Auditoría de protección de datos en un Ayuntamiento

ayuntamientos

Por Alberto Cuesta Ureña

Durante años, cualquier persona con un traje y una corbata podía adentrarse por los pasillos de un Ayuntamiento y no pasaba nada. Incluso si éste, osaba a abrir un armario o recoger unos papeles de una mesa, era probable que no fuera recriminado.

Los tiempos han cambiado y, la conciencia en torno a la protección de la información, ha aumentadoen las entidades públicas españolas. Vengo aquí a intentar acercaros una realidad, con la que me topo en mi labor diaria, como abogado y consultor de seguridad de la información cuando acudo a un Ayuntamiento.

Al plantearnos una implantación o auditoría para asegurar la adaptación de la Ley de Protección de Datos 15/1999, lo primero que hacemos es planificar la misma en una reunión de lanzamiento del proyecto con los encargados a nivel interno de la seguridad de la información. Esta labor queda en manos del departamento TIC en innumerables ocasiones. El hecho que la Ley contenga ingentes aspectos técnicos y que la génesis de la misma fue proteger la información automatizada y no en papel, ha hecho que este encargo de la privacidad, recaiga en ellos.

La segunda ocasión que acudimos a la sede del Ayuntamiento, es con el propósito de realizar unainspección física a las sedes de la institución pública con un doble objetivo:

  • Entrevistarnos con el personal de la institución acerca de cómo realizan el tratamiento de datos de los ciudadanos.
  • Analizar la distribución de los departamentos, armarios, sala de servidores informáticos (CPD), protección exterior de la instalación, tipo seguridad en las puertas (lector biométrico, llave, tarjeta, etc.), comunicaciones y/o accesos de terceros a datos, etc. Ello lo hacemos recorriendo el interior de las instalaciones acompañados por personal interno con acceso a todos los rincones del Ayuntamiento.

A veces conlleva recorrer un municipio de un extremo a otro, puesto que no es habitual encontrar lassedes en el mismo edificio (servicios sociales, el archivo municipal, la biblioteca, etc.). Puede suponer un agradable paseo por pueblos realmente hermosos y con encanto, otras veces en cambio,  el esquivar coches, personas y ruidos por populosas ciudades.

Una vez realizadas las entrevistas con los respectivos departamentos,  vistas las sedes y conseguido el material necesario para poder realizar  el informe de auditoría, (formularios, contratos con terceros entre el Ayuntamiento y empresas, etc), marchamos a la oficina.

Procesamos toda la información para elaborar la documentación obligatoria. En el caso de una actuación de auditoría, realizamos un informe y plasmamos los incumplimientos que según la Ley de Protección de Datos y el Reglamento de desarrollo está incurriendo el Ayuntamiento en cuestión. Un trabajo que conlleva escrutar precepto a precepto cada texto normativo y verter en dicho informe lasmedidas correctoras y recomendaciones personalizadas y pertinentes para cumplir con la normativa española y por ende europea de privacidad.

Pasaremos a convocar una nueva reunión de presentación del informe. Habitualmente es una reunión a nivel técnico, en la que pueden intervenir los encargados del departamento de nuevas tecnologías, RRHH, servicios sociales, etc. Pero en alguna ocasión, en poblaciones de reducida dimensión, me he llevado la grata sorpresa que Alcaldes y Regidores muy implicados y concienciados han deseadoparticipar en las mismas

No sirve de nada una auditoria o implementación de un sistema de protección de datos e informaciónsi los resultados no se difunden entre todos los usuarios (ojo!, incluidos los puestos directivos, gerencia, alcaldía y no sólo el personal de base). Dos vías son fundamentales para conseguirlo: 

  • Formar y concienciar a los usuarios del sistema sobre cómo deben tratar los datos personales. Por ejemplo, sobre la forma segura de usar los dispositivos que el Ayuntamiento pone a su disposición y de los dispositivos de los usuarios (BYOD)
  • Difundir la política de seguridad de la información aprobada por la institución para que sea leída,  comprendida y asumida por todos los usuarios (manual de funciones y obligaciones del personal)

Una vez detectados los incumplimientos, comunicados los resultados y medidas correctoras alAyuntamiento, estos deberán implementar. Debiendo desde nuestro puesto de consultores jurídicosatender las consultas en un proceso que, por momentos, se eterniza. Depende de nosotros, como directores del proyecto, ser resolutivos e impulsar la conclusión del mismo para que nuestro trabajo adquiera valor.

Al comprobar al cabo de unos meses que en el Ayuntamiento ya no es posible entrar sin preguntar y apropiarnos de los documentos que alguien se dejó olvidados en la bandeja de entrada de una fotocopiadora…efectivamente pensaremos que el trabajo realizado comienza a dar sus frutos.