Artículo
¿Qué es el cumplimiento normativo?
El cumplimiento normativo es pertinente para muchas organizaciones y sectores a nivel mundial. Casi todas las organizaciones deben cumplir algún tipo de normativa. La privacidad de los datos es una de las normas de cumplimiento más extendida en todos los sectores y en la mayoría de los países.
Cumplimiento normativo en Estados Unidos
En Estados Unidos, se implementan numerosas leyes y normativas para proteger a los empleados, al público y a las otras partes interesadas contra la negligencia y el fraude. Por ejemplo, existen leyes y estándares industriales que exigen el cumplimiento normativo. A continuación, presentamos algunas agencias, grupos y mandatos importantes que promueven el cumplimiento normativo.
Agencias gubernamentales como:
- Civil Rights Center del Federal Department of Labor
- Employee Benefits Security Administration (EBSA)
- Employment and Training Administration del Federal Department of Labor
- Environmental Protection Agency (EPA)
- Comisión para la Igualdad de Oportunidades en el Empleo (EEOC)
- Federal Financial Institutions Examination Council (FFIEC)
- Comisión Federal de Comercio (FTC)
- Administración de Alimentos y Medicamentos (FDA)
- Occupational Safety and Health Administration (OSHA)
- Agencia Federal de Pequeños Negocios (SBA)
- U.S. Office of Foreign Assets Control (OFAC)
- U.S. Securities and Exchange Commission (SEC)
- United States Sentencing Commission
Entre las entidades no gubernamentales que respaldan y hacen cumplir las normativas se encuentran:
- American Society of Mechanical Engineers (ASME)
- Financial Industry Regulatory Authority (FINRA)
- Payment Card Industry Standards Security Council (PCI SSC)
- Public Company Accounting Oversight Board (PCAOB)
Entre los estándares que dirigen el cumplimiento normativo en Estados Unidos se encuentran:
- El marco de Control Objectives for Information Technologies (COBIT)
- Organización Internacional de Normalización (ISO)
- Estándares del National Institute of Standards and Technology (NIST)
- U.S. Department of Defense (DoD)
- Cybersecurity Maturity Model Certification (CMMC) International
Decenas de miles de leyes y normativas establecen requisitos de cumplimiento normativo para las organizaciones.
A continuación, se presentan ejemplos de mandatos en varios sectores clave:
Ejemplos de cumplimiento normativo relacionado con los derechos civiles
- Age Discrimination Act
- Americans with Disabilities Act
- Civil Rights Act
- Congressional Accountability Act
- Equal Credit Opportunity
- Equal Educational Opportunities Act
- Fair Housing Act
- Genetic Information Nondiscrimination Act
- Rehabilitation Act
- Title IX
- Uniformed Services Employment and Reemployment Rights Act
- Voting Rights Act
Ejemplos de cumplimiento normativo relacionado con el empleo y el lugar de trabajo
- Equal Pay Act
- Fair Labor Standards Act (FLSA)
- Family and Medical Leave Act (FMLA)
- Federal Workers’ Compensation Act
- Uniformed Services Employment and Reemployment Rights Act (USERRA)
- Worker Adjustment and Retraining Notification Act (WARN)
- Workers’ Compensation Laws
Ejemplos de cumplimiento normativo relacionado con el medioambiente
- Atomic Energy Act (AEA)
- Beaches Environmental Assessment and Coastal Health (BEACH) Act
- Chemical Safety Information, Site Security and Fuels Regulatory Relief Act
- Clean Air Act (CAA)
- Clean Water Act
- Toxic Substances Control Act
Ejemplos de cumplimiento normativo relacionado con las finanzas
- Dodd-Frank Act
- Payment Card Industry Data Security Standard (PCI DSS)
- Sarbanes-Oxley Act (SOX)
- Gramm–Leach–Bliley Act (GLBA)
- Fair Credit Reporting Act
- Sherman Act
- Securities Exchange Act
- Securities Act de 1933
- Bank Secrecy Act (BSA)
Ejemplos de cumplimiento normativo relacionado con la atención médica
- Anti-Kickback Statute (AKBS)
- Emergency Medical Treatment and Labor Act (EMTALA)
- Health Information Technology for Economic and Clinical Health (HITECH) Act
- Health Insurance Portability and Accountability Act (HIPAA)
- Occupational Safety and Health Act
- Patient Safety and Quality Improvement Act (PSQIA)
Ejemplos de cumplimiento normativo relacionado con la seguridad de los datos y la privacidad
- California Consumer Privacy Act de 2018 (CCPA)
- Colorado Privacy Act
- Connecticut Personal Data Privacy and Online Monitoring Act
- Federal Information Security Management Act (FISMA)
- Maryland Online Consumer Protection Act
- Massachusetts Data Privacy Law
- New York Privacy Act
- Utah Consumer Privacy Act
- Virginia Consumer Data Protection Act
Cumplimiento normativo en la UE y en otras regiones
Las normativas varían según el país y la región, pero la mayoría ha promulgado leyes similares a las de Estados Unidos. Las organizaciones que se relacionan con ciudadanos de otros países deben cumplir los requisitos de dichas regiones.
Por qué es importante el cumplimiento normativo
Los requisitos de conformidad continúan aumentando, ya que diversos gobiernos y grupos perfeccionan las normas existentes e incorporan nuevas para abordar amenazas crecientes, muchas de las cuales son producto de los avances tecnológicos. Los procesos y las estrategias que se derivan del cumplimiento normativo garantizan que una organización funcione de conformidad con todas las leyes y normativas pertinentes.
Un subproducto del cumplimiento normativo es ayudar a las organizaciones a mejorar sus operaciones. Los informes de auditoría que se relacionan con los requisitos de conformidad demuestran el compromiso de una organización para respetar las normas y garantizar el bienestar de aquellos con quienes hace negocios.
El cumplimiento normativo fortalece la reputación de las organizaciones, ya que aumenta la confianza.
Además, los requisitos de conformidad promueven la seguridad y reducen los riesgos en muchos sectores. Las normas creadas con el fin de abordar los riesgos específicos del sector para las personas y el medioambiente han marcado una diferencia material. Los empleados, los usuarios y el medioambiente se benefician de protecciones que reducen las posibilidades de accidentes, lesiones e incidentes fatales en el trabajo y que protegen al público contra productos y prácticas perjudiciales o fraudulentas.
En algunos casos, la importancia del cumplimiento normativo es muy simple: permite el funcionamiento de una organización, puesto que se deben implementar algunos requisitos para que las operaciones se lleven a cabo de forma legal. En caso de que una organización no cumpla los requisitos de cumplimiento normativo, puede ser multada o, incluso, cerrada.
Beneficios del cumplimiento normativo
Las organizaciones obtienen muchos beneficios cuando logran y demuestran el cumplimiento normativo. A continuación, se enumeran algunas de las ventajas más citadas a corto plazo y a largo plazo.
Consecuencias del incumplimiento normativo
El incumplimiento de las obligaciones normativas puede causar que las organizaciones reciban sanciones por incumplimiento, como multas y amonestaciones. Las sanciones específicas varían en función de la normativa, pero a continuación se exponen varias categorías generales que ofrecen una visión general de lo que puede ocurrir en caso de incumplimiento.
Por ejemplo, la normativa del sector PCI DSS (Payment Card Industry Data Security Standard) puede desautorizar el uso de las redes de pago de las tarjetas de crédito de los miembros. Un ejemplo gubernamental podrían ser el FedRAMP (Federal Risk and Authorization Management Program) y la CMMC (Cybersecurity Maturity Model Certification), las cuales pueden hacer que las organizaciones pierdan certificaciones debido al incumplimiento normativo, lo que les imposibilitaría operar.
La HIPAA tiene diversos niveles de sanciones, incluida la pena de cárcel por fraude o infracciones graves. Las violaciones del RGPD también pueden exponer a los directivos a penas de cárcel. Huelga decir que los gastos legales de defensa son exorbitantes.
Cuando el incumplimiento de los requisitos de conformidad provocan un incidente, en especial cuando se infringe una ley, la opinión pública puede ser implacable.
Las organizaciones corren el riesgo de perder su cuota de mercado e ingresos cuando pierden la confianza del público debido a un problema relacionado con el incumplimiento normativo.
Políticas de cumplimiento normativo
Una política de cumplimiento normativo establece un marco para satisfacer obligaciones relacionadas. Además, especifica los sistemas, procesos y procedimientos para implementar, mantener e informar relacionados con todos los controles de cumplimiento normativo.
