Compliance Officer, Director de Seguridad y DPO, ¿Quién es quién?

0

Seguro que últimamente has oído hablar mucho de estas tres figuras.

Aunque en muchas ocasiones estas figuras del cumplimiento normativo comparten una visión, cada una tiene su particularidad y especialidad que les permite actuar de manera complementaria en el cumplimiento normativo.

Director de Seguridad, Compliance Officer y Delegado de Protección de Datos, como parte del equipo de defensores de la organización en materia de cumplimiento normativo.

En estas líneas pretendo explicar las similitudes y diferencias entre cada uno de ellos.

Director de Seguridad

Hemos de destacar que el Director de Seguridad es personal de seguridad privada, sujeto a habilitación administrativa (Ministerio del Interior). Y se regula en la Ley 5/2014, de Seguridad Privada.

Funciones

Respecto a la entidad o empresa en la que prestan sus servicios, los directores de seguridad ejercerán las siguientes funciones:

  • La dirección, organización, administración e inspección de los servicios y recursos de seguridad privada disponibles.
  • El reconocimiento, estudio y evaluación de situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio.
  • La regulación, planificación y control de las actividades necesarias para la aplicación de las medidas conducentes a evitar, proteger y reducir la aparición de cualquier tipo de riesgos con medidas adecuadas. A través de la confección y mejora de los planes de seguridad aplicables.
  • La verificación del funcionamiento y conservación de los sistemas de seguridad privada.
  • La aprobación provisional, hasta la confirmación, en su caso, por parte de la Administración, de las medidas de seguridad en lo referente a su adecuación a la normativa de seguridad privada.
  • La verificación de que las empresas de seguridad privada contratadas y los sistemas de seguridad privada instalados, satisfacen las exigencias de homologación de los organismos competentes.
  • La notificación a las Fuerzas y Cuerpos de Seguridad competentes de las informaciones o circunstancias con relevancia para la seguridad ciudadana. Y de los actos delictivos que conozca en el desempeño de sus funciones.
  • El diálogo y enlace con la Administración, especialmente con las Fuerzas y Cuerpos de Seguridad, en relación a la función de seguridad integral de la entidad, empresa o grupo empresarial que les tenga contratados, referido al cumplimiento normativo sobre gestión de todo tipo de riesgos.
  • La verificación de los aspectos imprescindibles sobre el personal que, en el ejercicio de las funciones atribuidas, necesite acceder a áreas o informaciones. Para asegurar la protección efectiva de su entidad, empresa o grupo empresarial.

Casos en los que debe nombrarse

Con la legislación vigente , existirá un Director de Seguridad en los siguientes supuestos:

  • Existencia obligatoria por normativa específica de seguridad privada.
    • En los supuestos establecidos por la Ley 5/2014, de Seguridad Privada.
    • En los supuestos establecidos por el Reglamento de Seguridad Privada.
  • Existencia obligatoria por otras normativas sectoriales.
    • Deporte profesional
    • Infraestructuras críticas
    • Instalaciones y transporte de materiales nucleares
  • Existencia facultativa, discrecional o voluntaria (art. 115 R.D. 2364/1994, Reglamento de Seguridad Privada).

Compliance Officer

El Compliance Officer es el defensor por excelencia de las buenas prácticas organizacionales. Como todo miembro de un equipo, tiene una misión y unas características que hacen que su perfil sea único.

Cualidades

El Compliance Officer debe reunir una serie de atributos como:

Aporta visión integral al negocio

El Compliance Officer no es un especialista, sino un generalista.

Su experiencia y su conocimiento de las buenas prácticas, así como del negocio y la organización, le permiten detectar situaciones de riesgo antes de que lleguen a un punto crítico.

También es quien vela porque se implementen las acciones y controles en el momento oportuno y en las áreas más sensibles, valiéndose de esa visión amplia que tiene de la realidad organizacional.

Cuando la organización apunta a una estrategia demasiado arriesgada o agresiva en una de sus áreas de negocio, el Compliance Officer tendrá que contar con un sensor que le permita atajar el problema y plantear la necesaria discusión con la alta dirección. Y proponer las medidas para evitar que se materialice una conducta indebida.

Tiene habilidades humanas y jurídicas

Se espera que el Compliance Officer aporte un buen balance en sus habilidades, combinando la empatía y el don de gentes con el conocimiento jurídico.

Es clave esa capacidad de empatizar con el entorno y transmitir los mensajes de “por qué debemos hacer lo correcto”. A la vez que entiende las motivaciones del resto de la organización para tomar ciertas decisiones.

No basta con que un Compliance Officer “prohíba el riesgo”, pues esto es imposible.

Deberá ser lo suficientemente hábil como para captar los objetivos de la organización, capturar las necesidades y establecer unos límites en los cuales la organización pueda seguir operando para alcanzar esos objetivos.

Por otra parte, el Compliance Officer también debe tener conocimientos jurídicos.

Aunque en algunos casos el responsable del cumplimiento no es jurista (el Compliance Officer no debe obligatoriamente ser abogado, o Director de Seguridad), el mejor Compliance Officer debe conocer todas esas disciplinas. Pero son sus atributos personales, su conocimiento y autoridad en la empresa lo que lo hará realmente apto para llevar a cabo la función.

Para poder actuar de “sensor” requiere conocer las normas de obligatorio cumplimiento de la empresa. Esto implica que si no es jurista, al menos debe contar con el soporte experto de abogados externos a quien pueda desviar las consultas.

Es buen comunicador y mentor

Para ello es clave el factor humano, pues deberá comprender las motivaciones del personal, de los clientes y de terceros para poder desarrollar soluciones que éstos consideren válidas.

Un Compliance Officer no se limitará a investigar y a sancionar. Sino que buena parte de su trabajo depende de su habilidad de generar conciencia y reforzar el buen cumplimiento normativo desde la prevención. Y ello sólo se logra comunicando bien.

Tiene independencia de criterio

Un buen Compliance Officer tiene que estar dispuesto a estar en desacuerdo con la dirección si se toman decisiones que pueden perjudicar al negocio. Aunque esto implique iniciar una guerra interna.

Si el criterio técnico del Compliance Officer, sustentado adecuadamente por los hechos, sus propios dictámenes, la opinión de consultores externos, y cualquier otro recurso que estime necesario, determina que una decisión operativa o estratégica pone en riesgo los mejores intereses del negocio, deberá defenderlo hasta sus últimas consecuencias.

Esto no implica desoír los argumentos ajenos. Sino ser conscientes de que no hay forma de que una justificación económica, técnica o personal se imponga a la obligación de hacer las cosas en apego a la Ley.

La resolución en caso de llegar a esta coyuntura siempre debe pasar por el más riguroso análisis por parte de los involucrados, para garantizar que se cumpla con las normas.

Delegado de Protección de Datos

El Compliance Officer requiere de otros compañeros que manejen los distintos bloques de cumplimiento, en la medida en que la organización va creciendo y se potencian sus riesgos.

Por eso, el RGPD (Reglamento UE) nos ha traído al DPD, Delegado de Protección de Datos.

El Delegado de Protección de Datos (DPD), aunque comparte el mismo objetivo general que tiene el Director de Seguridad (identificar, analizar y evaluar situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio) y que el Compliance Officer (mitigar riesgos de incumplimiento normativo y evitar así perjuicios económicos y reputacionales), tiene su propia manera de hacer las cosas.

Y cuenta con un set de habilidades particulares.

Una gran ventaja que tienen el Director de Seguridad y el DPD, al menos en el entorno europeo, es que sus funciones están bastante mejor definidas que las del Compliance Officer. Ya que la Ley 5/2014, de seguridad privada en su artículo 36 y el propio RGPD establece en su artículo 39 cuáles son.

Perfil

En cuanto a su set de habilidades, el perfil tecnológico del DPD marca la diferencia.

Vocación tecnológica

El DPD debe tener un amplio conocimiento de las nuevas tecnologías, no sólo a nivel de usuario sino a nivel de despliegue.

Se trata de un rol que debe saber valerse de todos los recursos disponibles para detectar y prevenir brechas de seguridad que pueda comprometer la información de la organización. Abarcando no sólo los datos personales en particular, sino cualquier dato o documentación sensible que mantenga la organización en general.

Si el Compliance Officer recurre a la ley, a las políticas y a las buenas prácticas, el DPD debe recurrir a las herramientas tecnológicas, actualizándose permanentemente.

Conocimientos jurídicos

Al igual que el Compliance Officer, el DPD debe conocer las normas legales aplicables, si bien en este caso ya no se trata de un generalista sino de alguien que:

  • provenga del área de auditoría informática o del ámbito jurídico,
  • maneje la legislación en protección de datos, en seguridad de la información,
  • se actualice constantemente y según el caso en regulaciones del entorno digital, e-commerce, blockchain, IoT, etc.

Independencia

El DPD también debe mantener su independencia de criterio a la hora de dar sus recomendaciones de actuación, toda vez que está resguardando un bien jurídico de la organización.

Más allá de la voluntad de la alta dirección, la responsabilidad del DPD es con los accionistas. Y deberá actuar para proteger sus mejores intereses, garantizando el cumplimiento de las disposiciones previstas en materia de protección de datos.

Liderazgo

El DPD deberá hacer requerimientos tanto a procesadores como a controladores de datos. Y tendrá que establecer procesos para reducir la probabilidad de que se materialicen brechas de seguridad.

Para ello no basta con establecer un protocolo automático en un sistema. Es necesario generar un alto nivel de concienciación para mantener comprometidos a los usuarios en la ejecución de medidas que suelen ser tediosas para los trabajadores. Como por ejemplo el cambio periódico de contraseñas.

¿Ya sabes quién es quién?

Espero que me comentes cualquier duda que te surga en relación a estas figuras.

 

Compliance Officer, Director de Seguridad y DPO, ¿Quién es quién?
4.7 (93.33%) 6 votos