¿ES EL MOMENTO DE VERIFICAR LOS PROGRAMAS DE CUMPLIMIENTO IMPLANTADOS?
Desde Legal Compliance llevamos años asesorando a empresas y a otras organizaciones en la implantación de Modelos de Gestión del Compliance y, entre ellos, programas que permitan eficazmente evitar los riesgos de cumplimiento en materia de Protección de Datos.
Ambos requieren de una revisión, verificación, auditoria, periódica, en tanto que -si obedecen a parámetros adaptados a verdaderos sistemas de gestión-, se trata de metodologías basadas en el Circulo de Deming, Plan-Do-Check-Act, lo que obliga a establecer mecanismos que permitan la mejora continua.
Mejora continua y autorresponsabilidad.
En el caso de los Programas de Protección de Datos adaptados al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), en adelante RGPD, la autorresponsabilidad o “accountability” deja en manos del Responsable de Tratamiento esta verificación, a diferencia de la antigua LOPD 15/1999, que obligaba a determinadas organizaciones a la auditoría de su programa de protección de datos.
De nada sirve haberse adaptado a tiempo al Reglamento Europeo de Protección de Datos si transcurridos casi tres años desde esa adaptación, no se procede a su verificación o a un proceso de auditoría.
Así, por ejemplo, la seguridad del tratamiento de los datos personales lleva implícita la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas adoptadas para garantizar la seguridad de ese tratamiento. (Véase el artículo 32.1 d del RGPD).
Graduación de sanciones y proactividad.
No olvidemos que, atendidos los parámetros que el propio RGPD ofrece para la graduación de las multas administrativas, el grado de responsabilidad del responsable o del encargado habida cuenta de las medidas técnicas y organizativas que se hayan aplicado en virtud de los artículos 25 y 32, (Vid. Art. 83.2. d) del propio RGPD) debería constituir una llamada de atención a la reflexión y a un evidente incentivo de procurar tener un programa de cumplimiento en materia de Protección de Datos actualizado, revisado y verificado y no un programa obsoleto.
Gestión del Compliance y Modelos de prevención de delitos.
Y en el caso de los Modelos de Gestión de Compliance, si nos fijamos en los basados en los estándares ISO 37001, ISO 19600,19601,19602, todos siguen el círculo Deming, pero si vamos a su regulación en el Código Penal el artículo 31.bis 5 6º, deja meridianamente claro que para aspirar con el Modelo de Prevención de Delitos a una eximente completa es imprescindible “ …una verificación periódica del modelo y de su eventual modificación cuando se ponga de manifiesto infracciones relevantes, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”.
Imposible pensar, con los tiempos que corren, que un Modelo de Prevención de Delitos que se hizo hace dos años no necesita cambios ¡…!
Auditorías externas, independientes y diligencia debida en la contratación
Por último, conviene recordar que, cada vez con mayor énfasis, un número creciente de grandes empresas (cotizadas o no, multinacionales o no) están utilizando con sus proveedores criterios de homologación que descansan en principios relativos al cumplimiento y la transparencia.
En muchos de esos procesos de homologación, los departamentos de compras están ya no solo solicitando “declaraciones responsables” de que el proveedor cuenta con un sistema de gestión del compliance, un modelo de prevención de delitos, o un sistema o programa de cumplimiento en materia de Protección de Datos, sino que están solicitando informes de auditoría de aquéllos que les permitan con un grado de mayor seguridad cumplir con sus propias obligaciones de diligencia debida.
¿Es el momento de auditar o verificar los programas de cumplimiento?
Dependerá de muchos factores, pero esencialmente, y aunque tu programa esté vivo porque (i) tus empleados conozcan los riesgos de cumplimiento (incluidos los que afectan en su caso a protección de datos) , (ii) estén formados, (iii) exista suficiente comunicación de tus procesos y políticas de cumplimiento, y (iv) tengas responsables internos (DPO, Oficial de Cumplimiento, Auditor interno, etc.) que lideren la implantación de controles eficaces y los revisen, siempre, sin duda, la opinión de un tercero externo e independiente, te permitirá avanzar en esa mejora continua que está en el alma del cumplimiento y te permitirá -llegado el caso- evidenciar tu proactividad en materia de cumplimiento .
©Olga Guidotti.
DPD certificada por AEC según el esquema de la AEPD con el nº ES189881
Legal Compliance, S.L.
