El nuevo RGPD: una oportunidad para hacer mejor las cosas

Hace unos días recordaba cómo hace 20 años, casi recién titulado, empecé a trabajar en una empresa tecnológica que daba servicios a terceras empresas y, por esas desgracias con las que te obsequia la vida cuando eres el último en llegar a un sitio, fui afortunado con el soporte, desde la parte técnica, de la puesta en marcha de los procesos para dar respuesta a lo que en aquella época era toda una novedad, la Ley Orgánica de Protección de Datos.

Por aquel entonces uno de los aspectos clave, vigentes hasta hoy, eran los famosos derechos “ARCO”, que eran más bien “ARCO… de Iglesia”, dada la parafernalia operativa que tuvimos que implementar para darles respuesta (por cierto, la “O” del ARCO creo que me la ha conseguido medio explicar una persona en estos 20 años).

En aquella época, todo lo relativo a la Protección de Datos Personales solo era cosa de algunos desafortunados: el abogado al que se lo hubieran encalomado (en esa época no se hablaba de DPOs, Compliance Officer y estas cosas que ahora dotan de más empaque a esa figura), el técnico (léase yo en versión joven) y el responsable de calidad/procesos (¿qué ha sido de la Gestión de la Calidad en estos años, por cierto? Parece haber pasado al olvido).

El resto de los trabajadores de la empresa nos miraban con “envidia” por tener entre nuestras funciones tan divertidas actividades.

Y mucho me temo que esto ha sido así durante mucho tiempo y en muchas empresas y organizaciones. Huelga decir que no era ni es la mejor forma de abordar un tema que es ciertamente importante para la sociedad.

Sin embargo, de unos meses a esta parte, parece que las cosas están cambiando. El nuevo Reglamento General de Protección de Datos (o GDPR en inglés, por si trabajáis en una multinacional donde esté feo manejar siglas en castellano), cuya entrada en vigor está prevista para el 25 de Mayo está despertando el interés no solo de quienes por su puesto de trabajo les afecta de lleno, sino también de muchos trabajadores que ahora, por fin, empiezan a preocuparse por si lo que han venido haciendo lo van a poder seguir haciendo (curiosamente, es altamente probable que lo que ya hacían no pudieran hacerlo con la LOPD vigente, pero este revuelo mediático sobre el RGPD está sirviendo para que se paren a pensar en ello).

Desde mi punto de vista, el escándalo del uso de los datos personales almacenados en Facebook ha sido la guinda al pastel que se venía cocinando a fuego lento en estos dos últimos años. Ahora ya no es solo un tema de los “frikis de Jurídico” (perdón, pero es una expresión escuchada tal cual), ahora resulta que nos afecta a todos los que manejamos datos personales de terceros. 

rgpd 2018 takealeap formacion

Lamentablemente durante estos últimos 20 años no se ha conseguido generar en las empresas una cultura orientada a la protección de datos personales. De hecho, han sido muchos los que se preocupaban de ello cuando recibían llamadas intempestivas de empresas con la que no tenían relación que tenían las aviesas intenciones de venderles algo. Gran indignación, “estoy hasta los ****** de que me llamen sin mi consentimiento”… pero luego en la oficina ya mandaba sus emails comerciales o le pasaba los datos de un cliente a un conocido para que le llamara tranquilamente.

En las grandes compañías los grandes departamentos jurídicos, de compliance, áreas de regulación, protección de datos, etc., se vienen preparando para tener operativos los procesos necesarios coordinando proyectos de implantación con el resto de áreas afectadas. En esas áreas lo normal es que haya un interlocutor, trasunto de mí mismo hace 20 años, con el bonito encargo de implantar las modificaciones.

Es un hecho que en el 90% de los casos, las grandes empresas estarán preparadas, sobre el papel, de aquí a unos días. Digo sobre el papel por lo mismo que ya pasaba con la LOPD. Tan importante o más que tener un proceso escrito es conseguir que los trabajadores se “impregnen” del espíritu del Reglamento y sepan qué pueden y qué no pueden hacer en su día a día. Y eso es muy difícil de conseguir.

A medida que bajamos en la pirámide, cada vez serán menos las empresas preparadas ni siquiera sobre el papel, porque para ellas, lo que no sea el corede su actividad productiva, es de difícil abordaje y lo más que harán será encargar a su consultora de Protección de Datos (si la tienen) que “le actualice” (signifique esto lo que sea que signifique).

En resumen, Houston tenemos un problema. O, mejor dicho, Houston, tras el revuelo Facebook y 25 de mayo, seguiremos teniendo un problema.

¿Se puede hacer algo para que el problema lo sea menos?

Yo diría que sí.

En lo que parece que es mi dilatada trayectoria profesional (porque no hago más que contar historias del abuelo cebolleta), otro tema que he abordado desde muchos puntos de vista es la gestión del conocimiento (¡mi tema de tesis doctoral: qué tiempos aquellos… cuando pensaba hacerla!) y la formación (fui profesor universitario y he sido formador en empresa) y cómo éstas afectan a la cultura organizativa que, en el fondo, es lo que debemos “tocar” para llegar a tener una organización bien orientada a proteger los datos personales de todos.

Y he aprendido que la cultura no se crea mandando a los empleados a una sesión de formación de un día donde una persona experta en RGPD les cuente los entresijos del Reglamento mientras consumen ingentes cantidades de café y consultan con más o menos asiduidad su correo electrónico, whatsapp, etc.

Tampoco creo que sea muy eficaz remitir un mail y la “obligatoriedad” de hacer el curso de elearning al que apunta el enlace contenido en el correo. Qué grandes momentos van a pasar los trabajadores dando al clic a la mayor velocidad posible y contestando un test mediante prueba y error (eso si no están más avanzados en gestión de aprendizaje y un compañero les pasa las respuestas).

Me parece más interesante hacer que el RGPD poco a poco, de forma lo menos intrusiva posible y lo más didáctica y práctica que sea viable, empiece a formar parte de la actividad de los trabajadores. Que puedan preguntar cuando tengan dudas, que puedan consultar algo muy concreto que le preocupa para hacer algo ahora o mañana, que reciba en su móvil, en su Tablet o en una web preguntas y respuestas sobre temas en los que no había caído, pero con los que sí se puede encontrar en su puesto de trabajo.

Con posibilidades de interacción entre los trabajadores, para identificar las mejores prácticas y que éstas se extiendan entre los compañeros, con estímulos para que la gente participe de este cambio cultural progresivo.

Esta sería la forma ideal en la que, poco a poco, una empresa (es decir, TODOS SUS TRABAJADORES), va interiorizando lo que supone la Protección de los Datos Personales.

Y, sí amigos, como os estáis imaginando, en TakeaLeap tenemos una solución para ello. Una solución sin inversiones y sin que exija dedicación de personas que ahora ya tienen otras funciones y no tienen disponibilidad de tiempo. Si queréis verlo, podéis hacerlo aquí.

Es una propuesta distinta y útil, que puede complementar los grandes esfuerzos que hacen los Responsables de Protección de Datos, en sus distintas versiones oficiales, para que su trabajo tenga eco en la organización y los trabajadores vayan sintiéndose también responsables de proteger los datos personales que, en última instancia, son los de todos nosotros.

 

 

 

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *