Poco a poco se ha ido haciendo hueco en nuestro país el «Compliance». Numerosas empresas ya han implantado este sistema, y otras tantas están en proceso de implantación.
Pero y ¿el resto? ¿Sabemos qué es esto del Compliance?
¿Y cuál es su relación con la protección de datos?
No te pierdas este post si quieres tener más información.
¿Qué es el Compliance?
Compliance, cumplimiento normativo en inglés, es un concepto conocido desde hace algunos años. También los métodos que se deben seguir en las organizaciones para conocer y cumplir con sus obligaciones.
Podemos definirlo como el conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan. Y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.
Con las técnicas de Compliance se pretende mitigar los riesgos de incumplimiento, ya sean:
- obligaciones fundamentales derivadas de las imposiciones legales en diferentes materias como la protección de datos,
- prevención de blanqueo de capitales,
- lucha contra el fraude y
- prevención de la corrupción.
Métodos de Compliance según el RGPD y la LOPDGDD
El modelo de protección de datos contemplado en el RGPD y reafirmado en la LOPDGDD recoge en gran medida similitudes con las técnicas de compliance.
Se transforma el modelo de gestión y protección de los datos personales de carácter reactivo, basado en la inscripción de ficheros ante la autoridad de control, en un modelo de accountability.
A continuación te explico los diferentes modelos de Compliance.
Modelo de responsabilidad proactiva
El RGPD establece que el responsable del tratamiento debe estar obligado a aplicar medidas oportunas y eficaces. Y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento, incluida la eficacia de las medidas.
Estas medidas que deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento. Así como el riesgo para los derechos y libertades de las personas físicas.
Es decir, el responsable, como máximo garante del cumplimiento normativo del modelo de protección de datos, deberá articular tanto medidas organizativas como de funcionamiento que aseguren el mismo. Y además, deberá poder acreditar la conformidad de sus políticas internas con el marco legal.
Como eje de este principio de responsabilidad proactiva, está el Registro de Actividades de Tratamiento en el que se inscribirá toda la información relativa a dichos tratamientos.
Gestión de riesgos
El Compliance se caracteriza por su directa conexión con una adecuada política de gestión de riesgos. Se pasa de una identificación de los mismos al establecimiento de los diferentes instrumentos que resulten necesarios para reaccionar frente a ellos según su graduación.
El modelo de protección de datos y de su privacidad exige una gestión de riesgos inherente a los tratamientos. No sólo deben llevarse a cabo los correspondientes análisis de riesgos, sino también las respectivas evaluaciones de impacto, para valorar la particular gravedad y probabilidad del alto riesgo. Y teniendo en cuenta:
- la naturaleza, ámbito, contexto y fines del tratamiento
- los orígenes del riesgo y
- la gestión de cualquier incidente de seguridad.
Sistema de denuncias internas
El artículo 24 LOPDGDD recoge la configuración de los sistemas de información de denuncias internas, piedra angular de los sistemas de Compliance.
Establece que será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda comunicarse a una entidad de Derecho privado, incluso anónimamente, la comisión de actos o conductas que pudieran ser contrarios a la normativa general o sectorial aplicable.
Para proteger al denunciante deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada. Sobre todo la de la persona que hubiera puesto los hechos en conocimiento de la entidad, si se ha identificado.
Los principios recogidos en este precepto serán aplicables a sistemas de denuncias internas que se creen en las Administraciones Públicas.
Códigos de conducta y mecanismos de certificación
El RGPD apuesta por la promoción de los códigos de conducta como una herramienta destinada a contribuir a la correcta aplicación del marco legal.
En nuestro país estos códigos serán aprobados por la AEPD o, en su caso, por la autoridad autonómica de protección de datos competente.
La posibilidad de adhesión a estos códigos representa la asunción voluntaria de un determinado estándar de actuación. Y, además, la sujeción a la obligación de someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con los tratamientos de datos incluidos en su ámbito de aplicación en caso de considerar que no procede atender a lo solicitado en la reclamación.
Asimismo contempla la creación de mecanismos de certificación como vía para acreditar el cumplimiento en materia de protección de datos. Y de sellos y marcas de protección como herramientas de cumplimiento normativo en las operaciones de tratamiento.
Delegado de Protección de Datos
Ya se ha hablado en varias ocasiones de las similitudes entre el Compliance Officer y el Delegado de Protección de Datos. Ambos se consideran como oficiales de cumplimiento normativo, pero también de asesoramiento.
Se trata de figuras que actúan como órganos de supervisión y que intervienen en las eventuales reclamaciones, según la LOPDGDD.
El DPD se encuentra en una posición más reforzada que el Compliance Officer por el estatuto que legalmente tiene reconocido tanto por el RGPD como por la normativa interna.
En definitiva, las técnicas de compliance, de autogestión de la responsabilidad corporativa, se consolidan en el RGPD y, por extensión, en la LOPDGDD. Y se acompañarán de un severo régimen sancionador, del que están excluidas las Administraciones Públicas.
Esto aconseja una revisión en profundidad del modelo de protección y gestión de datos personales para enriquecer los programas de compliance ya aprobados o los proyectos en elaboración.
¿Tú has adoptado ya en tu empresa los mecanismos de Compliance? No esperes más.