Todo el mundo habla ya del Compliance y de la responsabilidad del área de cumplimiento normativo y del papel de la Ética en las organizaciones. Es raro no haber escuchado o leído, te guste el futbol o no, las declaraciones del Presidente de la Federación Española de Fútbol a raíz del “affair” negocial con la compañía Kosmos, que preside el futbolista Piqué, apoyándose en el papel de los órganos de Compliance para depurar responsabilidades.

La presión social, política y las más alarmantes noticias de escándalos relacionados con la corrupción, el fraude, el blanqueo de capitales, el abuso de mercado, el tráfico de influencias o el soborno, entre otros delitos, incitan al legislador a exigir medidas preventivas para prevenir todo tipo de actos contrarios a la ley.

Al mismo tiempo, cada vez más normativas exigen tener un “canal de denuncias” para perseguir estas irregularidades y para impulsar la investigación sobre actuaciones contrarias a la ley. Esta medida preventiva se articula como un elemento básico e imprescindible para conseguir asentar en la sociedad la conciencia de que se debe perseguir a quienes quebrantan la ley.

A esta fecha, está en trámite parlamentario la aprobación de la Ley reguladora de la Protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva (UE) 2019/1937. Es necesario también, no solo luchar contra los infractores, sino evitar consentirse ni silenciarse los incumplimientos.

Con estos antecedentes es hora de recordar la necesidad de alinear las responsabilidades de la alta dirección, de la función de Compliance, de auditoría Interna, de asesoría y del resto de roles de responsabilidad, entre ellas, del responsable de sistemas y del responsable de la Seguridad de la información (CISO). Alinearles para trabajar conjuntamente en la consecución de los objetivos estratégicos de negocio, entre ellos la seguridad de los sistemas de información que gestionan la estructura de compliance.

Los sistemas de información habilitantes para la gestión de Compliance, entre ellos los canales de denuncias, gestionan información muy sensible. Información que si se revela puede dañar a la organización, no solo en su imagen, y afectar a la intimidad del/la denunciante o denunciado/a.

Las normas que regulan la implementación de canales de denuncia exigen adoptar medidas técnicas y organizativas para preservar la confidencialidad y la limitación del acceso a esta información.

La normativa de protección de datos (ley 2/2018, art. 24) regula además plazos para la gestión y conservación de los datos en los sistemas de información de denuncias

El anteproyecto nos recuerda lo importante que es proteger a los ciudadanos que informan sobre vulneraciones del ordenamiento jurídico, pero se echa en falta directrices de mayor calado en materia de seguridad de la información con referencias al Esquema Nacional de seguridad y sus dimensiones de seguridad.

El responsable de seguridad y los responsables de sistemas que habilitan los medios, recursos e infraestructuras para la gestión de estos canales de denuncia son un elemento clave para la gestión eficaz y para generar la confianza necesaria en el uso de estos canales. No solo se trata de garantizar la inexistencia de represalias sino también de garantizar la seguridad técnica y adoptar medidas técnicas preventivas para preservar la confidencialidad de toda esta información que se trate en estos canales.

Sin seguridad no hay confianza. Sin seguridad no se puede construir un sistema de garantías. Sin seguridad no hay Compliance. Sin seguridad no se puede construir una sociedad moderna de la información.

Oscar López, director General UBT Legal & compliance. Presidente del Grupo de Regulación y del Observatorio de Privacidad y Derechos Digitales de AUTELSI