IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. La auditoría y el Reglamento Europeo de Protección de Datos (RGPD)

Artículos - Protección de Datos de Carácter Personal

La auditoría y el Reglamento Europeo de Protección de Datos (RGPD)

Miguel A. Ramos
Doctor en Informática, CISA
Socio
IEE - Informáticos Europeos Expertos

Nos referimos al Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

Algunos, candidatos a “sufrir” auditorías, decían respirar tranquilos porque el RGPD no tenía artículos que exigieran auditorías, y ha habido otros (auditores y asimilados oportunistas) que veían un horizonte amplio de posibilidades de negocio, porque el RGPD no limita el ámbito y periodicidad de las auditorías sino que pueden entenderse amplias e imprescindibles.

Lo cierto es que estamos acostumbrados a la exigencia directa de auditorías desde el Reglamento de medidas de seguridad (Real Decreto 994/1999, de 11 de junio) hasta el Reglamento de desarrollo de la LOPD o RDLOPD (Real Decreto 1720/2007, de 21 de diciembre), sin que ni LORTAD ni LOPD incluyeran nada concreto al respecto, ni la propia Directiva 95/46/CE. Es decir, la auditoría era una exigencia “local”, de España, y bienvenida sea ahora su inclusión, seguro que en beneficio de todos.

El RGPD se refiere a auditoría o a auditores:

• En el artículo 28 – Encargado del tratamiento, y en concreto en el apartado h) del punto 3: Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Hemos venido recomendando desde hace años que figurara algo así en el contrato de prestación de servicios, por situaciones que hemos vivido en las que el encargado se negaba a dar facilidades.

• En el artículo 39 – Funciones del delegado de protección de datos, como una de ellas: supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

Se deduce que las auditorías no las debe hacer el DPO (DPD en español), que más bien puede tener funciones de implantación, supervisión y control interno, y que como una línea de defensa más, la auditoría –interna o externa- revisara si se cumple lo anterior, incluido el cumplimiento de las funciones del propio DPO, lo cual no impide que este supervise las auditorías, que puede ser promover su encargo, coordinar su realización sin entorpecer la independencia de los auditores internos o externos, y garantizar que los informes llegan al nivel adecuado, se analizan, se considera la implantación de recomendaciones y se ponen en marcha las aprobadas. (En la práctica los DPDs harán algunas auditorías, especialmente en entidades pequeñas).

• En el artículo 47 – Normas corporativas vinculantes, se indica que dichas normas especificarán varios elementos, y entre ellos: los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado.

• Además, en el artículo 58 – Poderes, referido a los de “cada autoridad de control”, se incluye entre los poderes de investigación: llevar a cabo investigaciones en forma de auditorías de protección de datos, que en el caso de las autoridades de control en España puede que establezcan como inspecciones, que con frecuencia asociamos con posibles sanciones.

Recordemos que puede haber auditoría interna o externa, o ambas y cada una en su momento, con el objetivo, alcance y profundidad que se determinen en cada encargo, pero que en todo caso pueden combinarse una auditoría de cumplimiento y una auditoría de seguridad – riesgos.

La finalidad de la auditoría puede ser única o referirse a más de un objetivo. Lo habitual será querer conocer las debilidades e incumplimientos, y puede ser para tener garantías de que la entidad está cumpliendo y así disminuir riesgos, o porque se lo exija la entidad matriz, en algunos casos multinacional extranjera, o que por ser un encargado del tratamiento se lo exijan sus clientes, o que sin una exigencia específica la entidad quiera tener un informe que si es favorable constituya un argumento comercial.

La profundidad mínima será la que nos permita alcanzar evidencias para sustentar nuestros informes, que mediante entrevistas, análisis y muestreos puede ser suficiente, pero en ocasiones se requiere verificar los perfiles de todos los usuarios, el seguimiento de todas las incidencias, investigar hechos anteriores… y habrá que saber esto con antelación para estimar el presupuesto y la duración, y en el caso de los internos al menos esta.

En el caso de muestreos es importante que las muestras sean representativas, que podamos llegar a conclusiones muy similares a las que alcanzaríamos si hubiéramos evaluado todos los casos, y que podamos estimar el margen de desviación.

Al determinar el alcance será necesario matizar qué entidades abarca si es un grupo de empresas, qué tratamientos y procesos, qué ubicaciones y centros, qué unidades organizativas… y en el caso de investigaciones concretas el periodo de operaciones a analizar.

