Conformitat legal


Astrea presta serveis en relació amb totes les fases d’un procés de conformitat legal, seguint un model de maduresa, des de l’etapa inicial en què es pren consciència dels requisits a complir i el seu grau efectiu de conformitat, fins a la gestió de canvi dels controls jurídics implementats.

La conformitat legal és una de les necessitats i requisits imprescindibles per a tota persona o entitat que realitza activitats regulades, sent especialment rellevant en els casos d’activitats que afecten a la informació, en forma paper o electrònica, donat el cada vegada major valor dels actius d’informació i el seu impacte en els drets de les persones.

D’altra banda, en temps recents s’ha produït un important paquet de mesures legislatives dirigides a la reglamentació de la societat de la informació i, més en concret, de les seves diferents manifestacions sectorials, com poden ser el comerç electrònic, l’administració electrònica, la salut electrònica o la justícia electrònica.

Aquestes lleis han superat la simple tendència de reglamentar l’ús dels sistemes d’informació, sinó que han anat creant un conjunt de nous drets dels ciutadans, amb les corresponents obligacions per a organitzacions públiques i privades, com succeeix amb la legislació de protecció de dades de caràcter personal, de serveis de la societat de la informació i del comerç electrònic.

Així mateix, els aspectes legals juguen un paper cada vegada més important en la seguretat de la informació, de forma semblant a la rellevància que presenten en relació amb la gestió del negoci. Diversos factors han contribuït a aquest protagonisme de les qüestions jurídiques, entre els quals s’ha de considerar l’aparició, relativament recent, de normativa legal que regula de manera específica la seguretat de la informació, especialment quan es tracta d’informació personal, informació propietat del sector públic o que afecta les anomenades infraestructures crítiques i la seguretat nacional.

D’aquesta manera es reconeix en normes de millors pràctiques en la gestió de la seguretat de la informació, com ISO 27002:2005, que dedica al compliment legal la secció 15.1 de les seves recomanacions.

Aquesta secció estableix com a objectiu de control l'”evitar infraccions de qualssevol obligacions legals, reglamentàries, administratives o contractuals, així com de qualsevol requisit de seguretat”, partint de la consideració que el disseny, l’operació, l’ús i la gestió dels sistemes d’informació pot trobar-se (i de fet, sol ser el cas habitual) subjecte al compliment de regulacions jurídiques.

La norma ISO 27002:2005 identifica una sèrie de controls habituals, orientats al compliment legal i de la seguretat de la informació:

  • Identificació de la legislació aplicable.
  • Compliment amb els drets de propietat intel lectual i industrial de tercers.
  • Protecció dels fitxers i arxius de l’organització.
  • Protecció de les dades de caràcter personal.
  • Prevenció de l’abús dels sistemes d’informació.
  • Ús dels controls criptogràfics, incloent la signatura electrònica i el xifrat de la informació.

Atesa la naturalesa de la norma internacional ISO 27002:2005, en aquest cas recopilant les millors pràctiques en matèria de seguretat, cal completar els controls que proposa i adaptar-los a la pràctica de cada Estat i cada tipus d’organització, realitzant una assessoria contínua del grau de compliment legal i gestionant els riscos jurídics corresponents.

En concret, a Espanya ha estat aprovat el Reial Decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat de la Informació en l’àmbit de les administracions públiques.

La conformitat legal s’ha de tractar com un aspecte més de l’estructura de control d’una organització, de manera que es pugui assegurar que els processos de negoci siguin conformes a dret, evitant riscos per a l’organització i per a l’equip directiu de la mateixa. D’aquesta manera, la conformitat legal ha passat a formar part essencial de les estructures de govern de negoci i de les tecnologies de la informació de les organitzacions.

Finalment, la conformitat legal complementa la definició estratègica de negoci d’una organització, atès que un ràpid moviment de canvi legislatiu ofereix noves oportunitats, tant per a la reducció de costos com per a la definició de nous serveis i productes.

La revisió periódica de la conformitat legal

La primera actuació que s’ha de realitzar en relació amb la conformitat legal és precisament revisar, de forma periòdica, el grau o nivell de compliment normatiu (sovint anomenat “adequació a la norma”), dels serveis i processos de negoci de l’organització.

Aquesta revisió és un primer anàlisi, i no una auditoria, d’aquest grau de compliment, i persegueix identificar i mostrar les mancances que, si escau, puguin existir, amb una proposta concreta d’actuacions a emprendre, sempre constructiva i mai culpabilitzant, aspecte molt important en aquest moment, atès que encara l’organització no ha pres consciència de les necessitats reals de conformitat legal.

Un aspecte molt important d’aquesta fase de revisió de conformitat és la formació i conscienciació dels membres de l’organització pel que fa a les necessitats de compliment regulatori, atès que una gran majoria de casos, hi ha un desconeixement important de les obligacions legals.

La implementació de controls per a la conformitat legal

La segona actuació a realitzar en relació amb la conformitat legal és la implementació dels controls jurídics que van ser identificats en la fase de revisió, que s’ha de produir en diferents formes.

En tots els casos, resulta necessari procedir a preparar determinada documentació legalment exigible, com contractes, condicions generals de la contractació, clàusules informatives, declaracions de pràctiques, textos divulgatius generals i altres.

També sol ser imprescindible modificar la documentació de seguretat de l’organització (cas que existeixi) o generar una mínima documentació de seguretat (com passa sempre que s’implanta la normativa de protecció de dades de caràcter personal).

La recomanació és disposar d’una estructura documental específica per als processos de negoci transversals (la gestió de la seguretat, la gestió documental, etc.) i modificar-la per reflectir els controls derivats de la conformitat legal. D’aquesta manera, les diferents implantacions de controls legals per a la conformitat no generen documents duplicats o descoordinats entre si, sinó que contribueixen a la solidesa de l’estructura documental de govern TIC de l’organització.

En tercer lloc, cal establir procediments dins de l’organització per poder donar compliment a dues obligacions generals:

  • Els requisits d’informació a les autoritats reguladores, així com les possibles inspeccions permeses per llei.
  • Els procediments de garantia de drets de les persones físiques o jurídiques amb les que es relaciona l’organització, la infracció implica sanció per l’autoritat competent.

Finalment, resulta habitual que el departament de tecnologies de la informació de l’organització hagi d’efectuar canvis en els sistemes, establint controls tècnics suficients per garantir el compliment dels controls jurídics.

Aquesta és l’única part del treball que Astrea no ha de realitzar, per mantenir la seva independència, encara que Astrea pot oferir suport a la implementació en relació als dubtes i reptes que es plantegen en aquest procés intern.

L’auditoria periòdica de la conformitat legal

La tercera actuació important en relació amb la conformitat legal és, com no pot ser d’altra manera, l’auditoria de compliment dels controls que es van identificar en la fase de revisió i que posteriorment van ser adoptats en la fase d’implementació.

Sempre és recomanable implantar un procés d’auditoria contínua, possibilitat vàlida especialment en les organitzacions que disposin de departament d’auditoria interna, però en tot cas la nostra recomanació és realitzar una auditoria externa, amb una periodicitat mínima anual.

L’auditoria persegueix identificar el grau de compliment dels controls, així com valorar la necessitat, pertinença i suficiència d’aquests controls, per assegurar l’efectivitat del sistema, sempre dins de les necessitats del negoci.

L’informe d’auditoria establirà les recomanacions oportunes, que seran discutides amb la direcció de l’organització.

La gestió del canvi en la conformitat legal

Finalment, cal referir-nos a la gestió dels canvis en la conformitat legal, partint del ritme accelerat de producció normativa en tots els nivells (Unió Europea, Estat espanyol, Comunitats Autònomes, municipis, etc.), especialment en tot allò relacionat amb la Societat de la Informació.

En aquest nou escenari, les obligacions de les organitzacions pateixen freqüents revisions, aspecte que genera inseguretat jurídica i la necessitat constant de realitzar un seguiment del catàleg de requisits a complir i portar aquests canvis a l’estructura documental que sustenta el govern de l’organització (en particular, reglaments interns, polítiques i procediments, com hem vist anteriorment).

El cost d’aquesta tasca per a una organització és molt elevat, per la qual cosa Astrea ha establert un paquet de servei consistent en una subscripció anual per al manteniment de tota la documentació de conformitat legal de l’organització.

El servei consisteix en l’actualització, per part de Astrea, de la citada documentació, i la seva tramesa a l’organització, amb control de canvis i una justificació dels canvis realitzats.