Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Sobre el RGPD y la LOPDGDD: Esto va a ser una juerga (y III)

Sobre el RGPD y la LOPDGDD: Esto va a ser una juerga (y III)
El autor de la columna, Josep Jover, abogado. Foto: Isaac Meler.
24/12/2018 06:15
|
Actualizado: 24/12/2018 09:26
|

En esta noticia se habla de:

Y auditorias del Reglamento General de Protección de Datos (RGPD), ¿se deben hacer o no?

Otro de los agujeros negros de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es en relación al tema de las auditorias de protección de datos.

¿Se deben hacer? ¿Cuál es su alcance? ¿Quién puede hacerlas?.

Nuestra Ley ha enmudecido, sobre ese punto.  Veamos si podemos sacar algunas ideas claras

Realmente el RGPD hace referencia expresa a la necesidad de llevar a cabo auditorías de seguridad, al señalar en su artículo 47.2.j la utilización de auditorías de protección de datos como una de las normas corporativas vinculantes.

Puesto que este nuevo enfoque implica nuevos roles, nuevas responsabilidades y cambios en las estructuras e incluso en la “cultura” de las organizaciones, transfiere a los tratantes de datos esa obligatoriedad. Estamos pues ante una obligación genérica, pero no desarrollada.

Normas paralelas

Para entender y rellenar este vacío legal habremos de ir a consultar normas paralelas, y alguna que puede considerarse derogada.

Centrándonos en el marco normativo, vemos reflejada la importancia y necesidad de las auditorías ya en el anterior Reglamento de Protección de Datos de Carácter Personal, que desarrollaba la anterior Ley Orgánica de Protección de Datos (LOPD) y el vigente Esquema Nacional de Seguridad (ENS).

Su Capítulo V está íntegramente dedicado a la auditoría de seguridad, señalando en su artículo 34 que «Los sistemas de información (…) serán objeto de una auditoría regular ordinaria, al menos cada dos años. Con carácter extraordinario (…) siempre que se produzcan modificaciones sustanciales».

Además, la Disposición Adicional Cuarta de Desarrollo del ENS abunda en la necesidad de realizar auditorías sobre el sistema de gestión, al indicar la necesidad de establecer Instrucciones Técnicas de Seguridad (ITS), de obligado cumplimiento, siendo una de ellas la de Auditoría de Seguridad.

Bien, podríamos defender pues, que continuaría la obligatoriedad de una auditoria bianual, salvo modificaciones substanciales.

¿Quién puede hacer las auditorias?

Esta es la segunda cuestión a contestar. Ya que hemos tomado el ENS como guía, continuemos: El artículo 15 del ENS hace referencia a la Profesionalidad del equipo de auditoría: «La seguridad de los sistemas será auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento».

El equipo auditor, independientemente de que pertenezca o no a la organización, deberá estar compuesto por profesionales que dispongan de los conocimientos y experiencia suficientes, de acuerdo al alcance establecido, para asegurar la adecuada y ajustada realización de la auditoría.

Y finalmente, visto el páramo normativo, ¿cuántos tipos de auditoria nos podemos plantear?

He intentado hacer una clasificación en cuatro grupos, sin ningún tipo de pretensión, a saber:

1. Tipos de auditorías obligatorias, siempre

Básicamente hablamos de cuatro tipos de auditorias de carácter imperativo legal:

  • La auditoría bienal del ENS y ENI para administraciones públicas. En las entidades privadas, es una guía y recomendación.
  • La auditoría de cumplimiento de la LOPDGDD y del RGPD, obligatorio para administraciones públicas y empresas privadas.
  • La auditoría de cumplimiento de la LSSIyCE y de la normativa sobre la seguridad en redes, para todas aquellas empresas e instituciones que sean proveedores de servicios en Internet, sean públicos o privados, emitan publicidad, manejen datos, oferten productos, vendan, den mails de contacto para información o servicios…
  • La auditoría de Videovigilancia y tratamientos de entrada y salida de

La no existencia de las auditorías vigentes en este punto reseñadas provoca la responsabilidad, penal, civil o administrativa de la dirección.

2. Tipos de auditorías técnicas obligatorias en casos particulares

Las características de la empresa o institución marcan auditorías complementarias, a saber:

  • La auditoría de cumplimiento legal de Compliance. La mitad de los delitos sobre los que trabaja Compliance, o el llamado cumplimiento normativo, son delitos tecnológicos. Deberá pues ser obligatoria para aquellas empresas o instituciones que estén sujetas a la normativa de “cumplimiento legal”
  • La auditoría de seguridad y ciberseguridad para todas las empresas o instituciones de o relacionadas con infraestructuras críticas (administraciones públicas, agua, gas, electricidad, vías públicas, centros sanitarios, telecomunicaciones,…).
  • La auditoría de autoprotección y seguridad física, que incluye de nuevo los tratamientos manuales.

3. Tipos de auditorías complementarias a las anteriores

  • Auditoría de seguridad preventiva frente a determinadas incidencias, que han afectado al SGSI, buscando sobretodo la resiliencia, según indica la ISO22316.
  • Auditoría de la ISO26000 de Responsabilidad Social Corporativa, (Procedimientos Éticamente Asumibles, Rendición de cuentas e igualdad de trato entre mujeres y hombres, prevención de acoso en horario laboral); auditoria basada en el establecimiento de procedimientos éticos. Usualmente es previa a la asunción de los procedimientos de «compliance».
  • Transparencia y buen gobierno. Auditoria de La Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno y sus diversos desarrollos autonómicos
  • Auditoría de la ISO31000 de Análisis y Gestión de Riesgos, y el procedimiento para solventar las incidencias.
  • Auditoría de «software» legal para aquellas empresas o instituciones que manejen costosas licencias de uso de software propietario.

4. Auditorías globales optativas

  • Auditoría grupo ISO27000 de seguridad de sistemas de información

El auditor y la empresa/institución debe configurar el puzzle de lo que necesitan y de lo que desean.

En fin, ¡que la fuerza nos acompañe!

!Felices Fiestas¡

Otras Columnas por Josep Jover:
Estos son los poderes de la nueva fiscal europea contra el fraude con la aprobación de la Directiva de alertadores de corrupción
¿Estamos o no estamos con los colegiados, de verdad?
El dato «mixto», o como hoy voy a “hacer amigos”
Reglamento Europeo sobre protección de datos no personales: Un texto desconocido pero esencial
6 razones por las que la Directiva «Whistleblower» o ASPERTIC es excepcional
Estos son los poderes de la nueva fiscal europea contra el fraude con la aprobación de la Directiva de alertadores de corrupción
Últimas Firmas
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
  • Opinión | ¿La Justicia es una lotería?
    Opinión | ¿La Justicia es una lotería?
  • Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena
    Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena