Resumen: La cada vez mayor complejidad de las
empresas, y los mercados transnacionales donde éstas operan, provoca que al
Estado le sea difícil legislar respecto a los nuevos modelos de negocio que van
apareciendo, a la vez que inspeccionar su cumplimiento. La autorregulación se
muestra como una posible solución a este problema, no exenta de dificultades.
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
14 de septiembre de 2015
|
|
Índice
1.1 Los partidarios de la autorregulación
1.2 Los escépticos de la autorregulación
1.3 Una posición conciliadora
2. La autorregulación en forma de programas de cumplimiento penal
3. Los códigos de conducta
3.1 Introducción
3.2 Fomento de los códigos de conducta por la UE
3.3 Legislación y era digital
3.3.1. Primer ejemplo (Legado digital)
3.3.2. Segundo ejemplo (Internet de las cosas – IoT)
3.4 Exigibilidad de los códigos de conducta
4. Tipología de códigos de conducta
5. Códigos de conducta en Corporate Compliance
6. Códigos de conducta en protección de datos
7. Anexo – Códigos de conducta en los estándares internacionales
7.1 COSO-II ERM
7.2 ISO 19600:2014, Sistema de Gestión del Cumplimiento
8. Bibliografía consultada
9. Derechos de autor
1. La autorregulación en la persona jurídica
La autorregulación puede
manifestarse en la PJ de diferentes maneras, de las que paso a citar algunas:
- Ética empresarial
- Responsabilidad Social Corporativa (RSC)
- Buen gobierno
- Cumplimiento
1.1 Los partidarios de la autorregulación
Los partidarios de la idea de la autorregulación por parte de las
personas jurídicas (en adelante PJ), afirman que ofrece ventajas significativas
sobre la regulación estatal directa. Concretamente:
- En algunos modelos, fomenta valores compartidos entre los actores privados.
- Cultiva su sentido de participación en la elaboración de normas que reflejen esos valores, viendo a éstas con sentido de pertenencia.
- Facilita el cumplimiento voluntario de las normas de libre adscripción resultantes.
En consecuencia, tienden a subrayar que la autorregulación es
considerablemente más flexible que las normas jurídicas, ya que está integrada en
el contexto actual y real en el que se mueven las PJ.
1.2 Los escépticos de la autorregulación
Los escépticos, en cambio, argumentan que no se puede confiar en las
empresas que persiguen el beneficio privado, pese a ser lícito y legítimo, para
regular sus propias actividades, confiando en que favorezcan el fomento de
objetivos deseables públicamente. Desde esta perspectiva, apuntan la posibilidad de que la autorregulación del
sector privado no sea más que una mera cortina de humo o maquillaje.
1.3 Una posición conciliadora
Buscando una posición conciliadora, cabe decir que lo que se pretende
con la responsabilidad penal de la persona jurídica (RPPJ en adelante), la ratio legis del artículo 31 bis CP, por
ejemplo, no es transferir poder regulatorio al sector privado, sino que el coste
de aplicar el Derecho Penal vigente, regulado por el Estado, lo asuma la propia
empresa con total libertad de medios y basándose en el riesgo real del
contexto, interno y externo, donde ésta actúa. [3] En consecuencia,
cualquier modelo de cumplimiento penal implantado en la empresa, únicamente
pretende incorporar en la PJ exigencias de prevención de delitos regulados en
el Código Penal. [4]
Desde este nuevo punto de
vista, y a stricto sensu, quizá ya no
estaríamos hablando de autorregulación y sí de auto-aplicación o libre-aplicación.
Es evidente que la PJ al
elaborar, refrendar y promulgar un Código
de Conducta propio, puede establecer disposiciones que superen por
restrictivas incluso al legislador público, pero que presumiblemente en nada afectarán
al Derecho penal ni a la RPPJ. A lo sumo si estas disposiciones, consideradas
por algunos soft-law o instrumentos cuasi-legislativos,
se popularizan y demuestran eficaces pueden llegar, lege ferenda, a ser incorporados el día de mañana al ordenamiento
jurídico por el legislador.
Esto último, y en
jurisdicciones o ámbitos diferentes del penal,
viene avalado por el interés mostrado por la Unión Europea que está
impulsando en los últimos años la suscripción empresarial de códigos de
conducta. Lo podemos ver en el ámbito de la llamada Responsabilidad Social Corporativa (RSC) o en los conocidos como Códigos Tipo en protección de datos.
No quiero acabar este
apartado sin referirme a la mayor amplitud que puede llegar a tener el término
“Compliance” para trascender estrictamente a la jurisdicción penal y aprovechar
la estructura del programa de cumplimiento para regular y prevenir
adicionalmente otra tipología más amplia de ilícitos.
2. La autorregulación en forma de programas de cumplimiento
penal
1.ª el órgano de administración ha
adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de
organización y gestión que incluyen las medidas de vigilancia y control idóneas
para prevenir delitos de la misma naturaleza o para reducir de forma
significativa el riesgo de su comisión;(…)”.
Podemos incardinar dentro
del concepto de “autorregulación”, con las prevenciones abordadas en el
apartado anterior, la adopción y ejecución de modelos de organización
auto-vigilados y auto-controlados en el seno de la persona jurídica,
especialmente si son eficaces y modelan la voluntad de administradores,
empleados y colaboradores.
Así, un programa de Compliance o, mejor aún, un CMS o Sistema de Gestión del Cumplimiento, uno de cuyos elementos
sustanciales es la elaboración y promulgación de un Código de Conducta, tendría su espacio aquí. Podríamos llegar a
considerar que la falta de fidelidad al Derecho por parte de una PJ, viene dada
por una falta de autorregulación de la empresa para evitar un defecto de
organización que no impida la comisión de un delito en su seno.
No obstante, más que hablar
de autorregulación pura, deberemos hablar de enforced self-regulation o autorregulación impuesta. Ésta la
definiremos como la incorporación a la PJ de la autorregulación, subordinada a
los intereses del Estado que ha legislado la RPPJ, aunque dejando cierto grado
de libertad.
El Estado puede conservar,
como en el caso de España, su potestad de supervisión y sanción, materializándola
especialmente cuando tiene conocimiento de un hecho antijurídico en el seno de
la PJ que pertenezca al numerus clausus de
delitos susceptibles de ocasionar RPPJ.
3. Los códigos de conducta
3.1 Introducción
Esa confianza en quién se
somete a los “códigos de conducta”, genera en el tráfico comercial una
reputación que puede mover a terceros a preferir establecer relaciones
empresariales con quienes los suscriben.
Con los códigos de conducta una organización, o un conjunto
de ellas, dan a conocer a terceros prácticas, principios o derechos que se
comprometen a respetar unilateralmente.
Muchas veces se presentan
como códigos éticos, debido a que,
por lo general, no son jurídicamente exigibles, obedeciendo más al mundo de la
ética que al de la normatividad jurídica. No obstante, además del contenido
ético pueden contener normas y procedimientos que regulen el cómo, cuándo y qué
hacer en aquellos casos que un trabajador o directivo de empresa descubra o
intervenga en algún hecho que pudiera ser constitutivo de algún tipo de
responsabilidad social o jurídica para la PJ. [6]
3.2 Fomento de los códigos de conducta por la UE
En uno de los borradores del
nuevo Reglamento General de Protección de Datos (RGPD/UE), concretamente en su
considerando (76) se lee: “Se debe incitar a las
asociaciones u otros organismos que representen a categorías de responsables
del tratamiento a que elaboren códigos
de conducta, dentro de los límites fijados por el presente Reglamento,
con el fin de facilitar su aplicación efectiva, teniendo en cuenta las
características específicas del tratamiento llevado a cabo en determinados
sectores”.
Y en el ordenamiento
jurídico español, la LSSI-CE dispone en
su artículo 18 sobre códigos de conducta: “1. Las Administraciones públicas
impulsarán, a través de la coordinación y el asesoramiento, la elaboración y
aplicación de códigos de conducta
voluntarios, por parte de las corporaciones, asociaciones u organizaciones
comerciales, profesionales y de consumidores, en las materias reguladas en esta
Ley. La Administración General del Estado fomentará, en especial, la
elaboración de códigos de conducta de ámbito comunitario o internacional.
