Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

¿Cómo encajan el cumplimiento normativo y la tecnología? (I)

¿Cómo encajan el cumplimiento normativo y la tecnología? (I)
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
17/10/2016 06:55
|
Actualizado: 17/10/2016 00:23
|

En esta noticia se habla de:

En el desarrollo y vertebración de cualquier proyecto de “cumplimiento normativo”, tenga o no una finalidad específica del «compliance» de naturaleza penal, deben seguirse inicialmente una serie de pautas, que hacen referencia a multitud de cuestiones que deben ser atendidas por las personas jurídicas en general, y por las empresas en particular, en aras de los compromisos éticos y jurídicos que tienen contraídos con la sociedad en la que desenvuelven su actividad.

En este sentido, es importante dar sentido a los procesos de cumplimiento normativo asentándolos en valores éticos y de responsabilidad social empresarial.

Hoy en día, por todos es conocido lo cambiante de la legislación positiva, ya tenga un ámbito general o sectorial, y por ello es importante que los valores que encarnan dicha responsabilidad empresarial (derechos humanos, normas anticorrupción, igualdad de género, normas anticorrupción, etc.), que son estables y no cambiantes sirvan de soporte a todo ejercicio de «compliance».

El sistema de cumplimiento debe constituir una de las bases esenciales en las que cualquier empresa establezca y afiance el compromiso institucional de conducir todas sus actividades y negocios conforme a estrictos cánones de comportamiento ético.

La función de cumplimiento normativo en cualquier tipo de empresa, se dedique ésta a la actividad negocial de que se trate en cada caso, debe encontrarse siempre alineada con dichos valores, y con las principales declaraciones nacionales e internacionales, en línea con los principales principios normativos reconocidos en los mercados, vertebrando su actividad global en torno a: la promoción de políticas y procedimientos, la difusión y formación en materia de cumplimiento y la identificación, evaluación y mitigación de eventuales riesgos de cumplimiento, entendidos como aquellos que afectan en cada empresa a las nuevas tecnologías, y de manera singular, a la protección de datos de carácter personal, entre otras materias que integran el universo «compliance», en este caso, de carácter tecnológico.

Esta función de cumplimiento es especialmente relevante en el ámbito del uso de herramientas y demás instrumentos de carácter tecnológico, y en dicho entorno la misma debe abarcar tanto las normas de carácter general o trasversal (v.gr. protección de datos de carácter personal), que afectan a cualquier tipología de negocio, como en la normativa específica que regula el uso de herramientas y tecnología con carácter vertical, de manera específica para un ámbito de negocio concreto y determinado.

Muchas son las cuestiones a considerar, y que vinculan el ejercicio del «compliance» a la exigencia de la observancia de las normas, a la responsabilidad empresarial en el funcionamiento de la actividad, y todo ello con relación a las limitaciones o condicionamientos que establece la normativa vigente en cada caso, y en cada momento, a los efectos de poder incorporar la tecnología a los diversos ámbitos productivos o de actividad.

IDENTIFICACIÓN DE LAS NORMAS

Un primer paso a llevar a cabo, es el que hace referencia a la identificación de las normas que en cada caso van a ser de aplicación en el uso de las tecnologías emergentes que la empresa quiera utilizar en su día a día, determinando las limitaciones que la normativa vigente establece para vincular esas nuevas herramientas tecnológicas con la actividad de negocio pretendida.

Consecuentemente con ello, un factor que tiene una singular influencia es el que hace referencia a aquellas empresas que interactúan en diferentes mercados, o que le son de aplicación diversas legislaciones en función de las características especiales de su operatividad, y que lógicamente en su planificación de actividad tienen que tomar en consideración la diversa normativa de los distintos Estados que le va a ser de aplicación en cada momento.

La concreción de la normativa aplicable, necesita de manera complementaria, que la empresa proceda a su vertebración interna, que regule de una manera científica, objetiva y aséptica su funcionamiento, y lo que es más importante, que le libre de personalismo o subjetivismos, que, en ningún ámbito de actividad, raramente suele aportar un factor competitivo relevante.

En este aspecto, las nuevas tecnologías no son, y no pueden constituir una excepción. Las personas jurídicas necesitan unas reglas de juego claras y predeterminadas con relación al uso de las herramientas y de los medios tecnológicos a nivel interno, puestos a disposición de los trabajadores.

Un ejemplo muy expresivo de ello, lo encontramos en lo que atañe al uso del correo electrónico a nivel corporativo, y la tolerancia que se efectúa con relación al mismo con relación a la privacidad. Al hilo de ello, la empresa debe definir si existe o no expectativa alguna de privacidad en el uso del mismo, e informar a todos sus empleados de formas comprensiva y suficiente mediante el uso de los canales adecuados, de las reglas concretas y particulares que van a regir, precisamente, el uso y el empleo de dichos mails corporativos.

Sólo de esta manera, la empresa podrá prevenir y anticiparse en la detección de usos que puedan ser irregulares y que, al mismo tiempo, conlleven prácticas poco o nada éticas, o incluso delictivas, en el uso de sus herramientas de carácter tecnológico.

DEFINICIÓN DE LAS POLITICAS INTERNAS

Esta vertebración normativa se consolida mediante una definición adecuada de las políticas internas que desarrollen en cada momento y circunstancia, la aplicación en el ámbito interno de la empresa de la normativa vigente de carácter general o específica para una rama de actividad negocial concreta y determinada.

En este punto, v.gr. tienen especial transcendencia la determinación de la normativa que las empresas lleven a cabo en materia de privacidad. El papel de los datos como motor de la economía constituye una realidad objetiva e innegable ya en la actualidad, que es aceptado por todos los operadores jurídicos y económicos.

Así, la vertebración regulatoria que una empresa lleve a cabo a nivel interno, no sólo va a constituir un motor de la actividad que la misma desarrolle, sino que será una fuente principal de transparencia, y de confianza con relación al consumidor, que son los valores actualmente más demandados por estos.

En ocasiones, no es difícil observar como en las políticas internas de las empresas existen normas a veces contradictorias, que poseen un alto potencial de conflicto, y que responden a directrices a veces ciertamente trasnochadas y si no obsoletas.

Y otras veces, por el contrario, la existencia de normativa no constituye el principal problema, la cuestión estriba en que es la propia empresa la que no la respeta suficientemente sus propias normas, provocando con ello, novaciones o transformaciones de hecho de la norma, que encuentra su fuerza no en la letra que la compone, sino en los actos cotidianos que la respaldan.

Volviendo al ejemplo del correo electrónico, es frecuente encontrar casos en los que la política interna de la empresa aleja cualquier expectativa de privacidad en el uso del mismo, y, sin embargo, desde el primer momento de la aprobación de la norma, se ha permitido dicho uso privado, sin la existencia de controles o limitaciones algunas que lo impidan.

Al final, el resultado consiste en el reconocimiento de una norma o política interna de carácter limitativo, y al mismo tiempo, una costumbre que, por el uso inveterado de prácticas, afirma y ratifica justamente lo contrario.

El problema, definitiva, surge para la propia empresa, que, ante una situación de conflicto, difícilmente puede utilizar el argumento basado en la norma, al haber sido esta novada, como ha quedado dicho, por el uso contrario tolerado y permitido por la propia organización que ahora evidencia el error cometido.

IDENTIFICAR LOS PROCESOS

En otro orden de ideas, dentro de la planificación normativa que afecta a las nuevas tecnologías en el ámbito del cumplimiento normativo, se hace necesario identificar claramente los procesos, los servicios y los productos afectados por la legislación existente sobre la materia.

En multitud de ocasiones, dichos procesos, productos o servicios son víctimas de las tensiones existentes en la propia empresa sobre el alcance, la finalidad, el uso o el significado que los mismos deben tener.

Dichas tensiones son, en la mayoría de los casos, fruto de los intereses manifiestamente contrapuestos entre las áreas comerciales, o las de negocio, y aquellas que deben fundamentar su actuación en el cumplimiento de la norma, y a veces, ya que sería injusto decir siempre, en el respeto a determinado valores éticos. Por tanto, es preciso que tales productos, los servicios, y dichos procesos se ajusten en su diseño y configuración, así como en su producción y venta, a las especificaciones legales y técnicas, que en cada caso les sean de aplicación.

