Política de cumplimiento legal y normativo

La Política de cumplimiento legal y normativo (P37) es un componente central del marco de gobernanza y gestión de riesgos de la organización. Su propósito principal es establecer un enfoque obligatorio y sistemático para identificar, gestionar y cumplir todas las obligaciones legales, reglamentarias y contractuales relevantes para la seguridad de la información, la privacidad de los datos y las actividades operativas. La intención de la política es evitar los riesgos de incumplimiento, que pueden derivar en consecuencias graves como sanciones económicas, responsabilidad legal, interrupción organizativa o daño reputacional. Con este fin, P37 respalda directamente la integración de los mandatos de cumplimiento en las estructuras de gobernanza, los programas de gestión de riesgos, los flujos de trabajo operativos, los ciclos de vida de los proyectos y las decisiones de diseño de sistemas. La política se aplica en toda la organización a todos los departamentos, funciones, unidades de negocio e individuos que actúen en nombre de la entidad. Esto incluye empleados (permanentes y temporales), contratistas, consultores, becarios y todos los proveedores terceros o socios que manejen datos, sistemas o responsabilidades normativas. En cuanto al alcance, regula el cumplimiento en múltiples dominios: seguridad de la información (incluidos marcos como ISO/IEC 27001, NIS2, DORA), privacidad de los datos (GDPR y leyes sectoriales), regulación sectorial (financiera, salud, automoción), obligaciones contractuales (acuerdo de confidencialidad, acuerdos de nivel de servicio) y requisitos legales como la notificación de incidentes, la cooperación con las fuerzas del orden o la transferencia transfronteriza de datos. Un beneficio clave de la política es su asignación detallada de roles y responsabilidades, claramente enumeradas para la dirección ejecutiva, las funciones de Cumplimiento y Legal, el Director de Seguridad de la Información (CISO), Auditoría interna, responsables de departamento y todos los empleados o contratistas. Las responsabilidades incluyen el mantenimiento de un registro integral de obligaciones de cumplimiento, la realización de evaluaciones de impacto, la provisión de interpretaciones legales, la implementación de controles y la participación en revisiones y auditorías periódicas de cumplimiento. Cada obligación se mapea a requisitos de política y controles específicos en el Sistema de gestión de la seguridad de la información (SGSI) de la organización, con mandatos de conservación de evidencias, frecuencia de pruebas y asignación clara de propietarios. Los mandatos de gobernanza son sólidos: un registro centralizado de cumplimiento debe actualizarse trimestralmente, el cumplimiento debe integrarse desde el diseño en todos los ciclos de vida de sistemas y políticas, los cambios significativos del riesgo legal requieren un flujo formal de aprobación y las evaluaciones de riesgos que cubran dominios legales y reglamentarios deben realizarse anualmente. La política también describe procedimientos precisos de gestión de cambios normativos, exigiendo revisiones mensuales de los desarrollos legales aplicables, comunicación de actualizaciones y pistas de auditoría detalladas. Las relaciones con terceros se abordan mediante cláusulas contractuales obligatorias y evaluaciones de cumplimiento de proveedores. La formación en cumplimiento es un requisito organizativo, que debe registrarse y documentarse en el Sistema de gestión del aprendizaje. Las secciones de gestión de riesgos y excepciones estipulan que todos los riesgos de cumplimiento se registran en el Registro de riesgos empresarial, y que cualquier excepción a la política requiere justificación documentada y aprobación de alto nivel. En términos de aplicación, el incumplimiento puede dar lugar a medidas disciplinarias o acciones legales, con protocolos explícitos para la protección del mecanismo de denuncia. El documento está sujeto a revisión anual, con revisiones adicionales desencadenadas por cambios legales o empresariales clave, garantizando que la organización mantenga una alineación actualizada con todas las leyes, normas del sector y expectativas regulatorias relevantes.