La falta de regulación en nuestra profesión ha provocado que algunas empresas y consultores ofrezcan servicios de dudosa o nula calidad. Recordemos que el cumplimiento de la normativa no es algo puntual, sino que exige un trabajo continuado. Ello implica que tras el proceso de adecuación inicial habrá que definir acciones que han de tener su continuidad en el tiempo. El análisis inicial debe identificar las buenas prácticas pero sobre todo proponer correcciones a aquellas que pudieran no ser adecuadas.
El consultor externo debe conocer tu empresa y debe visitarla físicamente. Una auditoría realizada telefónicamente por una empresa establecida en la península no detectará ciertas deficiencias como puedan ser la existencia de documentación confidencial a la vista, documentación sensible que se arroja a papeleras sin destrucción previa, etc. Por otro lado, si en algún momento tuvieras un problema relacionado con la protección de datos, estoy convencido de que te gustaría sentarte cara a cara con tu consultor y tratarlo, en lugar de llamar a un call-center.
El consultor que contrates deberá estar debidamente formado. No existe ninguna formación obligatoria o exigida por organismo oficial alguno. De hecho, la nueva certificación oficial que apareció con la entrada en vigor del RGPD no es obligatoria, como ha manifestado la Agencia Española de Protección de Datos. No obstante, dicha certificación, algún certificado expedido por alguna universidad española que acredite su conocimiento o similar, acompañados de cierta experiencia en forma de proyectos llevados a cabo, podrían bastar. Por ello, es importante reunirse con aquellas empresas a las que solicitemos una oferta, con el fin de preguntar dudas (muchas, a ser posible) y detectar si la persona que va a hacer el trabajo está debidamente capacitada. Evita solicitar ofertas por mail o telefónicas; tendrás varios precios delante (y probablemente muy diferentes entre si) pero no sabrás quién te está vendiendo un Seiscientos y quién un BMW.
La consultoría cuesta dinero. Debes huir de propuestas low cost, de empresas que ofrecen tarifa plana independientemente del tamaño del cliente o sector en el que opera, o supuestas consultoras que os venderán un software para que vosotros mismos os redactéis los documentos (y encima os cobrarán por dejaros hacer el trabajo…). Qué decir de propuestas en las que nos garantizarán que el trabajo será “gratis” ya que podremos bonificarlo en los seguros sociales al mes siguiente, pero lo que se conoce como “LOPD a coste cero” exige que se trate de manera independiente en una entrada aparte.
Desconfía de empresas consultoras que te ofrecen un certificado de cumplimiento, sello o diploma de ídem únicamente por contratarles. Dichos certificados o sellos no existen con carácter oficial, y por supuesto no tienen validez alguna. El motivo es el que comentaba en el primer párrafo de esta entrada. El cumplimiento no es algo puntual sino continuado en el tiempo. En lugar de un certificado de cumplimiento, exige un contrato de servicios que incluya alguna cláusula mediante la cual la empresa consultora se responsabilice del trabajo realizado y del asesoramiento facilitado, y mejor si lo hace con el respaldo de un seguro de Responsabilidad Civil, pues todos podemos equivocarnos. No obstante, recuerda que aún con el respaldo de un seguro que cubra los posibles daños económicos, una infracción y su sanción publicadas en la web de la AEPD supondrán un daño a la reputación de tu empresa que es mejor evitar. Por tanto, busca un buen profesional.