Las Pseudo-Auditorías de Protección de Datos

Más que un artículo o publicación es una opinión desde mi experiencia como consultor y especialista en nuevas tecnologías y protección de datos personales, sobre lo que denomino, de forma "suave", las pseudo-auditorias o adaptaciones a la normativa de protección de datos.

La verdad es que cuando posibles clientes contactan conmigo y me solicitan presupuesto para adecuarles en materia de protección de datos y, tras efectuarles una batería de preguntas considerables, con la finalidad de poder ser lo más objetivo a la hora de preparar el presupuesto, me comentan que hay empresas que por una cantidad de dinero exigua les hacen el servicio. Al principio me quedaba sorprendido, porque me preguntaba ¿Es posible que esté cobrando un servicio jurídico muy alto? ¿Será que esas terceras empresas ofrecen el mismo o similar servicio de adecuación? Si lo hacen por ese precio y, presuponiendo, con la misma eficiencia ¿Dónde están los márgenes de beneficio?

Muchas preguntas que, sin hacer cambiar mi filosofía de adaptación, se respondieron solas, con el paso del tiempo, cuando por casualidad, "tenía que entrar" a efectuar una nueva adaptación a una de esas empresas que habían preferido escoger un servicio muchísimo más barato. Entonces, te paras a reflexionar y te das cuenta que tú filosofía, tus objetivos, tus servicios personalizados y a medida son, los que desde un principio has establecido, los adecuados para un verdadero profesional con conocimientos jurídicos-científicos en adaptaciones de protección de datos. 

De igual forma, eres consciente que te encuentras en un libre mercado, demanda y oferta, competidores y clientes, pero que esa demanda se encuentra en una posición ambigua, es decir, es aprovechada por el desconocimiento de los clientes en una materia completamente desconocida. A fecha de hoy, así lo considero, a pesar de que existan numerosos cauces para tener un mejor conocimiento sobre la materia, no así de los procedimientos para que dicha materia se aplique en las empresas o clientes.

Pero, ¿cómo saber si estamos ante una empresa o un profesional adecuado que sepa realizarme una perfecta adaptación? Primero, y como continuación del precedente, difícil, salvo que se conozcan de manera orientativa los procedimientos y cuáles son los principales extremos u objetivos que se precisan. Segundo, y no con ello quiero que se malinterprete, no me "fío" de los software estándar de adaptaciones, no por nada en especial, sino porque trasladan toda la obligación al cliente a la hora de establecer las medidas de seguridad, las medidas organizativas y las medidas legales. Tercero, una adaptación sin que la empresa o el profesional, en una de sus primeras intervenciones, haga "poner" encima de la mesa todas las relaciones - contratos existentes y además efectúe entrevistas, al menos, con la/s persona/s responsable/s del área informática, mal encaminada se presume la adecuación. Cuarto, una empresa que te vende que dará de alta "doscientos" ficheros, no es buena señal, así como tampoco la empresa o profesional que te oferta exclusivamente la notificación de ficheros ante la AEPD.

A lo mejor, os preguntáis, por qué realizo estos comentarios. Por experiencia y porque han hecho mucho daño campañas aglutinadas en la Fundación Tripartita, empresas que se han "subido al carro" de las adaptaciones haciendo una pequeña adecuación de la documental que la AEPD pone a disposición en su Página Web y las "venden" en sus servicios de adaptaciones, empresas de servicios que simplemente notifican ficheros, y demás actuaciones, que las hay de todo tipo y de todos los colores. Soy de los profesionales, a lo mejor utópicos, que un buen Documento de Seguridad, en ningún caso, es un documento de recomendaciones, sino un documento donde se ha de contemplar las medidas existentes, pequeñas o grandes, que una empresa establece o actualiza para adaptarse a las medidas de seguridad contempladas en el RDLOPD. Soy de los profesionales que creen que su trabajo de adaptación es buscar soluciones que se adapten a la realidad social, económica y humana de la empresa que se adapta, siempre con la finalidad que la adecuación se encuadre buscando la proporcionalidad de sus recursos con el cumplimiento de la normativa. 

Dado que no es ni será la última vez que tengo que sacar del "atolladero" a empresas a las que le han realizado una pseudo-adecuación, brevemente, expondré lo que considero que se debe llevar a cabo en una adaptación, pudiendo existir matices, teniendo en cuenta que, soy de los que opino que toda adecuación se ha de efectuar de una forma personalizada, inclusive en empresas del mismo sector de actividad.

- Estudio previo. Conocer la arquitectura informática de la empresa. Conocer la organización empresarial. Conocer las aplicaciones informáticas. Conocer las relaciones jurídicas existentes. Conocer la forma de trabajar informáticamente. 

- Estudio de la información. Conocer qué tipo de datos se tratan, para qué finalidades. Qué tipo de medios de comunicación se disponen. A través de qué medios se recaban datos personales. Tratamiento de información, hacia dentro y hacia fuera de la empresa.

- Recomendaciones. Me resulta indispensable que con la información de campo recogida no se haga un documento en el que se inserten detalladamente las deficiencias encontradas, las recomendaciones para solucionar las mismas, los riesgos que se asumen y, ante todo, conociendo la empresa, qué tipo de medidas son las que se adaptan mejor.

- Adaptación legal de todo tipo de medidas legales, desde leyendas, clausulado específico, contratos de encargado de tratamiento, adecuación de medios de comunicación y recogida de datos. Protocolos de actuación y demás parejos.

- Ejecución. Por ello, me refiero a redactar el documento de seguridad con todos sus extremos a la realidad o a los resultado obtenidos e implementandos o revisados o actualizados durante la adaptación. Dentro de ello, también, las medidas de seguridad en soporte papel o no automatizado -obviadas por muchos.-

- Formación. Que la misma puede ser inicial, final o ambas con la finalidad de que los intervinientes los que van a tratar datos personales, al menos, conozcan las principales exigencias y modo de actuación en el tratamiento de datos personales.

Son muchos los extremos y no quiero ser aburrido, pero tras esto, la pregunta es: ¿Es posible efectuarlo de una forma personalizada a un coste muy por debajo, tomando como referencia, de forma orientativa, los criterios de los Colegios de Abogados? Contesten los que tengan respuesta.

Siempre teniendo en cuenta que pueden existir otras opiniones en contrario, solamente he intentado trasladar una realidad que creo es palpable y, que creo en mi obligación, no sé, si decir, denunciarlo o, al menos, simplemente, expresarlo. Las que denomino pseudo-auditorias o pseudo-adaptaciones, pueden conllevar un gran riesgo para las empresas que escogen este tipo de prestaciones.