compliance i la protecció de dades

Com es relacionen la compliance i la protecció de dades?

Riscos a la compliance i la protecció de dades

La gestió sobre la incertesa es materialitza segons els incompliments de determinades obligacions normatives o al compromís voluntari o contractual adquirit, i que aquests, a la vegada impliquen un perjudici per les empreses. Per això, la compliance i la protecció de dades estan relacionats.

El Corporate Compliance és un conjunt de procediments i pràctiques adoptades per complir amb les obligacions legals i mitigar els riscos del seu incompliment. Implica identificar les obligacions de caràcter fonamental que es derivin de les imposicions legals en diferents matèries, com pot ser la protecció de dades, la prevenció de blanqueig de capitals, la lluita contra el frau i la prevenció de la corrupció, a més de moltes normatives sectorials.

Hi ha obligacions que l’empresa ha d’assumir de forma voluntària, entre les que es troben les diferents normes de gestió que permeten accedir a diferents mercats o marcar la diferència amb els competidors a la contractació pública i privada. A més, hi ha compromisos voluntaris que es troben associats a l’ètica, la responsabilitat social i les bones pràctiques empresarials. Poden integrar-se a un certificat ISO 9001,  a un certificat ISO 14001 i a un certificat ISO 45001.

Al compliance, les normes ineludibles se les coneix com requeriments i a la resta com a compromisos. De totes formes, a la realitat, molts dels compromisos s’han convertit en requeriments per accedir a diferents mercats. Per això és raonable proposar una divisió on es troben compromisos voluntaris, és a dir , aquells compromisos que la empresa assumeix per competir al mercat, i aquells que son voluntaris.

Compromisos de compliance i protecció de dades

Un exemple de compromisos semi-voluntaris a l’àmbit de la protecció de dades sorgeix del “Reglament Europeu de Protecció de Dades” vigent, on al seu article 42.1. estableix que cal promoure mecanismes de certificació en matèria de protecció de dades, de segells i marques de protecció de dades. S’entén que les certificacions no son obligatòries, encara que no assumir-les pot implicar que quedi fora de determinats mercats , o ser incapaç de provar els mecanismes de prevenció i control enfront als incompliments.

Encara que orientat al sector bancari, resulta aplicable a altres àmbits com la protecció de dades els riscos de compliance que es defineixen a l’Acord de Basilea II com el risc al que s’exposa una entitat per l’incompliment de lleis, reglaments i normes, a més dels acords  d’autoregulació en polítiques d’empresa i codis de conducta aplicables a les activitats i que poden generar sancions, pèrdues financeres o de reputació.

S’estableix que va molt més enllà de complir amb les normes o amb les obligacions. És necessari establir una cultura de compliance a les empreses que es relacionen amb el compromís de l’empresa.

El compromís ha de venir de la Direcció, amb la implementació de diferents metodologies per minimitzar el risc de l’incompliment. Cal un “compliance officer” amb autonomia en quant a responsabilitat i control pel manteniment de l’estructura de compliance que sigui adequada per aconseguir els seus objectius.