El cumplimiento normativo tiene que ver con el cumplimiento de una organización de las leyes, normativas, estándares, directrices y especificaciones que establecen los gobiernos, las agencias, los grupos comerciales, así como otros organismos. Por lo general, las normativas que impulsan el cumplimiento normativo se implementan para proteger algo o a alguien (p. ej., los empleados, los usuarios, el público o el medioambiente). El cumplimiento normativo tiene como objetivo asegurar que todas las organizaciones se mantengan dentro de los límites de las prácticas aceptables para garantizar la seguridad de cualquier persona o entidad con la que interactúen.
El cumplimiento normativo es pertinente para muchas organizaciones y sectores a nivel mundial. Casi todas las organizaciones deben cumplir algún tipo de normativa. La privacidad de los datos es una de las normas de cumplimiento más extendida en todos los sectores y en la mayoría de los países.
Cumplimiento normativo en Estados Unidos
En Estados Unidos, se implementan numerosas leyes y normativas para proteger a los empleados, al público y a las otras partes interesadas contra la negligencia y el fraude. Por ejemplo, existen leyes y estándares industriales que exigen el cumplimiento normativo. A continuación, presentamos algunas agencias, grupos y mandatos importantes que promueven el cumplimiento normativo.
Agencias gubernamentales como:
- Civil Rights Center del Federal Department of Labor
- Employee Benefits Security Administration (EBSA)
- Employment and Training Administration del Federal Department of Labor
- Environmental Protection Agency (EPA)
- Comisión para la Igualdad de Oportunidades en el Empleo (EEOC)
- Federal Financial Institutions Examination Council (FFIEC)
- Comisión Federal de Comercio (FTC)
- Administración de Alimentos y Medicamentos (FDA)
- Occupational Safety and Health Administration (OSHA)
- Agencia Federal de Pequeños Negocios (SBA)
- U.S. Office of Foreign Assets Control (OFAC)
- U.S. Securities and Exchange Commission (SEC)
- United States Sentencing Commission
Entre las entidades no gubernamentales que respaldan y hacen cumplir las normativas se encuentran:
- American Society of Mechanical Engineers (ASME)
- Financial Industry Regulatory Authority (FINRA)
- Payment Card Industry Standards Security Council (PCI SSC)
- Public Company Accounting Oversight Board (PCAOB)
Entre los estándares que dirigen el cumplimiento normativo en Estados Unidos se encuentran:
- El marco de Control Objectives for Information Technologies (COBIT)
- Organización Internacional de Normalización (ISO)
- Estándares del National Institute of Standards and Technology (NIST)
- U.S. Department of Defense (DoD)
- Cybersecurity Maturity Model Certification (CMMC) International
Decenas de miles de leyes y normativas establecen requisitos de cumplimiento normativo para las organizaciones.
A continuación, se presentan ejemplos de mandatos en varios sectores clave:
Ejemplos de cumplimiento normativo relacionado con los derechos civiles
- Age Discrimination Act
- Americans with Disabilities Act
- Civil Rights Act
- Congressional Accountability Act
- Equal Credit Opportunity
- Equal Educational Opportunities Act
- Fair Housing Act
- Genetic Information Nondiscrimination Act
- Rehabilitation Act
- Title IX
- Uniformed Services Employment and Reemployment Rights Act
- Voting Rights Act
Ejemplos de cumplimiento normativo relacionado con el empleo y el lugar de trabajo
- Equal Pay Act
- Fair Labor Standards Act (FLSA)
- Family and Medical Leave Act (FMLA)
- Federal Workers’ Compensation Act
- Uniformed Services Employment and Reemployment Rights Act (USERRA)
- Worker Adjustment and Retraining Notification Act (WARN)
- Workers’ Compensation Laws
Ejemplos de cumplimiento normativo relacionado con el medioambiente
- Atomic Energy Act (AEA)
- Beaches Environmental Assessment and Coastal Health (BEACH) Act
- Chemical Safety Information, Site Security and Fuels Regulatory Relief Act
- Clean Air Act (CAA)
- Clean Water Act
Toxic Substances Control Act
Ejemplos de cumplimiento normativo relacionado con las finanzas
- Dodd-Frank Act
- Payment Card Industry Data Security Standard (PCI DSS)
- Sarbanes-Oxley Act (SOX)
- Gramm–Leach–Bliley Act (GLBA)
- Fair Credit Reporting Act
- Sherman Act
- Securities Exchange Act
- Securities Act de 1933
- Bank Secrecy Act (BSA)
Ejemplos de cumplimiento normativo relacionado con la atención médica
- Anti-Kickback Statute (AKBS)
- Emergency Medical Treatment and Labor Act (EMTALA)
- Health Information Technology for Economic and Clinical Health (HITECH) Act
- Health Insurance Portability and Accountability Act (HIPAA)
- Occupational Safety and Health Act
- Patient Safety and Quality Improvement Act (PSQIA)
Ejemplos de cumplimiento normativo relacionado con la seguridad de los datos y la privacidad
- California Consumer Privacy Act de 2018 (CCPA)
- Colorado Privacy Act
- Connecticut Personal Data Privacy and Online Monitoring Act
- Federal Information Security Management Act (FISMA)
- Maryland Online Consumer Protection Act
- Massachusetts Data Privacy Law
- New York Privacy Act
- Utah Consumer Privacy Act
- Virginia Consumer Data Protection Act
Cumplimiento normativo en la UE y en otras regiones
Las normativas varían según el país y la región, pero la mayoría ha promulgado leyes similares a las de Estados Unidos. Las organizaciones que se relacionan con ciudadanos de otros países deben cumplir los requisitos de dichas regiones.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) es un ejemplo particularmente riguroso. El RGPD es pertinente para cualquier organización que recopile datos de ciudadanos de la UE, independientemente del lugar donde se encuentre la organización. También se aplica para los datos de ciudadanos no europeos que residan en un país de la UE.
Por qué es importante el cumplimiento normativo
Los requisitos de conformidad continúan aumentando, ya que diversos gobiernos y grupos perfeccionan las normas existentes e incorporan nuevas para abordar amenazas crecientes, muchas de las cuales son producto de los avances tecnológicos. Los procesos y las estrategias que se derivan del cumplimiento normativo garantizan que una organización funcione de conformidad con todas las leyes y normativas pertinentes.
Un subproducto del cumplimiento normativo es ayudar a las organizaciones a mejorar sus operaciones. Los informes de auditoría que se relacionan con los requisitos de conformidad demuestran el compromiso de una organización para respetar las normas y garantizar el bienestar de aquellos con quienes hace negocios.
El cumplimiento normativo fortalece la reputación de las organizaciones, ya que aumenta la confianza.
Además, los requisitos de conformidad promueven la seguridad y reducen los riesgos en muchos sectores. Las normas creadas con el fin de abordar los riesgos específicos del sector para las personas y el medioambiente han marcado una diferencia material. Los empleados, los usuarios y el medioambiente se benefician de protecciones que reducen las posibilidades de accidentes, lesiones e incidentes fatales en el trabajo y que protegen al público contra productos y prácticas perjudiciales o fraudulentas.
En algunos casos, la importancia del cumplimiento normativo es muy simple: permite el funcionamiento de una organización, puesto que se deben implementar algunos requisitos para que las operaciones se lleven a cabo de forma legal. En caso de que una organización no cumpla los requisitos de cumplimiento normativo, puede ser multada o, incluso, cerrada.
Beneficios del cumplimiento normativo
Las organizaciones obtienen muchos beneficios cuando logran y demuestran el cumplimiento normativo. A continuación, se enumeran algunas de las ventajas más citadas a corto plazo y a largo plazo.
Evitar problemas legales costosos e innecesarios
La implementación y el mantenimiento de programas de cumplimiento normativo ayudan a las organizaciones a evitar problemas legales largos y costosos que resultan del incumplimiento normativo. Esto se debe al hecho de que las políticas de cumplimiento normativo establecen marcos que satisfacen todas las obligaciones necesarias.
Mejora de la eficiencia operativa, aumento de la productividad y disminución de los costos
La eficiencia operativa es un subproducto bien documentado del cumplimiento normativo. Se deben implementar sistemas y procesos claros y sólidos con el fin de lograr el cumplimiento normativo. Además de respaldar los requisitos de conformidad, dan lugar a procedimientos y procesos optimizados que mejoran las operaciones, aumentan la productividad y disminuyen los costos.
Mayor resiliencia y continuidad comercial
Las organizaciones conformes cuentan con una mayor resiliencia frente a normativas cambiantes, puesto que ya implementaron sistemas para satisfacer las exigencias normativas. Esto ayuda a las organizaciones a planificar mejor los cambios futuros, lo que facilita una mayor continuidad comercial.
Mayor retención y productividad de los empleados
Gracias al respaldo de la priorización de la seguridad e igualdad en el trabajo, el cumplimiento normativo tiene como efecto residual el aumento de la satisfacción de los empleados, lo que genera una mejorar de la productividad y disminuye la tasa de rotación de personal.
Mejora la salud del mercado
Uno de los beneficios del cumplimiento normativo menos considerado es la eliminación de monopolios que pueden perjudicar la competencia y crear mercados poco saludables. A menudo, las normativas promueven prácticas justas que ofrecen a todas las organizaciones la oportunidad de alcanzar el éxito y fomentar la innovación.
Mejora de la igualdad y seguridad en el trabajo
El cumplimiento normativo requiere la implementación de normas que tratan de eliminar la discriminación y el acoso en el trabajo. Además, el cumplimiento normativo requiere la ejecución de protocolos y estándares de seguridad estrictos que prevengan accidentes y daños a las personas y la infraestructura. De esta manera, el cumplimiento normativo puede promover un ambiente laboral que mejore la productividad, la eficiencia y la satisfacción en general.
Reputación positiva
Cuando las organizaciones cumplen sus obligaciones de cumplimiento normativo, el sector, los empleados, los clientes y el público en general confían más en ellas, ya que el hecho de demostrar que respetan las normativas exhibe su compromiso con estándares profesionales y éticos elevados. Las organizaciones que mantienen el cumplimiento normativo disfrutan a menudo de un mayor valor de marca y de la confianza de las partes interesadas.
Consecuencias del incumplimiento normativo
El incumplimiento de las obligaciones normativas puede causar que las organizaciones reciban sanciones por incumplimiento, como multas y amonestaciones. Las sanciones específicas varían en función de la normativa, pero a continuación se exponen varias categorías generales que ofrecen una visión general de lo que puede ocurrir en caso de incumplimiento.
Sanciones financieras
El incumplimiento de las obligaciones normativas puede conllevar multas exorbitantes. Por ejemplo, en Estados Unidos, los requisitos de la HIPAA relacionados con una filtración de datos basan las multas en la gravedad del incidente. En la Unión Europea (UE), el RGPD tiene dos niveles de sanciones y cada uno cuenta con obligaciones financieras importantes para las organizaciones no conformes.
Impacto en las operaciones de las organizaciones
El incumplimiento normativo puede provocar la disminución de la productividad a medida que las organizaciones lidien con multas y otras clases de sanciones. En casos extremos, las organizaciones pueden perder contratos, licencias o autorizaciones debido al incumplimiento normativo.
Por ejemplo, la normativa del sector PCI DSS (Payment Card Industry Data Security Standard) puede desautorizar el uso de las redes de pago de las tarjetas de crédito de los miembros. Un ejemplo gubernamental podrían ser el FedRAMP (Federal Risk and Authorization Management Program) y la CMMC (Cybersecurity Maturity Model Certification), las cuales pueden hacer que las organizaciones pierdan certificaciones debido al incumplimiento normativo, lo que les imposibilitaría operar.
Responsabilidad legal
En casos donde el incumplimiento de los requisitos de conformidad causen daño a individuos y o a una organización, podría haber consecuencias jurídicas. La HIPAA y el RGPD ejemplifican la gravedad de las responsabilidades legales.
La HIPAA tiene diversos niveles de sanciones, incluida la pena de cárcel por fraude o infracciones graves. Las violaciones del RGPD también pueden exponer a los directivos a penas de cárcel. Huelga decir que los gastos legales de defensa son exorbitantes.
Daño a la reputación
Aunque las multas son dolorosas, el daño a las marcas y a la reputación debido al incumplimiento normativo es aún más problemático.
Cuando el incumplimiento de los requisitos de conformidad provocan un incidente, en especial cuando se infringe una ley, la opinión pública puede ser implacable.
Las organizaciones corren el riesgo de perder su cuota de mercado e ingresos cuando pierden la confianza del público debido a un problema relacionado con el incumplimiento normativo.
Políticas de cumplimiento normativo
Una política de cumplimiento normativo establece un marco para satisfacer obligaciones relacionadas. Además, especifica los sistemas, procesos y procedimientos para implementar, mantener e informar relacionados con todos los controles de cumplimiento normativo.
Una política de cumplimiento normativo debe incluir:
- Principios rectores que dirijan todas las decisiones y medidas relacionadas con el cumplimiento normativo
- Sistemas, funciones y procedimientos específicos y necesarios que garanticen el cumplimiento normativo
- Información sobre qué autoridades realizarán las auditorías
- Definición de roles y funciones para supervisar y revisar el estado
- Protocolos de comunicación y de documentación relacionados con el cumplimiento normativo
- Resumen de los requisitos de conformidad pertinentes
Aunque los detalles específicos varían según la organización, a continuación, se presentan las preguntas que se deben considerar cuando se formule una política de cumplimiento normativo:
- ¿Cómo se utilizará la política para disminuir el riesgo, promover la comunicación y educar a las partes interesadas?
- ¿Para quién es pertinente la política y en calidad de qué?
- ¿Existen excepciones o limitaciones con respecto a la utilización de la política?
- ¿Qué impacto tienen el cumplimiento normativo en la organización?
- ¿Cómo se equilibrarán los deberes de cumplimiento normativo entre los diferentes equipos de la organización (p. ej., equipo legal, equipo de auditoría y equipo de finanzas)?
- ¿Cómo la política puede fomentar el cumplimiento normativo en todos los diferentes equipos y ubicaciones?
- ¿Qué sistemas supervisarán, gestionarán y elaborarán informes relacionados con el cumplimiento normativo?
- ¿Cómo la política puede ayudar a medir el valor del cumplimiento normativo, incluidas las evaluaciones de rendimiento de los empleados?
Es importante que las organizaciones implementen políticas de cumplimiento normativo, ya que posibilitan una comunicación clara con los empleados, socios y reguladores sobre cómo se logra dicho cumplimiento.
En muchos casos, cualquier persona sujeta a los requisitos de cumplimiento normativo debe reconocer que leyó y comprendió las políticas.
Funciones dentro del cumplimiento normativo
Crear funciones dedicadas al cumplimiento normativo ayuda a las organizaciones a navegar y cumplir mandatos y leyes estrictos y complejos. Dado que los responsables del cumplimiento son injustamente propensos a ser menospreciados por otros miembros de la organización, es importante que la dirección eduque a los miembros del equipo sobre el papel fundamental que desempeñan. Posicionar al personal de cumplimiento normativo como compañeros ayuda a los demás a verlos de forma más positiva.
Con el aumento de la cantidad de normativas, muchas organizaciones han creado puestos centrados en garantizar el cumplimiento de las normas, como especialistas, analistas y responsables de cumplimiento.
Las funciones de la gestión de cumplimiento normativo abarcan diversas áreas, entre las cuales se encuentran:
Asesoría
Las funciones de cumplimiento normativo ayudan a las organizaciones a cumplir las normas y normativas mediante la supervisión y el asesoramiento relacionado con las modificaciones necesarias de los sistemas o procesos. Además, cuando surgen problemas, los asesores aportan conocimientos y experiencia para garantizar una solución rápida y eficaz. Los miembros del equipo de cumplimiento normativo también ofrecen asesoría en relación con la preparación y presentación de documentación para auditorías.
