Introducción
Es menester para las sociedades mercantiles contemporáneas tener: estructuras corporativas eficientes que gobiernen sus procesos bajo una entidad transparente, lineamientos operativos enmarcados en el buen gobierno y órganos de dirección, operación y administración con valores y responsabilidades precisas y conformes a la ley, los estatutos y la realidad del mercado. Si bien en la mayoría de países de Latinoamérica la normativa referente a protección de datos personales tiene un marco regulatorio reciente; los sistemas de gestión de datos como mecanismos contemporáneos de control deben convertirse en una herramienta obligatoria y proporcional frente a cada sociedad, vigilando e interviniendo en la gestión corporativa de la materia, generando las alertas correspondientes e implementando las acciones oportunas.
Los sistemas de gestión de datos
Para las sociedades de vanguardia y el mercado contemporáneo la calidad de los productos o servicios ya no es solamente la necesidad imperante a la hora de contratar, establecer relaciones o ejecutar cualquier tipo de proceso, el comportamiento ético social, a lo largo de todo el proceso de producción de bienes o servicios, “ha de estar presente en toda la actividad y en suma en la cultura de la empresa, además del conjunto global de sus actuaciones, porque de nada sirve que una compañía apoye programas de mecenazgo o ayude a ONGs si falsea su contabilidad, actúa abusivamente con sus proveedores o no respeta los derechos laborales de sus empleados. Por eso, dentro del ámbito económico de la Responsabilidad Social, cobra importancia el concepto de Buen Gobierno de las Empresas de acuerdo con el cual las compañías deben tomar en cuenta su comportamiento económico y el grado de información que les requiere la sociedad, que exige rigor contable, transparencia, crecimiento ordenado y rentabilidad sostenible, creación de valor, gestión responsable de las situaciones de crisis, verificaciones y auditorías externas y en suma, ética empresarial en la forma de afrontar y gestionar el negocio.” [Rivero Torre, Pedro, Responsabilidad social y gobierno corporativo: Información y transparencia. Universidad Complutense de Madrid. Revista Asturiana de Economía No 34. 2005]Así las cosas, los sistemas de gestión de datos personales, por definición conforman la totalidad de mecanismos, directrices y procedimientos de carácter interno y externo, que tiene que tener una sociedad para garantizar el cumplimiento normativo aplicable en materia de datos personales, y el manejo sostenible de sus operaciones a todo nivel, bajo los principios mundialmente conocidos de la responsabilidad demostrada (accountability). Por lo tanto, la implementación de este tipo de sistema representa un mecanismo eficaz de control corporativo, y buen gobierno reconocido como una buena práctica en las sociedades mercantiles; en especial, hacia aquellas, que por su tamaño y volumen de operaciones, necesitan un control exhaustivo.
Implementación
Si bien los procesos de compliance (cumplimiento) han sido diseñados (en su origen) para sociedades de gran tamaño con un volumen de ingresos y operaciones considerable, la aplicación e implementación de un sistema de gestión de datos no son excluyentes y se tornan valiosas a sociedades mercantiles de distintos tipos y tamaños, consideradas por varias legislaciones del mundo como controles corporativos eficientes que garantizan la ejecución de operaciones con datos personales de manera trasparente además de ser un ejemplo de buenas prácticas.
En países como Colombia, si bien su implementación se torna obligatoria dentro de las medidas a adoptar por todas las compañías para demostrar el cumplimiento de la normatividad local (responsabilidad demostrada / accountability), su ejecución se torna limitada frente a la propia actuación de la ley en origen, donde su obligatoriedad se limita a los conceptos formales de expedición sin la propia previsión que el sistema funcione in praxim. Es decir, sin la pedagogía adecuada, y el enforcement necesario, los sistemas de gestión de datos se han convertido en instrumentos corporativos publicados como requisito, sin funcionamiento en la vida real.
