La ley como un campo de minas

El pasado 1 de Diciembre pude asistir a una conferencia en el Centro universitario de La Florida sobre el Compliance. En la que mi buen amigo Luis Roche con su compañero Antonio Daroqui, del despacho Roig&Daroqui sito en Catarroja, tuvieron una actuación destacada. Ellos son auténticos especialistas en esta materia.

compliance-2

Esta palabra, el Compliance, está llamada a formar parte de la realidad del Management español, debido en gran parte a las tensiones sufridas por nuestro sistema económico y social y las situaciones tan poco ejemplarizantes que hemos sufrido por parte de nuestro gestores y gobernantes. Por su significación quisiera compartir este tema en el blog.

El Compliance tiene ya un cierto recorrido en el mundo empresarial anglosajón donde se gestó, concretamente en el sector financiero, que está sometido a una regulación normativa bastante rigurosa. Y es que lo qué significa Compliance es precisamente eso, el “cumplimiento normativo” por parte de la empresa y también de sus directivos y trabajadores. Algo no tan sencillo si atendemos a la profusión de legislación de todo tipo y al propio marco que una empresa se impone con políticas internas, sistema de gestión normativizados, códigos éticos, etc. Es fácil hacerse un lío.

A nadie se le escapa que con todos los delitos societarios que hemos vivido en estos tiempos es deseable una estricta aplicación del derecho para disuadir a los que por obra u omisión aprovechan su posición particular para beneficio propio, o de la propia organización (Enron, Volkswagen, prácticas monopolísticas encubiertas, clausulas suelo, caso Neymar, ¿seguimos?).

Dada la complejidad legislativa y las malas prácticas institucionalizadas, quizás hubiere quien no fuera consciente de incurrir en delito. Y es ahí donde un asesoramiento especializado se hace necesario.

En España con la reforma del código penal esta figura cobra un protagonismo y una función importante.

La Ley Orgánica 5/2010 de 22 de junio, de reforma del Código Penal, introdujo en la legislación penal española una modificación sustancial en el derecho penal empresarial: convierte a las personas jurídicas en sujetos del Derecho Penal susceptibles de cometer delitos, al margen de las concretas personas físicas que las integren, y de ser por ello sancionadas con ¡pena de muerte!. Esto es el cierre y disolución de las empresas que incurran en delitos.

A esto le unimos que se ha invertido la carga de la prueba en contra de la empresa, el empresario o administrador ha de demostrar que no cometió delito alguno. El empresario va a ser directamente responsable de los delitos que se comentan en el seno de su organización, independientemente de que no los haya cometido, puesto que el legislador puede entender que no ha hecho lo suficiente para prevenirlo. Esto ya nos lo hemos encontrado reiteradamente en Prevención de Riesgos Laborales donde las imprudencias de los trabajadores trasladan culpa directa al empresario. Para eximirse de ellas ha de demostrar que su sistema de prevención es efectivo y eficaz y que solamente la actuación personal del trabajador ha provocado el accidente.

El empresario puede tener cierta sensación de indefensión. Por ello el mismo Codigo Penal da una solución creando el Compliance o Programa de Cumplimiento y al Compliance Officer, profesional aliado del empresario para ayudarle a desactivar las minas que se puede encontrar en el transcurso de su actividad.

Así la reforma del 1/2015 limita la responsabilidad penal de las personas jurídicas si la empresa dispone de un programa de prevención, lo que se conoce como Compliance penal, que reduzca el riesgo de comisión de delitos.

Con esto se crea un nuevo perfil profesional el Compliance Officer, que ha de tener no poco trabajo.

El Compliance Officer es la persona responsable de la supervisar y gestionar todas las cuestiones relacionadas con el cumplimiento normativo. Sus principales funciones son la identificación de riesgos, analizar cambios estatutarios y reguladores, determinar medidas preventivas y correctivas, impartir formación a directivos y empleados para que conozcan y apliquen todas las normas y revisar periódicamente la actualización de los procedimientos.

Es un profesional con un perfil jurídico, de control y supervisión y con un componente ético. Ya existe oferta formativa para preparar a los profesionales que se dediquen a esta materia.(IMF, CEF). Además aunque es de muy reciente creación, se ha constituido en mayo de 2014 la Asociación Española de Compliance (ASCOM).

compliance2

Si nos detenemos un poco en sus principales funciones del Compliance Officer, estas son:

  • La elaboración de un mapa de riesgos de la empresa,
  • Analizar cambios estatutarios y reguladores,
  • Determinar medidas preventivas y correctivas,
  • Impartir formación a directivos y empleados para que conozcan y apliquen todas las normas.
  • Revisar periódicamente la actualización de los procedimientos.

El Programa de Cumplimiento consiste en elaborar un mapa de riesgos de la empresa, aquellos riesgos en los que por su actividad pueda ser más frecuente caer y elaborar medidas para afrontarlos y prevenirlos.

Vemos que este profesional ha de estar muy familiarizados con conceptos de organización, formación, gestión por procesos y sistemas de gestión. Además ha de ir más allá (debería) del cumplimiento de la norma, ser capaz de manejarse en lo legal y normativo pero también en lo ético. Asumiendo la Responsabilidad Social y la implantación de buenas prácticas como un eje de su profesión.

En todo caso el ejercicio de su función va a involucrar a todo el personal de la empresa. Todos, directivos, empleados, consultores, debemos imbuirnos de este afán normativo y ético, de unas relaciones y conductas laborales transparentes y honestas que aseguren que la  empresa ayuda al desarrollo de la sociedad y no a su degradación como, por desgracia, tantas veces hemos visto.

 

 

 

 

 

 

Anuncios

Consultoría de Procesos

Empecé mi primera consultoría de procesos en 1996, a raíz de realizar el Curso de Especialista universitario en Gestión de la Calidad impartida por la Universitat Politécnica de Valencia.

Después del tiempo transcurrido, debería pensar que actualmente soy mucho mejor profesional que entonces. Seguro que es así, pero al echar la vista atrás lo primero que me viene a la mente es preguntarme cuanto habrá cambiado los conceptos, normas, metodología y por consiguiente el ejercicio de la profesión desde entonces hasta ahora.

excelencia

Cuando empecé, la calidad apenas había superado el enfoque estadístico. Cayeron en la cuenta de que el control estadístico no es suficiente, hacía falta desglosar los procesos en etapas y detectar los fallos que se originen en ellas. La calidad se asumió como un proceso estratégico y se introdujeron los procesos de mejora continua. La calidad era impulsada no por los inspectores como antaño, sino por la dirección, y se consideraba que otorgaba una ventaja competitiva, tomando como centro de acción las necesidades del cliente.

Entonces erán muy común hablar de reingeniería del cambio y Gestión por procesos (Reingeniería y mejora de los procesos de empresa). Hamel y Prahalad introdujeron el concepto de core competences en su libro Compitiendo por el futuro.

Era la época del frenesí certificador, si una empresa no se certificaba no era prestigiosa. Aunque la versión de 1994 de la ISO 9001 estaba más orientada a empresas con procesos productivos. Con la revisión del año 2000 se simplificó la norma y empezó a ser aplicable a todo tipo de empresas, incluso de servicios o a la Administración Pública.

En el estado de opinión colectivo empezó a caer en el descredito la certificación. Vale “escribimos lo que hacemos y hacemos lo que escribimos” pero ¿qué asegura eso? Gary Hamel describió a Enron como modelo de excelencia justo antes de que cayera, con gran escandalo, en la bancarrota. Los Sistemas de Calidad se fueron asociando más a un sistema documental antipático, un requisito que cumplir para vender en ciertos sectores/clientes que lejos de aportar soluciones daban más trabajo.

En eso, empecé a profundizar en la EFQM, modelo de calidad definido por la Fundación Europea para la Gestión de la Calidad, EFQM en inglés. Una fundación sin ánimo de lucro y con sede en Bruselas que cuenta actualmente con más de 500 socios repartidos en más de 55 países.

