Auditorías en Protección de Datos ¿internas o externas?

Una de las cuestiones que más nos plantean los clientes, cuando nos referimos a protección de datos, se refiere a la auditoría y, en concreto, quién debe realizarla o qué requisitos debe cumplir el encargado de llevarlas a cabo.

Si bien se esperaba que el nuevo Reglamento aclarara la cuestión al respecto, dado el silencio que en tal sentido mantiene la LOPD, sin embargo nada ha resuelto, manteniendo tal cuestión en un, a mi juicio, consciente olvido, evitando pronunciarse en uno u otro sentido.

Bien, recordemos que según el RLOPD, las auditorías de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos hay que efectuarlas, al menos cada dos años, siempre que se trate de ficheros con un nivel de seguridad medio, sean éstos automatizados o no. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir o afecten al cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría extraordinaria iniciará, de nuevo, el cómputo de dos años fijado en el RLOPD.

A los efectos que aquí tratamos, baste decir que en el RLOPD se reitera, como en el anterior, que tal auditoría podrá ser externa o interna, sin especificar cómo haya de realizarse, por quién o con qué calificaciones o cualificaciones.

Vaya por delante, antes de entrar en las procelosas aguas de la interpretación jurídica, que la APD ha mantenido una postura absolutamente neutra en cualquier sentido, no estando de más recordar que, de todos los expedientes instruidos por la APD en los últimos años, ni siquiera el 2% de ellos se han referido al cumplimiento/incumplimiento de medidas de seguridad. Siendo cierto lo anterior, es interesante destacar que la APD siempre ha mantenido una actitud sumamente abierta con las cuestiones técnicas relativas a las medidas de seguridad, prefiriendo recomendar y/o advertir, antes que sancionar (insisto, en estas cuestiones).

Volviendo al tema que nos ocupa, ¿quién está capacitado para realizar una auditoría de los sistemas de seguridad y del cumplimiento del documento de seguridad? Cuestión, por cierto, íntimamente relacionada con la nueva caracterización del responsable de seguridad de los ficheros, figura de difícil encaje en una empresa y de perfil intermedio, entre técnico y jurídico.

En fin, como quiera que no existe una titulación específica en tales menesteres ni un “Colegio Oficial” de auditores informáticos, la gloria se la disputan a día de hoy, los informáticos y los ingenieros, sin que hasta el momento la balanza se halla decantado a favor de uno u otro y sin que la APD se haya, tampoco, decantado por ninguna de las dos opciones (con buen criterio, a mi parecer).

Qué duda cabe que podemos apuntar titulaciones “no oficiales” que aportan un plus de conocimientos y de bagaje que nos permitirían defender tal propuesta y que, además, gozan de buena reputación en tal sentido (por ejemplo, ISACA y sus certificaciones CISA), pero lo cierto es que a día de hoy no existe ninguna obligación en tal sentido.

La única referencia que, a día de hoy, podemos utilizar para llegar a una contestación más o menos razonable, la podemos encontrar en la Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito.

En esa Instrucción, se fijaban las normas relativas a tales servicios y se dedicaba la Norma Cuarta, en el capítulo segundo, a las formas de comprobación de las medidas de seguridad implantadas. Tras señalar que la implantación, idoneidad y eficacia de dichas medidas se acreditará mediante la realización de una auditoría, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, se indica que la auditoría podrá ser realizada:

 - “Por el departamento de auditoría interna del responsable del fichero, si cuenta con un departamento formalmente constituido, profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos”.

 - “Por un auditor externo, profesionalmente cualificado e independiente del responsable del fichero”.

 Respecto a lo que aquí tratamos interesa, la Instrucción añadía que la realización de las auditorías bianuales debía ser llevada a cabo “de acuerdo con las normas y recomendaciones de ejercicio profesional aplicables en el momento de su ejecución”, dejando sin especificar sin embargo qué había que considerar por “profesional cualificado” (dado que no existe formalmente esa cualificación o titulación oficial) o más aún, cuándo se puede considerar que un trabajador perteneciente a una organización es independiente de esa organización a la que audita. Y sin olvidar que, aunque pueda servir como referencia, esa Instrucción se dedica a un sector concreto.

Lo cierto es que la contratación o el recurso a auditores externos plantea pocos problemas.

En la realidad del día a día, en el que las empresas (en un alto porcentaje) consideran que las políticas de protección de datos o de SGSI constituyen un gasto y no una inversión, amén de suponer un coste importante para las mismas, lo cierto es que las auditorías suelen ser de carácter interno, realizadas por personas con pocos/ningún conocimiento en informática de la propia empresa, pero sin constituir departamentos independientes ni nada por el estilo. Los “designados” suelen contar con algunos conocimientos en protección de datos, aunque cierto es que su designación pretende, más que nada, cubrir el expediente y poco más.

Ahora, que la cosa se está poniendo más seria con la entrada en vigor del RLODP, veremos qué virtualidad le ofrecen a la APD estas auditorías y como enfoca esa segunda fase de la implantación de la LOPD, consistente en la revisión de las políticas de seguridad y del documento de seguridad que, hasta la fecha, no ha recibido demasiada atención por la Agencia.

 

 

Controles de acceso biométricos

Ha pasado casi desapercibido un conflicto y su resolución sobre la cuestión enunciada en el título de la entrada. Por primera vez ha llegado hasta nuestro Tribunal Supremo un asunto que tiene que ver, no tanto con la protección de datos de carácter personal, sino con la viabilidad de que una empresa establezca un control de acceso a la misma, para sus trabajadores, basado no en sistemas de accesos lógicos o técnicos, sino biométricos.

La trascendencia de la cuestión se deriva no sólo de esa posibilidad en cuanto a los controles de acceso o presencia en un determinado lugar, sino de la creciente y continua generalización de ese sistema, que a día de hoy podemos observar en numerosos ordenadores que posibilitan la autenticación del usuario a través de la comparación de su huella dactilar. Como sabéis, aunque introducido de “rondón”, en numerosas organizaciones ya se ha implantado ese sistema para “logearse” en el sistema y acceder a la red corportativa.

 

El conflicto que se ha resuelto ahora parte de la decisión de una organización de implantar un sistema de acceso a un edificio de carácter biométrico. En concreto, mediante la comparación de la huella dactilar de la persona que pretende acceder con la base de datos de huellas dactilares del sistema.

 

Desde un punto de vista más técnico (que me perdonen los “idems” por la intromisión) los controles de acceso y controles de presencia en que necesita identificar el usuario a través de sistemas de este tipo se usa un lector controlado por el hardware correspondiente. Este hardware consiste básicamente en un terminal que usa un lector (sea óptico, biométrico o de otro tipo) para identificar al usuario, a través de rayos infrarrojos, principalmente. Un buen uso de la biometría permite identificar a partir de algunos de los rasgos biológicos únicos a una persona de manera plena y unívoca, existiendo pocas posibilidades de suplantación de identidad, sino es a través de complejos sistemas.

En función del grado de conocimiento de la tecnología (y de la inversión que la organización puede o quiere efectuar), se suelen utilizar para llevar a cabo esa identificación sistemas biométricos basados en el reconocimiento por huella dactilar. En estos casos, la huella digital del usuario es capturada usando un escáner óptico o biométrico, cuyo resultado es comparado con una base de datos de los usuarios registrados creada con anterioridad. En el caso de coincidencia quedarán registrados en el sistema la fecha, hora y lugar por el que el usuario accede o sale del sistema.

Como en todas las cuestiones tecnológicas, no todos los sistemas de autenticación biométrica son iguales de “fuertes”. Como ha quedado dicho, en función de la inversión a efectuar, podemos señalar que mientras que algunos detectan solamente la forma de la huella, otros comprueban pulso y temperatura para confirmar que se trata de un dedo real, etc.. No olvidemos en todo caso, como señalaba Sergio Hernando (por cierto, blog fundamental) hace tiempo, que todos los sistemas pueden burlarse.

 

El sistema técnico que se viene a implantar es el que se describe a continuación: la lectura biométrica de la mano se efectúa mediante un escáner a través de rayos infrarrojos. Esta lectura por infrarrojos implica, a su vez, la transformación de la imagen tridimensional en un algoritmo plasmado, a su vez, en “bytes”, en lo que se denomina “template”, palabra inglesa que significa plantilla y que en acepción reciente expresa un modelo de concepción de programas o de presentación de datos. Ese “template”, incorporado a una base de datos creada previamente (cuya creación y existencia ha sido notificada y registrada en la Agencia de Protección de Datos), permite su asociación con la identidad de los empleados/usuarios, haciendo posible efectuar el control horario de acceso y salida de los edificios en los que se implementa tal sistema. Es importante reseñar a los efectos pertinentes que la información convertida en esos bytes no comporta huellas, ni fotografías y, por sí sola, no es idónea para identificar a las personas (recordemos el concepto de “datos disociados” a que hemos hecho referencia en otra entrada anterior). Por otra parte, el mecanismo se presenta como inocuo desde el punto de vista de la salud, habiéndose presentado certificados de conformidad de los aparatos instalados e informes médico-sanitarios que abundan en tal sentido.

