Continuando con esta serie de entradas relativas a la readecuación y reimplantación del Sistema de Protección de Datos de Carácter Personal al nuevo RGPD 2016/679, se sigue en ésta los contenidos según el post Calendario 2017 para la LOPD – Diciembre que se corresponde con el término Auditoría.
Si usted ha tenido la misma inquietud que esta firma, en cuanto a conocer el significado del término, habrá llegado a la conclusión de que en la sección correspondiente de definiciones de las normas en torno a Datos de Carácter Personal no existe la misma.
A tenor de lo anterior, en cuanto a definición, son pocos los autores que hacen aportes; esta firma propone tanto por autores terceros como por sí misma las siguientes definiciones:
«…revisión de nuestra empresa a los efectos de detectar si se cumple con todas las medidas que requiere la propia normativa de protección de datos.»
«…revisión de las medidas informáticas, físicas o de archivos, así como organizativas y documentales que se implantaron en su día y que existen en una empresa, que tienen que ver con el tratamiento de datos que efectúa aquella, respecto a las personas físicas y sus datos;…»
«Verificar la adaptación de los ficheros de datos personales (debidamente legalizados ante la AEPD) a las obligaciones impuestas, conforme a las normativas vigentes a estos efectos, en especial, a las medidas de seguridad y a los procedimientos llevados a cabo para la recogida y tratamiento de los datos personales.
Perkins Human Media
En cuanto a buscar la aplicación de la auditoría mediante articulados de las normas, no todas lo hacen. A modo de ejemplo:
Si existen referencias en:
- El Reglamento de Medidas de Seguridad RD 994/1999 de 11 de junio – Artículo 17 o,
- El RD 1720/2007 de 21 de diciembre – Artículos 96 y 110.
En cambio, no hay referencias en:
En una primera reflexión es interesante resaltar, como el término auditoría, tiene más referencias legales en el marco nacional que en el propio europeo. Consecuentemente se puede pensar que la auditoría es una exigencia «local», de España.
La aprobación del nuevo Reglamento General de Protección de Datos, aporta entre otros factores, el aspecto de la auditoría a través de breves menciones entre su articulado.
Los términos de auditoría y auditores han de encontrarse en el Reglamento en base a los siguientes artículos:
Auditoría:
«Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.»
Los expertos en Auditoría –a modo de ejemplo la entidad Informáticos Europeos Expertos, S.L.– han promovido desde hace años que figurara algo así en el contrato de tratamiento de Datos Personales por cuenta de terceros. Se justifican en esta inquietud ante la experiencia negativa en las que el encargado se niega a dar facilidades.
Auditores:
«supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.»
De todo lo expuesto con anterioridad, se deduce que al DPO (Data Protection Officer o DPD Delegado de Protección de Datos), no se le asigna la responsabilidad directa de ejecución de Auditoría, más bien, de implantación, supervisión y control interno del Sistema. Esto no significa que no supervise, encargue o coordine el procedimiento sobre el que se reflexiona.
Por otro lado, el DPO, garantizará que la documentación generada de la Auditoría tenga el suficiente nivel, de modo que se analice y se considere la implantación de recomendaciones y se pongan en marcha las aprobadas. (En la práctica los DPDs harán algunas auditorías, especialmente en entidades pequeñas).
«2. Las normas corporativas vinculantes mencionadas en el apartado 1 especificarán, como mínimo, los siguientes elementos: (…)
j) los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite;»
En los artículos referidos a las autoridades de control, el RGPD, exactamente su artículo 58.1.b. incluye entre los poderes de las mismas: «llevar a cabo investigaciones en forma de auditorías de protección de datos». En España, la AEPD, puede que los establezca como inspecciones, que con frecuencia asociamos a posibles sanciones.
Llegados a este punto es conveniente dejar claro que las auditorías pueden ser internas y/o externas y cada una en su momento; contendrá tres elementos fundamentales: objetivo, alcance y profundidad que serán definidos en cada caso. Así mismo podrá combinarse, si se desea, una auditoría de cumplimiento y una auditoría de Seguridad – Riesgo.
Por finalidad se entenderá la cantidad de propósitos (objetivos) que se deseen alcanzar. En este sentido será conocer las debilidades e incumplimientos de modo que ello permita:
- Garantizar si el auditado está cumpliendo sus obligaciones y por consiguiente si está disminuyendo el riesgo o,
- Porque se lo exija su entidad matriz o,
- Que por ser un encargado del tratamiento se lo exijan sus clientes…
Por profundidad se entenderá considerar la mayor o menor cuantía de evidencias que permita argumentar los informes resultantes. Se empleará para ello herramientas dadas en entrevistas, análisis y muestreos –hasta aquí pueden ser suficientes-. Se podrá demandar además:
- La verificación de los perfiles de todos los usuarios,
- El seguimiento de todas las incidencias,
- La Investigación de hechos anteriores…
En cuanto al muestreo deberá ser lo suficientemente representativo, consiguiéndose de esa forma un mayor grado de conocimiento de la realidad del auditado.
El Alcance será la especificación de acciones concretas que serán auditadas. Este conjunto pueden definirse por áreas de trabajo, procesos, actividades, requisitos del Sistema de Información…
Este elemento tiene dos propiedades importantes:
- Su definición y,
- Su forma explícita.
Al establecer el alcance, será necesario matizar:
- Si es un grupo de empresas, tener en cuenta las entidades que la conforman
- Qué tratamientos y procesos,
- Qué ubicaciones y centros,
- Qué unidades organizativas… y,
- En el caso de investigaciones concretas el periodo de operaciones a analizar.
En caso de auditoría de cumplimiento, éste deberá verificar:
- En qué medida se cumple el propio RGPD.
- Cualquier norma complementaria de las autoridades de protección de datos que resulte aplicable.
- Normativa interna de la entidad.
- Grado de alineamiento con el RGPD,
- Contratos y compromisos que afecten.
El RGPD, en cuanto a auditoría, va a entrañar un mayor grado de dificultad; no ya por el hecho de su novedad, sino, porque se va a exigir al auditor mayor grado de experiencia e imaginación para evaluar el grado de cumplimiento y el riesgo (los dos tipos de auditoría que se han puesto de manifiesto).
La nueva normativa va más allá del puro cuestionario de evaluación dando respuestas SI/NO. Será necesario el desarrollo de nuevas herramientas para trabajar el RGPD. En este sentido, ya existe un compromiso que está en marcha por parte de nuestra Autoridad de Control -AEPD-.
En la web corporativa de la AEPD se ha creado una nueva sección denominada REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS con el propósito de servir de ayuda en cuanto a esta materia.
El RGPD relaciona por sus artículos cada tipo de auditoria, recuérdese en el caso que nos ocupa: auditoría de cumplimiento y auditoría de Seguridad – Riesgo.
AUDITORÍA DE SEGURIDAD – RIESGO:
Para la Auditoría de Seguridad, el Reglamento pone a disposición sus artículos 32, 33 y 34 (Seguridad del Tratamiento, Notificación de una violación de la seguridad de los datos personales a la autoridad de control y Comunicación de una violación de la seguridad de los datos personales al interesado, respectivamente)
Haciendo un breve comentario respecto de lo expuesto en el párrafo anterior, el artículo 32 no debe ofrecer dudas en cuanto a qué considerar al auditor habituado. Para ello deberá interpretar bien los puntos (del articulado enunciado) y añadirle imaginación y experiencia para valorar. Además considerará los casos para aplicar convenientemente el articulado.
Relativo a las violaciones de seguridad, la revisión abarcará si se han notificado (a la AEPD) todas las producidas y si se ha hecho de forma adecuada. Por último en este aspecto, los mecanismos de detección y comunicación.
AUDITORÍA DE CUMPLIMIENTO
a) Los Principios
«1. Los datos personales serán: (…)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
b) Existencia de categorías especiales de datos personales (si se cumplen los puntos que exige el artículo)
En este sentido se tendrá en cuenta el artículo 9 (Tratamiento de categorías especiales de datos personales) o lo que por definición se consideran en la LOPD datos de nivel alto o datos especialmente protegidos.
c) Los derechos del interesado
(Desde el artículo 12 al 23, y 26 si es el caso), el auditor verificará si se han tomado medidas, casos que se han producido y tratamientos realizados.
Se hará hincapié especialmente si el auditado elabora perfiles, en este caso, el auditor verificará y evaluará en base a los artículos 21 y 22, (Derecho de oposición – Decisiones individuales automatizadas, incluida la elaboración de perfiles respectivamente)
d) Responsable del tratamiento
En este sentido el auditor tendrá en cuenta lo dispuesto en el artículo 24 (Responsabilidad del responsable del tratamiento).
Obviamente se verificará y evaluará:
- El cumplimiento de sus obligaciones,
- Si está dando los pasos y creando los marcos adecuados (Normas corporativas vinculantes)
- Si se ha adherido a un código de conducta: en que medida se cumple y si es adecuado. Si es el caso, el mecanismo de certificado.
e) Protección de datos desde el diseño y/o por defecto
Se tendrá en cuenta el artículo 25 del Reglamento (Protección de datos desde el diseño y por defecto) si procede y si se aplica. En cuanto a herramientas: Entrevistas y Documentación.
f) Representantes de responsables o encargados del tratamiento no establecidos en la Unión (Artículo 27).
En general se considerará los casos en que pueda haber tratamientos fuera de las fronteras (del Espacio Económico Europeo). Se prestará especial atención a los casos de almacenamiento en la nube (cloud) en determinados países. Si el auditor lo estima, según el grado de riesgo, se procederá a trabajar con herramientas:
- De tipo cuestionario,
- Videoconferencias,
- Informes de auditorías internas de estos proveedores entregados al auditor,
- Etc.
g) Encargados del tratamiento (Artículos 28 y 29: Encargado del tratamiento y Tratamiento bajo la autoridad del responsable o del encargado del tratamiento respectivamente)
Frecuentemente pueden ser empresas Españolas que presten servicios pero también empresas que almacenen datos en sus sistemas (computación en la nube). Si bien a este último respecto, el Reglamento no hace alusión por ser un medio comúnmente usado y no necesita referencia expresa.
Si la auditoria se realiza en el Encargado, el procedimiento a llevar a cabo debe de ser igual que en el caso del Responsable del Fichero.
La auditoría en un encargado del tratamiento puede ser especialmente compleja, puesto que de los resultados obtenidos, dependerá la continuidad de los servicios hacia su cliente.
h) Registro de las actividades del tratamiento (Artículo 30 del RGPD).
Puede ser objeto de auditoría en caso de que sea obligatorio para el auditado, por la necesidad de que exista y que su contenido sea completo y adecuado. Este registro de actividades del tratamiento puede llegar a ser sustitutivo del Documento de Seguridad para algunos casos. Si bien no exige ciertos detalles, si incorpora datos que pueden resultar útiles y que de otro modo las entidades podrían no tener documentados, en varios casos no referidos solo a seguridad, que se prevé en 1.g) y 2.d).
«1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación (…)
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.«2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga (…)
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
i) Evaluaciones de Impacto (Artículo 35 del RGPD)
Revisar y evaluar éstas en caso de que fueran de aplicación para el responsable. Si ha habido consulta previa a la autoridad de control si ha sido el caso (artículo 36 del RGPD)
j) Delegado de protección de datos (Artículos 37, 38 y 39 del RGPD)
Revisar y evaluar, siempre que éste sea exigible para el responsable, en los términos que se expresan en el artículo 37.1 del Reglamento. ¿Qué parámetros se someterán a auditoría?
- Su Designación.
- Su relación contractual (Por cuenta propia o ajena –Interno o Externo-).
- El cumplimiento de sus funciones.
A modo de conclusión, el auditor, en este ítem deberá de clarificar si el DPO es idóneo o no para el puesto.
k) Código de Conducta (Artículo 40 del RGPD)
Si está adherida a éste en qué condiciones se encuentra. Si es adecuado y nivel de cumplimiento.
l) Certificación (Artículo 42 del RGPD)
Si se encuentra las pruebas de la entidad certificadora. En este sentido cabe auditorias previas a ésta, p. ej.: conforme a la norma ISO 27001 (de Sistemas de gestión de la seguridad de la información) u otras certificaciones.
m) transferencias de datos a terceros países (Artículos 44 y 49 del RGPD)
También se tendrán en consideración si existen hacia organizaciones internacionales.
n) normas corporativas vinculantes
a un grupo de empresas, según el artículo 47.
