Page 49 - REVISTA AUDITORÍA PÚBLICA 87
P. 49
AUDITA, QUE ALGO QUEDA: del predicar con el ejemplo y otras buenas prácticas en la auditoría pública.
tos e instrucciones vigentes en esta materia aproba- personales.
dos por la Agencia Española de Protección de Datos. ¡ Derechos del interesado.
¡ Protección de datos desde el diseño por defecto.
También en junio de 2025 recibimos el informe de ¡ Encargados del tratamiento.
adecuación a la normativa de protección de datos per- ¡ Registro de actividades de tratamiento.
sonales, realizado por una consultora externa, adjudi- ¡ Notificación de violaciones de seguridad de los
cataria del proceso de licitación previamente lanzado datos personales a la autoridad de control.
al efecto. ¡ Delegado de protección de datos.
¡ Transferencia de datos personales a terceros paí-
Cuando planificamos las actividades de la Secretaría ses u organizaciones Internacionales.
General para 2025, entendimos propicio el aprovechar ¡ Seguridad del tratamiento.
la sinergia de cumplimiento en materia del Esquema
Nacional de Seguridad (ENS) a que conducíamos todas Más allá de la legalidad formalmente exigible y garan-
las actividades previstas para ello, pues seguridad y tista frente a terceros, entendemos que esta actividad
protección de datos van necesariamente de la mano de control constituye una buena práctica a difundir en-
y se complementan mutuamente, por necesidades de tre los cuentadantes a los que los ICEX fiscalizamos,
diseño. Se trataba de un esfuerzo adicional, pero que, en el clima necesario en el sector público del ya co-
por economía de escala y desde la alianza de complian- mentado “predicar con el ejemplo” .
ce asumida en la Secretaría General desde la creación
en 2018 de la figura del Delegado de Protección de Da- 6. Auditoría externa para la acreditación y certificación
tos, intuimos que había de reforzar también los trabajos en el nivel intermedio del ENS de todos los sistemas
necesarios en materia de exigencias del ENS. con los que la Sindicatura desarrolla su función pú-
blica auditora y gestiona su propia organización.
Con el informe de esta auditoría se trataba, obviamen-
te, no ya de acometer una acción aislada o puntual, Sin duda, esta última auditoría, por ser la primera en
sino de formalizar el conjunto de acciones en todos esta materia y afectar, de una manera transversal, a
los ámbitos de la institución por lo que se refiere a una toda la actividad de la institución –pues su objeto era
protección de datos, ab initio y por defecto, algo que obtener y acreditar objetivamente un grado de cumpli-
solo se podía alcanzar desde una coordinación plani- miento que llevara aparejada la certificación del cum-
ficada entre los departamentos jurídico, de sistemas plimiento por la Sindicatura del nivel intermedio del
y tecnologías de la información, recursos humanos – ENS–, es la que ha exigido un esfuerzo, más impor-
gestión y formación– y de innovación y administración tante si cabe, en diversos departamentos y servicios
digital. La horizontalidad de las secretarías generales de nuestro OCEX.
y su transmisión de valor a toda la organización resulta
esencial en este tipo de iniciativas. La colaboración ha En efecto. Se trata del Informe de auditoría de certi-
merecido la pena. ficación de conformidad con el esquema nacional de
seguridad, realizado, previa licitación, por entidad ex-
El informe resultado de esta auditoría independiente terna acreditada para ello conforme a las exigencias
permite acreditar –interna y externamente– el nivel del propio ENS en el registro establecido al efecto en
de cumplimiento de la normativa vigente en materia el Centro Criptológico Nacional (CCN).
de protección de datos (Reglamento General (UE)
2016/679, de 27 de abril, relativo a la protección de Obviamente, obtener la certificación no era el único
datos de las personas físicas) de los procedimientos objetivo, sino más bien la excusa formal que había de
e instrucciones vigentes en esta materia aprobados propiciar todo un plan de acción de adecuación al ENS,
por la Agencia Española de Protección de Datos, en el en su formulación de 2022, que ya tenía como prece-
ámbito de la Sindicatura de Comptes de la Comunitat dente en la Sindicatura un Plan Director de Sistemas
Valenciana. de Información, orientado a implantar y mantener de-
terminadas medidas de seguridad en el conjunto de
En concreto, ha pivotado sobre diez controles sobre nuestra actividad, hecho realmente relevante, a cuyo
otros tantos ámbitos de la gestión en materia de pro- fin también se corrigió dicho plan posteriormente con
tección de datos, según los correspondientes precep- una batería de acciones encaminadas al cumplimiento
tos del RGPD de aplicación: –también– de las previsiones de la Directiva Europea
NIS 2, de aplicación directa pese a estar pendientes
14
¡ Licitud del tratamiento. de trasposición a nivel estatal .
¡ El consentimiento del interesado.
¡ Tratamiento de categorías especiales de datos Todo el trabajo previo, pilotado desde el Servicio de
47
