Compliance – Gestión de riegos

8.1. Marco normativo e introducción al Compliance.
8.2. Metodología para la gestión del cumplimiento normativo (ISO 19600 – Compliance Management Systems (CMS).
8.3. Implantaciones y casos prácticos.

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

Canal de Denúncies?

per

Aquest mes de maig hem celebrat els cinc anys des de que va entrar en aplicació el Reglament General de Protecció de Dades. Amb les seves llums i les seves ombres, sembla clar que ha estat un pas molt important per la defensa de la nostra privacitat.

Doncs bé, el proper dia 13 de juny entra en aplicació una nova Llei, important per el compliment normatiu de les empreses: el conegut com “Canal de Denúncies”.

Antecedents

Transposant una Directiva europea, el passat 16 de febrer, el Congrés va aprovar la Llei 2/2023 Reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció. La Llei obliga, doncs, a empreses i entitats a habilitar un Canal de denúncies o canal intern de informació.

Què pretén la norma?

Protegir les persones que, en un context laboral o professional, detectin accions o omissions que puguin ser constitutives d’ infracció penal o administrativa greu o molt greu i les comuniquin mitjançant els mecanismes regulats en aquesta.

Què és un Canal de Denúncies?

És un sistema d’alertes que avisa la unitat responsable de compliment normatiu sobre presumptes males pràctiques en la gestió d’una empresa o organització. La prioritat d’ aquests canals és protegir les persones que denuncien, en especial, les que treballen en l’organització o estan relacionades amb aquesta i han de permetre realitzar la denúncia de forma completament confidencial i, si s’ escau, anònima.

És important per l’empresa?

És important per diverses raons. Aquí n’apuntem les principals que veurem en detall en un proper post.

  1. Detecció primerenca d’ irregularitats
  2. Prevenció de riscos i pèrdues financeres
  3. Foment de l’ètica i la transparència
  4. Compliment normatiu i legal
  5. Millora de la gestió de riscos
  6. Protecció de la reputació de l’empresa

En resum, proporciona als empleats i altres parts interessades una forma segura i confidencial d’informar sobre possibles problemes, la qual cosa beneficia tant l’organització com els seus stakeholders.

Qui està obligat?

Com a criteri general, a partir del 13 de juny totes les empreses públiques i privades de més de 250 treballadors i l’1 de desembre, les empreses de més de 50 treballadors.

Multes i sancions

No tenir Canal o incomplir les obligacions pot comportar una multa lleu fins a 25.000€. Les greus, per limitar drets i garanties, vulneració de la confidencialitat o no garantir el secret de les comunicacions, poden arribar als 50.000€. Les molt greus, bretxa de seguretat en el Canal, no comptar amb un sistema intern d’informació o adoptar represàlies, pot comportar multes molt importants. En el cas de la bretxa, s’aplicarien les sancions previstes en el RGPD (fins a 20M€ o el 4% de la facturació anual).

Què hem de fer?

Complir. Les normatives no són optatives. I no ja per les sancions, que no són plat de bon gust per a ningú, si no per les raons que hem detallat quan parlàvem de la importància que té per l’empresa.

I l’actiu intangible més important que té l’empresa és la salvaguarda de la seva reputació. No ho oblidem.

Cuideu-vos!

Nou Curs de Compliance Penal dissenyat per Molins Defensa Penal

per

Des de Tecnolawyer Academy ens satisfà anunciar el llançament d’una sèrie de Cursos de Formació online en matèria de Dret penal i de Compliance, desenvolupats conjuntament amb Molins Defensa Penal.

El primer és el Curs de Compliance per Empresaris, Professionals, Directius i Estudiants. El contingut ha estat dissenyat per advocats i doctors en Dret, penal especialistes en matèria de Compliance de Molins Defensa Penal i desenvolupat tècnicament per Tecnolawyer.

El Curs permet conèixer la situació actual a Espanya en matèria de responsabilitat penal de les persones jurídiques, així com els requisits que ha de contemplar tot Sistema de Compliance penal. D’aquesta manera, el destinatari podrà conèixer no només l’estat regulatori, sinó comprendre els fonaments bàsics d’un Sistema de Compliance penal i la seva posada en pràctica requisit per requisit.

S’orienta a empresaris, professionals, directius i estudiants que vulguin obtenir un coneixement transversal en matèria de Compliance penal per a la posterior posada en pràctica a l’empresa o desenvolupament professional.

Els nostres avantatges:

  • 3 hores de durada
  • Àudios de reforç
  • Situacions pràctiques
  • Jurisprudència
  • Materials descarregables
  • 30 dies per realitzar el Curs
  • Test final amb Acreditació
  • Garantia d’excel·lència acadèmica

Més informació

La ciberseguridad sigue siendo una materia suspendida y pendiente

per

La norma ISO 27001 establece las pautas para implementar y mantener un sistema de gestión de seguridad de la información efectivo según criterios aceptados internacionalmente. El seguimiento de este protocolo da derecho a la empresa u organismo a obtener una certificación temporal, se mantiene por tres años, que acredita la seguridad de los datos.

El bajo nivel de ciberseguridad en España

En España son todavía muy pacas las empresas que cuentan con este tipo de certificación que en otros países es casi un requisito imprescindible. Esto nos puede arrojar una idea del deficitario nivel de ciberseguridad que mantenemos en el parque empresarial español y que afecta principalmente a las pequeñas y medianas empresas.

En 2016 el Ministerio del Interior estableció la cifra de ciberataques sufridoss en 105.000. A pesar de esto y de las constantes noticias sobre la penetración por una brecha de seguridad de sistemas de grandes compañías, la empresa española sigue cerrando los ojos ante este problema.

El 47 % de las pymes tiene problemas para adaptarse a la normativa. Sorprende ver un gran número de páginas webs que ni siquiera presentan el obligado aviso de privacidad y constatar como muchas de las empresas que recaban datos personales a través de landing pages no cumplen con los requisitos de registro y planes de seguridad establecidos por ley.

Pero ni siquiera las fuertes sanciones que ya se vienen produciendo parecen tener capacidad de sensibilizar al sector empresarial del grave problema al que se enfrentan. Y así, nuestro país se sitúa a la cola del mundo en este campo como ya se estableció en el informe del Índice Mundial de Ciberseguridad y Perfiles del Bienestar del año 2015.

Una imagen que se proyecta al usuario

Sin embargo, como usuarios cada día valoramos más la imagen que nos traslada la empresa a través de su presencia online. Empezamos a rechazar acceder a páginas que no presentan un certificado SSL o que, por cualquier circunstancia, puedan darnos la impresión de que nuestros datos no van a ser tratados con el rigor que precisan.

La ciberseguridad es la asignatura pendiente de la empresa española. Una cuestión que comienza a afectar seriamente a su reputación y que incide directamente en sus expectativas de negocio.

No solo es necesario ya emplear herramientas y recursos para contar con un perfecto SGSI, sino demostrarlo y exhibirlo como arma de reputación que exponga la responsabilidad y confiabilidad de la empresa. 

Certificados SSL, plataformas de pago seguras, cumplimiento de legalidad aparente y demostrable y certificaciones ISO 27001 son elementos de reputación que trasmiten valor a los clientes.

El 47 por ciento de las pymes admiten que les cuesta adaptarse a la política de cumplimiento normativo

per
El 47 por ciento de las pymes admiten que les cuesta adaptarse a la política de cumplimiento normativo

El 47 por ciento de los participantes en el Primer Diálogo de Compliance ASCOM, celebrado el pasado jueves en el Colegio de Abogados de Barcelona (ICAB) -todos representantes de las asociaciones empresariales PIMEC y Foment del Treball-, admitieron, en una encuesta, que les cuesta adaptarse a la política de cumplimiento normativo impuesta por el legislador. La pregunta que se les planteó era si las empresas están preparadas para afrontar esos retos. La respuesta fue […]

La llegada de IDD y su impacto en la privacidad

per
La llegada de IDD y su impacto en la privacidad

“La llegada de IDD y su impacto en la privacidad”, tribuna de Inmaculada Aller, abogada de ECIJA para The Law Clinic. Los principales cambios que se introducen con La Directiva 2016/97 del Parlamento Europeo y del Consejo del 20 de enero de 2016, sobre la distribución de seguros, (en adelante, IDD) y su impacto en la Privacidad y la normativa de Protección de Datos, la cual debería haber sido objeto de transposición con fecha […]

Peritos Judiciales, parte determinante y decisiva en cualquier proceso

per
Peritos Judiciales, parte determinante y decisiva en cualquier proceso

La labor de los peritos es fundamental a la vez que determinante en muchos casos en los que se precisa de valoraciones tan precisas como podría ser el valor de unos bienes para ser embargados, en el caso del reparto de bienes dentro del marco de una herencia así como en otros procesos en los que su papel resulta determinante para poder dictar una sentencia que precise de este tipo de valoraciones que en […]

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web