Resumen: La responsabilidad penal de la
persona jurídica (RPPJ) es un concepto relativamente nuevo en nuestro
ordenamiento jurídico. El principio “societas delinquere non potest” ha quedado
relegado a la historia del Derecho. No obstante, surgen una serie de dudas que
irán resolviéndose en la medida en que aparezca y aumente la jurisprudencia y
la doctrina al respecto. Una de las principales cuestiones, relevante para no
crear indefensión, es entender a quién corresponde la carga de prueba en un
proceso penal en que intervenga una PJ.
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
6 de noviembre de 2016
|
|
1. Introducción formal
a la práctica de prueba
2. La carga de prueba
3. La responsabilidad
penal de la persona jurídica
4. La carga de prueba
en la persona jurídica
5. Circunstancias
atenuantes
6. Valor probatorio de
los estándares internacionales
7. Evidencias para ser
usadas como prueba documental
7.1. Sellado de tiempo o “timestamp”
7.2. Fuentes de tiempo seguras
7.3. Diferencia entre “sello de tiempo” y “marca de tiempo”
7.4. Sobre la firma electrónica
8. Bibliografía
consultada
9.Gestión de cambios del artículo
9.Gestión de cambios del artículo
10. Derechos de autor
1.
Introducción formal a la práctica de prueba
En el proceso penal la práctica de la prueba sirve para
formar la convicción del Juzgador sobre la certeza de los hechos que se imputan,
según el principio de libre valoración, en los términos referidos por el
artículo 741.1 de la Ley de Enjuiciamiento Criminal. En otras palabras,
determina la culpabilidad del imputado y su condena, en el caso en que quede
acreditada su participación en el hecho típico enjuiciado con un grado de
certeza bastante, o bien su absolución, cuando no quede acreditada dicha
participación.
Existen dos principios del Derecho que proporcionan seguridad
jurídica a los imputados, aunque suelen confundirse. Son el principio de presunción de inocencia y el principio in dubio pro reo:
- El principio de presunción de inocencia, tratándose de un derecho fundamental según dispone el art. 24.2 CE, se aplica en todos los procesos penales. En base a él, se considera inocente al procesado mientras no exista medio de prueba convincente que acredite lo contrario.
- El principio in dubio pro reo actúa como elemento de valoración probatoria una vez practicadas las pruebas disponiendo que, en los casos donde surja duda razonable, debe absolverse.
En consecuencia, a falta de pruebas practicadas (presunción
de inocencia), o si estas no son suficientes para poder demostrar la
culpabilidad del procesado una vez hecha la valoración por el Juzgador (in dubio pro reo), deberá absolverse al
imputado.
Salvo matices en los que entraré más adelante, el que tiene
la carga de la prueba en el proceso penal es el acusador ya que, como he
señalado antes, el imputado goza de la presunción de inocencia. Esto no impide que
frente a las pruebas de cargo, éste pueda presentar también pruebas en su
descargo.
No obstante, en relación al derecho de presunción de
inocencia, Cándido Conde-Pumpido Tourón [1] afirma que
este derecho no se opone a que la convicción judicial en el proceso penal pueda
formularse sobre la base de una prueba indiciaria, si bien ésta debe satisfacer
al menos dos exigencias:
- Los hechos base o indicios deben estar acreditados y no pueden tratarse de meras sospechas.
- El órgano jurisdiccional debe explicitar el razonamiento a través del cual, partiendo de los indicios, llega a la convicción sobre la existencia del hecho delictivo y la participación del acusado.
2. La
carga de prueba
Desde el punto de vista subjetivo, la carga de prueba se
define como “la facultad que tiene una
parte para demostrar en el proceso la efectiva realización de un hecho que
alega en su interés, el cual se presenta como relevante para que sea juzgada la
pretensión deducida por el titular de la acción penal” [4].
En Derecho penal el onus
probandi es la base de la presunción de inocencia de cualquier sistema
jurídico que respete los derechos humanos. Esta doctrina ha tenido un extenso
desarrollo desde su postulado inicial en el derecho romano. Significa, como he
indicado antes, que se presume la inocencia de toda persona hasta que se
demuestre su culpabilidad. Es una presunción que, obviamente, admite prueba en
contrario pero en ella lo relevante es que quien acusa es quien tiene que
demostrar la acusación, es decir, el acusado no tiene que demostrar su
inocencia, ya que de ella se parte.
En consecuencia en el proceso penal, una vez presentada la
denuncia, le compete al acusador:
- Probar la ocurrencia de los hechos que declara, su autoría y las circunstancias que implicasen situaciones agravantes que conducirían a un aumento de la pena.
- La prueba de elementos subjetivos del delito, comprobando la forma en que el acusado ha incumplido con el deber de cuidado en los delitos culposos, ya sea por imprudencia, negligencia o impericia.
- Probar que el acusado ha actuado con dolo, lo cual se presume en la mayoría de las veces cuando está verificado que los actos practicados por el acusado son conscientes y voluntarios.
La carga de prueba tiene que ser plena al estar obligada la
acusación a anular la presunción de inocencia que favorece al acusado.
Es al acusado a quien le compete, si así lo desea:
- Probar las causas excluyentes de antijuricidad, de culpabilidad y punibilidad.
- La declaración probada de las circunstancias que merecen una disminución, total o parcial de la pena, en forma de eximentes o atenuantes. (Esta competencia del acusado, si hablamos de una PJ, será sustancial para entender más adelante la transferencia de la carga de prueba en la modificación por la LO 1/2015, de 30 de marzo, del Código Penal).
El aporte de pruebas por parte del acusado no es un deber,
sino el ejercicio del derecho de legítima defensa, el cual lleva a la búsqueda
de la verdad.
Todo ello viene refrendado por la STC 182/1989, de 3 de
noviembre, que en sus fundamentos jurídicos señala: “El
derecho a la presunción de inocencia, que alcanza rango de derecho fundamental
tras su constitucionalización en el art. 24.2 de la Norma suprema, ha dado
lugar a una constante jurisprudencia constitucional que se asienta sobre las
siguientes notas esenciales: a) como consecuencia de la vigencia de esta
presunción constitucional la carga material de la prueba corresponde
exclusivamente a la acusación y no a la defensa (STC 70/1985), de tal manera
que, en el proceso penal, recae la carga de la prueba en las partes acusadoras,
quienes han de probar en el juicio los hechos constitutivos de la pretensión
penal, sin que se pueda constitucionalmente exigir a la defensa una
probatio diabolica de los hechos negativos (SSTC 150/1987; 82, 128 y 187/1988);
(…)”.
3. La
responsabilidad penal de la persona jurídica
El principio “societas
delinquere non potest” pertenece a la historia del derecho en la mayoría de
los países de la Unión Europea. En esos ordenamientos jurídicos que contemplan
la responsabilidad penal de la persona jurídica, atendiendo tanto al derecho
comparado como a las diversas aportaciones doctrinales, podemos constatar que
básicamente existen tres grandes modelos [2] [3]:
- Vicarial o de transferencia de responsabilidad: consiste en transferir a la PJ la culpabilidad de la PF que ha actuado. Este modelo puede encontrarse en el Reino Unido, en el Código Penal francés y también en la anterior modificación de 2010 del Código Penal español. No obstante, si perfilamos un poco más, en un primer estadio la acción típica constituyente del delito que deriva en responsabilidad penal de la PJ es el cometido por la PF materializado en la infracción contenida en el catálogo o numerus clausus de delitos del CP susceptibles de acarrear RPPJ. En un segundo estadio, la PJ no comete el tipo concreto materializado por la PF, sino que el delito consiste en la ausencia del debido control que cabría exigir, posibilitando la comisión por la PF del delito contenido en el catálogo.
- De la culpabilidad de empresa: Busca los fundamentos de la responsabilidad en factores que tienen que ver con la propia PJ. El Código Penal austriaco y el suizo siguen este modelo.
- Mixto: Aúna factores de ambos. Como criterio de imputación se parte del vicarial o de transferencia de responsabilidad mientras que, para graduar la sanción o como eximente, se basa en la culpabilidad de la PJ. Es el modelo de las United States Federal Sentencing Guidelines, que en Europa inspiran a la Ley Italiana de 2001 y que sigue en España el vigente Código Penal.
4. La carga de prueba en la persona
jurídica
Desde mi mejor
entender, el estudio de a quién corresponde la carga de prueba es la
principal diferencia entre la anterior modificación del Código Penal (Ley
Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995,
de 23 de noviembre, del Código Penal) y la vigente (LO 1/2015, de 30 de
marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código
Penal).
No debe sorprender el
que la carga de prueba no corresponda a la misma actora (acusación o acusada)
al tratarse de modelos diferentes en cuanto a la RPPJ. Básicamente:
- El vigente código penal es un modelo mixto.
- La anterior modificación de 2010 era un modelo de transferencia.
4.1. La anterior modificación del Código
Penal
El tipo penal del apartado
1 del art. 31 bis CP disponía: “En los mismos
supuestos, las personas jurídicas serán también penalmente responsables de
los delitos cometidos, en el ejercicio de actividades sociales y por cuenta
y en provecho de las mismas, por quienes, estando sometidos a la autoridad de
las personas físicas mencionadas en el párrafo anterior, han podido realizar
los hechos por no haberse ejercido sobre ellos el debido control atendidas las
concretas circunstancias del caso”.
En consecuencia, en la
anterior modificación de 2010 del Código Penal y a sensu contrario, la existencia del “debido control” no significaba
un eximente de la responsabilidad criminal, sino que sencillamente se trata de
un supuesto de impunidad por atípico, es decir, por ausencia del elemento
básico integrante del hecho típico (tipo objetivo) que no es otro que el de la
inexistencia de control por parte de la PJ. En otras palabras, implicaba la
ausencia de RPPJ y, por ende, del delito de la PJ.
Por tanto debían
aplicarse los principios generales de la carga de prueba que he comentado en el
apartado 1 “Introducción formal a la práctica de prueba”, siendo la acusación
la que debía acreditar que no se ha ejercido el debido control. Dicho de otra manera, la acusación debe desacreditar la
idoneidad del programa de Compliance, ya que su ineficacia o ausencia no sería
otra que la existencia misma del delito de la PJ.
Comisión
del delito según modificación del CP anterior (2010)
|
Corresponde
la carga de prueba
|
Delito de
la PF
en su seno y en su provecho.
|
Acusación
|
RPPJ
|
(posible
impunidad por atípico) Acusación
|
4.2. El vigente Código Penal
4.2.1 Introducción
El apartado 4 del art.
31 bis CP [11] dispone que la persona jurídica quedará exenta
de responsabilidad [en el segundo de
los supuestos que plantea, que es haber sido cometido el delito por
personas sometidas a quienes tienen poder de dirección en la empresa] si, antes
de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de
organización y gestión que resulte adecuado para prevenir delitos de
la naturaleza del que fue cometido o para reducir de forma significativa el
riesgo de su comisión.
Los modelos de
organización y gestión a que se refiere deberán cumplir, según el apartado 5
del art. 31 bis CP, los siguientes requisitos:
“1.º Identificarán las
actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser
prevenidos.
2.º Establecerán los
protocolos o procedimientos que concreten el proceso de formación de la
voluntad de la persona jurídica, de adopción de decisiones y de ejecución de
las mismas con relación a aquéllos.
3.º Dispondrán de
modelos de gestión de los recursos financieros adecuados para impedir la
comisión de los delitos que deben ser prevenidos.
4.º Impondrán la
obligación de informar de posibles riesgos e incumplimientos al organismo
encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecerán un
sistema disciplinario que sancione adecuadamente el incumplimiento de las
medidas que establezca el modelo.
6.º Realizarán una
verificación periódica del modelo y de su eventual modificación cuando se
pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se
produzcan cambios en la organización, en la estructura de control o en la
actividad desarrollada que los hagan necesarios.”
El art. 31 bis del vigente
Código penal no cuestiona la existencia misma del delito, sino que dispone la
exención de responsabilidad si se cumplen las condiciones del apartado 5.
Comisión
delito según la modificación vigente del CP (2015)
|
Corresponde
la carga de prueba
|
Delito de
la PF
en su seno y en su beneficio directo o indirecto.
|
Acusación
|
RPPJ (Punto de
vista autónomo)
Circular 1/2016 FGE
|
§ Se traslada a la PJ ante
posible eximente o atenuante (acreditar
que el programa era eficaz).
§ Acusación (Acreditar conducta
delictiva de sus dirigentes o el incumplimiento de sus obligaciones de
control).
|
RPPJ (Punto de
vista armonizado)
STS 154/2016 unificación doctrina
|
Acusación
|
RPPJ (Mitigación
de posibles daños reputacionales)
|
La asume la
PJ
|
4.2.2 Desde el punto de vista autónomo
Desde el punto de vista
autónomo, la carga de prueba se traslada a la PJ al tener que demostrar que el
modelo de cumplimiento implementado es eficaz y adecuado para conseguir para la
PJ la exención, total o parcial, de la
pena consecuente al delito cometido por la PF, mediante las condiciones
comentadas.
Este es el criterio
de la FGE expuesto en su Circular 1/2016 [12], a
partir de la página 10, in fine. No
obstante lo matiza y limita al reconocer “que la persona jurídica estuviera
obligada a probar su adecuado sistema de organización representaría una
inversión de la carga de la prueba constitucionalmente inadmisible”.
Continúa la Circular:
“Ahora bien, si el fundamento de la imputación de la persona jurídica
reside en la conducta delictiva de sus dirigentes o en el incumplimiento de sus
obligaciones de control sobre los subordinados, esto será lo único que deba probar la acusación.
En este entendimiento,
los programas de control constituyen una referencia para medir las obligaciones
de las personas físicas con mayores responsabilidades en la corporación (letra
a), como indicaba la Circular 1/2011. Pero será la persona jurídica la que
deberá acreditar que tales programas eran eficaces para prevenir el delito,
cuestión ésta sobre la que se volverá más adelante al analizar los programas de
organización y gestión”.
Y es en la página 56
de la referida Circular dónde se señala “la comisión del delito por las
correspondientes personas físicas en las condiciones que exige el precepto
determinará la transferencia de responsabilidad a la persona jurídica. Ello comporta
que con el delito de la persona física nace también el delito de la persona jurídica
la cual, no obstante, quedará exenta de pena si resulta acreditado que poseía
un adecuado modelo de organización y gestión.
La construcción remite
inequívocamente a la punibilidad y a sus causas de exclusión. Concurrentes en
el momento en el que la persona física comete el delito y transfiere la
responsabilidad a la persona jurídica, los modelos de organización que cumplen
los presupuestos legales operarán a modo de excusa absolutoria, como una causa
de exclusión personal de la punibilidad y no de supresión de la punibilidad,
reservadas estas últimas causas para comportamientos post delictivos o de
rectificación positiva, como los contemplados en las circunstancias atenuantes del
art. 31 quater. De este modo, atañe a la persona jurídica acreditar que los
modelos de organización y gestión cumplen las condiciones y requisitos legales
y corresponderá a la acusación probar que se ha cometido el delito en las circunstancias
que establece el art. 31 bis 1º. Claro está que los programas serán además,
como se ha dicho, una referencia valiosa para medir las obligaciones de las
personas físicas referidas en el apartado 1 a) en relación con los delitos cometidos
por los subordinados gravemente descontrolados.
Sigue argumentando la
FGE: “Puede argumentarse que la atribución a la persona
jurídica de la carga de la prueba deriva también del hecho de que la propia
comisión del delito opera como indicio de la ineficacia del modelo y que, sobre
esta base, cabría exigir a la persona jurídica una explicación exculpatoria que
eliminara el efecto incriminatorio del indicio, a semejanza de la doctrina
jurisprudencial sobre la prueba indiciaria, conforme a la cual no supone
inversión de la carga de la prueba ni daña la presunción de inocencia exigir al
acusado que facilite para lograr su exculpación aquellos datos que está en
condiciones de proporcionar de manera única e insustituible (SSTEDH de 8 de
febrero de 1996, Murray contra Reino Unido; de 1 de marzo de 2007, Geerings
contra Holanda; de 23 de septiembre de 2008, Grayson y Barnahm contra Reino
Unido; SSTC nº 137/98 de 7 de julio y 202/2000 de 24 de julio; y SSTS nº 1504/2003, de 25 de
febrero, 578/2012, de 26 de junio y 487/2014, de 9 de junio)”.
En todo caso, no
ofrece duda que es la propia empresa quien tiene los recursos y la posibilidad
de acreditar que, pese a la comisión del delito, su programa era eficaz y
cumplía los estándares exigidos legalmente, al encontrarse en las mejores condiciones
de proporcionar de manera única e insustituible los datos que atañen a su
organización, especialmente los relacionados con algunos requisitos de muy difícil
apreciación para el Fiscal o el Juez como la disposición de los protocolos o procedimientos
de formación de la voluntad o de adopción y ejecución de decisiones de la
persona jurídica (segundo requisito del apartado 4) o de los “modelos de gestión de los recursos financieros adecuados para impedir la
comisión de los delitos” (tercer requisito).
4.2.3 Desde el punto de vista armonizado
En la STS 154/2016, de
29 de febrero, de unificación de doctrina, argumenta la Sala respecto a
trasladar la carga de prueba a la PJ: “ello equivaldría a que, en el caso
de la persona jurídica no rijan los principios básicos de nuestro sistema de
enjuiciamiento penal,
tales como el de la exclusión de una responsabilidad objetiva o automática o el
de la no responsabilidad por el hecho ajeno, que pondrían en claro peligro
planteamientos propios de una heteroresponsabilidad o responsabilidad por
transferencia de tipo vicarial, a los que expresamente se refiere el mismo
Legislador, en el Preámbulo de la Ley 1/2015 para rechazarlos, fijando como uno
de los principales objetivos de la reforma la aclaración de este extremo”.
No obstante, se
matiza la opinión mayoritaria de la Sala, en el voto particular de 7 Magistrados señalando que constituye una regla
general probatoria, consolidada en nuestra doctrina jurisprudencial, que las
circunstancias eximentes, y concretamente aquellas que excluyen la
culpabilidad, han de estar tan acreditadas como el hecho delictivo: “Consideramos que no procede constituir a las personas jurídicas en un
modelo privilegiado de excepción en materia probatoria, imponiendo a la
acusación la acreditación de hechos negativos (la ausencia de instrumentos
adecuados y eficaces de prevención del delito), sino que corresponde a la
persona jurídica alegar su concurrencia, y aportar una base racional para que
pueda ser constatada la disposición de estos instrumentos”.
Continúan afirmando
quiénes formulan el voto particular, que el propio Legislador sigue este
criterio probatorio de carácter general ya que en el párrafo segundo del número
2º del art 31 bis se establece expresamente que cuando las circunstancias que
dan lugar a la exención "solamente puedan ser objeto de
acreditación parcial, esta circunstancia será valorada a los efectos de
atenuación de la pena".
Desde el punto de
vista práctico para los intereses de la propia persona jurídica, le conviene
a ésta asumir la carga de prueba o, si se me permite, colaborar con el
Ministerio Fiscal o el Juez Instructor, para acreditar en su caso con la mayor diligencia la idoneidad
del modelo, en evitación de que se dilaten las actuaciones en el tiempo lo que
infringiría a la propia organización daños
reputacionales tal vez irreparables. En este aspecto concreto, construir
modelos de prevención en base a estándares internacionales como la norma ISO
19600:2014 “Sistemas de Gestión de Compliance”, facilitará y agilizará la
comprensión de la idoneidad del modelo por parte del Ministerio Fiscal y del
juzgador.
5.
Circunstancias atenuantes
En el caso de desear que se consideren las circunstancias
atenuantes de la RPPJ que dispone el artículo 31 quater CP, la carga de
prueba se traslada también a la PJ al tener que demostrar haber realizado,
con posterioridad a la comisión del delito y a través de sus representantes
legales, las siguientes actividades:
“a) Haber procedido, antes de conocer
que el procedimiento judicial se dirige contra ella, a confesar la infracción a
las autoridades.
b) Haber colaborado en la
investigación del hecho aportando pruebas, en cualquier momento del proceso,
que fueran nuevas y decisivas para esclarecer las responsabilidades penales
dimanantes de los hechos.
c) Haber procedido en cualquier
momento del procedimiento y con anterioridad al juicio oral a reparar o
disminuir el daño causado por el delito.
d) Haber establecido, antes del
comienzo del juicio oral, medidas eficaces para prevenir y descubrir los
delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura
de la persona jurídica”.
Como resumen, en todos los casos favorece la implantación en
la empresa de medidas eficaces de prevención y control o, lo que es lo mismo, un programa de
cumplimiento efectivo:
- Ex ante, ya que logran la exención completa de RPPJ o, en su defecto, una atenuación parcial de la pena, según el párrafo final del artículo 31 bis 2 CP: “En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena”.
- Ex post de la comisión del delito y antes del juicio oral, según el apartado d) del artículo 31 quater 1 CP, como uno de los condicionantes para una atenuación de la pena: “d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.
6. Valor
probatorio de los estándares internacionales
Es evidente que ante determinado modelo de Compliance, lo
primero que debemos preguntarnos es si está vivo, basado en el aprendizaje por
la experiencia y la consecuente mejora continua o, al contrario, está muerto
por obsolescencia con el transcurrir del tiempo desde su implantación inicial,
o por ser un mero maquillaje teórico para simplemente poder aducir que se
dispone de él.
En relación al “simple maquillaje”, la discutida circular 1/2011
[6] de la Fiscalía general del Estado reza: “La elaboración y el cumplimiento de las normas de
autorregulación de las empresas o compliance guide, solo son relevantes en
la medida en que traduzcan una conducta. Como ya se ha señalado, existe en
este momento el peligro de considerar que la mera formalización de uno esos
estándares constituye un salvoconducto para eludir la responsabilidad penal de
la corporación. Sin embargo, lo importante en la responsabilidad penal de la
persona jurídica no es la adquisición de un código de autorregulación,
corporate defense, compliance guide, plan de prevención del delito o como
quiera llamársele, sino la forma en que han actuado o dejado de actuar los
miembros de la corporación a que se refiere el artículo 31 bis en la situación
específica, y particularmente en este
segundo párrafo del apartado 1º, sus gestores o representantes en relación con
la obligación que la Ley penal les impone de ejercer el control debido sobre
los subordinados; en este contexto, resulta indiferente que la conducta de los
individuos responda a una guía de cumplimiento propia que, en el mejor de los
casos, constituye un ideal regulativo de emanación estrictamente privada”.
Da la sensación de que, salvo la frase subrayada con la que
estoy completamente de acuerdo, la fiscalía esté haciendo en el texto restante
su propia interpretación sobre los programas de Compliance en relación a la
modificación de 2010 del CP, que era la vigente en 2011. Solamente por haber
aunado criterios en este sentido considero bienvenida la modificación vigente
del Código Penal, con un mayor grado de concreción en el art. 31 bis (y los
nuevos 31 ter, 31 quater y 31 quinquies).
En cualquier caso un auditor de cumplimiento que esté
elaborando, por ejemplo, una pericia de un programa de Compliance, auditará:
- Cómo está estructurado el modelo para poder entender su lógica.
- La documentación y los registros asociados.
- la actividad del canal de dilación y como se ha tratado la información recibida.
- Los hechos típicos se han detectado en el pasado y que respuesta se les ha dado.
- El grado de conocimiento y concienciación de las partes interesadas (empleados, accionistas, cadena de suministro, clientes…) sobre el modelo.
- La metodología empleada para la identificación, análisis, evaluación y, en su caso, tratamiento de los riesgos legales en el alcance del modelo.
- Qué órganos colegiados o individuales de la PJ se encargan de las diferentes funciones (estructura de prevención, estructura de respuesta basada en instrucción y resolución, órgano de supervisión y control…)
- Cómo se ha ido perfeccionando el sistema en base a su ciclo de mejora continua.
Está claro que si el modelo se adapta en su estructura básica
a un estándar internacional, será mucho más fácil entender su lógica y, en
consecuencia, comprobar y demostrar su idoneidad.
Al igual que otras leyes de nuestro ordenamiento jurídico no
concretan qué metodología de gestión de riesgos debe emplearse, poniendo como
única condición que se trate de una metodología reconocida a nivel
internacional [10] (vid. art. 13 del RD 3/2010, de 8 de enero, por
el que se regula el Esquema Nacional de Seguridad en el Ámbito de la
Administración Electrónica - ENS), podríamos estar tentados a plantear que
basarse en un Sistema de Gestión del Cumplimiento avalado por una norma
internacional como la ISO 19600:2014 [7] será,
en sí misma, una garantía adicional o una “presunción de hecho” entendida como el reconocimiento
legal de un determinado acto o hecho mientras no se demuestre lo contrario.
Esto quiere decir que la efectividad del modelo se entendería probada por la
existencia de presupuestos para ello, como es el caso de la certificación. Para
anular la presunción, sería necesario presentar pruebas en su contra que
permitieran sostener otra verdad diferente a la presumida.
Debo indicar, no obstante, que en Derecho Penal la analogía,
que consiste en aplicar una norma jurídica a un caso que no está incluido en su
tenor literal pero que resulta muy similar a los que sí están previstos en ella,
de forma que se le pueda dar el mismo tratamiento jurídico, está prohibida.
Aun así me atrevo a matizar que del principio de legalidad
penal solo se deduce la prohibición de la analogía cuando es usada para agravar
la responsabilidad penal (in malam
partem), mientras que no se opone al principio de legalidad el uso de la
analogía favorable al imputado, es decir, para excluir o atenuar su
responsabilidad (in bonam partem), al no violar ninguna garantía de éste. En
consecuencia, y con todas las prevenciones posibles intuyo que, si no ahora, lege ferenda podría exigirse, o al menos
recomendarse, en base al pensamiento analógico, una estructura de cumplimiento
diseñada a partir de un modelo estándar internacionalmente reconocido.
La ventaja de un sistema basado en una Norma ISO es que debe
estar sujeto a auditorías periódicas entendidas como un proceso sistemático,
independiente y documentado para obtener evidencias y evaluarlas de manera
objetiva con el fin de determinar el grado en que se cumplen los criterios de
auditoría en relación al modelo.
Se requieren tanto auditorías internas, que son las
que la PJ hace a su propio modelo o sistema de gestión (al menos una vez al año
y siempre que se produzcan cambios organizacionales sustanciales) con finalidad
de identificar no-conformidades y acciones de mejora, así como las auditorías
externas, que son las que se hacen al sistema de gestión de una PJ por
parte de un tercero independiente, normalmente una entidad acreditada, para
extender o mantener la certificación, si es que al final la Norma es
certificable (que no lo son todas). Es evidente que un modelo maquillado (makeup
Compliance), no pasaría una auditoría de tercera parte.
Debo indicar que no existen soluciones mágicas tipo “café
para todos”. La ISO 19600:2014 es simplemente la estructura del sistema de
gestión del cumplimiento. Deberán particularizarse para cada PJ concreta:
- El contexto de la organización y los requerimientos de sus partes interesadas.
- Aspectos de autorregulación (Código ético o código de conducta).
- Las políticas de cumplimiento.
- La apreciación y tratamiento de los riesgos legales asociados.
- La estructura funcional y de roles, responsabilidades y autoridad adecuada a la PJ.
- Los canales de comunicación, incluyendo el de dilación o whistleblower.
En definitiva adaptarse a la realidad y el entorno en el que
opera la PJ.
7. Evidencias
para ser usadas como prueba documental
Adjunto, aunque ampliado, el apartado extraído de un artículo
que publiqué sobre GRC (Gobierno, Riesgo y Cumplimiento) [8] al
considerar que es relevante para
asegurar la validez de los medios de prueba.
Las evidencias en forma de documentos en formato electrónico
que se considere ir obteniendo y conservando procedentes de informes, controles,
notificaciones, eventos…, para preservar su valor probatorio tanto en el
recabado como en su custodia en repositorios seguros, será imprescindible
recurrir a algún método que acredite el preciso instante en que se obtuvieron y
se garantice su integridad.
7.1.
Sellado de tiempo o “timestamp”
El sellado de tiempo está definido en el standard RFC-3161 y
recogido en la Norma ISO-18014-1:2008, -2 y -3.
7.2. Fuentes
de Tiempo Seguras
Para poder asociar los documentos electrónicos con un
instante de tiempo determinado es necesario utilizar una Autoridad de Sellado
de Tiempo (TSA – Time Stamp Authority, por sus siglas en inglés) como tercera
parte de confianza. Dicho instante será obtenido por parte del TSA de una
fuente de tiempo segura, como puede ser la del Real Observatorio de la Armada que proporciona la base de la hora
legal en todo el territorio nacional español según el RD 1308/1992, de 23 octubre, por el que se declara al
Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio
depositario del Patrón Nacional del Tiempo y laboratorio asociado al Centro Español
de Metrología.
