11 junio 2008

Guia basica de adecuacion a la LOPD

Esta semana me he encontrado con un artículo muy sencillo de entender para todo aquél que quiera adecuarse al cumplimiento de la LOPD. El artículo en cuestión se titula LOPD: ¿Una necesidad o una obligación?, y describe de forma secuencial y muy fácil de entender cuales son los pasos que tiene que dar una empresa que vaya a iniciar un proyecto de adecuación a la LOPD. Seguro que no aporta gran cosa a la mayor parte de los lectores de este blog, pero también es seguro que es de gran ayuda para todas aquellas empresas que, con esto del nuevo reglamento, se hayan dado cuenta de que tienen que cumplir la LOPD y no tienen muy claro qué es lo que tienen que hacer en realidad. Sobre todo desde el punto de vista práctico.

La única pega que le puedo poner al artículo es el excesivo tinte comercial que tiene el artículo al final. Estoy de acuerdo en que siempre es mejor contar con una asesoría especializada, sobre todo si la empresa no tiene a nadie con formación específica en estos temas (y me temo que es el caso de muchas PYMEs), pero no estoy de acuerdo con el tinte de exigencia que parece cobrar en el artículo el hecho de contar con una buena consultora como respaldo.

Y al hilo de los párrafos finales del artículo, en los que se señala que la empresa que se quiera adecuar a la LOPD debería exigir una cualificación mínima a la empresa consultora, me gustaría plantear algunos interrogantes. Las exigencias en relación a las auditorías externas que planteaban algunos borradores del nuevo reglamento acabaron desapareciendo del texto final. A día de hoy no existe ningún tipo de requisito ni certificación cuyo cumplimiento sea obligatorio para realizar auditorías de LOPD. ¿Creeis que sería necesario establecer algún tipo de requisito para los auditores de LOPD y/o para las empresas que realizan este tipo de auditorías? ¿Cuál es el nivel de compromiso que se puede exigir a estas empresas? ¿Creeis que estas empresas deberían responder de algún modo por los resultados de dichas auditorías, desde un punto de vista jurídico? ¿Se debería exigir algún tipo de responsabilidad por la "firma" de una auditoría de LOPD, de un modo similar, por ejemplo, al de los arquitectos o ingenieros que firman un proyecto? Seguro que teneis muchas opiniones al respecto, tanto personales como jurídicas. ¿Os animais a contestar? Espero vuestros comentarios...

12 comentarios:

Manuel Delgado dijo...

No creo que deban exigírsele requisitos específicos a las empresas que hacen auditorías de LOPD. La regulación excesiva anquilosa el mercado.

Ahora bien, sobre la responsabilidad, desde luego. De lo contrario, las chapuzas salen gratis. Responsabilidad en dos sentidos:

1) Si se demuestra que la empresa auditada incumplía habitualmente la LOPD de forma manifiesta y el auditor no quiso verlo;

2) Si la empresa auditada se queda tranquila con la auditoría y la AEPD le casca una multa por algo que debía haberse identificado en la auditoría.

apn dijo...

Pues si bien cierto que la normativa actual no establece la condición y/o cualificación de la figura del auditor, considero de vital importancia que el auditor o el equipo de auditores, dispongan de una serie de cualificaciones tanto personales como profesionales que lo capaciten para afrontar este tipo de tareas, dado que este ámbito de trabajo requiere un alto grado de especialización, tanto de índole técnico, jurídico como organizativo.

No obstante, considero que para cubrir este vacío legal y evitar el intrusismo profesional en la materia, se debiera solicitar a los auditores poseer conocimientos en análisis de sistemas o en consultoría legal en derecho tecnológico. Así no estaría demás, exigir como requisito fundamental estar en posesión de certificaciones sobre seguridad de la información, tales como, IRCA, CISA, CISM, CISPP.

Además, en esta cuestión creo que se ha de contratar a una empresa que demuestre contrastada experiencia en estas situaciones, puesto que la prestación de un mal servicio o la incorrecta adecuación a la normativa vigente, puede igualmente llevar a la empresa consultada a tener que hacer frente a importantes multas, por simple hecho de no haber contado con un buen equipo de asesores.

Saludos.

Antonio Valle dijo...

Pues yo tambien estoy totalmente a favor de la certificacion, tanto del personal que realiza la auditoria con certificados del estilo de los CISA, como de la organizacion que realiza la auditoria al respecto de sus procedimientos y pautas de trabajo.

La regulacion anquilosa el mercado para aquellos que no disponen de los conocimientos y quieren aprovechar eso de que "la chapuza sale gratis"

Antonio

Consultor LOPD dijo...

Yo no estaria por la labor de exigir un CISA o CISM para ser auditor de la LOPD, dado que en la mayoría de las empresas españolas Pymes, la complejidad de la auditoria a tratar no es mucha y por otro lado el auditor debería disponer no sólo de conocimientos informáticos sino legales.

Por otro lado si que es cierto que existe "mucho chapuzas" por ahí, tambíén es cierto que la pyme no está dispuesta a pagar mucho, aunque considero que cada vez más las empressas que están adecuadas saben diferenciar más los buenos de los malos profesionales.

Por lo menos exigiría el tener un master en protección de datos, derecho de las nuevas tecnologías o TICS o en seguridad informática o alguna certificación. Por lo menos algo de ésto, dado que existen en el mercado personas sin estudios ni de derecho ni de informática, ni ningún curso o especialización y éstos si que deberían salirse del mercado...

Joseba Enjuto dijo...

Está claro que en relación a la LOPD hay dos vertientes: legal y técnica. Me parecería muy interesante exigir que el equipo de auditores pueda acreditar oficialmente conocimientos en ambos campos, e incluso que dicha acreditación pudiese tener reconocimiento oficial. De todos modos creo que, más allá de las acreditaciones personales, a quien habría que exigir responsabilidades es a la empresa auditora. Desde mi desconocimiento, tengo entendido que las auditorías financieras conllevan algún tipo de responsabilidad por parte de la empresa auditora, en relación al cumplimiento legal. No podría ser ese tipo de responsabilidad equiparable al caso de la LOPD?

Anónimo dijo...

Hay una recomendación para que las auditorías se efectuen por auditores CISA.

Joseba Enjuto dijo...

Pues la verdad es que no he sido capaz de localizar esa recomendación de la que nos hablas. Podrías indicarnos dónde figura?

Anónimo dijo...

Y tanto que se deberia hacer por personal cualificado, pero no los CISA, CISM, que yo tengo el OSSTMM y un Master en Seguridad.

Señores, seamos objetivos, la mayoria de titulos en Informática estan caducos al día siguiente y más en temas de seguridad.

Anónimo dijo...

En verdad que quizá esto debiese estar regulado puesto que cualquiera con nociones básicas puede adquirir las dotes de consultor en lo que a este aspecto se refiere. Acá les dejo una presentación donde se detallan algunos puntos. Es totalmente gratuito y meramente informativo.
http://www.megaupload.com/?d=FQPLQVCE

Anónimo dijo...

En galicia el colegio de ingeniería en informática ha propuesto la creación de una agencia de protección de datos para la comunidad de galicia y bajo la tutela del mismo, esto hace entender que quizá no en un futuro muy lejano esta situación se regule.

Joseba Enjuto dijo...

A ver si es verdad! Aunque me temo que los precedentes no son muy halagüeños al respecto, porque las agencias autonómicas de protección de datos que ya existen no han hecho ningún movimiento al respecto, que yo sepa...

Anónimo dijo...

Genial post and this enter helped me alot in my college assignement. Thanks you for your information.