Resumen: Se analiza una tendencia generalizada
en la elaboración de leyes que afectan a las personas jurídicas: La apreciación
del riesgo y su tratamiento.
Índice
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
6 de febrero de 2015
|
|
1. Introducción
2. Proyecto de LO de
reforma del Código Penal3. Prevención de Blanqueo de capitales y FT
4. Proyecto de Reglamento de Protección de Datos de la UE
5. Conclusiones
6. Bibliografía consultada
7. Derechos de autor
1.
Introducción
Últimamente, la elaboración de leyes que afectan a las
personas jurídicas (PJ en adelante), tiene
en cuenta el manido refrán de “más vale prevenir que lamentar”. En otras
palabras, es mejor legislar protegiendo el bien jurídico ex-ante de forma proactiva, que castigar la ocurrencia de un
ilícito ex-post de forma reactiva, ya
sea mediante la imposición de una sanción económica o, en su caso, una pena
interdictiva.
Analizaremos a continuación algunas de estas leyes, y
proyectos de ley en aras de una mayor actualidad, que tienen repercusión en la
PJ. Veremos como todas tienen un denominador común: La evaluación del riesgo
y, en base a ella, la implantación de
un modelo de cumplimiento adecuado a la realidad del sujeto obligado por
esa ley.
2. Proyecto de LO de reforma del Código Penal
La vigente LO 5/2010, de 22 de junio, por la que se modifica
la LO 10/1995, de 23 de noviembre, del Código Penal, ya introduce claramente la
responsabilidad penal de la PJ en su art. 31 bis CP. Los penalistas saben que la norma únicamente delimita la
responsabilidad penal de la PJ en un numerus
clausus de figuras delictivas, la mayoría de la Parte Especial del CP.
Si
consideramos el proyecto de reforma del Código Penal (en adelante PR-CP), [3] en la versión del texto remitido por el Congreso de Diputados al Senado y publicado en
el Boletín Oficial de las Cortes Generales , iniciativas legislativas -Senado- de
fecha 29 de enero de 2015, vemos que el art. 31 bis PR-CP, en su apartado 4,
dispone la exención de la PJ si “el órgano de administración ha
adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de
organización y gestión que incluyen las medidas de vigilancia y control idóneas
para prevenir delitos de la misma naturaleza o para reducir de forma significativa
el riesgo de su comisión”.
Un modelo podrá considerarse “adecuado” si es capaz de
identificar en los diferentes procesos de negocio de la PJ aquellas actividades
en cuyo ámbito puedan ser cometidos los delitos y establecer protocolos o
procedimientos encaminados a detectarlos y evitarlos.
En otras palabras, la carga de prueba [1] para
lograr la exención le corresponderá a la PJ según se interpreta del PR-CP y la
estrategia de defensa consistirá en demostrar, pese a la ocurrencia del
ilícito, la correcta implementación e idoneidad razonable del programa de
cumplimiento para prevenir delitos de la misma tipificación penal que el
cometido.
Concretamente el artículo 31 bis PR-CP, en su apartado 5, dispone a tenor literal que “Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”.
3.
Prevención de Blanqueo de capitales y FT
La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, [4] considera que los sujetos obligados podrán determinar el grado requerido de aplicación de las medidas de diligencia debida en función del riesgo, que dependerá del tipo de cliente, de la relación de negocios y del producto u operación.
Concretamente el art. 7 LPBCyFT dispone: “(…) Los sujetos
obligados deberán estar en condiciones de demostrar a las autoridades
competentes que las medidas adoptadas tienen el alcance adecuado en vista
del riesgo de blanqueo de capitales o de financiación del terrorismo mediante
un previo análisis de riesgo que en todo caso deberá constar por escrito”.
Como no podía ser de otro modo, el RD 304/2014, de 5 de mayo,
[5] por el que se aprueba el Reglamento de la Ley
10/2010, hace constar en su preámbulo una realista reflexión: “Teniendo en cuenta los medios limitados de que disponen los sujetos
obligados, se impone adoptar aquellas medidas que permitan incrementar la
eficacia y la eficiencia en el uso de esos recursos, haciendo más hincapié
en aquellas situaciones, productos y clientes que presentan un nivel de riesgos
superior”.
Con este enfoque orientado al riesgo no solo se incrementa la
efectividad de las medidas a aplicar, sino que representa un elemento
realista de flexibilidad de la norma que está dirigida a un colectivo muy
heterogéneo de sujetos.
Continúa diciendo el preámbulo: “ De esta manera, se
establecen unos requerimientos básicos y comunes para todos los sujetos
obligados, permitiendo asimismo un margen de adaptación de la aplicación de la
norma a la realidad específica de la actividad que cada sujeto
desarrolla".
Toda esta flexibilidad de la norma, se compensa jurídicamente
mediante el concepto de accountability o
rendición de cuentas, que muchos entendemos como un “compromiso
responsable”. Este concepto lleva
incardinado el deber de dejar constancia escrita de las políticas, análisis,
procedimientos y actuaciones en la PJ de forma que se justifique que todos sus
actos son conformes a la norma. El art.
28 RLPByFT dispone la obligación de
conservar entre otros, en aplicación de las medidas de diligencia debida, los
resultados de cualquier análisis efectuado, durante un período de 10 años.
4.
Proyecto de Reglamento de Protección de Datos de la UE
La propuesta de Reglamento Europeo de protección de datos (en
adelante RGPD/UE) [6], también se basa en el riesgo para
proteger adecuadamente los datos de carácter personal.
Así podemos leer en sus considerandos iniciales: “(66) Con objeto de mantener la seguridad y evitar que el tratamiento
infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben
evaluar los riesgos inherentes al tratamiento y aplicar medidas para
mitigarlos”.
