InForenseS - Enlaces

Para empezar el nuevo año con renovadas energías, a continuación os transcribo un Artículo de Opinión mío publicado en la Revista “e.Seguridad” (Octubre-2005)

Uno de los aspectos mas controvertidos de la LOPD (RD 994/1999), es la falta actual de definición de la figura del auditor, quien según dicha ley es el "experto" que comprueba que las empresas cumplen con la normativa de protección de datos personales. Sobre dicho "experto" no se dice nada más ni en toda la Ley ni en el actual Reglamento de Medidas de Seguridad, salvo que podrá ser interno o externo.

[Mas:]

Esta falta de definición deja el campo despejado para que cualquier profesional o empresa sin cualificar o con pocos escrúpulos pueda actuar libre e impunemente, sabiendo que nadie les va a pedir responsabilidades por sus acciones, lo que está motivando no pocos problemas, principalmente entre las PYMES que suelen optar casi siempre por la auditoria externa.

Ante el proceso actual de reforma de dicho reglamento de seguridad que la AGPD está realizando se han despertado muchas expectativas sobre si se avanzaría en la regulación del auditor de datos, pero en el borrador actual se echa de menos que tampoco se detalle nada a este respecto, ni su titulación, ni su perfil profesional, ni sus responsabilidades.

La propia AGPD reconoce públicamente que este es un aspecto muy controvertido y que esta levantando muchas posturas en algunos casos enfrentadas. Debido en parte a ello ha decidido optar por la solución más salomónica y cómoda... al menos para ellos: se inhiben de su responsabilidad, alegando que la AGPD no es quien para regular una profesión.

Esta decisión vuelve a dejar indefensas a las empresas, que son quienes están obligadas por ley a pasar una auditoria cada dos años, y que por tanto seguirán sin poder tener un criterio valido para seleccionar al "experto" que llevara a cabo su auditoria de datos.

Frente a esta actitud poco decidida de la administración vemos sin embargo que en otros ámbitos similares, como por ejemplo el relacionados con la auditoria contable, el legislador si que actuó responsablemente dictando en su día unas normas por las que se regulaba adecuadamente esa actuación profesional, confiando su ejecución a los Licenciados en Economistas, y delegando en los Colegio Profesionales de Economistas, que no lo olvidemos son entidades de derecho publico, para que se encargaran de regular quienes ejercen dicha actividad, su correcta aplicación por parte de los profesionales de acuerdo a las normas legales y al propio código deontológico, y en caso de que esto no fuese así, de aplicar el régimen disciplinario y sancionador, pudiendo en último extremo llegar a inhabilitar a aquellos profesionales que ejerciesen sus actividades de una forma poco ética, por llamarlo de algún modo.

Y todo esto redunda principalmente en beneficio de aquellos usuarios o clientes de los servicios profesionales, quienes pueden tener unas mínimas garantías sobre la cualificación, la calidad y la profesionalidad de los auditores.

Pero, ¿quien sería el profesional adecuado para la auditoría de acceso a los datos bajo la órbita de la LOPD?

A juicio de algunos, ese profesional debería ser aquel en posesión de algún certificado de auditoria informática que acredite sus conocimientos en auditoría de sistemas informáticos. Sin embargo, esta opción choca frontalmente con todo el ordenamiento jurídico español, puesto que en la actualidad estos certificados son gestionados y expedidos por entidades privadas radicadas fuera de la Unión Europea, lo que dejaría en entredicho la jurisdicción legal española en este ámbito.

Parece mucho mas adecuado no hacer experimentos en este campo y recurrir a nuestro propio ordenamiento jurídico (como no podría ser de otro modo) y a la estructura educativa española existente, que descansa en nuestra universidad, y que es la empleada en el resto de las actividades profesionales para su desempeño.

En el caso que nos ocupa existe una posibilidad lógica para normalizar esta actuación, cual es la asignar a los Ingenieros en Informática la función del experto auditor de datos para la LOPD, dado que son los únicos titulados españoles plenamente cualificados para analizar el uso y acceso a los datos de carácter personal por los sistemas informáticos.

Está claro que el auditor debe tener un conocimiento muy profundo de la forma de operar que tienen los sistemas informáticos en su acceso a los datos que manejan, sus procesos, etc. Pero también debe tener preparación adecuada en los mecanismos de auditoría y en los extremos jurídicos de la Ley aspectos estos que ya se están impartiendo en los estudios universitarios de Ingeniería Informática aunque no de forma generalizada. Y también debe de tener claramente definida su Responsabilidad Civil por las acciones que desarrolla.

Además, se debería designar a los Colegios Profesionales de Ingenieros en Informática para que, tal y como establece la Ley de Colegios Profesionales, desarrollen la función reguladora del mecado, y más en concreto de la Auditoria de Datos, a saber:

• controlar que los profesionales estén suficientemente cualificados para esta actividad
• velar por el cumplimiento de la legislación y de los códigos deontológico por sus colegiados
• imponer sanciones disciplinarias en caso de mal proceder

de forma que las empresas cuenten con garantías a la hora de seleccionar al auditor informático.

Lo que está claro es que lo peor que se puede hacer es dejar el problema sin resolver, puesto que esta indefinición perjudica muy especialmente a las empresas, que no lo olvidemos, son quienes deben cumplir con la ley.

Javier Pagès López
Ingeniero en Informática
Colegiado nº 110 de CPIICyL, Ilustre Colegio Profesional de Ingenieros en Informática de Castilla y León
Presidente de AI2, Federación de Asociaciones de Ingenieros en Informática
Presidente de ISSA-España, Asociación Española para la Seguridad de los Sistemas de Información