Partiendo de la premisa de que un programa de compliance debe ser implementado de acuerdo con el tamaño y las características de la organización, a continuación, haremos algunas recomendaciones para su implementación en una empresa de gran tamaño, que, por su enfoque y complejidad, varía significativamente con el de una pequeña empresa.
En primer lugar, y considerando que las empresas de gran tamaño suelen contar con mayores recursos disponibles, recomendamos que, además de dedicar recursos financieros, tecnológicos y humanos, a través de la participación de equipos especializados durante su implementación, el órgano de gobierno y la alta dirección demuestren un compromiso con la cultura de cumplimiento, lo suficientemente visible que permita generar conciencia en todos los niveles de la organización, a través de programas de sensibilización, concienciación y formación.
Asimismo, considerando que una empresa de gran tamaño podría tener un mayor grado de exposición al riesgo, como consecuencia del volumen o complejidad de sus operaciones, es recomendable que, como punto de partida, y previo a la identificación de las actividades, operaciones y/o procesos expuestos al riesgo, se desarrollen de manera ad hoc a la organización las siguientes metodologías:
Evaluación de riesgos: que tome en cuenta los riesgos propios de las actividades de la organización, y que los criterios para determinar el nivel de impacto y probabilidad considere la naturaleza del negocio, su entorno económico y la influencia en el cumplimiento de los objetivos estratégicos.
Evaluación de controles: que mida el nivel de fortaleza del control, considerando, por ejemplo, el grado de automatización (manual o automático), la naturaleza del control (preventivo o detectivo), la capacidad para eludir el control (vulnerabilidad) y la frecuencia de ejecución del control.
Revisión de controles: que garantice un adecuado entorno de control, mediante directrices que permitan desarrollar planes de monitorización de controles que contengan acciones específicas y líneas de defensa encaminadas a gestionar adecuadamente la supervisión de los controles previamente identificados.
Como se puede advertir, las empresas de gran tamaño no solo tendrán un mayor grado de sofisticación durante la etapa de implementación de un programa de compliance, sino también durante su funcionamiento, ya que, a comparación de una pequeña empresa:
La frecuencia de la revisión de los riesgos y controles será menos espaciada.
Se establecerán mayores niveles de reporte de los resultados de las distintas revisiones del modelo.
Se requerirán de programas de comunicación con mayor periodicidad y más especializados.
Se desarrollarán códigos, políticas, procedimientos, guías de actuación, manuales, protocolos y/o instructivos para áreas específicas de riesgos.
Se implementarán mayores controles internos.
Se valorará el uso de tecnologías para el monitoreo del programa y el acceso al canal de denuncias.
Se procurará integrar los programas de compliance a los distintos procesos de la organización.
El modelo será lo suficientemente flexible para crecer con la organización (escalable).
Se evaluará la designación de un auditor interno.
Será necesario que el órgano de gobierno o la alta dirección, según corresponda, designe a un responsable del programa de compliance con autonomía, autoridad e independencia (compliance officer).
En conclusión, la implementación de un programa de compliance en empresas de gran tamaño debe ser adaptado a las características y dimensiones específicas de la organización, considerando aspectos como; volumen operacional, exposición a riesgos y complejidad de su estructura.
Para esto, es clave el involucramiento del gobierno corporativo, ya que este debe liderar e impulsar la implementación y supervisión del programa de compliance, además de que se cumpla actuando de manera ética y responsable.
Junto a eso, es fundamental crear metodologías personalizadas para evaluar los riesgos, controles y su revisión constante, asegurando así un entorno de control sólido.
Por Jorge Luis Hurtado, Subgerente de Gestión Legal y Regulatoria en Redinter.
Quinta entrega del Podcazt de “Rule The Rules“, nuestro conversatorio donde el Director del Grupo Compliance de az, Yoab Bitran, recibió a Donald Dillman, Compliance Director en Diebold Nixdorf.
Donald compartió su trayectoria en diferentes empresas y organizaciones, y brindó recomendaciones para mejorar los procesos de investigaciones internas.
Cuarto capítulo del Podcazt de “Rule The Rules“, nuestro conversatorio donde el Director del Grupo Compliance de az, Yoab Bitran, recibió a Gabriela Gutiérrez, Chief Compliance Officer de VEON.
Gabriela compartió su experiencia en diferentes industrias y su visión sobre el estado del compliance en la región.
La gobernanza de la IA trasciende los marcos regulatorios y se adentra en las estrategias empresariales. Abarca un amplio espectro de elementos que van desde la planificación financiera hasta la gestión de riesgos. Una gestión responsable de la IA puede fortalecer la reputación de una empresa y atraer a clientes y talentos. La gobernanza de la IA puede fomentar un entorno de innovación responsable, permitiendo a las empresas desarrollar soluciones de IA que generen un impacto positivo en la sociedad. Las empresas que adoptan una gobernanza de la IA sólida estarán mejor posicionadas para competir en un mercado cada vez más digitalizado.
