Por Esmeralda Saracíbar Serradilla, Attorney and Manager of Governance, Risk & Compliance practice en ECIX Group

El pasado 28 de enero celebramos dos citas importantes, el día europeo del derecho a la protección de datos y el vigésimo aniversario de la entrada en vigor de la primera Ley Española que tutela este derecho fundamental. Por este motivo, en la jornada “Veinte años de protección de datos en España” organizada por la Agencia Española de Protección de Datos, se analizó la evolución del cumplimiento normativo en las empresas privadas, lo cual, hace reflexionar sobre las actuales tendencias surgidas en la demanda de servicios de asesoramiento en esta materia.

Como cuestión previa al análisis de dichas tendencias, cabría poner de relieve que han sido varios los artículos publicados recientemente en los que se analiza, así mismo, un tema de actualidad que viene a colación al comentar las variaciones advertidas en este ámbito, como es, el cambio de tendencia en el método de facturación de los honorarios jurídicos, afirmando que la mayoría de los clientes, grandes empresas, optan por la contratación de servicios de asesoramiento bajo un presupuesto cerrado de antemano en detrimento de la tradicional facturación por horas invertidas.

En todo caso, con carácter adicional a la evolución normativa o del método de facturación, este artículo pretende incidir en el cambio de tendencia que ha experimentado en los últimos años la demanda de servicios profesionales de asesoramiento en el ámbito de la normativa reguladora de las tecnologías de la información (Compliance IT), no sólo en cuanto a su alcance, sino también en lo referido a objetivos exigidos por los clientes.

De esta forma, los tradicionales proyectos de consultoría para la adecuación de las entidades al cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) y su normativa de desarrollo o, los relativos a las auditorías bienales de medidas de seguridad, sin llegar a extinguirse de manera aislada, se han visto sustituidos o englobados en Proyectos de mayor envergadura, como son los dedicados a la identificación y gestión de riesgos de incumplimiento normativo o al diseño de cuadros de mando de cumplimiento legal. Y ello por cuanto que, en los últimos años, no sólo se ha visto incrementado el abanico regulatorio aplicable, sino que también, las empresas han dedicado mayores esfuerzos y recursos a la definición y concreción de la Función de Seguridad de la Información y al nombramiento de figuras con funciones y responsabilidades en esta materia, tales como los Compliance Officer.

Ahondando con mayor detalle en estas tendencias, podría decirse que los Proyectos de identificación y gestión de riesgos de incumplimiento normativo se basan, fundamentalmente, en el estudio de los procesos de negocio y sistemas de una Compañía desde la óptica de su afectación por los términos de una norma, con el fin de poder detectar las vulnerabilidades que existan respecto de su cumplimiento. Todo ello desde una perspectiva jurídica, técnica y organizativa. De este modo, una vez localizadas las deficiencias existentes se podrá proceder a la definición y diseño de las soluciones adecuadas que nos permitan priorizar las actuaciones necesarias para la eliminación o mitigación de los riesgos potenciales localizados en base a métricas de cumplimiento.

Por su lado, los proyectos fundados en el diseño de cuadros de mando de cumplimiento normativo, se basan, esencialmente, en la definición de la matriz de aplicabilidad de las normas a una empresa y en el estudio de su grado de afectación atendiendo a una diversidad de factores (entre otros, la dispersión geográfica, la ubicación de los sistemas de información, la estructura organizativa interna, etc.), con la finalidad principal de extraer el gap de cumplimiento para la adopción de la medidas correctoras necesarias para la subsanación de las deficiencias detectadas.

A este respecto, es necesario mencionar que, de un modo análogo a estas tendencias en la prestación de servicios especializados de asesoramiento y consultoría, se demandan, con mayor asiduidad, soluciones altamente automatizadas y parametrizables que permitan la gestión integral del cumplimiento normativo y/o la adecuación a estándares y que, al mismo tiempo, repercutan de manera directa en la agilización de los procesos, la optimización de recursos, la métrica de indicadores y el reporte de resultados a Dirección.

Es por ello, que a las herramientas actualmente existentes en el mercado dedicadas, por ejemplo, a la gestión y mantenimiento del cumplimiento de la normativa de protección de datos personales, a la detección de vulneraciones de la Marca, a la firma electrónica de documentos, entre otras, se unen nuevas soluciones que permiten la gestión de los riesgos legales de una Organización o aquellas desarrolladas para constituirse como un cuadro de mandos integral de seguridad y calidad (Compliance Suite) cuya pretensión básica es integrar el panel normativo aplicable a una Organización, así como, algunas de las principales funcionalidades de las herramientas anteriormente mencionadas.

En conclusión:

– La demanda tradicional de servicios de consultoría en materia de protección de datos personales ha evolucionado hacia la contratación de Proyectos de mayor alcance, quedando éstos englobados como parte del asesoramiento en el cumplimiento de la normativa IT.

– Las empresas contemplan, con mayor asiduidad, la figura del Compliance Officer dentro de sus Organizaciones, con funciones y responsabilidades definidas y estructuradas.

– Como consecuencia de lo anterior, ha crecido la demanda de soluciones altamente automatizas y parametrizables que permitan la gestión integral del cumplimiento normativo y de los riesgos legales.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.