Actualizamos este post, publicado originalmente en octubre de 2018.

Aunque en muchas ocasiones estas figuras del cumplimiento normativo comparten una visión, cada una tiene su particularidad y especialidad que les permite actuar de manera complementaria en el cumplimiento normativo: Director de Seguridad, Compliance Officer y Delegado de Protección de Datos, como parte del equipo de defensores de la organización en materia de cumplimiento normativo.

Evidentemente no son los únicos, y hay otros héroes sin capa dentro de las organizaciones que también contribuyen a mitigar los riesgos, como lo pueden ser el CISO (Chief Information Security Officer o director de seguridad de la información) el Director de Seguridad y Salud (Técnico Superior en Prevención de Riesgos Laborales), el HR Compliance Officer o el especialista en Compliance Ambiental, entre otros.

Sirvan estas líneas para profundizar en la necesidad de aunar las diferentes seguridades, y de intentar dar alguna luz en este variado mundo.

1. El Director de Seguridad.

Hemos de destacar que el Director de Seguridad es personal de seguridad privada, sujeto a habilitación administrativa (Ministerio del Interior). De hecho, sus funciones vienen determinadas en el artículo 36 de la Ley 5/2014, de Seguridad Privada:

  1. En relación con la empresa o entidad en la que presten sus servicios, corresponde a los directores de seguridad el ejercicio de las siguientes funciones:
    1. La organización, dirección, inspección y administración de los servicios y recursos de seguridad privada disponibles.
    2. La identificación, análisis y evaluación de situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio.
    3. La planificación, organización y control de las actuaciones precisas para la implantación de las medidas conducentes a prevenir, proteger y reducir la manifestación de riesgos de cualquier naturaleza con medios y medidas precisas, mediante la elaboración y desarrollo de los planes de seguridad aplicables.
    4. El control del funcionamiento y mantenimiento de los sistemas de seguridad privada.
    5. La validación provisional, hasta la comprobación, en su caso, por parte de la Administración, de las medidas de seguridad en lo referente a su adecuación a la normativa de seguridad privada.
    6. La comprobación de que los sistemas de seguridad privada instalados y las empresas de seguridad privada contratadas, cumplen con las exigencias de homologación de los organismos competentes.
    7. La comunicación a las Fuerzas y Cuerpos de Seguridad competentes de las circunstancias o informaciones relevantes para la seguridad ciudadana, así como de los hechos delictivos de los que tenga conocimiento en el ejercicio de sus funciones.
    8. La interlocución y enlace con la Administración, especialmente con las Fuerzas y Cuerpos de Seguridad, respecto de la función de seguridad integral de la entidad, empresa o grupo empresarial que les tenga contratados, en relación con el cumplimiento normativo sobre gestión de todo tipo de riesgos.
    9. Las comprobaciones de los aspectos necesarios sobre el personal que, por el ejercicio de las funciones encomendadas, precise acceder a áreas o informaciones, para garantizar la protección efectiva de su entidad, empresa o grupo empresarial.

Con la legislación vigente , existirá un Director de Seguridad en los siguientes supuestos:

  • Existencia obligatoria por normativa específica de seguridad privada.
    • En los supuestos establecidos por el art. 36.2 de la Ley 5/2014, de Seguridad Privada.
    • En los supuestos establecidos por los arts. 96.2, 112, 119 del R.D. 2364/1994, Reglamento de Seguridad Privada.
  • Existencia obligatoria por otras normativas sectoriales.
    • En el deporte profesional (art. 14.2 Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte, y art. 27 R.D. 203/2010, de 26 de febrero, por el que se aprueba el Reglamento de prevención de la violencia, el racismo, la xenofobia y la intolerancia en el deporte).
    • En las infraestructuras críticas (art. 16.2 Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas).
    • En las instalaciones y transporte de materiales nucleares (arts. 29.2 instalaciones nucleares y 35.1.a del R.D.  1308/2011, sobre protección física de las instalaciones y los materiales nucleares,
  • Existencia facultativa, discrecional o voluntaria (art. 115 R.D. 2364/1994, Reglamento de Seguridad Privada).

2. El Compliance Officer.

El Compliance Officer es el defensor por excelencia de las buenas prácticas organizacionales. Como todo miembro de un equipo, tiene una misión y unas características que hacen que su perfil sea único, y es esta particularidad le hace acreedor de algunos atributos:

  • Aporta visión integral al negocio. El Compliance Officer no es un especialista, sino un generalista. Su experiencia y su conocimiento de las buenas prácticas, así como del negocio y la organización, le permiten detectar situaciones de riesgo antes de que lleguen a un punto crítico. También es quien vela porque se implementen las acciones y controles en el momento oportuno y en las áreas más sensibles, valiéndose de esa visión amplia que tiene de la realidad organizacional.

Cuando la organización apunta a una estrategia demasiado arriesgada o agresiva en una de sus áreas de negocio, el Compliance Officer tendrá que contar con un sensor que le permita atajar el problema y plantear la necesaria discusión con la alta dirección, y proponer las medidas para evitar que se materialice una conducta indebida.

  • Tiene habilidades humanas y jurídicas: Se espera que el Compliance Officer aporte un buen balance en sus habilidades, combinando la empatía y el don de gentes con el conocimiento jurídico.