En estos planteamientos, y el argumento de la necesidad de proceder al cumplimiento y respeto de las normas jurídicas en numerosas ocasiones, se limita de manera exclusiva al hecho de que las mismas conllevan una importante carga sancionadora, sea penal o administrativa, con la trascendencia que, en uno y otro caso, ello tiene para las empresas.

Sin embargo, muchas son las voces que cada día se alzan en contra del carácter represivo de las normas, en el sentido de que es preciso ahondar en los valores culturales que dicha normativa posee, antes que sancionar duramente el incumplimiento de la misma. Así, y sólo desde una perspectiva de integración de dichos valores en los elementos culturales de una sociedad, se logrará una expansión en el cumplimiento de las mismas.

Ejemplos los tenemos en la legislación de protección de datos de carácter personal, o la de protección de riesgos laborales, y reconociendo obviamente su desarrollo e implantación, es de observar, que el contenido represivo de tales normas no constituye el elemento definitivo para su implantación. Sólo cuando dicha normativa entra en la conciencia popular y se asume socialmente como un derecho o una obligación, estas normas han tenido una rápida y profunda expansión en las prácticas sociales y jurídicas.

Esta misma reflexión, en lo que concierne al «compliance» posee un argumento de refuerzo que es importante considerar. El desarrollo del mismo probablemente se conseguirá en el ámbito tecnológico, y en los restantes campos o materias que el mismo comprende, cuando su observancia constituya un requisito sine qua non, en aras de posibilitar y favorecer la contratación entre empresas.

En este sentido, cuando la normativa de cualquier entidad exija en su política de proveedores que estos deben tener desarrollados adecuadamente y de manera completa e integral, sus respectivos proyectos de «compliance», verdaderamente es más que probable que se consiga la expansión en el cumplimiento y observancia de la normativa, más allá del respeto al ámbito penal o sancionador de dichas normas.

El motor del «compliance» puede encontrarse, consecuentemente, más que en el carácter represivo de las normas, en el hecho de que el mismo constituya un factor determinante para la contratación de proveedores.

Finalmente, dentro de estas reflexiones, otro elemento que tiene especial trascendencia dentro del cumplimiento normativo en lo que atañe específicamente a la tecnología, hace referencia a la necesidad de implantar en cada empresa un mapa de riesgos o también denominado en su terminología inglesa como “risk assessment”.

Este mapa es capaz de predecir, por ejemplo, los riegos legales u operaciones que se derivan de la toma de cualquier decisión empresarial, así como el impacto y la probabilidad que efectivamente de ello se deriven consecuencias nocivas para el ámbito global de funcionamiento de cualquier empresa, y no sólo con una visión estrictamente negocial.

Este mapa legal de riesgos puede tener una orientación estrictamente penal, en la que se analizarían las consecuencias de esta naturaleza, desde el punto de vista tecnológico de la decisión de implementar cualquier clase de herramienta en un determinado sentido o proceso, y a partir de este momento, poder valorar las consecuencias que de ello se desprenderían para el conjunto de la Entidad y las contingencias que ello pudiera producir, por ejemplo, entre otros aspectos, en el orden reputacional de la misma.

Pero también, hay que valorar que no solo la normativa que vincula a las empresas tiene este carácter penal, y el mapa legal de riesgos debe saber adaptarse también a las exigencias y limitaciones que pueden imponerse legal o reglamentariamente a cualquier empresa, en cualquier ámbito o faceta del negocio.

En definitiva, supone anticiparse de manera detectiva, preventiva y pro activa a los riesgos de toda clase a los que puede verse avocada una empresa en su ámbito de su actividad, sea negocial o no, en la obligación que toda entidad tiene de cumplir la legislación vigente, y dar cumplimiento a los valores éticos que encarnan la responsabilidad social empresarial, que en el ámbito que nos ocupa tiene que ver con el empleo de herramientas, datos o cualquier otro instrumento apoyado en el uso de la tecnología.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano