¿Qué relación existe entre compliance y protección de datos? ¿Cómo puede ayudar un plan de compliance con el cumplimiento de las obligaciones en materia de protección de datos?
En este artículo hablamos de:
¿Qué relación hay entre Compliance y Protección Datos?
Si a través del compliance, una empresa (o cualquier otro tipo de organización privada o pública) implementa los procedimientos, medidas y controles para identificar, prevenir, gestionar y reaccionar ante los riesgos de incumplimiento de normativo, tanto interno como externo, derivado de leyes, normas, reglamentos, códigos éticos, etc., que afectan al desarrollo de su actividad, la relación entre compliance y protección de datos es evidente, puesto que esta última está regulada en una de esas leyes externas que afectan prácticamente a cualquier tipo de organización y que es de obligado cumplimiento para estas.
La Ley de Protección de Datos establece, además, el principio de «accountability» o responsabilidad proactiva, es decir, que responsables y encargados del tratamiento deben ser capaces de demostrar que han implementado las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que tratan y que dichas medidas son eficaces.
En ese sentido, incluir la protección de datos en el programa o plan de compliance, facilita esa responsabilidad proactiva de la organización, ya que en este plan recoge todo el conjunto de medidas y controles para la detección e identificación de riesgos de incumplimiento normativa y los procedimientos para prevenirlos.
Así mismo, el compliance se basa en la identificación y análisis de riesgos, para poder establecer aquellos mecanismos y medidas que permitan su detección temprana y su prevención, de la misma forma que la Ley de Protección de Datos establece la protección de datos desde el diseño y por defecto, lo que implica esa identificación y análisis de riesgos previo y la aplicación de medidas que minimicen las probabilidades de materialización de los mismos desde el propio diseño del tratamiento de datos personales.
Compliance y protección de datos, por lo tanto, se basan en la identificación del riesgo y su prevención; mientras que el primero lo hace desde un carácter más general, que se puede ir especializando en diferentes áreas o ámbitos de la organización, en función de su actividad y las leyes, normas, reglamentos y normativa interna que le afectan, la protección de datos es uno de esos ámbitos más concretos, centrado en la confidencialidad y seguridad de los datos personales y la privacidad de los interesados.
Pero además, hay una relación más entre compliance y protección de datos, y es que el artículo 24 de la LOPDGDD regula los sistemas de información internos o canales de denuncia interna de las empresas (obligatorios para empresas con más de 50 empleados) y que son un pilar fundamental de cualquier sistema de compliance.
El canal de denuncias de una empresa debe garantizar la protección de datos de quienes los usan para denunciar irregularidades dentro de la empresa, así como de los propios denunciados. El canal de denuncias debe contar con las medidas necesarias para preservar la identidad y la confidencialidad de las personas implicadas en una denuncia.
¿Qué es GDPR Compliance?
Establecida la relación entre compliance y protección de datos, ¿qué es el GDPR Compliance?
El GDPR Compliance es, en pocas palabras, el compliance RGPD (o cumplimiento del RGPD) en la empresa u organización, es decir, cumplir con las obligaciones en materia de protección de datos que establece la normativa europea, incluyendo estas en el plan de compliance de la empresa u organización, además de mantener dicho cumplimiento y actualizarlo o mejorarlo cuando sea necesario.
En ese sentido, el compliance RGPD pasa a ser una política más de cumplimiento en la empresa.
Riesgos de compliance RGPD
La Ley de Protección de Datos establece una serie de obligaciones que cualquier entidad u organización que trate con datos personales (y prácticamente todas lo hacen), deben cumplir, si no quieren ser sancionadas con multas que pueden alcanzar, en los casos más graves, hasta los 20 millones de euros (o apercibidas en el caso de las administraciones públicas). Pero no solo se trata del coste económico, no cumplir con la normativa de protección de datos, también tiene un coste reputacional para la entidad, puesto que las personas están cada vez más concienciadas (y preocupadas) sobre lo que hacen las empresas con sus datos personales.
Cuando hablamos de riesgos de compliance RGPD, nos referimos a dejar de cumplir con las obligaciones establecidas en la normativa, ya sea por descuido, por no atenderlas o por temeridad, como, por ejemplo:
- No realizar el correspondiente análisis de riesgos antes de comenzar un nuevo tratamiento de datos personales.
- No realizar la evaluación de impacto de protección de datos cuando así lo exige la normativa o cuando el tratamiento suponga un riesgo elevado para los derechos y libertades de los interesados.
- No aplicar las medidas de seguridad técnicas y organizativas necesarias y/o efectivas, que garanticen la protección de datos.
- Realizar tratamientos de datos sin el correspondiente consentimiento, cuando este es la base jurídica legitimadora del mismo.
- No establecer plazos para la supresión de los datos.
- No gestionar en tiempo y forma las brechas de seguridad.
- No contar con una vía para que los interesados puedan ejercer sus derechos.
- No designar un Delegado de Protección de Datos (DPO) cuando así lo establece la ley.
- Instalar sistemas de videovigilancia sin tener en cuenta la normativa de protección de datos y de seguridad.
