El compliance tecnológico es una herramienta jurídica clave para evitar no solo sanciones, sino pérdidas financieras y de reputación y daños económicos a terceros, defiende en esta tribuna Francisco José Fernández Romero, socio-director de Cremades & Calvo Sotelo Sevilla
Las empresas del sector de las Tecnologías de la Información y las Comunicaciones (TIC) están particularmente expuestas a las cuestiones legales relacionadas con ciberseguridad y protección de datos empresariales. Por eso, algunas requieren el desarrollo por bufetes especializados de programas de cumplimiento más específicos, centrados en esta materia.
Es el llamado compliance tecnológico, un programa orientado a establecer la propiedad de los sistemas operativos, delimitar el acceso por parte de los usuarios, la asignación de claves y política de contraseñas, la gestión de incidencias, uso de los recursos telemáticos y dispositivos fuera y dentro de la empresa, así como las licencias de software y la confidencialidad y protección de datos, entre otras cuestiones.
Las políticas de cumplimiento actúan tanto reduciendo la probabilidad de que ocurran las infracciones, como reduciendo la vulnerabilidad y daños frente a esas infracciones, asumiendo que estas podrían llegar a ocurrir a pesar de las medidas y procedimientos adoptados. Los riesgos de no hacerlo son los siguientes:
En la llamada economía del buen nombre, el valor de la marca de organización y su reputación, basada en la confianza, conforman uno de sus mayores activos. La reputación se gana en muchos años y se pierde en cinco minutos
Sanciones – Estamos hablando de sanciones administrativas (dictadas por organismos supervisores) y también penales (impuestas por tribunales de justicia). Las sanciones administrativas más graves pueden llegar incluso a la pérdida de la licencia o al cierre de la organización. En el ámbito penal, las multas pueden ser tan elevadas que pueden conllevar la disolución empresarial.
Pérdidas financieras – No estamos hablando en este caso de las motivadas por las sanciones. En otras ocasiones, pueden estar dadas por compensaciones a clientes para subsanar malas prácticas. Además, la fuga de clientes, consecuencia de la pérdida de confianza que generan los escándalos corporativos, son otra fuente de pérdidas económicas. Y en las pymes pueden darse simplemente por no haber contemplado la inversión necesaria para la protección de datos y derechos. Una mala planificación, sin tener en cuenta el aspecto regulatorio, puede arruinar un proyecto empresarial nada más nacer.
Deterioro de la reputación – En una era de transparencia, en la que las empresas están expuestas cada vez más al juicio del público, no solo a través de los medios, sino de las redes sociales, los incumplimientos demostrables, y sobre todo la ausencia de mecanismos y controles para prevenirlos, dejan a las empresas sin defensa ante la opinión pública. Probablemente el impacto reputacional es el más grave de los derivados del incumplimiento. En la llamada economía del buen nombre, el valor de la marca de organización y su reputación, basada en la confianza, conforman uno de sus mayores activos. La reputación se gana en muchos años y se pierde en cinco minutos.
Daños a terceros – El daño o detrimento causado a clientes y stakeholders es otro riesgo de las empresas que no desarrollan políticas de cumplimiento para la protección de la seguridad de sus datos. Así, el concepto de riesgo de conducta vinculado a la industria financiera pone el foco en los clientes y en la integridad de los mercados financieros. El objetivo debe ser velar porque los clientes y destinatarios de servicios no obtengan ningún mal resultado y su integridad no se vea dañada.
Exclusión de las licitaciones públicas (y cada vez más privadas) – Cada vez es más común la exigencia de una política de cumplimiento por parte de las administraciones desde la contratación o incluso a la hora de solicitar ciertas subvenciones. Pero esa exigencia trasciende al ámbito público y llega ya también al ámbito privado. Hay muchas empresas que para entablar colaboraciones exigen, como primer y esencial requisito, la implantación del compliance.
Cualquiera de los resultados detalladas anteriormente pueden producirse por una mala conducta no ya de la organización sino de uno o varios individuos de la misma, y que implique la vulneración de las leyes y normativas de desarrollo, el incumplimiento de las políticas internas, y la vulneración de los códigos éticos y de conducta. No basta con conocerlas y en su caso crearlas y comunicarlas, es necesario establecer los mecanismos para garantizar su aplicación.
Francisco José Fernández Romero es socio-director de Cremades & Calvo Sotelo (Sevilla)