jueves, 14 de marzo de 2019

¿CÓMO SE RELACIONA EL COMPLIANCE CON LA PROTECCIÓN DE DATOS?


Durante este articulo queremos hablar sobre diferentes cuestiones legales, pero sin dejar atrás el carácter organizativo que tiene, se exceden en el ámbito de la protección y se introduce en el mundo de la gestión de riesgos de compliance.
La gestión sobre la incertidumbre se materializa según los incumplimientos de determinadas obligaciones normativas o en el compromiso voluntario o contractual adquirido, y que éstos a su vez conllevan un perjuicio para las empresas. No obstante, como veremos a continuación, el camino nos conduce de forma irremediable, al ámbito de la protección de datos.



Es recomendable comenzar por la exposición desde una perspectiva mucho más amplia y general, además se debe progresar descendiendo sobre ámbitos concretos de obligaciones como puede ser el cumplimiento en materia de protección de datos. Compliance es un concepto qconocido desde hace algunos años, también lo son los métodos que se deben seguir en las organizaciones para conocer y cumplir con sus obligaciones, y por lo tanto, se consiguen mitirgar los riesgos de incumplimiento, ya sean las obligaciones de carácter fundamental que se derivan de las imposiciones legales en diferentes materias como pueden ser la protección de datos, la prevención de blanqueo de capitales, la lucha contra el fraude y la prevención de la corrupción, además de muchas normativas sectoriales.

Existen obligaciones que la empresa deben asumir de forma voluntaria, entre las que se encuentran los diferentes estándares de gestión con los que acceder a diferentes mercados o marcar la diferencia con los competidores en la contratación pública y privada, finalmente, existen compromisos voluntarios que se encuentran asociados a la ética, la responsabilidad social y las buenas prácticas empresariales.

En el compliance, las normas ineludibles se las conoce como requerimientos y al resto como compromisos. Lo cierto es que tal distinción es mucho más sencilla en teoría, pero en la realidad muchos de los compromisos se han convertido en auténticos requerimientos para acceder a diferentes mercados, de ahí que parezca mucho más razonable proponer a su vez una división bipartita en la que se encuentran compromisos semivolutarios, es decir, aquellos que la empresa asume con el fin de competir en el mercado, y aquellos compromisos que son voluntarios, esto se asume al pensar que no existe un impacto tan relevante en su actividad ordinaria.

Un buen ejemplo de compromisos son los de naturaleza semivoluntaria dentro del ámbito de la protección de datos, utilizando las referencias para utilizar el Reglamentos Europeo de Protección de Datos vigente, lo que hace que se incremente el valor de las certificaciones en el ámbito de la protección de datos.

En el artículo 42.1 establece que “los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos, de sellos y marcas de protección de datos”. Se desprende perfectamente de la redacción en el texto legal de las certificaciones que no resultan de la normativa obligatoria, aunque no asumirlas puede conllevar que quede fuera de determinados mercados, o ser incapaz, llegado el caso, de probar la existencia de mecanismos de prevención y control frente a los incumplimientos.

Por su parte, y aunque orientado al sector bancario, resulta de perfecta aplicación a otros ámbitos como la protección de datos los riesgos de compliance que se definen según el Acuerdo de Basilea II como el riesgo al que se expone una entidad por el incumplimiento de leyes, reglamentos y normas, además de los acuerdos de autorregulación en políticas de empresa y códigos de conducta aplicables a las actividades y que pueden generar sanciones legales o regulatorias, pérdidas financieras o de reputación.

Se establece que va mucho más allá de cumplir con las normas o con las obligaciones. Es necesario que se establezca una cultura de compliance en las empresas que se relacionan con el compromiso de la empresa.

El compromiso debe provenir del propio órgano de gobierno, con la implementación de diferentes metodologías para minimizar el riesgo de incumplimiento, que se encuentra dotados de diferentes personas que cuentan con autonomía en cuanto a responsabilidad y control para el mantenimiento de la estructura de compliance que sea adecuada para conseguir sus objetivos.

Entre otros referentes en la materia, existe una gran diferencia entre generar una cultura de compliance o limitarse a cumplir con las obligaciones. Las siete señales de un sistema de compliance ineficaz, las cuales son:
  • Falta de disciplina en relación con el control de los flujos financieros.
  • Exceso de enfoque legal en las cuestiones de compliance.
  • Diseñar el sistema basado en mínimos legales.
  • Confundir la eficacia basada en las métricas con el número de píldoras formativas o el grado de asistencia a las formaciones.
  • Centrarse más en las medidas de control concretas que en la gestión al sistema en su conjunto.
  • Basar el sistema en el cumplimiento de una normativa en lugar de que esté basado en generar una cultura.
  • Pensar que todo el cumplimiento se reduce a la hora de contar con una política de regalos.


Tomado de: https://www.isotools.org/

MITOS DEL SISTEMA DE GESTIÓN DE LA CALIDAD

La concepción de que un Sistema de Gestión de la Calidad solo supone un aumento de papeleo en la organización es uno de los mitos que podemos encontrarnos.
Cuando nos enfrentamos a la implantación de un Sistema de Gestión de Calidad podemos descubrir que existen numerosos mitos que se refieren a distintos aspectos de este sistema de gestión, así como de otros, y que nos muestran las concepciones erróneas que tiene la organización y que hay que cambiar para que la implantación de esta norma aporte y mejore la gestión de la empresa.

En este post vamos a hablar muy brevemente de dos de estos mitos o falsas concepciones relacionadas con el Sistema de Gestión de la Calidad según la norma ISO 9001, como son la percepción del excesivo papeleo y el de la utilidad de su implantación.

Mito 1: Aumento del papeleo y la complejidad.
No se puede pensar que un Sistema de Gestión de la Calidad es solo papeleo ya que con ello limitamos la utilidad y eficacia de este y perdemos su verdadera identidad.
Muchos empresarios y gerentes, a la hora de mencionarles la implantación de un Sistema de Gestión de la Calidad según la Norma ISO 9001, solo perciben el aumento de papeleo que va a suponer para su empresa. Este es un error muy común y es uno de los mitos que debemos derribar. 

No se puede pensar que un Sistema de Gestión de la Calidad es solo papeleo porque en realidad, y de forma simple, supone indicar en papel todos los procesos y pasos que en la vida real de la empresa se realizan, así como establecer aquellos procesos necesarios para medir y controlar que no existan desviaciones que disminuyan la calidad del producto y/o servicio que ofrecemos a los clientes.

Si no me creen les aconsejo hacer una prueba: prueben a decir uno a uno todos los pasos que sigue su empresa, desde la recepción de la materia prima a la llegada del producto al cliente. Lo más seguro es que en algún momento de esta prueba hayan necesitado la ayuda de un papel para no perderse o no olvidar un paso.

De la misma manera, cuando deseamos controlar que un proceso o una actividad que realizamos funcione correctamente y evoluciona correctamente tomamos anotaciones o parámetros para ver como mejora o empeora y se aplican medidas según los datos que percibimos.

Pues bien, un Sistema de Gestión de la Calidad va a incluir, simplificando mucho su definición, estos papeles o documentos que se generan por separado y en distinto orden para ayudar a la mejora continua de la organización y a su eficiencia y eficacia en la gestión.

De esta forma, debemos olvidar que la implantación de un Sistema de Gestión de la Calidad según la Norma ISO 9001, así como con cualquier otra norma, solo va a aportar papeleo sin concebir el valor que se encuentra detrás de este, es decir, centrar nuestra atención únicamente en la documentación que se genera sin fijarse en los beneficios que aporta, solo nos permitiría tener una visión parcial que impide que percibamos toda la realidad.

Mito 2: Su implantación solo vale para conseguir el sello de Calidad.
El trabajo que realizamos para implantar un Sistema de Gestión de la  Calidad va a darnos una diferenciación de nuestros competidores no sólo en el sello de calidad.
Otro de los mitos más comunes es la utilidad de un Sistema de Gestión de la Calidad según la Norma ISO 9001. En muchos casos, las empresas solo buscan la implantación del Sistema para conseguir el sello de Calidad que les diferencie de sus competidores.

Todas estas empresas están haciendo la parte dura del sistema que es su implantación, pero no se están beneficiando de lo que le ofrece. Es decir, han luchado por documentar todos los pasos, implantar los cambios, etc., y a la hora de recoger los beneficios y las ventajas que le aporta todo el trabajo realizado no lo quieren. Han implantado el sistema a medias.

Esto se debe, en la mayoría de los casos, a un desconocimiento de las ventajas o a la poca implicación de la empresa en el sistema. Por lo tanto, debemos pensar que todo el trabajo que realizamos para implantar un Sistema de Calidad va a darnos una diferenciación de nuestros competidores tanto en el sello como en el hecho de que ya en los seis primeros meses de vida de la norma se simplificará su burocratización y va a detectar fallos y errores que solo significan para la empresa pérdida de tiempo, esfuerzo y, consecuentemente, dinero.

De la misma manera que hemos podido observar en estos dos aspectos de los que muchas organizaciones tienen una concepción errónea existen muchos más que abarcan todos los campos tanto del Sistema de Gestión de la Calidad según la Norma ISO 9001 como de otras normas como la ISO 14001, la ISO 27001, ISO 45001, ISO 27001, etc.
La concepción de que un Sistema de Gestión de la Calidad solo aportar papeleo es una de los mitos que debemos derribar para que la implantación sea un éxito.
Tomado de: https://www.sbqconsultores.es