El compliance tecnológico y su importancia para la transformación digital

La transformación digital de las empresas y organismos públicos supone toda una serie de retos para el cumplimiento normativo, puesto que el uso y aplicación de las tecnologías de la información (TIC) vienen acompañados de amenazas y riesgos no solo cibernéticos, sino también legales, que tanto el sector privado como el público deben conocer y valorar para prevenir posibles ataques, robo o pérdida información, así como la comisión de posibles delitos o infracciones digitales o basadas en el uso de las nuevas tecnologías. Es aquí donde el compliance tecnológico, también llamado digital compliance (compliance digital), cobra especial relevancia.

¿Qué es el compliance tecnológico o digital compliance?

El compliance tecnológico o digital compliance es la aplicación del cumplimiento normativo al uso de las nuevas tecnologías en empresas y negocios, así como en los procesos de digitalización que muchas empresas y entidades públicas han comenzado a realizar, especialmente durante y tras la pandemia de Covid-19, que en muchos casos aceleró la necesidad de dar el paso hacia la digitalización.

El compliance tecnológico también tiene que ver con el uso de la tecnología, precisamente, para gestionar el propio compliance, como pueden ser los software de cumplimiento normativo o del canal de denuncias, por ejemplo, así como las herramientas y procesos empleados para mantener la confidencialidad de la información, evitar brechas de seguridad y proteger los datos de empresas y organismos públicos.

Si bien, en este artículo nos centraremos sobre todo en lo que la digitalización supone para el compliance en las empresas y entidades públicas, ya que esta y las nuevas tecnologías traen consigo sus propios riesgos de cumplimiento, riesgos que deben estar contemplados en cualquier plan de prevención de delitos penales e infracciones administrativas (sin ir más lejos, uno de los delitos que puede conllevar responsabilidad penal para la empresa son los delitos informáticos).

¿Qué es el Compliance tecnológico?

Los desafíos de la transformación digital para el cumplimiento normativo

Con la transformación digital que experimentan empresas y entidades públicas, tecnología y compliance son dos conceptos cada vez más relacionados y que implican diferentes desafíos, ya que, por un lado, exigen mayor conocimiento sobre las normativas que se deben seguir y aplicar en el ámbito digital, y, por otro lado, pueden ayudar a pymes y start-ups a tener programas de gestión de compliance adaptados a sus necesidades y especificaciones.

La elaboración del mapa de riesgos

La transformación digital y las nuevas tecnologías suponen nuevos riesgos de cumplimiento que deben tenerse en cuenta; modificaciones y novedades en la normativa de protección de datos, derechos digitales, uso de cookies, los canales de denuncia y la protección de los alertadores, el uso del reconocimiento facial o de la IA, por citar algunos ejemplos en los que ya hay leyes al respecto o se está trabajando en desarrollos normativos para su control y gestión.

El mapa de riesgos de una empresa que ha comenzado o terminado su proceso de digitalización, debe ser actualizado para incluir aquellos riesgos directamente relacionados con el ámbito digital y las diferentes normativas que le afectan.

La gobernanza en la nube

Parte del proceso de digitalización de las empresas ha supuesto la contratación de diferentes servicios en la nube, como IaaS, PaaS, SaaS, DPaaS, etc., lo que implica riesgos asociados a la gobernanza y control de los datos, los riesgos de ciberseguridad, la propia gestión del cumplimiento y de las brechas de seguridad, etc.

Esto supone que las empresas que dependen cada vez más de estos servicios en la nube, deben diseñar sistemas de gobernanza para la nube en los que definirán roles, responsabilidades y jerarquías en cuanto a la toma de decisiones respecto al uso de la nube, entendiendo que la empresa sigue siendo responsable de la seguridad de la información, aun cuando el prestador del servicio aplique sus propias medidas de seguridad y control.

El uso de IA

El uso de la IA está cada vez más extendido, ya no solo se usa para objetivos relacionados con el marketing, sino que otros departamentos, como recursos humanos, jurídico, administración o financiero también aprovechan herramientas como el machine learning para alcanzar sus propios fines.

Aquí el compliance tecnológico es muy importante, primero, porque aún estamos ante una tecnología bastante reciente, cuyos usos y aplicaciones van un paso por delante de la normativa que se supone debe regularla, por lo que donde ahora encontramos un vacío legal, pronto podemos encontrar leyes o reglamentos, que será necesario alinear con el uso de la IA en la empresa.

Y segundo, porque será necesario, para aquellas empresas que desarrollen sus propias herramientas de IA, proteger sus algoritmos, los datos generados por la aplicación de la IA, así como la posibilidad de comerciar dichos datos dentro de los límites impuestos por la normativa de protección de datos.

Uso de Legaltech

Legaltech y compliance también son dos conceptos estrechamente relacionados, puesto que hablamos del uso de herramientas tecnológicas para la prestación de servicios legales, que pueden aprovechar las empresas para la elaboración y gestión de sus programas de compliance.

Aquí, más que de un desafío, hablamos de una oportunidad para mejorar la gestión de los programas de compliance gracias a la incorporación de expertos en TIC dentro de los departamentos jurídicos de las empresas.

¿Qué funciones debe tener en cuenta un plan de compliance tecnológico?

El compliance tecnológico tiene como fin identificar y prevenir los riesgos de cumplimiento derivados del uso de la IA, de los servicios en la nube, de las redes sociales de empresas y empleados, de los dispositivos externos conectados a la red interna, del uso de licencias de software, de los riesgos del Internet de las cosas (IoT), de los entornos híbridos de trabajo, etc.

Por ello, un programa de digital compliance deberá tener en cuenta las siguientes funciones:

• Debe establecer los protocolos de seguridad de la información en función de las necesidades de la empresa y su sector de actividad, las leyes y las normativas vigentes. Además, también debe gestionar la seguridad interna para controlar la seguridad de la información.
• Debe establecer protocolos y políticas claras sobre el uso de dispositivos móviles y el teletrabajo, para garantizar la seguridad de la información cuando los empleados se conectan a la red interna de manera remota o desde dispositivos móviles.
• Identificar los activos de la organización (como por ejemplo pueden ser las bases de datos de clientes) y establecer las responsabilidades y medidas de seguridad correspondientes.
• Clasificar la información para poder determinar las medidas y niveles de seguridad y acceso necesarios para protegerla.
• Establecer políticas de acceso, modificación, eliminación o destrucción de la información almacenada en la entidad.
• Establecer políticas de control de acceso a la información y su gestión, garantizando el acceso limitado en función del nivel de confidencialidad de la información y de quiénes pueden acceder a ella.
• Establecer medidas de cifrado de la información para garantizar la confidencialidad de la misma.
• Definir las políticas de copias de seguridad para evitar la pérdida, daño, robo o filtración de la información.
• Establecer medidas que garanticen la continuidad de las operaciones ante eventuales ataques o incidentes de seguridad.
• Establecer medidas de seguridad contra el malware.
• Establecer medidas que garanticen la seguridad física de los equipos y soportes externos.
• Formación y concienciación de empleados y subcontratistas de la importancia de la seguridad de la información y de la ciberseguridad, «insistiendo» en la necesidad de cumplir con las normas internas y la normativa vigente.

En definitiva, un programa de compliance tecnológico debe poder garantizar el cumplimiento de aquellas normas que afectan directamente al ámbito digital y de las TIC.