Protección de datos y Compliance

Compliance vs RGPD
Compliance vs RGPDLos nuevos cambios normativos introducidos en los últimos tiempos en materia de protección de datos, en un principio por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), y, posteriormente, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPD-GDD), permite observar importantes similitudes entre la regulación en esta materia y otros sistemas de Compliance.
ANÁLISIS DE RIESGOS Y EVALUACIÓN DE IMPACTO

El análisis de los riesgos relativos al tratamiento nos permite controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.

Una vez evaluado el riesgo, el artículo 35 RGPD establece que cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Es decir, en los supuestos en los cuales existan riesgo de incumplir la normativa, se evaluará el potencial impacto que supondría en caso de producirse, en los derechos y libertades de las personas físicas afectadas.

El análisis de riesgos y la evaluación de impacto en materia de protección de datos la podríamos asemejar a la identificación, análisis y valoración de los riesgos penales que se realiza en la primera fase de implantación de un Sistema de Compliance para definir el programa de cumplimiento. Una vez analizados los riesgos y sus consecuencias, debemos establecer y valorar los controles para prevenir o detectar la posible ocurrencia de los mismos.

CANAL DE DENUNCIAS INTERNO

En este sentido, el artículo 24 de la LOPD-GDD promueve la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información. El acceso a los datos contenidos en estos sistemas será limitado exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto.

Dentro de los protocolos de actuación que incluyen la segunda fase del Sistema de Compliance, comprende la definición del funcionamiento de un Canal de Denuncias, que permitirá la realización de consultas y la comunicación de situaciones ilícitas o contrarias al marco ético o a las políticas internas.

DELEGADO DE PROTECCIÓN DE DATOS/COMPLIANCE OFFICER

Dentro de las novedades del nuevo marco legal en protección de datos nos encontramos la aparición de un nuevo órgano de control: el Delegado de Protección de Datos (DPO), figura introducida por el RGPD (artículos 37 a 39) y reforzada en la LOPD-GDD (artículos 34 a 37).

Si atendemos a las funciones de ambos, el DPO se asemeja al Compliance Officer, en los términos recogidos en el Código Penal en su artículo 31bis, al ser un órgano encargado de asesorar, controlar y supervisar el cumplimiento de la normativa.

RESPONSABILIDAD PROACTIVA

El RGPD introduce el Principio de Responsabilidad Proactiva (artículo 5.2) entendiendo que el responsable del tratamiento será responsable del cumplimiento de los principios relativos al tratamiento y, además, capaz de demostrarlo.

La Ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de Capital para la mejora del gobierno corporativo, introduce cambios en los órganos de administración de todas las sociedades entre los cuales que, los mismos, deberán actuar con la diligencia y lealtad debidas y que, además, deberán poder demostrarlo.

En este punto, la diligencia debida en el contexto del Sistema de Compliance podríamos definirla como el adecuado cumplimiento de los requisitos y obligaciones de carácter penal por parte de los grupos de interés, especialmente de los propios miembros de la Organización (proyección interna) y de los socios de negocio (proyección externa).

FORMACIÓN

Dentro de las funciones del DPO y, en cumplimiento del principio de Responsabilidad Proactiva, se encuentra la de supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. La formación y concienciación del personal con acceso a los datos personales se configura, en este sentido, como un pilar fundamental para evidenciar la responsabilidad proactiva.

Dentro del Sistema de Compliance, el proyecto se completa con el diseño y ejecución de un plan de formación y concienciación a los miembros de la organización (Dirección, mandos intermedios, empleados y colaboradores en general). No podrá evidenciarse la idoneidad del sistema si no se lleva a cabo una formación continua adaptada a los roles y circunstancias específicas de cada área, dando a conocer las políticas, procedimientos y canales con que cuenta y las consecuencias de su incumplimiento.

En definitiva, nos encontramos que, con el nuevo marco legal de protección de datos, se han introducido mecanismos de control similares a los de Compliance, detectándose una tendencia hacia la autorregulación de las empresas, en virtud del análisis desde el riesgo, y la supervisión dentro de la organización por parte de figuras autónomas e independientes.

Visita nuestra web e infórmate de cómo implementar un sistema que integre Protección de Datos y Compliance para minimizar el riesgo de incumplimiento normativo en tu organización.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.