Respecto a la evaluación, no existen elementos comparativos y son normas diferentes (RGPD – RDLOPD), eso nos sitúa en un estadio no numérico por tanto no se puede calificar la auditoría como si fuera calificaciones académicas.
Esta situación lleva al auditor a evaluar de manera cualitativa (evidentemente mediante una opinión fundada).
Se decía al principio de esta entrada que la auditoría se desarrollaba según su finalidad, profundidad y alcance. Todo ello no servirá de nada si no se acompaña de una estructura de desarrollo de trabajo o fases. Ésta última puede variar en función del Objetivo de la auditoría, el alcance y el tipo de encargo (Auditoria de cumplimiento o de Evaluación de Seguridad – Riesgo).
La propuesta de esta firma, es coincidente con la de otros autores, se propone:
1. Celebración de Contratos:
Entre ambas partes, el propio de confidencialidad y deber de secreto. Así mismo el de prestación de servicios.
2. Recopilación de información y documentación previas:
- Información de ficheros (a través de los documentos emitidos por el Registro de la AEPD, así mismo, su consulta vía web de esta autoridad de control),
- Tipo de Datos (en función de su sensibilidad – De carácter básico, medio o alto),
- La actividad de la entidad,
- Normativa interna (Documento de Seguridad, Políticas de Seguridad, Normas corporativas vinculantes…)
- Estructura y organización corporativa (por ejemplo organigrama departamental/funcional con identificación de sus RR. HH. y roles)
3. Entrevistas y cuestionarios
La finalidad de éstos/as: pedir aclaraciones, para entender mejor la documentación, los sistemas, los procesos, los registros, los controles y las vulnerabilidades.
4. Verificaciones que consistirán en:
- La revisión de documentos o registros,
- Prueba de una aplicación,
- Muestreos (de roles y de autorizaciones de usuario, de incidencias producidas y tratamientos….) utilizando técnicas y herramientas orientadas por ejemplo a análisis de puertos de red, reglas de cortafuegos, etc.
5. Inventario de la información recopilada o como se suele denominar en el argot papeleos de trabajo.
6. Inicio del Borrador de Informes a través de las pruebas recabadas.
7. Seguir profundizando en pruebas sustantivas, muestreos más amplios, entrevistas más detalladas o a más interlocutores… si no se alcanza la evidencia, no se deberá recoger el punto en el informe. Se pondrá ésto en conocimientos del equipo de auditores.
8. Entrega del informe final (siempre con la especificación de borrador)
A modo de inciso, puede ocurrir que paralelamente a la ejecución de la auditoría, el auditado haya subsanado algún aspecto. Este deberá ser reflejado (de esta forma se actualiza el informe).
9. Informe de recomendaciones y/o Plan de Acción
Los contenidos irán orientados a especificar una norma correctora, sobre un riesgo determinado, de modo que se subsane.
En cuanto al tipo de contenidos, se puede especificar en columnas lo que sigue:
- Riesgo: bajo, medio o alto, teniendo como base en qué se incumple, o en amenazas y sus probabilidades, y en definitiva la vulnerabilidad existente.
- Plazo sugerido de solución: corto, medio o largo: el tiempo será inversamente proporcional a la gravedad del riesgo. Esto es, a mayor gravedad corregir cuanto antes.
- Coste: bajo, medio o alto; el intentar precisar más puede ser muy difícil (no ha lugar a una expresión dineraria), y quedar fuera del objeto de la auditoría.
- Dificultad: baja, media o alta: a veces la solución será sólo el cambio del valor de un parámetro, pero otras supondrá un cambio organizativo que afecte a cientos o a miles de usuarios, con posible rechazo de éstos, por ejemplo cambiar periódicamente las contraseñas sin haberlo hecho hasta ahora.
Fuente-Información: © RGPD 2016/679 / © IEE (Informáticos Europeos Expertos)
Fuente-Foto: © de su autor / © publicación