Aprovechando un largo viaje de trabajo voy a intentar reflexionar y escribir acerca de la auditoría, y especialmente la relacionada con datos personales, recogiendo y comentando las inquietudes de los clientes y algunas de las opiniones de mis compañeros.

Sin duda la auditoría es muy antigua: al menos de la época de los romanos, y para otros ya existía con los sumerios, y en cualquier civilización con inquietud por la verificación independiente habrá habido lo que hoy llamamos auditoría.

La auditoría informática no puede ser anterior a la aparición de los ordenadores (éstos, de finales de los años 40, son anteriores al término francés informática), y sin embargo podríamos suponer que habrá habido auditoría de sistemas de información desde hace siglos, ya que los sistemas de información son "de casi siempre", a lo largo de las diferentes civilizaciones.

Mi primer contacto con la auditoría que hoy llamamos informática fue el año 1969: como auditado sin apenas responsabilidad: más bien como entrevistado, ya que era analista programador y a la vez técnico de sistemas (hoy día funciones incompatibles, en una filosofía de segregación de funciones), y era una auditoría de proceso electrónico de datos.

No obstante, la generalización del uso del término auditoría de sistemas de información es más reciente, cuando la propia área se empezó a llamar así, lejos ya de denominaciones como Mecanización o la citada de Proceso (electrónico) de Datos.

Para algunos sería lo mismo Informática y Sistemas de Información, pero la Informática la podemos relacionar con la tecnología (sin entrar en divisiones y simplificando mucho), y los sistemas de información pueden abarcar ficheros no automatizados, así como procesos manuales dentro de sistemas generales automatizados.

También podríamos hablar de auditoría de la/s tecnología/s de la información, pero en todo caso lo importante puede ser definir claramente el objetivo de un proceso de auditoría: qué se quiere revisar, y eso determinará qué ver y cómo verlo, y con qué compararlo.

La auditoría de datos personales, al menos como parte de procesos de auditoría más amplios, tiene antigüedad de al menos varias décadas, pero su importancia y a la vez el quebradero de cabeza para muchos se originó en junio de 1999 cuando apareció el Reglamento de medidas de seguridad, que referido a ficheros automatizados exige la auditoría para ficheros de determinados niveles, como se recordará después.

En el borrador de Reglamento de medidas de seguridad que recibimos en febrero de 1999 figuraba auditoría informática, que sugerimos sustituir por auditoría de sistemas de información, si bien en una reunión de la Agencia (Española) de Protección de Datos, en una discusión a la que asistimos atónitos y al defender nuestra sugerencia, otros sugirieron quitar todos los adjetivos, como finalmente hicieron.

Para el próximo Reglamento se podría reconsiderar, y al pasar a ser exigible la auditoría tanto para ficheros automatizados como para los no automatizados, en mi opinión estaría justificado hablar de auditoría de sistemas de información.

Si recurrimos a algunas definiciones, Ron Weber, en la obra de 1988 que conservo: EDP Auditing (siendo EDP Electronic Data Processing, y el título de la última edición es Information Systems Control and Audit), [1] definía EDP Auditing como: el proceso por el que se recoge y evalúan evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, alcanza las metas empresariales de manera efectiva y consume los recursos de un modo eficiente.

Lógicamente no haría falta que fuera un sistema informático, pero en la práctica lo será en la inmensa mayoría de los casos.

En algún caso extremo un encargo podría consistir en la revisión solamente de un fichero no automatizado, pero en la mayoría de los casos los ficheros serán al menos en parte, y probablemente en su totalidad, ficheros automatizados (con lo que generalmente no serán técnicamente tales ficheros sino partes de bases de datos, pero es un matiz que no es importante), y si se quiere una revisión adecuada y suficiente desde el punto de vista técnico, y no únicamente preguntar a los interlocutores si cumplen cada punto del Documento de Seguridad, será necesario revisar parámetros de sistemas operativos y de gestores de bases de datos, posibles logs, y ver el funcionamiento de aplicaciones y paquetes.

