Logo Eip Nuevo
EIP Talent Acceso alumnado
  • es_ES
  • en_GB

¡Comparte en redes sociales!

2024: Glosario de Compliance actualizado

por
Compliance

En este glosario de Compliance, iniciamos un recorrido por la función de Compliance y la Protección de Datos a través de las definiciones de algunos términos relacionados con aquellas. No se trata de elaborar un diccionario al más puro estilo de la RAE. La intención es divulgar el significado de algunos conceptos que nos acerquen de una forma más sencilla y fácil a estas disciplinas o materias, de manera que a todos nos pueda resultar más sencillo entender lo que quieren decir y así hacernos más amable la inmersión en ellas.

Siempre resulta complicado comenzar un post o un breve artículo, y este no iba a resultar distinto. Por eso comenzaremos con términos que todos tenemos en mente cuando hablamos de Compliance y Protección de Datos, y así seguro que nos dará confianza para seguir leyendo futuros posts, puesto que iremos autoevaluando nuestro conocimiento sobre dichos conceptos.

Glosario de Términos: COMPLIANCE

Compliance

Para empezar, como no podía ser de otro modo, comenzaremos por definir el término “Compliance”. Cuando nos referimos a Compliance no sólo hablamos de cumplir, también nos estamos remitiendo al conjunto de procedimientos, políticas, protocolos de una organización que aseguran que esta cumpla con las leyes que aplican a su actividad, es decir, es el cumplimiento normativo que garantiza la seguridad jurídica a la hora de realizar una actividad empresarial. Pero cuidado, no sólo la normativa que le es aplicable sino también con la interna o también llamada autorregulación.

Autorregulación

Y ya puestos en ello y aprovechando la inercia, definamos qué es la “Autorregulación”. Si hemos visto que a una organización no sólo le aplica el derecho positivo, sino también la normativa interna, podemos decir entonces que esta sería aquella regulación voluntariamente autoimpuesta por la organización para reforzar los valores, principios y las buenas prácticas redundando, así,  en la garantía y seguridad para cumplir con las normas aplicables a la actividad.

Vistas estas dos definiciones, una conclusión que podemos extraer es que ambas regulaciones, la “legal” y la “voluntaria” se retroalimentan y fortalecen a la organización ante las posibles adversidades a las que esta puede enfrentarse. Eso sí, ambas son de obligado cumplimiento, nunca mejor dicho.

Órgano de Gobierno

La tercera definición a la que nos podemos enfrentar en este contexto introductorio puede ser la de “Órgano de gobierno”, por ejemplo. Este órgano es el máximo en cualquier organización, marca el estilo de liderazgo y la estrategia de la compañía y lo hace a través de diferentes iniciativas.

Una de ellas es asegurando que el Programa de Compliance se ajuste a los requisitos, entendiendo por estos aquellos establecidos por la ley y demás regulaciones aplicables a la actividad o negocio. El hecho de tener que asegurar le confiere la mayor responsabilidad sobre los incumplimientos que pudieran producirse. De ahí que una organización que tiene el máximo y total compromiso del Órgano de gobierno con la cultura de las cosas bien hechas tenga el éxito garantizado, lo que no quita que pueda darse alguna situación no deseada o contraria a las expectativas previstas.

Protección de Datos: El Dato

Ahora, cambiemos el tercio e introduzcámonos en la Protección de datos de carácter personal, por supuesto íntimamente vinculada al Compliance, lo que huelga decir a estas alturas en que nos encontramos tras la fuerte irrupción del Compliance de un tiempo a esta parte. Y lo mejor es comenzar por aquello que puede ser más obvio pero no por ello menos importante. Y me refiero a qué es un “Dato”, ni más ni menos.

Compliance

Si tenemos en cuenta el momento actual, la importancia de los datos es absoluta, llegando incluso a ser considerados como “el petróleo de nuestros días”. Y no le falta razón a quien así los consideró, desde luego que no, Inteligencia Artificial aparte. Pero eso ya nos ocupará más adelante.

El artículo 4 del Reglamento General de Protección de Datos define dato personal como “cualquier información relacionada con una persona física identificada o identificable”. Y no es necesario que dicha información conste por escrito, sino que también puede adoptar la forma de audio o grabación, o una fotografía, por ejemplo.

Persona Identificable

Y dicho esto, ¿qué quiere decir “persona identificable”? Sírvanos esta pregunta para determinar la quinta definición de este artículo.

Pues bien, persona identificable es aquella persona que puede ser identificada a través de lo que se conoce como un identificador, o sea un aspecto o factor que tiene una relación estrecha y cercana a la persona en concreto, como por ejemplo un nombre, un número de identificación, una dirección de e-mail, una característica física.

Tone at the top

Sumerjámonos en el anglicismo “Tone at the top”, tan frecuentemente utilizado cuando queremos situar la responsabilidad en una organización.

Pues bien, esto no quiere decir más que el compromiso para llevar a cabo una gestión ética, apoyada de verdad en un programa de compliance reside “en la cabeza”, “arriba”. Para entendernos mejor, en las personas que lideran y están situadas en posiciones de mando.