Actúan como TSA la Fábrica Nacional de Moneda y Timbre (FNMT)
y otros muchos facilitadores.
7.3.
Diferencia entre “sello de tiempo” y “marca de tiempo”
En el "sello de
tiempo" la asignación de la referencia temporal se realiza por un
tercero de confianza, independiente y ajeno al procedimiento o documento
concreto, mediante un proceso de firma electrónica verificable que asegura la
exactitud e integridad de la referencia. Asimismo, el sello de tiempo garantiza
fehacientemente que una serie de datos, preparados por el solicitante del
sello, han existido y no han sido modificados desde un momento determinado.
En cambio, la “marca
de tiempo” es la asignación por medios electrónicos de la fecha y hora a un
documento electrónico. No garantiza necesariamente la integridad del documento.
Normalmente es la propia empresa interesada la que debe generar la referencia
temporal. La marca de tiempo puede
ser generada por cualquier aplicación y no tiene por qué ser menos precisa que
un sello de tiempo. Habitualmente la
referencia temporal se obtiene a través de la fecha y hora de un servidor
informático que esté sincronizado mediante el protocolo Network Time Protocol (NTP) con una fuente de tiempo fiable y
precisa.
7.4. Sobre
la firma electrónica
La Ley 59/2003, de 19 de diciembre, de firma electrónica
(LFE), [9] contiene reglas referidas al modo de proceder a la
prueba de la corrección de la firma electrónica. Una vez probada la
autenticidad de la firma electrónica, el soporte puede acceder como prueba
documental.
El apartado 8 del art. 3 de la LFE dispone: “El soporte en que se hallen los datos firmados electrónicamente
será admisible como prueba documental en juicio. Si se impugnare la
autenticidad de la firma electrónica reconocida con la que se hayan firmado los
datos incorporados al documento electrónico se procederá a comprobar que se
trata de una firma electrónica avanzada basada en un certificado reconocido,
que cumple todos los requisitos y condiciones establecidos en esta Ley para este
tipo de certificados, así como que la firma se ha generado mediante un
dispositivo seguro de creación de firma electrónica.
La carga de realizar las
citadas comprobaciones corresponderá a quien haya presentado el documento
electrónico firmado con firma electrónica reconocida. Si dichas
comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de
la firma electrónica reconocida con la que se haya firmado dicho documento
electrónico (…)”.
La Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas
y del Orden Social, indica a su vez en el art. 114 como un notario puede dejar
constancia de un archivo en formato electrónico:
“1. Por el procedimiento que reglamentariamente se disponga, cuando un notario sea requerido para dejar constancia de cualquier hecho relacionado con un archivo informático, no será necesaria la transcripción de su contenido en el documento en soporte papel, bastando con que en éste se indique el nombre del archivo y una función alfanumérica [función hash] que lo identifique de manera inequívoca, obtenida del mismo con arreglo a las normas técnicas dictadas al efecto por el Ministro de Justicia. El archivo informático así referenciado deberá quedar almacenado en la forma prevista en el artículo 79 bis dieciocho. Las copias que se expidan del documento confeccionado podrán reproducir únicamente la parte escrita de la matriz, adjuntando una copia en soporte informático adecuado del archivo relacionado, amparada por la firma electrónica avanzada del notario.
2. Asimismo, a solicitud de los interesados, los notarios podrán almacenar en archivo informático las comunicaciones electrónicas recibidas, así como las que, a requerimiento de aquéllos, envíen a terceros. En todo caso, el notario actuante, dejará constancia en acta de tales hechos, consignando la fecha y hora en que hayan sucedido y expresando con claridad los extremos que quedan amparados bajo su fe. A estos exclusivos efectos, podrán los notarios admitir como requerimiento de parte la instancia suscrita con firma electrónica avanzada atribuida al requirente por un prestador de servicios de certificación acreditado mediante un certificado reconocido”.
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
“1. Por el procedimiento que reglamentariamente se disponga, cuando un notario sea requerido para dejar constancia de cualquier hecho relacionado con un archivo informático, no será necesaria la transcripción de su contenido en el documento en soporte papel, bastando con que en éste se indique el nombre del archivo y una función alfanumérica [función hash] que lo identifique de manera inequívoca, obtenida del mismo con arreglo a las normas técnicas dictadas al efecto por el Ministro de Justicia. El archivo informático así referenciado deberá quedar almacenado en la forma prevista en el artículo 79 bis dieciocho. Las copias que se expidan del documento confeccionado podrán reproducir únicamente la parte escrita de la matriz, adjuntando una copia en soporte informático adecuado del archivo relacionado, amparada por la firma electrónica avanzada del notario.
