18# El teatro del cumplimiento
Documentos para aparentar, no para funcionar
Otra vez me ha dado por usar un ejemplo musical para hablar de lo legal. Ya van unas cuantas. Esta semana ha sido Aphex Twin. Esa electrónica caótica que parece hecha sin orden, pero que si te quedas un rato descubres que está todo medido al milímetro. Caos con estructura de la mano de un complicado irlandés que sonríe raro. Justo lo contrario que el cumplimiento normativo en muchas empresas.
Desde fuera todo parece correcto. Hay políticas firmadas, evaluaciones de impacto con su portada corporativa, protocolos de seguridad guardados en carpetas que casi nadie abre. Incluso cláusulas redactadas con solemnidad y manuales de resiliencia operativa que suenan a ciencia ficción. Pero rascas un poco y no hay nada. No hay cultura, ni procesos, ni práctica real. Solo papel. Documentación pensada para cubrir el expediente, no para que sirva de verdad.
Cuando ocurre algo, lo que se activa no es el protocolo, es el modo “pollo sin cabeza”. ¿Dónde está el documento? ¿Quién tiene que avisar? ¿Cuál era el proceso? Lo tenía Ana, pero Ana ya no está. Nadie sabe qué hacer. Todo el mundo corre. Se improvisa. Y al final se llama al de IT, como siempre. Así funcionan muchas organizaciones desde hace años. El cumplimiento es algo que se activa cuando hay que mandar algo a un cliente o a un regulador. El resto del año, se finge. Se coloca encima, pero no forma parte de cómo se trabaja. Habría que poner a cargo a un tipo solo para orquestar procesos, pero de verdad verdadera.
Y si no hay una herramienta que obligue, directamente se olvida. Si no hay una casilla que impida avanzar, se ignora. Muchas veces la única fuerza que hace funcionar algo es la amenaza de una sanción. Si no hay multa a la vista, no se hace nada. Es un enfoque reactivo, pobre, y que al final sale caro. Porque no hablamos de despistes menores, hablamos de sistemas enteros montados sobre la apariencia.
Mientras tanto, las normas no dejan de multiplicarse, haciendo un flaco favor a la gestión interna de las empresas. DORA, RGPD, AI Act, guías de la AEPD, nuevas obligaciones cada mes. No da tiempo a digerir una norma cuando ya ha salido otra. El resultado es una mezcla de saturación, desconexión y miedo. Las empresas se bloquean o hacen como que cumplen, esperando que nadie mire demasiado.
Afortunadamente, no todo está perdido. También hay empresas que han entendido que cumplir no es solo evitar sanciones. Es ordenar los flujos de trabajo. Saber quién hace qué y cuándo. Dar seguridad al equipo. Poder reaccionar con criterio y sin pánico cuando pasa algo. En esos casos, el cumplimiento no es teatro: es estructura. Es una red que sostiene, no un disfraz que se cae al primer susto.
Porque cumplir de verdad no es tener un PDF bonito. Es saber qué hacer cuando todo falla. Que el equipo tenga claro el procedimiento y lo aplique desde el principio. Que lo haya probado. Que no haya que abrir cinco carpetas ni preguntar por alguien que ya no está. No se trata de hacerlo perfecto. Se trata de tener una estructura mínima, real, operativa. Porque lo demás —los documentos que nadie lee, los contratos que nadie entiende, los procesos que solo existen en teoría— es puro teatro. Y un teatro muy caro.
En este punto del artículo “reflexivo”, porque hace demasiado calor como para sociabilizar, afirmo que, como con Aphex Twin, el caos puede tener su belleza… pero solo si hay algo sólido detrás. Si no, es solo estruendo. Y el estruendo, en cumplimiento, poco recorrido le queda.