Conformidad legal


Astrea presta servicios en relación con todas las fases de un proceso de conformidad legal, siguiendo un modelo de madurez, desde la etapa inicial en que se toma conciencia de los requisitos a cumplir y su grado efectivo de conformidad, hasta la gestión de cambio de los controles jurídicos implementados.

La conformidad legal es una de las necesidades y requisitos imprescindibles para toda persona o entidad que realiza actividades reguladas, siendo especialmente relevante en los casos de actividades que afectan a la información, en forma papel o electrónica, dado el cada vez mayor valor de los activos de información y su impacto en los derechos de las personas.

Por otra parte, en tiempos recientes se ha producido un importante paquete de medidas legislativas dirigidas a la reglamentación de la sociedad de la información y, más en concreto, de sus diferentes manifestaciones sectoriales, como pueden ser el comercio electrónico, la administración electrónica, la salud electrónica o la justicia electrónica.

Dichas leyes han superado la simple tendencia de reglamentar el uso de los sistemas de información, sino que han ido creando un conjunto de nuevos derechos de los ciudadanos, con las correspondientes obligaciones para organizaciones públicas y privadas, como sucede con la legislación de protección de datos de carácter personal, de servicios de la sociedad de la información y del comercio electrónico

Asimismo, los aspectos legales juegan un papel cada vez más importante en la seguridad de la información, de forma pareja a la relevancia que presentan en relación con la gestión del negocio. Diversos factores han contribuido a este protagonismo de las cuestiones jurídicas, entre los que debe considerarse la aparición, relativamente reciente, de normativa legal que regula de forma específica la seguridad de la información, en especial cuando se trata de información personal, información propiedad del sector público o que afecta a las denominadas infraestructuras críticas y a la seguridad nacional.

De esta forma se reconoce en normas de mejores prácticas en la gestión de la seguridad de la información, como ISO 27002:2005, que dedica al cumplimiento legal la sección 15.1 de sus recomendaciones.

Dicha sección establece como objetivo de control el “evitar infracciones de cualesquiera obligaciones legales, reglamentarias, administrativas o contractuales, así como de cualquier requisito de seguridad”, partiendo de la consideración de que el diseño, la operación, el uso y la gestión de los sistemas de información puede encontrarse (y de hecho, suele ser el caso habitual) sujeto al cumplimiento de regulaciones jurídicas.

La norma ISO 27002:2005 identifica una serie de controles habituales, orientados al cumplimiento legal y de la seguridad de la información:

– Identificación de la legislación aplicable.

– Cumplimiento con los derechos de propiedad intelectual e industrial de terceros.

– Protección de los ficheros y archivos de la organización.

– Protección de los datos de carácter personal.

– Prevención del abuso de los sistemas de información.

– Uso de los controles criptográficos, incluyendo la firma electrónica y el cifrado de la información.

Dada la naturaleza de la norma internacional ISO 27002:2005, en este caso recopilando las mejores prácticas en materia de seguridad, cabe completar los controles que propone y adaptarlos a la práctica de cada Estado y cada tipo de organización, realizando una asesoría continua del grado de cumplimiento legal y gestionando los riesgos jurídicos correspondientes.

En concreto, en España ha sido aprobado el Real Decreto 3/2010, de 8 de enero, por l que se regula el Esquema Nacional de Seguridad de la Información en el ámbito de las Administraciones Públicas.

La conformidad legal debe tratarse como un aspecto más de la estructura de control de una organización, de forma que se pueda asegurar que los procesos de negocio resulten conformes a derecho, evitando riesgos para la organización y para el equipo directivo de la misma. Es esta forma, la conformidad legal ha pasado a formar parte esencial de las estructuras de gobierno de negocio y de las tecnologías de la información de las organizaciones.

Finalmente, la conformidad legal complementa la definición estratégica de negocio de una organización, dado que rápido movimiento de cambio legislativo ofrece nuevas oportunidades, tanto para la reducción de costes como para la definición de nuevos servicios y productos.

La revisión periódica de la conformidad legal

La primera actuación que se debe realizar en relación con la conformidad legal es precisamente revisar, de forma periódica, el grado o nivel de cumplimiento normativo (frecuentemente denominado “adecuación a la norma”), de los servicios y procesos de negocio de la organización.

