viernes, 6 de noviembre de 2015

La LOPD, la mujer del César y el mus

Una de las frases que suelo emplear cuando me llaman de una empresa a una reunión preliminar porque están interesados en abordar un proyecto de adecuación a la normativa actualmente vigente en materia de protección de datos es la que se atribuye a Cayo Julio César:

"La mujer del César no sólo debe ser honrada, sino además parecerlo".

¿Y que tiene que ver esta frase con la adecuación a la LOPD de una organización?, ¿y el mus?. Un poco de paciencia.

Me explico, cuando acudo a una de esas reuniones, el potencial cliente, que ha oído hablar de las sanciones que se pueden imponer por el incumplimiento de esta normativa, asegura que está muy interesado en "hacer eso de la LOPD", aunque no parece saber muy bien a qué se refiere; uno se le queda mirando fijamente, pero él ni continúa con su exposición ni pestañea, y te devuelve una mirada arqueando las cejas (vamos, como si estuviéramos jugando al mus y tuviera dúplex).

Y yo pienso: "empezamos mal (vamos, como casi siempre)"; otro que quiere cumplir la normativa única y exclusivamente como un trámite formal más de obligado cumplimiento y sólo por temor a posibles sanciones.

Armado de infinita paciencia le pregunto si han hecho algo previamente para su adecuación a la norma. La respuesta habitual suele ser: "no" o "sólo la declaración de los ficheros", y, por tanto, la siguiente pregunta es obligada: "Por curiosidad, ¿por qué estáis muy interesados ahora en adaptaros?". Aquí las respuestas son de lo más variopintas: "sabemos que 'algo' tenemos que hacer", "es que nos han dicho que te pueden sancionar con una multa importante por incumplirla" (no pocos suelen hacer referencia a que han recibido una llamada diciéndoles que han verificado que no cumplen la normativa y que si no lo hacen serán sancionados), etc.. A esto último, sin comentarios.

Sospecha confirmada, no le ven ningún valor añadido a abordar un proyecto de seguridad de la información que maneja la organización, y para mí un proyecto de adecuación a la LOPD es un proyecto de este tipo que puede aportar mucho más valor que el mero cumplimiento de la norma, y, por consiguiente, el único interés parece ser el "cumplimiento" formal de una obligación legal; algo que hay que "pasar" (vamos, como si tuvieran el sarampión).

En este punto continúo con la toma de datos preliminar con objeto de recabar la información de contexto de la organización necesaria para poder posteriormente elaborar una propuesta de colaboración profesional ajustada a la problemática concreta de la organización en materia de protección de datos. Asunto sobre el que no me extenderé mucho y que como sabemos no es nada fácil de realizar en poco tiempo, pero el potencial cliente quiere un proyecto cerrado, es decir, antes que nada saber el precio.

Evidentemente, hay multitud de aspectos involucrados que el potencial cliente suele desconocer por completo, de ahí lo de la infinita paciencia que he comentado: sector de actividad (para hacerse una idea de la mayor o menor sensibilidad de los datos manejados por la organización), estructura de la empresa (en ocasiones puedes encontrarte con que realmente son un grupo de empresas, incluso con la central en otro país y que en ocasiones también les lleva "eso de la informática"), sedes de la empresa, identificación a un primer nivel de los ficheros con datos de carácter personal, empleados con acceso a dichos datos, sus funciones y características (movilidad,...), grado de automatización de los sistemas de información (CPD, puestos de trabajo, aplicaciones,...) y características de los mismos (virtualización de puestos de trabajo, desarrollos a medida o paquetes,...), encargados de tratamiento, cesiones,... y un larguísimo etcétera.

Una vez finalizada la toma de datos preliminar les esbozo ya el que conforme a nuestro entendimiento podría ser el ámbito y alcance del proyecto, fases a abordar para llevarlo a cabo incluidas (muy resumidamente: organización y planificación del proyecto, estudio y diagnóstico de la situación actual, notificación de ficheros y elaboración de toda la documentación de adecuación, comunicación, sensibilización y formación en esta materia a la Dirección, mandos intermedios y empleados, e implantación de todos los aspectos recogidos en el Documento de Seguridad, incluidas todas las medidas organizativas y técnicas).

La cara que suele poner el potencial cliente después de esto último es la del emoticono "alucinado" (vamos, como si le hubiera soltado un órdago a la grande y le hubiera pillado con dos pitos).

Y acto seguido, me guiña un ojo (ahora parece tener treinta y una) y me dice: "pero, ¿hay que hacer tantas "cosas"?, ¿esto cuanto cuesta?, ¿será 'baratito', no?, porque ya hemos pedido otras ofertas y hay quien lo hace muy barato (incluso sin coste), además, nosotros 'eso de la informática' lo tenemos bien". Y es aquí donde mi infinita paciencia se torna en la resignación más absoluta, máxime cuando todavía no he hablado del precio, y le digo eso que me recuerda a lo de la mujer del César:

"Tú que quieres: ¿ser honrado o sólo parecerlo?".

Y después le digo que "eso de la LOPD" es mucho más que notificar los ficheros, los contratos con encargados de tratamiento y tener un Documento de Seguridad, es decir, mucho más que el "cumplimiento" formal de la norma. Que así lo único que va a conseguir es tener un Documento de Seguridad perfectamente inútil cogiendo polvo, como en muchas otras empresas junto al manual de calidad, que así ni siquiera habrá hecho una gestión adecuada del riesgo ante determinados incumplimientos y, por consiguiente, de posibles sanciones, y que "eso de la LOPD" sólo aporta valor cuando realmente se llegan a implantar convenientemente todas las medidas organizativas y técnicas tendentes a proteger los datos de carácter personal y, en general, toda la información manejada por la organización (valor añadido), y que tenga en cuenta que se trata además de un proyecto de seguridad de la información que debe tener un seguimiento del que se derivarán de forma permanente en el tiempo las acciones correctoras, complementarias y de mejora pertinentes.

¿Sirve para algo todo el tiempo invertido en esta "evangelización"?. Pues en mi opinión y en la inmensa mayoría de las ocasiones no y, por tanto, después de la reunión sé que, aunque ajuste la oferta económica al céntimo y por muy buena que sea la parte técnica, no tendré ninguna posibilidad, y, en ocasiones y tras enterarme del importe por el que finalmente lo han adjudicado (un importe ridículo), no me queda ninguna duda no ya sólo sobre que lo que se buscaba era única y exclusivamente un "cumplimento" formal (aunque por el precio creo que ni siquiera se llegará a hacer adecuadamente ésto), sino que tampoco me cabe ninguna duda de que además, efectivamente, no tenía ninguna posibilidad. En fin, en estos casos siempre me quedo con la sensación de haber perdido la partida... pero seguiré intentándolo :).

No hay comentarios:

Publicar un comentario