Auditoría de Cumplimiento Global de los Mecanismos de Protección de Datos

En la sociedad actual, la preocupación por la protección de datos personales es cada vez mayor.  Como resultado de las nuevas tecnologías y los medios de comunicación social, una cantidad cada vez mayor de datos personales se procesan en más partes en más lugares. Los países están respondiendo mediante la aplicación de actualización o nuevas leyes de protección de datos y actividades de aplicación cada vez mayor.

Sin embargo, tanto las actividades de contenido y la aplicación de estas regulaciones son muy diferentes, por lo tanto, asegurar el cumplimiento con las regulaciones locales es un desafío para una organización global que actúa en varios países.

La necesidad de auditar el cumplimiento global va en aumento por las siguientes razones:

• Una mayor atención de los reguladores de todo el mundo
• Recurrentes casos de alto perfil en los organismos internacionales
• La necesidad de evitar los riesgos financieros y de reputación derivados de los casos el cumplimiento de

Objetivos Determinar el cumplimiento de enfoque de la auditoría

A nivel mundial las empresas que actúen puede elegir entre los diferentes enfoques para satisfacer las leyes de protección de datos, independientemente del tipo de datos:

• Un enfoque se basa en asegurar el cumplimiento de protección de datos en función de cada país y, en ese sentido global-aunque no muy céntrico impulsada. Esto podría llevar, en este caso, las situaciones aceptables en el que vuelva a ocurrir incidentes en un país en otro debido a una causa similar. El énfasis de este enfoque consiste en comprobar si los requisitos o procedimientos son diseñados e implementados como es requerido por la ley local respectiva. Este enfoque principalmente a dar seguridad sobre el nivel de cumplimiento por cada país durante el periodo que fue auditado.
• Otro enfoque consiste en tener un programa de protección de datos de toda la organización para prevenir, detectar y responder a los errores sistemáticos en todos los países. Ejemplos de errores sistemáticos son fallas repetitivas que incluyen la organización de protección de datos en proyectos de TI,  el uso continuo de los datos personales más allá de la finalidad para la que se recogieron los datos y la tercerización de procesamiento de datos para proveedores de servicios sin revisar el nivel de los proveedores de protección de datos. Este enfoque le dará la garantía de la eficacia del programa en la prevención de incidentes de protección de datos.

Independientemente del método que se elija, es importante entender que ninguna organización puede prevenir por completo los incidentes de protección de datos que se produzcan ya que los individuos siempre se pueden cometer errores, como el envío accidental de un correo electrónico que contiene datos de carácter personal a la persona equivocada o la pérdida de una base de datos transporte (por ejemplo, un bus serie universal [USB] palo o cinta de copia de seguridad). La clave está en evaluar si una organización es eficaz en la reducción de vulnerabilidades sistemática a un nivel aceptable. El nivel de lo que es aceptable para una organización está directamente relacionada con su apetito de riesgo, que a su vez, se fija por la administración, se determinen como parte de una evaluación de riesgos. El nivel de riesgo, el apetito de riesgo y perfil de riesgo de una organización que influyen en la respuesta al riesgo.  En concreto para la protección de datos, el nivel de riesgo, el apetito por el riesgo y el perfil de riesgo se ven influidos por cuatro factores:

1.     Operaciones en un mercado regulado -Todas las operaciones de negocios deben cumplir con las regulaciones relevantes para su mercado, que van desde, por ejemplo, el registro de la empresa con las autoridades locales a obedecer las reglas de cálculo financieras comunicado. Además, algunos mercados (por ejemplo, financieros, cuidado de la salud) son mucho más regulado y están más cerca de ver por las autoridades de los demás. Las organizaciones que operan en mercados altamente regulados son generalmente más preocupados por la reducción de los riesgos de cumplimiento.

2.     Rigor de las leyes en algunos países - Algunas leyes son más estrictas de protección de datos o se aplican con mayor rigor que otros. En Alemania, por ejemplo, hay una estructura fuerte aplicación,  mientras que el riesgo de daños económicos en los EE.UU. como resultado de juicios civiles es relativamente alto. Conocer las posibles consecuencias de las violaciones de protección de datos es necesaria para evaluar el riesgo.

3.     Los datos personales como actividad principal -Si el almacenamiento de datos personales es un negocio de una empresa de base (por ejemplo, la celebración de un recurso humano [HR] de la aplicación), un incidente de protección de datos puede influir en las actitudes de los clientes y la confianza más que si una organización guarda los datos personales como un bien general para apoyar los procesos de negocio (por ejemplo, el mantenimiento de una base de datos del cliente).

4.     Cantidad de datos de carácter personal que se almacena -Los datos más personales que se almacenan los datos más se puede conocer su voluntad (por ejemplo, después de un corte o la pérdida de un soporte de datos). Se observó una correlación directa entre la multa impuesta por un régimen de aplicación y el número de registros personales que están expuestos se ha observado. 

Auditoría de cumplimiento con la Ley

Cuando una empresa ha elegido para garantizar el cumplimiento de protección de datos en función de cada país, el enfoque de la auditoría es verificar si la organización ha implementado los requisitos de las leyes de protección de datos según lo prescrito en los países en que opera in Protección de datos leyes en general, abordar los siguientes temas:

• Principios de calidad de datos, tales como limitación de la finalidad, proporcionalidad y de retención de datos
• Transparencia a los interesados ​​en la recogida y almacenamiento de datos personales
• Derechos sujetos a ser informados y hacer qué y dónde los datos personales se almacenan en una organización
• Rendición de cuentas de terceros que traten los datos personales en nombre de una organización
• Procedimientos de notificación de infracciones de protección de datos

Las actividades de auditoría y las preguntas pueden ser diseñados específicamente para verificar el cumplimiento de estos requisitos para determinar si una organización está siguiendo. Algunas leyes tienen necesidades específicas para los controles que deben estar en su lugar,  tales como la existencia de la clasificación de los datos y las políticas de protección de datos. Para el cumplimiento de las leyes de privacidad y reglamentos europeos, hay materiales disponibles que los auditores integrales ayudan a preparar una auditoría. 

Auditoría de la eficacia de un programa de protección de datos

El objetivo de una auditoría sobre la efectividad del programa de protección de datos para comprender la eficacia de una organización es en el manejo de errores sistemáticos en materia de protección de datos. Pero, ¿qué es un programa de protección de datos? El Instituto de Auditores Internos ha tomado nota de los siguientes aspectos de un programa de protección de datos: 

• Normas y procedimientos -La organización debe establecer normas y procedimientos de cumplimiento que pueden ser seguidas por sus empleados y otros agentes para reducir la posibilidad de una conducta criminal.
• Asignación de responsabilidad a personal de alto nivel -, la organización debe asignar la responsabilidad general de supervisar el cumplimiento de las normas y procedimientos a persona determinada (s) en el personal directivo de la organización.
• De fondo confiable del personal -La organización debe, como requisito de contratación, el debido cuidado de no delegar autoridad discrecional excesiva para las personas que la organización sabe, o debería saber a través del ejercicio de la debida diligencia, tienen una propensión a incurrir en actividades ilícitas.
• Comunicación de los procedimientos , la organización debe comunicar eficazmente sus normas y procedimientos a todos los empleados y otros agentes (por ejemplo, cursos de formación y prácticas).
• La vigilancia del cumplimiento y de auditoría , la organización debe tomar las medidas necesarias para lograr el cumplimiento de sus normas (por ejemplo, vigilancia y notificación).
• Consistente aplicación -La organización debe hacer cumplir las normas de forma coherente por medio de un sistema disciplinario en el que los que violan el código de la organización de la conducta, por ejemplo, las directrices de protección de datos, que se reprenda a manera adecuada en relación con el delito.
• Respuesta adecuada a un delito y la prevención de delitos similares -Después de un delito ha sido detectada, la organización debe tomar todas las medidas razonables para responder apropiadamente a la ofensiva y para prevenir los delitos similares, incluidas las modificaciones necesarias para su programa de prevención y detección de violaciónes la ley.

Evaluar la eficacia de estos elementos es la base de una auditoría en un programa de protección de datos. Aparte de estos elementos, los siguientes también deben ser considerados:

• Evaluación de riesgos , la organización debe hacer un análisis exhaustivo de los requisitos legales frente a los riesgos del negocio. Los resultados del análisis de riesgos se debe utilizar para priorizar los esfuerzos, se derivan los planes de acción y asignar recursos.
• Sola definición -La organización debe utilizar una definición generalmente aceptada y para toda la empresa de "datos personales". Esto es particularmente difícil y crucial en una organización global. Entre los países, hay diferencias culturales en lo que los datos son considerados como personales. Por ejemplo, la información sobre salarios, sexo, grado académico, la religión y el nombre de soltera de la madre tienen distintas sensibilidades de todo el mundo.
• Organización y responsabilidades -La organización debe definir quién es responsable de la administración, aplicación y eficacia, y que las partes interesadas están dentro de la organización.
• Metas a corto y mediano plazo y las tareas -La organización debe asegurar que las personas en la organización de protección de datos entender, realizar y alcanzar sus objetivos y tareas (por ejemplo, protección de datos controles aplicación, el control del grado de conocimiento de los interesados, la prevención de la potencial de incidentes de protección de datos).
• Conjunto básico de controles -La organización debe garantizar la eficacia de la protección de datos de controles a medida que se implementan (o el conjunto mínimo de controles técnicos y de organización como se menciona en las leyes o controles adecuados según lo determinado por la organización en su propia línea de base).

Un programa de protección de datos también debería ayudar a una organización mantener el cumplimiento. Una forma de auditoría de cumplimiento en el futuro es para comprobar si existen puertas de calidad que aseguren que los requisitos de protección de datos se evalúan durante las novedades pertinentes. Por ejemplo, se debe determinar si debe ser obligatorio o voluntario consultas con especialistas en protección de datos en el caso de:

• Los cambios en los modelos de negocio (por ejemplo, un movimiento en el negocio de consumo, diferentes estrategias de marketing)
• Los cambios en la evolución (por ejemplo, transferir los datos a una nube pública, la consolidación del proceso global de RR.HH. en un país)
• Cambios en las leyes bajo las cuales el especialista en protección de datos se iniciará la evaluación de impacto para la empresa

Este conjunto combinado de elementos que permitirán a los auditores para proporcionar una seguridad razonable respecto a la efectividad del programa de protección de datos y la capacidad de la organización para evitar los errores sistemáticos.

Retos generales

Cuando la auditoría de un programa de protección de datos en una organización multinacional, hay algunos problemas generales que son útiles para tener en cuenta:

• Más productos y más físicos son el almacenamiento de datos personales de sus propietarios (por ejemplo, automóviles, equipo médico). La protección de datos personales en los productos físicos no pueden estar en la agenda de la organización de protección de datos. La adición de este al alcance de la auditoría se recomienda.
• Cuando el uso de terceros de procesamiento, la supervisión de la seguridad de terceros de los requisitos de protección de datos puede ser limitada. O no hay conocimiento suficiente de los terceros que traten los datos personales en nombre de una organización, o las actividades de revisión de la calidad del trabajo realizado por parte de terceros no son suficientes. El programa de auditoría debe tener en cuenta la relación contractual entre una organización y un tercero. Puesto que una organización es responsable del rendimiento de la tercera parte, es necesario contar con los medios adecuados para monitorear el desempeño de los terceros, incluyendo los esfuerzos de la tercera parte hacia la protección de datos personales.
• Planificación de recursos empresariales (ERP) (tales como Oracle y SAP) celebran periódicamente los datos personales de diferentes tipos (por ejemplo, los datos del personal, los datos del cliente). Las leyes de protección de datos requieren mayores limitaciones a las posibilidades de los usuarios para acceder a los datos personales fuera de su área de responsabilidad, por ejemplo, un vendedor debe ser capaz de ver los datos del cliente, pero no los datos del personal. Con una competencia específica en la materia en los sistemas ERP disponibles en el equipo de auditoría le permitirá una evaluación adecuada de estos posibles problemas.
• El proceso de auditoría puede ser obstruido por los debates sobre la interpretación jurídica de los requisitos y obligaciones.Estudios jurídicos en el equipo de auditoría le ayudará a facilitar el debate y mejorar la entrega de resultados. Adición de agentes locales, la privacidad para el equipo de auditoría es una opción útil, siempre y cuando no se ponen en una posición en la que tienen que auditar su propio trabajo. Por ejemplo, un oficial de la intimidad de un país puede soportar el equipo de auditoría de un país diferente.
• Auditoría de la eficacia de un programa de protección de datos es muy complicado si un programa estructurado no existe dentro de la organización. Aunque esto pueda parecer trivial, es crucial que el auditado y el auditor tienen la misma comprensión de lo que es un programa eficaz. Tener un programa estructurado para la protección de datos, por lo tanto, un requisito previo para cualquier auditoría que se ha configurado para dar lugar a un dictamen de auditoría.

Conclusión

Auditoría de la eficacia de la protección de datos en una organización multinacional es influenciado por los esfuerzos de la organización para ser aceptado. Una auditoría sobre el cumplimiento de los procedimientos legales se demuestre que una organización ha sido compatible con el período anterior, mientras que una auditoría sobre el programa de protección de datos dará lugar a la garantía de la eficacia de una organización está en la prevención de incidentes de protección de datos del suceso.