La Agencia Española de Protección de Datos (AEPD) manifiesta en su página web que «ha tenido conocimiento de que diversas entidades envían comunicaciones a organizaciones y empresas responsables de ficheros obligadas a adoptar medidas de seguridad de nivel medio y/o alto en las que ofrecen sus servicios para realizar auditorías de seguridad por vía telefónica con el fin de examinar el cumplimiento de la legislación de protección de datos. Las comunicaciones afirman que esta práctica permite certificar la idoneidad de las medidas de seguridad de nivel medio y/o alto en los sistemas de información e instalaciones de tratamiento y almacenamiento de datos. Con el fin de advertir a los responsables de ficheros de este tipo de prácticas, la Agencia manifiesta que una oferta que incluye una auditoría telefónica de medidas de seguridad no permitiría obtener los resultados establecidos en la normativa de protección de datos. El concepto de auditoría de los ficheros de seguridad de nivel medio y/o alto implica necesariamente la realización de comprobaciones en los sistemas de información auditados, algo que no es posible llevar a cabo por vía telefónica».

En definitiva, la AEPD aclara que esta modalidad de auditorías —que podríamos calificar de exprés— podrían carecer de validez, y que cualquier empresa que las contrate estaría exponiéndose a las costosas consecuencias que acarrea el incumplimiento de la normativa de protección de datos. Esta práctica no permite certificar de manera idónea las medidas de seguridad.

Las empresas que envían estas ofertas aseguran que esta modalidad de auditoría es perfectamente válida, sin embargo la AEPD indica que hay comprobaciones de que resulta imposible de realizar si no es de forma presencial.

La razón del rechazo a esta práctica realizada por teléfono no es arbitraria sino que está firmemente fundamentada en la necesidad lógica de llevarla a cabo presencialmente, de modo que permita una comprobación in situ de los sistemas de información auditados. Hacer la auditoría de protección de datos de una manera apropiada y correcta conforme a las directrices de la propia AEPD constituye una garantía para la empresa, que se asegura una certificación del cumplimiento de la normativa de protección de datos mucho más precisa y fiable.

Se puede decir más alto pero no más claro: las auditorías telefónicas de protección de datos no sólo son ineficaces sino que constituyen un riesgo para aquellas empresas que, atraídas por una falsa promesa de comodidad y bajo precio, ponen en riesgo el  cumplimiento de la normativa.

Enlace al comunicado de la AEPD

NOTA INFORMATIVA SOBRE AUDITORÍAS TELEFÓNICAS DE MEDIDAS DE SEGURIDAD

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/medidas_seguridad/AuditoriasSeguridad-ides-idphp.php