Dicha revisión es un primer análisis, y no una auditoría, de este grado de cumplimiento, y persigue identificar y mostrar las carencias que, en su caso, puedan existir, con una propuesta concreta de actuaciones a emprender, siempre constructiva y jamás culpabilizante, aspecto muy importante en este momento, dado que aún la organización no ha tomado conciencia de las necesidades reales de conformidad legal.

Un aspecto muy importante de esta fase de revisión de conformidad es la formación y concienciación de los miembros de la organización en cuanto a las necesidades de cumplimiento regulatorio, dado que una gran mayoría de casos, existe un desconocimiento importante de dichas obligaciones legales.

La implementación de controles para la conformidad legal

La segunda actuación a realizar en relación con la conformidad legal es la implementación de los controles jurídicos que fueron identificados en la fase de revisión, que se debe producir en diferentes formas.

En todos los casos, resulta necesario proceder a preparar determinada documentación legalmente exigible, como contratos, condiciones generales de la contratación, cláusulas informativas, declaraciones de prácticas, textos divulgativos generales y otros.

También suele resultar imprescindible modificar la documentación de seguridad de la organización (caso de que exista) o generar una mínima documentación de seguridad (como sucede siempre que se implanta la normativa de protección de datos de carácter personal).

La recomendación es disponer de una estructura documental específica para los procesos de negocio transversales (la gestión de la seguridad, la gestión documental, etc) y modificarla para reflejar los controles derivados de la conformidad legal. De esta forma, las diferentes implantaciones de controles legales para la conformidad no generan documentos duplicados o descoordinados entre sí, sino que contribuyen a la solidez de la estructura documental de gobierno TIC de la organización.

En tercer lugar, resulta necesario establecer procedimientos dentro de la organización para poder dar cumplimiento a dos obligaciones generales:

– Los requisitos de información a las autoridades regulatorias, así como las posibles inspecciones permitidas por Ley.

– Los procedimientos de garantía de derechos de las personas físicas o jurídicas con las que se relaciona la organización, cuya infracción implica sanción por la autoridad competente.

Finalmente, resulta habitual que el departamento de tecnologías de la información de la organización deba efectuar cambios en los sistemas, estableciendo controles técnicos suficientes para garantizar el cumplimiento de los controles jurídicos.

Esta es la única parte del trabajo que Astrea no debe realizar, para mantener su independencia, aunque Astrea puede ofrecer soporte a la implementación en relación a las dudas y retos que puedan plantearse en dicho proceso interno.

La auditoría periódica de la conformidad legal

La tercera actuación importante en relación con la conformidad legal es, como no puede ser de otra forma, la auditoría de cumplimiento de los controles que se identificaron en la fase de revisión y que posteriormente fueron adoptados en la fase de implementación.

Siempre resulta recomendable implantar un proceso de auditoría continua, posibilidad válida especialmente en las organizaciones que dispongan de departamento de auditoría interna, pero en todo caso nuestra recomendación es realizar una auditoría externa, con una periodicidad mínima anual.

La auditoría persigue identificar el grado de cumplimiento de los controles, así como valorar la necesidad, pertinencia y suficiencia de dichos controles, para asegurar la efectividad del sistema, siempre dentro de las necesidades del negocio.

El informe de auditoría establecerá las recomendaciones oportunas, que serán discutidas con la dirección de la organización.

La gestión del cambio en la conformidad legal

Finalmente, resulta necesario referirnos a la gestión de los cambios en la conformidad legal, partiendo del ritmo acelerado de producción normativa en todos los niveles (Unión Europea, Estado español, Comunidades Autónomas, municipios, etc.), especialmente en todo lo relacionado con la Sociedad de la Información.

En este nuevo escenario, las obligaciones de las organizaciones sufren frecuentes revisiones, aspecto que genera inseguridad jurídica y la necesidad constante de realizar un seguimiento del catálogo de requisitos a cumplir y a llevar dichos cambios a la estructura documental que sustenta el gobierno de la organización (en particular, reglamentos internos, políticas y procedimientos, como hemos visto anteriormente).

El coste de esta tarea para una organización es muy elevado, por lo que Astrea ha establecido un paquete de servicio consistente en una suscripción anual para el mantenimiento de toda la documentación de conformidad legal de la organización.

El servicio consiste en la actualización, por parte de Astrea, de la citada documentación, y su envío a la organización, con control de cambios y una justificación de los cambios realizados.