En este tema, siempre serán clave los principios éticos a considerar al desarrollar e implementar sistemas de IA. La importancia de la transparencia en los algoritmos de IA y la necesidad de explicar las decisiones tomadas por estos sistemas, así como la necesidad de capacitar a los empleados en el uso responsable de la IA, son aspectos fundamentales.
En la industria farmacéutica el compliance se ha convertido en un pilar fundamental para garantizar que todas las operaciones se realicen con integridad, ética y transparencia para así posicionarse en el mercado de manera sólida.
Siendo éste un sector tan relevante para la salud pública, asegurar que todas las actividades se realicen conforme a los más altos estándares legales y éticos no solo protege a las empresas, sino que también fortalece la confianza de los pacientes, las instituciones, los médicos y la sociedad en general.
En los últimos años el compliance en la industria farmacéutica ha llevado a transformar las culturas organizacionales de las compañías que lideran la industria. El Chief Compliance Officer y los Comités de Ética se han convertido en figuras indispensables dentro de las organizaciones que priorizan el compliance, garantizando que todas las actividades empresariales sean llevadas a cabo respetando los principios éticos y la ley.
Hace unos años la inclusión de cláusulas de compliance en los contratos, tales como la protección de datos, los códigos de ética y las normas anticorrupción, generaba numerosas discusiones entre las partes involucradas. Sin embargo, en la actualidad, este ya no es un tema de debate. El compliance se ha globalizado y resulta indiscutible que este tipo de cláusulas deben estar presentes para asegurar el cumplimiento normativo y ético a nivel internacional.
De cara al 2025 y años subsiguientes la industria seguirá trabajando en desarrollar programas de compliance eficaces, que les permitan estar a tono con la normativa internacional.
En lo que refiere a datos personales, la adopción del Reglamento General de Protección de Datos (GDPR) en países de Latinoamérica ha aumentado. Las empresas farmacéuticas deben redoblar sus esfuerzos para asegurar la protección de los datos personales de los pacientes y cumplir con los estándares internacionales. La creciente digitalización y el uso de big data en investigación y desarrollo hace exigible una gestión rigurosa de los datos personales para evitar sanciones y mantener la confianza del público.
La lucha contra la corrupción seguirá siendo una prioridad en la industria. Las empresas deben implementar y actualizar constantemente sus programas de compliance para prevenir prácticas corruptas, teniendo siempre presente las disposiciones de rango internacional de referencia, como lo son FCPA y UK Bribery Act.
Se espera para el próximo año una recuperación gradual en la actividad de M&A, impulsada por la mejora de los mercados financieros y la necesidad estratégica de las empresas de transformarse y expandirse. En este tipo de transacciones el compliance seguirá jugando un rol fundamental, mitigando riesgos y asegurando que se realicen de manera eficiente y conforme a la ley.
Sin dudas el soporte en las nuevas tecnologías será clave para alcanzar programas de compliance eficaces. Específicamente en lo que refiere a:
Detección y prevención de riesgos: La IA y el “machine learning” permiten analizar grandes datos para identificar patrones inusuales que podrían señalar riesgos de cumplimiento. Esto previene fraudes y actividades ilícitas de manera efectiva.
Automatización de Procesos: Podrán automatizarse tareas repetitivas y administrativas, como la revisión de documentos y la verificación de cumplimiento normativo, lo que aumentará la eficiencia, y contribuirá a reducir el margen de error humano.
Decisiones Informadas: Los sistemas de IA ofrecen análisis detallados en tiempo real, facilitando decisiones basadas en datos precisos y actualizados. Esto es vital para el cumplimiento normativo en un entorno empresarial dinámico.
La implementación de la IA no generará simplemente ayuda para las compañías, sino también importantes desafíos. Es imprescindible garantizar la transparencia en este tipo de procesos automatizados y cumplir con las regulaciones y normativas en este ámbito, que por la dinámica que esto supone irán modificándose constantemente.
En 2025 el compliance en la industria farmacéutica seguirá evolucionando para enfrentar nuevos desafíos y cumplir con regulaciones más estrictas. Un sólido programa de compliance no solo evitará sanciones, sino que también mejorará la reputación de las empresas y fortalecerá la confianza de los stakeholders.
Es crucial que las empresas farmacéuticas mantengan un enfoque proactivo y continuo en el cumplimiento normativo, adaptándose a las regulaciones cambiantes y aprovechando las nuevas tecnologías para detectar y prevenir riesgos. Al hacerlo, no solo contribuirán a un entorno de negocios más ético y transparente, sino que también asegurarán un acceso equitativo a medicamentos, llegando a más pacientes y reduciendo costos.
Por Vanessa Malcolm, Head of Legal Department en Megalabs.
Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:
Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.
Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:
La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.
Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).
Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana
La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.
Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe
