Una auditoría en protección de datos personales busca detectar las brechas existentes entre las medidas de cumplimiento que exige la Ley y las que tiene implementadas la organización para su operación diaria. En general, la SIC buscará que la información detectada, obtenida y analizada durante la verificación corresponda a la informada, declarada y gestionada por la empresa a la que se le practica la auditoría y para ello realizará una serie de acciones que le permitirán entender los procesos internos y contextualizar cada acción operativa de la organización dentro de un universo de exigencias que establece la Ley. Siguiendo un modelo de inspección ya desarrollado, la auditoría procederá a verificar el cumplimiento de la siguiente manera:
– Se indagará acerca del funcionamiento de la empresa: qué hace, cómo lo hace y cuál es la información que necesita para lograr sus metas conforme a su objetivo social. Para ello se acude a las entrevistas y a la evaluación de los documentos que soportan los procesos (políticas, manuales, procedimientos, protocolos, etc.) cuando estos existen.
– Se documentará la finalidad de la información tratada y se procederá a inventariar los puntos o nodos en los cuales se realiza manejo de la información, verificando que los participantes en cada etapa (encargados internos y externos) estén capacitados y actúen conforme a una planificación, a una serie de reglas y a un conjunto de procedimientos.
– La auditoría en su forma operativa inicia cuando comienza la revisión y el análisis de cada nodo, evaluando las medidas de control que operan sobre él, determinado si la medida es adecuada o no, si ésta se implantó correctamente o no es operante, si se mantiene o no con el transcurso del tiempo, y si cumple con las expectativas por las que fue creada.
Al estar en este punto es importante recalcar que el objetivo de una auditoría de la SIC es verificar el Sistema de Gestión en Protección de Datos personales que por norma tiene que estar implementado en la organización, comprobando así que los procesos están alineados con los deberes y obligaciones establecidas por la Ley; es por ello que se dice que al no existir un sistema de gestión o al estar éste incompleto todas las variables evaluadas, o al menos la mayoría, resultarán en un definitivo “NO CUMPLE”, es por ello que en primera instancia siempre se abordarán los temas documentales básicos: (políticas generales, procedimientos de manejo de datos, autorizaciones de tratamiento, acuerdos de confidencialidad, atención de peticiones, quejas y reclamos, avisos de privacidad, notificaciones, análisis de riesgos, análisis de impacto de la privacidad, gestión de incidentes, políticas y protocolos de seguridad) dando como resultado si se cuenta o no con ellos, y si son o no válidos.
Después de esa etapa se analizarán los diferentes procesos de tratamiento de datos que realiza la organización, por ello se verifica el modelo de gestión de seguridad de la información que se tenga implementado midiendo su aplicación en servidores, equipos de cómputo, redes, plataformas, sistemas de almacenamiento de datos, y en los procesos que involucra circulación de archivos tanto físicos como digitales. Así mismo se evalúan los controles sobre las actividades de terceros que actúan como encargados del tratamiento de la información. Esta etapa por supuesto arrojará unos resultados de cumplimiento que idealmente deberían estar de acuerdo con todo lo que está documentado.
En entidades con un alto volumen de tratamiento de datos, la auditoría implicará la participación de los diversos responsables y actores involucrados en el tratamiento de información personal, entonces se entrevistarán a diferentes funcionarios calificando su nivel de conocimiento de las responsabilidades de su cargo y el nivel de cumplimiento de sus deberes. Aquí se revisarán las áreas que tratan datos como son: (La comercial, servicio al cliente, recursos humanos, control de personal, administración de sistemas, salud ocupacional y contratación entre otras) y se verificarán tareas como: (registro de actividades de tratamiento, procedimientos, metodologías, políticas de privacidad complementarias, aplicaciones, medidas de seguridad técnica, organizativa y legal, sistema de evaluación de proveedores, etc.)
En una gran parte de la auditoría se busca dar solución a temas concretos relacionados con incidentes; por tanto, la SIC buscará específicamente brechas de seguridad que conduzcan a esclarecer lo sucedido y a calificar el nivel de responsabilidad de la organización, y es por ello que siempre se evaluarán las políticas y procedimientos que estén orientados hacia una actuación proactiva y las medidas técnicas y organizativas que garantizan la protección efectiva de los datos.
Al entender lo que se ha expuesto aquí se puede observar la importancia de estar siempre preparado para una auditoría de la SIC sea que esta se origine producto de un incidente administrativo o de seguridad, o por una programación rutinaria de la entidad de control; es por ello que se establece como indispensable realizar análisis periódicos completos de cumplimiento a través de auditorías especializadas, ello le ayudará a determinar el grado de cumplimiento de las normas vigentes de su organización, y a establecer planes de mejora continua que optimicen sus procesos.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
