En qué nos equivocamos al formar en protección de datos a toda nuestra plantilla

Una formación en protección de datos tiene que tener en cuenta la necesidad de acceder de modo integral, y a la vez capilar, al conjunto de la organización. En este sentido, las necesidades varían en virtud de la condición concreta del puesto y el perfil de los usuarios.

Los modelos tradicionales de formación continuada voluntaria resultan altamente ineficientes cuando su destino es la formación estratégica al conjunto de la plantilla. Su primer hándicap deriva de la capacidad de oferta de plazas y de los propios procedimientos de selección del personal. En la práctica, y en el mejor de los casos, únicamente pueden ofrecerse unos centenares de plazas/año. Por otra parte, se cursan de modo asistemático desde un punto de vista organizativo. Ello implica que determinadas personas sin competencia directiva regresen a unidades en las que podrán contrastar situaciones que contradigan lo aprendido con un enorme potencial para generar en el corto plazo relaciones profesionales tóxicas.

Por otra parte, en la mayor parte de formatos, -presenciales semipresenciales u online-, se opta por procedimientos basados en los modelos tradicionales de enseñanza del Derecho por lo general altamente ineficientes. Conocer el articulado de una normativa compleja, no mejora generalmente en nada las capacidades de un personal del que, en la práctica, se requiere que apliquen un conjunto de conductas muy específicas y sean capaces de contactar con las figuras a las que se atribuye el soporte en la organización, como el delegado de protección de datos.

Además, las fórmulas de aprendizaje tradicional no “empoderan” al usuario. Y la realidad material de las políticas de protección de datos personales obligan a un compromiso activo. “No protegemos datos, protegemos personas”. El usuario de nuestros sistemas de información debe ser capaz de entender cómo una carencia de calidad en los tratamientos puede afectar al derecho a una beca o subvención, como una inadecuada publicación en internet puede poner en riesgo a un menor o generar discriminación, o los costes de una brecha de seguridad.

En nuestro grupo de investigación en el Instituto de Robótica hemos trabajado y diseñado un modelo de autoformación estructurada en módulos de corta duración soportados con múltiples ejemplos a medida, y con recomendaciones de visionado de materiales de apoyo en formato multimedia.

El enfoque se basa en la respuesta a preguntas y curiosidades del usuario. ¿Que signfica e implica la transformación digital¿ ¿Para qué sirve  la  seguridad? ¿Por qué tratamos los datos? ¿Cuándo podemos tratarlos? ¿Qué derechos tenemos en protección de datos ¿ ¿Cómo debemos tratar los datos?

Se incluyen como, es obvio, secciones con materiales a medida de la organización, no es lo mismo un entorno local, que un sistema de salud o una universidad. Siempre se requiere un ajuste en los ejemplos de un modelo que renuncia al acartonamiento jurídico, y la elaboración de un módulo ajustado al perfil funcional de los destinatarios.

Las primeras pruebas del modelo en una diputación han ofrecido resultados esperanzadores. Así en una muestra de 100 encuestas, un 98,81 % de los encuestados consideró que los objetivos y contenidos guardaban relación con su puesto de trabajo, y un 94,05 % que eran aplicables o totalmente aplicables. Un 96,43 % consideró adecuados los materiales formativos y un 89,29 % que la acción formativa era buena o excelente. Y un 95 % de los usuarios consideraron adecuado y facilitador el uso de un entorno virtual. La experiencia alienta y compromete nuestra investigación y se trasladará en breve a entornos específicos en la universidad, la salud, y la administración local.

Sin embargo, no es suficiente. Es necesario desarrollar una estrategia multinivel que estratifique la formación en niveles:

1.-El Consejero Delegado y su equipo, los Gobiernos, Consejos de Gobierno o dirección, los miembros de las corporaciones locales.

Si el liderazgo de la organización no se compromete con una formación en esta materia difícilmente la protección de datos personales permeará el conjunto de la organización. No se trata de una formación de alto nivel, pero tampoco de la formación destinada al conjunto de los usuarios. La gestión del cambio que plantea esta materia, obliga a una formación estratégica ordenada no sólo a conocer lo básico, sino también a entender la protección de datos como inversión, -y a poner en valor sus retornos-, a interiorizar la idea de la protección de datos desde el diseño y por defecto en el diseño de negocio y los procesos… a entender que afrontamos procesos de gestión del cambio.

2.-Los cuadros intermedios.

Necesitamos formar a cuadros directivos intermedios. No se trata de convertirlos en absoluto en asesores expertos en materia de protección de datos. Buscamos permitirles asumir responsabilidades de alto nivel a la hora de tomar decisiones en la materia. Se trata de que los cuadros directivos, sean capaces de conocer la regulación con un cierto grado de detalle, lo que no les convierte en absoluto en asesores expertos en materia de protección de datos. Sin embargo, debería permitirles asumir responsabilidades a la hora de ejecutar  decisiones en la materia. Les ofrece la capacidad de desplegar criterios de cumplimiento normativo y seguridad básica, siendo capaces desde este punto de vista de gestionar cualquier tratamiento de la información, de resolver los conflictos más habituales y de identificar aquellos supuestos en los que se requiere de una asistencia especializada de alto nivel.

Esta estrategia permitirá sin duda que estos cuadros operen como correas de transmisión que aseguren que las recomendaciones del delegado de protección de datos y del responsable de seguridad, y que las decisiones del responsable del tratamiento se trasladen a la realidad de modo eficaz. Asimismo, les convertirá en usuarios cualificados capaces de transmitir y reportar incidencias o nuevas necesidades.

Esta estrategia multinivel, se completa en el plano del delegado de protección de datos y la formación orientada a procesos específicos a las que otro día dedicaremos espacio. Baste en este post con acreditar cómo es posible diseñar modelos de formación de alta calidad, estratégicamente orientados a casos y perfiles, y créanlo, sin convertirlos en una estomagante pesadez jurídica. Y, sin abusar de la cita normativa… como en este artículo, ¿no les parece?