GOTO VIII: LOPD a «coste cero» (¿y?)

Leía ayer en el blog de Jesús Pérez Serna que finalmente la Fundación Tripartita va a poner coto a las empresas que con las ayudas a la formación se dedican a realizar la adaptación de las empresas a la LOPD «a coste cero» [enlace directo], y al parecer hay bastante regocijo en el sector por ello. Esta situación me trae a la cabeza algo que leí o me contaron sobre la prohibición de vender foie de oca en algunos estados de los USA. Al parecer, los dueños de los restaurantes habían evitado esta prohibición regalando el preciado alimento, y cobrando una barbaridad por el pan. No sé si ven por dónde voy. Es difícil evitar que dentro de unas sesiones de formación una empresa «regale» un proyecto de adaptación a la LOPD. Pero ya lo veremos.

Quizá estén preguntándose: ¿cuál es el problema de las LOPD «a coste cero»? Pues el problema tiene principalmente dos vertientes: una más fácil de vender, y otra menos. La primera es evitar el fraude, palabra que en estos tiempos suena peor que nunca; si las subvenciones de la Fundación Tripartita son para la formación de los trabajadores, no es de recibo, ni ética ni legalmente que ese dinero se utilice para adaptar la empresa a la LOPD, porque es obvio que el beneficiario de las ayudas en ese caso no es el trabajador. La segunda, y aquí es donde viene la parte que es posible que levante algunas ampollas, es evitar el intrusismo por la vía del corporativismo y el «sindicalismo» mal entendido. El mismo propósito persiguen las certificaciones que se están promoviendo recientemente relacionadas con la protección de datos, pero de eso les prometo que hablaré otro día. Volvamos a lo nuestro.

Parece lógico pensar que buscar apoyos para proteger el nicho de mercado de la protección de datos por la vía de la simpatía no resulta sencillo, y menos si la otra parte da el producto «por tu cara bonita» (o mejor, por la de los trabajadores) por lo que, como muchos colectivos y asociaciones han hecho en el pasado, se recurre a la amenaza de un trabajo mal hecho, lo que en este caso puede desembocar en significativas sanciones a la empresa cliente que ha cometido el error de contratar a una de esas empresas LOPD-a-coste-cero. Dicho de otra forma, al estilo de la DGT, el mensaje es el siguiente: las imprudencias se pagan, y con la LOPD, cada vez más; no se arriesgue y evite la LOPD «a coste cero». El problema es que no existe, en realidad, una relación de implicación entre el coste de un proyecto y el nombre de la empresa que lo ejecuta, y la calidad del trabajo hecho. Por supuesto, existe cierta relación, pero he tenido el placer de ver informes de grandes empresas cuyo precio fue probablemente inversamente proporcional a la calidad que dichos informes atesoraban. A veces un KIA da mejores resultados que un Mercedes, y depende mucho del profesional encargado del proyecto.

Pero, ¿saben qué? La adaptación a la LOPD no es, en la mayor parte de los casos, un proceso especialmente complejo. Excepto en el caso de grandes o grupos de empresas, u organizaciones con una gestión intensiva de datos de carácter personal (por ejemplo, mutuas de prevención de riesgos laborales, hospitales, empresas de trabajo temporal, y esas grandes desconocidas: las ONGs), la adaptación a la LOPD es algo relativamente sencillo; quizá laborioso, pero sencillo. No requiere grandes conocimientos legales ni técnicos, y en muchos casos la agencia está lista para contestar, a su forma (es decir, manteniendo un adecuado nivel de ambigüedad), a las preguntas y dudas que se le plantean. Expresado de otra forma, me atrevo a decir que prácticamente cualquier empresa dispone de personal que con la necesaria preparación sería capaz de abordar su propia adaptación a la LOPD; excepto en casos particulares (que no son muchos, en los millones de empresas que tenemos en este país), en una organización sencilla, la adaptación será sencilla y podrá llevarla a cabo personal sin grandes conocimientos, y en una organización compleja, será compleja pero también habrá perfiles profesionales de calidad, legal e informático más cualificados.

El mensaje que les estoy intentando transmitir es el siguiente: la LOPD y su Reglamento de Desarrollo no son mecánica cuántica, y el que diga lo contrario, miente. Después de todo, aunque no sea totalmente significativo, la LOPD son 12 páginas y el RDLOPD 34 páginas (aunque contiene mucha «paja»).

Es posible que piensen que una empresa especializada puede detectar más salvedades que una persona «de la casa» sin demasiada experiencia en protección de datos. No les quepa la menor duda de ello. Pero tampoco de que su organización no estará dispuesta a cubrir todas esas no conformidades por el coste que implican. Por mi experiencia personal, al final la mayoría de organizaciones buscan tapar los «agujeros grandes», llámense Documento de Seguridad, consentimiento informado, contratos con proveedores, o inscripción de ficheros, porque el coste de tapar los pequeños, llámense registro de acceso a aplicaciones con datos de nivel alto, registro de E/S de soportes, Documento de Seguridad como Encargado del Tratamiento, o copia de equipos personales, acostumbra a ser demasiado alto. Que hay organizaciones que persiguen ambos, cierto, pero como en toda organización, existen prioridades. En definitiva, que la intención de una empresa es tapar los «agujeros grandes», el resultado de un externo y un interno puede ser sin muchos problemas el mismo.

Entonces, ¿cuál es la razón para contratar a una empresa especializada? Por supuesto, hay muchas, como en cualquier proyecto de consultoría: experiencia, capacidad de adaptación, respaldo de dirección, etc. Pero en mi opinión, la primera y principal es exactamente la misma por la que una empresa contrata un servicios de limpieza o un electricista: la LOPD no es su negocio, y «sacar» a alguien de sus tareas habituales para realizar la adaptación a la LOPD durante dos o tres meses (en el mejor de los casos) no es rentable, porque alguien deberá hacer su trabajo. Piensen, por ejemplo, en una gran empresa que se dedica a fabricar tornillos a nivel mundial. Probablemente dispone de un departamento de calidad, un departamento informático y un departamento legal. ¿Tienen alguna duda de que una persona de cualquiera de estos departamentos (o mejor, un comité formado por personas de cualquiera de ellos), cualificada y con experiencia tendría problemas para adaptar su organización a la LOPD si se le da el tiempo necesario? Si la respuesta es que sí, piénsenlo de nuevo. Si vuelve a ser afirmativa, es que se han tomado la LOPD (y quizá a si mismos) demasiado en serio. Por suerte, la LOPD no es ingeniería aeroespacial.

Cuando oigo historias como estas, no puedo evitar acordarme de las discográficas. Todos estamos dispuestos a criticar esa particular forma de proteger su negocio por la vía judicial y política, pero la realidad es que a nadie le gusta que le pisen el césped. No se dejen engañar; es necesario erradicar las LOPD «a coste cero» porque son un fraude que perjudica directamente a los trabajadores, no a las consultoras. Nosotros ya nos buscaremos la vida.

Comments

  1. Ante todo agradeceros la cita, aunque si me permitís un poco de spam ;-) pongo la url directa al post referenciado: http://marketingpositivo.blogspot.com/2010/04/la-fundacion-tripartita-advierte-sobre.html

    Manuel, en general estoy de acuerdo con tu artículo, pero déjame hacer un matiz acerca de la cuestión de calidad/costes. Dices: «El problema es que no existe, en realidad, una relación de implicación entre el coste de un proyecto y el nombre de la empresa que lo ejecuta, y la calidad del trabajo hecho.» Te entiendo, pero eso no es un problema LOPD, se puede plantear lo mismo en cualquier sector de la consultoría, y es evidente que incluso en una empresa reconocida el resultado final puede depender del equipo o persona encargado de una tarea concreta. Pero al tiempo hay conceptos mínimos que no se pueden soslayar y en este caso se puede acudir a la cuenta de la vieja.

    Veamos: estas empresas, para poder captar el 100% de los posibles clientes, ofrecen sus solución a 420€, que es el mínimo que toda empresa dispone para formación bonificada con que tenga un solo trabajador. Con ese dinero han de pagar al comercial que ha captado al cliente, tener una apariencia mínima de cursos (enviar por correo un texto si es a distancia o montar una plataforma web si es e-learning, tener tutores, etc, más gestionar todo el papeleo administrativo que se genera), preparar toda la parte documental LOPD (que como dices aunque no sea complejo es laborioso), enviarla al cliente, y luego mantener una plantilla de personal con un mínimo de especialización que sostenga la teórica consultoría continua que venden más la defensa jurídica en caso de conflicto con la AEPD. Y luego aparte los gastos generales de cualquier empresa. ¿Alguien cree que se puede hacer todo esto con ese dinero? Como la respuesta es no, la única conclusión posible es rebajar el nivel de trabajo para que quede algún beneficio.

