Entorno de regulación creciente

El cumplimiento regulatorio (Compliance) es la disciplina corporativa responsable de conocer y garantizar el cumplimiento de las diferentes leyes y regulaciones que aplican a la empresa. En el caso de empresas grandes, en sectores fuertemente regulados, es muy habitual que dispongan de departamentos de Compliance, liderados por el CCO (Chief Compliance Officer). También existen paneles de expertos y asociaciones de Compliance tales como la ICA (International Compliance Association), que ayudan a la creación de estándares y forman a los profesionales.

Algunos  ejemplos de regulaciones sectoriales son IFRS (International Financial Reporting Standards), FATCA (Foreign Account Tax and Compliance Act) en banca, y HIPAA (Health Insurance Portability and Accountability Act) en sanidad, entre muchas otras.

Con la progresiva digitalización de la actividad económica en la sociedad de las últimas décadas, ha aumentado la regulación y la necesidad de Compliance en el mundo tecnológico. Prueba de ello es que el estándar de referencia de Seguridad de la Información: ISO27001, incluye un dominio entero dedicado a Compliance, ya desde su aparición, en el año 2005.

Compliance en la empresa pequeña y mediana

Para las este tipo de empresas, el Compliance es una disciplina relativamente poco conocida y desarrollada, y limitada muchas veces a la consulta de aspectos legales a bufetes de abogados especializados. Debido a todo lo anterior, y a la aparición de nuevas regulaciones del mundo digital, que aplican a todo tipo de empresas e introducen gran complejidad de gestión, toma una relevancia creciente la disciplina de Compliance también en la pequeña y mediana empresa.

La regulación estrella a nivel mundial en los últimos años es la relativa a protección de datos personales. La GDPR (General Data Protection Regulation) europea y la CCPA (California Consumer Privacy Act) en Estados Unidos son dos claros exponentes de ello.  En el caso de Chile, existe la ley 19.628 de 1999 sobre la protección de la vida privada, y adicionalmente en 2018 se modificó el artículo 19 de la Constitución para incluir el derecho a la protección de datos personales, como derecho fundamental de las personas. Una particularidad muy relevante de la GDPR europea es que exige su cumplimiento a cualquier tipo de negocio, de cualquier tamaño y  de cualquier país que procese datos de ciudadanos europeos, es decir, que se tiene que cumplir también fuera de los países europeos. Otro aspecto importante a considerar es la cuantía de las sanciones impuestas, que puede llegar al 4% de la facturación anual de la empresa.

Actualmente, la adecuación a GDPR (o regulaciones similares) está siendo el detonante principal a nivel mundial para el Compliance en las empresas pequeñas y medianas. El cumplimiento GDPR es realmente complejo, dado que incluye aspectos legales, requiere un alto grado de despliegue de ciberseguridad, requiere disponer de arquitecturas tecnológicas avanzadas que habiliten los requerimientos de derecho al olvido, anonimización de datos, portabilidad de datos, conocimiento de los datos personales que tiene la empresa de cada individuo … así como la gestión óptima del ciclo de vida de los datos personales.

La buena noticia relativa al Compliance GDPR (o similares) es que es la oportunidad ideal para adecuar el negocio al mundo digital, donde los datos son la materia prima del futuro, o quizá mejor dicho, ya del presente. Esto aporta gran valor añadido, dado que una empresa que cumple GDPR demuestra un alto grado de organización interna, ciberseguridad, tecnologías de la información avanzadas y buen gobierno de los datos.

Debido a ciertas limitaciones de conocimiento, o de estructura, la manera ideal de abordar el Compliance en general para las empresas pequeñas y medianas debería ser contactar con consultores expertos en privacidad, con perfiles legales, tecnológicos, de ciberseguridad, de ciencia de datos,.. y dejarse asesorar al respecto. Hoy en día se pueden desplegar muchas funcionalidades en los ámbitos anteriores “As a Service”, y por tanto externalizar las capacidades no disponibles en la empresa, con un costo moderado. 

Evalúa la situación de tu empresa

El sector de Tecnologías de la Información está pasando muy rápidamente de ser un sector sorprendentemente poco regulado a pesar de su relevancia histórica en numerosos servicios críticos, a estar en el ojo del huracán de los reguladores, debido sobre todo ciertas prácticas abusivas (y hasta desconocidas) detectadas en los grandes players digitales: Google, Facebook, Amazon, Apple … Es por ello que el Compliance pasa a ser un aspecto muy relevante en las empresas de los negocios digitales de hoy en día, por lo que se puede considerar un diferenciador estratégico en empresas de todo tipo y tamaño.

Por ello, si en tu empresa aún no están abordando de manera adecuada el cumplimiento regulatorio, es el momento para consultar a expertos que hagan una evaluación y puedan recomendar acciones para realizar.. También puedes ampliar tu información consultando directamente la norma ISO27001.