El cumplimiento normativo tiene que ver con el cumplimiento de una organización de las leyes, normativas, estándares, directrices y especificaciones que establecen los gobiernos, las agencias, los grupos comerciales, así como otros organismos. Por lo general, las normativas que impulsan el cumplimiento normativo se implementan para proteger algo o a alguien (p. ej., los empleados, los usuarios, el público o el medioambiente). El cumplimiento normativo tiene como objetivo asegurar que todas las organizaciones se mantengan dentro de los límites de las prácticas aceptables para garantizar la seguridad de cualquier persona o entidad con la que interactúen.
El cumplimiento normativo es esencial para empresas y organizaciones de todos los sectores y países. Actualmente, casi todas deben adaptarse a normativas específicas que regulan su actividad. Una de las más comunes y exigidas a nivel global es la relacionada con la privacidad de los datos, presente en industrias como la salud, las finanzas, la tecnología o los servicios públicos.
Cumplimiento normativo en Estados Unidos
En Estados Unidos, existen múltiples leyes y normativas diseñadas para proteger a los empleados, al público y a otras partes interesadas frente a la negligencia, el fraude y los riesgos corporativos. Muchas de estas regulaciones establecen estándares que exigen un estricto cumplimiento normativo por parte de las organizaciones. A continuación, se detallan algunas de las principales agencias, marcos legales y organismos que promueven y supervisan el cumplimiento normativo en diferentes sectores.
Agencias gubernamentales como:
- Civil Rights Center del Federal Department of Labor
- Employee Benefits Security Administration (EBSA)
- Employment and Training Administration del Federal Department of Labor
- Environmental Protection Agency (EPA)
- Comisión para la Igualdad de Oportunidades en el Empleo (EEOC)
- Federal Financial Institutions Examination Council (FFIEC)
- Comisión Federal de Comercio (FTC)
- Administración de Alimentos y Medicamentos (FDA)
- Occupational Safety and Health Administration (OSHA)
- Agencia Federal de Pequeños Negocios (SBA)
- U.S. Office of Foreign Assets Control (OFAC)
- U.S. Securities and Exchange Commission (SEC)
- United States Sentencing Commission
Entre las entidades no gubernamentales que respaldan y hacen cumplir las normativas se encuentran:
- American Society of Mechanical Engineers (ASME)
- Financial Industry Regulatory Authority (FINRA)
- Payment Card Industry Standards Security Council (PCI SSC)
- Public Company Accounting Oversight Board (PCAOB)
Entre los estándares que dirigen el cumplimiento normativo en Estados Unidos se encuentran:
- El marco de Control Objectives for Information Technologies (COBIT)
- Organización Internacional de Normalización (ISO)
- El marco del National Institute of Standards and Technology(NIST)
- U.S. Department of Defense (DoD)
- Cybersecurity Maturity Model Certification (CMMC) International
Decenas de miles de leyes y normativas establecen requisitos de cumplimiento normativo para las organizaciones.
A continuación, se presentan ejemplos de mandatos en varios sectores clave:
Ejemplos de cumplimiento normativo relacionado con los derechos civiles
- Age Discrimination Act
- Americans with Disabilities Act
- Civil Rights Act
- Congressional Accountability Act
- Equal Credit Opportunity
- Equal Educational Opportunities Act
- Fair Housing Act
- Genetic Information Nondiscrimination Act
- Rehabilitation Act
- Title IX
- Uniformed Services Employment and Reemployment Rights Act
- Voting Rights Act
Ejemplos de cumplimiento normativo relacionado con el empleo y el lugar de trabajo
- Equal Pay Act
- Fair Labor Standards Act (FLSA)
- Family and Medical Leave Act (FMLA)
- Federal Workers’ Compensation Act
- Uniformed Services Employment and Reemployment Rights Act (USERRA)
- Worker Adjustment and Retraining Notification Act (WARN)
- Workers’ Compensation Laws
Ejemplos de cumplimiento normativo relacionado con el medioambiente
- Atomic Energy Act (AEA)
- Beaches Environmental Assessment and Coastal Health (BEACH) Act
- Chemical Safety Information, Site Security and Fuels Regulatory Relief Act
- Clean Air Act (CAA)
- Clean Water Act
- Toxic Substances Control Act
Ejemplos de cumplimiento normativo relacionado con las finanzas
- Dodd-Frank Act
- Payment Card Industry Data Security Standard (PCI DSS)
- Sarbanes-Oxley Act (SOX)
- Gramm–Leach–Bliley Act (GLBA)
- Fair Credit Reporting Act
- Sherman Act
- Securities Exchange Act
- Securities Act de 1933
- Bank Secrecy Act (BSA)
Ejemplos de cumplimiento normativo relacionado con la atención médica
- Anti-Kickback Statute (AKBS)
- Emergency Medical Treatment and Labor Act (EMTALA)
- Health Information Technology for Economic and Clinical Health (HITECH) Act
- Health Insurance Portability and Accountability Act (HIPAA)
- Occupational Safety and Health Act
- Patient Safety and Quality Improvement Act (PSQIA)
Ejemplos de cumplimiento normativo relacionado con la seguridad de los datos y la privacidad
- California Consumer Privacy Act de 2018 (CCPA)
- Colorado Privacy Act
- Connecticut Personal Data Privacy and Online Monitoring Act
- Federal Information Security Management Act (FISMA)
- Maryland Online Consumer Protection Act
- Massachusetts Data Privacy Law
- New York Privacy Act
- Utah Consumer Privacy Act
- Virginia Consumer Data Protection Act
Cumplimiento normativo en la UE y en otras regiones
Las normativas de cumplimiento varían según el país o la región, aunque muchas jurisdicciones han adoptado leyes similares a las de Estados Unidos. Las organizaciones que operan a nivel internacional o gestionan datos de ciudadanos extranjeros deben asegurarse de cumplir con los requisitos legales específicos de cada región para garantizar el cumplimiento normativo global.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) es un ejemplo particularmente riguroso. El RGPD es pertinente para cualquier organización que recopile datos de ciudadanos de la UE, independientemente del lugar donde se encuentre la organización. También se aplica para los datos de ciudadanos no europeos que residan en un país de la UE.
¿Por qué es importante el cumplimiento normativo?
Los requisitos de cumplimiento normativo siguen en aumento, ya que gobiernos y organismos actualizan sus normativas e introducen nuevas regulaciones para hacer frente a amenazas emergentes, muchas de ellas derivadas de los avances tecnológicos. Las estrategias y procesos asociados al cumplimiento normativo aseguran que una organización opere conforme a las leyes y regulaciones vigentes.
Además de reducir riesgos, el cumplimiento normativo contribuye a mejorar las operaciones internas. Las auditorías y reportes de cumplimiento demuestran el compromiso de la organización con la transparencia, la integridad y la protección de quienes interactúan con ella.
Cumplir con la normativa no solo es una obligación legal, sino también una ventaja competitiva. Refuerza la reputación de la empresa y aumenta la confianza de clientes, socios y otras partes interesadas.
Además, los requisitos de conformidad promueven la seguridad y reducen los riesgos en muchos sectores. Las normas creadas con el fin de abordar los riesgos específicos del sector para las personas y el medioambiente han marcado una diferencia material. Los empleados, los usuarios y el medioambiente se benefician de protecciones que reducen las posibilidades de accidentes, lesiones e incidentes fatales en el trabajo y que protegen al público contra productos y prácticas perjudiciales o fraudulentas.
En algunos casos, la importancia del cumplimiento normativo es muy simple: permite el funcionamiento de una organización, puesto que se deben implementar algunos requisitos para que las operaciones se lleven a cabo de forma legal. En caso de que una organización no cumpla los requisitos de cumplimiento normativo, puede ser multada o, incluso, cerrada.
Beneficios del cumplimiento normativo
Las organizaciones obtienen muchos beneficios cuando logran y demuestran el cumplimiento normativo. A continuación, se enumeran algunas de las ventajas más citadas a corto plazo y a largo plazo.
Evitar problemas legales costosos e innecesarios
La implementación y el mantenimiento de programas de cumplimiento normativo ayudan a las organizaciones a evitar problemas legales largos y costosos que resultan del incumplimiento normativo. Esto se debe al hecho de que las políticas de cumplimiento normativo establecen marcos que satisfacen todas las obligaciones necesarias.
Mejora de la eficiencia operativa, aumento de la productividad y disminución de los costos
La eficiencia operativa es un subproducto bien documentado del cumplimiento normativo. Se deben implementar sistemas y procesos claros y sólidos con el fin de lograr el cumplimiento normativo. Además de respaldar los requisitos de conformidad, dan lugar a procedimientos y procesos optimizados que mejoran las operaciones, aumentan la productividad y disminuyen los costos.
Mayor resiliencia y continuidad comercial
Las organizaciones conformes cuentan con una mayor resiliencia frente a normativas cambiantes, puesto que ya implementaron sistemas para satisfacer las exigencias normativas. Esto ayuda a las organizaciones a planificar mejor los cambios futuros, lo que facilita una mayor continuidad comercial.
Mayor retención y productividad de los empleados
Gracias al respaldo de la priorización de la seguridad e igualdad en el trabajo, el cumplimiento normativo tiene como efecto residual el aumento de la satisfacción de los empleados, lo que genera una mejorar de la productividad y disminuye la tasa de rotación de personal.
Mejora la salud del mercado
Uno de los beneficios del cumplimiento normativo menos considerado es la eliminación de monopolios que pueden perjudicar la competencia y crear mercados poco saludables. A menudo, las normativas promueven prácticas justas que ofrecen a todas las organizaciones la oportunidad de alcanzar el éxito y fomentar la innovación.
Mejora de la igualdad y seguridad en el trabajo
El cumplimiento normativo requiere la implementación de normas que tratan de eliminar la discriminación y el acoso en el trabajo. Además, el cumplimiento normativo requiere la ejecución de protocolos y estándares de seguridad estrictos que prevengan accidentes y daños a las personas y la infraestructura. De esta manera, el cumplimiento normativo puede promover un ambiente laboral que mejore la productividad, la eficiencia y la satisfacción en general.
Reputación positiva
Cuando las organizaciones cumplen sus obligaciones de cumplimiento normativo, el sector, los empleados, los clientes y el público en general confían más en ellas, ya que el hecho de demostrar que respetan las normativas exhibe su compromiso con estándares profesionales y éticos elevados. Las organizaciones que mantienen el cumplimiento normativo disfrutan a menudo de un mayor valor de marca y de la confianza de las partes interesadas.
Consecuencias del incumplimiento normativo
El incumplimiento de las obligaciones normativas puede tener consecuencias graves para las organizaciones, incluyendo sanciones legales como multas, amonestaciones o restricciones operativas. Las penalizaciones varían según la normativa aplicable, el sector y la gravedad de la infracción. A continuación, se presentan las categorías más comunes de sanciones por incumplimiento normativo, para ofrecer una visión general de los riesgos asociados a no cumplir con las regulaciones vigentes.
Sanciones financieras
El incumplimiento de las obligaciones normativas puede conllevar multas exorbitantes. Por ejemplo, en Estados Unidos, los requisitos de la HIPAA relacionados con una filtración de datos basan las multas en la gravedad del incidente. En la Unión Europea (UE), el RGPD tiene dos niveles de sanciones y cada uno cuenta con obligaciones financieras importantes para las organizaciones no conformes.
Impacto en las operaciones de las organizaciones
El incumplimiento normativo puede provocar la disminución de la productividad a medida que las organizaciones lidien con multas y otras clases de sanciones. En casos extremos, las organizaciones pueden perder contratos, licencias o autorizaciones debido al incumplimiento normativo.
Por ejemplo, la normativa del sector PCI DSS (Payment Card Industry Data Security Standard) puede revocar la autorización para utilizar redes de pago con tarjetas de crédito si se detecta un incumplimiento normativo. En el ámbito gubernamental, programas como FedRAMP (Federal Risk and Authorization Management Program) o la CMMC (Cybersecurity Maturity Model Certification) pueden retirar certificaciones clave, impidiendo que una organización colabore con entidades federales o acceda a contratos públicos. Perder estas certificaciones por incumplir con los requisitos normativos puede suponer un bloqueo operativo y una pérdida significativa de negocio.
Responsabilidad legal
En casos donde el incumplimiento de los requisitos de conformidad causen daño a individuos y o a una organización, podría haber consecuencias jurídicas. La HIPAA y el RGPD ejemplifican la gravedad de las responsabilidades legales.