    Como muy bien dices la adaptación a LOPD en la mayoría de los casos no es un proceso tan complicado como como pudiera parecer, pero de ahí a que se pueda hacer bien con cuatro duros… pues no.

    Confieso que a mí el fraude a los fondos de formación y a la Agencia Tributaria (por no tributar el IVA de la consultoria que no se factura, ya que la formación no lleva IVA) me preocupa poco, en cualquier caso todos los años sobran decenas de millones en bonificaciones que no se piden y fraudes los hay de muchísimo mayor calado; lo que me fastidia es encontrarme con inscripciones mal hechas, documentos de seguridad en word que no se han revisado en años, registros que no se llevan, datos que se entregan a terceros sin contratos ni salvaguardas, formularios de toma de datos sin cláusulas de privacidad, etc… y que encima el dueño de la empresa esté convecido de que cumple porque ya lo hizo con los del «coste cero».

  2. Jesús, he actualizado la entrada y he puesto un enlace directo.

    Por otro lado, estoy de acuerdo en que es complicado por 420 € adaptar una empresa a la LOPD, pero también pienso que el camino no es satanizar a la empresa que lo hace (sí, si es a través del fraude) por cuatro duros, porque si lo hacen es porque hay mercado para ellas. El camino es muy diferente, y se debe enfocar al trabajo de calidad para aquellas empresas que estén dispuestas a pagarlo.

    Siempre habrá gente que se conforme con una película en screener grabada con una cam en mano directamente del cine, en lugar de verla en pantalla grande o en casa con calidad DVD. Mi opinión es que esa no es nuestra guerra sino la de la Agencia y los ciudadanos en tanto que propietarios de los datos. La empresas de protección de datos podemos sentirnos relativamente implicadas en los aspectos de privacidad, pero no hay que olvidar que al fin y al cabo, no somos garantes de ningún derecho y trabajamos por dinero (como todo hijo de vecino, que no es que sea nada malo).

    Nuestra guerra es convencer, a fuerza de calidad y trabajo, que vale la pena pagar la entrada del cine. Y si un día nadie se quiere gastar el dinero en el cine, habrá que reinventarse. Como suele decirse, renovarse o morir.

  3. Pero Manuel, esto no es una cuestión de precios, quizás no me he explicado bien. No digo que no se pueda hacer una adaptación LOPD por 420€, yo las he hecho hasta por menos a sitios pequeños tipo peluquerías o tiendas de ropa, lo que digo es que no se puede además crear, distribuir y dar cobertura a un curso de formación, y hacer creer a un empresario que ya cumple la ley.
    Estoy 100% de acuerdo en que los clientes sanos se consiguen demostrando valor añadido… pero jugando todos con las mismas reglas. Y creo que eso es lo que se pretende con este tipo de denuncias y acciones de la APEP. Competencia sí, pero para todos por igual.

  4. Mi opinión es que algunas denuncias no buscan tanto denunciar ilegalidades como proteger un nicho de mercado muy rentable de potenciales intrusos (que es básicamente el mismo propósito que el de las recientes certificaciones en materia de privacidad; obviamente todo el mundo tiene derecho a crear su modelo de negocio, pero sigo pensando que el proteccionismo no es el camino).

    Que es reprobable, legal y éticamente, aprovechar subvenciones de la F.T. para la LOPD, y hacer creer al empresario que con estos proyectos está cubierto de posibles sanciones, correcto. Pero lo que tampoco deberíamos es caer en el victimismo «empresarial», y pensar que cualquiera que aborda un proyecto de adaptación en estas condiciones es una víctima inocente de estas satánicas y fraudulentas empresas. No siempre, pero muchas veces, se sabe a lo que se juega.

    Vaya por delante, por si alguien no nos conoce, que S2 Grupo no centra su trabajo en este segmento de proyectos de adaptación, sino en proyectos de mayor envergadura.

  5. Manuel, quizás la clave esté en tu última frase. Probablemente vuestro «cliente tipo» esté más informado, tenga más conocimientos empresariales y esté acostumbrado al trato con consultoras y a la valoración de diferentes propuestas, pero la LOPD como bien sabemos afecta casi al 100% de las actividades empresariales (hay escasísimas excepciones) y por tanto su verdadero impacto (en lo bueno y en lo malo) se da sobre ese casi 97% de las empresas españolas que son autónomos o tienen menos de 10 empleados. Esa es mi tipología de cliente y estos no saben practicamente nada de LOPD, sus asesores (que no son PriceWaterhouse, sino un señor en su oficina con un administrativo) tampoco tienen ni idea y su asociación profesional está en la inopia y tampoco le puede aconsejar correctamente. Además en estos momentos las están pasando «canutas» por la situación económica y llega alguien y les da una (teórica) solución gratis… y tampoco tienen forma de comprobar si eso es legal.
    En la Fundación Tripartita hasta antesdeayer les decían que de eso no sabían nada, en la AEPD (te juro que esto es literal) les decían que no hay que pagar por cumplir leyes (lo cual es técnicamente correcto, pero no es lo que pregunta el empresario que llama y además luego se agarra a eso para justificar su decisión) y tampoco pueden pedir ningún certificado ni título ni carnet profesional que avale aunque sólo sea en parte la al menos teórica profesionalidad de quien tienen enfrente… y además para cumplir algo que el Estado ha dicho que es obligatorio.
    Las certificaciones existen en practicamente todas las profesiones que implican una consecuencia en la actuación profesional. Me parece perfecto que un señor puede tener una tienda de ropa sin ninguna experiencia previa en el sector textil o incluso que monte una empresa de marketing online sin saber lo que significa SEO, esto son cuestiones de mercado porque nadie te obliga a ellas, pero la LOPD es una ley y además muy severa cuyo incumplimiento puede causar literalmente el cierre de una pequeña empresa. Otra cosa es el método por el que se ha llegado a ello. Yo he sido el primero en decir que el camino de la certificación APEP (y otras que hay en marcha) no es el mejor, que este certificado debería ser emitido por el Estado, igual que ocurre con riesgos laborales, y supongo que tarde o temprano esto llegará, pero como de momento no hay nada y vamos ya para más de una década LOPD, pues esto me parece un mal menor. Al menos mejor que nada.

    Perdona si he abusado un tanto de esta vuestra casa con comentarios tan largos, pero es que me lo he encontrado ya tantas veces lo del coste cero, con resultados tan desastrosos, que no puedo evitar encenderme un poco.

  6. Jesús, aunque suene un poco manido, esta también es tu casa y este espacio está para debatir, necesites el que necesites :)

  7. George Constanza says

    Sin animo de ofender, Jesus cuando dices

    «documentos de seguridad en word que no se han revisado en años»

    ¿Que haces los documentos de seguridad en latex?

    Business is business, conozco empresas e incluso personas que hacen LOPDs a coste cero bastante mejor que empresas grandes.

    Recalcar que como dice Manolo la LOPD no es fisica cuantica, aunque «our beloved lawyers» gusten de adornar y serpentear esos menesteres

  8. Buenos días a todos. Voy a comentar algunos aspectos según mi punto de vista.

    Primero: que se olviden todos de certificaciones o habilitaciones para adaptar empresas a la LOPD. Eso no es real en una economía como la nuestra y además está prohibido por el Código Civil. Igual que la AGPD dice que no es necesario pagar para cumplir la ley, tampoco hace falta carnets para hacerlo para un tercero.

    Segundo: El problema no es si la adaptación se hace a un coste u otro, sino si se hace bien o mal. El problema llega cuando un cliente recibe una «recetita» por no haber cumplido la LOPD y en este caso yo sugiero que se denuncie a aquellos que han realizado un trabajo defectuoso.

    Tercero: como yo, os sugiero a todos que cuando detectéis un fraude como el de la fundación tripartita, lo denunciéis en la comisaría.Os aseguro que no sirve para que lleven a la cárcel a nadie, pero el susto que se pegan hacen que dejen de ofrecer fraudes de forma tan gratuita.

    Cuarto: una buena adaptación se puede hacer por menos de 420 a una empresa pequeña y media, y ganando dinero aunque menos que Messi. Parece que aquí todos se quieren forrar en dos días.

