La funcin del Compliance Officer en la

proteccin de datos personales

Citibank Espaa S.A.
Teresa Serrano Business Compliance Officer
Arturo Cuerda Data Privacy Officer

Introduccin
La funcin de Compliance en la gestin global de riesgos
El concepto de Cumplimiento
Qu NO es Compliance: Servicio de Inteligencia de la entidad;Freno al
negocio; Cortapisa a las relaciones interdepantamentales
Qu ES Compliance: Cumplimiento con el entorno normativo externo e
interno (Legislacin sectorial, polticas corporativas, Reglamento Interno
de Conducta, Cdigo deontolgico)

Qu riesgos gestiona la funcin de Compliance: regulatorio,

reputacional, de franquicia.

29 mayo 2008

ISMS FORUM, MAYO 2008

Introduccin (Continuacin)
-Aspectos derivados del incumplimiento con el el entorno normativo
sanciones legales
prdidas econmicas
dao reputacional o de imagen
-La prevencin como solucin
-La colaboracin entre reas complementarias:
Compliance,
Auditora,
Gestin de riesgos

29 mayo 2008

ISMS FORUM, MAYO 2008

Principios
Los principios que deben regir un programa de gestin de riesgos de
Compliance y de prevencin son:
La Independencia de la funcin respecto del negocio
Involucracin de la Alta Direccin
Estructura organizativa bien definida y medios adecuados
Polticas y procedimientos escritos
Formacin mnima que garantice un adecuado nivel de
conocimiento de la organizacin y de las normas aplicables
Programas de Verificacin y Vigilancia (Monitoring &Testing)
Acceso a la informacin y a todas las funciones y procesos
Interaccin con Auditora, Control Interno y Gestin de riesgos

29 mayo 2008

ISMS FORUM, MAYO 2008

El programa de prevencin (I) Nuestra experiencia

Desarrollo y definicin de un programa efectivo que implica:
1. Identificacin de la norma aplicable. Especial referencia a
entidades con actividad multijurisdiccional
2. Definicin de polticas internas (polticas de privacidad) que
desarrollen la norma. El problema de la coexistencia de diferentes
polticas y el potencial conflicto normativo
3. Identificacin de productos, servicios y procesos afectados. El
mapa de riesgos o risk assessment (ej.flujos de datos personales)
4. Identificacin de los requerimientos legales y corporativos
exigibles en cada proceso
5. Elaboracin de una matriz normativa

29 mayo 2008

ISMS FORUM, MAYO 2008

El programa de prevencin (II)

6. Transmisin de los requerimientos legales y/o corporativos a los
procesos concretos
7. Elaboracin de manuales de procedimientos que contemplen los
requerimientos plasmados en la Matriz de Riesgo Normativo
8. Elaboracin y aprobacin de un Plan anual de Cumplimiento que
garantice un adecuado nivel de control y supervisin sobre la
actividad de la entidad, asegurando la identificacin temprana de
debilidades y su posterior elevacin a la Alta Direccin.

29 mayo 2008

ISMS FORUM, MAYO 2008

La gestin del riesgo de proteccin de datos en la entidad

Actividades dirigidas a velar por el cumplimiento de las leyes locales,

europeas y polticas corporativas que se refieren a proteccin de datos
y privacidad, dentro de la entidad financiera.
Asegurar que todos los riesgos legales y de Compliance relacionados
con proteccin de datos personales, derivados de la actividad de
negocio, estn adecuadamente identificados, evaluados y
controlados.
La gestin del riesgo de Privacidad y Proteccin de Datos en la
actividad de negocio, es realizada principalmente por el Data Privacy
Officer en coordinacin con Asesora Jurdica y del responsable de
la Seguridad de la Informacin.

29 mayo 2008

ISMS FORUM, MAYO 2008

Herramientas de gestin del riesgo de proteccin de

datos y seguridad de la informacin (I)

El Compliance Officer de Proteccin de Datos trata diferente informacin, para

la adecuada gestin del riesgo reputacional y de imposicin de sanciones de la
AEPD:
9 Matriz normativa : Identificacin de normas de proteccin de datos
aplicables. Proyectos de implementacin de normas y polticas.
9 Procesos de autoevaluacin (RCSA): Permiten llevar a cabo revisiones
peridicas de controles sobre procesos crticos y corregir posibles
debilidades.
9 Monitoring &Testing:
Llevados a cabo por la propia Unidad de
Compliance. El Plan Anual debe contemplar aplicando criterios de riesgo
(Risk Based Approach) revisiones end-to-end de procesos de alto riesgo.
9 Informes de auditores internos, en los que la Unidad de Compliance
debe participar (directa o indirectamente). Necesidad de que Compliance
apruebe los programas de auditora.

29 mayo 2008

ISMS FORUM, MAYO 2008

Herramientas de gestin del riesgo de proteccin de

datos y seguridad de la informacin (II)
9 Informes de auditora externa de medidas de seguridad.
Coordinacin de Compliance. Escalacin de incidencias.
9 Anlisis de Reclamaciones de clientes: Deteccin de debilidades
de procesos.
9 Tramitacin de expedientes disciplinarios de la AEPD:
Coordinacin conjunta de Compliance y Asesora Jurdica
9 Demandas judiciales: Responsabilidad de Asesora Jurdica.
Compliance debe recibir peridicamente informacin sobre litigios
relacionados con proteccin de datos.
9 Incidentes de seguridad: Procedimiento de escalacin de
incidentes. Comits de segumiento con participacin de todas las
reas involucradas en un incidente de seguridad.
9 Foros especializados en seguridad de la Informacin y proteccin
de datos, Noticias en buscadores, medios de comunicacin, etc.

29 mayo 2008

ISMS FORUM, MAYO 2008

Areas de especial riesgo en una entidad financiera (I)

Encargados del tratamiento: Deber de velar por que el encargado
del tratamiento rena las garantas para el cumplimiento de lo
dispuesto en la normativa de proteccin de datos.
9 Deber de diligencia previa a la contratacin.
9 Clasula contractual de proteccin de datos ( art.12 LOPD):
9 Asegurar la devolucin o destruccin de los datos una vez cumplida
la prestacin contractual.
Transferencias internacionales de datos: Especial complejidad en
entidades multinacionales.
Altas, bajas y actualizaciones de ficheros declarados a la AEPD.
Formacin en proteccin de datos y seguridad de la informacin.
10

29 mayo 2008

ISMS FORUM, MAYO 2008

Areas de especial riesgo en una entidad financiera (II)

Cancelacin de Datos
9 Concepto
9 Acceso a datos cancelados de acuerdo con la normativa de proteccin de
datos
Listas Robinson
9 Sensibilidad del cliente que ejercita el opt-out
Servicio de Atencin al Cliente
9 Ejercicio de derechos ARCO de la LOPD.
9 Puerta de entrada de clientes descontentos.

Ficheros de Solvencia Patrimonial

9 Fuente de las principales sanciones.
9 Principio de calidad de datos. Requisitos de inclusin en los ficheros de
solvencia patrimonial.
11

29 mayo 2008

ISMS FORUM, MAYO 2008

Conclusiones
Riesgo gestionado de forma independiente por la Unidad de
Compliance
Estrecha colaboracin con otras Areas (IS, AJ, Auditoria, etc)
Fuente de riesgo legal y regulatorio as como de daos a la
reputacin de la entidad
Creciente exigibilidad de Reguladores y del propio mercado
Necesidad de contar con procesos permenentes de verificacin y
vigilancia que aseguren un adecuado cumplimiento, as como una
rpida deteccin de debilidades y su elevacin a la Alta Direccin

12

29 mayo 2008

ISMS FORUM, MAYO 2008