Leía ayer en el blog de Jesús Pérez Serna que finalmente la Fundación Tripartita va a poner coto a las empresas que con las ayudas a la formación se dedican a realizar la adaptación de las empresas a la LOPD “a coste cero” [enlace directo], y al parecer hay bastante regocijo en el sector por ello. Esta situación me trae a la cabeza algo que leí o me contaron sobre la prohibición de vender foie de oca en algunos estados de los USA. Al parecer, los dueños de los restaurantes habían evitado esta prohibición regalando el preciado alimento, y cobrando una barbaridad por el pan. No sé si ven por dónde voy. Es difícil evitar que dentro de unas sesiones de formación una empresa “regale” un proyecto de adaptación a la LOPD. Pero ya lo veremos.
Quizá estén preguntándose: ¿cuál es el problema de las LOPD “a coste cero”? Pues el problema tiene principalmente dos vertientes: una más fácil de vender, y otra menos. La primera es evitar el fraude, palabra que en estos tiempos suena peor que nunca; si las subvenciones de la Fundación Tripartita son para la formación de los trabajadores, no es de recibo, ni ética ni legalmente que ese dinero se utilice para adaptar la empresa a la LOPD, porque es obvio que el beneficiario de las ayudas en ese caso no es el trabajador. La segunda, y aquí es donde viene la parte que es posible que levante algunas ampollas, es evitar el intrusismo por la vía del corporativismo y el “sindicalismo” mal entendido. El mismo propósito persiguen las certificaciones que se están promoviendo recientemente relacionadas con la protección de datos, pero de eso les prometo que hablaré otro día. Volvamos a lo nuestro.
Parece lógico pensar que buscar apoyos para proteger el nicho de mercado de la protección de datos por la vía de la simpatía no resulta sencillo, y menos si la otra parte da el producto “por tu cara bonita” (o mejor, por la de los trabajadores) por lo que, como muchos colectivos y asociaciones han hecho en el pasado, se recurre a la amenaza de un trabajo mal hecho, lo que en este caso puede desembocar en significativas sanciones a la empresa cliente que ha cometido el error de contratar a una de esas empresas LOPD-a-coste-cero. Dicho de otra forma, al estilo de la DGT, el mensaje es el siguiente: las imprudencias se pagan, y con la LOPD, cada vez más; no se arriesgue y evite la LOPD “a coste cero”. El problema es que no existe, en realidad, una relación de implicación entre el coste de un proyecto y el nombre de la empresa que lo ejecuta, y la calidad del trabajo hecho. Por supuesto, existe cierta relación, pero he tenido el placer de ver informes de grandes empresas cuyo precio fue probablemente inversamente proporcional a la calidad que dichos informes atesoraban. A veces un KIA da mejores resultados que un Mercedes, y depende mucho del profesional encargado del proyecto.
Pero, ¿saben qué? La adaptación a la LOPD no es, en la mayor parte de los casos, un proceso especialmente complejo. Excepto en el caso de grandes o grupos de empresas, u organizaciones con una gestión intensiva de datos de carácter personal (por ejemplo, mutuas de prevención de riesgos laborales, hospitales, empresas de trabajo temporal, y esas grandes desconocidas: las ONGs), la adaptación a la LOPD es algo relativamente sencillo; quizá laborioso, pero sencillo. No requiere grandes conocimientos legales ni técnicos, y en muchos casos la agencia está lista para contestar, a su forma (es decir, manteniendo un adecuado nivel de ambigüedad), a las preguntas y dudas que se le plantean. Expresado de otra forma, me atrevo a decir que prácticamente cualquier empresa dispone de personal que con la necesaria preparación sería capaz de abordar su propia adaptación a la LOPD; excepto en casos particulares (que no son muchos, en los millones de empresas que tenemos en este país), en una organización sencilla, la adaptación será sencilla y podrá llevarla a cabo personal sin grandes conocimientos, y en una organización compleja, será compleja pero también habrá perfiles profesionales de calidad, legal e informático más cualificados.
El mensaje que les estoy intentando transmitir es el siguiente: la LOPD y su Reglamento de Desarrollo no son mecánica cuántica, y el que diga lo contrario, miente. Después de todo, aunque no sea totalmente significativo, la LOPD son 12 páginas y el RDLOPD 34 páginas (aunque contiene mucha “paja”).
Es posible que piensen que una empresa especializada puede detectar más salvedades que una persona “de la casa” sin demasiada experiencia en protección de datos. No les quepa la menor duda de ello. Pero tampoco de que su organización no estará dispuesta a cubrir todas esas no conformidades por el coste que implican. Por mi experiencia personal, al final la mayoría de organizaciones buscan tapar los “agujeros grandes”, llámense Documento de Seguridad, consentimiento informado, contratos con proveedores, o inscripción de ficheros, porque el coste de tapar los pequeños, llámense registro de acceso a aplicaciones con datos de nivel alto, registro de E/S de soportes, Documento de Seguridad como Encargado del Tratamiento, o copia de equipos personales, acostumbra a ser demasiado alto. Que hay organizaciones que persiguen ambos, cierto, pero como en toda organización, existen prioridades. En definitiva, que la intención de una empresa es tapar los “agujeros grandes”, el resultado de un externo y un interno puede ser sin muchos problemas el mismo.
Entonces, ¿cuál es la razón para contratar a una empresa especializada? Por supuesto, hay muchas, como en cualquier proyecto de consultoría: experiencia, capacidad de adaptación, respaldo de dirección, etc. Pero en mi opinión, la primera y principal es exactamente la misma por la que una empresa contrata un servicios de limpieza o un electricista: la LOPD no es su negocio, y “sacar” a alguien de sus tareas habituales para realizar la adaptación a la LOPD durante dos o tres meses (en el mejor de los casos) no es rentable, porque alguien deberá hacer su trabajo. Piensen, por ejemplo, en una gran empresa que se dedica a fabricar tornillos a nivel mundial. Probablemente dispone de un departamento de calidad, un departamento informático y un departamento legal. ¿Tienen alguna duda de que una persona de cualquiera de estos departamentos (o mejor, un comité formado por personas de cualquiera de ellos), cualificada y con experiencia tendría problemas para adaptar su organización a la LOPD si se le da el tiempo necesario? Si la respuesta es que sí, piénsenlo de nuevo. Si vuelve a ser afirmativa, es que se han tomado la LOPD (y quizá a si mismos) demasiado en serio. Por suerte, la LOPD no es ingeniería aeroespacial.
Cuando oigo historias como estas, no puedo evitar acordarme de las discográficas. Todos estamos dispuestos a criticar esa particular forma de proteger su negocio por la vía judicial y política, pero la realidad es que a nadie le gusta que le pisen el césped. No se dejen engañar; es necesario erradicar las LOPD “a coste cero” porque son un fraude que perjudica directamente a los trabajadores, no a las consultoras. Nosotros ya nos buscaremos la vida.