viernes, 30 de noviembre de 2018

Así puede cambiar la Ley de Protección de Datos tu forma de hacer auditorías

A estas alturas del año, prácticamente todas las empresas se han adaptado a la nueva Ley de Protección de Datos, y todos los usuarios hemos tenido que aceptar sus (nuevas) correspondientes políticas. Como resultado, no ha cambiado gran cosa. Las empresas de telefonía te siguen llamando a horas intempestivas, tu correo electrónico recibe miles de anuncios todos los días, y la horrible sensación de que tus datos se pasean por ahí sin control te sigue rondando la cabeza. Pero como todos estamos contentísimos porque estamos más protegidos que nunca, pues nadie se queja.
La ley de protección de datos ha llegado a todos los ámbitos, y las auditorías no podían ser menos.



Veamos: Una auditoría es, según ISO 19011 como un "proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas objetivamente con el fin de determinar el grado en que se cumplen los criterios de auditoría", y esas "evidencias objetivas" se definen como "Registros, declaraciones de hechos o cualquier otra información que sea pertinente para los criterios de auditoría y que son verificables". Hasta ahora, cuando ibas a auditar a otra empresa, un proveedor por ejemplo, podías encontrarte en una situación en la que pedirías la lista de personal, y con tu perverso dedo (puedes ver una pequeña reflexión sobre dedos y perversidades pinchando aquí) una o varias personas de las que solicitar los correspondientes registros. La conversación podría ser algo así:

- "Bien, vamos a ver ahora el cumplimiento de vuestro personal de mantenimiento con el Plan de Formación publicado. Por favor, muéstrame la lista de todas las personas que pertenezcan al departamento de Mantenimiento- pides educadamente.
- Sin problemas. Aquí está
- Perfecto. Por favor enséñame los registros de formación de [Nombre1] y [Nombre2] - dices, señalando dos nombres al azar
- Estos son. Aquí están todos los certificados de los cursos - El auditado responde sin pestañear
- Vale. No encuentro ningún registro del curso de [Título del Curso] para [Nombre2]. ¿No lo ha hecho, o es que el certificado se ha traspapelado? - Lo dices con total tranquilidad, pero en tu interior sabes que esta vez es posible que hayas mordido una buena presa. Miras la cara del auditado, y una sombra de terror casi imperceptible se asoma a sus ojos.
- Tiene que estar. ahora te lo buscamos - responde con un sutil temblor en la voz, mientras agarra el móvil, marca una extensión y le dice, con mal disimulada intranquilidad a quien está al otro lado - Oye, mira a ver dónde está el certificado de [Título del Curso] de [Nombre2] que no está en la carpeta donde debería estar y lo está pidiendo el auditor. Tiene que estar en algún sitio, porque seguro que lo ha hecho. Tráemelo en cuanto lo tengas. Es urgente. Luego se vuelve hacia ti, y con la más absoluta calma, comenta: Ahora nos lo traen. Se ha debido traspapelar".
Pero no. No te lo traen. No está, y no queda más remedio que abrir una No Conformidad que redactas más o menos así:
"No se encuentra evidencia del certificado de [Título del Curso] para [Nombre2], tal y como requiere el plan de Formación Revisón xx de [Fecha] en vigor en el momento de la auditoría"

Ahora, con la excusa de la Ley de protección de datos, la cosa podría ser más o menos así:

- "Bien, vamos a ver ahora el cumplimiento de vuestro personal de mantenimiento con el Plan de Formación publicado. Por favor, muéstrame la lista de todas las personas que pertenezcan al departamento de Mantenimiento- pides educadamente.
- Verás, el Plan de Formación que tenemos no está publicado, porque contiene algunos datos personales. No te puedo enseñar más que la introducción, en la que decimos básicamente que nuestro personal está formado - te responde el auditado mirándote a los ojos.
- Bueno, justamente lo que necesito es comprobar que eso se cumple. Por favor, muéstrame la lista de todas las personas que pertenezcan al departamento de Mantenimiento - Algo en tu cabeza te dice que la cosa hoy va a ser complicadilla.
- Es que la lista de personal no la puedes ver, porque están los nombres de los trabajadores, y eso es información personal - el auditado se siente fuerte al decirte esto, pero tirando de imaginación le dices, señalando a dos personas que están trabajando por allí,
- No pasa nada. ¿Esas dos personas tienen las mismas funciones? - Preguntas despacio, aunque en realidad estás a punto de asesinar cruelmente al auditado, y sólo te contienes porque eso sería muy feo.
- Sí. Son las dos de mantenimiento y tienen la misma categoría. - Te responde sin entender muy bien.
- Muy bien. Por favor muéstrame los registros de formación de esas dos personas. 
El auditado busca esos registros que le has pedido, los observa poniendo ostensiblemente la mano delante para que tú no lo puedas ver y te dice:
- Aquí están, pero no te los puedo enseñar, porque vienen los nombres, y en algunos casos, el número de DNI y la fecha de nacimiento. Y ya sabes,...
- Si - interrumpes con más frialdad en la voz de la que sería profesionalmente deseable - son datos personales protegidos y todo eso.
- Veo que me entiendes - te dice sin más.
La cosa se pone difícil de verdad, pero no cejas en tu empeño. 
- ¿Cuántos certificados hay? - preguntas de improviso, sin dar tiempo de reacción al auditado
- Pueeees, cinco para uno y cuatro para el otro - observa el auditado con terror en su mirada
- ¿Y por qué no son cinco y cinco? - te relames
- Déjame ver, alguno se ha debido traspapelar. Voy a preguntar.
Y dicho esto, agarra el móvil, marca una extensión y le dice, con mal disimulada intranquilidad a quien está al otro lado
Oye, mira a ver dónde está el certificado de... - De repente se da cuenta de que estás allí, baja la voz, se da la vuelta, se aleja unos pasos y dice algo que no puedes oír, pero que te imaginas. Luego se vuelve hacia ti, y con la más absoluta calma, comenta: Ahora nos lo traen. Se ha debido traspapelar".
Pero no. No te lo traen. No está, y no queda más remedio que abrir una No Conformidad que tras pensarla durante una eternidad, redactas así.
"Dos personas con misma categoría  mismas funciones tienen distinto número de certificados de formación. Dado que no se muestran evidencias de que el Plan de Formación sea diferente para diferentes personas que trabajan en los mismo, se evidencia que una de ellas ha recibido algún curso de formación menos del que debería, en el momento de la auditoría".

Esto parece exagerado y seguramente lo sea, pero siempre puedes ir a una isla, más o menos lejana, y darte cuenta de que esto también te puede pasar a ti. Hay auditados en las islas. A ellos va dedicado este cuento.

No hay comentarios:

Publicar un comentario