Partiendo de una autoevaluación, el modelo EFQM pretende una gestión más eficaz y eficiente. La identificación de los puntos fuertes y débiles aplicados a diferentes ámbitos de la organización son el punto de partida para el proceso de mejora continua.

Con la EFQM se habla de más conceptos, que aportan valor a la empresa como:

  • Orientación hacia los resultados
  • Orientación al cliente
  • Liderazgo y coherencia
  • Gestión por procesos
  • Desarrollo e implicación de las personas
  • Proceso continuo de aprendizaje, innovación y mejora
  • Desarrollo de alianzas
  • Responsabilidad social de la organización

Representados en el siguiente esquema, en el cual también se valoran con puntos y porcentaje su peso en el sistema y se ofrece un método de autoevaluación.

efqm

Según los puntos se obtenía un sello, que te acreditaba como empresa cinco estrellas (+500 puntos), empresa 4 estrellas (+400 puntos) y empresa 3 estrellas (+300 puntos). Todo muy bonito.

Pero yo ya me había quedado prendado de la “Gestión por Procesos“, que es el corazón tanto del sistema de calidad ISO 9000:2005 como de la EFQM. Y he de reconocer que su enfoque y principios me han guiado en las aplicaciones que he tenido ocasión de realizar. Incorporándose a mi manera de interpretar y manejar la empresa.

Ha sido complicado seguir el ritmo de la extensa proliferación de normas, certificados y sellos que se han propagado y de los que podéis obtener más información en AENOR

Hoy en día la certificación está muy desarrollada. Puedes certificar la I+D+I, la gestión del medio ambiente, la seguridad y salud laboral, la gestión de la información, la seguridad alimentaria, la responsabilidad social, etc. Puedes certificarte por sectores, por producto, por servicio, por gestión de la excelencia. No sé si quedará ya algo por certificar

Además han venido a rescatarnos del “elefante blanco” de la calidad, programas informáticos, tales como el CERTOOL, diseñada y actualizada por AENOR (aunque hay muchas otras también de interés) que tanto desde un punto de vista de gestor documental como desde el punto de vista de flujo de trabajo hace más manejable y por tanto de mayor aplicabilidad procedimientos y procesos. Yo trabajé con AURAPORTAL y Sharepoint.

Nuevos conceptos se han incorporado a la gestión por procesos, provenientes, como en tantas otras ocasiones, de la empresa automovilística. El lean manufacturing (modelo de gestión enfocado a la creación de flujo para poder entregar el máximo valor para los clientes, utilizando para ello los mínimos recursos necesarios: es decir ajustados), ha cobrado protagonismo. Ha derivado en conceptos más globales y de mayor aplicabilidad. Lean thinking, lean design, lean starup.

También hay que tener en cuenta los conceptos introducidos por el manifiesto ágil que en principio fue una crítica a los modelos de producción basados en procesos. Y la metodología ágil SCRUM, que ha de abordarse no como un ataque al modelo de gestión por procesos, sino por el contrario un acicate para mejorar y evolucionar.

En definitiva, permanezco fiel al modelo de gestión de procesos o process management, que sigue estando vigente y es de vital importancia para entrar en las entrañas de la empresas y definir las mejores prácticas laborales. Consiguiendo una empresa tan eficiente como bien orientada a los resultados, al cliente y a la sociedad. Algo tan importante como necesario.

 

 

 

 

 

De la Infoxicación a la LOPD

Para los que gestionamos en las empresas, la aplicación de la LOPD no es una de las tareas más apasionantes. Al contrario, es uno de los temas con los cuales es más difícil conseguir que te presten atención y provoca más sopor que entusiasmo.

nubeinfoSin embargo es un tema de extrema importancia. En la sociedad digital en la que vivimos nuestra vida personal esta muy expuesta. Propiciado por el uso de redes sociales (Facebook, LinkedIn, twiter, Instagram y un extenso etcétera), aplicaciones de móvil que capturan datos, el auge del comercio electrónico, gestiones electrónicas con la administración, o por el simple hecho de navegar por internet.

