Las Pseudo-Auditorías de Protección de Datos
Más que un artículo o publicación es una opinión desde mi
experiencia como consultor y especialista en nuevas tecnologías y protección de
datos personales, sobre lo que denomino, de forma "suave", las pseudo-auditorias
o adaptaciones a la normativa de protección de datos.
La verdad es que cuando posibles clientes contactan conmigo
y me solicitan presupuesto para adecuarles en materia de protección de datos y,
tras efectuarles una batería de preguntas considerables, con la finalidad de
poder ser lo más objetivo a la hora de preparar el presupuesto, me comentan que
hay empresas que por una cantidad de dinero exigua les hacen el servicio. Al
principio me quedaba sorprendido, porque me preguntaba ¿Es posible que esté
cobrando un servicio jurídico muy alto? ¿Será que esas terceras empresas
ofrecen el mismo o similar servicio de adecuación? Si lo hacen por ese precio
y, presuponiendo, con la misma eficiencia ¿Dónde están los márgenes de
beneficio?
Muchas preguntas que, sin hacer cambiar mi filosofía de adaptación, se respondieron solas, con el paso del tiempo, cuando por casualidad, "tenía que entrar" a efectuar una nueva adaptación a una de esas empresas que habían preferido escoger un servicio muchísimo más barato. Entonces, te paras a reflexionar y te das cuenta que tú filosofía, tus objetivos, tus servicios personalizados y a medida son, los que desde un principio has establecido, los adecuados para un verdadero profesional con conocimientos jurídicos-científicos en adaptaciones de protección de datos.
De igual forma, eres consciente que te encuentras en un
libre mercado, demanda y oferta, competidores y clientes, pero que esa demanda
se encuentra en una posición ambigua, es decir, es aprovechada por el
desconocimiento de los clientes en una materia completamente desconocida. A
fecha de hoy, así lo considero, a pesar de que existan numerosos cauces para
tener un mejor conocimiento sobre la materia, no así de los procedimientos para
que dicha materia se aplique en las empresas o clientes.
Pero, ¿cómo
saber si estamos ante una empresa o un profesional adecuado que sepa realizarme
una perfecta adaptación? Primero, y como continuación del precedente, difícil,
salvo que se conozcan de manera orientativa los procedimientos y cuáles son los
principales extremos u objetivos que se precisan. Segundo, y no con ello quiero
que se malinterprete, no me "fío" de los software estándar de
adaptaciones, no por nada en especial, sino porque trasladan toda la obligación
al cliente a la hora de establecer las medidas de seguridad, las medidas
organizativas y las medidas legales. Tercero, una adaptación sin que la empresa
o el profesional, en una de sus primeras intervenciones, haga "poner"
encima de la mesa todas las relaciones - contratos existentes y además efectúe
entrevistas, al menos, con la/s persona/s responsable/s del área informática,
mal encaminada se presume la adecuación. Cuarto, una empresa que te vende que
dará de alta "doscientos" ficheros, no es buena señal, así como
tampoco la empresa o profesional que te oferta exclusivamente la notificación
de ficheros ante la AEPD.
A lo mejor,
os preguntáis, por qué realizo estos comentarios. Por experiencia y porque han
hecho mucho daño campañas aglutinadas en la Fundación Tripartita, empresas que
se han "subido al carro" de las adaptaciones haciendo una pequeña
adecuación de la documental que la AEPD pone a disposición en su Página Web y
las "venden" en sus servicios de adaptaciones, empresas de servicios
que simplemente notifican ficheros, y demás actuaciones, que las hay de todo
tipo y de todos los colores. Soy de los profesionales, a lo mejor utópicos, que
un buen Documento de Seguridad, en ningún caso, es un documento de
recomendaciones, sino un documento donde se ha de contemplar las medidas
existentes, pequeñas o grandes, que una empresa establece o actualiza para
adaptarse a las medidas de seguridad contempladas en el RDLOPD. Soy de los
profesionales que creen que su trabajo de adaptación es buscar soluciones que
se adapten a la realidad social, económica y humana de la empresa que se
adapta, siempre con la finalidad que la adecuación se encuadre buscando la
proporcionalidad de sus recursos con el cumplimiento de la normativa.
Dado que no es ni será la última vez que tengo que sacar del
"atolladero" a empresas a las que le han realizado una
pseudo-adecuación, brevemente, expondré lo que considero que se debe llevar a
cabo en una adaptación, pudiendo existir matices, teniendo en cuenta que, soy
de los que opino que toda adecuación se ha de efectuar de una forma
personalizada, inclusive en empresas del mismo sector de actividad.
- Estudio
previo. Conocer la arquitectura informática de la empresa. Conocer la
organización empresarial. Conocer las aplicaciones informáticas. Conocer las
relaciones jurídicas existentes. Conocer la forma de trabajar
informáticamente.
- Estudio de
la información. Conocer qué tipo de datos se tratan, para qué finalidades. Qué
tipo de medios de comunicación se disponen. A través de qué medios se recaban
datos personales. Tratamiento de información, hacia dentro y hacia fuera de la
empresa.
- Recomendaciones.
Me resulta indispensable que con la información de campo recogida no se haga un
documento en el que se inserten detalladamente las deficiencias encontradas,
las recomendaciones para solucionar las mismas, los riesgos que se asumen y,
ante todo, conociendo la empresa, qué tipo de medidas son las que se adaptan
mejor.
- Adaptación
legal de todo tipo de medidas legales, desde leyendas, clausulado específico,
contratos de encargado de tratamiento, adecuación de medios de comunicación y recogida
de datos. Protocolos de actuación y demás parejos.
- Ejecución.
Por ello, me refiero a redactar el documento de seguridad con todos sus
extremos a la realidad o a los resultado obtenidos e implementandos o revisados
o actualizados durante la adaptación. Dentro de ello, también, las medidas de
seguridad en soporte papel o no automatizado -obviadas por muchos.-
- Formación.
Que la misma puede ser inicial, final o ambas con la finalidad de que los intervinientes
los que van a tratar datos personales, al menos, conozcan las principales
exigencias y modo de actuación en el tratamiento de datos personales.
Son muchos los extremos y no quiero ser aburrido, pero tras
esto, la pregunta es: ¿Es posible efectuarlo de una forma personalizada a un
coste muy por debajo, tomando como referencia, de forma orientativa, los
criterios de los Colegios de Abogados? Contesten los que tengan respuesta.
Siempre teniendo en cuenta que pueden existir otras
opiniones en contrario, solamente he intentado trasladar una realidad que creo
es palpable y, que creo en mi obligación, no sé, si decir, denunciarlo o, al
menos, simplemente, expresarlo. Las que denomino pseudo-auditorias o
pseudo-adaptaciones, pueden conllevar un gran riesgo para las empresas que
escogen este tipo de prestaciones.