La norma ISO 7498-2 ya consideraba hace años que Auditoría de la Seguridad era: Una revisión y examen independientes de los registros y actividades de un sistema a fin de verificar si los controles del sistema son adecuados, para garantizar el cumplimiento con la política establecida y con los procedimientos operativos, para detectar problemas de seguridad, y para recomendar posibles cambios en la política de control y en los procedimientos.

Quién debería hacer auditorías

Hay quienes piensan que quien superara unos estudios, o demostrara una experiencia adecuada, o ambas cosas. Lo cierto es que existe regulación para la auditoría de cuentas, pero no hay nada en cuanto a auditores relacionados con la informática o con los datos personales.

No estoy seguro de que sea necesario regular la actividad, pero si se hiciera sé desearía que se “hiciera bien”, y no se dejara fuera a tantos buenos profesionales que puede haber, ni se dejara acceder a quien no estuviera debidamente preparado.

Mientras tanto, y como en todo lo que huele a oportunidad de negocio surgen por los rincones claros oportunistas que por unos mil euros ofrecen una auditoría a distancia contestando el cliente un cuestionario.

No es lo mismo llamar a un familiar o amigo médico para que nos aconseje, que hacer un diagnóstico por teléfono o por correo electrónico.

Además de la necesidad de evidencias en el caso de la auditoría, la entrevista presencial y la interactividad nos pueden aportar información muy valiosa.

Al no haber regulación, y como en muchos otros servicios: restaurantes, fontaneros, pintores… los posibles usuarios se rigen por la intuición y por las referencias que les aporten clientes anteriores. Pero el haber elegido mal supondrá pérdida de tiempo y de dinero para los clientes.

Una buena práctica consiste en hacer lo que han hecho con nosotros en algunas ocasiones: convocar a quienes haríamos el trabajo y un equipo de personas del cliente hacernos una serie de preguntas acerca de las verificaciones que haríamos y cómo, y una vez superada la prueba asegurarse de en qué porcentaje participaría en el proyecto cada uno de los auditores examinados.

Un aspecto importante es el grado de actualización de conocimientos y experiencias: no sólo en cuanto a riesgos, controles, versiones de paquetes y sistemas… pensemos en lo que ha variado, por ejemplo, la seguridad respecto a Internet, y lo poco útil que resultaría verificar ahora como lo hacíamos hace pocos años.

Determinar el objetivo

Volviendo al objeto, es muy importante aclararlo, así como el ámbito, el alcance y la profundidad del proceso de auditoría.

A veces el cliente da por hecho que con decir auditoría de seguridad, auditoría LOPD o incluso Auditoría de Reglamento no puede haber dudas.

Un pintor (de brocha) saca el metro, nos hace unas preguntas y con una calculadora nos da un presupuesto para pintar el piso o local, pero en la auditoría hay muchos factores a determinar.

En cuanto al objeto, y generalizando: si la auditoría es de seguridad, de calidad de servicio, de gestión, relacionada con una certificación, para investigar un fraude…

De datos personales

Centrándonos en los datos personales, lo más probable será que aun llamándola auditoría LOPD se quiera sólo la que exige el Reglamento de medidas de seguridad vigente (en realidad de la LORTAD), o del nuevo Reglamento cuando supere su largo periodo de gestación. Así, pueden surgir dudas como:

• Cuántos ficheros existen susceptibles de auditoría: de niveles medio, alto y relacionados con el artículo 4.4 del actual Reglamento; se contrastarán ficheros y niveles y a veces surgen más de los considerados y declarados, o los niveles son diferentes
• Si además se quiere revisión de ficheros de nivel básico: en algún caso prefieren que en otro informe
• Si de verdad se quiere una revisión de cumplimiento de LOPD ¿en un informe aparte, ya que hay aspectos de LOPD que no exige el Reglamento? Puede referirse a contratos, leyendas, los diferentes principios de la LOPD, acerca del origen de los datos, consentimientos, usos y finalidades, posibles cesiones, la salida internacional de datos…
• Solemos confirmar que existe/n Documento/s de Seguridad y que los ficheros están declarados, ya que en varias ocasiones querían encargar la auditoría para que precisamente se elaborara Documento de Seguridad, hacer las declaraciones… y luego la auditoría: de ahí la necesidad de aclarar todo bien
• Es importante saber si hay encargados de tratamiento, que a veces son los que soportan los tratamientos importantes y críticos, y que pueden estar en otras ciudades.

Lo anterior y algunas preguntas más nos ayudarán a determinar el ámbito:

• Si el trabajo es para una entidad jurídica, si son varias de un grupo, y la complejidad organizativa
• La dispersión geográfica de edificios, de centros a visitar y de personas a entrevistar
• El soporte que nos van a dar: desde coordinar la recepción de toda la documentación necesaria y la organización de todas las entrevistas, a darnos cuentas de correo interno y acceso a la Intranet y “que nos apañemos”.

También debemos estimar y confirmar la profundidad que se espera de nuestro trabajo: la mínima es la que nos permita alcanzar evidencias para sustentar nuestros informes, lo que mediante entrevistas, análisis y muestreos puede ser suficiente, pero en ocasiones quieren que se verifiquen la totalidad de perfiles de los usuarios, el seguimiento de todas las incidencias, investigar hechos anteriores… aspectos que en todo caso tendrán un coste y un esfuerzo.

(En los muestreos es importante que las muestras sean representativas, y que podamos llegar a conclusiones similares a las que alcanzaríamos si hubiéramos evaluado todos los casos, y que podamos estimar el margen de desviación).

A partir de los puntos anteriores se estimarán la complejidad y el esfuerzo y tiempo, los recursos necesarios y el presupuesto, y se hará la planificación correspondiente, que internamente se relacionará con el programa de auditoría.

Según el objetivo así se determinarán las fuentes de información y de documentación más idóneas, las pruebas a realizar, las personas a entrevistar, las posibles herramientas a utilizar, las técnicas... hasta llegar a alcanzar las evidencias necesarias para poder evaluar la situación y determinar las posibles debilidades o incumplimientos, y recomendaciones.

¿Auditoría interna o externa?

Todo esto pensando en que la entidad se esté planteando encargar una auditoría externa, porque a menudo es interna, y en ocasiones se preguntan (o incluso nos preguntan) qué criterios se podrían seguir para elegir una u otra.

Probablemente no tengo la suficiente objetividad pero aporto puntos, pensando en que puedan servir para decidir si interna o externa, y también para decidir qué tipo de revisión:

• Si se trata de evaluar riesgos, o bien sólo de tener un informe para cumplir por si acaso lo piden de la Agencia correspondiente. ¿Obtendríamos un certificado médico, por ejemplo para carné de conducir, en un sitio donde nos miren poco? ¿o llevaríamos el coche a una revisión / ITV a un sitio en que pasaran por alto deficiencias?
• ¿Es necesaria cierta profundidad: técnica, de aspectos legales en su caso…?
• ¿Cuál es el presupuesto? La interna suele ser más barata o no se calcula el coste, lo que no significa que la externa no pueda ser más rentable. En la interna es necesario considerar el coste empresa de los internos y las revisiones que hacen a lo largo del año; y de internos y externos también como factores indirectos: el impacto en la operativa de la entidad, es decir las jornadas persona de interlocutores, pero a la vez debemos tener en cuenta que el pensar en la auditoría puede constituir una medida disuasoria, igual que la motorizada en el tráfico.

Una combinación de interna y externa cada varios años puede ser una buena alternativa para algunas entidades, y de ese modo hay contraste. A veces nos han pedido que los internos estuvieran presentes en todo el proceso, que les aportáramos listas… y no hemos tenido dificultad en hacerlo, frente a algunas multinacionales que normalmente no lo hacen.

En algunos casos han sido los internos los que han sugerido una auditoría externa, por ejemplo por complejidad técnica. A veces (en todos estos casos son entidades diferentes), hemos recomendado en los informes que se creara la función de auditoría interna.

