Y auditorias del Reglamento General de Protección de Datos (RGPD), ¿se deben hacer o no?
Otro de los agujeros negros de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es en relación al tema de las auditorias de protección de datos.
¿Se deben hacer? ¿Cuál es su alcance? ¿Quién puede hacerlas?.
Nuestra Ley ha enmudecido, sobre ese punto. Veamos si podemos sacar algunas ideas claras
Realmente el RGPD hace referencia expresa a la necesidad de llevar a cabo auditorías de seguridad, al señalar en su artículo 47.2.j la utilización de auditorías de protección de datos como una de las normas corporativas vinculantes.
Puesto que este nuevo enfoque implica nuevos roles, nuevas responsabilidades y cambios en las estructuras e incluso en la “cultura” de las organizaciones, transfiere a los tratantes de datos esa obligatoriedad. Estamos pues ante una obligación genérica, pero no desarrollada.
Para entender y rellenar este vacío legal habremos de ir a consultar normas paralelas, y alguna que puede considerarse derogada.
Centrándonos en el marco normativo, vemos reflejada la importancia y necesidad de las auditorías ya en el anterior Reglamento de Protección de Datos de Carácter Personal, que desarrollaba la anterior Ley Orgánica de Protección de Datos (LOPD) y el vigente Esquema Nacional de Seguridad (ENS).
Su Capítulo V está íntegramente dedicado a la auditoría de seguridad, señalando en su artículo 34 que «Los sistemas de información (…) serán objeto de una auditoría regular ordinaria, al menos cada dos años. Con carácter extraordinario (…) siempre que se produzcan modificaciones sustanciales».
Además, la Disposición Adicional Cuarta de Desarrollo del ENS abunda en la necesidad de realizar auditorías sobre el sistema de gestión, al indicar la necesidad de establecer Instrucciones Técnicas de Seguridad (ITS), de obligado cumplimiento, siendo una de ellas la de Auditoría de Seguridad.
Bien, podríamos defender pues, que continuaría la obligatoriedad de una auditoria bianual, salvo modificaciones substanciales.
Esta es la segunda cuestión a contestar. Ya que hemos tomado el ENS como guía, continuemos: El artículo 15 del ENS hace referencia a la Profesionalidad del equipo de auditoría: «La seguridad de los sistemas será auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento».
El equipo auditor, independientemente de que pertenezca o no a la organización, deberá estar compuesto por profesionales que dispongan de los conocimientos y experiencia suficientes, de acuerdo al alcance establecido, para asegurar la adecuada y ajustada realización de la auditoría.
Y finalmente, visto el páramo normativo, ¿cuántos tipos de auditoria nos podemos plantear?
He intentado hacer una clasificación en cuatro grupos, sin ningún tipo de pretensión, a saber:
Básicamente hablamos de cuatro tipos de auditorias de carácter imperativo legal:
La no existencia de las auditorías vigentes en este punto reseñadas provoca la responsabilidad, penal, civil o administrativa de la dirección.
Las características de la empresa o institución marcan auditorías complementarias, a saber:
El auditor y la empresa/institución debe configurar el puzzle de lo que necesitan y de lo que desean.
En fin, ¡que la fuerza nos acompañe!
!Felices Fiestas¡