en ocasiones.

Dicho esto, ¿qué razones hay para considerar algo «serio» una auditoría del RDLOPD?

La primera de todas, es que es un requisito legal/reglamentario para datos de nivel medio y alto (art. 96 y 110 del RDLOPD, respectivamente). No se trata de un capricho de las consultoras/auditoras, que nos gusta importunar a nuestros clientes con reuniones, informes, preguntas y demás parafernalia implicada. Si hay que molestar, pues se molesta, pero molestar para nada, como que no.

Sigamos con las razones económicas. Espero no decir una barbaridad al afirmar que una auditoría financiera viene a tomar el pulso a la «salud económica» de una entidad, de cara a los accionistas, inversiones, solicitud de subvenciones, préstamos bancarios, etc. Por su parte, lo que la auditoría del RDLOPD analiza es la «salud» de los tratamientos de datos de carácter personal, con el objetivo de detectar incumplimientos y evitar sanciones de la Agencia Española de Protección de Datos que puedan derivarse de éstos. Aunque la agencia ha reducido significativamente el importe de las multas, conocedora de las implicaciones que sus actuaciones pueden tener para una organización de tamaño pequeño o mediano, una sanción de 600.000 € (o incluso de más, si hay varios incumplimientos) es algo a tener en cuenta por el impacto económico tanto directo como indirecto (léase reputacional), ya sea para una empresa del IBEX35, empresas cotizadas más pequeñas, o simplemente, cooperativas. Dicho de otra forma, de la misma forma que el mercado obliga a ciertas empresas a publicar sus análisis de «salud financiera» y exponer así su «riesgo financiero», el accionista de una empresa, un cooperativista o cualquier persona que aporta capital a una organización (incluso las entidades financieras) debería saber el riesgo que la organización de la que participan tiene de sufrir una sanción de la AEPD.

Por supuesto, una auditoría de la RDLOPD no tiene como fin solucionar los incumplimientos que detecta, ya que eso es tarea de la organización, pero sí ofrece una visión del grado de cumplimiento de la organización, y debe proponer iniciativas, proyectos y soluciones de aquellas no conformidades detectadas, de cara a mejorar el grado de adecuación, y de nuevo, reducir el riesgo.

Por último, vamos con las razones «éticas», si las quieren llamar así. No debemos olvidar que la ley de protección de datos tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar (LOPD, Art. 1). La LOPD, más allá de una ley de obligado cumplimiento o un foco de riesgo económico y reputacional (que como les decía antes, viene a ser lo mismo), vela por un derecho de cualquier persona, y eso es algo que las organizaciones, y cualquier persona que trabaja con datos de carácter personal debería tener siempre muy en cuenta; la auditoría del RDLOPD simplemente cuida de que estos derechos se estén aplicando de la manera correcta. Esta razón debería ser en realidad la primera de la lista, aunque la he puesto aquí para que no me tildasen ustedes de idealista.

Llegados a este punto, tenemos tres razones de peso para que una auditoría de la RDLOPD deba considerarse algo «serio»: requisito legal, riesgo económico y obligación ética o moral. Sin embargo, insisto en que la auditoría del RDLOPD sigue siendo algo a lo que se le da escasa importancia, tanto para muchos clientes como para algunas consultoras (entre las que, cabe destacar, y como no podría ser de otra manera, nos estamos incluidos). Para los clientes, o responsables de los datos, está el cuerpo de inspectores de la AEPD y su capacidad sancionadora. Pero, ¿y para las consultoras? ¿Qué implicaciones tiene para una de estas empresas realizar de manera poco profesional, intencionadamente o por simple incompetencia, una auditoría del RDLOPD? ¿Qué pasa cuando una auditora entrega un informe (que en ocasiones no puede ni llamarse así) afirmando que todo está correcto, cuando en realidad existen problemas serios en la gestión de datos personales de la organización?

Básicamente, no pasa nada. Por un lado, porque aunque el cliente pueda ser el primero que prefiere que no le agobien con cambios de aplicaciones, declaración de ficheros, documentos de seguridad, y registros de acceso, tampoco es un experto en el tema; para eso ha contratado a la consultora, y si ésta dice que todo está correcto, pues es de suponer que será cierto, porque ellos son los que saben de esto. Segunda, porque a dicho informe no se le da demasiada importancia, más que en casos muy concretos, a diferencia de un informe de auditoría financiera. Tercera, porque más allá de las acciones legales que una organización pudiera emprender contra la auditora que ha realizado la auditoría del reglamento, no existe ninguna repercusión legal para ésta. Cuarta, que a menudo el responsable interno de la auditoría presiona para que se «maquillen» determinados aspectos encontrados, o al menos que no se encuentren visibles en el informe ejecutivo para dirección. Y quinto, que de la poca importancia que les comentaba antes, se deriva que exista un mercadeo en el que se audita el reglamento por «cuatro duros», y que provoca que por tanto el trabajo realizado sea conforme a ese importe.

Aquí es donde vuelvo al párrafo inicial con el que comenzaba esta entrada: las sanciones económicas para las consultoras, pero en este caso para las que nos dedicamos a la protección de datos. Sería tan sencillo como hacer que la sanción fuese compartida en un determinado porcentaje entre la organización y la consultora (asusta, ¿eh?), con lo que se incrementaría automáticamente la importancia de la auditoría del reglamento y la protección de datos, y se garantizaría un mínimo de calidad en los informes entregados; el cliente podría hacer la vista gorda si quisiese, pero la auditora no. En ciertos casos, y estoy ya divagando, podrían incluso valorarse penalizaciones temporales o permanentes de inhabilitación para auditoras y auditores.

Por supuesto, la consultora debería poder garantizar que la sanción corresponde a un incumplimiento del que se informó en la auditoría, que el auditor solicitó pero no tuvo acceso a la información de la que se deriva la sanción (bien porque se le ha negado, bien porque no se le ha entregado en tiempo y forma), que el problema originador de la sanción no se encontraba presente en el momento de realizar la auditoría, o que es un aspecto no controlable externamente (por ejemplo, un empleado que habiendo sido formado en materia de LOPD, olvida gestionar una solicitud de acceso). De cualquier modo, aunque pueda ser interesante tratar este último punto en una entrada posterior, ¿qué les parecería una medida así?

Comments

  1. Ojalá. Una medida así terminaría de un plumazo con los del «coste cero».
    Ahora que si ni la LOPD ni el Reglamento exigen ningún requisito para convertirse en auditor LOPD, ¿cómo justificar luego una posible sanción si desde los mismos textos legales parecer decirse «esto lo puede hacer cualquiera»?

  2. Estoy de acuerdo en casi todo lo que dices.
    La pregunta es ¿qué precio habría que cobrarle a una Pyme por una auditoría asi?¿Estaría dispuesta a pagarlo?
    ¿Y si no te paga el precio mínimo aceptable le vas a entregar un trabajo chapuza en contra de tus principios?

  3. Ángel, en realidad el coste sería proporcional a la complejidad de la infraestructura, por lo que en caso de pequeñas empresas no tiene porqué ser elevado.

    De hecho, una auditoría RDLOPD bien hecha no tiene porqué ser cara; la principal carga económica reside en el tiempo que tienes que dedicar a la captura de las evidencias, y poco personal y pocas infraestructuras, ese tiempo se reduce bastante.

  4. Del mismo modo habria que preguntarse que «responsabilidad» tienen los auditores de normas como ISO 27001 (Aenor, BSI,…) que otorgan una certificacion en casos de «inseguridad manifiesta».
    En general, estan poco formados que estan poco formados en las materias que auditan.

Trackbacks

  1. […] This post was mentioned on Twitter by Jesús Pérez Serna, Security Art Work, Security Art Work, Antonio Bogarin, DavidGonzálezCalleja and others. DavidGonzálezCalleja said: Para reflexionar: RT @mkpositivo: RT @securityartwork: Manuel Benet y la seriedad de las auditorías de reglamento #LOPD http://bit.ly/de800O […]