La importancia de la planificación en un proyecto LOPD
Los primeros pasos determinan el éxito o fracaso de un proyecto de auditoría LOPD
Publicado el lunes, 12 de septiembre de 2016 a las 09:00
Cualquier proyecto de auditoría LOPD tiene su fase más sensible en los primero pasos. Estos primeros estadios, determinan el éxito o el fracaso del proyecto. Sin una adecuada planificación, sin una revisión coherente de la documentación preliminar y un buen diseño del calendario de entrevistas, es imposible crear un adecuado punto de partida.
La recogida de documentación tiene que ayudar al consultor a clarificar la situación inicial sobre la que se tendrá que realizar la auditoría. Recordemos que el artículo 96 del Reglamento de Desarrollo de la LOPD (RD 1720/2007 de 21 de diciembre), pide que se revise el estado de la estructura y su adecuación a la normativa, a la vez que indica que se habrán de proponer las medidas correctoras necesarias.
Aunque no existe un listado genérico de documentación a analizar, un listado básico de la documentación necesaria para el inicio de un proyecto de auditoría LOPD podría ser el siguiente:
- Documento de Seguridad existente en la entidad
- Políticas de seguridad y otra documentación al respecto de la privacidad que se haya desarrollado para los usuarios
- Listado de proveedores con acceso a datos y los correspondientes contratos de encargado de tratamiento
- Inventario de aplicaciones y recursos que traten o almacenen datos personales
- Procedimientos de recogida de datos (web, formularios en papel, etc)
- Otra información que el consultor crea conveniente
Además de la recogida de la documentación previa, una adecuada planificación de las entrevistas a llevar a cabo, es fundamental para el buen término de este tipo de proyectos.
La selección de las personas con las que se va a cotejar los procedimientos es vital, pues si estas no tienen un peso en la estructura adecuado y un buen conocimiento de la misma, no se obtendrá una información real y concreta que nos lleve a valorar si se están o no cumpliendo los criterios.
Generalmente se obtendrá mejor información de aquellas personas que estén en departamentos que traten directamente con datos personales (RRHH, marketing, ventas, IT, etc) y que tengan un peso especifico en ellos. Como complemento y para comparar alguna información que nos pueda parecer errática, se podrá entrevistar a otras personas dentro del mismo departamento.
La selección de preguntas de esta entrevista, tiene que estar formada por aquellos aspectos que el consultor crea más importantes para una buena obtención de información y estará basada en la documentación que previamente ha recogido. Por tanto, en cada entidad, el cuestionarios podrá ser completamente diferente, aunque el fin sea el mismo.
Cualquier proyecto de auditoría LOPD que no se base en información de primera mano y que recurra a medios indirectos para la comprobación del cumplimiento de la norma en la entidad, estará plagado de errores y por tanto, será inútil.