Clasificación de datos
Una función importante del personal encargado del cumplimiento normativo es apoyar la regulación de datos, en concreto, la clasificación. Clasificar con precisión los datos almacenados permite cumplir más fácilmente los requisitos de conformidad y realizar auditorías con mayor rapidez y sin problemas.
Supervisión
Los equipos de cumplimiento normativo ayudan a las organizaciones a estar al día con las nuevas y cambiantes normas. Con la continua publicación de nuevas normativas, es importante contar con un equipo centrado en cómo afectan a la organización y en tomar medidas para garantizar que se realicen los cambios o actualizaciones necesarios.
Prevención
Evitar pasos en falso en materia de cumplimiento normativo no solo previene sanciones, sino también interrupciones en las operaciones. Los equipos de cumplimiento normativo crean y aplican programas que evitan a las organizaciones los problemas causados por el incumplimiento de las numerosas normas y que reducen el riesgo global.
Solución
En el desafortunado caso de que se produzca una infracción de los controles de cumplimiento normativo, es necesaria una respuesta rápida. Abordar los problemas a tiempo minimiza los daños y puede mitigar las perturbaciones, los perjuicios y las sanciones.
Responsabilidad
Contar con miembros del equipo centrados en el cumplimiento normativo hace que la responsabilidad recaiga en una persona o equipo. Ser responsable del cumplimiento les permite a los equipos o a las personas dedicar el tiempo necesario para desarrollar un conocimiento profundo de las normas y de cómo afectan a la empresa. Esto incluye ayudar a otros departamentos a hacer su parte para garantizar el cumplimiento normativo y mantenerlos al día de las revisiones de las normas existentes o de las nuevas.
Mejores prácticas del cumplimiento normativo
Para satisfacer los requisitos de cumplimiento normativo, las organizaciones deben comprender qué leyes y reglamentos son pertinentes. Dado que muchas normativas tienen un alcance extendido, especialmente las que se originan fuera de Estados Unidos (por ejemplo, el RGPD), se requiere un conocimiento profundo de las responsabilidades de la organización.
Entre las mejores prácticas que se deben tener en cuenta a la hora de evaluar cómo cumplir los requisitos de conformidad se incluyen las siguientes:
Asignar funciones a individuos en departamentos relevantes para que respalden el mantenimiento, la elaboración de informes y las auditorías en términos de cumplimiento normativo.
Establecer requisitos relacionados con el cumplimiento normativo en todos los mandatos pertinentes y desarrollar planes para garantizar su cumplimiento.
Desarrollar y mantener un código de conducta para fomentar una cultura de cumplimiento normativo en toda la organización.
Documentar los procesos de cumplimiento normativo, con instrucciones explícitas para el mantenimiento del cumplimiento normativo con el fin de garantizar que se respeten todas las normas y que la organización esté preparada para las auditorías.
Identificar normativas pertinentes para determinar qué normas atañen a la organización en función de su huella geográfica, sector y operaciones.
Supervisar los cambios en los requisitos de cumplimiento normativo continuamente para conocer las actualizaciones que puedan aplicarse a la organización.
Programar formaciones periódicas para mantener al día al personal y a otras personas sobre los requisitos y la mejor manera de mantener el cumplimiento normativo.
El cumplimiento normativo busca el bien común
Aunque el cumplimiento normativo se considere a menudo como una carga, respalda el bien común tanto de la empresa como de la sociedad. Como los requisitos continúan aumentando a nivel mundial, se está realizando un esfuerzo para alinearlas con el fin de crear cierto grado de normalización.
En el caso de los individuos, el resultado de estos requisitos de conformidad los favorece, ya que el mínimo común denominador impulsa a las organizaciones a utilizar los estándares más estrictos como base. Esto ofrece beneficios que van desde productos más seguros y mejores controles medioambientales hasta la mejora de la privacidad de los datos y la protección contra el fraude.
En el caso de las organizaciones, el cumplimiento normativo proporciona un conjunto coherente de normas que son pertinentes para todos, lo que genera igualdad de condiciones en términos de normas.
Quizás también le interese:
Asuma el control de su plataforma en la nube.
Obtener más información sobre Identity Security de SailPoint.