En efecto, si arriba no hay compromiso, no hay “tono” (traducción literal de “tone”) no se conseguirá nada, ya que todo emana de ahí, y de ahí hacia abajo. Sencillo!!

Ejemplaridad

Partiendo de esto, podemos ir hacia otro concepto que serviría, y creo que mucho, para empaparnos de ese compromiso y en los distintos niveles de una empresa: la “Ejemplaridad”. Este concepto ya no es una mera declaración de intenciones, o un compromiso escrito y nada más. Al contrario, requiere de mucha práctica y de ejercicio diario para mantenerlo en forma, pues no vale de nada ser ejemplar un día y luego no volver a serlo hasta dentro un mes, por poner un ejemplo. O se es o no se es.

Pero las medias tintas crean incertidumbre, y en el mundo de la empresa un ejemplo a medias no es un buen ejemplo. Dar ejemplo siendo un mando, independientemente del escalafón jerárquico, es una de las mayores fuerzas que existen en el mundo empresarial, ya sea para alcanzar los objetivos como para gestionar equipos. Incluso esto último, a través del buen ejemplo, puede realizarse de forma delegada, compartida y a la vez responsable, apenas sin notarse. Es decir, de forma silenciosa. No olvidemos que no es lo mismo la auctoritas que la potestas.

Función de Compliance

Si Compliance decíamos que era cumplir, incluyendo el conjunto de procedimientos, políticas, protocolos de una organización que aseguran que esta cumpla con las leyes que aplican a su actividad, la “Función de Compliance es aquella “parte” de la organización que vela por que esto se cumpla, que es lo verdaderamente novedoso en nuestros días desde un plano global, no sectorial como ocurría anteriormente a las diversas reformas del Código Penal acaecidas a partir de 2010.

Lo que antes existía en aquellos sectores excesivamente <o fuertemente> regulados, ahora se ha extendido a cualquier organización y de cualquier sector. De ahí tanto “aluvión” de información al respecto. Es la función la que despliega una serie de acciones todas ellas dirigidas a implementar adecuadamente el programa de Compliance en una organización; asesorar, formar, sensibilizar, auditar, monitorizar, revisar, etc.

Anonimización y Seudonimización

La “Anonimización es la acción por la cual se separan (hay quien dice desvinculan) por completo los datos personales de aquellos datos identificativos de una persona o individuo, resultando imposible identificarle a través de los datos anonimizados que se han generado nuevos. Esto es lo que la AEPD ha denominado “la ruptura de la cadena de identificación de las personas”.

Un ejemplo de datos así denominados podrían ser las encuestas de población en procentajes, sin que pueda identificarse a las personas que han participado. ¿En el caso de un Canal de denuncias, por ejemplo, habría que anonimizar para extraer información estadística? Tendríamos que considerar la situación de los asuntos contenidos, si están abiertos o concluidos, entre otras cosas, pero esto no nos ocupa en este glosario, aunque os lanzo un buen tema para reflexionar.

Sin embargo, la “Seudonimización separa todos los datos  identificativos, pero los que se generan como seudonimizados mantienen información (datos) adicional que ayuda a identificar de nuevo a las personas; o sea, es un proceso reversible. En este supuesto, el ejemplo más conocido es la sustitución de los nombres por un código, a modo de pseudónimo. Conociendo a quien corresponde ese código asignado, conoceríamos la identidad.

Como podemos apreciar, el mundo del Compliance y de la protección de datos es muy prolijo en cuanto a conceptos y términos, los cuales conviene como mínimo conocer, aunque acabemos acudiendo a los textos para refrescar su significado cuando debamos utilizarlos. Pero no será lo mismo pues ya estaremos familiarizados con el contexto y podremos aplicarlos con más acierto que error.

Esperemos que este sencillo glosario sea útil, al menos eso pretende ser, y su fácil y rápida lectura seguro ayudan a que así sea.

Riesgo inherente y riesgo residual

¿Qué sería de la función de Compliance si no hablásemos de riesgos? Pues sin duda alguna, no sería tal función, ya que el fin principal que tiene <<la función>> es identificar riesgos y establecer medidas de control para su rechazo, aceptación, mitigación o transferencia. Dicho esto, hablemos del “riesgo inherente” y “riesgo residual”, o también conocidos como riesgo bruto y riesgo neto.

Utilizando ambas expresiones podemos definir fácilmente en qué consiste cada una de ellas. Así tenemos que, el riesgo inherente es el riesgo bruto que toda organización tiene por el mero hecho de ser una compañía o entidad; sector al que pertenece, actividad que realiza, personas con las que se relaciona, canales de venta utilizados, si actúa en un territorio o en varios, si mantiene relaciones o actividades con la AAPP en cualquiera de sus extensiones (nacional, autonómica o local)… es decir, es el riesgo al que una entidad está expuesta sin tener en cuenta los medios o mecanismos de defensa que pudiera tener para combatirlo. De este modo se conoce mejor la exposición real de una empresa a los posibles riesgos y peligros que la acechan per se. Conocer este riesgo implica un esfuerzo ímprobo y generoso, puesto que requiere evadirse de la metodología adoptada por la organización para la gestión de los riesgos al tener que “ignorar” todo lo bueno que hace tal organización para lograr la gestión de aquellos.

