PERÚ: EL NUEVO REGLAMENTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

¿QUÉ HAY DE NUEVO?

El próximo 30 de marzo entra en vigencia, en el Perú, el nuevo Reglamento de la Ley de Protección de Datos Personales (Decreto Supremo N° 016-2024-JUS) y, con miras a ello, las empresas deben prepararse para incorporar las novedades que trae este marco normativo.

Entre dichas novedades, una de las más sonadas es, sin duda, la prevista en el artículo 37, la que regula la inclusión de la figura del Oficial de Datos Personales como responsable de garantizar la implementación de las regulaciones legales y de las políticas de protección de la privacidad de las personas en, entre otras, organizaciones que realicen (i) el tratamiento de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas, o (ii) cuando se trate de datos sensibles o (iii) cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.

Si bien aún existen aspectos por aclarar en cuanto al alcance de esta obligación por parte de la Autoridad Nacional de Protección de Datos Personales, la incorporación gradual por mandato legal de este nuevo rol en algunas empresas, se suma a la exigencia prevista en la Ley 27693 y en su Reglamento aprobado mediante Decreto Supremo N° 020-2017-JUS que, al regular lo relativo al sistema de prevención del delito y financiamiento del terrorismo (SPLAFT), ordenan a ciertas entidades contar con un Oficial de Cumplimento, para ejercer la función de prevención de actividades vinculadas con los delitos citados.

Asimismo, la designación constituye un nombramiento paralelo al del Encargado de Prevención del delito previsto en la Ley N° 30424 y en su Reglamento (Decreto Supremo N° 002-2019-JUS), el que, si bien no es legalmente obligatorio, no son pocas las empresas que vienen voluntariamente incorporando en su estructura organizativa para gestionar los riesgos de comisión de ciertos delitos corporativos (como corrupción, tráfico de influencias, contabilidad paralela, delitos tributarios, aduaneros, entre otros previstos en el artículo 1 de la Ley N° 31740).

Con ello, a partir del 30 de marzo próximo habrá un número importante de sociedades que, sea por mandato legal y/o sea por sus políticas corporativas, deberán contar con tres agentes -en principio diferentes- para atender la función de compliance normativo en su respectiva organización desde esta triple perspectiva: sistema PLAFT, prevención del delito y protección de datos personales.

En este contexto, surge la pregunta de si es posible unificar estos tres roles y asignarlos a un solo funcionario, pregunta válida especialmente cuando se trata de organizaciones pequeñas o medianas en términos de facturación, complejidad de transacciones, exposición al riesgo y/o número de personas. Ello, más aun considerando la pura y dura realidad de que, para muchas empresas en nuestro medio, el empleo de recursos en la prevención y adecuada gestión de riesgos legales no resulta todavía un tema prioritario.

¿JUNTOS Y REVUELTOS?

Extendiendo a esta situación el marco teórico del modelo de auditoría conocido como “Tres Líneas de Defensa”[1], en el que la gestión de la función de compliance en los términos aludidos se ubica en la segunda línea, cuya responsabilidad es la de supervisar y asegurar que las actividades de las áreas operativas o “primera línea de defensa”, responsables de gestionar los riesgos en su día a día, se alineen con los estándares legales y éticos de la organización, el escenario descrito podría generar el riesgo de -o percibirse como- una posible superposición de funciones y/o duplicación de esfuerzos y recursos.

En tanto ello, no resultaría descabellado consolidar estas funciones en una sola persona: un oficial de cumplimiento normativo, rol que podría unificar la gestión de los riesgos legales referidos, con el fin de simplificar y mejorar el diseño y coordinación de procedimientos, mensajes, iniciativas vinculadas al compliance, controles y reportes.

La ventaja principal de esta unidad sería, como es obvio, la eficiencia: un solo oficial con una visión global de los riesgos normativos podría evitar las duplicidades aludidas, mejorar la alineación de las políticas corporativas, facilitar la interacción con el Directorio u órgano equivalente en la empresa, así como con los organismos reguladores o entidades estatales en general.

Un enfoque integrado basado en riesgos permitiría a las empresas contar con una mirada unificada y, consecuentemente, abordar los riesgos de forma más estratégica, considerando sus intersecciones naturales, como sucede entre el lavado de activos y la corrupción, o entre la privacidad de datos y la responsabilidad administrativa.

En efecto, al compartir las tres funciones el objetivo de prevenir riesgos legales en la empresa, esta iniciativa ayudaría a la implementación efectiva y eficiente de controles internos, al monitoreo y reporte de riesgos, a realizar evaluaciones de debida diligencia, a diseñar y llevar a cabo campañas de capacitación y sensibilización del personal, entre otros beneficios.

Además, esta medida permitiría fortalecer la imagen e importancia del oficial de cumplimiento -y, en general, del enfoque preventivo- al interior de la organización.

No obstante, como contrapartida, es claro que implementar esta propuesta podría no ser sencillo, al presentar ciertos retos que es importante considerar.

El primero, más que un reto, es una limitación: en el caso del oficial de cumplimiento PLAFT, la normativa peruana exige dedicación exclusiva en ciertos supuestos, como regla general (condición que no es una exigencia legal para el ejercicio de los otros dos roles).

Así, el artículo 14 del Reglamento de la Ley 27693 prevé que las personas jurídicas que califiquen como “sujetos obligados” supervisados por la Superintendencia de Banca, Seguros y AFP (SBS) y la Superintendencia del Mercado de Valores (SMV) deben designar como Oficial de Cumplimiento al gerente o quien se encuentre en la categoría de primer nivel gerencial, para un ejercicio de cargo a dedicación exclusiva.   

En tanto ello, la dedicación podrá ser no exclusiva cuando el sujeto obligado (i) tenga la categoría de Mediano y Pequeño Contribuyente, (ii) tenga como máximo diez trabajadores, (iii) no pertenezca a un grupo económico y (iv) no desarrolle más de una actividad que lo convierta en sujeto obligado, de conformidad con la Resolución SBS N° 02351-2023. 

Si bien esta restricción tendría como finalidad asegurar que los riesgos asociados al lavado de activos y financiamiento del terrorismo se gestionen con profundidad y dedicación “especial”, existen otras formas -más enfocadas al resultado que a los medios- de garantizar que dicho objetivo sea atendido; sin embargo, en tanto esta limitación legal siga vigente, debe respetarse.

Es importante considerar que la carga laboral y la diversidad de responsabilidades podrían afectar la capacidad del responsable de compliance normativo para abordar cada riesgo con el nivel de especialización y atención requeridos, por lo que, este reto operativo debe tenerse en cuenta en cualquier intento de unificar funciones.

Es por lo anterior que la evaluación de una posible unificación de roles para atender la función de compliance normativo en una organización, no debe tener como objetivo central la mera simplificación y el ahorro de costos, sino la integración de las funciones de cumplimiento normativo de manera estratégica, respetando las regulaciones legales aplicables y asegurando la efectividad de la segunda línea de defensa.

En el contexto descrito, a fin de mitigar el riesgo de que una iniciativa de este tipo conlleve más problemas que soluciones, la misma deberá estar precedida y/o acompañada de, al menos, las siguientes medidas:

Contar con un diseño claro de las funciones que serían ejercidas por el oficial de cumplimiento normativo, para evitar conflictos o zonas grises con otras áreas (p.e. calidad, auditoría, legal);

Asegurar que el funcionario a ser designado no sólo cuente con el perfil apropiado para ejecutar adecuadamente este rol, sino que reciba la capacitación técnica y legal especializada, en cada uno de los ámbitos de los riesgos a gestionar;

Dotar al oficial de cumplimiento normativo de los recursos adecuados (humanos, herramientas tecnológicas, etc.) que apoyen eficazmente el cumplimento de sus funciones (idealmente, contar con un equipo de profesionales, internos y/o externos, que actúen como soporte en las distintas especializaciones); y,

Diseñar, difundir y aplicar políticas, procedimientos y lineamientos que hagan predecible la ejecución de tales funciones, y permitan el accountability objetivo de los respectivos responsables (a nivel de cada una de las líneas de defensa).

Lo anterior, sumado a la independencia de criterio y funcional requerida, permitiría que los aspectos operativos a ser enfrentados no constituyan un obstáculo para alcanzar el objetivo bajo comentario.

¿ESO ES TODO, AMIGOS?

A partir de lo comentado, ¿podemos aplicar esta lógica integradora de funciones también a la gestión de riesgos normativos de otra naturaleza?

En otras palabras ¿es razonable construir una segunda línea de defensa que abarque, de manera centralizada, la gestión de riesgos derivados del (in)cumplimento de la normativa medio ambiental, de seguridad y salud ocupacional, de libre competencia, de protección al consumidor, entre otras?

No veo por qué no, bajo los mismos argumentos y tomando similares cuidados a los mencionados. Debe resaltarse que la aplicación de modelos de cumplimiento integrados es una tendencia global que cada día se fortalece por las ventajas antes indicadas. 

Esta decisión dependerá, finalmente, de aspectos como el giro del negocio de la empresa, sus prioridades y su apetito / aversión al riesgo, las expectativas de sus principales stakeholders, la carga o presión regulatoria que enfrente, entre otras variables a analizar, de nuevo, caso por caso.

 Los retos serán mayores, sin duda, pero los resultados podrían ser muy interesantes.

EFLEXIÓN FINAL

En un entorno regulatorio y de negocios cada vez más exigente, incorporar la función de compliance en una empresa está dejando de ser una especie de lujo que se permiten sólo algunas entidades comprometidas con ciertos valores y principios, pasando, poco a poco, a ser una necesidad en el mundo empresarial, con independencia del sector de que se trate.

El enfoque integrador de los tres roles en una sola persona en los términos referidos, puede ser clave para animar a más empresas a diseñar e implementar un sistema de cumplimiento normativo que equilibre eficiencia y eficacia, fortaleciendo su capacidad para atender preventivamente, de mejor manera, los aludidos desafíos regulatorios y de negocio.

Si bien la justificación de la propuesta de unificación tiene un componente no menor de filosofía “combo” o de “lleve 3, pague 1”, lo central para definir si esta posibilidad es viable dependerá de analizar, caso por caso y con una visión estratégica, la realidad de cada organización.

La entrada en vigencia del nuevo Reglamento de la Ley de Protección de Datos Personales es una buena oportunidad para repensar y actualizar, no sólo la forma cómo nuestra organización viene llevando a cabo la gestión de los datos de las personas con las que interactúa sino, en general, para recordarnos que el compliance normativo, implementado de una manera estratégica e inteligente, lejos de representar un gasto (como aún lo perciben, erróneamente, algunas empresas) es una importante inversión para la sostenibilidad del negocio.




[1] Este modelo tiene su origen en las mejores prácticas de gobierno corporativo, gestión de riesgos y auditoría interna. Fue desarrollado y promovido por el Instituto de Auditores Internos (The Institute of Internal Auditors - IIA) en el año 2013 como un enfoque estructurado para la gestión y control de riesgos dentro de una organización; habiendo sido actualizado en julio de 2020 con un enfoque más flexible y alineado con el gobierno corporativo y la creación de valor.