En el nuevo Reglamento, si se mantiene el contenido de algún borrador difundido, la entidad ha de comunicar a la Agencia la fecha del informe y si se ha tratado de un auditor / una entidad auditora internos o externos. Con la fecha la Agencia puede saber fácilmente qué entidades con ficheros susceptibles de auditoría no han cumplido en plazo el trámite, y no se puede deducir en principio nada a partir de si es interno o externo, pero sin duda será un dato útil para la Agencia.

Centrándonos ya en la externa podemos plantearnos si es necesario un contrato. Es deseable, si bien en la práctica en muchas ocasiones, especialmente en los trabajos menores existe una aprobación más o menos formal de la propuesta, a menudo todo por correo electrónico (sin firma). Y es más frecuente cuando la ciudad del cliente y la de la entidad auditora son diferentes, y en especial si ha habido otras auditorías anteriores.

La propuesta debiera ser suficientemente detallada como para que el cliente sepa bien en qué va a consistir la asistencia y pueda aprobarla o no con conocimiento de causa.

En ocasiones las peticiones a los proveedores (RPQs o similares en terminología de las multinacionales), o Pliegos de Condiciones, especialmente en el caso de administraciones públicas, exigen formatos y particularidades.

Uno de los aspectos exigidos puede ser el plazo de ejecución, a veces desglosado en un Plan de Actividades, y cuyo posterior cumplimiento no suele depender sólo de los auditores, o bien surge la aprobación en vísperas de agosto o de las fiestas navideñas, después de meses.

Podemos indicar en las propuestas otros trabajos similares realizados, sobre todo para el mismo sector de actividad, de forma más genérica o con referencias más de detalle, o bien aportar éstas de forma verbal si procede, y en ocasiones preguntan por interlocutores, para verificar.

Otro aspecto que valoran es saber el perfil de las personas que van a realizar el trabajo, que siempre damos a conocer, si bien a veces las personas concretas dependerán de las fechas, cumpliendo o elevando el perfil comprometido.

El equipo humano

Un aspecto importante, que en nuestro caso cumplimos, es que en este tipo de auditorías, el equipo humano sea adecuado y preferiblemente multidisciplinar, por la complejidad que entraña la protección de datos; en los proyectos más completos se trata de:

• Contrastar el nivel de los ficheros en función del contenido de los campos, y considerando los de texto libre, que a menudo elevan el nivel del fichero, por ejemplo en los de candidatos a empleo
• Analizar los Documentos de Seguridad, su idoneidad y elnivel de cumplimiento
• Contrastar las declaraciones realizadas a la Agencia de Protección de Datos correspondiente
• Verificar leyendas, cláusulas y contratos, si es el caso
• Realizar verificaciones técnicas, y según en qué plataformas estén los ficheros (automatizados): gestores de bases de datos (ORACLE, DB2, SQL SERVER…), bajo qué sistemas operativos (WINDOWS 200x SERVER, UNIX / LINUX, z/OS…) y si son aplicaciones, paquetes o superpaquetes ERPs como SAP R/3, PeopleSoft, BAAN u otros como NAVISION o MILENA

Fases

Las fases de realización del trabajo pueden ser las siguientes:

• Recopilación de información y documentación previas: ficheros declarados y niveles, actividad de la entidad, que a veces en parte se puede obtener de su WEB, o de la Intranet con la oportuna autorización de acceso
• La documentación que nos facilita la entidad a veces es muy completa y estructurada, en un CD especialmente producido con toda la normativa, la descripción de los sistemas, los Documentos de Seguridad…; y en otras ocasiones por el contrario se produce un goteo como respuesta a cada petición y el proceso se alarga.

