En el marco de la realización de auditorías de sistemas de gestión legales o normativos de cualquier índole, es de vital importancia considerar los controles de cumplimiento que previamente se hayan identificado para mitigar los riesgos detectados en la entidad.
En este artículo utilizaremos como ejemplo de sistemas de gestión la Protección de Datos de Carácter Personal y el Compliance Penal.
Auditoría en Sistemas de Protección de Datos y Compliance Penal
A modo ejemplificativo, no taxativo, veremos algunos de estos controles, que, o bien, se implementan dirigidos a mitigar los riesgos asociados con el uso de información con datos de carácter personal, o bien, se trata de una serie de controles destinados a mitigar el riesgo de las comisiones delictivas que previamente se ha identificado que puedan tener cabida en una organización.
Muchos de estos controles aplicarán para ambas normativas sobre todo aquellos relacionados con el delito de descubrimiento y revelación de secretos (Art.197 del Código Penal): “El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses”. Ya que claramente, la conducta delictiva implica la revelación de información que contenga datos de carácter personal en la mayoría de los casos.
Controles de cumplimiento en auditoría eficaces
En este contexto, podríamos identificar como controles eficaces los siguientes:
- Procedimiento de alta/baja/modificación empleados.- Procedimiento que consiste en mantener actualizado el acceso a la información de un empleado tanto cuando empieza a formar parte de la compañía como cuando causa baja en esta.
- Controles físicos de acceso a las instalaciones y archivos.- En este caso nos referimos a mantener un sistema de acceso controlado mediante el uso de llaves, tarjetas o datos biométricos que imposibiliten en acceso a toda la información de la entidad por cualquier empleado o miembro externo de la organización que se encuentre en sus instalaciones.
- Firma del compromiso de confidencialidad por todos los trabajadores.– En la línea de lo anterior, es importante que todos los trabajadores se comprometan a actuar con la confidencialidad y diligencia máxima de cara a la información que manejen en su puesto de trabajo.
- Digitalización de la documentación física.- Este control se dirige a mantener un doble archivo de la documentación física de tal forma que se asegure su custodia en formato digital.
- Formación a los empleados.- Más allá de las formaciones obligatorias por ley, como la de Prevención de Riesgos Laborales, es necesario que la plantilla conozca las nociones mínimas y pautas de actuación relacionadas con la Protección de Datos y, en caso de contar con la implantación de un Sistema de Gestión de Riesgos Penales, aquellas relacionadas con Compliance Penal.
- Cifrado y borrado de la información.- En este caso se trata de intentar cifrar la información evitando cualquier brecha de seguridad desde que se envía hasta que llega al destinatario final. Y, por otra parte, y aludiendo en este caso a lo estipulado en el Reglamento Europeo General de Protección de Datos, borrar toda aquella información que es prescindible e innecesaria para las finalidades para las que se recabaron en su día, evitando por tanto, que pueda salir a la luz de forma ilícita.
Evidencias de los controles
En el momento de realizar una auditoría de cualquiera de las dos normativas citadas, se pedirá evidencia de los controles que hemos visto anteriormente. Estas evidencias deben ser mostradas al equipo auditor de forma clara y precisa, así como estar actualizadas. Debe quedar constancia de que los controles aplicados son eficaces para mitigar el riesgo para el que fueron elegidos. La no exposición de las evidencias solicitadas por el equipo auditor se trasladará en una serie de “No Conformidades” o “Salvedades” en el “Informe de Auditoría” que supondrán un resultado negativo para la organización.
En GlobalSuite Solutions contamos con el software GlobalSuite®, íntegramente desarrollado por nuestro equipo que permite la implantación, gestión y mantenimiento de todos los requisitos exigidos por las normas de sistemas de gestión en todo tipo de organizaciones y sectores. Contar con un software que ayude a automatizar la gestión de dicho sistema supondrá múltiples beneficios para su compañía a la hora de trabajar en la implantación del sistema en su organización. Además, ofrecemos la ayuda y el asesoramiento necesarios para la implementación de un servicio de Compliance Penal o Protección de Datos.