 

Así las cosas, nuestros tribunales han señalado que la implantación de ese sistema de control no infringe derecho fundamental alguno tal como los ha definido el Tribunal Constitucional. En efecto, entendió que no supone una restricción desproporcionada de los mismos, ni lesiona el derecho a la intimidad, ni el derecho a la protección de datos de carácter personal regulado por la LOPD, ni el derecho a la llamada intimidad corporal. Tampoco aprecia que el sistema de control horario discutido comporte daños para la salud por los efectos biológicos de las radiaciones que pueda emitir el escáner, semejantes a las de un mando a distancia de televisión.

 

Se afirma que la justificación para la implantación del sistema existe y no hay norma que prohíba el recurso a la tecnología escogida para realizar el control del cumplimiento del horario de trabajo. Su novedad o complejidad no la convierten en lesiva de los derechos fundamentales invocados. Y el posible desequilibrio que pudiera existir entre el uso de la biometría y ese control no es cuestión a dirimir jurisdiccionalmente en un proceso de estas características.

Los “Morosos e Insolventes” están de enhorabuena (1ª parte)

El desarrollo que se ha hecho de los registros de datos de carácter personal relativo a insolventes y morosos en el nuevo Reglamento de la LOPD no ha gustado nada a las empresas que se dedican a esas actividades. Debe ser por eso que, junto con alguno más, han decidido impugnar un importante número de preceptos del mismo a través de los correspondientes recursos jurisdiccionales contencioso-administrativos.

 

La pregunta natural es ¿tienen motivo para estar “cabreados” con el nuevo Reglamento? Desde mi punto de vista, no les falta razón. Con sólo prestar atención a dos de las múltiples cuestiones que se abordan en el texto reglamentario nos daremos cuenta rápidamente. No está de más recordar que, en caso de duda, la solución siempre tiene que decantarse por el ejercicio de los derechos del afectado. Por ello, cuando no haya solución aparente entre dos posibilidades, habrá que darle la razón al “moroso”.

 

Antes de entrar en esta breve relación de cuestiones que se plantean con el nuevo Reglamento, es obligatorio recordar que la Ley Orgánica 15/1999 (al igual que la anterior norma de 1992), aborda el problema fundamentalmente en el artículo 29, regulación raquítica a la postre y que dejaba para el Reglamento el desarrollo de las principales cuestiones. Por ello, en su día, se dictó por la propia APD la Instrucción 1/1995, de 1 de marzo, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito. Esta Instrucción, dictada en interpretación de la antigua LORTAD, pretendía fijar unos criterios comunes y orientadores sobre tal cuestión. La citada Instrucción sigue vigente a día de hoy.

 

En el flamante nuevo Reglamento de desarrollo, se han pretendido introducir los criterios jurisprudenciales (y, por ende, los de la propia Agencia) sobre tal cuestión, existentes en los pronunciamientos de la Audiencia Nacional de los últimos años. El problema, claro está, es que intentar generalizar desde la perspectiva de sentencias que analizan asuntos individuales es sumamente complicado. Veamos unos ejemplos:

 

Se inicia el artículo 38 del RD 1720/2007 disponiendo en su número 1º que:

 

“Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos”.

 

Paremos un momento. Antes de ir con los requisitos hay que llamar la atención sobre un requisito previo que se enuncia en ese párrafo y que presenta los primeros problemas:

 

* “datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado”.

 

Según este texto, con carácter previo siquiera a considerar si la supuesta deuda cumple los requisitos para su inclusión, hay que determinar si la propia deuda (suponemos que, en función del importe) es determinante para enjuiciar la solvencia económica del afectado. Pero ¿quién efectúa esa valoración? ¿con qué datos ha de contar para llevarla a cabo? Supongo que no será lo mismo que el Presidente del Banco de Santander no pague una cuota de, digamos de la hipoteca, que sea yo mismo el que no la pague. Evidentemente, el enjuiciamiento de la solvencia económica de un afectado requiere que existan una serie de datos adicionales que permitan realizarla (¿datos de la declaración de la renta? ¿certificado de ingresos anuales? ¿nivel de endeudamiento?). Pero, ¿cómo van a acceder a tales datos? Habrá que observar qué nos dice la Audiencia Nacional sobre estas cuestiones. Pero es que, además, el impago de una cuota de la ADSL creo que no es suficiente para determinar la solvencia de nadie. En todo caso, puede ser un acto de justicia poética.

 

Si seguimos con el análisis del artículo, los problemas se acentúan:

 

Artículo 38.1.a:

“Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”.

 

Aún reconociendo que los conceptos por los que se determinan que una deuda es “cierta, vencida y exigible” ya han sido interpretados con reiteración, la segunda parte de ese párrafo exige que no se hay entablado reclamación judicial, arbitral o administrativa, o bien que no se haya planteado una reclamación ante el Comisionado para la defensa del cliente de servicios financieros del RD 303/2004.

 

Claro que, teniendo en cuenta que ese Real Decreto no ha sido desarrollado y que, por lo tanto, esa figura del Comisionado (diferente a la del “Defensor del Cliente”) camina por el limbo del BOE -como nos podrá confirmar Bartolomé-, difícilmente se va a poder hacer cargo de semejantes reclamaciones. El propio Consejo de Estado advertía, en su Informe preceptivo sobre el Reglamente, de las disfunciones de este articulado:

El Consejo de Estado no objeta esta redacción, pero considera que no obstante la amplitud de su enunciado, aún deja márgenes para distintas interpretaciones (…) En este sentido, ha de destacarse que las disposiciones reguladoras de los comisionados para la defensa del cliente de servicios financieros y los departamentos de atención al cliente y el defensor del cliente de las entidades financieras excluyen de su conocimiento las consultas, quejas o reclamaciones que se les dirijan cuando tengan conocimiento de que el asunto a que se refieran se encuentre o haya sido sometido a cualquier instancia arbitral, administrativa o judicial. (…) De las citadas disposiciones se deduce que esos órganos emiten informes de los que pueden resultar conductas de las entidades que prestan servicios financieros indiciarias del “quebrantamiento de normas de transparencia o protección a la clientela“, o en los que se detecten indicios de conductas delictivas, o de infracciones tributarias, de consumo o competencia, o de otra naturaleza, supuestos en los que habrán de ponerse los hechos en conocimiento del organismo de supervisión al que esté adscrito, a los efectos oportunos.

Resulta, por consiguiente, que el interesado que no ha entablado una reclamación en los términos del artículo 38.1.a) del Reglamento proyectado puede, sin embargo, haberse dirigido a alguno de los referidos órganos de defensa de sus derechos como usuario de servicios financieros. No parece lógico que la entidad que puede incurrir en alguna de las conductas descritas en el citado artículo 15 del Reglamento de Comisionados pueda, en tanto se resuelve la queja o reclamación, comunicar los datos de dicho cliente a un fichero de esta clase”.

Pero, además de lo anterior, ¿qué se entiende por una reclamación arbitral o administrativa? ¿tiene que ser órgano competente que pueda entrar a conocer la cuestión de la deuda o sobre la causa del origen de la deuda? Difícilmente. ¿Órgano municipal, autonómico, nacional? Con facultades reales de decisión o, meramente, consultivo.

Peor lo tenemos si lo anterior lo conectamos con el número 2º del mismo artículo 38 donde se establece que tampoco podrán incluirse cuando “exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores”. Toma ya. Un indicio es, según la RAE, un “Fenómeno que permite conocer o inferir la existencia de otro no percibido”, aunque bien podemos aplicar en este caso, su segunda acepción “Cantidad pequeñísima de algo, que no acaba de manifestarse como mensurable o significativa”. Suponemos que la valoración de tal circunstancia ha de efectuarla el responsable del fichero, ¿o no? Pero, principalmente, desconocemos cuál sea prueba indiciaria suficiente para evitar la inscripción o la cancelación cautelar del dato. Cualquier abogado al que le toque un asunto relacionado con este tema se frotará las manos con fruición. Algunos ejemplos ¿La presentación de una reclamación ante la Oficina Municipal de Consumo es una prueba indiciaria? ¿la remisión de un burofax? ¿la presentación de una reclamación ante el Servicio de atención al cliente? ¿Durante cuánto tiempo nos puede servir ese indicio?

Demasiadas preguntas para tan poco texto. En siguientes entradas seguiremos comentando estos artículos.