La formación en privacidad un reto personal y colectivo en el que no todo vale.

Hace unos días tuve oportunidad de reflexionar y compartir en privado con las y los profesionales de la Asociación Profesional Española de Privacidad cierta inquietud que me causaba la sentencia Safe Harbor. El momento de zozobra que provocaba marcaba una delgada pero precisa línea de frontera entre profesionales. Los formados con herramientas y capacidades se arremangaron rápidamente y se pusieron a estudiar mientras otros pedían criterio. Aprovecho aquí para compartir públicamente y a título individual, aunque con cierto engorde, la reflexión que aquello me planteó.

Las sentencias, y las previsiones de futuro en el desarrollo normativo, apuntan a una legislación cada vez más compleja y especializada. Todos sabemos en qué país vivimos y cómo en determinados entornos no se valora en absoluto la protección de datos personales y se suele confundir con la inscripción de los ficheros o con copiar-pegar una cláusula informativa. Es ese un país de blogs vacíos de contenido, de arribistas saluda-directores, y de ofertas de servicios en el que al parecer el software de gestión incorpora y sustituye la sapiencia de la que el profesional carece. En ese país de charanga y pandereta a uno lo hacen especialista en dos horas o en veinte, en no muchas más, e incluso pretendidos gurús le expiden un certificado de competencias. Ese modelo no es sino una estafa piramidal del conocimiento que acabará perjudicando a los asesorados y a los derechos fundamentales de los clientes de éstos, y en el que el nuevo experto sustituye a golpe de chequera lo que en realidad debería costar tiempo de estudio, esfuerzo y dedicación.

Sin embargo, el futuro es otro muy distinto y en ese futuro no habrá espacio para los que no sean verdaderos profesionales. Y será diferente, primero por razones de orden material y tecnológico. En menos de cinco años el mundo del ficherito de personal-nóminas, clientes-marketing-publicidad, y ese absurdo invento del “fichero web” serán algo ridículo. En un universo de PYMEs hiperconectadas, de internacionalización del negocio vía internet, de trabajadores deslocalizados prestando servicios BYOD, de monitorización de redes y productos (IOT) y de análisis exhaustivo de los datos vía Big Data, no habrá lugar para personas no formadas. Las empresas se jugarán demasiado como para confiar en cualquiera. Esta es la gran lección que nos han dado a todos los Sres. Costeja y Schremps. En poco tiempo la presión para el cumplimiento en privacidad vendrá desde abajo, desde el cliente, desde las asociaciones de consumidores. Y por lo que uno va sabiendo y viendo sobre la calidad profesional bastantes PYME, y singularmente las amigas del Coste Cero, no les aguantarán ni un asalto.

En segundo lugar, la presión de la exigencia normativa será máxima. Cuando el Reglamento se apruebe entrará en juego un nuevo concepto la llamada “accountability” y con ello nuevas fórmulas de responsabilidad. Y esto significa, sea o no obligatorio el DPO, que cumplir con la norma obligará a documentar y prever “cómo” se cumplirá. Y en ese contexto la estrategia de la mera inscripción y la entrega de un fichero proforma con un documento de seguridad calcado del anterior ya no servirán. Y sin ánimo de ser agorero, el día en el que un cliente sea sancionado por carencia de “accountability” habiendo confiado en nuestros servicios, si es medianamente inteligente nos demandará por los daños causados.

Vamos a tener la ineludible responsabilidad de apostar por un conocimiento profundo de lo que hay y de lo que vendrá. No hay un solo Derecho a la protección de datos, nuestro ámbito tiene adjetivos como “solvencia”, “sanidad”, “relaciones laborales”. La persona que piense que todo se resuelve con un diagnóstico asistido y sin un conocimiento profundo de la materia se engañaría a si misma y a sus clientes.

¿Pero que es un conocimiento profundo? ¿Qué es una buena formación? Desde luego es extraordinariamente fácil definir que no es una buena formación. No se adquiere una buena formación asistiendo a jornadas sin sustancia realizadas ad maiorem gloriam homini et negotii, al servicio de intereses muy concretos. Entiéndaseme bien no es esta una descalificación global de Jornadas y Congresos sino de un modo de entenderlas como pura galería y, sobre todo de un modo de asistir a ellas a la búsqueda de una suerte de panacea universal. Si algo me han demostrado personalmente muchos asociados de APEP, y singularmente nuestros colegas catalanes con su modelo Diálogos-TIC, es que en los encuentros de un día la preparación del público asistente es crucial para que el esfuerzo sea rentable en términos de profundización en el conocimiento. Les animo a ver los vídeos, emociona ver la pasión y la intensidad de un colectivo de profesionales entregado a desmenuzar hasta el último entresijo de problemas que hay que resolver.

Tampoco puede definirse como un proceso de gestión del conocimiento lo que podríamos definir como cursos-escaparate. El elemento esencial para un curso de esta naturaleza es el cebo. Suele ser, ¡cómo no, un alto cargo! Y si hay tres o cuatro mejor. En este sentido quién contrata el curso, salvo que lo haga buscando networking, debe ser consciente de lo que compra. En muchos casos el cargo es un político, un gestor, un organizador. Alguien cuya relación con el sector es reciente y cuyo nivel de profundidad en el conocimiento epidérmico. Hay que ser inteligente, y hoy Google ayuda y mucho, verifiquen su currículum y desconfíen de formaciones con mucho cargo y poco experto. Sean serios, los cargos cuando son sólo eso están muy bien en inauguraciones y clausuras, pero no más allá.

Existe un segundo cebo sistemáticamente usado en publicidad: aprenda Vd. privacidad en mil palabras. Si Vd. nos acompaña dos tardes, o nos escucha veinte horas le extendemos un certificado diciendo que Vd. sabe mucho de algo. Seamos serios, sin descender al nivel de la letra que con sangre entra, cualquier persona con dos dedos de frente sabe que el conocimiento implica tiempo, esfuerzo, sacrificio y pruebas objetivas que acrediten las competencias adquiridas. Es posible que en esta sociedad de hedonismo narcisista Vd. pueda y quiera creer en los cursos milagro. Al menos disfrute de la felicidad del autoengaño, no hay resultado sin esfuerzo.

En los últimos tiempos el trabajo en la conformación del modelo APEP ha desarrollado una doble estrategia de formación y certificación. Y hay que ser sinceros, ni una ni otra son fáciles o complacientes y queda mucho camino por recorrer. Por tanto, y quede claro como declaración de principio que no existe un remedio mágico ni la perfección formativa, pero si una constatación: nuestro sector será tan bueno como lo sea el peor de los profesionales, especialmente cuando presente validaciones o certificados. Por ello, nos estamos esforzando en crear un Plan de formación que cubra las necesidades que hemos detectado en el mercado y en las necesidades de los profesionales. Y estamos trabajando para que formación y certificación sean procesos rigurosos, exigentes y sometidos al escrutinio independiente de un Consejo académico que les animo a consultar en nuestra web. No es un esfuerzo fácil, estará jalonado de errores, de resultados formativos variable, pero siempre desde el compromiso con la autocrítica, con un horizonte de calidad, honestidad e independencia.

En futuro próximo, si finalmente lo conseguimos y se plantea la presencia de una figura de DPO, e incluso si no lo logramos aunque desde CEDPO estamos trabajando activamente por ello, el mercado acabará exigiendo profesionales que “acrediten capacidades” y expulsando a aquellos que no se formaron o acreditaron.

Safe Harbor ha sumido a quienes no poseen las herramientas adecuadas en el desconcierto y ha potenciado el liderazgo profesional de los que se formaron y disponen de las competencias. Así de sencillo, así de terrible.