PUBLICIDAD
PUBLICIDAD

«Compliance» y Tecnologías de la Información y la Comunicación: Dos mundos muy conectados.

Javier Puyol es socio director de Puyol Abogados & Partners. Foto: Carlos Berbell/Confilegal.
|

El «Corporate Compliance» es un conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.

A su vez, las Tecnologías de la Información y la Comunicación (TICs) pueden definirse como aquellas técnicas y herramientas utilizadas para el tratamiento, gestión y transmisión de la información.

PUBLICIDAD

Y aunque, son utilizadas a nivel más tecnológico, podemos considerar que incluyen tanto los medios tradicionales de la comunicación -radio, televisión y telefonía convencional-. Como también las nuevas tecnologías basadas en el mundo online -informática, internet y telecomunicaciones-[i].

PUBLICIDAD

En este ámbito de actuación, específicamente, los programas de cumplimiento podrían definirse y deben ser tenidos en consideración en función del conjunto de acciones, procedimientos y buenas prácticas, con un trasfondo ético, que han de adoptar las empresas principalmente en su actividad vinculada en general a las nuevas tecnologías, y particularmente en internet y las redes sociales, para identificar y clarificar los riesgos operativos y legales, y controlar que se están cumpliendo de manera efectiva las normas o los principios éticos que sirven como marco regulador de las mismas.

Es decir, supone un protocolo de actuación destinado específicamente a impedir que se pueda utilizar la organización, sus medios y sus recursos en estos nuevos ámbitos de actuación, para la comisión de hechos delictivos.

PUBLICIDAD

Por ello, y en este sentido, también debe ser de aplicación a las nuevas tecnologías lo afirmado con carácter general en la Circular 1/2016 de la Fiscalía General del Estado, cuando se señala, que “los programas -de Corporate Compliance- deben ser claros, precisos y eficaces, y desde luego, redactados por escrito.

No basta la existencia de un programa, por completo que sea, sino que deberá acreditarse su adecuación para prevenir el concreto delito que se ha cometido, debiendo realizarse a tal fin un juicio de idoneidad entre el contenido del programa y la infracción.

Por ello, los modelos de organización y gestión deben estar perfectamente adaptados a la empresa -que se desenvuelve en el ámbito de las TIC’s-y su concreto riesgo”.

PUBLICIDAD

Características

Las características más representativas, que hoy en día permiten catalogar y definir el ámbito de las nuevas tecnologías, constituyen también la base para establecer las medidas de prevención y de riesgo, que son necesarias tener en cuenta sobre las mismas, y que son, principalmente, las siguientes:

La inmaterialidad

En líneas generales se puede afirmar que las TIC realizan la creación (aunque en algunos casos sin referentes reales, como pueden ser las simulaciones), el proceso y la comunicación de la información. Esta información es básicamente inmaterial y puede ser llevada de forma transparente e instantánea a lugares lejanos.

PUBLICIDAD

La interactividad

La interactividad es posiblemente la característica más importante de las TIC para su aplicación en el campo educativo.

Mediante las TIC se consigue un intercambio de información entre el usuario y el ordenador.

Esta característica permite adaptar los recursos utilizados a las necesidades y características de los sujetos, en función de la interacción concreta del sujeto con el ordenador.

La interconexión

La interconexión hace referencia a la creación de nuevas posibilidades tecnológicas a partir de la conexión entre dos tecnologías.

La instantaneidad

Las redes de comunicación y su integración con la informática, han posibilitado el uso de servicios que permiten la comunicación y transmisión de la información, entre lugares alejados físicamente, de una forma rápida.

PUBLICIDAD

Los elevados parámetros de calidad de imagen y sonido

El proceso y transmisión de la información abarca todo tipo de información: textual, imagen y sonido, por lo que los avances han ido encaminados a conseguir transmisiones multimedia de gran calidad, lo cual ha sido facilitado por el proceso de digitalización.

La digitalización

Su objetivo es que la información de distinto tipo (sonidos, texto, imágenes, animaciones, etc.) pueda ser transmitida por los mismos medios al estar representada en un formato único universal.

La mayor Influencia sobre los procesos que sobre los productos

Es posible que el uso de diferentes aplicaciones de la TIC presente una influencia sobre los procesos mentales que realizan los usuarios para la adquisición de conocimientos, más que sobre los propios conocimientos adquiridos.

La penetración en todos los sectores (culturales, económicos, educativos, industriales…)

El impacto de las TIC no se refleja únicamente en un individuo, grupo, sector o país, sino que, se extiende al conjunto de las sociedades del planeta.

Los propios conceptos de «la sociedad de la información» y «la globalización», tratan de referirse a este proceso.

La innovación

Las TIC están produciendo una innovación y cambio constante en todos los ámbitos sociales.

Sin embargo, es de reseñar que estos cambios no siempre indican un rechazo a las tecnologías o medios anteriores, sino que en algunos casos se produce una especie de simbiosis con otros medios.

La tendencia hacia automatización

La propia complejidad empuja a la aparición de diferentes posibilidades y herramientas que permiten un manejo automático de la información en diversas actividades personales, profesionales y sociales.

La necesidad de disponer de información estructurada hace que se desarrollen gestores personales o corporativos con distintos fines y de acuerdo con unos determinados principios.

La diversidad

La utilidad de las tecnologías puede ser muy diversa, desde la mera comunicación entre personas, hasta el proceso de la información para crear informaciones nuevas.

Los procedimientos y las buenas prácticas que deben ser proyectados también sobre el mundo de las nuevas tecnologías, internet y las redes sociales.

Por tanto, muchos y muy variados son los aspectos en que se produce esa interrelación entre Compliance y el mundo de las nuevas tecnologías.

Funciones del responsable del cumplimiento normativo

En este sentido, y de manera complementaria a lo anterior, no hay que olvidar que, por ejemplo, la labor diaria de cualquier «Compliance Officer» abarca aspectos muy singulares de sus dos mundos, como pueden ser, entre otros muchos, los que se citan a continuación:

a). Conocer las características que debe tener la política de privacidad y protección de datos personales, y que garantías tiene los derechos digitales en el seno de la empresa.

b). Verificar la legalidad de la ética de los sistemas de tratamientos de datos personales.

c). Analizar los aspectos que inciden en la legalidad web, y en una Cookie Compliance Program.

d). Conocer los aspectos relativos a la firma e identificación electrónica.

e). Comprender el procedimiento para obtener evidencias electrónicas.

f). Entender las cuestiones claves de la ciber seguridad.

Elementos de control

Todo ello exige prestar una adecuada atención a los principales elementos de control, que interactúan tanto en el mundo del «Compliance», como en el ámbito específico de las TICs, y que algunos autores se agrupan sistemáticamente sobre la base de los siguientes conceptos[ii]:

a). El control del entorno

b). El análisis y gestión de riesgos

c). Los sistemas de acceso y difusión de información y comunicación

d). Las actividades de control y monitorización

En la actualidad, las organizaciones deben cumplir un gran número de requisitos regulatorios, gran parte relacionados con la gestión o protección de la información y las infraestructuras TI que almacenan, procesan y transmiten dichos datos, y ello supone principalmente la adopción de una metodología adecuada, que suponga la implantación de manera satisfactoria de medidas preventivas y los controles pertinentes, que garanticen que efectivamente se está dando cumplimiento a la normativa general aplicable a la persona jurídica en este ámbito de actividad, a la propia regulación interna de la empresa, y a los principios éticos, cuyo cumplimiento es tan necesario, sobre todo en estos ámbitos tan incipientes y escasamente regulados.

La empresa TIC, y sus gestores en el ámbito del Compliance, ya sean estos internos o externos, deben establecer los objetivos concretos del programa de Corporate Compliance, teniendo en cuenta, sobre todo, su carácter continuado en el tiempo, que determina que el mismo, deba ser mantenido y revisado de manera constante y periódica.

Objetivos a cumplir

A título de ejemplo, pueden plantearse en el mundo TIC, el cumplimiento de los siguientes objetivos[iii]:

a). Mantener actualizado el mapa de riesgos.

b). Mantener actualizada la estructura de control.

c). Mantener actualizada la estructura normativa.

d). Verificar el cumplimiento de las obligaciones legales.

e). Verificar la eficacia de los controles.

f). Obtener evidencias de la eficacia de los controles.

g). Crear pruebas del esfuerzo realizado, la diligencia y la cultura de cumplimiento.

h). Prevenir incumplimientos.

i). Prevenir sanciones en caso de infracción.

j). Mantener actualizado el repositorio de evidencias.

