¿Es obligatoria la auditoría de protección de datos?
Hoy es el Día Europeo de la Protección de Datos. Toca reflexionar. En esta ocasión vamos a analizar una pregunta recurrente en las organizaciones. Vamos a suponer que el que más o el que menos sabe que la legislación de protección de datos cambió hace un par de años.
Vamos a suponer igualmente que el que más o el que menos hizo los deberes e hizo el esfuerzo de «adaptarse» a la nueva normativa es decir el Reglamento UE 2016/679 General de Protección de Datos o RGPD (esto ya es mucho suponer).
Y realizado el esfuerzo (los que lo hicieron) ahora muchos se preguntan ¿hay que hacer auditoría? ¿dónde lo dice? ¿cada cuánto? Y es cuando uno tiene que deshacerse en explicaciones de por qué sin revisión, auditoría o como lo queramos llamar, no existe cumplimiento.
Estamos en enero, mes de buenos propósitos: dietas y matrículas en los gimnasios. La gestión de la privacidad es como el cuerpo humano: hay que cuidarlo y es agradecido. Si te das el atracón y no lo trabajas después, se malogra, se lesiona, enferma y de nada vale apuntarse al gimnasio un mes porque los milagros, por lo menos en este terreno, no existen. Con la privacidad sucede lo mismo. Mayo de 2018 y meses anteriores y posteriores: atracón de privacidad. Algunos desde entonces no han vuelto sobre ello. Craso y grave error. Eso no es cumplir.
Dicen los entrenadores que más vale poco y continuado que no la paliza «de dominguero». Para que el cumplimiento sea eficaz tiene que ser constante y revisable. No hay norma que no requiera ser revisada en el tiempo.
La obligación: Por establecer una base legal nos tenemos que referir de forma obligatoria a una serie de artículos del RGPD:
El artículo 24 dije que las medidas técnicas y organizativas «se revisarán y actualizarán cuando sea necesario». El artículo 32, por su parte obliga a que responsables y encargados apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al reisgo que en su caso incluya, entre otros… un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».
Ahí tenemos la obligación de «auditoría», sin periodicidad definida pero sí orientativa: cuando sea necesario» y para «garantizar la seguridad del tratamiento».
Si buceamos en sistemas de gestión de la seguridad de la información como la ISO 27001 o el Esquema Nacional de Seguridad comprobaremos que las revisiones son, en general, anuales. Anualmente se revisan partes de los sistemas y cada tres años, se revisan en su totalidad (en el caso de las ISOs para renovar la certificación).
La periodicidad: La normativa anterior establecía una obligación de auditoría al menos cada dos años o cuando existieran cambios en los sistemas de información. Dos años puede ser una orientación pero consideramos que no es suficiente dado el ritmo de las actividades de las entidades: Si en dos años no hacemos nada, es posible que a los dos años tengamos que volver a empezar. Por ello habría que establecer dos pasos:
– Procesos de revisión constantes y periódicos, supervisando si se hacen las cosas bien, aplicando el principio de seguridad desde el diseño y por defecto y en definitiva, estando encima. Parece mentira pero con todo y con eso, cuando uno revisa, siempre salen «cosas».
– Procesos de auditoría bien globales o parciales (p.e. por actividades de tratamiento estratégicas o críticas para el negocio) que constaten que lo que allí se hace es conforme con la norma y que garantiza adecuadamente la seguridad de los datos personales. Una revisión cada dos años puede estar bien en organizaciones donde no haya grandes cambios y siempre que se realice una revisión constante. En otras, la frecuencia debería ser anual…
Si seguimos con los símiles es algo así como la limpieza diaria y la general. Si uno sólo limpia una vez al año, es posible que lo que encuentre sea algo más que pelusas… E incluso limpiando a diario, la limpieza general es necesaria. Así debe ser la gestión de la privacidad: algo diario, interiorizado en las organizaciones como un elemento más de su gestión empresarial. De esta forma las auditorías no tienen por qué dar miedo sino que serán un instrumento de mejora continua, de reflexión profunda (y más si lo ven «otros» ojos) y de cumplimiento real.
Y muchos nos dicen: «yo soy una pyme, en mí no se fijará nadie». Otro gran error. El incumplimiento acecha a la vuelta de la esquina y el incumplimiento por ignorancia no está recogido como «atenuante».
Por lo tanto, para coger «músculo» en esto de la protección de datos hay que ejercitarlo. Y no hay mejor ejercicio que la revisión permanente y la conciencia de que lo que tenemos entre manos es un derecho fundamental que merece todo nuestra atención y respeto.
Paz Martin
28 de enero de 2020
#losdetallesimportan