Hace un par de meses podíamos leer en la web de la AEPD una nota informativa acerca de su postura con los servicios de AUDITORIA DE SEGURIDAD POR VÍA TELEFÓNICA cuando pretenden examinar el cumplimiento de la legislación en materia de protección de datos.
En esta nota la agencia pretende advertir a los responsables de los ficheros que ESTE TIPO DE SERVICIOS NO PERMITE OBTENER UNOS RESULTADOS ÓPTIMOS, establecidos en la normativa de protección de datos PARA AUDITORIAS DE FICHEROS DE NIVEL MEDIO Y/O ALTO, ya que precisan necesariamente de comprobaciones en los sistemas de información auditados, que obviamente se hace imposible en una auditoría por vía telefónica.
En nuestro caso llevamos muchos años prestando servicios de auditoría conforme al art. 96 del R.D. 1720/2007, en el que se recoge que a partir de datos de nivel medio, los sistemas de información, medidas de seguridad e instalaciones de tratamiento y almacenamiento de datos, habrán de someterse de forma OBLIGATORIA, AL MENOS, CADA 2 AÑOS a una auditoría INTERNA O EXTERNA que verifique el cumplimiento de lo establecido en este artículo.
En este artículo aparecen entonces los conceptos de auditoría INTERNA y auditoría EXTERNA y aunque ahora veremos en qué consisten ambas, me atrevo a decir que en el concepto de auditoría interna es donde se instalan las empresas que ofrecen estos servicios por vía telefónica para maquillarlos de válidos, cuando según la nota informativa de la agencia deja claro que no lo son.
AUDITORIA INTERNA: es aquella en la que el propio responsable del fichero, es decir la empresa o entidad obligada se realiza a sí misma dicha auditoría mediante sus propios recursos laborales con apoyo de herramientas o en todo caso de profesionales especializados. Este tipo de auditoría es igual de exigente ya que debe de contener la revisión de todas y cada una de las medidas de seguridad y obligaciones de la entidad y la correspondiente redacción de un informe de auditoría que debe de quedar a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.
AUDITORIA EXTERNA: se trata de la misma auditoría pero realizada por consultores o auditores externos a la empresa o entidad obligada, como por ejemplo GRUPOIWI . Nuestros auditores se desplazan a la entidad auditada donde realizarán física y presencialmente la revisión de todas las obligaciones derivadas de la normativa en protección de datos, reuniéndose con los responsables de los departamentos, analizando toda la documentación relativa a LOPD, y verificando las medidas de seguridad físicas e informáticas.
Parece evidente que auditar estas y otras obligaciones puede ser complicado simplemente con una llamada telefónica, ya que presuponiendo honestidad en la contestación a las preguntas que facilita el responsable del fichero no se garantiza una correcta Auditoría de Protección de Datos. Y es que cuando la Agencia habla en su nota informativa de comprobaciones, ciertamente se refiere a verificar si están correctamente implantadas las medidas de seguridad necesarias acordes al nivel de seguridad exigible, como por ejemplo revisión de contratos de acceso a los datos, medidas de seguridad informáticas y físicas, examen de la forma de informar a los interesados, etc.
Por el contrario la utilización de herramientas informáticas diseñadas para verificar y auditar las medidas de seguridad exigibles, como lo es nuestra aplicación de Auditoría Interna, no sólo depende de la honestidad del usuario, sino que la propia aplicación establece mecanismos, cruce de respuestas, y reiteraciones para averiguar presuntas respuestas incongruentes en su uso, ofreciendo garantías reales en cuanto a su resultado final.