La HIPAA tiene diversos niveles de sanciones, incluida la pena de cárcel por fraude o infracciones graves. Las violaciones del RGPD también pueden exponer a los directivos a penas de cárcel. Huelga decir que los gastos legales de defensa son exorbitantes.
Daño a la reputación
Aunque las multas son dolorosas, el daño a las marcas y a la reputación debido al incumplimiento normativo es aún más problemático.
Cuando el incumplimiento de los requisitos de conformidad provocan un incidente, en especial cuando se infringe una ley, la opinión pública puede ser implacable.
Las organizaciones corren el riesgo de perder su cuota de mercado e ingresos cuando pierden la confianza del público debido a un problema relacionado con el incumplimiento normativo.
Políticas de cumplimiento normativo
Una política de cumplimiento normativo proporciona el marco necesario para que una organización cumpla con sus obligaciones legales y regulatorias. Esta política define los sistemas, procesos y procedimientos destinados a implementar, mantener y supervisar los controles de cumplimiento dentro de la empresa.
Para ser eficaz, una política de cumplimiento normativo debe incluir:
- Principios rectores que dirijan todas las decisiones y medidas relacionadas con el cumplimiento normativo
- Sistemas, funciones y procedimientos específicos y necesarios que garanticen el cumplimiento normativo
- Información sobre qué autoridades realizarán las auditorías
- Definición de roles y funciones para supervisar y revisar el estado
- Protocolos de comunicación y de documentación relacionados con el cumplimiento normativo
- Resumen de los requisitos de conformidad pertinentes
Aunque el contenido específico de la política puede variar según el tipo de empresa o industria, existen una serie de preguntas clave que toda organización debe plantearse al redactar su política de cumplimiento normativo.
- ¿Cómo se utilizará la política para disminuir el riesgo, promover la comunicación y educar a las partes interesadas?
- ¿Para quién es pertinente la política y en calidad de qué?
- ¿Existen excepciones o limitaciones con respecto a la utilización de la política?
- ¿Qué impacto tienen el cumplimiento normativo en la organización?
- ¿Cómo se equilibrarán los deberes de cumplimiento normativo entre los diferentes equipos de la organización (p. ej., equipo legal, equipo de auditoría y equipo de finanzas)?
- ¿Cómo la política puede fomentar el cumplimiento normativo en todos los diferentes equipos y ubicaciones?
- ¿Qué sistemas supervisarán, gestionarán y elaborarán informes relacionados con el cumplimiento normativo?
- ¿Cómo la política puede ayudar a medir el valor del cumplimiento normativo, incluidas las evaluaciones de rendimiento de los empleados?
Es importante que las organizaciones implementen políticas de cumplimiento normativo, ya que posibilitan una comunicación clara con los empleados, socios y reguladores sobre cómo se logra dicho cumplimiento.
En muchos casos, cualquier persona sujeta a los requisitos de cumplimiento normativo debe reconocer que leyó y comprendió las políticas.
Funciones dentro del cumplimiento normativo
Crear funciones dedicadas al cumplimiento normativo ayuda a las organizaciones a navegar y cumplir mandatos y leyes estrictos y complejos. Dado que los responsables del cumplimiento son injustamente propensos a ser menospreciados por otros miembros de la organización, es importante que la dirección eduque a los miembros del equipo sobre el papel fundamental que desempeñan. Posicionar al personal de cumplimiento normativo como compañeros ayuda a los demás a verlos de forma más positiva.
Con el aumento de la cantidad de normativas, muchas organizaciones han creado puestos centrados en garantizar el cumplimiento de las normas, como especialistas, analistas y responsables de cumplimiento.
Las funciones de la gestión de cumplimiento normativo abarcan diversas áreas, entre las cuales se encuentran:
Asesoría
Las funciones de cumplimiento normativo ayudan a las organizaciones a cumplir las normas y normativas mediante la supervisión y el asesoramiento relacionado con las modificaciones necesarias de los sistemas o procesos. Además, cuando surgen problemas, los asesores aportan conocimientos y experiencia para garantizar una solución rápida y eficaz. Los miembros del equipo de cumplimiento normativo también ofrecen asesoría en relación con la preparación y presentación de documentación para auditorías.
Clasificación de datos
Una función importante del personal encargado del cumplimiento normativo es apoyar la regulación de datos, en concreto, la clasificación. Clasificar con precisión los datos almacenados permite cumplir más fácilmente los requisitos de conformidad y realizar auditorías con mayor rapidez y sin problemas.
Supervisión
Los equipos de cumplimiento normativo ayudan a las organizaciones a estar al día con las nuevas y cambiantes normas. Con la continua publicación de nuevas normativas, es importante contar con un equipo centrado en cómo afectan a la organización y en tomar medidas para garantizar que se realicen los cambios o actualizaciones necesarios.
Prevención
Evitar pasos en falso en materia de cumplimiento normativo no solo previene sanciones, sino también interrupciones en las operaciones. Los equipos de cumplimiento normativo crean y aplican programas que evitan a las organizaciones los problemas causados por el incumplimiento de las numerosas normas y que reducen el riesgo global.
Solución
En el desafortunado caso de que se produzca una infracción de los controles de cumplimiento normativo, es necesaria una respuesta rápida. Abordar los problemas a tiempo minimiza los daños y puede mitigar las perturbaciones, los perjuicios y las sanciones.
Responsabilidad
Contar con miembros del equipo centrados en el cumplimiento normativo hace que la responsabilidad recaiga en una persona o equipo. Ser responsable del cumplimiento les permite a los equipos o a las personas dedicar el tiempo necesario para desarrollar un conocimiento profundo de las normas y de cómo afectan a la empresa. Esto incluye ayudar a otros departamentos a hacer su parte para garantizar el cumplimiento normativo y mantenerlos al día de las revisiones de las normas existentes o de las nuevas.
Mejores prácticas del cumplimiento normativo
Para satisfacer los requisitos de cumplimiento normativo, las organizaciones deben comprender qué leyes y reglamentos son pertinentes. Dado que muchas normativas tienen un alcance extendido, especialmente las que se originan fuera de Estados Unidos (por ejemplo, el RGPD), se requiere un conocimiento profundo de las responsabilidades de la organización.
Entre las mejores prácticas que se deben tener en cuenta a la hora de evaluar cómo cumplir los requisitos de conformidad se incluyen las siguientes:
Asignar funciones a individuos en departamentos relevantes para que respalden el mantenimiento, la elaboración de informes y las auditorías en términos de cumplimiento normativo.
Establecer requisitos relacionados con el cumplimiento normativo en todos los mandatos pertinentes y desarrollar planes para garantizar su cumplimiento.
Desarrollar y mantener un código de conducta para fomentar una cultura de cumplimiento normativo en toda la organización.
Documentar los procesos de cumplimiento normativo, con instrucciones explícitas para el mantenimiento del cumplimiento normativo con el fin de garantizar que se respeten todas las normas y que la organización esté preparada para las auditorías.
Identificar normativas pertinentes para determinar qué normas atañen a la organización en función de su huella geográfica, sector y operaciones.
Supervisar los cambios en los requisitos de cumplimiento normativo continuamente para conocer las actualizaciones que puedan aplicarse a la organización.
Programar formaciones periódicas para mantener al día al personal y a otras personas sobre los requisitos y la mejor manera de mantener el cumplimiento normativo.
El cumplimiento normativo promueve el bien común
Aunque a menudo se percibe como una carga operativa, el cumplimiento normativo desempeña un papel fundamental en la protección del bien común, tanto para las organizaciones como para la sociedad. A medida que los requisitos regulatorios aumentan a nivel global, los gobiernos y organismos trabajan para armonizar las normativas y fomentar un grado creciente de estandarización.
Desde el punto de vista individual, estos requisitos obligan a las organizaciones a adoptar estándares más estrictos como base mínima, lo que se traduce en múltiples beneficios: productos más seguros, mejores prácticas medioambientales, mayor protección de la privacidad de los datos y barreras más sólidas frente al fraude.
Para las organizaciones, el cumplimiento normativo aporta coherencia y claridad. Al establecer un marco común de obligaciones, permite competir en igualdad de condiciones y mejora la confianza entre empresas, clientes, socios y reguladores.
