Claves de un proyecto adecuado de consultoría para implementar la LOPD

899

La Asociación Profesional Española de Privacidad (APEP) es una entidad que integra a profesionales de la protección de datos personales y de la privacidad y que tiene entre sus funciones dotar de patrones de calidad al desarrollo profesional de las actividades vinculadas a la privacidad.

Ante la reiterada preocupación del sector profesional de la privacidad sobre la existencia de prácticas inadecuadas de consultoría APEP ha elaborado un conjunto de recomendaciones básicas que permitirán a las organizaciones privadas y públicas identificar cuándo se les ofrece un asesoramiento adecuado.

Encontrará un enlace para la descarga del documento completo al final de este artículo.

Antes de contratar un proyecto de consultoría para implementar el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal tenga en cuenta que:

  • Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor. Tanto la adecuación a la LOPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado; incluso es necesario que determinadas personas de la organización intervengan activamente en el proyecto. Si en el proyecto sólo trabaja y se compromete la consultora, si le ofrecen un documento para que lo firme sin haber estudiado su empresa es muy posible que NO ESTEMOS ANTE UN BUEN PROYECTO.
  • El cumplimiento no es algo puntual, la normativa exige mantenerlo en el tiempo. Si todo el proyecto se ciñe a la entrega de una documentación tras rellenar unos cuestionarios, y no se definen acciones que han de tener su continuidad en el tiempo, definitivamente NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas pero deben permitir contestar afirmativamente a las siguientes cuestiones:
    • ¿Incluye medidas para que los usuarios tomen conciencia de la importancia del derecho fundamental a la protección de datos personales?
    • ¿Precisa las obligaciones impuestas por la normativa y cómo cumplirlas?
    • ¿Transmite las consecuencias de su incumplimiento? Si la respuesta es negativa, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • La adaptación puede suponer cambios. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas NO ESTAMOS ANTE UN BUEN PROYECTO.
  • La aplicación de la LOPD nunca es teórica, no existen recetas de “copiar pegar”, no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad específica de la organización. Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede, y lo habitual es que así sea si se quiere diseñar medidas de seguridad en relación con el entorno físico. Si Vd. no percibe ese interés en indagar sobre el funcionamiento real de la organización en todos los ámbitos afectados por el alcance del trabajo solicitado (físico, informático, de gestión, etc.) NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Debe exigirse al consultor formación específica especializada: La recogida de información debe realizarla una persona con formación cualificada. Se requieren conocimientos tanto en el ámbito jurídico como tecnológico y organizativo. El consultor debe disponer de un certificado expedido por alguna universidad española que acredite su conocimiento o documentación similar, como puede ser la certificación ACP de APEP. Cuando nuestro interlocutor en la consultora no reúna estos requisitos, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. No podemos conformarnos con un documento de seguridad “para archivar” o un conjunto de medidas de seguridad “pendientes de implementación” como meras recomendaciones en el mejor de los casos. La plena adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia. En caso contrario, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Ofrecer un servicio de consultoría tiene costes. En ocasiones, nos ofrecen un proyecto de adaptación a la LOPD con anuncios como “esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo”. El asesoramiento jurídico y técnico no puede venderse a 2X1. Si Vd. es empresario, si administra una organización sabe perfectamente que ofrecer dos servicios por uno, y generalmente a precios por debajo de los del mercado es un negocio ruinoso. Cuando una empresa nos ofrezca un servicio de esta naturaleza es muy probable que nos esté animando a cometer un fraude, Si nos dicen “esto es gratis”, o “se lo regalo con un proyecto de formación subvencionada” NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Si la empresa de consultoría se compromete a ofrecerle un certificado de cumplimiento desconfíe. Si obtener un certificado de calidad, como los ISO, exige una compleja labor de auditoría, ¿cómo puede Vd. creer a las consultoras que “certifican” el cumplimiento por haberlas contratado? Este certificado no lo protegerá ante malas prácticas, denuncias, inspecciones ni las sanciones que se puedan derivar. Si un proyecto le ofrece esta “garantía”, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • La evolución de las TIC´s, como las aplicaciones de gestión integral, contribuyen a la mejora de la gestión empresarial, pero, al mismo tiempo, suponen flujos de información complejos que exigen adoptar medidas de seguridad adecuadas. Estos procesos deben ser analizados y documentados adecuadamente en el Documento de Seguridad, del cual se exige no solo actualización y vigencia sino también conocimiento y praxis. Cuando un proyecto no contempla los análisis técnicos adecuados que permitan reflejar las TIC y sus medidas de seguridad asociadas con el rigor exigido en la normativa, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento de la LOPD Vd. nunca estará del todo a salvo. Aunque se contrate la cobertura de un seguro, Vd. siempre se enfrenta al riesgo que para la reputación de su organización comporta la declaración de una infracción y su sanción y publicación en la web de la AEPD. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano. Si su consultora no le ha advertido de la necesidad de adoptar medidas de seguimiento y control, si no le ha indicado la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si le garantizan que no pasará nada que “el seguro lo cubre todo” NO ESTAMOS ANTE UN BUEN PROYECTO.

Descarga documento PDF

Definición de servicio de consulta para la adaptación integral de procesos al cumplimiento normativo en materia de protección de datos personales


Claves de un proyecto adecuado de consultoría para implementar la LOPD
Vota este artículo
Compartir

5 Comentarios

  1. Estoy de acuerdo en “casi todo”, pero…
    .. esta formación específica de la que se habla, ¿es la que se imparte desde la propia asociación?,
    ¿sabéis el mal que produce a la causa la publicidad encubierta?

  2. Hola Jesús, perdona, pero creo… o percibo, que se está diciendo que un proyecto no es bueno si el consultor no hace un examen concreto, de esta entidad concreta.
    Estoy de acuerdo en que puede ser un aval del consultor, uno más.
    Con lo que no estoy de acuerdo es con que un proyecto sea malo por el hecho de que esta asociación no haya examinado al consultor (previo pago, claro está).
    Esto es literalmente mentira. Es como afirmar que por el hecho de no estar certifido en ISO 9001, una organización no tiene un sistema de gestión de calidad, mentira.
    Por el hecho de no estar certificados en ISO 27001, no tienen un sistema de gestión de información, mentira.
    Ya somos mayores para diferenciar entre las acreditaciones, la gestión, la realidad y la publicidad.

    • Supongo que te refieres a este fragmento:

      El consultor debe disponer de un certificado expedido por alguna universidad española que acredite su conocimiento o documentación similar, como puede ser la certificación ACP de APEP.

      Dice “como puede ser”, se trata de un ejemplo, exactamente como tu dices: “un aval del consultor, uno más”. En ningún sitio se está indicando que sea la única opción o sea excluyente, no se de dónde sacas esa idea.

  3. Lupe,
    Me parece un comentario sacado fuera de contexto. Creo que se trata de un ejemplo y trata de hacer visible y “educar” porque nadie da duros a cuatro pesetas… pero a veces en un afán por “cumplir” pues eso… solo se tiene en cuenta el coste económico. Y como en todo, no favorece en nada que haya listillos…
    Lo importante de la LOPD es que se cumpla de verdad, no sobre el papel.

Dejar respuesta