Órgano de Cumplimiento

En los últimos años asistimos a un creciente interés social por el buen gobierno corporativo, la ética y la transparencia en los negocios, lo cual tiene su fundamento en la concepción de la empresa como agente social de relevancia en el desarrollo de la sociedad. Ello adquiere mayor importancia, si cabe, en entidades y actividades con alta influencia socioeconómica e impacto social, como sucede en el caso del deporte profesional en general y el fútbol en particular, donde el buen gobierno corporativo es esencial para crear un clima de confianza, fiabilidad y credibilidad en nuestra actividad.

Para LaLiga, esta realidad representa una de las mayores oportunidades de creación de valor no solo para la sociedad en general, sino también para nuestra imagen, marca y, en general, nuestra reputación corporativa, intangibles que ocupan un lugar prioritario en la agenda de una Organización donde, el éxito empresarial no es solo el estrictamente económico sino también el vinculado con dichos intangibles.

Conscientes de ello, las actividades de Cumplimiento Normativo, Control Interno y Buen Gobierno Corporativo representan en LaLiga un objetivo prioritario de gestión cada temporada. Por ello, desde la Temporada 2015/2016 viene trabajando muy activamente en la consolidación de un Sistema de Gestión de Cumplimiento (Compliance Management System) robusto que contribuya a prevenir, mitigar y detectar tempranamente, en el marco del desempeño de nuestras actividades corporativas, cualquier riesgo de gestión en el ámbito legal, operacional o reputacional.

Fruto de ello, el referido sistema está constantemente sometido a revisiones y mejoras lo que nos llevó hace dos temporadas a iniciar una revisión paulatina de todas las políticas y procedimientos instaurados en la Organización, con el fin de adecuarlos a la realidad en la que se ha convertido LaLiga hoy día, así como para traducirlas y extrapolarlas a todas las filiales internacionales.
Esta Temporada 2020/2021 son destacables las siguientes actividades desarrolladas:

· Actualización de políticas como la política de gastos:

Durante la temporada anterior se llevó a cabo una importante y profunda labor de análisis de la Política de gastos de LaLiga, dada la evolución de la Organización, su expansión internacional y el progresivo incremento de los gastos corporativos, naturalmente asociado al incremento de la plantilla. Dicho trabajo culminó con la materialización de la parametrización y puesta en funcionamiento de una nueva plataforma digital de gestión de gastos, que nos está permitiendo una mejora del proceso proporcionando agilidad, trazabilidad y control del mismo, y de uso global por toda la Organización a nivel mundial.

Dicha plataforma se encuentra homologada por la Agencia Tributaria española, por lo que se ha conseguido suprimir la gestión y archivo de tiques o facturas en papel. Paralelamente, también se ha puesto en marcha un proceso integrado de recuperación de IVA.

Su lanzamiento tuvo lugar el 23 de julio de 2020 junto con una concepción más global de nueva política de gastos, aprobada por la Comisión Delegada en su sesión de 13 de julio de 2020 y fue acompañada de una importante campaña de comunicación para su difusión y explicación del uso de la nueva plataforma.

Conscientes de la importancia estratégica de la formación y la comunicación interna para garantizar una mayor penetración en materia de Compliance, se inició en la temporada 2019/2020 una estrategia de comunicación interna para reforzar el compromiso, concienciación y sensibilización de los profesionales de la Organización LaLiga que ha continuado durante la Temporada 2020/2021. En ese marco se ha vuelto a desplegar una importante actividad formativa.

Formación: Se ha continuado con la impartición de formación online y presencial, tanto específica, para determinados colectivos como los miembros de la Comisión Delegada o áreas concretas, como genérica para toda la Organización, habiendo conseguido que toda ella haya sido realizada por más del 90% de la Organización y que hayan sido superados los distintos tests de adquisición de conocimientos con más de un 70% de aciertos.

Los módulos de formación obligatoria de este año han sido los siguientes:

Asimismo, se diseñó un módulo de formación específico para un colectivo muy concreto como era el de los Responsables internos de actividades de tratamiento:

Adicionalmente a lo anterior, los miembros de la Comisión Delegada, en el seno de la sesión del órgano celebrada el 1 de diciembre de 2020, recibieron formación sobre “La Responsabilidad de los Administradores en el ámbito del Compliance y el Buen Gobierno Corporativo” de la mano de un tercero experto independiente.

Paralelamente y con el fin de que las nuevas incorporaciones se pusieran al día en todos los módulos de formación online lanzados hasta la fecha, se configuró el denominado Welcome Pack.

