Durante este articulo queremos hablar sobre diferentes cuestiones legales, pero sin dejar atrás el carácter organizativo que tiene, se exceden en el ámbito de la protección y se introduce en el mundo de la gestión de riesgos de compliance.
La gestión sobre la incertidumbre se materializa según los incumplimientos de determinadas obligaciones normativas o en el compromiso voluntario o contractual adquirido, y que éstos a su vez conllevan un perjuicio para las empresas. No obstante, como veremos a continuación, el camino nos conduce de forma irremediable, al ámbito de la protección de datos.
Es recomendable comenzar por la exposición desde una perspectiva mucho más amplia y general, además se debe progresar descendiendo sobre ámbitos concretos de obligaciones como puede ser el cumplimiento en materia de protección de datos. Compliance es un concepto qconocido desde hace algunos años, también lo son los métodos que se deben seguir en las organizaciones para conocer y cumplir con sus obligaciones, y por lo tanto, se consiguen mitirgar los riesgos de incumplimiento, ya sean las obligaciones de carácter fundamental que se derivan de las imposiciones legales en diferentes materias como pueden ser la protección de datos, la prevención de blanqueo de capitales, la lucha contra el fraude y la prevención de la corrupción, además de muchas normativas sectoriales.
Existen obligaciones que la empresa deben asumir de forma voluntaria, entre las que se encuentran los diferentes estándares de gestión con los que acceder a diferentes mercados o marcar la diferencia con los competidores en la contratación pública y privada, finalmente, existen compromisos voluntarios que se encuentran asociados a la ética, la responsabilidad social y las buenas prácticas empresariales.
En el compliance, las normas ineludibles se las conoce como requerimientos y al resto como compromisos. Lo cierto es que tal distinción es mucho más sencilla en teoría, pero en la realidad muchos de los compromisos se han convertido en auténticos requerimientos para acceder a diferentes mercados, de ahí que parezca mucho más razonable proponer a su vez una división bipartita en la que se encuentran compromisos semivolutarios, es decir, aquellos que la empresa asume con el fin de competir en el mercado, y aquellos compromisos que son voluntarios, esto se asume al pensar que no existe un impacto tan relevante en su actividad ordinaria.
Un buen ejemplo de compromisos son los de naturaleza semivoluntaria dentro del ámbito de la protección de datos, utilizando las referencias para utilizar el Reglamentos Europeo de Protección de Datos vigente, lo que hace que se incremente el valor de las certificaciones en el ámbito de la protección de datos.
En el compliance las normas ineludibles se las conoce como requerimientos.
En el artículo 42.1 establece que “los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos, de sellos y marcas de protección de datos”. Se desprende perfectamente de la redacción en el texto legal de las certificaciones que no resultan de la normativa obligatoria, aunque no asumirlas puede conllevar que quede fuera de determinados mercados, o ser incapaz, llegado el caso, de probar la existencia de mecanismos de prevención y control frente a los incumplimientos.
Por su parte, y aunque orientado al sector bancario, resulta de perfecta aplicación a otros ámbitos como la protección de datos los riesgos de compliance que se definen según el Acuerdo de Basilea II como el riesgo al que se expone una entidad por el incumplimiento de leyes, reglamentos y normas, además de los acuerdos de autorregulación en políticas de empresa y códigos de conducta aplicables a las actividades y que pueden generar sanciones legales o regulatorias, pérdidas financieras o de reputación.
Se establece que va mucho más allá de cumplir con las normas o con las obligaciones. Es necesario que se establezca una cultura de compliance en las empresas que se relacionan con el compromiso de la empresa.
El compromiso debe provenir del propio órgano de gobierno, con la implementación de diferentes metodologías para minimizar el riesgo de incumplimiento, que se encuentra dotados de diferentes personas que cuentan con autonomía en cuanto a responsabilidad y control para el mantenimiento de la estructura de compliance que sea adecuada para conseguir sus objetivos.
Entre otros referentes en la materia, existe una gran diferencia entre generar una cultura de compliance o limitarse a cumplir con las obligaciones. Las siete señales de un sistema de compliance ineficaz, las cuales son:
- Falta de disciplina en relación con el control de los flujos financieros.
- Exceso de enfoque legal en las cuestiones de compliance.
- Diseñar el sistema basado en mínimos legales.
- Confundir la eficacia basada en las métricas con el número de píldoras formativas o el grado de asistencia a las formaciones.
- Centrarse más en las medidas de control concretas que en la gestión al sistema en su conjunto.
- Basar el sistema en el cumplimiento de una normativa en lugar de que esté basado en generar una cultura.
- Pensar que todo el cumplimiento se reduce a la hora de contar con una política de regalos.
Tomado de: https://www.isotools.org/