LOPD & Auditoría de Cuentas: ventajas colaterales del cumplimiento (II)
Hace algún tiempo escribí una entrada en la que relataba como el cumplimiento de la normativa sobre privacidad podía representar para las empresas “ventajas colaterales”. En esa ocasión la ventaja obtenida por este cumplimiento normativo era el escrupuloso cumplimiento de requerimientos contractuales impuestos por clientes o proveedores. Retomo ahora esta miniserie dedicada a esas “ventajas colaterales” para relacionar como el cumplimiento “lopediano” puede evitarnos salvedades en un informe de auditoría de cuentas.
Recientemente realicé una adaptación de procesos de gestión para cumplimiento de la normativa sobre protección de datos de carácter personal para un cliente sometido a la obligación de auditar las cuentas de su sociedad. La inclusión de una salvedad en el informe anual relativa a la situación de incumplimiento de la LOPD fue el detonante que movió a este cliente a revisar y modificar su organización para adaptarla al cumplimiento de “la normativa objeto de mi devoción”. Pero, y ¿qué tiene que ver una cosa y otra? puede que se pregunten algunos de los lectores, pues bien, trataré de explicárselo.
Las cuentas anuales de las sociedades mercantiles deben someterse a auditoría externa. Con ello, como es obvio, lo que se pretende es someter a un examen objetivo e independiente las cuentas que formulan los administradores de las sociedades y que sirven para que terceras partes conozcan o puedan conocer de la famosa “imagen fiel” del patrimonio y de los resultados de esas mercantiles. Esta obligación se encuentra recogida en el artículo 263 de la Ley de Sociedades de Capital, si bien, el mismo artículo establece una serie de excepciones relacionadas con la dimensión de la sociedad en cuestión que hace que una inmensa mayoría de las sociedades mercantiles de nuestro país, no precisen someter “sus vergüenzas” al examen de un experto externo.
Ahora bien, aquéllas que no tienen más remedio porque así lo establece la ley, o bien las que voluntariamente deciden someter sus cuentas a auditoría, deben saber que dicha auditoría se realiza sometida al marco de la Ley de Auditoría de Cuentas (en adelante, TRLAC), cuyo Texto Refundido se aprobó por el Real Decreto Legislativo 1/2011, de 1 de julio. Dicho texto normativo, en su artículo 6, establece cuál es la Normativa reguladora de la Auditoría de cuentas
“1. La actividad de auditoría de cuentas se realizará con sujeción a la normativa constituida por las prescripciones de esta ley, de su Reglamento de desarrollo, así como a las normas de auditoría, de ética y de control de calidad interno de los auditores de cuentas y sociedades de auditoría.
2. Las normas de auditoría son las contenidas en esta ley, en su Reglamento de desarrollo, en las normas internacionales de auditoría adoptadas por la Unión Europea y en las normas técnicas de auditoría, en aquellos aspectos no regulados por las normas internacionales de auditoría citadas.”
El Instituto de Contabilidad y Auditoría de Cuentas (ICAC) es un organismo autónomo adscrito al Ministerio de Economía y Competitividad y que entre otras funciones, tiene asignada la de homologar y publicar, en su caso, las normas de auditoría, las de ética y las de control de calidad interno de los auditores de cuentas. Dichas normas deben ser elaboradas de acuerdo a lo que establece el punto cuatro del mencionado artículo 6 de la TRLAC
“4. Las normas técnicas de auditoría, las normas de ética y las normas de control de calidad interno de los auditores de cuentas y sociedades de auditoría se elaborarán, adaptarán o revisarán, debiendo estar de acuerdo con los principios generales y práctica comúnmente admitida en los Estados miembros de la Unión Europea así como con las normas internacionales de auditoría adoptadas por la Unión Europea, por las corporaciones de derecho público representativas de quienes realicen la actividad de auditoría de cuentas, previa información pública durante el plazo de dos meses y serán válidas a partir de su publicación, mediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas, en su Boletín Oficial.”
Pues bien, si acudimos al repositorio de normas técnicas de la web del ICAC, encontraremos la Resolución de 26 de julio de 2001, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre “Cumplimiento de la normativa aplicable a la entidad auditada”. Dicha norma viene motivada por la obligación que se incluía en la derogada Ley de Sociedades Anónimas, así como en un artículo del también derogado Reglamento de desarrollo de la Ley 19/1988 de Auditoría de Cuentas de incluir en el informe de auditoría las posibles infracciones de normas a las que la entidad auditada se encuentra sujeta, que se hubiesen evidenciado durante la realización de la auditoría y que pudieran afectar a la imagen fiel deseable en las cuentas anuales.
Se considera en la Norma Técnica que “el incumplimiento de la normativa aplicable puede tener consecuencias financieras para la entidad, tales como multas, litigios, etc, o incluso llevar al cese de la actividad”, y por este motivo, establece que “el auditor deberá tener en consideración en su informe los eventuales incumplimientos de la normativa aplicable a la entidad auditada que hubiera comprobado durante la realización de su trabajo de auditoría y que de acuerdo con la norma técnica sobre el concepto de importancia relativa puedan tener relevancia en la imagen fiel que deben presentar las cuentas anuales”. Llamo la atención sobre el texto subrayado porque el lector podría suponer que leído lo leído, cualquier “contingencilla” legal podría suponer una salvedad en el informe de auditoría, pero lo subrayado, lo que viene a decir, en castellano de este que se habla en Dataland, es que solo serán consideradas aquellos posibles incumplimientos de normas que puedan acarrear consecuencias “visibles” en los números de la sociedad, y en este extremo, toca conectar con la normativa sobre protección de datos, y en concreto con el artículo 45 de la LOPD que contiene el suculento régimen sancionador para las infracciones de aquellos que no observen lo preceptuado en ella o en su normativa de desarrollo y que sin ningún lugar a dudas, puede tener consecuencias financieras para la entidad, tales como multas, litigios, etc., o incluso llevar al cese de la actividad. Y ello, sin olvidar que puede haber casos en que el desprestigio que estas infracciones pudieran suponer para la entidad, obviamente podrían tener su repercusión tanto en los resultados de la empresa, como en la valoración de determinados activos intangibles de su balance.
Pues bien, ahondando en el contenido de la Norma Técnica, destaco algunos aspectos contenidos en la misma y que entiendo son de plena aplicación a la normativa sobre protección de datos:
En su punto 13, la norma destaca que la auditoría está sujeta al riesgo de obviar algunos de estos posibles incumplimientos, entre otros motivos porque ciertas normas –como es el caso- no tienen, en principio, efectos significativos en las cuentas anuales y por ello, su incumplimiento puede pasar desapercibido para los auditores. En relación a esta posibilidad de que el incumplimiento pase desapercibido en el desarrollo de la auditoría, dicha posibilidad parece minimizable si se cumple la obligación que el punto 15 establece para el auditor “… el auditor debe obtener un conocimiento general de la normativa aplicable a la entidad y al sector en el que ésta opera, y de cómo la entidad está cumpliendo con ella. En este contexto, el auditor debe tener especialmente en cuenta que alguna normativa aplicable puede tener un efecto importante en las operaciones de la entidad, que en algunos casos, podrían llegar a causar el cierre de la entidad o poner en duda su capacidad para continuar sus operaciones.” En el punto 18, la Norma establece que “se debe obtener evidencia de auditoría suficiente y adecuada sobre el cumplimiento” y si ponemos en relación todo lo visto en el presente párrafo, la verdad es que no le arriendo la ganancia al pobre auditor, porque saber si una empresa está cumpliendo o no con la LOPD no es tarea fácil. No existe “el papel” que garantiza el cumplimiento, ni el “sello del buen cumplidor” por mucho que haya quien lo venda o quien lo reclame… al menos de momento… El cumplimiento es como el movimiento, “se demuestra andando”. Por tal motivo, el pobre auditor, no tendrá más remedio que acudir a los “signos externos” de ese cumplimiento formal (que en muchos casos no material) que sí que es más frecuente que el bueno, que el de verdad. Y en ese punto, algunos de estos signos, pueden ser –al menos de momento, porque de aprobarse el Nuevo Reglamento, habrá que “deconstruir” la famosa accountability- la inscripción de ficheros en el Registro de la Agencia, tener a mano el documento de seguridad debidamente desempolvado y, si es posible actualizado, el que le soliciten incluir en el contrato de auditoría (si el auditor, que como hemos dicho, debe obtener un conocimiento general de la normativa aplicable, no lo hubiera contemplado) un anexo o, al menos, las cláusulas oportunas para que el contrato reúna los requisitos establecidos por el artículo 12 de la LOPD y 20 a 23 de su reglamento de desarrollo… Ni que decir tiene, que si la organización maneja datos que precisen la adopción de medidas de nivel medio o alto, estará obligada a la realización de una auditoría (esta de seguridad) que podrá ser interna o externa, pero que en todo caso, deberá concluir con un la emisión de un informe que exprese la opinión del auditor acerca del nivel de adecuación de los sistemas de información a los requisitos establecidos en el Título VIII del Reglamento de Desarrollo de la LOPD, y este informe, sin duda, será un gran apoyo para el auditor de cuentas a la hora de configurar su opinión acerca de la existencia o no de contingencias relacionadas con el cumplimiento de la normativa sobre privacidad, pero tampoco será determinante, puesto que esa auditoría obligatoria se refiere a las medidas de seguridad, y, obviamente, pueden existir muchísimas infracciones de la LOPD que nada tienen que ver con dichas medidas de seguridad.
No obstante todo lo anterior, la Norma también contempla (punto 27) la posibilidad de que el auditor, para formarse una opinión sobre el grado de cumplimiento de la normativa de que se trate -la LOPD y demás normas de desarrollo, en este caso-, recabe la opinión de los asesores legales de la entidad auditada, pero aún más, incluso de otros expertos externos, eso sí en este caso, de acuerdo a lo que establece la Norma Técnica de Auditoría sobre utilización del trabajo de expertos independientes por auditores de cuentas (y añado, sin olvidar las estipulaciones que sobre subcontratación se hayan incluido en el contrato de encargado de tratamiento). Esto, sin duda, representa un campo de actuación para los que nos dedicamos o nos pretendemos dedicar a estas cosas de la privacidad.
Finalmente de destacar, que la Norma, en su punto 30, obliga al auditor que haya concluido que el incumplimiento de una norma pueda tener efectos significativos, ya sea cuantitativa o cualitativamente, en las cuentas anuales de la entidad y que no haya sido considerado en dichas cuentas, a emitir informe con salvedad, opinión desfavorable o denegada según proceda, de acuerdo a la Norma Técnica de Auditoría sobre informes.
Conclusión: si una empresa cumple con la LOPD, por esta normativa, verá reducida en mucho (pisando el suelo, decir que esta normativa se cumple al cien por cien, la verdad es que muchas veces es decir mucho, al menos en mi opinión) las contingencias que sanciones o litigios puedan suponer sobre sus cuentas anuales, y resultará relativamente fácil de aportarle al auditor evidencias de ello. En cambio, si no se cumple, dependerá del grado de conocimiento que el auditor de cuentas tenga de esta normativa, ya que si el auditor conoce en cierta profundidad la LOPD, será mucho más difícil convencerle de que se cumple aportando el documento de seguridad que nos cambiaron por los “420 puntos colacao”, y sólo nos libraremos de la salvedad en el informe, si el auditor no conoce suficientemente la normativa. No lo duden, mi consejo es que la cumplan, de verdad (tanto el consejo como el cumplimiento).
Muy buenos días.
Imagen: © Instituto de Contabilidad y Auditoría de Cuentas