02 julio 2007

Auditor de protección de datos

En mi opinión es algo así como decir, vendedor de coches (con todos mis respetos a los vendedores de coches). Lo que quiero decir es que no existe nada, ninguna acreditación que establezca claramente quién puede ser considerado como "auditor" en esta materia. Esto ha dado lugar a la ploriferación de auditores que han aprovechado el maravilloso caldo de cultivo creado por el regulador en esta materia:

Artículo 9 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD, para los amigos): Seguridad de los datos.
  1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
  2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
  3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Es decir, que hay un reglamento que desarrolla las medidas a adoptar, efectivamente así es y se publicó mediante Real Decreto 994/1999. Se trata del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (aka. RMS). En concreto, en su artículo 17. Auditoría podemos leer:
  1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
  2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglam ento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  3. ...
Y se acabó. Esto es todo lo que se habla sobre este asunto.
Nos encontramos entonces con una legislación que obliga a establecer una serie de medidas de seguridad, entre ellas, la realización de una auditoría bienal (que no, bianual) para los datos de nivel medio y alto (es decir, para todos aquellos que exceden los simplemente identificativos de una persona). Si tenemos en cuenta que hasta ahora, esto incluía a la gran mayoría de datos de personal de las organizaciones (bien porque incluía datos de minusvalía de los trabajadores para aplicar una retención fiscal más favorable o información sobre su afiliación sindical para el pago de las cuotas) resulta que una gran parte de las empresas y organismos de cualquier tipo de este país eran o debían ser objeto de esta auditoría. Evidentemente, un mercado muy, muy apetitoso para cualquiera. Y ya sabemos lo que ocurre con un mercado en el que se prevén beneficios: Básicamente que entran competidores hasta que el beneficio es igual a '0'.
Por una vez, la economía que estudié en su momento no se ha equivocado y esto es justo lo que nos encontramos en este mercado: Están entrando "auditores" e incluso, me ha parecido ver algún vendedor de coches (¿o era de motos?)...
No bromeo. Me parece bien que ninguno de los sucesivos Gobiernos (desde 1999) haya querido regular la figura del auditor para que fuera el mercado el que se regulase. Por otra parte, apoyados por la UE que tampoco ha lanzado ninguna iniciativa en ese sentido (que yo conozca). Lo que no entiendo es porque el Gobierno se exime de su papel como garante último del derecho a la privacidad y permite que cualquiera que diga que lo es, realice y firme auditorías de cumplimiento con el RMS, dando a los ciudadanos una falsa sensación de "tranquilidad" en este asunto. ¿Qué impide que mi primo Francisco, un tío hecho y derecho, honrado hasta la médula, firme un informe de auditoría a ACME Corporation diciendo que cumple con las medidas establecidas en el RMS? ¿Qué ocurre si es mentira? ¿A dónde me dirigo a buscarle? En fin, un sinfín de preguntas que podríamos encadenar hasta el infinito...
En definitiva para ir acabando, ¿por qué no se puede crear y mantener por la Administración un registro de auditores reconocidos? Así dicho podría parecer una banalidad, pero es que, además es real. Esto ya ha pasado antes: Cuando se aprobó la Ley de Auditoría de Cuentas, junto con la figura del auditor, se crearon, el Instituto de Contabilidad y Auditoría de Cuentas (ICAC) y el Registro Oficial de Auditores de Cuentas (ROAC). Para acceder a este registro es necesario acreditar unos conocimientos y una experiencia ante el propio ICAC que realiza exámenes periódicos y mantiene dicho registro actualizado.
Pues bien, cuando se creó la LOPD, también se creo una Agencia Española de Protección de Datos (AEPD) pero... ¡oh, sorpresa! no se creó el equivalente a ese registro de "auditores de protección de datos" dando luz verde al nacimiento de esa figura mitad vendedor, mitad primo mío que campa a sus anchas por esos mundos de Dios, ofreciendo auditorías (incluso con rebajas).
En definitiva, creo que el legislador se equivocó. Se equívoco sobremanera al no regular esta figura y lo que es peor, sigue en una postura absurda de "mantenella y no enmendalla" que no se puede comprender después de la experiencia que atesora este país en esta materia. Supongo que todo es porque cuando un auditor falla, no emprendemos acciones legales contra él y, en caso de que fuera insolvente, no hacemos responsable civil subsidiaria a la Administración Pública.