LOPD y Auditoría de cuentas: otra ventaja colateral del cumplimiento (II)
Este artículo es la II parte del publicado la semana pasada “LOPD: el cumplimento contractual como ventaja colateral” también obra de nuestros colegas de Privacidad Lógica en el que amplían las “otras” ventajas de cumplir con la LOPD
Publicado el 10 de febrero de 2013 por Luis Salvador:
“Recientemente realicé una adaptación de procesos de gestión para cumplimiento de la normativa sobre protección de datos de carácter personal para un cliente sometido a la obligación de auditar las cuentas de su sociedad. La inclusión de una salvedad en el informe anual relativa a la situación de incumplimiento de la LOPD fue el detonante que movió a este cliente a revisar y modificar su organización para adaptarla al cumplimiento de “la normativa objeto de mi devoción”. Pero, y ¿qué tiene que ver una cosa y otra? puede que se pregunten algunos de los lectores, pues bien, trataré de explicárselo.
Las cuentas anuales de las sociedades mercantiles deben someterse a auditoría externa. Con ello, como es obvio, lo que se pretende es someter a un examen objetivo e independiente las cuentas que formulan los administradores de las sociedades y que sirven para que terceras partes conozcan o puedan conocer de la famosa “imagen fiel” del patrimonio y de los resultados de esas mercantiles. Esta obligación se encuentra recogida en el artículo 263 de la Ley de Sociedades de Capital, si bien, el mismo artículo establece una serie de excepciones relacionadas con la dimensión de la sociedad en cuestión que hace que una inmensa mayoría de las sociedades mercantiles de nuestro país, no precisen someter “sus vergüenzas” al examen de un experto externo.
Ahora bien, aquéllas que no tienen más remedio porque así lo establece la ley, o bien las que voluntariamente deciden someter sus cuentas a auditoría, deben saber que dicha auditoría se realiza sometida al marco de la Ley de Auditoría de Cuentas (en adelante, TRLAC), cuyo Texto Refundido se aprobó por el Real Decreto Legislativo 1/2011, de 1 de julio. Dicho texto normativo, en su artículo 6, establece cuál es la Normativa reguladora de la Auditoría de cuentas
“1. La actividad de auditoría de cuentas se realizará con sujeción a la normativa constituida por las prescripciones de esta ley, de su Reglamento de desarrollo, así como a las normas de auditoría, de ética y de control de calidad interno de los auditores de cuentas y sociedades de auditoría.
2. Las normas de auditoría son las contenidas en esta ley, en su Reglamento de desarrollo, en las normas internacionales de auditoría adoptadas por la Unión Europea y en las normas técnicas de auditoría, en aquellos aspectos no regulados por las normas internacionales de auditoría citadas.”
El Instituto de Contabilidad y Auditoría de Cuentas (ICAC) es un organismo autónomo adscrito al Ministerio de Economía y Competitividad y que entre otras funciones, tiene asignada la de homologar y publicar, en su caso, las normas de auditoría, las de ética y las de control de calidad interno de los auditores de cuentas. Dichas normas deben ser elaboradas de acuerdo a lo que establece el punto cuatro del mencionado artículo 6 de la TRLAC
“4. Las normas técnicas de auditoría, las normas de ética y las normas de control de calidad interno de los auditores de cuentas y sociedades de auditoría se elaborarán, adaptarán o revisarán, debiendo estar de acuerdo con los principios generales y práctica comúnmente admitida en los Estados miembros de la Unión Europea así como con las normas internacionales de auditoría adoptadas por la Unión Europea, por las corporaciones de derecho público representativas de quienes realicen la actividad de auditoría de cuentas, previa información pública durante el plazo de dos meses y serán válidas a partir de su publicación, mediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas, en su Boletín Oficial.”
Pues bien, si acudimos al repositorio de normas técnicas de la web del ICAC, encontraremos la Resolución de 26 de julio de 2001, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre “Cumplimiento de la normativa aplicable a la entidad auditada”. Dicha norma viene motivada por la obligación que se incluía en la derogada Ley de Sociedades Anónimas, así como en un artículo del también derogado Reglamento de desarrollo de la Ley 19/1988 de Auditoría de Cuentas de incluir en el informe de auditoría las posibles infracciones de normas a las que la entidad auditada se encuentra sujeta, que se hubiesen evidenciado durante la realización de la auditoría y que pudieran afectar a la imagen fiel deseable en las cuentas anuales.
Se considera en la Norma Técnica que “el incumplimiento de la normativa aplicable puede tener consecuencias financieras para la entidad, tales como multas, litigios, etc, o incluso llevar al cese de la actividad”, y por este motivo, establece que “el auditor deberá tener en consideración en su informe los eventuales incumplimientos de la normativa aplicable a la entidad auditada que hubiera comprobado durante la realización de su trabajo de auditoría y que de acuerdo con la norma técnica sobre el concepto de importancia relativa puedan tener relevancia en la imagen fiel que deben presentar las cuentas anuales”. Llamo la atención sobre el texto subrayado porque el lector podría suponer que leído lo leído, cualquier “contingencilla” legal podría suponer una salvedad en el informe de auditoría, pero lo subrayado, lo que viene a decir, en castellano de este que se habla en Dataland, es que solo serán consideradas aquellos posibles incumplimientos de normas que puedan acarrear consecuencias “visibles” en los números de la sociedad, y en este extremo, toca conectar con la normativa sobre protección de datos, y en concreto con el artículo 45 de la LOPD que contiene el suculento régimen sancionador para las infracciones de aquellos que no observen lo preceptuado en ella o en su normativa de desarrollo y que sin ningún lugar a dudas, puede tener consecuencias financieras para la entidad, tales como multas, litigios, etc., o incluso llevar al cese de la actividad. Y ello, sin olvidar que puede haber casos en que el desprestigio que estas infracciones pudieran suponer para la entidad, obviamente podrían tener su repercusión tanto en los resultados de la empresa, como en la valoración de determinados activos intangibles de su balance.
Pues bien, ahondando en el contenido de la Norma Técnica, destaco algunos aspectos contenidos en la misma y que entiendo son de plena aplicación a la normativa sobre protección de datos:
En su punto 13, la norma destaca que la auditoría está sujeta al riesgo de obviar algunos de estos posibles incumplimientos, entre otros motivos porque ciertas normas –como es el caso- no tienen, en principio, efectos significativos en las cuentas anuales y por ello, su incumplimiento puede pasar desapercibido para los auditores. En relación a esta posibilidad de que el incumplimiento pase desapercibido en el desarrollo de la auditoría, dicha posibilidad parece minimizable si se cumple la obligación que el punto 15 establece para el auditor “… el auditor debe obtener un conocimiento general de la normativa aplicable a la entidad y al sector en el que ésta opera, y de cómo la entidad está cumpliendo con ella. En este contexto, el auditor debe tener especialmente en cuenta que alguna normativa aplicable puede tener un efecto importante en las operaciones de la entidad, que en algunos casos, podrían llegar a causar el cierre de la entidad o poner en duda su capacidad para continuar sus operaciones.” En el punto 18, la Norma establece que “se debe obtener evidencia de auditoría suficiente y adecuada sobre el cumplimiento” y si ponemos en relación todo lo visto en el presente párrafo, la verdad es que no le arriendo la ganancia al pobre auditor, porque saber si una empresa está cumpliendo o no con la LOPD no es tarea fácil. No existe “el papel” que garantiza el cumplimiento, ni el “sello del buen cumplidor” por mucho que haya quien lo venda o quien lo reclame… al menos de momento… El cumplimiento es como el movimiento, “se demuestra andando”. Por tal motivo, el pobre auditor, no tendrá más remedio que acudir a los “signos externos” de ese cumplimiento formal (que en muchos casos no material) que sí que es más frecuente que el bueno, que el de verdad. Y en ese punto, algunos de estos signos, pueden ser –al menos de momento, porque de aprobarse el Nuevo Reglamento, habrá que “deconstruir” la famosa accountability- la inscripción de ficheros en el Registro de la Agencia, tener a mano el documento de seguridad debidamente desempolvado y, si es posible actualizado, el que le soliciten incluir en el contrato de auditoría (si el auditor, que como hemos dicho, debe obtener un conocimiento general de la normativa aplicable, no lo hubiera contemplado) un anexo o, al menos, las cláusulas oportunas para que el contrato reúna los requisitos establecidos por el artículo 12 de la LOPD y 20 a 23 de su reglamento de desarrollo… Ni que decir tiene, que si la organización maneja datos que precisen la adopción de medidas de nivel medio o alto, estará obligada a la realización de una auditoría (esta de seguridad) que podrá ser interna o externa, pero que en todo caso, deberá concluir con un la emisión de un informe que exprese la opinión del auditor acerca del nivel de adecuación de los sistemas de información a los requisitos establecidos en el Título VIII del Reglamento de Desarrollo de la LOPD, y este informe, sin duda, será un gran apoyo para el auditor de cuentas a la hora de configurar su opinión acerca de la existencia o no de contingencias relacionadas con el cumplimiento de la normativa sobre privacidad, pero tampoco será determinante, puesto que esa auditoría obligatoria se refiere a las medidas de seguridad, y, obviamente, pueden existir muchísimas infracciones de la LOPD que nada tienen que ver con dichas medidas de seguridad.
Terminar del leer el artículo original
Fuente: Privacidad Lógica
Lo más leído
- Pilares de la Seguridad de la Información: confidencialidad, integridad y disponibilidad publicado el octubre 14, 2014
- ¿Qué es un SGSI – Sistema de Gestión de Seguridad de la Información? publicado el febrero 19, 2013
- ¿Qué es el Esquema Nacional de Seguridad – ENS? ¿Cuál es su ámbito de aplicación y sus objetivos? publicado el febrero 14, 2013
- ¿Qué es un Test de Intrusión? (1ª parte) publicado el marzo 11, 2013
- Firma electrónica: tipos de firma y sus diferencias publicado el junio 25, 2014
Entradas recientes
- FACTURACIÓN ELECTRÓNICA Consulta pública del Nuevo Reglamento de desarrollo de la Ley 18/2022
- PLATAFORMA INTELIGENTE FIRMA-E EUROPEA
- Ciberseguridad, una asignatura obligada que pocos aprueban
- OFICIALMENTE ya tenemos nueva Ley de Protección de Datos Personales ¿Cuáles son sus principales novedades?
- Modificaciones “Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales”