Compliance y protección de datos son dos términos estrechamente relacionados. Podemos definir “compliance” como el conjunto de buenas prácticas y procedimientos adoptados por las empresas, organizaciones, compañías y demás personas jurídicas con el objetivo de poder identificar y clarificar los riesgos de carácter legal y operativos a los que se enfrenta la empresa para poder establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.
El compliance está indicado para mitigar especialmente los riesgos de incumplimiento, estos riesgos pueden provenir de distintas fuentes como:
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Cualquier otro incumplimiento que genere responsabilidad penal, administrativa o cualquier otro tipo de responsabilidad como consecuencia de la actualización de la persona jurídica o de su falta de prevención.
Función del compliance officer según la última reforma del Código Penal
La última reforma del Código Penal que entró en vigor en julio de 2015 introdujo una novedad en nuestro sistema penal, un catálogo de 26 categorías de delitos por los que se puede condenar penalmente a la persona jurídica y, a su vez, reguló cómo podía ser exonerada o atenuada dicha responsabilidad en caso de comisión de un delito a través de modelos de organización y gestión, es decir, a través del cumplimiento normativo o compliance penal.
La función principal del compliance officer dentro de una organización es informar sobre los posibles riesgos e incumplimientos que afectan a la organización. Se trata de una función que, para poder cumplir de manera eficaz y adecuada, requiere ejecutar una serie de tareas de seguimiento, control, implementación, capacitación y notificación a los órganos de gobierno de la empresa.
Responsabilidad proactiva del compliance
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales (LOPD) han introducido un importante cambio en su aplicación, ya que se ha pasado de una proyección reactiva, ante cualquier tipo de contingencia o conflicto, a una preventiva.
Entre los principios regulados por el RGPD encontramos el principio denominado de “responsabilidad proactiva”, expresión que pretende traducir el término inglés “accountability”, según el cual los responsables del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que prevé el RGPD, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Delegado de protección de datos
La figura del delegado de protección de datos (DPD) constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.
Tanto el RGPD como la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales regulan de forma detallada las funciones del Delegado de Protección de Datos.
El artículo 39 del RGPD que enumera algunas de estas funciones inherentes y mínimas especifica que “el delegado de protección de datos tendrá como mínimo las siguientes funciones”, con la idea de señalar que esta lista será meramente ejemplificativa, sin perjuicio de las funciones que le pudieran ser asignadas por el responsable o encargado del tratamiento. Estas funciones son:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el RGPD o, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto (EIPD) relativa a la protección de datos y supervisar su aplicación.
- Cooperar con la autoridad de control, la Agencia Española de Protección de Datos, la Agencia Catalana de Protección de Datos o la Agencia Vasca de Protección de Datos, según corresponda.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a la autoridad de control, y realizar consultas, en su caso, sobre cualquier otro asunto.
El DPD debe desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
¿Puede designarse a una misma persona como el compliance officer y el delegado de protección de datos?
Como ha quedado patente Compliance y protección de datos son dos términos estrechamente relacionados. Para llevar a cabo la estrategia de cumplimiento debe designarse internamente en la organización a un órgano unipersonal o colegiado de cumplimiento que deberá centralizar todo el proceso de diseño, desarrollo y gestión del programa de cumplimiento.
Cada compañía debería analizar cuidadosamente los recursos con los que cuenta y a quién o quiénes designa como órgano de cumplimiento, así como cuales serían las funciones que se podrían externalizar por falta de conocimiento o recursos. En base a la normativa y buenas prácticas, lo más razonable parece que la figura del Compliance Officer sea en todo caso un órgano interno en la organización.
En el caso del DPD se podría optar por una figura interna como por un DPD externo. La elección puede depender tanto del momento por el que atraviesa la empresa como de las características, tamaño y estructura de esta.
Para dar respuesta a la cuestión planteada se debe estudiar la casuística de cada caso concreto objeto de decisión. Podría plantear potenciales riesgos aunar las responsabilidades del Compliance Officer y el DPD en un mismo órgano dado que estas figuras cuentan con distintos niveles de control y decisión, el de la auditoría es el más evidente.