Para cumplir el RDLOPD la auditoría obligatoria se ha venido refiriendo a ficheros / tratamientos con datos de nivel superior al básico, si bien algunos clientes pedían también auditoría referida a los de básico, en muchas ocasiones en un informe diferenciado al no ser obligatoria. En el RGPD no se especifica nada.

Siguiendo con el alcance, la auditoría de cumplimiento debiera verificar en qué medida se cumple el propio RGPD y cualquier norma complementaria de las autoridades de protección de datos que resulte aplicable, así como la normativa interna de la entidad y además su grado de alineamiento con el RGPD, y contratos y compromisos que afecten.

Según el objetivo así se determinarán las fuentes de información y de documentación más idóneas, las pruebas a realizar, las funciones ¿y personas? a entrevistar, las posibles herramientas a utilizar, las técnicas a aplicar... hasta llegar a alcanzar las evidencias necesarias para poder evaluar la situación y determinar las posibles debilidades o incumplimientos (no conformidades en términos ISO – UNE), y elaborar las recomendaciones correspondientes.

Si hay encargados de tratamiento o la propia entidad auditada lo es, deben además verificarse los contratos o acuerdos y el grado de cumplimiento.

Si nos centramos en la auditoría de seguridad, salvo excepciones no debiera ser una evaluación profunda de riesgos tecnológicos, sino la verificación del análisis de riesgos que hubiera llevado a cabo la entidad, y la valoración actualizada de las amenazas existentes y controles implantados, para determinar la vulnerabilidad.

Esta parte será más técnica, pero la auditoría de cumplimiento puede abarcar muchos aspectos jurídicos, que en conjunto hacen muy aconsejable un equipo de auditores con un perfil conjunto mixto y además experiencia adecuada en protección de datos.

Quienes estén muy acostumbrados a listas de verificación (algunos sin ellas parecen perdidos) pueden elaborarlas –y adaptar en cada encargo de auditoría- a partir del propio RGPD, porque salvo que se limite dentro del encargo la auditoría podría ser muy amplia, como se indica después al hablar de los artículos del RGPD. A la hora de evaluar la seguridad, por ahora nos faltan puntos de contraste concretos, con lo que somos los auditores los que hemos de determinar los aspectos a revisar y evaluar la situación.

La auditoría de seguridad del RGPD puede resultar más difícil que a partir del RDLOPD, donde se podían ir revisando los puntos de los artículos del RDLOPD y el contenido del o los documento/s de seguridad.

Ahora será necesaria más experiencia e imaginación para evaluar el grado de cumplimiento y el riesgo, ya no será solo marcar SÍ o NO como respuesta. Cabe esperar que las autoridades de protección de datos, y especialmente la AEPD, publique alguna guía o aporte alguna herramienta, o al menos que exprese qué partes del RDLOPD se mantienen o qué nuevo marco se define.

Podemos pensar que se podía haber matizado más en el RGPD acerca de la auditoría, pero habría sido complicado, y parece preferible que sean las autoridades de control como la AEPD las que maticen.

Tanto en la parte de auditoría de cumplimento como en la de seguridad no debemos olvidar, dentro de los sistemas de información, la parte no automatizada, es decir los tratamientos y almacenamiento de documentos no automatizados, fundamentalmente en soporte papel, porque si bien normalmente es menor el porcentaje frente al formato y tratamiento electrónicos, aun es importante en muchas entidades, y en algunos casos con documentos cuyo contenido es susceptible de mayor protección por tratarse de las categorías especiales de datos que se indican en el artículo 9 del RGPD.

Una de las finalidades, incluso la única, puede ser que en el caso de entidades que se quieren certificar o ya certificadas en ISO / UNE 27001 (Tecnología de la información – Técnicas de seguridad – Sistemas de Gestión de Seguridad de la Información – Requisitos), han de verificar si cumplen los requisitos legales y contractuales, que se pueden reflejar en un informe general para facilitar a los implantadores o auditores de 27001, y especialmente:

A.18.1.1 - Identificación de la legislación aplicable y de los requisitos contractuales: Todos los requisitos pertinentes, tanto legales como regulatorios, estatutarios o contractuales, y el enfoque de la organización para cumplirlos, deben definirse de forma explícita, documentarse y mantenerse actualizados para cada sistema de información de la organización.

A.18.1.4 - Protección y privacidad de la información de carácter personal: Deben garantizarse la protección y la privacidad de los datos, según se requiera en la legislación y la reglamentación aplicables.

