Jornadas Técnicas: Compliance + LOPD / RGPD

En Septiembre, con fecha y hora aún por confirmar, la Asociación Empresarial de Las Encartaciones – Enkarterri Group, celebrará la Jornada Técnica en torno a temáticas de eminente interés en el mundo empresarial.

Las inscripciones se abrirán a primeros de septiembre, e irán especialmente dirigidas a las empresas asociadas.

Algo sobre el Compliance …

El compliance o cumplimiento normativo consiste en establecer las políticas y procedimientos adecuados y suficientes para garantizar que una empresa, incluidos sus directivos, empleados y agentes vinculados, cumplen con el marco normativo aplicable. Dentro del marco normativo no han de considerarse únicamente las normas legales, como leyes y reglamentos, sino que también deberían incluirse en el mismo las políticas internas, los compromisos con clientes, proveedores o terceros, y especialmente los códigos éticos que la empresa se haya comprometido a respetar, pues existen multitud de casos en los que una actuación puede ser legal pero no ética.

Esta función es llevada a cabo mediante cinco conjuntos de actuaciones, que han de coordinarse entre sí y planearse cuidadosamente:

1. Identificación: se han de identificar los riesgos a los que se enfrenta la empresa, teniendo en cuenta su severidad e impacto y la probabilidad de que se den.
2. Prevención: conociendo los riesgos, se debe diseñar e implementar procedimientos de control que protejan a la empresa.
3. Monitorización y detección: la efectividad de los controles implementados debe ser supervisada, informando a la dirección de la exposición de la empresa a los riesgos, y realizando las auditorías periódicas que sean precisas.
4. Resolución: cuando pese a todo surge algún problema de cumplimiento, debe trabajarse para su solución.
5. Asesoramiento: los directivos y trabajadores deben recibir toda la información necesaria para llevar a cabo su trabajo de acuerdo con la normativa vigente.

Tradicionalmente, estas funciones recaían en los departamentos de asesoría jurídica, al menos a nivel general. Pero debido a la mayor complejidad regulatoria han surgido personas que se especializan en esta función, ya sea desde dentro de la empresa como asesor in-house, o bien como parte de compañías especializadas en compliance. De ahí que los grandes despachos de abogados y firmas de auditoría estén potenciado sus áreas de compliance para prestar esta función a las compañías que lo requieran. A su vez, dentro del organigrama de la empresa, los encargados de compliance pueden trabajar de forma centralizada, diseñando y controlando las actividades de toda la organización; o de forma descentralizada, integrándose en las distintas áreas de la empresa de una forma más autónoma, sin perjuicio de que exista una persona supervisora a nivel general.

Resulta importante que estos departamentos, ya sean centralizados o descentralizados, internos o externos, se articulen e implementen de manera que se les dote de la suficiente independencia y autoridad como para poder dirigir indicaciones a todas las esferas de poder de la empresa, y de los recursos suficientes para que su trabajo sea efectivo y no meramente ilusorio, evitando convertirse en un departamento con efectos únicamente publicitarios para terceros. Esto responde a considerar el compliance como un elemento generador de valor en la empresa evitando riesgo y contribuyendo a una mejor cultura empresarial, y no únicamente como un gasto.

Algo sobre la nueva RGPD …

GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.

El reglamento entró en vigor el 24 de mayo de 2016, pero es de obligado cumplimiento desde el 25 de mayo de 2018.

Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva ley (está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la aplicación del Reglamento. Esta nueva ley no puede contradecir a GDPR, pero sí que definirá mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo)

Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.

De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.

¿A quién afecta?

Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Es decir, que Apple o Amazon (por poner algunos ejemplos) también están sujetas a ella.

El responsable del área internacional de la Agencia Española de Protección de Datos (AGPD), Rafael García, asegura que GPDR da más derechos y mecanismos a los usuarios sobre sus datos. Según su valoración, hay tres ideas generales: habrá nuevas herramientas para controlar los datos (ya que la información tiene que ser más amplia, accesible, directa, comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da más poder a las agencias de protección de datos de cada país.

En definitiva, las empresas deben ser conscientes de que si manejan datos de usuarios, y otros tipos de datos no anonimizados, están sujetas a obligaciones.