A continuación, se muestra el resumen de todas las sesiones de formación que, con carácter obligatorio, se han impartido esta temporada:

Paralelamente a lo anterior, LaLiga ha continuado participando en diversas iniciativas, foros, seminarios, cursos o mesas redondas dando a conocer lo que en estos últimos años ha venido implementando internamente y en sus Clubes/SADs afiliados.

Esta temporada, marcada en su totalidad por la situación de pandemia, ha dado lugar a que todos los eventos que hasta el momento eran presenciales, se hayan suspendido o reconvertido en eventos digitales.

Dentro de los eventos online en los que hemos participado esta temporada, destacan nuestra participación en la “Semana Internacional Compliance” que tuvo lugar entre los días 16 y 19 de noviembre de 2020, organizado por las tres organizaciones de compliance más importantes de España como son CUMPLEN, World Compliance Association e Instituto Oficiales Cumplimiento. La intervención de LaLiga fue el 19 de noviembre de 2020 para hablar de los “Canales de denuncia” junto con D. José Antonio del Valle – Compliance de la Real Federación Española de Ciclismo y D. Miguel Soler, Internal Audit & Compliance de Prosegur, moderados por Dª. Alba Lema, Presidenta del Comité de Imparcialidad, Integridad e Independencia en la World Compliance Association.

De dicho evento internacional conllevó también la publicación de una revista que nuevamente contó LaLiga.

El 9 de diciembre de 2020, se celebró una Mesa Redonda en la clausura de la asignatura de Compliance I en el marco del Máster en Abogacía de la Universidad Pompeu Fabra con el título "Experiencias nacionales e internacionales del Compliance” y la participación de Sabine Paquer como Compliance Officer de Sanofi junto con LaLiga para dar una visión práctica de la función de compliance.

El 16 de diciembre de 2020 Cumplimiento & Control Interno LaLiga participó en unas Jornadas organizadas para LaLiga de Tanzania, con el fin de explicarle todo lo que en materia de cumplimiento, transparencia y buen gobierno habíamos desarrollado en todos estos años.

Paralelamente, a lo largo de toda la temporada desde Transparencia Internacional España y en el marco del Foro de Integridad Corporativa al que pertenece LaLiga desde hace dos años junto con otras relevantes empresas del país, se han venido organizando muy diversas ponencias formativas en temas de actualidad. La finalidad última del Foro es poder ofrecer desde la sociedad civil, en colaboración directa con el sector empresarial y privado, las mejores iniciativas que permitan avanzar en el posicionamiento de las empresas españolas como referentes en materia de cultura empresarial y transparencia en el ámbito nacional e internacional.

En ese sentido, las diversas sesiones formativas organizadas han tratado temas de actualidad como la ISO 37301 de Sistemas de Gestión de Cumplimiento, la implementación de canales de denuncias seguros, sólidos y eficaces o la debida diligencia empresarial el materia de derechos humanos.

Asimismo, durante el mes de febrero de 2021, correspondió al área de Cumplimiento & Control Interno impartir su módulo en el Máster en Derecho aplicado al Fútbol Profesional de LaLiga Business School. Las sesiones comenzaron siendo impartidas por Raúl Gómez y finalmente intervino Esperanza Bernal-Quirós para cerrar el ciclo de clases.

Por último, el pasado día 22 de abril de 2020 se organizó para todos nuestros clubes/SAD afiliados una Jornada de Formación en materia de Compliance inaugurada por el Presidente de LaLiga, D. Javier Tebas, y en la que también tuvimos el placer de contar con ponentes de muy primer nivel. La sesión comenzó con una Mesa Redonda integrada por Dª. Gabriela Salinas, Global Managing Director de Brand Finance Institute, D. Juan Francisco Polo, Director de Comunicación y Responsabilidad Corporativa de Ferrovial, Dª. Eva López, Directora de Marca y Activos de LaLiga y Dª. Rocío Pérez de Sevilla, Directora de Comunicación Corporativa e Institucional de LaLiga, moderada por D. Pedro del Rosal, periodista jurídico de El Confidencial para hablarnos de “La vinculación de la reputación corporativa al buen gobierno corporativo”. A continuación, Dª. Lidón Safont, Dirección de Cumplimiento de Telefónica España, a través del formato de entrevista realizada por D. Pedro del Rosal, nos permitió conocer a fondo “La figura del Compliance Officer”. Finalizamos la jornada de la mano de D. Luis Galindo, conferenciante motivacional para insuflar esperanza e ilusión en estos momentos difíciles e inciertos a través de los valores.

Posteriormente, por la tarde se organizó la tradicional Reunión Anual de los Responsables de Cumplimiento o Compliance Officer de los clubes/SAD afiliados que un año más se celebró de forma telemática.

La jornada completa contó con la asistencia de 75 personas en representación de los Clubes/SAD afiliados y 13 profesionales de LaLiga; un total de 88 asistentes.

La temporada ha finalizado con una entrevista en la Revista Jurídica de LaLiga haciendo balance tras cumplirse 6 años de la implantación de la función de compliance en LaLiga y en sus afiliados:

Con objeto de llevar a cabo la labor de supervisión periódica y gestión de riesgos integral de la Organización LaLiga, se han elaborado los Mapas de Riesgos de las entidades que componen la Organización. En este sentido, en la Temporada 2020/2021, se ha realizado la actualización del catálogo de riesgos a los que la Organización LaLiga está expuesta, manteniéndose el número de riesgos respecto a la temporada anterior, esto es, un total de 61 riesgos clasificados del siguiente modo: 24 riesgos de entorno, 30 riesgos de procesos y 7 riesgos de seguridad de la información. En este sentido, si bien el número de riesgos se ha mantenido, el análisis realizado ha permitido la redefinición de algunos riesgos para adaptar dicho catálogo al contexto actual.

El referido catálogo de riesgos ha sido objeto de análisis individualizado para cada una de las entidades que forman parte de la Organización LaLiga, incluyendo sus filiales nacionales e internacionales, tomándose en consideración la probabilidad de ocurrencia y los potenciales impactos que la materialización del riesgo, tanto de forma directa como indirecta, tendrían en relación con la consecución de los objetivos definidos en cada una de ellas.

En este sentido, no solo la digitalización del proceso de gestión de riesgos existente ha tenido un papel clave en la gestión de modo más eficiente de la evaluación de riesgos, sino que, adicionalmente, Cumplimiento y Control Interno ha convocado una sesión de trabajo conjunta con todos los evaluadores de LaLiga, en la que ha participado tanto el Presidente de LaLiga como los distintos profesionales de la Organización, exponiéndose el método de evaluación a aplicar y la descripción de cada uno de los riesgos para proporcionar un entendimiento homogéneo de éstos a todos evaluadores.

Durante la Temporada 2019/2020 se elaboró y aprobó el Manual de Auditoría Interna, el cual ha sido el marco de referencia para guiar y documentar el desarrollo de todos los trabajos de auditoría llevados a cabo a lo largo de la Temporada 2020/2021.

En relación con la labor de auditoría interna desempeñada durante esta temporada, en línea con lo definido en el Plan Anual de Auditoría, se han realizado auditorías internas y a terceros en materia de cumplimiento, normativa contable y/o control interno.

Adicionalmente, se ha realizado el seguimiento de los planes de acción de las auditorías nacionales e internacionales finalizadas en temporadas previas, con el objeto de verificar el grado de cumplimiento e implantación de las medidas correctivas comprometidas por las áreas/entidades auditadas.
La función de auditoría interna permite continuar agregando valor a la Organización, proporcionando un aseguramiento independiente, y evaluando la eficacia y eficiencia de los procesos que se ejecutan en ésta.

Continuando con la labor realizada durante los últimos años, la Oficina de Seguridad de la Información ha seguido mejorando y evolucionando el Modelo de Seguridad de la Información hacia uno más moderno, que busca una mayor eficacia y eficiencia, adaptarse a las nuevas necesidades de la organización y prepararse ante las actuales amenazas. Este nuevo modelo se basa en 4 pilares o funciones claves que se retroalimentan y que permiten disponer de una estrategia de seguridad más completa: Gobierno, Prevención, Gestión de incidentes y Auditoría.

El gobierno de la seguridad de la información permite a la Organización una mejor alineación estratégica con sus objetivos, el tratamiento de los riesgos para llevarlos a un nivel aceptable, la gestión eficiente de los recursos y, en definitiva, la entrega de mayor valor a la Organización. Esta función de la seguridad tiene como punto de partida el Plan Director de Seguridad que se elaboró hace dos años, y ha continuado progresando con la ejecución de los proyectos que se recogen en dicho Plan, acorde a la calendarización de prioridades establecida en él. Particularmente, durante este año se ha reforzado el marco normativo:

· Revisión del Procedimiento del Comité de Seguridad de la Información, que tiene por objeto regular la configuración y normas de funcionamiento del Comité de Seguridad de la Información.

· Aprobación de la Política Corporativa de Seguridad de la Información, que establece los principios y directrices que han de guiar la actuación de las entidades, órganos y empleados para proteger la información, alineándose para ello con estándares y buenas prácticas de reconocimiento internacional, así como definiendo las responsabilidades de los distintos roles.