  Puede depender de las veces que hayan sido auditados: hay encargados del tratamiento que prestan servicios a muchos clientes que no tienen más que actualizar el dossier, así como también de la voluntad de las personas. (Un caso especial fue el de un antiguo auditor de una multinacional, responsable de un encargado de tratamiento, que facilitó las cosas de una forma extraordinaria, y que curiosamente no podía evitar a veces ver el proceso desde su función anterior

• El ver buena voluntad por parte de los auditados, sinceridad (a menudo explican las debilidades antes de llegar a ellas), y sobre todo veracidad, facilita mucho las cosas; el darnos cuenta de alguna omisión intencionada o tergiversación nos pone sobre aviso y nos obliga a contrastar los puntos más evidentes, ante la duda
• De todo lo que recibamos mantendremos la confidencialidad, y así lo hacemos constar en la propuesta, y en caso necesario firmamos un compromiso especial según estándares de la entidad auditada, sobre todo multinacionales o entidades relacionadas con el sector Defensa.

  Entenderemos que algo se nos deje pero para devolverlo al final de cada jornada, y no sacarlo de las instalaciones del cliente, que veamos un acta pero que sólo nos hagan copia de la parte que nos afecta, y sobre todo que hayamos de custodiar y al final devolver o destruir lo recibido (documentos o soportes), si bien pasado un tiempo prudencial para poder sustentar los informes y posibles dudas subsiguientes

• En la fase de análisis (sin que haya una separación absoluta entre fases, pero sí ciertas precedencias) estudiaremos la documentación y haremos pruebas técnicas
• Intercalaremos entrevistas para pedir aclaraciones, y para entender mejor la documentación, los sistemas, los procesos y los controles
• Las verificaciones pueden consistir en la revisión de un documento, una prueba de una aplicación, un muestreo (por ejemplo de perfiles y autorizaciones de usuarios, de incidencias del registro correspondiente…), para lo que se pueden utilizar técnicas y herramientas, como podría ser para ver los puertos y servicios abiertos en un punto de una red de comunicaciones, o las reglas de un cortafuegos, o si la contraseña de administrador estándar de un sistema ha sido cambiada… es muy variado
• Toda la información recopilada constituye lo que los auditores de cuentas han denominado siempre papeles de trabajo aunque en buena medida actualmente pueden ser documentos electrónicos, recibidos a través de correos o pasados a dispositivos a través de puerto USB, CDs…
• En cuanto es posible se va iniciando el borrador del informe (y a veces se prepara con antelación el esqueleto para luego ir cubriendo) generalmente cada parte por quienes están realizando las verificaciones correspondientes, y alguien más revisa dicho informe en conjunto
• Hemos de alcanzar las evidencias suficientes para sustentar nuestro informe, y de lo contrario hemos de seguir profundizando en las pruebas: más pruebas sustantivas, muestreos más amplios, entrevistas más profundas o a más interlocutores… y si no alcanzamos la evidencia no debemos recoger el punto en el informe, y explicarlo así según los casos
• Los borradores tienen varios niveles de revisión antes de la entrega al cliente: los propios autores revisan lo escrito, después suele haber una revisión cruzada y finalmente una revisión general de enlace y coherencia entre las diferentes partes, y para preparar o revisar las conclusiones / resumen para la Dirección. En cualquier momento quien revisa puede preguntar la base de un punto, si se han considerado controles compensatorios, la calificación de un riesgo o la redacción de un párrafo confuso, para que se justifiquen contenidos, se consideren verificaciones complementarias o se aporte una redacción más clara
• Aunque haya varias revisiones y el producto final esté muy depurado lo que se entrega al cliente sigue siendo un borrador (a veces después no hay que variar nada y sólo imprimir de nuevo sin la palabra borrador), y no es como gentileza sino que así son las reglas del juego, y hemos de admitir que nos hemos podido equivocar
• Pero no se trata de eliminar del informe lo que se haya arreglado con posterioridad, porque aunque se actualice lo reflejado, no es lo mismo que algo estuviera ya bien, o que la auditoría lo haya detectado y ya se haya arreglado: es un valor añadido del proceso de auditoría
• En el informe, además de la palabra BORRADOR visible: en otro color o en letra hueca en transversal en cada página, tanto en éste como en el definitivo ha de figurar CONFIDENCIAL (o la calificación que correspondiera según estándares de la entidad), y borradores e informes definitivos entregarlos únicamente a quien nos digan quienes hayan encargado el trabajo, que en ocasiones se nos ha pedido en CD y con clave. (Si se prevén varias versiones es mejor indicarla en la portada y en cada página)

  Por ejemplo, si el responsable del fichero es quien encarga el informe, no debemos entregarlo al encargado del tratamiento, si bien habremos de contrastar determinados contenidos

• Respecto a la entrega, cuando se trata de las personas responsables de las áreas auditadas, querrán tenerlo con tiempo suficiente para examinarlo y preparar la defensa, si bien personalmente prefiero que se haga una revisión “en vivo” en una reunión que dure todo el tiempo necesario
• Si se envía el borrador por medios electrónicos es mejor protegerlo contra escritura y que vaya con clave / firma, y cifrado si viaja por vías no seguras, y el correo electrónico sin más no es una vía segura, y los propios técnicos del cliente podrían llegar a leerlo, aunque de forma no autorizada
• A veces el cliente, interpretemos que por ayudar ¿por ayudarse? modifica contenidos sobre un borrador o añade frases como: Esto eliminar porque ya arreglado, o bien: Suprimir porque preocuparía a la Dirección… Aunque se trate de quien haya encargado y vaya a pagar el informe, ha de entender que es “nuestro informe”
• En el caso de auditoría externa, con la entrega del informe final y la posible presentación a la Dirección, normalmente habrá terminado la asistencia; si es auditoría interna, lo habitual será un seguimiento periódico del Plan de Acción para informar a la Dirección, que con frecuencia hacen también respecto a la externa.

Sobre el contenido del informe

Lo cierto es que se pueden cumplir los objetivos con estructuras, estilos y extensiones de informe bien diferentes; así, un informe puede ser escueto, como la mayoría de los de auditoría de cuentas, especialmente si existe un cumplimiento total y riesgo cero (en mis dieciséis años de experiencia como auditor informático sería la primera vez), pero es preferible explicar los entornos y los puntos y extenderse lo necesario, pero sin usar el número de páginas como métrica para facturar.

En todos los casos, después de una introducción deben aparecer las conclusiones, que si no van en documento aparte se incluyen para que quien lo lea, especialmente de nivel directivo, pueda hacerse una idea y entender la esencia: después de una revisión médica queremos saber la situación resumida, con independencia de todos los detalles posteriores.

Reflejamos la situación de ficheros y su contenido, confirmando el nivel que tengan asignado, o justificando la recalificación sugerida.

Se reflejan datos de las declaraciones, y posibles carencias y aspectos no actualizados.

Si se ha pedido revisión de aspectos legales: contratos, leyendas… se incluyen: en el mismo o en otro informe específico, según hayan pedido.

Si se trata de revisar instalaciones y procesos que realiza un encargado del tratamiento para contrastar será necesario considerar las medidas de seguridad que se hayan recogido en el contrato.

Si es una auditoría de LOPD, es decir de su cumplimiento, se pueden revisar aspectos como los ya indicados anteriormente.

En cuanto al contenido de la parte técnica del informe, se trata de ver el cumplimiento de cada punto del Reglamento (y del Documento de Seguridad aplicable), en algunos casos como contraste entre la realidad y el texto del artículo, si bien en otros casos no será tan simple, y se requerirá la aplicación de la interpretación del auditor, que debe quedar explicada.

En los casos en que existan incumplimientos será necesario justificarlos y explicar por qué no se cumple el punto correspondiente.

En todos estos casos, así como cuando se pueda reforzar el nivel de control, se deben incluir recomendaciones razonables, según el nivel de riesgo, y a veces aun a sabiendas de que no se va a llevar a cabo la variación o implantación, o no en un periodo de tiempo. En otros casos se habrá comentado la situación, aunque no sea objeto de recomendación, por ejemplo porque sería desmedida: podemos decir que no hay arcos detectores ni vigilante de seguridad en una empresa que está en un piso relativamente pequeño, pero podría ser desproporcionado recomendarlo.

