Pocas semanas atrás, la Agencia Española de Protección de Datos emitía una nota de prensa en la que declaraba haber tenido conocimiento de que diferentes entidades estaban ofreciendo servicios para realizar auditorías de medidas de seguridad por teléfono. Como es lógico, la AEPD aclaró que una auditoría telefónica de medidas de seguridad no permite obtener los resultados establecidos en la normativa de protección de datos.
Entonces, ¿En qué consiste realmente una auditoría de medidas de seguridad?
Para responder a esta pregunta recurriremos a lo establecido en el Artículo 96 del RDLOPD 1720/2007:
1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título (…).
Es decir, esta medida de seguridad será de obligado cumplimiento en el momento que la empresa trate datos de nivel medio y alto claro, ya que las medidas de seguridad son de aplicación acumulativa.
A pesar de lo antedicho, nada impide llevar a cabo también, la auditoría para los ficheros de nivel básico. Creemos que es, incluso, recomendable realizar la auditoría sobre la totalidad de los ficheros de la entidad, para obtener un diagnóstico global de la situación y conseguir un mayor grado de cumplimiento de la normativa.
En este epígrafe se habilita a que la entidad valore, con prudencia debemos decir, las alternativas de realización de esta auditoría, ya que el Reglamento autoriza a que pueda ser también la propia empresa quien realice la misma, pero esta circunstancia no hace que el legislador haya rebajado el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:
«Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.»
Del mismo se desprende la necesidad de que, quien lleve a cabo la realización de la auditoría bienal obligatoria, independientemente de que la entidad haya decidido hacerla de forma interna o externa, deberá ser una persona con conocimientos suficientes para desempeñar un trabajo que se ajuste a derecho.
Este hecho se refuerza, cuando en la práctica la mayoría de las empresas se declinan por la auditoría externa. El motivo principal, el mayor conocimiento sobre la materia que puede ofrecer una empresa especializada, con mayor grado de exhaustividad en la realización de la auditoría y objetividad en los resultados que puede presentar.
En nuestro próximo artículo veremos de qué se compone la auditoría bienal obligatoria, independientemente de que lleven a cabo auditorías internas o externas.