En nuestro proceder habitual vamos dejando un reguero de datos que ha hecho posible que se creen disciplinas y conceptos nuevos como el Big Data, Data mining, clustering, etc. Es tanta la información generada por un sistema en que el propio usuario se ha convertido en un generador de contenidos, que se han creado neologismos referidos al exceso de información como la “infoxicación” o “infobesidad”.

Ante este panorama parece más que razonable que se tomen medidas legales y sistemas que preserven nuestro espacio íntimo y personal.

El motivo de este artículo viene dado por la reciente entrada en vigor, desde el 25 de mayo de 2016, del Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), de aplicación a todos los estado de la Unión Europea.

Este Reglamento se aplica tanto a los paises de la Unión como a cualquier Entidad que maneje datos de ciudadanos de la Unión. Necesario, dada la capacidad de nuestras empresas de obtener y manejar datos desde cualquier parte.

El objetivo del nuevo reglamento general es dar más control a los ciudadanos sobre su información privada en un mundo de teléfonos inteligentes, redes sociales, banca por internet y transferencias globales.

Las principales novedades, enunciadas someramente, (en la AGPD hay un documento explicativo) son:

  • El derecho al “olvido”, mediante la rectificación o supresión de datos personales.
  • La necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales.
  • El derecho a la “portabilidad” de los datos de un prestador de servicios a otro.
  • El derecho a ser informado si los datos personales han sido pirateados.
  • Lenguaje claro y comprensible sobre las cláusulas de privacidad.
  • Multas de hasta el 4% de la facturación global de las empresas en caso de infracción.
  • Creación en las empresas y entidades de la figura del delegado de protección de datos.
  • Creación de una ventanilla única europea, para lo que se crea el Comité Europeo de Protección de datos.
  • La privacidad desde el diseño se incorpora a los productos y servicios desde sus primeros estadios de desarrollo (Data protection by design). Se fomentarán las técnicas “Privacy-friendly”, como la seudoanonimización, para salvaguardar los beneficios de la innovación en Big Data a la vez que se protege la privacidad.

Pero tranquilos, aunque el Reglamento ha entrado en vigor el 25 de mayo de 2016 no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Un tiempo que se ha de aprovechar para la actualización y puesta en marcha de nuestras normas. Hasta entonces, es de plena aplicación la LOPD tal como la conocemos.

Sin ánimo de ser exhaustivo, pero si de dotar al lector de este post de un mapa mental, estos serían los procedimientos a seguir para cumplir con la protección de datos con el aún vigente LOPD.

lopdpasos

Además la LOPD diferencia una serie de niveles de seguridad, que establecen tratamientos diferentes para los datos:

  • De carácter personal, y que son los manejados por casi todas las empresas
  • De nivel medio, que incluyen informaciones financieras
  • De nivel alto, que engloban datos acerca de creencias, ideologías, religión, raza, etc.

La aplicación de los procedimientos esquemáticamente dibujados se complementaría con:

La redacción y revisión de todos los contratos necesarios para dar cumplimiento a la Ley donde hacer constar a sus clientes la política que tiene la organización par ala protección de datos

La redacción de cláusulas de información y confidencialidad. Para el cumplimiento de principios de información de recogida, consentimiento, deber de secreto, cesiones de datos, etc.

Auditorías bienales de los ficheros declarados de nivel medio o alto. Exigida legalmente, tando de ficheros automatizados como en papel.

Formación de la figura de Responsable de Seguridad.

Cabe decir que la aplicación en la empresa de un sistema de protección de datos es de obligado cumplimiento y que la Administración tiene previsto para el infractor sanciones que van desde los 600 euros hasta los 600.000 euros.

Por último deciros que la ISO tiene la Norma ISO 27001 Sistemas de Gestión de Seguridad de la Información, que garantiza la correcta gestión de la protección de datos. ¿Qué no tendrá la ISO?.

¡Saludos!