RA - Criterios - Contenidos - Prácticas
1. Identifica los puntos principales de aplicación para asegurar el cumplimiento normativo reconociendo funciones y responsabilidades.
Criterios de evaluación:
a) Se han identificado las bases del cumplimiento normativo a tener en cuenta en las organizaciones.
- Contenido asociado: Introducción al cumplimiento normativo (Compliance: objetivo, definición y conceptos principales).
b) Se han descrito y aplicado los principios de un buen gobierno y su relación con la ética profesional.
- Contenido asociado: Principios del buen gobierno y ética empresarial.
Prácticas:
c) Se han definido las políticas y procedimientos, así como la estructura organizativa que establezca la cultura del cumplimiento normativo dentro de las organizaciones.
d) Se han descrito las funciones o competencias del responsable del cumplimiento normativo dentro de las organizaciones.
- Contenido asociado: Compliance Officer: funciones y responsabilidades.
e) Se han establecido las relaciones con terceros para un correcto cumplimiento normativo.
- Contenido asociado: Relaciones con terceras partes dentro del Compliance.
2. Diseña sistemas de cumplimiento normativo seleccionando la legislación y jurisprudencia de aplicación.
Criterios de evaluación:
a) Se han recogido las principales normativas que afectan a los diferentes tipos de organizaciones.
- Contenido asociado: Sistemas de Gestión de Compliance.
b) Se han establecido las recomendaciones válidas para diferentes tipos de organizaciones de acuerdo con la normativa vigente (ISO 19.600 entre otras).
- Contenido asociado: Entorno regulatorio de aplicación.
c) Se han realizado análisis y evaluaciones de los riesgos de diferentes tipos de organizaciones de acuerdo con la normativa vigente (ISO 31.000 entre otras).
- Contenido asociado: Análisis y gestión de riesgos, mapas de riesgos.
d) Se ha documentado el sistema de cumplimiento normativo diseñado.
- Contenido asociado: Documentación del sistema de cumplimiento normativo diseñado.
3. Relaciona la normativa relevante para el cumplimiento de la responsabilidad penal de las organizaciones y personas jurídicas con los procedimientos establecidos, recopilando y aplicando las normas vigentes.
Criterios de evaluación:
a) Se han identificado los riesgos penales aplicables a diferentes organizaciones.
- Contenido asociado: Riesgos penales que afectan a la organización.
b) Se han implantado las medidas necesarias para eliminar o minimizar los riesgos identificados.
c) Se ha establecido un sistema de gestión de cumplimiento normativo penal de acuerdo con la legislación y normativa vigente (Código Penal y UNE 19.601, entre otros).
- Contenido asociado: Sistemas de gestión de Compliance penal.
d) Se han determinado los principios básicos dentro de las organizaciones para combatir el soborno y promover una cultura empresarial ética de acuerdo con la legislación y normativa vigente (ISO 37.001 entre otros).
- Contenido asociado: Sistemas de gestión anticorrupción.
4. Aplica la legislación nacional de protección de datos de carácter personal, relacionando los procedimientos establecidos con las leyes vigentes y con la jurisprudencia existente sobre la materia.
Criterios de evaluación:
a) Se han reconocido las fuentes del Derecho de acuerdo con el ordenamiento jurídico en materia de protección de datos de carácter personal.
- Contenido asociado: Principios de protección de datos.
b) Se han aplicado los principios relacionados con la protección de datos de carácter personal tanto a nivel nacional como internacional.
- Contenido asociado: Novedades del RGPD de la Unión Europea.
c) Se han establecido los requisitos necesarios para afrontar la privacidad desde las bases del diseño.
- Contenido asociado: Privacidad por Diseño y por Defecto.
d) Se han configurado las herramientas corporativas contemplando el cumplimiento normativo por defecto.
e) Se ha realizado un análisis de riesgos para el tratamiento de los derechos a la protección de datos.
f) Se han implantado las medidas necesarias para eliminar o minimizar los riesgos identificados en la protección de datos.
- Contenido asociado: Análisis de Impacto en Privacidad (PIA), y medidas de seguridad.
g) Se han descrito las funciones o competencias del delegado de protección de datos dentro de las organizaciones.
- Contenido asociado: Delegado de Protección de Datos (DPO).
5. Recopila y aplica la normativa vigente de ciberseguridad de ámbito nacional e internacional, actualizando los procedimientos establecidos de acuerdo con las leyes y con la jurisprudencia existente sobre la materia.
Criterios de evaluación:
a) Se ha establecido el plan de revisiones de la normativa, jurisprudencia, notificaciones, etc. jurídicas que puedan afectar a la organización.
- Contenido asociado: Normas nacionales e internacionales.
- Contenido asociado: Sistema de Gestión de Seguridad de la Información (estándares internacionales) (ISO 27.001).
- Contenido asociado: Acceso electrónico de los ciudadanos a los Servicios Públicos.
b) Se ha detectado nueva normativa consultando las bases de datos jurídicas siguiendo el plan de revisiones establecido.
c) Se ha analizado la nueva normativa para determinar si aplica a la actividad de la organización.
- Contenido asociado: Esquema Nacional de Seguridad (ENS)
- Contenido asociado: Planes de Continuidad de Negocio (estándares internacionales) (ISO 22.301).
- Contenido asociado: Directiva NIS.
- Contenido asociado: Legislación sobre la protección de infraestructuras críticas.
d) Se ha incluido en el plan de revisiones las modificaciones necesarias, sobre la nueva normativa aplicable a la organización, para un correcto cumplimiento normativo.
- Contenido asociado: Ley PIC (Protección de infraestructuras críticas).
e) Se han determinado e implementado los controles necesarios para garantizar el correcto cumplimiento normativo de las nuevas normativas. incluidas en el plan de revisiones.