2. Asimismo, a solicitud de los interesados, los notarios podrán almacenar en archivo informático las comunicaciones electrónicas recibidas, así como las que, a requerimiento de aquéllos, envíen a terceros. En todo caso, el notario actuante, dejará constancia en acta de tales hechos, consignando la fecha y hora en que hayan sucedido y expresando con claridad los extremos que quedan amparados bajo su fe. A estos exclusivos efectos, podrán los notarios admitir como requerimiento de parte la instancia suscrita con firma electrónica avanzada atribuida al requirente por un prestador de servicios de certificación acreditado mediante un certificado reconocido”.
8. Bibliografía consultada
- [1] Cándido Conde-Pumpido
Tourón. Coordinador de “Ley de enjuiciamiento Criminal. Ley y
legislación complementaria. Doctrina y jurisprudencia”. Vol. II; Ed.
Trivium, Madrid. 1998. páginas 2596 a 2598.
- [2] Alain Casanovas
Ysla. “Contol legal interno”. Ed. La LEY (Grupo
Wolters Kluwer). Madrid. Febrero 2012. Páginas 148 y 149.
- [3] Adán Nieto
Martín. “La responsabilidad penal de las personas
jurídicas: esquema de un modelo de responsabilidad penal”. Instituto de derecho
penal europeo e internacional. Universidad de Castilla la Mancha. 2012. Página
8.
- [4] Flavio García
del Rio. “La prueba en el proceso penal”. Parte
General. Ediciones Legales Iberoamericanas EIRL. Lima. 2002. Página 92.
- [6] Fiscalía
General del Estado. “CIRCULAR 1/2011 RELATIVA A
LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS CONFORME A LA REFORMA DEL
CÓDIGO PENAL EFECTUADA POR LEY ORGÁNICA NÚMERO 5/2010”. 1 de Junio de 2011.
- [7] International Organization for Standardization. “ISO-19600:2014 Compliance management
systems – Guidelines”. 15/12/2014.
- [8] José Luis Colom Planas. “La responsabilidad penal corporativa, el Compliance
Officer y el modelo integrado de GRC”. 26 de agosto de 2014, actualizado el 26
de agosto de 2015. Blog “Aspectos profesionales”.
- [9] Ley 59/2003, de 19
de diciembre, de firma electrónica. BOE núm. 304, de 20/12/2003.
- [10] José Luis Colom Planas. “Modelos de cumplimiento
legal y apreciación del riesgo”. Blog del Consejo General de la Abogacía
Española. Diciembre de 2014.
- [11] BOE nº 77. “LO 1/2015, de 30 de
marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código
Penal”.
- [12] Fiscalía General
del Estado. “Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las
personas jurídicas conforme a la reforma del Código penal efectuada por Ley
Orgánica 1/2015”.
- [13] J. M. Maza. “STS
154/2016, de 29 de febrero, de unificación de doctrina”. Tribunal Supremo. Voto
particular de Cándido Conde Pumpido Tourón y seis Magistrados más.
9. Control de cambios del artículo
Siguiendo
voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las
normas ISO, se incorpora el control de cambios a los artículos de este Blog
permitiendo conocer la trazabilidad de los mismos una vez han sido publicados
por primera vez. Todo ello en concordancia con el último párrafo de la cláusula
general de exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
26/08/2014
|
Redacción
inicial del artículo
|
Autor
|
18/08/2015
|
Se actualiza ampliamente el artículo como consecuencia
de:
- La entrada en vigor de la LO1/2015, de 30 de marzo, por la que se modifica la LO10/1995, de 23 de noviembre, del
Código Penal.
- La publicación de la Norma ISO 19600:2014, “Sistemas
de Gestión de Compliance”.
|
Autor
|
06/11/2016
|
Se
actualiza el apartado 4. La carga de
prueba en la persona jurídica a raíz de publicarse la Circular 1/2016 de
la FGE. También se incorpora la STS 154/2016, de 29 de febrero, de
unificación de doctrina.
|
Autor
|
10. Derechos de autor
Imágenes
bajo licencia 123RF internacional. La licencia únicamente es válida para su
publicación en este blog.
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A nivel de especialización jurídica, ha realizado el postgrado de Especialista
Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de
la Universidad de Murcia, disponiendo de la certificación CDPP (Certified Data Privacy Professional)
del ISMS Fórum Spain. También ha cursado el programa superior de Compliance
Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado
respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con
el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en
prevención de blanqueo de capitales, certificado por INBLAC y registrado en el
Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).
A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones
en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de
Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador
de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación
Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor
del esquema de certificación STAR para prestadores de servicios de Cloud
Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación
internacional CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone de las
certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service
Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS
como Director de Auditoría y Cumplimiento Normativo. También colabora con la
entidad certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido
del valor que aportan las organizaciones profesionales, es asociado sénior de
la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.