Compliance i bon govern corporatiu
Proposta didàctica
En aquest bloc treballem el primer resultat d'aprenentatge del mòdul: Identifica els punts principals d'aplicació per assegurar el compliment normatiu, descriu els principis de bon govern corporatiu i dissenya l'estructura organitzativa necessària per a una cultura de compliance.
Criteris d'avaluació del bloc
-
CA1.1 Identifica les bases del compliment normatiu en organitzacions.
-
CA1.2 Descriu els principis de bon govern i ètica professional en el context corporatiu.
-
CA1.3 Defineix polítiques, procediments i l'estructura necessària per a una cultura de compliance.
-
CA1.4 Descriu les funcions del Compliance Officer en una organització.
-
CA1.5 Estableix relacions amb tercers per garantir el compliment normatiu.
Continguts de referència
- Definició i objectius del compliance
- Corporate Governance: principis i estructura
- Codi d'ètica corporatiu i cultura de compliment
- Whistleblowing i canal de denúncies
- Compliance Officer: funcions i independència
- Model de les Tres Línies de Defensa
- Relacions amb tercers i due diligence
- Sancions per incompliment
1. Definició i objectius del compliance
Qué és el compliance?
El terme compliance (del verb anglès to comply, "complir") fa referència al conjunt de procediments, polítiques i controls que una organització implanta per assegurar que les seves activitats s'ajusten a les lleis, reglaments, estàndards sectorials i codis de conducta interns i externs aplicables.
En el context de la ciberseguretat, el compliance abasta:
- Normativa legal obligatòria: RGPD, ENS, NIS2, Codi Penal
- Estàndards voluntaris però necessaris: ISO 27001, NIST CSF, SOC 2
- Requisits contractuals: SLAs, clàusules de seguretat en contractes
- Codis sectorials: regulació bancària (DORA), sanitària, etc.
Els quatre pilars del compliance efectiu
Un programa de compliance sòlid es basa en quatre pilars interconnectats:
┌──────────────────────────────────────────────────┐
│ PROGRAMA DE COMPLIANCE │
│ │
│ 1. PREVENCIÓ 2. DETECCIÓ 3. RESPOSTA │
│ Polítiques Monitoratge Investigació │
│ Formació Auditories Sancions │
│ Controls Alertes Remediació │
│ │
│ 4. MILLORA CONTÍNUA │
│ Revisió periòdica → Actualització → Verificació │
└──────────────────────────────────────────────────┘
Compliance vs. seguretat
Distinció important
El compliance verifica que es compleix allò que diu la norma. La seguretat busca protegir realment els actius. Sovint es diu que "el compliance és el terra, no el sostre" de la seguretat: complir la norma és el mínim exigible, però no garanteix necessàriament un nivell de seguretat adequat per als riscos reals de l'organització.
2. Corporate Governance (Bon govern corporatiu)
Definició
El govern corporatiu (Corporate Governance) és el sistema de normes, pràctiques i processos per mitjà dels quals una empresa és dirigida i controlada. Defineix la distribució de drets i responsabilitats entre els diferents grups d'interès: consell d'administració, directius, accionistes, empleats i altres parts interessades.
Principis de bon govern (OCDE)
L'Organització per a la Cooperació i el Desenvolupament Econòmics (OCDE) ha publicat els Principis de Govern Corporatiu que constitueixen la referència internacional:
| Principi | Descripció |
|---|---|
| Transparència | Informació clara, completa i veraç per a tots els grups d'interès |
| Responsabilitat | El consell és responsable davant els accionistes i la societat |
| Equitat | Tracte igualitari per a tots els accionistes |
| Rendiment de comptes | Els directius responen per les seves decisions |
Estructura de govern corporatiu
graph TD
Accionistes["Junta d'Accionistes\n(Propietaris)"]
Consell["Consell d'Administració\n(Supervisió estratègica)"]
CEO["CEO / Equip Directiu\n(Gestió executiva)"]
Compliance["Compliance Officer\n(Funció independent)"]
Auditoria["Comitè d'Auditoria\n(Supervisió financera i control)"]
Operacions["Gestors Operatius\n(Primera línia)"]
Accionistes -->|"Elegeix"| Consell
Consell -->|"Nomena"| CEO
Consell -->|"Supervisa"| Auditoria
CEO -->|"Dirigeix"| Operacions
Compliance -->|"Reporta directament a"| Consell
Compliance -->|"Assessora"| CEO
Auditoria <-->|"Col·labora"| Compliance
Bon govern en l'àmbit de la ciberseguretat
El bon govern de la ciberseguretat implica que les decisions sobre seguretat es prenen al nivell adequat, amb la informació correcta i la responsabilitat clarament assignada. Recomanacions clau:
- El CISO (Chief Information Security Officer) hauria de tenir accés directe al Consell d'Administració.
- La ciberseguretat ha d'estar present en l'agenda del Consell com a risc estratègic.
- El pressupost de seguretat ha de ser aprovat explícitament pel Consell, no únicament per IT.
- S'han de definir clarament les responsabilitats (accountability) en cas d'incident.
Obligació legal
La Directiva NIS2 (2022/2555) exigeix que els òrgans de govern de les organitzacions afectades aprovin les mesures de gestió de riscos de ciberseguretat i supervisin la seva implementació. Incomplir aquesta obligació pot comportar responsabilitat personal per als membres del consell.
3. Codi d'ètica corporatiu i cultura de compliance
El codi d'ètica
Un codi d'ètica (o codi de conducta) és un document formal que estableix els valors, principis i normes de comportament que regeixen les actuacions de tots els membres d'una organització. No és un document jurídic en sentit estricte, però pot tenir efectes legals en el marc de la responsabilitat penal de persones jurídiques.
Contingut típic d'un codi d'ètica corporatiu:
- Missió, visió i valors de l'organització
- Conductes esperades en les relacions laborals
- Conflictes d'interès: detecció i gestió
- Protecció d'actius: informació, propietat intel·lectual, sistemes
- Relacions amb tercers: proveïdors, clients, administracions
- Medi ambient i responsabilitat social
- Canal de denúncies: com i quan utilitzar-lo
- Conseqüències de l'incompliment
Cultura de compliance: el "tone from the top"
La recerca acadèmica i l'experiència pràctica demostren que els programes de compliance fracassen quan es perceben com un mer exercici burocràtic sense suport real de la direcció. El concepte de tone from the top (to des de dalt) fa referència al compromís visible i actiu dels màxims dirigents de l'organització amb el compliment normatiu.
Elements d'una cultura de compliance sòlida:
- Lideratge visible: els directius donen exemple complint les polítiques
- Formació contínua: tot el personal rep formació adaptada al seu rol
- Comunicació oberta: es fomenta la notificació de dubtes i irregularitats
- Reconeixement: es premia el comportament ètic, no únicament els resultats
- Conseqüències coherents: les violacions s'investiguen i sancionen independentment del rang
4. Whistleblowing i canal de denúncies
Definició de whistleblowing
El whistleblowing (literalment "tocar el xiulet") és l'acte per mitjà del qual un membre d'una organització comunica, internament o externament, conductes irregulars, il·legals o antiètiques de les quals té coneixement en el marc de la seva activitat professional.
Marc legal europeu i espanyol
Obligació legal: Directiva UE 2019/1937
La Directiva (UE) 2019/1937 del Parlament Europeu, relativa a la protecció de les persones que informen sobre infraccions del Dret de la Unió (transposada a Espanya per la Llei 2/2023, de 20 de febrer), obliga a totes les organitzacions amb 50 o més treballadors a establir un canal intern de denúncies que compleixi els requisits següents:
- Confidencialitat: garantida per tots els canals
- Resposta: acusament de recepció en 7 dies; resposta en 3 mesos
- Independència: gestionat per persona o departament independent
- Protecció: el denunciant no pot patir represàlies
- Registre: totes les denúncies s'han de registrar de forma segura
Terminis de la Llei 2/2023:
| Organització | Obligació | Data límit |
|---|---|---|
| Sector públic (qualsevol mida) | Canal intern obligatori | En vigor |
| Empreses privades >250 treballadors | Canal intern obligatori | En vigor |
| Empreses privades 50-249 treballadors | Canal intern obligatori | 17/06/2023 |
Requisits tècnics del canal de denúncies en ciberseguretat
Des del punt de vista de la ciberseguretat, el canal de denúncies ha de garantir:
- Xifrat de les comunicacions: TLS 1.3 per a canals web
- Anonimització (si el denunciant ho desitja): no registrar IP ni metadades identificatives
- Control d'accés: accés restringit únicament al gestor del canal
- Registre d'activitat (audit log) del canal per a la traçabilitat
- Còpies de seguretat xifrades i fora de l'entorn de producció
5. Compliance Officer: funcions i independència
Qui és el Compliance Officer?
El Compliance Officer (o Director de Compliment Normatiu) és el professional responsable de dissenyar, implementar i supervisar el programa de compliance de l'organització. No és el responsable últim del compliment (que recau en tots els treballadors i especialment en la direcció), sinó el que proveeix l'estructura, les eines i el assessorament per fer-ho possible.
Funcions principals
| Funció | Descripció |
|---|---|
| Mapa de riscos normatius | Identifica i prioritza els riscos de no compliment |
| Disseny de polítiques | Redacta polítiques, procediments i protocols |
| Formació | Dissenya i imparteix formació per a empleats |
| Monitoratge | Supervisa el compliment continu |
| Investigació | Investiga les denúncies rebudes pel canal |
| Assessorament | Dóna suport als departaments en dubtes normatius |
| Reporting | Informa regularment al Consell d'Administració |
| Actualització | Manté el programa actualitzat davant canvis normatius |
Independència: requisit fonamental
Requisit legal d'independència
Tant la norma UNE 19601 (compliance penal) com la ISO 37301 exigeixen que el Compliance Officer disposi de suficient independència per exercir les seves funcions sense pressions indegudes. Això implica:
- Accés directe al Consell d'Administració, sense intermediaris jeràrquics
- Protecció davant represàlies per les seves actuacions de supervisió
- Recursos adequats: pressupost i personal suficient
- Separació de funcions: no pot tenir responsabilitat sobre les àrees que supervisa (no pot ser alhora Compliance Officer i director financer, per exemple)
Perfil professional
El Compliance Officer en ciberseguretat ha de combinar competències jurídiques i tècniques:
- Formació jurídica: dret de protecció de dades, dret penal, dret mercantil
- Coneixements tècnics: ISO 27001, gestió de riscos, arquitectura de sistemes
- Habilitats de gestió: comunicació, lideratge, gestió de projectes
- Certificacions rellevants: CIPP/E (privadesa europea), CRISC (riscos), CISM (seguretat), LLM/màster en compliance
6. Model de les Tres Línies de Defensa
El model de les Tres Línies de Defensa (Three Lines of Defence), actualitzat per l'Institut d'Auditors Interns (IIA) el 2020, és el marc conceptual més utilitzat per organitzar les responsabilitats de control i supervisió en una organització.
graph LR
subgraph L1["1a Línia: Gestió operativa"]
Dept["Departaments\ni unitats de negoci"]
Controls["Controls\noperatius"]
end
subgraph L2["2a Línia: Supervisió"]
Compliance["Compliance\nOfficer"]
Risc["Gestió de\nRiscos"]
Seguretat["Seguretat\nde la Informació"]
end
subgraph L3["3a Línia: Assegurament independent"]
Audit["Auditoria\nInterna"]
end
subgraph Gov["Govern"]
Consell["Consell d'Administració\ni Comitè d'Auditoria"]
end
L1 -->|"Supervisió i\nassessorament"| L2
L2 -->|"Assegurament\nindependent"| L3
L1 & L2 & L3 -->|"Reporta a"| Gov
Responsabilitats per línia
Primera línia - Propietat del risc: - Implementa els controls diaris - Executa les polítiques de seguretat - Notifica incidències al departament de compliance - Exemple: el responsable de sistemes que aplica els pegats de seguretat
Segona línia - Supervisió del risc: - Dissenya les polítiques i els controls - Supervisa que la primera línia els aplica correctament - Gestiona el registre de riscos - Exemple: el Compliance Officer que revisa que s'apliqui correctament el RGPD
Tercera línia - Assegurament independent: - Audita les dues línies anteriors de manera independent - Reporta directament al Consell d'Administració - Proporciona una opinió objectiva sobre l'eficàcia del sistema de control - Exemple: l'auditor intern que revisa el programa de compliance
Miniactivitat
Exercici: Disseny d'un codi d'ètica corporatiu
Treballeu en parelles per redactar un codi d'ètica bàsic per a l'empresa fictícia "TechCat Solutions SL", una empresa de consultoria tecnològica amb 80 empleats ubicada a Barcelona.
El codi ha d'incloure com a mínim: 1. Presentació i valors de l'empresa (màxim 150 paraules) 2. Normes de conducta en l'ús de sistemes informàtics i dades 3. Política sobre conflictes d'interès 4. Descripció del canal de denúncies i la seva protecció 5. Conseqüències de l'incompliment
Extensió: 1-2 pàgines. Format: document word o markdown.
Criteris d'avaluació: - Cobreix tots els apartats (40%) - Adequació legal (Llei 2/2023) (30%) - Claredat i to professional (30%)
7. Relacions amb tercers i due diligence
El risc de tercers en ciberseguretat
En el context actual de cadenes de subministrament digitals complexes, els riscos de tercers s'han convertit en una de les principals amenaces per a la ciberseguretat. Grans incidents com el de SolarWinds (2020) o el de Kaseya (2021) van demostrar que atacar un proveïdor de confiança és una via molt efectiva per comprometre dotzenes o centenars d'organitzacions.
Due Diligence de ciberseguretat
La due diligence de ciberseguretat és el procés d'avaluació del nivell de seguretat i compliment normatiu d'un tercer (proveïdor, soci, adquirint en M&A) abans d'establir una relació comercial o de delegar el tractament de dades.
Etapes del procés de due diligence:
┌─────────────────────────────────────────────────────────────┐
│ PROCÉS DE DUE DILIGENCE DE CIBERSEGURETAT │
│ │
│ 1. IDENTIFICACIÓ 2. AVALUACIÓ 3. DECISIÓ │
│ ───────────────── ──────────────── ────────────── │
│ Qui és el tercer? Qüestionari Acceptar risc │
│ Quines dades té? Certificats Mitigar amb │
│ Quin accés tindrà? Auditoria contracte │
│ Criticitat Pentesting Rebutjar │
│ │
│ 4. CONTRACTACIÓ 5. MONITORATGE CONTINU │
│ ───────────────── ───────────────────── │
│ Clàusules RGPD Revisions anuals │
│ SLAs de seguretat Incidents de tercers │
│ DPA (si aplica) Renovació certificats │
└─────────────────────────────────────────────────────────────┘
Requisits contractuals amb tercers (RGPD)
Obligació legal: DPA (Data Processing Agreement)
Quan una empresa cedeix dades personals a un tercer per al seu tractament (p. ex., un proveïdor de serveis cloud), el RGPD exigeix la signatura d'un Acord de Tractament de Dades (Data Processing Agreement, DPA), que ha d'incloure obligatòriament (art. 28 RGPD):
- Objecte i durada del tractament
- Naturalesa i finalitat del tractament
- Tipus de dades personals i categories d'interessats
- Obligacions i drets del responsable del tractament
- Mesures de seguretat tècniques i organitzatives
- Condicions per a la subcontractació
- Dret d'auditoria del responsable
Due diligence en fusions i adquisicions (M&A)
Les operacions de fusió i adquisició presenten riscos de ciberseguretat específics:
- Herència de deutes de seguretat: l'empresa adquirent pot heretar vulnerabilitats crítiques
- Deutes normatius: incompliments del RGPD o sancions en curs
- Secrets comercials compresos: dades confidencials que ja han estat exposades
- Incidents no declarats: bretxes de dades que no han estat notificades a les autoritats
Cas real: El 2018, Marriott va revelar que l'adquisició de Starwood el 2016 havia inclòs una bretxa de dades massiva que havia compromès 500 milions de registres. La multa de l'ICO britànic va ser de 18,4 milions de lliures. La due diligence prèvia a l'adquisició no havia detectat la compromissió, que portava activa des de 2014.
8. Sancions per incompliment normatiu
Marc sancionador del RGPD
El RGPD estableix un sistema de sancions escalonat:
| Nivell d'infracció | Multa màxima |
|---|---|
| Infraccions menys greus (p. ex., manca de registre d'activitats) | 10 M€ o 2% facturació global |
| Infraccions greus (p. ex., incompliment de principis bàsics) | 20 M€ o 4% facturació global |
S'aplica la quantitat més elevada entre el límit absolut (en euros) i el percentatge de facturació.
Casos reals de sancions per l'AEPD
| Any | Empresa | Infracció | Sanció |
|---|---|---|---|
| 2023 | Santander | Accés indegut a dades per empleat | 1.200.000 € |
| 2022 | Caixabank | Transferència de dades sense base jurídica | 600.000 € |
| 2021 | Vodafone | Comunicacions comercials no consentides | 8.150.000 € |
| 2020 | BBVA | Tractament il·legítim de dades de clients | 5.000.000 € |
| 2019 | Telefónica | Cessió de dades sense consentiment | 7.000.000 € |
Sancions de l'AEPD a Espanya (2024)
L'AEPD va imposar el 2024 un total de 59 resolucions sancionadores, amb un import total superior als 32 milions d'euros. Els sectors més afectats van ser:
- Telecomunicacions i serveis digitals (38%)
- Sector financer i assegurances (22%)
- Comerç electrònic i màrqueting (18%)
- Sanitat (12%)
- Administracions públiques (10%)
Bones pràctiques per evitar sancions
- Nomenar un DPO quan sigui obligatori (i quan no ho sigui però sigui aconsellable)
- Mantenir actualitzat el Registre d'Activitats de Tractament (art. 30 RGPD)
- Documentar totes les decisions de compliance ("accountability")
- Respondre a les sol·licituds dels interessats en el termini d'un mes
- Notificar les bretxes de dades en el termini de 72 hores
Resum del bloc
El compliance corporatiu en ciberseguretat no és una opció: és una necessitat legal i estratègica. Les organitzacions que construeixen una cultura de compliance sòlida, amb estructures de govern clares (Three Lines of Defence), un Compliance Officer independent, un canal de denúncies operatiu i processos de due diligence de tercers, estan millor preparades per evitar incidents, gestionar riscos i respondre adequadament quan es produeix una desviació.
El compliance efectiu requereix el compromís de tots els nivells de l'organització, des del Consell d'Administració fins als operadors de sistemes, i ha de ser tractat com un procés viu i continu, no com un projecte puntual.