Gestión de proyectos y personas: riesgos e impactos en el sector deportivo
El sector deportivo, gran generador de crecimiento nacional dentro del PIB español, también requiere la realización de un eficaz análisis de riesgos
En medio del culebrón por el Caso Rubiales, esta semana se ha hecho público el estudio Soccer Competition Organizer to a Global Player in the Sports and Entertainment Industry de la Harvard Business School sobre el fútbol español como ejemplo de crecimiento eficaz a raíz de la mejora continuada de sus procesos.
El sector deportivo, gran generador de crecimiento nacional dentro del PIB español, también requiere la realización de un eficaz análisis de riesgos y una objetiva evaluación de impacto para conseguir una gestión ejemplar. Esto conlleva trazar las respectivas líneas de defensa, tanto en el ámbito legal como operativo y estratégico, principalmente en tres áreas: gobernanza, auditoria y cumplimiento normativo.
Hablamos, por lo tanto, de tres mecanismos claves de gestión: líneas de defensa (UNE 19601 e ISO 31022), sistemas integrados de gestión ( ISO 37301 ) y el estado de información no financiera (se incluye aquí el control general de tecnologías de la información: Ley Seguridad Servicios de la Información y Reglamento de la Unión Europea número 881 de 17 de abril de 2019)
Ahora bien, la sostenibilidad corporativa tiene que ser sostenible de verdad y no forzada. Ello conlleva unas pautas básicas para toda empresa, más aún en el ámbito deportivo (ISO 31022 gestión de riesgos legales) y sostenida (con una operativa estratégica, ISO 37301, y con sistema integrados de compliance). Empecemos, por lo tanto, por garantizar lo básico en toda organización para hacerla sostenible y sostenida en el tiempo: la seguridad de la información y la protección de los secretos empresariales.
Establecido el entorno general, abordemos el contexto específico de la seguridad de la información. Una buena defensa conlleva una táctica sensata y una estrategia aguerrida (artículo 5 de la norma ISO 31022). Empecemos por abarcar un ámbito operativo básico y de gran riesgo en toda entidad mercantil deportiva: el nombramiento de un CISO (Chief Information Security Officer) y la declaración de aplicabilidad, según el Real Decreto 43/2021, de 27 de enero.
Pero, ¿cómo se define el concepto de dato vinculado al ámbito empresarial? La Ley 1/2019, de 20 de febrero, de Secretos Empresariales, lo define así: “cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero”.
Con este objetivo se aprobó la Directiva NIS-2. Será de obligado cumplimiento a partir del 15 de octubre de 2024 para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante. A su vez, también estarán obligadas a su cumplimiento “aquellas empresas, medianas y grandes, que operen en los sectores o presten servicios cubiertos por la directiva“.
Eso sí, la directiva incluye novedades muy imponentes en el ámbito de la responsabilidad legal en caso de ciberataque. Será el mismo consejo de administración el directamente responsable del daño. Por ello, sí será de aplicación la "culpa in vigilando", a diferencia de la anterior directiva que eximía de posible responsabilidad a la empresa por el mero hecho de tener un plan de contingencia activado en caso de ciberataque.
Con esta nueva Directiva NIS-2, no sólo será suficiente tener una planificación previa. Se exigirá que se haga funcionar de forma eficaz dicho plan, es decir, de una forma proactiva y no meramente reactiva. A su vez, será cada Estado el autorizado para establecer las sanciones respectivas que deberán ser "eficaces, proporcionadas y disuasorias".
En este sentido, entiende la directiva que deberán constituirse en “sanciones eficaces, que sean fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones", es decir, no sólo económicas, sino incluso de ámbito práctico, como la suspensión temporal de la prestación de ese servicio a la empresa incumplidora o la imposibilidad de que determinada persona física ostente un determinado cargo o rango en el consejo de administración incumplidor. Hablamos, por lo tanto, de sanciones muy importantes y muy polivalentes.
Además, será el mismo consejo de administración el encargado de cumplir y hacer cumplir dichas obligaciones legales. Por lo tanto, asumen un papel muy operativo y de absoluta responsabilidad. De ahí la importancia de la incorporación de la ISO 31022 sobre Gestión de Riesgos Legales, aportando el valor de la seguridad operacional como un gran propiciador del nacimiento de futuros contratos.
En definitiva, la responsabilidad social corporativa (RSC), la transparencia y el buen gobierno, el código ético, las buenas prácticas, los ESG (compromiso social, ambiental y de buen gobierno, por sus siglas en inglés) y los corporate compliance, no responden solo a una certificación obtenida. Conllevan, a su vez, unas profundas convicciones.
Apliquemos las tres claves de toda gestión eficaz y ejemplar. Apliquemos, por lo tanto, las tres "p": personas, proyecto y procedimiento. En definitiva, vencer y convencer. Eso sí, sólo los hechos convencen.
Pedro Fernández-VIllamea Alemán. Chief Legal Grupo Gees-Spain. Formador y consultor en estrategia corporativa.
