Resulta motivador comprobar en la actualidad como las organizaciones se preocupan e interesan cada vez más por temas como la protección de datos, la ciberseguridad y, en general, del cumplimento adecuado de la normativa que les afecta. Así pues, con la finalidad de conocer el abasto de sus obligaciones, buscan autorregularse y anticiparse a los riesgos que puedan existir en el desarrollo de sus actividades, y estar preparados para aquellos nuevos riesgos que puedan surgir.
Sin embargo, no se trata sólo de evitar las consecuencias que la materialización de un riesgo pueda traer consigo, sino de dejar patente, a nivel interno, la cultura de cumplimiento que ha adoptado la organización y, asimismo, a nivel externo, transmitir a la sociedad en la que desarrolla sus actividades, los valores que rigen dicha organización, lo que claramente repercutirá en un aumento reputacional de la misma.
Para lograr estas finalidades, las organizaciones han de adoptar cuantos procedimientos y buenas prácticas sean necesarias, identificando los riesgos que les puedan afectar y adoptar las medidas necesarias para la prevención, gestión y control de los mismos. De esta forma, una organización podrá estar preparada para saber cómo reaccionar en caso de que finalmente se materialice un riesgo.
Hemos iniciado el camino, pero aún queda mucho por recorrer, de forma que tenemos que seguir fomentando la cultura de cumplimiento de las organizaciones, para que llegue a todos los niveles.
Centrándonos en el tema de la protección de datos, las últimas noticias que vamos conociendo sobre sanciones que imponen las distintas autoridades de control, nos confirman ese camino pendiente.
El pasado día 1 de octubre, el Comisionado para la Protección de Datos y Libertad de Información de Hamburgo impuso una multa por importe de 35,5 Millones de Euros a la compañía H&M Hennes & Mauritz, por infringir gravemente los derechos fundamentales de sus empleados de su centro de trabajo en Nuremberg: se recababan y almacenaban datos extremadamente sensibles, con el total desconocimiento de los afectados, que, además, fueron objeto de una brecha de seguridad que permitió el acceso a dichos datos por parte de toda la empresa.
Dicha sanción se une a otras tantas que se han ido sucediendo, y que se erigen en precedentes de responsabilidad corporativa en temas de protección de datos, que confirman que no basta con implementar avisos legales o declaraciones de intenciones en esta materia, sino que ha de ser una regulación interna palpable y efectiva, contando con elementos como el Delegado de Protección de Datos, según las características de la organización; actualizaciones y revisiones periódicas en materia de protección de datos; canales de denuncia adecuados y todas aquellas medidas técnicas, organizativas y de seguridad que, según las evaluaciones de riesgos previas, resulte necesario implementar.
En definitiva, el riesgo siempre está presente y es, por tanto, desde el análisis previo del mismo de donde tenemos que partir para una gestión adecuada. Los datos de los empleados -por continuar refiriéndonos al tema del presente artículo- se entienden como especialmente sensibles, pues pueden contener aspectos personales para los que conviene mantener una especial atención y crear los tratamientos adecuados para evitar filtraciones que pueden conducir a situaciones graves, tanto desde el punto de vista económico como reputacional.
Se hace imprescindible, por tanto, revisar la gestión interna de cada organización, su contexto y situación actual, a fin de comprobar el nivel de implementación de una buena cultura de cumplimiento y en su caso, reforzar aquellas áreas que puedan resultar más vulnerables.
Para cualquier duda acerca de este artículo, puede utilizar el área de contacto de nuestra página web para dirigirse a nuestro equipo de abogados especialistas. Estaremos encantados de atender su consulta.
Melanie Díaz – Abogada
