AUDITORIA LOPD BIENAL INTERNA

Este año nos toca la auditoría bienal que establece la LOPD. Dada la situación de regularización actual nos estamos planteando la posibilidad de realizarla internamente. Como podéis apreciar me niego a llamarla "crisis", recesión, etc..., para mi no es más que una etapa necesaria y obligada para que se normalice la indecencia en la que estábamos inmersos. Desgraciadamente los que lo van a pagar en todos los sentidos somos los de siempre. En el presente ejercicio tenemos unas restricciones presupuestarias y un control del gasto abrumador, todo ello impuesto por el ministerio, que implican por ejemplo la imposibilidad de imputar ni un triste euro en determinadas rúbricas contables.
Al grano, internamente tenemos claro que la auditoría que hagamos será totalmente meticulosa y rigurosa. Desde el punto de vista legal no hay mayor problema ya que la LOPD contempla esta posibilidad. Con relación a este punto ya sabéis que "cualquiera" puede hacer auditorías de cumplimento de la LOPD por tanto, y muy a mi pesar, este punto es absolutamente irrelevante mientras no se regule semejante agujero negro. Por otro lado, periódicamente y desde hace ya tiempo, llevamos realizando auditorías por toda la red asistencial por lo que algo sabemos del tema. Aunque no es determinante ni representativo de nada soy CISA desde hace más de 10 años por lo que de algo debe servir ..... Señalar que en todas las auditorías externas que nos han realizado anteriormente no ha participado nadie con este perfil. A bote pronto es lo más parecido a un auditor LOPD (al menos en lo referente a las medidas de seguridad).
En el fondo nos inquieta la percepción o valoración que se pueda tener desde el exterior. Os cuento, en anteriores situaciones nos han requerido la presentación del informe de auditoría más reciente, y de modo expreso, se hacia referencia a que éste fuese de un entidad externa. En su momento ya comenté que por pedir que no quede pero si la LOPD dice blanco pues será blanco, por tanto, la auditoría interna es tan legitima como la externa. Otra cosa es que, de forma equivocada o no, se les da mayor o menor valor.
Como breve resumen intentaré detallar bajo mi criterio los pros y contras que supone llevar a cabo la auditoría LOPD internamente:
Pros
- mayor conocimiento del "negocio", en ocasiones la auditoría externa implica un curso formativo acelerado del auditor externo
- mayor transparencia/sinceridad de la parte auditada
- mayor nivel de autocrítica interna
- mayor dedicación en las carencias o puntos de mejora (perfectamente identificados)
- menor coste económico
- constitución de un equipo auditor multidisciplinar (a priori SS.II., RRHH, área sanitaria y área jurídica)
Contras
- dudas, por parte de terceros, acerca de su objetividad
- externamente poco valorada, quisiera remarcar que el "problema" lo tienen quienes opinan así no nosotros
- riesgo de ver un único árbol en lugar del bosque entero
- los componentes del equipo auditor deben hacer un esfuerzo por cambiar de rol
En esta otra entrada hablamos un poco más del tema. En definitiva, como lo veis ?? que nos dejamos ??
CITA DEL DÍA: "La elección final es aquella que implica menos inseguridad"

1 comentario:

Javier Cao Avellaneda dijo...

Yo a priori no veo problema en que sea interna pero voy comentando tus pegas.
[Dudas, por parte de terceros, acerca de su objetividad.]
Si se garantiza la independencia del equipo auditor, tanto respecto del área auditada como de la libertad para expresar la opinión del auditor, no tiene porque devaluarse la objetividad. Quizás sea más limpio alguién que intenta mejorar desde dentro que alguien que cobra por detectar deficiencias aunque no se tenga que mojar en las soluciones. El auditor interno puede ser "más razonable" y no por ello blando.

[Externamente poco valorada]
Esto es coyuntural a la cultura interna de la organización. Parece que algo firmado por una gran auditora sea más relevante que algo firmado internamente o por una empresa más modesta. Lo que da solvencia al trabajo es la rigurosidad y la profesionalidad del equipo auditor.

[Riesgo de ver un único árbol en lugar del bosque entero]
En este sentido, en una auditoría LOPD que se basa en establecer si se cumple o no, es menos dificil fallar a la hora del diagnóstico. Las cosas satisfacen los requisitos o suponen un incumplimiento (ya sea puntual o de forma generalizada).

Lo importante es definir claramente qué se va a evaluar y con qué grado de profundidad. En vuestro caso, estando dentro, podéis estimar mejor el "riesgo de incumplimiento" y revisar más profundamente aquello que es más viable que pudiera generar una infracción y su correspondiente sanción. El motor de la auditoría para establecer el nivel de dureza puede ser minimizar la cuantía de las sanciones posibles. Respecto al nuevo reglamento, lo ideal es definir diferentes programas de auditoría que aunen en una única revisión todos los aspectos comunes a todos los ficheros declarados. Como pista para ello, se puede usar el criterio de agrupación que aparece en la Guía modelo de seguridad de los datos en la página 10 (un cuadro donde hay etiquetas por conceptos y aparecen para cada tipo de tratamiento y nivel que es lo exigible). Identificando bajo cada programa los artículos a revisar tenéis una estructura que barre el Titulo VIII completo pero que revisa de manera más práctica.

Personalmente la única pega que he visto en sitios para plantearse una auditoría interna y donde he auditado entonces yo la LOPD es que para su desgracia (y nuestro beneficio) no disponen de personal cualificado para realizar el trabajo, pero ese no es vuestro caso.