En todas las organizaciones —desde pequeños negocios hasta grandes corporaciones— existe un punto común: alguien tiene que encargarse de la protección de datos personales, pero no todas las empresas lo gestionan igual, algunas avanzan, otras sobreviven… y otras simplemente se estancan.
Este blog es una radiografía honesta, cruda y sin maquillaje, de las distintas formas en las que he visto como que se gestiona (o se deja de gestionar) el cumplimiento de la Ley de protección de datos personales y si te identificas con alguna, tal vez sea momento de revisar cómo estás llevando este tema dentro de tu empresa.
1. La gestión del sujeto obligado que sí quiere hacer las cosas bien
La mejor versión posible. En esta empresa hay alguien que realmente entiende lo que significa trabajar con datos personales, no solo porque se lo asignaron, sino porque le interesa, le gusta, estudia, pregunta y busca apoyo cuando lo necesita. Esta persona sí lee el material que se le comparte, las políticas, manuales o guías que se crean, sí organiza la documentación y gestiona las matrices de riesgos, sí gestiona la formalización de procesos, sí pregunta cuando tiene dudas o pide ayuda para avanzar, sí se interesa por atender y cumplir a tiempo con los reportes ante la entidad de control, sí revisa los contratos, clausulas, acuerdos y sí impulsa la gestión y las acciones necesarias para avanzar.
Este gestor puede que no sea experto en todo, pero tiene intención y disciplina y eso ya marca la diferencia entre cumplir… y no cumplir.
2. El encargado que tiene interés… pero mil funciones encima
La persona que quiere, pero no puede. Aquí también hay buena voluntad, pero el problema es otro, le asignaron protección de datos, pero también le asignaron lo administrativo, lo comercial, lo de servicio al cliente, lo de archivo, lo de talento humano y lo de tecnología. Hace lo que puede con el tiempo que le queda, corre, responde, sube documentos, revisa y trata de mantener el programa con vida, haciendo su mejor esfuerzo donde el desafío no es falta de interés, sino falta de tiempo.
Este gestor trabaja como puede y con el poco tiempo que tiene… pero llega el momento en que no da más y el cumplimiento empieza a desmoronarse por simple sobrecarga.
3. El encargado al que no le interesa, no lo valora y no ve el riesgo
El peor escenario. Este es el caso donde el tema de protección de datos cae en manos equivocadas, aquí es donde la asignación se llevo a cabo en una conversación como esta: —“Encárguese usted de esto”. —“¿Eso qué es?” —“Un tema ahí de documentos, pero nada grave.” Y ahí empieza el problema. Este es el típico caso del gestor que No revisa nada, No pregunta nada, No reporta nada, No actualiza nada, No le ve importancia y no entiende por qué o para qué toca hacer esto.
Este gestor es el que hace que los programas se queden en ceros durante años, sin documentos formalizados, sin evidencias reales, sin ajustes en los procesos, sin formalizar nada, y sin controles. Y cuando llega la Entidad de control… no hay por dónde defenderse.
4. El gestor que quiere avanzar… pero nadie le colabora
La frustración en su máxima expresión. Aquí la persona designada tal vez sí quiere trabajar, tiene claridad, tiene metas, tiene planes, tiene tareas, pero en cada paso que da para avanzar en el cumplimiento, todas o la mayoría de áreas de su organización le dice lo mismo: —“Eso lo revisamos después”. —“Hay que pasarlo por aprobación”. —“La gerencia lo analizará”. —“Déjalo ahí mientras tanto”. Las áreas no responden, los líderes no entregan información, nadie prioriza nada y la organización termina atrapada en una cadena eterna de aprobaciones y silencios eternos.
Llega un día en el que el gestor simplemente se cansa de tener que estar implorando o recordando la colaboración y se queda el programa en pausa. No por falta de voluntad, sino por falta de respaldo interno.
5. El gestor que quiere que le hagan todo (y después culpa a otros)
El que espera magia. Este perfil existe más de lo que la gente imagina, la persona que debería liderar o por lo menos apoyar la gestión y el cumplimiento no quiere mover un dedo, esto significa que: —No entrega información, —No responde solicitudes. —No llena formatos. —No gestiona aprobaciones. Pero cuando alguien pregunta cómo va el tema o porque no avanza, dice: —“Es que no me ayudaron”, —“Es que no entendí”, —“Es que no me mandaron todo”, —»Es que no sabía», —»Es que no han estado pendientes de mi». Quiere y espera que otros o las herramientas hagan absolutamente todo, incluso lo que solo la empresa puede hacer o lo que a él le corresponde mínimamente hacer.
Este tipo de gestor es peligroso porque crea una falsa seguridad: “yo creí que ya estaba listo” y cuando la Entidad de control pide pruebas… no hay ninguna.
6. La gestión reactiva del “solo hago algo cuando llega un requerimiento”
La más costosa. Hay organizaciones donde la protección de datos se activa únicamente cuando llega un correo de la SIC, un incidente, una queja o una auditoría externa y el resto del año un silencio completo. No hay respuesta a correos, No hay asistencia a reuniones, No hay retroalimentación, nadie habla del tema, no hay entrega de evidencias, no hay tiempo para hacer las cosas, sin embargo, en el momento en que aparece un radicado, una resolución o un requerimiento de la entidad de control con plazo de 10 días, es cuando allí si todo el mundo corre, todo se vuelve urgente, todos preguntan qué hacer y todos podían hacer las cosas.
Este tipo de gestión, también es peligrosa porque el tiempo perdido ya no vuelve y no siempre va a ser posible demostrar cumplimiento real cuando las cosas se implementan 10 días antes.
7. La gestión del “copiar y pegar”
Cuando cumplir se vuelve un checklist sin sentido. Esta empresa sí hace cosas… pero mal, copian la información de un lado a otro, ya sea porque la obtienen de internet, o de otra empresa parecida a la suya, actualizan la información sin verificar nada, hacen reportes ante la entidad de control por cumplir y sin saber si quiera que estan reportando, publican, cargan o reportan formatos viejos o documentos que no reflejan la realidad de su organización, se dedican a hacer clic en el botón “guardar” sin revisar siquiera el contenido, con lo cual cumplen en apariencia, pero no en realidad.
En este tipo de gestión el cumplimiento se desmorona cuando la entidad de control cualquier otro revisa a fondo… pues no se tienen o sabe como sustentar absolutamente nada.
Reflexión final
No todas las empresas gestionan la protección de datos igual. Y, siendo sinceros, la diferencia entre una gestión seria y una gestión improvisada se nota desde el primer requerimiento de la SIC. La protección de datos personales no es un favor, ni una carga burocrática, es una responsabilidad legal, operativa y ética frente a quienes confían su información en tus manos.
La pregunta para tu empresa es simple: ¿En cuál de estas formas de gestión estás hoy? Y más importante aún…¿En cuál deberías estar?
Si el programa de protección de datos de tu organización está detenido, saturado, desbordado o simplemente no ha logrado avanzar, este es el mejor momento para retomar el control. Dejar pasar el tiempo solo hace más difícil y costoso ponerse al día.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