Plan de Acción

El cliente siempre agradecerá que se le aporte un Plan de Acción, e incluso lo habrá exigido expresamente; en nuestro caso lo que hacemos es calificar las recomendaciones en columnas diferentes en cuanto a:

• Riesgo: bajo, medio o alto, basándonos en qué se incumple, o en amenazas y sus probabilidades
• Plazo sugerido de solución: corto, medio o largo, que estará relacionado con el nivel de riesgo
• Coste: bajo, medio o alto; el intentar precisar más puede ser muy difícil, y quedar fuera del objeto de la auditoría
• Dificultad: baja, media o alta: a veces será sólo el cambio del valor de un parámetro, pero otras supondrá un cambio organizativo que afecte a cientos o a miles de usuarios, con posible rechazo de éstos, por ejemplo cambiar periódicamente las contraseñas sin haberlo hecho hasta ahora.

La Dirección de la entidad tendrá que fijar prioridades, según el nivel de riesgo que pueda y quiera asumir. Puede pedir aclaraciones a los auditores, y la decisión final será suya.

Teóricamente se trata de abordar preferentemente los puntos con riesgo alto, plazo corto, y dificultad y coste bajos, y en la mayoría de los casos suele haber puntos que cumplen todo esto.

En cuanto al resto de puntos puede ser más difícil: por interdependencia de proyectos, por prioridades corporativas diferentes, debido a limitaciones presupuestarias… o por no disponer de recursos técnicos, en cuyo caso se podría subcontratar la implantación.

Como un paso más se podría aportar un cuadro de indicadores como en el caso de un chequeo de salud, y que el cliente pueda comparar el contenido con otros periodos para ver la evolución: lo cierto es que se van corrigiendo deficiencias pero a la vez surgen riesgos nuevos, o comparar con otros centros, con otras empresas del mismo grupo, con otras del sector: benchmarking…

Ya vista con más detalle la auditoría de datos personales podemos volver a plantearnos, para este tipo de auditoría específica, quién puede (y debe) hacer auditorías de datos personales, podemos diferenciar:

• Respecto a quien puede, no hay una imposibilidad clara respecto a ningún colectivo o perfil, en contra de lo que es aplicable a profesiones o actividades para las que se puede exigir una titulación, colegiación, habilitación o certificación. Se exige independencia del área auditada, y perfil y experiencia apropiados
• En cuanto a quien debe, podríamos aplicar lo comentado: independencia, perfil y experiencia referida a la auditoría más general de datos personales, a la de LOPD (como tal no exigible en el Reglamento), o a la específica que exige el Reglamento

En este último caso el perfil y experiencia pueden ser los de un equipo especializado y multidisciplinar, y parece evidente que un conocimiento adecuado del propio Reglamento, y en el caso del nuevo al menos la parte relacionada con la auditoría, así como experiencia adecuada en los sistemas de información y en la verificación de medidas.

Es imprescindible poder entender lo que se está evaluando, igual que en medicina, en fontanería o en un juzgado, por poner ejemplos heterogéneos.

Volviendo a la independencia, recordemos lo que se cita en muchos sitios respecto a los auditores, que recogíamos en una obra[2]: Sed quis custodiet ipsos custodes, que Juvenal escribió a finales del siglo I o principios del siglo II, y que aunque se refiere a guardianes o vigilantes podemos asimilar a auditores y la necesidad de independencia y limpieza en su trabajo, máxime cuando de ven en cuando se conocen casos que van en contra de esos principios, aunque no se refieren a la auditoría informática.

[1] WEBER, Ron. EDP Auditing: Conceptual Foundations and Practice, 2d ed. (New York: McGraw-Hill Book Company, 1988). Information Systems Control and Audit. Upper Saddle River, NJ. Prentice-Hall, 1999.

[2]Del Peso Navarro, Emilio; Ramos González, Miguel A. La seguridad de los datos de carácter personal. Ed. Díaz de Santos, 2002. P. 79.