Reputación corporativa y riesgo reputacional
La reputación corporativa es una de los estandartes contemporáneos del derecho mercantil, donde la confianza en las instituciones y el impacto dentro del público general convierten a cualquier sociedad mercantil en una corporación de confianza o, simplemente, en un foco de riesgos de carácter intocable para el público, y con varios lunares de desconfianza dentro del propio ambiente corporativo; situación que conlleva a las sociedades a tener un grado de asilamiento que poco a poco la destinan a la liquidación.
Entonces, es claro que el hecho de mantener una reputación corporativa positiva, implementando sistemas de compliance como los programas de gestión de datos personales, genera confianza a la totalidad de los grupos de interés y su déficit en contraparte, acarrearía reacciones desfavorables a corto y mediano plazo. Es por lo anterior que el mantenimiento de la reputación corporativa debería estar incluido dentro de la visión y misión de las empresas; dentro de los objetivos estratégicos, tácticos y operativos debería estar incluido el mantenimiento y mejoramiento de la reputación mediante una evaluación anual de mejora.
El riesgo reputacional es el resultado o consecuencia de eventos individuales o colectivos que puedan tener un efecto negativo en las compañías y afectar directamente a los intereses de los stakeholders (partes interesadas). La identificación, valoración y gestión al interior de las compañías, determinará el impacto final en la reputación. Por lo tanto, en la protección de datos personales, se debe proponer un modelo de compliance para reducir el impacto negativo frente a los propios riesgos en la materia.
Nuevos retos frente al sistema de gestión de protección de datos.
Los sistemas contemporáneos de compliance, como la gestión de datos personales, no pueden ser considerados como sistemas estáticos, teniendo en cuenta que su movilidad y trasformación se derivan de las propias implicaciones legales de cada país y las corporativas propias de cada sociedad.
Los programas de cumplimiento o modelos de prevención y gestión exigen ser diseñados e implementados de conformidad con las características propias de cada empresa. Para lograr dicho propósito, se deberá considerar no solo la legislación aplicable, sino también otras normas vinculadas a la propia naturaleza de la compañía, y en especial, las que se ajusten a su realidad operativa.
La mayoría de los gobiernos latinoamericanos han instado para que los sectores y sociedades objeto de reglamentación integren sistemas de autorregulación en sus procesos con el fin de dar cumplimiento a las leyes de protección de datos personales sin que tenga el carácter de obligatorio en algunos. Si se considera una buena práctica corporativa, en cualquier caso frente a la responsabilidad demostrada de la sociedad, servirá como defensa en caso de incumplimiento o violación.
Así las cosas, la empresa deberá ajustar su programa de compliance, nosólo a los riesgos generales que soporta, sino también a aquellos que responden a su actividad concreta en materia de datos personales. La exigencia legal y normativa impuesta a las empresas para el debido cumplimiento de los objetivos de operación requieren de éstas la implantación de medios efectivos que aseguren su correcta observancia. La empresa debe tener una política activa que incorpore los medios necesarios para detectar los riesgos normativos en materia de datos personales e implantar las medidas necesarias de prevención y, en su caso, actuación correctora.
Para el caso concreto, la propia sociedad mercantil tiene la obligación de evitar la violación del régimen de protección de datos personales independientemente del tamaño de la lesión corporativa, generando la imperiosa necesidad de estar vigilantes en cuanto a los procesos y garantizando un índice de siniestralidad bajo (imputación de responsabilidades).
Debe ser la intención de las sociedades contemporáneas, con el apoyo vinculante de los gobiernos latinoamericanos, la de ejecutar programas de aseguramiento específicos para la gestión de datos personales, que puedan ser armonizados dentro de un sistema general de cumplimiento, y donde el conocimiento de la norma en cuanto a los deberes y derechos y al igual que las personas naturales y jurídicas vinculadas, sea fuente inagotable de aseguramiento al igual que una variable independiente de control.
Comments
If you want to comment on this post, you need to login.