GOTO II: Consultores de LOPD

Me encanta la iniciativa GOTO de Toni y, sin ninguna acritud, me uno a ella para darles mi visión de episodios profesionales que nos toca vivir con más frecuencia de la que sería deseable. Hablo, en este caso, de los Consultores de la LOPD, una clase especial de consultores de seguridad, mitad abogados, mitad técnicos y al final en muchos casos, desgraciadamente, ni lo uno, ni lo otro.

Si como ha dicho Toni en su post el “Consultor Junior” es por definición un oxímoron y como tal, lo único que nos puede traer es algún que otro problema, además de un trabajo relativamente mal hecho por muy importante que sea la firma para la que trabaja, el caso se complica cuando lo que hace el supuesto consultor es implantar un Sistema de Gestión de la LOPD o auditar la LOPD de una organización.

En este caso la LOPD es como todos ustedes saben una ley, y por tanto de obligado cumplimiento, aunque a veces no lo parezca. Además, en el caso de nuestro país, está acompañada por un reglamento que para ser de mínimos es bastante exigente, y de un régimen sancionador que pone los pelos de punta al que se lo estudia con un poco de detalle.

En este contexto y aprovechando las corrientes de negocio que se imponen en cada circunstancia —ayer le tocaba a la calidad, hoy a la LOPD, mañana a los sistemas de gestión de seguridad de la información y pasado ya veremos—, aparecen legiones de “consultores junior” ataviados con trajes oscuros y corbatas planchadas que se toman la licencia de verter opiniones con formato de recomendación, amparadas en la ignorancia o en la falta de experiencia, cuyas consecuencias estoy seguro que no se han parado a analizar.

Tras semejantes despropósitos, perfectamente maquetados con la última versión del procesador de textos de turno y recogidos en un resumen ejecutivo, en formato “ppt”, carente de contenido, nos encontramos al comprador, que en la mayor parte de los casos por un desconocimiento totalmente justificado (es imposible saber de todo), depositan su confianza en el prestigio de algunas marcas o, lo que es peor, en supuestas firmas especializadas en la gestión de la LOPD de turno.

¿Qué es lo que tiene el comprador en estos casos? Además del despropósito comentado lo que tiene es una falsa sensación de seguridad y de cumplimiento de la legislación vigente, pero ojo: “el desconocimiento de la ley no exime de su cumplimiento” Con esto quiero decir que aunque el causante de dicho despropósito sea nuestro “consultor junior” amparado por esa “firma” que nos garantiza la supuesta calidad del trabajo bien hecho, el responsable —no el causante— es, de todas, todas, el comprador.

Ahora llega ese capítulo que nos “disgusta” tanto a los que nos dedicamos a este trabajo con mucha pasión —resulta francamente desagradable—. Llega la hora de la auditoría bienal y, como mandan los cánones, se contrata a otra firma para que audite el trabajo de implantación o, por ejemplo, se presenta la necesidad de realizar un trabajo urgente como consecuencia de un incidente de seguridad. Aquí es cuando empiezan a saltar chispas. En cualquiera de los casos, de forma más o menos extensa o más o menos formal, se realiza un análisis o una auditoría, y se dictamina sobre el cumplimiento o no del reglamento de la LOPD, sobre el grado de adecuación del documento de seguridad, sobre el diseño de los procedimientos mínimos exigidos por el reglamento, sobre algunas medidas de seguridad implantadas, sobre la declaración de los ficheros en el marco de la propia LOPD y un largo etcétera. En definitiva, sobre el grado de cumplimiento en general o el grado de tranquilidad que debe tener el responsable del fichero y… voila, ante la estupefacta mirada del “representante” del “responsable” del fichero se presenta una situación catastrófica, que en muchas ocasiones podría ser fruto de unas pocas horas de trabajo, si el Consultor que realiza la auditoría es realmente experimentado.

¿Cómo es posible?, pregunta el cliente. ¿Quieres decir que el informe anterior de auditoría, el que me hicieron cuando lo implantaron, estaba mal?, ¿quieres decir que el trabajo realizado por el “Consultor” de la firma X hizo mal su trabajo?, ¿quieres decir que el informe firmado por “tal” no es cierto? pregunta una y otra vez el cliente. El resultado es un cliente “frustrado” y “cabreado”, que incluso puede haber sido el causante del mal por haber contratado una LOPD llamémosla “low-cost” por puro desconocimiento, pero que a todas luces ha sido “estafado”.

Al final lo que queda es un desprestigio para nuestra profesión, y yo no puedo evitar “gritar” en contra de estas barbaridades que desgraciadamente se encuentran a nuestro alrededor. Pero, ¿qué le debe contestar el auditor en este caso? La verdad sustentada en hechos en base al análisis realizado y no en base a opiniones. El hecho cierto es que la situación es la que es, y lo que no se debe entrar a valorar es otra situación anterior desconocida sobre la que lo único que podría hacerse es opinar.

Si en general siempre hay que ser un profesional para dirigir o llevar a cabo un trabajo, en determinados casos, calibrado por las consecuencias de un trabajo mal realizado, debemos ser especialmente escrupulosos en la contratación o en la realización del mismo. Es evidente que este no es un caso generalizado, pero desgraciadamente es más común de lo que debiera.

* * *

Para acabar, con la ayuda de todos ustedes y de los abogados que nos consta que nos siguen, me gustaría que entre todos respondiésemos a una serie de cuestiones interesantes y especialmente relevantes para la cuestión que les planteo. Tómenlo, si quieren, como una especie de reto.

Una empresa contrata los servicios de una firma que realiza un trabajo a través de un “consultor junior”, en este caso la implantación de la LOPD en la empresa contratante. Unas semanas tras la adaptación, la empresa en cuestión tiene un incidente de seguridad (que pudiera ser un simple ejercicio de derechos ARCO no respondido en forma y plazo) y la AEPD le impone una sanción por el incidente. Analizando un poco el caso llegamos a la conclusión de que el origen del problema es un trabajo de implantación mal realizado por el consultor de la LOPD. ¿Qué sucedería en este caso?

En primer lugar, la empresa en cuestión pagaría irremediablemente la sanción impuesta por la AEPD puesto que la responsabilidad es del Responsable del Fichero y, por tanto, en este caso supuesto, de la empresa en última instancia. Normalmente se podría quedar ahí la cosa, aunque yo creo que se puede profundizar un poco en el caso, y aquí es donde espero su colaboración. Veamos.

El consultor junior, bajo mi punto de vista, dado que no ha actuado de mala fe en ningún momento, no tendría responsabilidad alguna en el tema. En cambio, la empresa sancionada podría demandar a la empresa contratada para la realización de la adaptación inicial, e intentar repercutir la sanción impuesta por la AEPD si de verdad se puede demostrar que la sanción ha sido impuesta como consecuencia de un trabajo mal ejecutado por la misma; por ejemplo, un Documento de Seguridad mal diseñado, unos ficheros con niveles mal declarados, procedimientos de seguridad inexistentes o inútiles, contratos con terceros inexistentes, un procedimiento de atención de ejercicio de derechos ARCO con plazos incorrectos, etc.

¿Consideran que esto sería factible?

Asumamos que sí. En este caso, si prosperase la demanda contra la empresa que ha realizado el trabajo de consultoría, ¿podría la empresa repercutir, a su vez, a su empleado, el resultado de la demanda contra ella interpuesta? ¿podría tener éxito algo así?

Por último, ¿creen ustedes que las empresas que lanzan sus huestes de “consultores junior” contra sus clientes han valorado estas situaciones?

Comments

  1. Por mi parte, creo que hay que tener en cuenta que muchas veces estos “consultores junior” disponen de poco tiempo para realizar la consultoria, debido a que no se dimensiona adecuadamente el coste de la implantación para conseguir a toda costa al cliente.

    No exculparía a la empresa, porque es responsable de la contratación de la implantación, no puede pretender que por 500 euros y 3 mañanas de trabajo efectivo, el consultor se entreviste con 10 personas y visite todos los departamentos de la organización, revise todos los registros AD, prepare una documentacion que haya sido validada por la organizacion.

    Mirad lo que os digo, yo creo que el consultor es la victima en cuestión, la empresa implantadora la aprovechada y la empresa implantada la ignorante.

    Cada uno es el responsable de sus actos…

  2. Sí-No-No.
    SÍ: Una empresa que ha recibido un mal servicio por cuya causa recibe una sanción de la administración no sólo puede, es que debe reclamar ese perjuicio. Y para eso existen los seguros de responsabilidad, que un “senior” también se puede equivocar.
    NO: la culpa sólo sería del empleado en el caso de que se pudiera demostrar un mala fe voluntaria. Si el trabajador asignado no tiene los conocimientos necesarios para realizar correctamente el cometido encomendado, el culpable es quién le ha asignado ese trabajo.
    NO: Y finalmente no creo que lo hayan pensado mucho (por ejemplo los que hacen LOPD “a coste cero” enmascarando los costes con bonificaciones en formación) ya que por lo que se, casi ninguna de estas empresas tiene suscritos seguros en el ámbito que citaba anteriormente y más de uno se va a llevar un disgusto muy grande el día que tenga que demostrar ante un juez cuál son sus cualificaciones para firmar una auditoría que asegura el cumplimiento de una ley de rango orgánico con su correspondiente reglamento de desarrollo.

  3. Francisco Benet says

    Centrándome en la primera parte, me parece que ‘machacas’ un poco al consultor junior, básicamente deduzco habría que eliminarlo de la faz de la tierra. Creo que el causante y responsable acaba siendo el propio contratante, no puede ser que el responsable sea el currito, ¿no será el departamento de calidad? ¿no será su jefe? ¿no será el contratador o solicitador del servicio?. El ‘currito’, con su bonito traje, es el medio pero no la causa ni la consecuencia.

    ¿o es el currito quien ‘firma’ la consultoría? Si fuera su firma, no valdría ni cuatro chavos mal pagados… No será que ciertas firmas, por existir, tienen derecho de pernada…

    O al menos así lo veo yo, por lo demas, la LOPD – como bien sabeís – no es una ley hecha a la medida de la situación actual y futura de las TIC, por ser un poco agresivo, acaba muchas veces siendo un desproposito su implantacion, y otras acaba asustando al gerente mas valiente.

    Respecto la segunda parte, creo que voy a formar el club’ Salvemos a los junior, esa especie maltratada’.

    Saludos (y me encanta esta serie de posts).

  4. Buenas.

    Pongo algunos reflexiones/opiniones de mi brevísima experiencia como auditor (primero externo y luego interno):

    – Tras 6 meses como “interno” en una empresa, casi cada día descubría algo nuevo; entonces me acordaba de las auditorías externas que realizada en una o dos semanas y de todo lo que me habría dejado por revisar (y yo ignoraba) …
    – El gerente/socio de la auditora planifica las pruebas en función del … (pista: empieza por dine..) y no del trabajo real a realizar.
    – En mi experiencia, el cliente es consciente de que cuando contrata una auditoría LOPD, una parte importante del precio que paga es por el nombre de la empresa que realiza el trabajo, que no tiene por qué ser proporcional a la calidad del trabajo que se hará.
    – En algunos casos el informe con las recomendaciones se mete en un cajón donde acumulará polvo durante dos años. Lo importante es el certificado donde pone: RESULTADO SATISFACTORIO, que es el que enseñará a sus clientes cuando estén negociando un contrato. Doy fe que esto es así ;)
    – Por otro lado, la Agencia también podría mojarse un poco más respecto a quién puede realizar las auditorías.

    En resumen, que aquí cada parte tiene su tanto por ciento de responsabilidad, pero dejemos ya al junior !!! Que bastante tortas le dan ya sus jefes, los clientes, sus compañeros-trepas , … jeje.

    Un saludo.

  5. Lo que comenta Jesús en torno a las LOPDs de coste cero financiadas con bonificaciones de formación es lo que me faltaba por oir. La verdad es que reconozco no haber convivido con semejante despropósito y no salgo de mi asombro. Yo me había quedado en las LOPDs de 500 el cuarto, pero gratis…….

  6. Hola Francisco, la verdad es que no intento machacar al Consultor Junior ni a nadie, simplemente denunciar a los que se crean estas figuras y después se aprovechan de ellas.

  7. En mi opinion no es un tema de consultores junior, sino de “empresas cadetes”. El profesional que vaya a la empresa, esta haciendo su trabajo,sea el que sea. El problema es que “empresas consultoras” están ayudando a adaptar a empresas a la LOPD y a peso, es decir…venga pedazo DOCUMENTO DE SEGURIDAD, que NO SIRVE PARA NADA, y muy probablemente la EMPRESA SIGA INCUMPLIENDO LA LEY y su PERSONAL NI FORMADO ni CONCIENCIADO. Increiblemente muchas empresas que han implantado procesos de certificación en ISO 27001 se encuentran en situaciones frente a la LOPD fuera de orden, este es un indicador de que a pesar de que el tema es ya muy conocido y salen consultoras detras de las piedras, las empresas siguen sin cumplir la Ley y lo peor de todo, quien les ayudad..les crea un problema.
    Muy bueno tu articulo