14gen.

Davant la reiterada preocupació del sector professional de la privacitat sobre l’existència de pràctiques inadequades de consultoria l’Associació Professional Espanyola de Privacitat ha elaborat un conjunt de recomanacions bàsiques que permetran a les organitzacions privades i públiques identificar quan se’ls ofereix un assessorament adequat.
Abans de contractar un projecte de consultoria per a implementar el compliment de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal tingui en compte que:
Adaptar-se per complir la normativa requereix la implicació del client més del treball del consultor. Tant l’adequació a la LOPD com mantenir aquest compliment legal en el temps requereix que el client estigui conscienciat, fins i tot cal que determinades persones de l’organització intervinguin activament en el projecte. Si en el projecte només treballa i es compromet la consultora, si li ofereixen un document perquè el signi sense haver estudiat la seva empresa és molt possible que NO ESTIGUEM DAVANT UN BON PROJECTE.
El compliment no és una cosa puntual, la normativa exigeix mantenir-lo en el temps. Si tot el projecte es cenyeix al lliurament d’una documentació després d’emplenar uns qüestionaris, i no es defineixen accions que han de tenir la seva continuïtat en el temps, definitivament NO ESTEM DAVANT UN BON PROJECTE.
Un assessorament adequat ha d’incorporar un capítol adequat de formació de qualitat i de conscienciació al personal. Les formes de portar a terme la formació poden ser diverses però han de permetre contestar afirmativament a les següents qüestions:
– ¿Inclou mesures perquè els usuaris prenguin consciència de la importància del dret fonamental a la protecció de dades personals?
– ¿Precisa les obligacions imposades per la normativa i com complir-?
– ¿Transmet les conseqüències del seu incompliment?
Si la resposta és negativa, NO ESTEM DAVANT UN BON PROJECTE.
L’adaptació pot suposar canvis. Si després de l’anàlisi de la seva organització no s’han identificat les bones pràctiques i no s’han proposat correccions a les que puguin ser inadequades NO ESTEM DAVANT UN BON PROJECTE.
L’aplicació de la LOPD mai és teòrica, no hi ha receptes de “copiar enganxar”, no n’hi ha prou amb marcar creus en un qüestionari, s’ha d’adaptar a la realitat específica de l’organització. Amb independència del procediment utilitzat, el seu assessor ha de conèixer en profunditat la seva empresa o organització visitant físicament si escau, i l’habitual és que així sigui si es vol dissenyar mesures de seguretat en relació amb l’entorn físic. Si vostè no percep aquest interès en indagar sobre el funcionament real de l’organització en tots els àmbits afectats per l’abast del treball sol • licitat (físic, informàtic, de gestió, etc.) NO ESTEM DAVANT UN BON PROJECTE.
Ha d’exigir al consultor formació específica especialitzada: La recollida d’informació ha de realitzar una persona amb formació qualificada. Es requereixen coneixements tant en l’àmbit jurídic com tecnològic i organitzatiu. El consultor ha de disposar d’un certificat expedit per alguna universitat espanyola que acrediti el seu coneixement o documentació similar, com pot ser la certificació ACP de APEP. Quan el nostre interlocutor en la consultora no reuneixi aquests requisits, NO ESTEM DAVANT UN BON PROJECTE.
L’objectiu a perseguir ha de ser l’adequació plena, per tant, el projecte ha d’oferir accions que persegueixin un compliment real no només formal. No podem conformar-nos amb un document de seguretat “per arxivar” o un conjunt de mesures de seguretat “pendents d’implementació” com a meres recomanacions en el millor dels casos. La plena adaptació no conclou fins que les mesures s’hagin implementat i verificat la seva eficàcia. En cas contrari, NO ESTEM DAVANT UN BON PROJECTE.
Oferir un servei de consultoria té costos., De vegades, ens ofereixen un projecte d’adaptació a la LOPD amb anuncis com “això no ens costarà res, o gairebé res, ja que aprofitarem una subvenció d’una altra cosa per pagar-lo”. L’assessorament jurídic i tècnic no pot vendre a 2X1. Si vostè és empresari, si s’administra una organització sap perfectament que oferir dos serveis per un, i generalment a preus per sota dels del mercat és un negoci ruïnós. Quan una empresa ens ofereixi un servei d’aquesta naturalesa és molt probable que ens estigui animant a cometre un frau, Si ens diuen “això és gratis”, o “l’hi regalo amb un projecte de formació subvencionada” NO ESTEM DAVANT UN BON PROJECTE.
Si l’empresa de consultoria es compromet a oferir-li un certificat de compliment desconfiï. Si obtenir un certificat de qualitat, com els ISO, exigeix una complexa tasca d’auditoria, com pot vostè creure a les consultores que “certifiquen” el compliment per haver-les contractat? Aquest certificat no el protegirà davant males pràctiques, denúncies, inspeccions ni les sancions que se’n puguin derivar. Si un projecte li ofereix aquesta “garantia”, NO ESTEM DAVANT UN BON PROJECTE.
L’evolució de les TIC, com les aplicacions de gestió integral, contribueixen a la millora de la gestió empresarial, però, al mateix temps, suposen fluxos d’informació complexos que exigeixen adoptar mesures de seguretat adequades. Aquests processos han de ser analitzats i documentats adequadament en el Document de Seguretat, del qual s’exigeix no només actualització i vigència sinó també coneixement i praxi. Quan un projecte no contempla els anàlisis tècniques adequats que permetin reflectir les TIC i les seves mesures de seguretat associades amb el rigor exigit en la normativa, NO ESTEM DAVANT UN BON PROJECTE.
Encara que li assegurin cobrir els danys derivats de l’assessorament o l’incompliment de la LOPD vostè mai estarà del tot fora de perill. Encara que es contracti la cobertura d’una assegurança, vostè sempre s’enfronta al risc que per a la reputació de la seva organització comporta la declaració d’una infracció i la seva sanció i publicació a la web de l’AEPD. La confiança dels seus clients no la garanteix cap asseguradora, exigeix un esforç quotidià. Si el seu consultora no li ha advertit de la necessitat d’adoptar mesures de seguiment i control, si no li ha indicat la importància de verificar la seva seguretat cíclicament i corregir qualsevol defecte o incidència que adverteixi, si li garanteixen que no passarà res que “l’assegurança ho cobreix tot “NO ESTEM DAVANT UN BON PROJECTE.
Arribats a aquest punt PEDROSA BUSQUETS & ASSOCIATS, li agraeix el temps utilitzat a llegir aquest document i li comunica que en breu ens posarem en contacte amb vostès per presentar-los els serveis que ofereix aquesta empresa.

Joan Pedrosa i Gutiérrez
CEO Pedrosa Busquets & Associats
www.pedrosabusquets.es