La mayoría de ocasiones el criterio de evaluación a la hora de seleccionar a una empresa que te asesore en el proceso de implantación, suele ser el precio, lo que no suele ser acertado en la mayor parte de los casos, y normalmente influye en la calidad del servicio contratado. Esto ocurre porque aun existe mucho desconocimiento acerca de esta materia, y las empresas no disponen de criterios objetivos de evaluación que les permitan una elección adecuada.
Con el fin de aportar a las empresas criterios de evaluación a la hora de externalizar el servicio de consultoría y auditoría LOPD, recomendamos tener en cuenta, al menos, los siguientes aspectos:
- Especialización: Consultoras que se dediquen única y exclusivamente a la prestación de servicios relacionados con la seguridad de la información y privacidad o que tengan un departamento especializado en la materia.
- Solvencia Técnica: La consultora debe contar con un equipo capaz de dar respuesta a la diferente casuística del cliente (abogados especializados en derecho TIC, auditores CISA, informáticos,…). Solicite el currículum del personal asignado a su proyecto.
- Referencias contrastables: Solicitar referencias, especialmente en nuestro sector y en proyectos relacionados con protección de datos.
- Experiencia en el sector de la consultoría: Es necesario saber los años que la empresa lleva en el mercado como garantía de su solvencia.
- Evite subcontrataciones: La empresa debe contar con personal propio especializado que permita llevar a cabo una adecuada implantación sin necesidad de llevar a cabo subcontrataciones que aumenten el riesgo de no obtener el resultado pretendido.
- Garantía: Se debe firmar un contrato que defina el alcance y las fases del proyecto y garantice a la empresa la calidad de los servicios.
- Responsabilidad Civil: La consultora deberá tener una póliza de responsabilidad civil específica para servicios de consultoría y auditoría en Protección de Datos. Evite empresas que disponen de pólizas de RC para otras actividades o para asesoramientos generalistas, estos seguros no cubrirán los riesgos en materia de protección de datos.
- Certificaciones: Debemos valorar las certificaciones con las que cuenta la empresa. Cumplir con la norma ISO 9001 o ISO 27001 implica una sensibilidad de la empresa por buscar la mejora continua en la calidad de sus servicios y en el tratamiento de la información de sus clientes.
- Servicios Presenciales: Evite la consultoría a distancia, salvo en contadas ocasiones (portales web, servicios replicados, etc), para llevar a cabo un correcto proyecto de adecuación es necesario conocer la organización, la información que trata cada uno de los departamentos y los flujos de información internos y externos.
- Coste Cero: Cuidado con las consultoras que le ofrezcan hacer la implantación a coste cero a cambio de realizar un curso de formación. La fundación tripartita ya se ha pronunciado en varias ocasiones indicando que es un fraude emplear créditos destinados a formación de los trabajadores para pagar servicios de consultoría.