En todos los casos, para entender y preparar la auditoría, además del propio RGPD y la doctrina de las correspondientes autoridades de protección de datos en la medida en que se vaya conociendo, ISACA y sus publicaciones pueden ser una fuente muy adecuada (www.isaca.org, Information Systems Audit and Control Association).

Si preferimos el marco ISO / UNE, podemos considerar UNE-EN ISO 19011 – Directrices para la auditoría de los sistemas de gestión, donde encontraremos definiciones clásicas:

Auditoría: proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. (En UNE-ISO 19600 – Sistemas de gestión de compliance: “las evidencias de auditoría”, traducción que puede tener mejor encaje).

Criterios de auditoría: conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de la auditoría. Coloquialmente a veces decimos que auditamos “contra” el RDLOPD, la 27001… o lo que corresponda.

Evidencias de la auditoría: registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y que es verificable.

Es decir, en nuestro caso diríamos “auditar contra el RGPD”, ver en qué medida se cumple, considerando lo que las autoridades de protección de datos (AEPD sobre todo) vayan matizando, y lo que la propia entidad tenga como normativa, que debe estar alineada con el RGPD en lo que resulte de aplicación.

Volviendo a las evidencias, son tan importantes en un proceso de auditoría que si no se alcanzan no podríamos emitir informe, o al hacerlo deberíamos incluir “limitaciones” en un apartado y en las conclusiones. En la publicación ITAF: A profesional Practices Framework for IS Audit / Assurance, en los apartados 1205 y 2205 sobre Evidencias se explica que debemos obtener evidencias suficientes y adecuadas para sustentar las conclusiones en las que fundamentar los resultados del encargo recibido.

Centrándonos en los artículos del RGPD, si se trata de una auditoría de seguridad habrá que revisar sobre todo los artículos 32 a 34, sobre seguridad y violaciones de seguridad, pero si es una auditoría de cumplimiento habrá que tener en cuenta también, si entran dentro del alcance del encargo, los que se indican después.

El artículo 32 – Seguridad del tratamiento, no debiera ofrecer muchas dudas al auditor de seguridad experimentado, si bien habrá de interpretar bien los puntos y añadirle imaginación y experiencia para valorar los diferentes puntos, y estimar en qué caso debieran aplicarse unas u otras medidas, pero en un reglamento general no se podían detallar más.

Así, se dice “que en su caso incluya, entre otros… la seudonimización y el cifrado de datos personales”, con lo que para estimar si procede habrá que considerar riesgos y tipos de datos, para si no se aplica recomendarlos, y si se aplica en el caso de la seudonimización verificando si se cumple lo que se indica en la definición del artículo 4, y respecto al cifrado qué algoritmo se usa, longitud de clave y otros aspectos técnicos y organizativos.

Algunos puntos debieran haberse aplicado para que en la auditoría se verifiquen, y en caso contrario puede reflejarse como incumplimiento o avanzar en su evaluación, como cabe el riesgo (o la tentación del cliente) de encargar la evaluación de riesgos que se cita en el punto 2 del artículo.

La revisión respecto a violaciones de seguridad podría abarcar si se han notificado todas las producidas y de forma adecuada, los mecanismos de detección y comunicación.

En el caso de auditoría de cumplimiento:

Los principios (artículos 5 a 11). El 5.1.f), que son amplios.

En cuanto al artículo 9, verificando la posible existencia de categorías especiales de datos personales y si se cumplen los puntos que exige el artículo.

• Los derechos del interesado (artículos 12 a 23, y 26 si es el caso), verificando si se han tomado las medidas oportunas, casos que se han producido y tratamiento realizado.

Si fuera el caso, se puede verificar, en relación con los artículos 21 y 22, si se están elaborando perfiles y no procediera o no se cumplen las condiciones.

• Verificar, en relación con el artículo 24 si el responsable del tratamiento está cumpliendo sus obligaciones, y dando los pasos y creando los marcos adecuados. Si se ha producido adhesión a un código de conducta, se debe verificar en qué medida se cumple, e incluso si el código es adecuado. También si es el caso, el mecanismo de certificación aplicado.

• Se puede además verificar si se aplica, si procede, la protección de datos desde el diseño y/o por defecto (artículo 25). En ambos casos además de entrevistas puede ser necesario el examen de documentación.

• Respecto al artículo 27 - Representantes de responsables o encargados del tratamiento no establecidos en la Unión, y en general en todos los casos en que pueda haber tratamientos fuera de las fronteras, como el caso de almacenamiento en nube (cloud) en determinados países, en función del riesgo puede ser adecuado el envío de un cuestionario y/o aclaraciones por videoconferencia, y también puede ser útil la recepción de informes de auditorías internas o externas relacionadas referidas a esos encargados.

• En la mayoría de los casos habráencargados del tratamiento (artículos 28 y 29), que pueden ser entidades en España que presten servicios pero también empresas que almacenen datos en sus sistemas, siendo frecuente el caso citado de almacenamiento en nube, que no se indica en el RGPD pero tal vez por ser ya un medio muy común que no requiere referencia expresa.

La revisión en el caso de encargados debería ser similar a la que se haga en las instalaciones del propio responsable, salvo que sea en otro país según se ha indicado y se eviten desplazamientos pero haciendo comprobaciones en todo caso, y abarcar la revisión de los contratos, que pueden ser en otro idioma y estar orientados a otro marco legal como el anglosajón.

La auditoría de un encargado puede ser especialmente compleja, ya que del resultado se puede derivar la continuidad del servicio respecto al cliente, con lo que en ocasiones no nos dan muchas facilidades a los auditores o se empeñan en dar una sensación de cumplimiento del contrato que no es así siempre. Por el contrario, a veces por ser una entidad acostumbrada a “sufrir” auditorías, nos hemos encontrado con muchas facilidades y un dossier de documentos que facilitaban nuestra labor, adelantándose hace años al punto 3h) del RGPD.

• El Registro de las actividades del tratamiento que se recoge en el artículo 30 puede ser también objeto de auditoría, en los casos en que resulte obligatorio para la entidad, por la necesidad de que exista y que su contenido sea completo y adecuado. Para algunos sustituye al Documento de Seguridad del RDLOPD, si bien no exige ciertos detalles y sí incorpora datos que pueden resultar útiles y que de otro modo las entidades podrían no tener documentados, en varios casos no referidos solo a seguridad, que se prevé en 1.g) y 2.d).

• Cómo se hacen las evaluaciones de impacto (artículo 35) si fueran aplicables, y si ha habido consulta previa a la autoridad de control si ha sido el caso (artículo 36).

• Acerca del Delegado de protección de datos (DPD, o DPO a partir del término en inglés) en los casos en que sea exigible, según los artículos 37 a 39: acerca de la designación, la posición dentro de la organización si es interno, y el cumplimiento de sus funciones. Cabe verificar si el perfil de la persona es el idóneo para cumplir el cometido.

• Si la entidad está adherida a algún Código de conducta (artículo 40) ya comentado al hablar del 24. Si es adecuado y nivel de cumplimiento.

• En relación con la Certificación (artículo 42), que habrá de expedir el organismo de certificación autorizado, caben auditorías previas como las que se exigen en el caso de ISO 27001 y otras certificaciones, o que formen parte de una revisión general de RGPD.

• Las transferencias de datos a terceros países u organizaciones internacionales, según los artículos 44 y 49.

• Las normas corporativas vinculantes a un grupo de empresas, según el artículo 47.

De todos estos aspectos podría haber un resultado cuantitativo, con una escala, que es muy difícil y que muchos clientes preferirían a aspectos cualitativos como alto – medio - bajo. Se dará el caso de entidades que quieran saber, sobre todo a nivel de Dirección, si considerando ahora el RGPD comparativamente están mejor o peor que respecto a la última auditoría realizada, referida al RDLOPD.

Al no existir indicadores comparativos y ser normas diferentes no va a ser posible hacerlo de forma numérica como si se tratara de calificaciones académicas, y habrá de ser la evaluación cualitativa de los auditores la que permita una opinión, que será más fácil si son los mismos auditores en las dos auditorías: la futura de RGPD y la de RDLOPD.

Aunque dependerá del objetivo de la auditoría, alcance y tipo de encargo, las posibles fases de la auditoría podrían ser:

• Recopilación de información y documentación previas: ficheros y tratamientos y tipos de datos, actividad de la entidad, normativa interna así como estructura y organización.

La documentación que nos facilita la entidad a veces es muy completa y estructurada, y en otras ocasiones por el contrario se produce un goteo como respuesta a cada petición.