El art. 30 RGPD/UE dispone que el responsable y el encargado
del tratamiento implementaran medidas de seguridad adecuadas a los riesgos
que entrañe el tratamiento. Es evidente que los riesgos han debido de ser
identificados y evaluados previamente, para que se puedan tratar “de forma
adecuada”.
El art. 33 RGPD/UE regula la necesidad de efectuar una
evaluación de impacto en la privacidad (PIA) para aquellos tratamientos que
entrañen riesgo para los derechos y libertados de los interesados. Una de las
actividades dentro del proceso de PIA, [7] o de evaluación de impacto en la
protección de datos (EIPD) como le llama la AEPD, es precisamente el análisis
de riesgos. Se corrobora en el apartado 3 del mismo art. 33: “La evaluación deberá incluir, como mínimo, una descripción general de
las operaciones de tratamiento previstas, una evaluación de los riesgos para
los derechos y libertades de los interesados, las medidas contempladas para
hacer frente a los riesgos (…)”.
En relación a la accountability
o rendición de cuentas, el art. 22 RGPD/UE dispone que el responsable del
tratamiento promulgue políticas e implemente medidas organizativas apropiadas
para asegurar y poder demostrar que el tratamiento de datos personales se lleva
a cabo de conformidad con el Reglamento.
5.
Conclusiones
He pretendido demostrar mediante los ejemplos anteriores que
la tendencia actual en la elaboración de leyes que regulen a las PJ es permitir
un margen de adaptación en la aplicación de la norma a la realidad específica
de la actividad que cada sujeto obligado por ella desarrolla. Esto permite
focalizar los limitados recursos de un modo más eficaz y eficiente para
preservar la comisión de ilícitos en su seno, ya sea por acción o por omisión del
deber de garante, en función del bien jurídico protegido por la ley de que se
trate.
Como dispone el art. 13 del RD 3/2010, de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad en el Ámbito de la
Administración Electrónica (en adelante ENS), cualquier metodología
reconocida internacionalmente de gestión del riesgo es aceptable. Para
concretar, la norma ISO 31000:2010, sobre principios y directrices de gestión
del riesgo, establece un sistema de gestión que se basa en el establecimiento
del contexto, la apreciación del riesgo (Identificación, análisis y
evaluación), y su tratamiento.
No obstante, ya que he empezado con un refrán, terminaré con
otro: “que los árboles no nos hagan perder de vista el bosque”. El grupo de
trabajo consultivo europeo del Artículo 29 (GT29) adoptó en mayo de 2014 la Declaración
WP 218 [2] sobre el papel de un enfoque basado en el riesgo
en los marcos legales de protección de datos”. Viene a decir que los principios
fundamentales, que protegen los derechos de los interesados, deben permanecer
inalterables con independencia de cuál sea la evaluación y tratamiento
posterior del riesgo por parte del responsable.
Se deduce de esta Declaración que, pese a los incuestionables
beneficios de basarse en el riesgo, no es suficiente aplicar técnicas
sistemáticas para su gestión de forma indiscriminada sin detenerse a analizar
las consecuencias del resultado obtenido.
Deben poseerse profundos conocimientos jurídicos, en la
especialidad concreta de que se trate, para así disponer del criterio necesario
para no exponer ni los principios fundamentales ni el bien jurídico a proteger
por la norma.
Y esta conclusión es especialmente cierta cuando, motivado
por un involuntario error humano, se han omitido premisas o se ha partido de
supuestos equivocados en los procesos de apreciación del riesgo.
6. Bibliografía
consultada
La carga de prueba
- [2] Grupo de
trabajo del Artículo 29. “Declaración del GT29 sobre el papel de un enfoque basado
en el riesgo en los marcos legales de protección de datos”. 30 de mayo de 2014.
WP218. Traducción no oficial en el blog “Aspectos profesionales”.
Declaración WP 218
- [3] Boletín Oficial
de las Cortes Generales. “Proyecto de Ley Orgánica por la que se modifica la Ley
Orgánica 10/1995, de 23 de noviembre, del Código Penal”. Iniciativas legislativas. Senado. 29 de enero
de 2015.
PLRCP
- [4] BOE. “Ley 10/2010, de 28 de abril, de prevención del blanqueo
de capitales y de la financiación del terrorismo”. Texto consolidado modificado
el 10 de diciembre de 2013.
LPBCyFT
- [5] BOE. “RD 304/2014, de 5 de mayo, por el que se aprueba el
Reglamento de la Ley 10/2010 de PBCyFT”. 6 de mayo de 2014.
RD 304/2014
- [6] Comisión Europea. “Propuesta de REGLAMENTO DEL
PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (Reglamento general de protección de datos). 25 de
enero de 2012.
RGPD/UE
- [7] José Luis Colom. “6a Píldora Tecnológica ICAB: -La
evaluación de impacto en protección de datos-”. 16 de diciembre de 2014. Blog
“Aspectos Profesionales”.
Ponencia PIA en el ICAB
- [8] BOE. “Real Decreto 3/2010, de 8 de enero,
por el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica”. 29 de enero de 2010.
RD 3/2010
7.
Derechos de autor
Imágenes
bajo licencia 123RF internacional.
El diagrama es propiedad de www.iso.org
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven afectadas
por dicho derecho.
Sobre el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS
como Director de Auditoría y Cumplimiento Normativo. También colabora con la
entidad certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
La primera versión publicada de este artículo fue el 22 de
diciembre de 2014 en el Blog del Consejo
General de la Abogacía Española, administrado por ENATIC.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.