· Aprobación del Procedimiento de Gestión de Incidentes de Seguridad de la Información, que tiene la finalidad de evitar o mitigar, en la medida de lo posible, el impacto negativo de los incidentes de seguridad en los activos de información.

La prevención en el ámbito de la seguridad busca proteger uno de los activos más importante de la Organización, su información, preservando su confidencialidad, integridad y disponibilidad, así como minimizando la probabilidad de que ocurran incidentes de seguridad. Esta función ha implicado realizar labores de consultoría, asesoría, concienciación y formación al resto de áreas de la Organización. En este apartado, destaca el módulo de formación sobre el uso seguro del correo electrónico corporativo impartido a todos los empleados. Este tipo de acciones fortalecen la cultura de la Organización en Seguridad de la Información.

La gestión de incidentes de seguridad tiene como objetivo mantener un enfoque estructurado y planificado que permita responder de una forma adecuada a los distintos tipos de incidentes de seguridad de la información y aspectos sensibles en los sistemas de información. Esta función se ha llevado a cabo mediante la monitorización continua de los eventos de seguridad para detectar la materialización de incidentes, en cuyo caso se ha procedido a notificarlos, analizarlos, categorizarlos, contenerlos, mitigarlos y resolverlos.

La auditoría de seguridad tiene como objetivo detectar, prevenir y corregir los defectos de seguridad en el desarrollo y adquisición de aplicaciones o soluciones tecnológicas, obteniendo con ello un software de confianza y robusto frente a ataques maliciosos y vulnerabilidades, y que cumpla los principios de confidencialidad, integridad y disponibilidad, así como con la legislación aplicable en materia de protección de datos.

Por último, se debe reseñar que, dentro de la apuesta que la Organización está realizando en materia de seguridad de la información en los últimos años, en la pasada temporada se ha reforzado el equipo interno con nuevo personal. Adicionalmente, se cuenta con el apoyo de proveedores y terceros en las tareas que requieren un alto grado de especialización.

Dentro de las actividades llevadas a cabo por la Oficina de Protección de Datos para la mejora constante del estado de cumplimiento de la normativa de protección de datos de la Organización LaLiga, cabe destacar esta Temporada 2020/2021 la elaboración, aprobación y difusión del Procedimiento para la gestión de controles en materia de protección de datos y el Procedimiento para la gestión y coordinación de la red de privacy links o responsables o delegados de protección de datos (normas funcionales).

Procedimiento para la gestión de controles en materia de protección de datos: El procedimiento se configura como un manual de apoyo dirigido a los responsables internos de las actividades de tratamiento llevadas a cabo en la Organización LaLiga, a través del cual se establecen las pautas y directrices para la identificación, planificación, implantación, revisión y auditoría de los controles en materia de protección de datos.

Procedimiento para la gestión y coordinación de la red de privacy links o responsables o delegados de protección de datos: Se trata de una norma funcional dirigida a los privacy links o a los responsables o delegados de protección de datos de las filiales, designados en la Organización LaLiga, por medio de la cual se establecen las pautas y directrices para el cumplimiento de las funciones y obligaciones que tienen asignadas en los apartados 5.7.2. y 5.7.3. de la Política corporativa para el tratamiento de datos personales, así como los mecanismos necesarios que permitan garantizar su colaboración con el Delegado de Protección de Datos de LaLiga.

Asimismo, se ha impartido formación a los privacy links y responsables de protección de datos de las filiales, sobre el procedimiento dirigido a estos colectivos y las principales cuestiones que han de tener en consideración en relación con la normativa local e interna en materia de protección de datos y ello con carácter adicional al módulo de formación obligatorio online que, durante la temporada, se lanzó para el colectivo concreto de Responsables internos de actividades de tratamiento.

Del mismo modo que en el área de Cumplimiento, durante esta temporada se ha trabajado en llevar cabo acciones puntuales de concienciación en el marco del Proyecto de Comunicación puesto ya en marcha hace dos temporadas y dirigidas a toda la Organización, basadas, entre otras, en píldoras informativas sobre protección de datos publicadas en los diferentes canales habilitados a tal efecto por LaLiga.

Por otro lado, cabe señalar, que el Delegado de Protección de Datos de LaLiga, ha sido invitado a participar, un año más, como profesor en el Máster en Derecho Aplicado al Fútbol Profesional de LaLiga Business School.

Por último, ha participado en la redacción de la Guía Práctica para la Gestión de Riesgos de Terceros en Privacidad, publicada por el Data Privacy Institute del ISMS Forum Spain.