En medio del culebrón por el Caso Rubiales, esta semana se ha hecho público el estudio Desde organizador de competiciones de fútbol hasta actor global en la industria del deporte y el entretenimiento de la Harvard Business School sobre el fútbol español como ejemplo de crecimiento eficaz a raíz de la mejora continuada de sus procesos.
El sector deportivo, gran generador de crecimiento nacional dentro del PIB españoltambién requiere la realización de un eficaz analisis de riesgos y una evaluación objetiva de impacto para conseguir una gestión ejemplar. Esto conlleva trazar las respectivas líneas de defensa, tanto en el ámbito legal como operativo y estratégico, principalmente en tres áreas: gobernanza, auditoría y cumplimiento normativo.
Hablamos, por lo tanto, de tres mecanismos claves de gestión: lineas de defensa (UNE 19601 e ISO 31022), sistemas integrados de gestión ( ISO 37301 ) y el estado de informacion no financiera (se incluye aquí el control general de tecnologías de la información: Ley Seguridad Servicios de la Información y Reglamento de la Unión Europea número 881 de 17 de abril de 2019)
Ahora bien, la sostenibilidad corporativa tiene que ser sostenible de verdad y no forzada. Ello conlleva unas pautas básicas para toda empresa, más aún en el ámbito deportivo (ISO 31022 gestión de riesgos legales) y sostenida (con una operativa estratégica, ISO 37301, y con sistema integrados de cumplimiento). Empecemos, por lo tanto, por garantizar lo básico en toda organización para hacerla sostenible y sostenida en el tiempo: la seguridad de la información y la protección de los secretos empresariales.
Establecido el entorno general, abordemos el contexto específico de la seguridad de la información. Una buena defensa conlleva una táctica sensata y una estrategia aguerrida (artículo 5 de la norma ISO 31022). Empecemos por abarcar un ámbito operativo básico y de gran riesgo en toda entidad mercantil deportiva: el nombramiento de un CISO (Chief Information Security Officer) y la declaración de aplicabilidad, según el Real Decreto 43/2021, de 27 de enero.
Ahora bien, ¿cómo se define el concepto de datos vinculados al ámbito empresarial? La Ley 1/2019, de 20 de febrero, de Secretos Empresariales, lo define así: “cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero”.
Con este objetivo se aprobó la Directiva NIS-2. Será de obligado cumplimiento a partir del 15 de octubre de 2024 para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante. A su vez, también estarán obligadas a su cumplimiento “aquellas empresas, medianas y grandes, que operen en los sectores o presten servicios cubiertos por la directiva”..
Eso sí, la directiva incluye novedades muy importantes en el ámbito de la responsabilidad legal en caso de ciberataque. Será el mismo consejo de administración el responsable directamente del daño. Por ello, sí será de aplicación la «culpa in vigilando», a diferencia de la directiva anterior que eximía de posible responsabilidad a la empresa por el mero hecho de tener un plan de contingencia activado en caso de ciberataque.
Con esta nueva Directiva NIS-2, no sólo será suficiente tener una planificación previa. Se requerirá que se haga funcionar de forma eficaz dicho plan, es decir, de una forma proactiva y no meramente reactiva. A su vez, será cada Estado el autorizado para establecer las sanciones respectivas que deberán ser «eficaces, proporcionadas y disuasorias».
En este sentido, entiende la directiva que deberán constituirse en “sanciones efectivas, que sean fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones”, es decir, no sólo económico, sino incluso de ámbito práctico, como la suspensión temporal de la prestación de esos. servicio a la empresa incumplidora o la imposibilidad de que determinada persona física ostente un determinado cargo o rango en el consejo de administración incumplidor.Hablamos, por lo tanto, de sanciones muy importantes y muy polivalentes.
Además, será el mismo consejo de administración el encargado de cumplir y hacer cumplir dichas obligaciones legales. Por lo tanto, asume un papel muy operativo y de absoluta responsabilidad. De ahí la importancia de la incorporación de la ISO 31022 sobre Gestión de Riesgos Legales, aportando el valor de la seguridad operacional como un gran propiciador del nacimiento de futuros contratos.
En definitiva, la responsabilidad social corporativa (RSC), la transparencia y el buen gobierno, el código ético, las buenas prácticas, los ESG (compromiso social, ambiental y de buen gobierno, por sus siglas en inglés) y los cumplimiento corporativo, no responde solo a una certificación obtenida. Conllevan, a su vez, unas profundas convicciones.
Apliquemos las tres claves de toda gestión eficaz y ejemplar. Apliquemos, por lo tanto, las tres «p»: personas, proyecto y procedimiento. En definitiva, vencer y convencer. Eso sí, sólo los hechos convencen.
Pedro Fernández-VIllamea Alemán. Director Jurídico Grupo Gees-España. Formador y consultor en estrategia corporativa.