El ver buena voluntad por parte de los auditados, sinceridad (a menudo explican las debilidades antes de llegar a ellas), y sobre todo veracidad, facilita mucho las cosas; el darnos cuenta de alguna omisión intencionada o tergiversación nos pone sobre aviso y nos obliga a contrastar los aspectos que parecían ciertos, ante la duda.

De todo lo que recibamos mantendremos la confidencialidad, y así lo hacemos constar en la propuesta, y en caso necesario firmamos un compromiso especial según estándares de la entidad auditada.

Entenderemos que algo se nos deje pero para devolverlo al final de la jornada, y no sacarlo de las instalaciones del cliente, que veamos un acta pero que sólo nos dejen leer o solo nos hagan copia de la parte que nos afecta, y sobre todo que hayamos de custodiar y al final devolver o destruir lo recibido (documentos o soportes), si bien pasado un tiempo prudencial para poder sustentar los informes y posibles dudas subsiguientes.

En la fase de análisis (sin que haya una separación absoluta entre fases, pero sí ciertas precedencias) estudiaremos la documentación y haremos pruebas técnicas.

• Intercalaremos entrevistas para pedir aclaraciones, y para entender mejor la documentación, los sistemas, los procesos, los registros, los controles y las vulnerabilidades.

• Las verificaciones pueden consistir en la revisión de documentos o registros, una prueba de una aplicación, un muestreo (por ejemplo de perfiles y autorizaciones de usuarios, de incidencias producidas y tratamiento…), para lo que se pueden utilizar técnicas y herramientas, como podría ser para verificar los puertos y servicios abiertos en un punto de una red de comunicaciones, o las reglas de un cortafuegos, o si la contraseña de administrador estándar de un sistema ha sido cambiada… en la práctica pueden ser muy variadas.

• Toda la información recopilada constituye lo que los auditores hemos denominado siempre papeles de trabajo aunque actualmente pueden ser sobre todo documentos electrónicos, recibidos a través de correos o accesibles en algún recurso de forma restringida, como la Intranet o una nube protegida.

• En cuanto es posible se va iniciando el borrador del informe, generalmente cada parte por parte de quienes hayan realizado las verificaciones correspondientes.

• Como decíamos, hemos de alcanzar las evidencias suficientes para sustentar nuestro informe, y de lo contrario hemos de seguir profundizando: pruebas sustantivas, muestreos más amplios, entrevistas más detalladas o a más interlocutores… y si no alcanzamos la evidencia no debemos recoger el punto en el informe, y explicarlo así según los casos.

• Los borradores tienen varios niveles de revisión antes de la entrega al cliente: los propios autores revisamos lo escrito, después suele haber una revisión cruzada interna y finalmente una revisión general de enlace y coherencia entre las diferentes partes, con el fin de preparar o revisar las conclusiones / resumen para la Dirección. En cualquier momento quien revisa puede preguntar los fundamentos de un punto, si se han considerado controles compensatorios, el origen de la calificación de un riesgo, o la redacción de un párrafo confuso, para que se justifiquen contenidos, se consideren verificaciones complementarias o se aporte una redacción más clara.

• Aunque haya varias revisiones y el producto final esté muy depurado, lo que se entrega al cliente sigue siendo un borrador (a veces después no hay que variar nada y sólo generar de nuevo sin la palabra borrador si aparece en portada o en todas las páginas).

• En el caso de haber solucionado el cliente algún punto después del examen e incluso después del borrador, no se trata de eliminar del informe el punto, sino actualizar lo reflejado, porque no es lo mismo que algo estuviera bien desde el inicio, o que la auditoría lo haya detectado y ya se haya arreglado: es un valor añadido del proceso de auditoría, y una vulnerabilidad o no conformidad anterior que es necesario conocer.

• En el informe, además de la palabra BORRADOR visible: en otro color o en letra hueca en transversal en cada página, tanto en este como en el informe definitivo ha de figurar CONFIDENCIAL (o la calificación que correspondiera según estándares de la entidad), y borradores e informes definitivos entregarlos o enviarlos únicamente a quien nos digan quienes hayan encargado el trabajo.

• Respecto a la entrega, cuando se trata de las personas responsables de las áreas auditadas, querrán tenerlo con tiempo suficiente para examinarlo y preparar la defensa, si bien a veces puede ser preferible una revisión “en vivo” en una reunión que dure todo el tiempo necesario, y que el informe lo conocieran solo las personas necesarias, a juicio del cliente.

• Si se envían borrador o informe definitivo en formato electrónico es mejor protegerlo contra escritura (formato PDF o similar) y que vaya con contraseña y sobre todo firmado electrónicamente, incluso cifrado si viaja por vías no seguras, porque los propios técnicos del cliente podrían llegar a leerlo de forma no autorizada a través del sistema de correo.

• A veces el cliente, interpretemos que por ayudar ¿por ayudarse? modifica contenidos sobre un borrador o añade frases como: Esto eliminadlo porque ya arreglado, o frases como: Suprimir porque preocuparía a la Dirección… Aunque se trate de quien haya encargado y en el caso de auditores externos vaya a pagar el informe, ha de entender que es “nuestro informe”.

• En el caso de auditoría externa, con la entrega del informe final y la posible presentación a la Dirección, normalmente habrá terminado la asistencia; si es auditoría interna, lo habitual será un seguimiento periódico del Plan de Acción para informar a la Dirección.

Sobre el contenido del informe, lo cierto es que se pueden cumplir los objetivos con estructuras, estilos y extensiones de informe bien diferentes; así, un informe puede ser escueto, como la mayoría de los de auditoría de cuentas, especialmente si existe un cumplimiento total y riesgo cero (en mis más de 30 años de experiencia como auditor informático sería la primera vez), pero es preferible explicar los entornos y los puntos y extenderse lo necesario, pero sin usar el número de páginas como métrica, que es más importante la utilidad del informe que su extensión.

En todos los casos, después de una introducción deben aparecer las conclusiones, que si no van en documento aparte se incluyen para que quien lo lea, especialmente de nivel directivo, pueda hacerse una idea y entender la esencia de la situación; después de una revisión médica o el ingreso de un familiar en urgencias queremos saber la situación resumida, con independencia de todos los detalles posteriores.

En los casos en que existan incumplimientos será necesario justificarlos y explicar por qué no se cumple el punto o artículo correspondiente, o el aspecto de la normativa interna relacionado.

El cliente siempre agradecerá que se le aporte un Plan de Acción, e incluso lo habrá exigido expresamente; en nuestro caso lo que hacemos es calificar las recomendaciones en columnas diferentes en cuanto a:

• Riesgo: bajo, medio o alto, basándonos en qué se incumple, o en amenazas y sus probabilidades, y en definitiva la vulnerabilidad existente.

• Plazo sugerido de solución: corto, medio o largo, que estará relacionado con el nivel de riesgo.

• Coste: bajo, medio o alto; el intentar precisar más puede ser muy difícil, y quedar fuera del objeto de la auditoría.

• Dificultad: baja, media o alta; a veces la solución será sólo el cambio del valor de un parámetro, pero otras supondrá un cambio organizativo que afecte a cientos o a miles de usuarios, con posible rechazo de estos, por ejemplo cambiar periódicamente las contraseñas sin haberlo hecho hasta ahora.

La Dirección de la entidad tendrá que fijar prioridades, según el nivel de riesgo que pueda y quiera asumir. Puede pedir aclaraciones a los auditores, si bien la decisión final será suya.

Teóricamente se trata de abordar preferentemente los puntos con riesgo alto o medio, plazo corto, y dificultad y coste bajos, y en la mayoría de los casos suele haber puntos que cumplen estas condiciones.

En cuanto al resto de puntos puede ser más difícil: por interdependencia de proyectos, por prioridades corporativas diferentes, debido a limitaciones presupuestarias… o por no disponer de recursos técnicos, en cuyo caso se podría subcontratar la implantación.

Ya vista con más detalle la auditoría de datos personales podemos volver a plantearnos, para este tipo de auditoría específica, quién puede (y quién debe) hacer auditorías de datos personales, y podemos diferenciar:

• Respecto a quien puede, no se exige un perfil concreto, en contra de lo que es aplicable a profesiones o actividades para las que se puede exigir una titulación, colegiación, habilitación o certificación. Debe existir independencia respecto a la entidad auditada (o área si es interna), y perfil y experiencia apropiados, para entender los entornos y poder evaluar el grado de cumplimiento y riesgos, y poder aportar recomendaciones coherentes.

• En cuanto a quien debe, deberían autoexcluirse quienes no cumplan las condiciones, antes de que el propio mercado los vaya excluyendo, si bien si sus precios son muy bajos puede que los sigan prefiriendo, sin duda con evidente riesgo.

En el caso del RGPD el perfil y experiencia pueden ser los de un equipo especializado y multidisciplinar, y parece evidente que un conocimiento adecuado del propio Reglamento.