Por el contrario, el riesgo residual sería el riesgo neto que resultaría de aplicar los controles existentes en la empresa a los riesgos inherentes, de manera que se obtuviera el riesgo final al que tendría que enfrentarse la organización. Si bien, este riesgo residual puede no ser aceptado por la organización (lo que se conoce como “apetito e riesgo”) lo que llevará a aquella a implantar o definir nuevos controles o medidas para reducirlo aún más, hasta lograr un riesgo tolerable que poder controlar y/o gestionar, es decir, asumir. Por supuesto habrá factores o aspectos a tener en cuenta para decidir implantar nuevos controles, ya que puede suponer un perjuicio operativo o económico para la empresa al no poder acometer inversión alguna por falta de recursos, lo que hará que se tenga en cuenta si el apetito de riesgo ha de ser mayor a lo deseado o, si no se quiere correr el riesgo por temor a las fatales consecuencias que pudieran derivarse de ello, abandonar la idea de asumir el riesgo y optar por rechazarlo.

Estos riesgos, ambos, son los que cualquier organización utiliza para aplicar la correspondiente matriz de riesgos, de la que surge el ya conocido Mapa de riesgos de la empresa, ofreciendo la fotografía exacta del grado de riesgo al que una organización está expuesta en su gestión, y al que debe enfrentarse para su control y poder así resultar una empresa rentable, segura y sostenible.

glosario dpo

Responsable y encargado

Ahora pasemos al otro ámbito que forma parte de este sencillo glosario, y que es la Protección de datos personales. Traemos en esta ocasión los términos relativos a “Responsable” y “Encargado” del tratamiento de los datos de carácter personal. Al principio, cuando empiezas a oír hablar sobre la protección de datos, enseguida escuchas estos dos conceptos; responsable y encargado de tratamiento. ¿Por qué será? Sencillo. Son las personas clave de esta materia, junto con la del Delegado de Protección de Datos.

La responsabilidad de cada una de estas dos figuras está establecida en la normativa de aplicación, y aunque pudieran tener muchas similitudes, en realidad son más distintas de lo que parece. Mientras que Responsable del tratamiento es la persona <física o jurídica> o autoridad sobre la que recae la total responsabilidad sobre dicha actividad, el Encargado   es también una persona física o jurídica o autoridad que accede y trata datos personales cuya responsabilidad corresponde al responsable. En síntesis, se diferencian en base a las funciones que ostentan cada uno de ellos.

La tarea del Responsable es decidir sobre el tratamiento que hay que dar a los datos de carácter personal que va a recabar; en base a qué los pide, para qué fin los pide, qué datos son necesarios, durante cuánto tiempo se van a guardar, qué controles hay que adoptar, etc… Es decir, es quien gobierna los datos. Por su parte, el Encargado es quien se limita a tratar los datos en base a las indicaciones que el Responsable le transmite. Es decir, ejecuta las órdenes e indicaciones del Responsable para tratar los datos.

La responsabilidad sobre los datos de carácter personal a tratar siempre es del Responsable. Por ello, es necesario que la relación entre ambas figuras esté recogida en su correspondiente contrato que establezca las obligaciones para cada una de ellas, de manera que quede regulada de forma inequívoca la misión que cada parte tiene en la actividad del tratamiento de datos de carácter personal.

Si quieres conocer más sobre Cumplimiento Normativo y Protección de datos, visita el blog de EIP International Business School, la única escuela de negocios del mercado que te garantiza el empleo.

 

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Blog Master Dpo

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.

Miembros de 

Consejo Latinoamericano Escuelas Admisión Logo
Logo Escuela De Negocios
Euphe 1
Euphe 2

Reconocimientos

Qs Rating Horizontal 0
Qs Rating Horizontal 4
Qs Rating Horizontal 1
Qs Rating Horizontal 2
Qs Rating Horizontal 3
Cualificam Logo Footer

Partners educativos

Harvard Negativo (1)
Microsoft Academy (1)
Aws Academy Logo Footer
Cisco Networking Academy Blanco
Wca Logo
Logo Ausape
Logo Cumplen Asociacion Profesionales Blanco
Logo Aeca Footer
Buildingsmart Rgb Spain Chapter Member V2
Sage50 Cloud Logo Footer
Pmp Logo Footer
Global Suite Logo Blanco
Minsoit Sap Svg
Nominasol Logo Footer
Cype Logotipo
Pvsyst Logo
Logo Capman Footer
Toeic Logo Blanco
Python Institute Logo Blanco
Its Logo Blanco
Insignia Ccsp
Cdpp
Cpcc
Aviso Legal Uso de Cookies Política de Privacidad Política de Calidad Canal de denuncias Condiciones de Matrícula Únete a nosotros

EIP Campus Universitario Teatinos - Málaga - España

© EIP | International Business School 2010-2024

Marca registrada en la OEPM. Nº 3.735.191