En este glosario de Compliance, iniciamos un recorrido por la función de Compliance y la Protección de Datos a través de las definiciones de algunos términos relacionados con aquellas. No se trata de elaborar un diccionario al más puro estilo de la RAE. La intención es divulgar el significado de algunos conceptos que nos acerquen de una forma más sencilla y fácil a estas disciplinas o materias, de manera que a todos nos pueda resultar más sencillo entender lo que quieren decir y así hacernos más amable la inmersión en ellas.
Siempre resulta complicado comenzar un post o un breve artículo, y este no iba a resultar distinto. Por eso comenzaremos con términos que todos tenemos en mente cuando hablamos de Compliance y Protección de Datos, y así seguro que nos dará confianza para seguir leyendo futuros posts, puesto que iremos autoevaluando nuestro conocimiento sobre dichos conceptos.
Glosario de Términos: COMPLIANCE
Compliance
Para empezar, como no podía ser de otro modo, comenzaremos por definir el término “Compliance”. Cuando nos referimos a Compliance no sólo hablamos de cumplir, también nos estamos remitiendo al conjunto de procedimientos, políticas, protocolos de una organización que aseguran que esta cumpla con las leyes que aplican a su actividad, es decir, es el cumplimiento normativo que garantiza la seguridad jurídica a la hora de realizar una actividad empresarial. Pero cuidado, no sólo la normativa que le es aplicable sino también con la interna o también llamada autorregulación.
Autorregulación
Y ya puestos en ello y aprovechando la inercia, definamos qué es la “Autorregulación”. Si hemos visto que a una organización no sólo le aplica el derecho positivo, sino también la normativa interna, podemos decir entonces que esta sería aquella regulación voluntariamente autoimpuesta por la organización para reforzar los valores, principios y las buenas prácticas redundando, así, en la garantía y seguridad para cumplir con las normas aplicables a la actividad.
Vistas estas dos definiciones, una conclusión que podemos extraer es que ambas regulaciones, la “legal” y la “voluntaria” se retroalimentan y fortalecen a la organización ante las posibles adversidades a las que esta puede enfrentarse. Eso sí, ambas son de obligado cumplimiento, nunca mejor dicho.
Órgano de Gobierno
La tercera definición a la que nos podemos enfrentar en este contexto introductorio puede ser la de “Órgano de gobierno”, por ejemplo. Este órgano es el máximo en cualquier organización, marca el estilo de liderazgo y la estrategia de la compañía y lo hace a través de diferentes iniciativas.
Una de ellas es asegurando que el Programa de Compliance se ajuste a los requisitos, entendiendo por estos aquellos establecidos por la ley y demás regulaciones aplicables a la actividad o negocio. El hecho de tener que asegurar le confiere la mayor responsabilidad sobre los incumplimientos que pudieran producirse. De ahí que una organización que tiene el máximo y total compromiso del Órgano de gobierno con la cultura de las cosas bien hechas tenga el éxito garantizado, lo que no quita que pueda darse alguna situación no deseada o contraria a las expectativas previstas.
Protección de Datos: El Dato
Ahora, cambiemos el tercio e introduzcámonos en la Protección de datos de carácter personal, por supuesto íntimamente vinculada al Compliance, lo que huelga decir a estas alturas en que nos encontramos tras la fuerte irrupción del Compliance de un tiempo a esta parte. Y lo mejor es comenzar por aquello que puede ser más obvio pero no por ello menos importante. Y me refiero a qué es un “Dato”, ni más ni menos.
Si tenemos en cuenta el momento actual, la importancia de los datos es absoluta, llegando incluso a ser considerados como “el petróleo de nuestros días”. Y no le falta razón a quien así los consideró, desde luego que no, Inteligencia Artificial aparte. Pero eso ya nos ocupará más adelante.
El artículo 4 del Reglamento General de Protección de Datos define dato personal como “cualquier información relacionada con una persona física identificada o identificable”. Y no es necesario que dicha información conste por escrito, sino que también puede adoptar la forma de audio o grabación, o una fotografía, por ejemplo.
Persona Identificable
Y dicho esto, ¿qué quiere decir “persona identificable”? Sírvanos esta pregunta para determinar la quinta definición de este artículo.
Pues bien, persona identificable es aquella persona que puede ser identificada a través de lo que se conoce como un identificador, o sea un aspecto o factor que tiene una relación estrecha y cercana a la persona en concreto, como por ejemplo un nombre, un número de identificación, una dirección de e-mail, una característica física.
Tone at the top
Sumerjámonos en el anglicismo “Tone at the top”, tan frecuentemente utilizado cuando queremos situar la responsabilidad en una organización.
Pues bien, esto no quiere decir más que el compromiso para llevar a cabo una gestión ética, apoyada de verdad en un programa de compliance reside “en la cabeza”, “arriba”. Para entendernos mejor, en las personas que lideran y están situadas en posiciones de mando.
En efecto, si arriba no hay compromiso, no hay “tono” (traducción literal de “tone”) no se conseguirá nada, ya que todo emana de ahí, y de ahí hacia abajo. Sencillo!!
Ejemplaridad
Partiendo de esto, podemos ir hacia otro concepto que serviría, y creo que mucho, para empaparnos de ese compromiso y en los distintos niveles de una empresa: la “Ejemplaridad”. Este concepto ya no es una mera declaración de intenciones, o un compromiso escrito y nada más. Al contrario, requiere de mucha práctica y de ejercicio diario para mantenerlo en forma, pues no vale de nada ser ejemplar un día y luego no volver a serlo hasta dentro un mes, por poner un ejemplo. O se es o no se es.
Pero las medias tintas crean incertidumbre, y en el mundo de la empresa un ejemplo a medias no es un buen ejemplo. Dar ejemplo siendo un mando, independientemente del escalafón jerárquico, es una de las mayores fuerzas que existen en el mundo empresarial, ya sea para alcanzar los objetivos como para gestionar equipos. Incluso esto último, a través del buen ejemplo, puede realizarse de forma delegada, compartida y a la vez responsable, apenas sin notarse. Es decir, de forma silenciosa. No olvidemos que no es lo mismo la auctoritas que la potestas.
Función de Compliance
Si Compliance decíamos que era cumplir, incluyendo el conjunto de procedimientos, políticas, protocolos de una organización que aseguran que esta cumpla con las leyes que aplican a su actividad, la “Función de Compliance” es aquella “parte” de la organización que vela por que esto se cumpla, que es lo verdaderamente novedoso en nuestros días desde un plano global, no sectorial como ocurría anteriormente a las diversas reformas del Código Penal acaecidas a partir de 2010.
Lo que antes existía en aquellos sectores excesivamente <o fuertemente> regulados, ahora se ha extendido a cualquier organización y de cualquier sector. De ahí tanto “aluvión” de información al respecto. Es la función la que despliega una serie de acciones todas ellas dirigidas a implementar adecuadamente el programa de Compliance en una organización; asesorar, formar, sensibilizar, auditar, monitorizar, revisar, etc.
Anonimización y Seudonimización
La “Anonimización” es la acción por la cual se separan (hay quien dice desvinculan) por completo los datos personales de aquellos datos identificativos de una persona o individuo, resultando imposible identificarle a través de los datos anonimizados que se han generado nuevos. Esto es lo que la AEPD ha denominado “la ruptura de la cadena de identificación de las personas”.
Un ejemplo de datos así denominados podrían ser las encuestas de población en procentajes, sin que pueda identificarse a las personas que han participado. ¿En el caso de un Canal de denuncias, por ejemplo, habría que anonimizar para extraer información estadística? Tendríamos que considerar la situación de los asuntos contenidos, si están abiertos o concluidos, entre otras cosas, pero esto no nos ocupa en este glosario, aunque os lanzo un buen tema para reflexionar.
Sin embargo, la “Seudonimización” separa todos los datos identificativos, pero los que se generan como seudonimizados mantienen información (datos) adicional que ayuda a identificar de nuevo a las personas; o sea, es un proceso reversible. En este supuesto, el ejemplo más conocido es la sustitución de los nombres por un código, a modo de pseudónimo. Conociendo a quien corresponde ese código asignado, conoceríamos la identidad.
Como podemos apreciar, el mundo del Compliance y de la protección de datos es muy prolijo en cuanto a conceptos y términos, los cuales conviene como mínimo conocer, aunque acabemos acudiendo a los textos para refrescar su significado cuando debamos utilizarlos. Pero no será lo mismo pues ya estaremos familiarizados con el contexto y podremos aplicarlos con más acierto que error.
Esperemos que este sencillo glosario sea útil, al menos eso pretende ser, y su fácil y rápida lectura seguro ayudan a que así sea.
Si quieres conocer más sobre Cumplimiento Normativo y Protección de datos, visita el blog de EIP International Business School, la única escuela de negocios del mercado que te garantiza el empleo.