Es clave esa capacidad de empatizar con el entorno y transmitir los mensajes de “por qué debemos hacer lo correcto”, a la vez que entiende las motivaciones del resto de la organización para tomar ciertas decisiones. No basta con que un Compliance Officer “prohíba el riesgo”, pues esto es imposible; deberá ser lo suficientemente hábil como para captar los objetivos de la organización, capturar las necesidades y establecer unos límites en los cuales la organización pueda seguir operando para alcanzar esos objetivos.

Por otra parte, el Compliance Officer también debe tener conocimientos jurídicos. Aunque en algunos casos el responsable del cumplimiento no es jurista (el Compliance Officer no debe obligatoriamente ser abogado, o Director de Seguridad), el mejor Compliance Officer debe conocer todas esas disciplinas, pero son sus atributos personales, su conocimiento y autoridad en la empresa lo que lo hará realmente apto para llevar a cabo la función. Para poder actuar de “sensor” requiere conocer las normas de obligatorio cumplimiento de la empresa (esto implica que si no es jurista, al menos debe contar con el soporte experto de abogados externos a quien pueda desviar las consultas).

  • Es buen comunicador y mentor. Para ello es clave el factor humano, pues deberán comprender las motivaciones del personal, de los clientes y de terceros para poder desarrollar soluciones que éstos consideren válidas.

Un Compliance Officer no se limitará a investigar y a sancionar, sino que buena parte de su trabajo depende de su habilidad de generar conciencia y reforzar el buen cumplimiento normativo desde la prevención; y ello sólo se logra comunicando bien.

  • Tiene independencia de criterio: Un buen Compliance Officer tiene que estar dispuesto a estar en desacuerdo con la dirección si se toman decisiones que pueden perjudicar al negocio, aunque esto implique iniciar una guerra interna. Si el criterio técnico del Compliance Officer -sustentado adecuadamente por los hechos, sus propios dictámenes, la opinión de consultores externos, y cualquier otro recurso que estime necesario- determina que una decisión operativa o estratégica pone en riesgo los mejores intereses del negocio, deberá defenderlo hasta sus últimas consecuencias.

Esto no implica desoír los argumentos ajenos; sino ser conscientes de que no hay forma de que una justificación económica, técnica o personal se imponga a la obligación de hacer las cosas en apego a la Ley. La resolución en caso de llegar a esta coyuntura siempre debe pasar por el más riguroso análisis por parte de los involucrados, para garantizar que se cumpla con las normas.

3. El Delegado de Protección de Datos.

El Compliance Officer requiere de otros compañeros que manejen los distintos bloques de cumplimiento, en la medida en que la organización va creciendo y se potencian sus riesgos. Por eso, el RGPD (Reglamento (UE) 2016/679 o Reglamento General de Protección de Datos) nos ha traído al DPD, Delegado de Protección de Datos (Data Protection Officer en su acepción anglosajona).

Además, la reciente Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) nos ha traído la obligatoriedad de designar DPD en las empresas de seguridad (art. 34.1.ñ).

El Delegado de Protección de Datos (DPD), aunque comparte el mismo objetivo general que tiene el Director de Seguridad (identificar, analizar y evaluar situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio) y que el Compliance Officer (mitigar riesgos de incumplimiento normativo y evitar así perjuicios económicos y reputacionales), tiene su propia manera de hacer las cosas y cuenta con un set de habilidades particulares.

Una gran ventaja que tienen el Director de Seguridad y el DPD, al menos en el entorno europeo, es que sus funciones están bastante mejor definidas que las del Compliance Officer, ya que la Ley 5/2014, de seguridad privada en su artículo 36 y el propio RGPD establece en su artículo 39 cuáles son.

Por otra parte, y en cuanto a su set de habilidades, el perfil tecnológico del DPD marca la diferencia:

  • Vocación tecnológica: El DPD debe tener un amplio conocimiento de las nuevas tecnologías, no sólo a nivel de usuario sino a nivel de despliegue. Se trata de un rol que debe saber valerse de todos los recursos disponibles para detectar y prevenir brechas de seguridad que pueda comprometer la información de la organización; abarcando no sólo los datos personales en particular, sino cualquier dato o documentación sensible que mantenga la organización en general. Si el Compliance Officer recurre a la ley, a las políticas y a las buenas prácticas, el DPD debe recurrir a las herramientas tecnológicas, actualizándose permanentemente.
  • Conocimientos jurídicos: Al igual que el Compliance Officer, el DPD debe conocer las normas legales aplicables, si bien en este caso ya no se trata de un generalista sino de alguien que, provenga del área de auditoría informática o del ámbito jurídico, maneje la legislación en protección de datos, en seguridad de la información, se actualice constantemente y según el caso en regulaciones del entorno digital, e-commerce, blockchain, IoT, etc.
  • Independencia: El DPD también debe mantener su independencia de criterio a la hora de dar sus recomendaciones de actuación, toda vez que está resguardando un bien jurídico de la organización. Más allá de la voluntad de la alta dirección, la responsabilidad del DPD es con los accionistas y deberá actuar para proteger sus mejores intereses, garantizando el cumplimiento de las disposiciones previstas en materia de protección de datos.
  • Liderazgo: El DPD deberá hacer requerimientos tanto a procesadores como a controladores de datos, y tendrá que establecer procesos para reducir la probabilidad de que se materialicen brechas de seguridad. Para ello no basta con establecer un protocolo automático en un sistema, sino que es necesario generar un alto nivel de concienciación para mantener comprometidos a los usuarios en la ejecución de medidas que suelen ser tediosas para los trabajadores, como por ejemplo el cambio periódico de contraseñas.