Esquema para la realización de una auditoría LOPD

Como siempre digo y repito hasta la saciedad, el cumplimento de la normativa en materia de privacidad en cualquier estructura, no es un trámite simple que se solvente con cumplimentar un formulario. Mucho menos sencillo aún es la realización de las auditorías de cumplimiento, que tienen que valorar que la gestión de la información y los datos personales, se adecua a los preceptos de la norma.

Como comentaba la Agencia de Protección de Datos en su nota de hace unos meses, estas auditorías de cumplimiento no se pueden, bajo ninguna excusa llevar a cabo por medios remotos (correo electrónico, teléfono, etc), ya que para su buena realización necesitan de un completo conocimiento de la estructura por parte del consultor. Sin un trabajo directo sobre la estructura; un adecuado análisis del organigrama funcional de la misma; la revisión del inventario de recursos e información, etc., es totalmente imposible realizar un proyecto de calidad y menos aún, conseguir el objetivo deseado: que el cliente tenga las herramientas necesarias para una adecuada gestión de la información y la capacidad de tomar decisiones que pueden afectar al futuro de la entidad.

Hoy quiero hablaros desde un punto de vista más práctico y mostraros mi trabajo. Quiero con este post, mostrar mi metodología de trabajo en la realización de las auditorias LOPD. Como es imposible mostrar todos los casos posibles, cada entidad es diferente y por tanto el proyecto ha de ser diferente también en cada caso, voy a intentar generalizar lo más posible. El desarrollo de un proyecto de auditoría LOPD tipo, sería más o menos este:

1. Presentación del plan de auditoría. Tras la aprobación del proyecto de auditoría por parte del cliente, es necesario concretar fechas y el entorno donde se va a llevar a cabo la auditoría. Aunque en la propuesta de servicios, debe quedar reflejadas cuales van a ser la áreas analizadas, es conveniente que el plan de auditoría de vuelvan a mencionar, para no dar lugar a errores ni malentendidos sobre el alcance de la auditoría. Para ello es conveniente presentar un documento donde se detallen tales como el mencionado alcance, ubicación, personal implicado, etc.

2. Petición de información previa. Una vez concretadas fechas y otros detalles, se realiza una petición de información previa al inicio de la auditoría. La información que se solicita, puede variar de una entidad a otra, pero en lo fundamental es básicamente la misma:

   1. Organigrama funcional de la entidad

   2. Informes de auditoría previos

   3. Documento de Seguridad de la entidad

   4. Otros documentos con políticas de seguridad que puedan existir

   5. Listado de proveedores con acceso a datos

   6. Otra información que se considere relevante para la auditoría

3. Análisis de información recibida. Una vez esta información ha sido requerida y analizada, se genera un informe de diagnostico de la misma. En este informe se evalúa la idoneidad o no, a priori, de la información recibida y si alguna de la información demandada no ha sido aportada, se hace constar. Este informe de diagnostico se reporta a la gerencia de la entidad para que, con su impulso, se solucionen las incidencias registradas.

4. Auditoría presencial. Una vez analizada la información aportada, se pasa a la auditoría propiamente dicha. La auditoría, según mi criterio, ha de constar de dos fases diferenciadas:

   1. Entrevistas personales. En esta fase, se analiza junto a las personas seleccionadas el conocimiento sobre los tratamientos de datos que la entidad gestiona y sus responsabilidades. También se analizan aspectos relacionados con la información sobre la documentación previa recabada.

   2. Análisis del entorno. En esta segunda fase, se verifica lo comentado con el personal en las entrevistas y lo recabado en la documentación previa, a base de pruebas físicas y observaciones de primera mano del auditor. Estas pruebas se llevarán a cabo tanto en los referido a entornos automatizados como en la gestión de la documentación en papel.

5. Análisis de la información recabada. Con todas las notas recopiladas de las entrevistas y el análisis de primera mano del entorno, se procede al análisis de toda la información recabada. Este análisis contrastará la normativa de referencia la documentación y políticas de la entidad, con la realidad hallada por el auditor. Es conveniente que el marco normativo de referencia, quede claramente determinado en los informes que se generen, para que el auditado pueda tener una imagen concreta y real de la situación y de esta forma, poder tomar decisiones adecuadas.

6. Informe de auditoría y plan de acción. Una vez terminado el análisis, se generá el informe de auditoría y el plan de acción. El informe de auditoría, representará la situación real contrastada con el marco normativo de referencia. El plan de acción, propondrá las medidas correctoras necesarias para solucionar las incidencias que se estén produciendo en la entidad. Estos documentos serán presentados a la gerencia de la entidad, para que con su debido impulso, se tomen las medidas correctoras adecuadas.

7. Otras labores de consultoría relacionadas. En función del tipo de proyecto, la auditoría puede llevan incluida o no, otro tipo de labores: actualización del documento de seguridad, redacción de procedimientos no incluidos, revisión de políticas de privacidad y seguridad de la entidad, formación al personal, etc. Personalmente incluyo en el proyecto estas labores relacionadas, pero puede darse el caso de que un cliente disponga de recursos propios suficientes para llevar a cabo esta ultima parte, y solamente desee tener un informe imparcial que sirva como guía para la toma de decisiones.

Como siempre digo, no hay dos entidades iguales y por tanto es imposible encajar un modelo de auditoría concreto a dos clientes diferentes, pero en lineas generales, lo comentado en el post es el desarrollo de un plan de auditoría genérico que puede servir como guía para varios tipos de entidades.

Hay que recordar que con la puesta en marcha del nuevo Reglamento General Europeo de Protección de Datos, los proyectos de auditoría serán mas exhaustivos si cabe, al tener que incluir, un análisis de riesgos.

Como se puede ver, quien intente hacer algo parecido a una auditoría LOPD por teléfono, tiene un problema importante: no conoce a su cliente y lo que es más grave, no le está dando servicio ninguno.