- No elaborar el registro de actividades de tratamiento tal y como establece la normativa.
- Tratar datos de categorías especiales (art. 9 del RGPD).
Estos son solo ejemplos de algunos de los riesgos de compliance RGPD que una entidad enfrenta a la hora de afrontar la protección de datos y que tanto el protocolo de protección de datos como el plan de compliance deben contemplar, para establecer las medidas, controles y procedimientos destinados a prevenirlos.
¿Cómo puede un plan de compliance ayudar a cumplir el RGPD y la LOPDGDD?
Como ya hemos señalado en los puntos anteriores, el compliance puede ayudar a cumplir el RGPD y la LOPDGDD, incluyéndolos en el plan de compliance de la entidad.
Se pueden trasladar los riesgos de incumplimiento en materia de protección de datos al plan de compliance y en este establecer qué medidas, controles y procedimientos es necesario implementar, para garantizar el cumplimiento de las obligaciones de la normativa de protección de datos, así como designar un responsable que lleve un seguimiento y evaluación de la implementación y eficacia de esas medidas, controles y procedimientos, que puede ser el DPO, si la empresa cuenta con esta figura, o si no la tiene, el compliance officer de la entidad.
Integrar la protección de datos en el plan de compliance, permite, además, tener un mayor control sobre la aplicación de medidas de seguridad de la información en todos los departamentos o áreas de la empresa donde se use y/o gestionen datos personales. Así mismo, los miembros de la empresa contarán con un protocolo definido que seguir y al que recurrir en caso de duda.
Como ya indicamos más arriba, incluir la protección de datos en plan de compliance, favorece y facilita a la empresa cumplir con el principio de responsabilidad proactiva, en tanto en cuanto, se implementan medidas y mecanismos que permiten la identificación y el análisis de riesgos inherentes a la protección de datos y los procesos y actividad de la empresa, así como medidas y controles para su mitigación y prevención.
Esto, además, se traduce en reducciones de costes asociados a posibles sanciones y daños reputacionales para la empresa. Aunque en este caso está más relacionado con la prevención de infracciones de la normativa, que con eximir a la empresa de su responsabilidad en la protección de datos y de los derechos y libertades de los interesados como responsable o encargado del tratamiento.
¿Puede el DPO y el Compliance Officer ser la misma persona?
Esta es una cuestión que se plantean aquellas empresas que han implementado un sistema de gestión de compliance, ¿puede el compliance officer cumplir con las funciones del DPO?
La normativa de protección de datos no entra a tratar esta cuestión, tampoco lo hace el Código Penal en los artículos que tratan sobre la responsabilidad penal de las personas jurídicas y el plan de prevención de delitos penales como forma de atenuar o eximir dicha responsabilidad.
Por lo tanto, en principio, no hay nada que impida que el DPO y el compliance officer sean la misma persona, aunque es importante tener presente tanto el tamaño de la empresa, el volumen de datos personales que trata y el resto de normativas que le afectan, puesto que el que una sola persona desempeñe ambas funciones puede ser abrumador y una responsabilidad inabarcable.
Sería más recomendable integrar al DPO en dentro del departamento de compliance (si la empresa cuenta con él), puesto que su función de supervisor del cumplimiento de la normativa y asesor sobre ella, están dentro de la línea de las funciones de este departamento u organismo (aquí el compliance officer funciona como un órgano colegiado, formado por varias personas).
En cualquier caso, es una situación que debe estudiarse para cada empresa en concreto.
La protección de datos debe formar parte de las políticas de compliance de tu empresa
Como hemos ido desarrollando a lo largo de todo este artículo, la protección de datos, no solo por ser una obligación legal, sino por su naturaleza preventiva, debe formar parte de las políticas de compliance de la empresa (como lo hacen la prevención de delitos penales, la prevención del blanqueo de capitales o la prevención del acoso sexual), de esa forma la protección de datos adquirirá un carácter transversal para toda la empresa y sus miembros, aplicándose en todas aquellas áreas o ámbitos en los que se produzcan tratamientos de datos y donde la seguridad de la información sea capital para evitar filtraciones o malos usos o abusos de los datos personales.
El compliance y la protección de datos se basan en la identificación y prevención de los riesgos, para evitar así incurrir en irregularidades e infracciones de la normativa, que pueden tener tanto consecuencias legales para la empresa (multas) como reputacionales. Integrar el segundo en el primero, a través de un protocolo de protección de datos, ayudará a la empresa y sus miembros a cumplir con el RGPD y la LOPDGDD en el desarrollo de su actividad.
En Grupo Atico34 somos expertos en protección de datos y compliance y podemos ayudar a tu empresa a elaborar un plan de compliance en el que la protección de datos esté integrada con el resto de riesgos de incumplimiento que afectan a tu actividad. No lo dudes, el cumplimiento normativo es un eje central y fundamental para cualquier empresa que quiera evitar y prevenir irregularidades, infracciones y la comisión de delitos en su seno y las consecuencias negativas que supone para ella.