Una política de cumplimiento normativo debe incluir:
- Principios rectores que dirijan todas las decisiones y medidas relacionadas con el cumplimiento normativo
- Sistemas, funciones y procedimientos específicos y necesarios que garanticen el cumplimiento normativo
- Información sobre qué autoridades realizarán las auditorías
- Definición de roles y funciones para supervisar y revisar el estado
- Protocolos de comunicación y de documentación relacionados con el cumplimiento normativo
- Resumen de los requisitos de conformidad pertinentes
Aunque los detalles específicos varían según la organización, a continuación, se presentan las preguntas que se deben considerar cuando se formule una política de cumplimiento normativo:
- ¿Cómo se utilizará la política para disminuir el riesgo, promover la comunicación y educar a las partes interesadas?
- ¿Para quién es pertinente la política y en calidad de qué?
- ¿Existen excepciones o limitaciones con respecto a la utilización de la política?
- ¿Qué impacto tienen el cumplimiento normativo en la organización?
- ¿Cómo se equilibrarán los deberes de cumplimiento normativo entre los diferentes equipos de la organización (p. ej., equipo legal, equipo de auditoría y equipo de finanzas)?
- ¿Cómo la política puede fomentar el cumplimiento normativo en todos los diferentes equipos y ubicaciones?
- ¿Qué sistemas supervisarán, gestionarán y elaborarán informes relacionados con el cumplimiento normativo?
- ¿Cómo la política puede ayudar a medir el valor del cumplimiento normativo, incluidas las evaluaciones de rendimiento de los empleados?
Es importante que las organizaciones implementen políticas de cumplimiento normativo, ya que posibilitan una comunicación clara con los empleados, socios y reguladores sobre cómo se logra dicho cumplimiento.
En muchos casos, cualquier persona sujeta a los requisitos de cumplimiento normativo debe reconocer que leyó y comprendió las políticas.
Funciones dentro del cumplimiento normativo
Crear funciones dedicadas al cumplimiento normativo ayuda a las organizaciones a navegar y cumplir mandatos y leyes estrictos y complejos. Dado que los responsables del cumplimiento son injustamente propensos a ser menospreciados por otros miembros de la organización, es importante que la dirección eduque a los miembros del equipo sobre el papel fundamental que desempeñan. Posicionar al personal de cumplimiento normativo como compañeros ayuda a los demás a verlos de forma más positiva.
Con el aumento de la cantidad de normativas, muchas organizaciones han creado puestos centrados en garantizar el cumplimiento de las normas, como especialistas, analistas y responsables de cumplimiento.
Las funciones de la gestión de cumplimiento normativo abarcan diversas áreas, entre las cuales se encuentran:
Mejores prácticas del cumplimiento normativo
Para satisfacer los requisitos de cumplimiento normativo, las organizaciones deben comprender qué leyes y reglamentos son pertinentes. Dado que muchas normativas tienen un alcance extendido, especialmente las que se originan fuera de Estados Unidos (por ejemplo, el RGPD), se requiere un conocimiento profundo de las responsabilidades de la organización.
Entre las mejores prácticas que se deben tener en cuenta a la hora de evaluar cómo cumplir los requisitos de conformidad se incluyen las siguientes:
El cumplimiento normativo busca el bien común
Aunque el cumplimiento normativo se considere a menudo como una carga, respalda el bien común tanto de la empresa como de la sociedad. Como los requisitos continúan aumentando a nivel mundial, se está realizando un esfuerzo para alinearlas con el fin de crear cierto grado de normalización.
En el caso de los individuos, el resultado de estos requisitos de conformidad los favorece, ya que el mínimo común denominador impulsa a las organizaciones a utilizar los estándares más estrictos como base. Esto ofrece beneficios que van desde productos más seguros y mejores controles medioambientales hasta la mejora de la privacidad de los datos y la protección contra el fraude.
En el caso de las organizaciones, el cumplimiento normativo proporciona un conjunto coherente de normas que son pertinentes para todos, lo que genera igualdad de condiciones en términos de normas.
Asuma el control de su plataforma en la nube.
Obtener más información sobre Identity Security de SailPoint.