Cómo adaptar las políticas de buen gobierno y cumplimiento al nuevo RGPD

En las últimas semanas, cualquier usuario de Internet ha recibido decenas de mensajes indicando la necesidad de renovar su interés en la recepción de ‘newsletters’ o listas de suscripción. Esta es la parte más visible, aunque tan solo la punta del iceberg, de la Regulación EU 2016/679 sobre Protección de Datos de la Unión Europea –más conocida como RGPD o Reglamento General de Protección de Datos-, que se encuentra operativa desde el pasado 25 de mayo.
Joao Claro8 junio 2018

El objetivo del Reglamento es fortalecer y unificar la protección de datos para todos los individuos de la Unión y tiene implicaciones profundas en todos los procesos de negocio de las empresas. ¿Las tiene también en lo que respecta a la responsabilidad corporativa en referencia al buen gobierno y cumplimiento normativo? La respuesta es sí y, además, esta responsabilidad no es pequeña.

Lo primero que hay que tener en cuenta es que los responsables del programa de cumplimiento normativo se enfrentan ahora a un nuevo reto, el de incluir en dicho protocolo aspectos que tengan en cuenta la privacidad de los datos como un aspecto central. Esto es lo que se conoce como ‘privacidad por diseño’.

El programa debe tener esto en cuenta y una manera de hacerlo es definir correctamente todos los tipos de datos que se gestionan y guardan, así como la localización del alojamiento (hosting), la transferencia de información y los detalles de terceras partes, la seguridad de la información, el tiempo durante el que los datos se guardan, el propósito que tiene conservar esos datos y los permisos para su protección.

Los gestores de los programas de buen gobierno y cumplimiento normativo tienen responsabilidades relacionadas con el RGPD al manejar datos que incluyen información personal sobre los miembros de los Consejos de Administración, así como sobre la documentación que en ellos se maneja. El reto que se plantea es cómo hacer compatible el principio de transparencia empresarial, especialmente en lo que respecta a la responsabilidad de las personas física que toman decisiones, con la protección de los datos personales y empresariales que giran en torno a ellas.

El reto es cómo hacer compatible el principio de transparencia, especialmente en lo que respecta a la responsabilidad de las personas física que toman decisiones, con la protección de datos.

El RGPD demanda que los datos personales que una empresa conserva sobre su personal, proveedores y clientes sean guardados de manera segura, conservando la fuente original, con rigurosidad, durante el tiempo estrictamente necesario, con la protección adecuada en caso de transferencia a otros países o servidores y que sean procesados y gestionados de acuerdo con la legislación vigente.

El derecho del Consejo de Administración

Aquí es donde entra en juego la responsabilidad relacionada con el programa de buen gobierno, una de cuyas premisas es la grabación y conservación de la documentación de los Consejos de Administración, así como de la cadena del proceso de la toma y ejecución de las decisiones en los mismos. En este sentido, cualquier compañía asume el papel de ‘controlador’ o ‘procesador’ de datos y, por lo tanto, necesita revisar sus prácticas para adaptarlas al RGPD.

Por lo tanto, los miembros del Consejo de Administración gozan de las mismas garantías que define el RGPD en cuanto a la protección de sus datos. Estos se resumen en contar con el consentimiento explícito del sujeto; establecimiento de contrato sobre su tratamiento; protección de los datos de vital interés tanto del sujeto como de terceras personas; definición de los documentos o datos de interés público o necesarios para el ejercicio de la autoridad oficial de control –algo muy importante en lo que se refiere al Consejo de Administración a la hora de hacer el seguimiento de las decisiones que allí se toman-, y, por último, la definición de los datos necesarios para fines de interés legal de la empresa o de una tercera parte –también de especial relevancia para los miembros del Consejo, al asumir responsabilidades jurídicas en el ejercicio de su función-.

El papel de la tecnología

Desde un punto de vista puramente tecnológico, pero no menor, también hay que tener en cuenta la necesidad de asegurar la protección informática de los datos que la empresa custodia.

En este sentido, una norma de referencia es la ISO 27001, que certifica si la empresa o el organismo gestor de los datos está dotado de sistemas y procesos extremadamente robustos de gestión de datos.

Una norma de referencia es la ISO 27001, que certifica si la empresa o el organismo gestor de los datos está dotado de sistemas y procesos extremadamente robustos de gestión de datos.

La certificación ISO 27001 significa que las medidas de seguridad están establecidas tanto en un entorno de software –los permisos de acceso y gestión a los programas de cumplimiento normativo-; en los centros de datos en los que se almacena la información, como también en las personas y procesos que se gestionan. Un ejemplo de esto último son los permisos de acceso a edificios y sistemas informáticos que impiden intromisiones de personas no autorizadas.

La gestión del derecho al olvido

Por último, un aspecto novedoso del RGPD, que va más allá de las consideraciones de seguridad, es el relativo al derecho al olvido. Si se habla de buen gobierno y cumplimiento normativo, hay ocasiones en que está justificado guardar la documentación relativa a un individuo en el entorno de un Consejo de Administración, porque podría necesitarla por motivos fiscales o por razones críticas para el negocio.

Los responsables del Consejo de Administración tienen la última palabra sobre la información que desean almacenar, pero siempre deben tener en cuenta los datos que necesitarán en caso de una auditoría y también aquella que garantiza la necesaria transparencia en lo referente a las prácticas de buen gobierno.

Por ejemplo, un buen programa de cumplimiento normativo necesita guardar los votos de las decisiones que se toman en el Consejo de Administración. Estos datos deben quedarse grabados –aunque convenientemente protegidos- en el sistema para demostrar el histórico de las decisiones que se toman y en qué se basan esas decisiones con objeto de depurar responsabilidades en caso necesario.

Comentarios