Seguro que últimamente has oído hablar mucho de estas tres figuras.
Aunque en muchas ocasiones estas figuras del cumplimiento normativo comparten una visión, cada una tiene su particularidad y especialidad que les permite actuar de manera complementaria en el cumplimiento normativo.
Director de Seguridad, Compliance Officer y Delegado de Protección de Datos, como parte del equipo de defensores de la organización en materia de cumplimiento normativo.
En estas líneas pretendo explicar las similitudes y diferencias entre cada uno de ellos.
Hemos de destacar que el Director de Seguridad es personal de seguridad privada, sujeto a habilitación administrativa (Ministerio del Interior). Y se regula en la Ley 5/2014, de Seguridad Privada.
Respecto a la entidad o empresa en la que prestan sus servicios, los directores de seguridad ejercerán las siguientes funciones:
Con la legislación vigente , existirá un Director de Seguridad en los siguientes supuestos:
El Compliance Officer es el defensor por excelencia de las buenas prácticas organizacionales. Como todo miembro de un equipo, tiene una misión y unas características que hacen que su perfil sea único.
El Compliance Officer debe reunir una serie de atributos como:
El Compliance Officer no es un especialista, sino un generalista.
Su experiencia y su conocimiento de las buenas prácticas, así como del negocio y la organización, le permiten detectar situaciones de riesgo antes de que lleguen a un punto crítico.
También es quien vela porque se implementen las acciones y controles en el momento oportuno y en las áreas más sensibles, valiéndose de esa visión amplia que tiene de la realidad organizacional.
Cuando la organización apunta a una estrategia demasiado arriesgada o agresiva en una de sus áreas de negocio, el Compliance Officer tendrá que contar con un sensor que le permita atajar el problema y plantear la necesaria discusión con la alta dirección. Y proponer las medidas para evitar que se materialice una conducta indebida.
Se espera que el Compliance Officer aporte un buen balance en sus habilidades, combinando la empatía y el don de gentes con el conocimiento jurídico.
Es clave esa capacidad de empatizar con el entorno y transmitir los mensajes de “por qué debemos hacer lo correcto”. A la vez que entiende las motivaciones del resto de la organización para tomar ciertas decisiones.
No basta con que un Compliance Officer “prohíba el riesgo”, pues esto es imposible.
Deberá ser lo suficientemente hábil como para captar los objetivos de la organización, capturar las necesidades y establecer unos límites en los cuales la organización pueda seguir operando para alcanzar esos objetivos.
Por otra parte, el Compliance Officer también debe tener conocimientos jurídicos.
Aunque en algunos casos el responsable del cumplimiento no es jurista (el Compliance Officer no debe obligatoriamente ser abogado, o Director de Seguridad), el mejor Compliance Officer debe conocer todas esas disciplinas. Pero son sus atributos personales, su conocimiento y autoridad en la empresa lo que lo hará realmente apto para llevar a cabo la función.
Para poder actuar de “sensor” requiere conocer las normas de obligatorio cumplimiento de la empresa. Esto implica que si no es jurista, al menos debe contar con el soporte experto de abogados externos a quien pueda desviar las consultas.
Para ello es clave el factor humano, pues deberá comprender las motivaciones del personal, de los clientes y de terceros para poder desarrollar soluciones que éstos consideren válidas.
Un Compliance Officer no se limitará a investigar y a sancionar. Sino que buena parte de su trabajo depende de su habilidad de generar conciencia y reforzar el buen cumplimiento normativo desde la prevención. Y ello sólo se logra comunicando bien.
Un buen Compliance Officer tiene que estar dispuesto a estar en desacuerdo con la dirección si se toman decisiones que pueden perjudicar al negocio. Aunque esto implique iniciar una guerra interna.
Si el criterio técnico del Compliance Officer, sustentado adecuadamente por los hechos, sus propios dictámenes, la opinión de consultores externos, y cualquier otro recurso que estime necesario, determina que una decisión operativa o estratégica pone en riesgo los mejores intereses del negocio, deberá defenderlo hasta sus últimas consecuencias.
Esto no implica desoír los argumentos ajenos. Sino ser conscientes de que no hay forma de que una justificación económica, técnica o personal se imponga a la obligación de hacer las cosas en apego a la Ley.
La resolución en caso de llegar a esta coyuntura siempre debe pasar por el más riguroso análisis por parte de los involucrados, para garantizar que se cumpla con las normas.
El Compliance Officer requiere de otros compañeros que manejen los distintos bloques de cumplimiento, en la medida en que la organización va creciendo y se potencian sus riesgos.
Por eso, el RGPD (Reglamento UE) nos ha traído al DPD, Delegado de Protección de Datos.
El Delegado de Protección de Datos (DPD), aunque comparte el mismo objetivo general que tiene el Director de Seguridad (identificar, analizar y evaluar situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio) y que el Compliance Officer (mitigar riesgos de incumplimiento normativo y evitar así perjuicios económicos y reputacionales), tiene su propia manera de hacer las cosas.
Y cuenta con un set de habilidades particulares.
Una gran ventaja que tienen el Director de Seguridad y el DPD, al menos en el entorno europeo, es que sus funciones están bastante mejor definidas que las del Compliance Officer. Ya que la Ley 5/2014, de seguridad privada en su artículo 36 y el propio RGPD establece en su artículo 39 cuáles son.
En cuanto a su set de habilidades, el perfil tecnológico del DPD marca la diferencia.
El DPD debe tener un amplio conocimiento de las nuevas tecnologías, no sólo a nivel de usuario sino a nivel de despliegue.
Se trata de un rol que debe saber valerse de todos los recursos disponibles para detectar y prevenir brechas de seguridad que pueda comprometer la información de la organización. Abarcando no sólo los datos personales en particular, sino cualquier dato o documentación sensible que mantenga la organización en general.
Si el Compliance Officer recurre a la ley, a las políticas y a las buenas prácticas, el DPD debe recurrir a las herramientas tecnológicas, actualizándose permanentemente.
Al igual que el Compliance Officer, el DPD debe conocer las normas legales aplicables, si bien en este caso ya no se trata de un generalista sino de alguien que:
El DPD también debe mantener su independencia de criterio a la hora de dar sus recomendaciones de actuación, toda vez que está resguardando un bien jurídico de la organización.
Más allá de la voluntad de la alta dirección, la responsabilidad del DPD es con los accionistas. Y deberá actuar para proteger sus mejores intereses, garantizando el cumplimiento de las disposiciones previstas en materia de protección de datos.
El DPD deberá hacer requerimientos tanto a procesadores como a controladores de datos. Y tendrá que establecer procesos para reducir la probabilidad de que se materialicen brechas de seguridad.
Para ello no basta con establecer un protocolo automático en un sistema. Es necesario generar un alto nivel de concienciación para mantener comprometidos a los usuarios en la ejecución de medidas que suelen ser tediosas para los trabajadores. Como por ejemplo el cambio periódico de contraseñas.
¿Ya sabes quién es quién?
Espero que me comentes cualquier duda que te surga en relación a estas figuras.