Así, estas medidas preventivas y los correspondientes controles internos tienen que estar soportados por las pertinentes políticas y procedimientos, establecidos por la organización con el objetivo de asegurar el cumplimiento normativo, legal, e incluso de carácter reputacional, destacando de manera principal los siguientes controles típicamente derivados del ámbito de las TIC’s[iv]. Estos son los que se indican a continuación:

a). La definición de las políticas de seguridad de la información y de uso de los medios tecnológicos en que se soportan los procesos de negocio, incluyendo supervisión y revisión periódica del cumplimiento.

b). El control de acceso basado en la necesidad de conocer mediante los que se regule el acceso a la información que también permite en control de las fugas de información.

c). La auditoría a nivel de sistemas, aplicaciones, redes y sistema operativo mediante los que se identifique el acceso, la modificación y el borrado de la información.

d). La destrucción y borrado seguro de la información crítica para el negocio de los medios de almacenamiento, así como aquella que se encuentre en formato papel.

e). El respaldo y recuperación de la información crítica para el negocio.

f). Los controles de integridad de la información para evitar su alteración (sirvan de ejemplo servicios y soluciones informáticas como cortafuegos, IDS/IPS, software de gestión de derechos, aplicaciones para filtrar la información, etc.)

g). La clasificación de la información según su nivel de criticidad para los procesos de negocio de la organización, lo que constituirá la base de las medidas de seguridad a aplicar.

h). La securización (o cifrado) de la información transmitida por medios electrónicos (principalmente el correo electrónico o la mensajería instantánea).

i). La monitorización de la actividad en los sistemas, aplicaciones, redes, etc., para asegurar la emisión de alarmas al detectarse comportamientos anómalos.

Consecuencias negativas para la empresa

Finalmente, debe destacarse la importancia de implementar el «Corporate Compliance» en el ámbito TIC, y trasladar esa preocupación al mundo global de las empresas, con independencia de su tamaño o de su ámbito de actividad, y frente a la posición de aquellos empresarios, que afirman, que la posibilidad de que se les sancione es prácticamente inexistente, debe traerse a colaciónel hecho de que la exposición en un entorno digital, supone en la práctica que el empresario se enfrente a un triple impacto negativo, que debe tenerse en consideración tanto por su importancia económica como por su trascendencia social o reputacional[v], entre las que se pueden encontrar las siguientes consecuencias negativas para la empresa, y que son las siguientes:

a). El aumento de la probabilidad de sanción ante las autoridades en general, y especialmente las de protección de datos y de consumo al incrementar el número de afectados, al exponerse a jurisdicciones y leyes ajenas a su propio lugar de sede del negocio.

b). La pérdida reputacional ya que una mala gestión de los riesgos legales supone una oleada de críticas negativas por sus usuarios y consumidores y por tanto una difusión global de las mismas que podrían ser fácilmente aprovechadas por la competencia.

c). La pérdida económica por la disminución exponencial e incontrolable del número de potenciales clientes o consumidores y la posible pérdida de los existentes al tener constancia de su reputación digital, y, por tanto, real.

d). A la que debe añadirse, entre otras, una cuarta, entre otras razones jurídicas, económicas y reputaciones, que consiste en la falta de competitividad para poder acudir prácticamente a cualquier licitación de naturaleza pública o privada.

Debemos convencernos que, el Compliance, también en el ámbito TIC, es fundamentalmente un elemento dinamizador del negocio y del crecimiento económico, y no solo, y de manera exclusiva, derecho sancionador.

 

[i]Cfr.: Blog de Global Legaldata. “Compliance en las TIC”F

[ii]Cfr.: KERNEL LEGAL. “Compliance en las empresas TIC: ¿Qué requisitos debe cumplir? 12 de julio de 2016.

[iii]RIBAS, Xavier. “Como prevenir la pérdida de la iniciativa en un proyecto continuado de RGPD o de Compliance”.19 de septiembre de 2018”.

[iv]Cfr.: KERNEL LEGAL. Obra citada.

[v]Cfr.: ENATIC. “Derecho Digital: “Compliance” y la gestión de riesgos legales”. Abogacía Española. 2 de agosto de 2013.

 

 

por Javier Puyol.

Javier Puyol es abogado, socio director de Puyol Abogados, magistrado excedente, exletrado del Tribunal Constitucional, exdirector de la Asesoría Jurídica Contenciosa del BBVA, consultor en tecnologías de la información y comunicación, administrador concursal, árbitro y mediador civil y mercantil, profesor universitario y académico de la Real Academia de Jurisprudencia.