    Quinto: para mí es muy fácil desmontar el coste cero. Nadie es tonto y sabe a que a cero euros no hay nada y no suelen estar dispuestos a sufrir multas e incertidumbres a cambio de ahorrarse 400 euros (no digo 1000 ó 2700 como he visto en ocasiones)

    No me enrollo más, saludos a todos

  9. George: el DS lo construyo sobre una aplicación informática que se instala en casa de cliente y permite su mejor gestión y mantenimiento.

    Efectivamente la LOPD no se parece en nada a la física cuántica, ya que ésta es un área a la que se dedican en exclusiva personas que han estudiado durante años y son expertos en el tema, mientras que la LOPD le toca a Laura la dentista que de lo que sabe es de empastes, o a Manolo el del taller mecánico que lo que sabe es de recambios. Y yo les entiendo bien precisamente porque no soy un «beloved lawyer», ni siquiera un «beloved informatic».

  10. Es tan lícito y no pierde ni un ápice de calidad hacer un documento de seguridad en word (siempre que esté bien hecho e incluya el contenido necesario) que utilizando una aplicación informática. De hecho podría hasta decirse que el realizado en word es más artesanal. Incluso me he encontrado consultores aquí en Las Palmas que venden un software al cliente y le dicen que con dicha herramienta ya cumplen….pero sin explicarle como utilizarla, sin mantenimiento de la misma, etc. desapareciendo posteriormente (ej. Millar 2). En definitiva, no critiquemos si un documento de seguridad está hecho por un medio o por otro, sino si está bien redactado, me parece algo atrevido desprestigiar un documento de seguridad por estar hecho en word…..cuando conozco aplicaciones informáticas que generan un DS bastante cutre e incompleto…..

  11. quizas esté equivocado,pero si yo asesor,un buen cliente de manera puntual me pide que le ayude con la actualización del lopd,y de manera gratuita le regalo un par de horas de mi tiempo, estoy cometiendo un fraude por no declarar el iva de esa consultoría!eso me a paracido entender que es el fraude! puesto que premiar el consumo no puede ser, sino el 2×1 estaría penado! tengo ciertas dudas de que lo que se quiera es asustar a los consumidores finales. por esta lógida todo sería fraudulento, un nutricionista que venda productos y regale la dieta como extra??? saludos

  12. Fernando, si tu como asesor quieres regalar un par de horas o una semana de tu tiempo, eres totalmente libre de hacerlo. Así como si vendes sierras mecánicas y como «regalo» por cada compra incluyes trabajos de adaptación a la LOPD.

    El fraude consiste en cobrar ese trabajo de consultoría con subvenciones pensadas para otra cosa, como por ejemplo formación. Es decir, yo te adapto la organización a la LOPD y tú me pagas con dinero procedente de la tripartita. Ahí reside el fraude.

  13. Hola,
    He estado leyendo vuestros comentarios sobre el tema de la lopd a coste cero, me han ofrecido la implantacion por una factura de gastos mínimos de 30€ a cambio de hacer un curso bonficado a distancia por la fundación tripartita,son dos empresas con distinto nombre, una para cada actividad. Mi pregunta es si eso es legal?Me gustaría saber también como puedo saber que empresas han sido denunciadas por este tema, ya que me enterado de que así ha sido hace 3 años, pero a coste cero total sin factura de gastos mínimos.

  14. Hola María,

    Gracias por el comentario y disculpa el retraso en contestar. Por lo que comentas, una empresa te oferta la implantación a la LOPD por 30€ y a cambio tú haces para otra empresa un curso a distancia bonificado por la tripartita. Con independencia de que tengan el mismo nombre, es evidente que existe una relación entre ambas, y que el coste que tú te ahorras por la implantación de la LOPD (no hay implantación mínimamente decente posible por 30€) es porque muy probablemente ese coste «sale» de la bonificación de la tripartita. Es interesante que menciones «a cambio de», lo que demuestra que existe una relación clara entre ambas actividades.

    Por tanto, de una manera encubierta se está utilizando el dinero de la subvención para otros temas y sí, podría considerarse un fraude y ser denunciable.

    Por otro lado, desconozco si existe un registro de empresas denunciadas, aunque en los últimos tiempos esta práctica, ya sea a coste cero o con un gasto mínimo es frecuente.