3.3 Legislación y era digital
En la actualidad, no pasa
desapercibida la dificultad de conciliar los avances tecnológicos con la
legislación al respecto. El conocido vocablo
SMAC (iniciales en inglés de Social media, Mobile, Analytics and Cloud) es solo
un pequeño ejemplo de las diferentes líneas de innovación tecnológica. Bajo
esta realidad subyacen dos motivos claramente diferenciados:
- En una democracia parlamentaria bicameral, el proceso de elaboración y aprobación de leyes es estructuralmente lento, lo cual debería redundar en la calidad del resultado final.
- La cada vez mayor complejidad tecnológica, hace que el legislador tenga, salvo que se haya formado específicamente, dificultades en adaptar la legislación a la realidad tecnológica en un breve período de tiempo. En cierto modo ya es razonable, para evitar legislar basándose en el caso particular.
Ambos considerandos nos
llevan a afirmar que para estas situaciones de rápida evolución tecnológica,
con gran demanda de soluciones jurídicas, la autorregulación sectorial se
vislumbra adecuada, al menos inicialmente, al disponer el propio sector de los
conocimientos necesarios en relación a aquello que se pretende regular.
3.3.1. Primer ejemplo (Legado digital)
Para concretar en alguna
situación de vacío legal propiciado por las nuevas tecnologías en que se apoyan
los blogs, las redes sociales y los “data storage”, podemos considerar el caso de
todo este cada vez mayor patrimonio digital en caso de
fallecimiento. [12] Esta problemática del legado digital puede resolverse:- Quizá de conformidad con una interpretación basada en la analogía con las disposiciones del Código Civil.
- O bien con la autorregulación, que ya vienen aplicando algunas plataformas cuando se encargan de la gestión de estos bienes digitales según criterios que haya elegido el causante en vida o, en su ausencia, mediante un proceder general.
3.3.2. Segundo ejemplo (Internet de las cosas – IoT)
3.4 Exigibilidad de los códigos de conducta
En cuanto a su exigibilidad,
no es otra que la aceptación contractual de sanciones por incumplimiento al
suscribirlo, si se trata de una PJ, o relacionado con el Derecho laboral
mediante la aplicación de medidas disciplinarias a los empleados que vulneren
las disposiciones del código previamente aceptado.
Téngase en cuenta que el principio de legalidad impide afirmar la
tipicidad penal de una conducta que haya vulnerado únicamente una norma
extrajurídica incluida en un código de conducta, a no ser que tenga
concordancia dentro del ordenamiento jurídico.
No obstante, el código de
conducta podría elaborarse desde la autorregulación pero al amparo de la propia
Administración, interviniendo en alguna de las fases necesarias desde su
creación hasta su adopción. Podría ser ex
ante, estableciendo las directrices a seguir por el proceso autorregulador o
ex post, en el sentido de comprobar
el grado de calidad de la autorregulación.
En este contexto la RPPJ tiene,
como último cometido, motivar a que se
adopten mecanismos internos de vigilancia, estableciendo de este modo un
control estatal sobre la autorregulación. Son los jueces, o los fiscales, los
encargados de decidir si la empresa se ha regulado debidamente para prevenir
una infracción que ha tenido lugar en el desarrollo de su actividad. [10]
Existen diferentes tipos de
autorregulación atendiendo a la relación que ésta guarda con el ordenamiento
jurídico y los órganos estatales o, lo que es lo mismo, el grado de
voluntariedad:
- La autorregulación voluntaria en la que no hay intervención pública alguna destinada, ni tan siquiera, a fomentar o estimular la autorregulación.
- La autorregulación impuesta o regulada en la que el Estado establecerá el marco general de la autorregulación, es decir, construye “metanormas”, o normas jurídicas específicas, que regulan como deben establecerse las normas de las empresas y cuáles deben ser sus principios básicos.
- La autorregulación estimulada o coaccionada en la que el Estado, a través de sanciones positivas o negativas, incentiva la autorregulación. [10]
Como ejemplo de
autorregulación tenemos:
- Autorregulación voluntaria: El código ético de una organización.
- Autorregulación regulada: El artículo 27 de la Directiva europea de protección de datos, 95/46/CE, establece en relación a todas aquellas entidades encargadas de elaborar, modificar o prorrogar códigos de conducta, que los Estados miembros velarán, entre otras cosas, por la conformidad de los códigos respecto a las disposiciones nacionales adoptadas en aplicación de esa Directiva.
- Autorregulación estimulada: El artículo 31 bis 2 de nuestro Código Penal incentiva la autorregulación mediante sanciones positivas (Exención de la RPPJ o, en su caso, atenuación de la pena).
En atención al principio de proporcionalidad y para paliar
la invocación [muy forzada] del principio
de ne bis in idem en la
jurisdicción penal, el artículo 31 ter 1 CP dispone: “(…) Cuando como
consecuencia de los mismos hechos se impusiere a ambas [PF y PJ] la pena de
multa, los jueces o tribunales modularán las respectivas cuantías, de modo
que la suma resultante no sea desproporcionada en relación con la gravedad
de aquéllos.”. [11]
4. Tipología de códigos de conducta
- Códigos de organización. Se aplican a una organización que está delimitada por una estructura organizativa clara, como puede ser una PJ. El desencadenante, antes de legislarse la RPPJ, podría ser haber recibido un importante volumen de quejas de los consumidores, haber sido investigada por medios de comunicación o Autoridades de Control o afrontar con mejores condiciones un proceso de fusión.
- Códigos sectoriales. Son los más relevantes en la materia dado que permiten adaptarse a las circunstancias de un modo sencillo, ágil y eficaz. Se basan en la existencia de muchos aspectos comunes en las PJ pertenecientes a determinado sector de actividad y son especialmente interesantes en protección de datos.
- Códigos funcionales. Estos códigos están más enfocados a específicas áreas de práctica de las organizaciones y a los procedimientos concretos que siguen en el ejercicio de sus funciones. Un ejemplo es el márketing directo.
- Códigos profesionales. Son creados por un colectivo, asociación o Colegio Profesional, a cuyos miembros se aplicará el código. A menudo se refuerza con algunas medidas disciplinarias que pueden implicar pérdida de reputación profesional o, en su caso, expulsión del colectivo.
- Códigos tecnológicos. Define normas basándose en las “mejores prácticas” tecnológicas, intentando hacer frente a problemas específicos y novedosos que aparecen de la mano de las nuevas tecnologías. Por su objeto han de ser instrumentos enormemente dinámicos, usados especialmente en privacidad.
5. Códigos de conducta en Corporate Compliance
El artículo 31 bis 5 CP
dispone: “5. Los modelos de organización y gestión a que se
refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir
los siguientes requisitos: (…)” y concreta seis de ellos, que
relaciono en una tabla:
Requisitos del
artículo 31 bis 5 CP sobre autorregulación (códigos de conducta)
|
||
#
|
Tenor literal de la
norma
|
Observaciones
|
1
|
Identificarán
las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser
prevenidos.
|
Esta
tarea debe ser efectuada ex ante y
consistirá en un completo proceso de apreciación de riesgos penales: identificación,
análisis y evaluación. Éste se basará en un minucioso análisis de las
actividades de todos los procesos de la PJ, especialmente en lo que respecta
a la toma de decisiones.
|
2
|
Establecerán
los protocolos o procedimientos que concreten el proceso de formación de la
voluntad de la persona jurídica, de adopción de decisiones y de ejecución de
las mismas con relación a aquéllos.
|
Aquí
estría incardinado el código de
conducta y demás políticas y normativas internas de la PJ, y los
procedimientos que las desarrollan y concretan.
Debe
basarse en el tratamiento de los riesgos que han sido apreciados en el punto
anterior, según el umbral de riesgo aceptable o, en su caso, tolerable, que
han determinado, asesorados, los
órganos de gobierno de la PJ.
|
3
|
Dispondrán
de modelos de gestión de los recursos financieros adecuados para impedir la
comisión de los delitos que deben ser prevenidos.
|
Es
un caso particular del punto anterior para prevenir, por ejemplo, la
corrupción.
|
4
|
Impondrán
la obligación de informar de posibles riesgos e incumplimientos al organismo
encargado de vigilar el funcionamiento y observancia del modelo de
prevención.
|
Aquí
estaría el Chief Compliance Officer (CCO) al frente del “órgano de la persona jurídica con poderes
autónomos de iniciativa y de control”, ayudado de un canal de dilación o
whistleblower.
|
5
|
Establecerán
un sistema disciplinario que sancione adecuadamente el incumplimiento de las
medidas que establezca el modelo.
|
La
falta de sanciones puede derivar al modelo de cumplimiento penal a una
percepción de no creíble y minar su eficacia (ver apartado 3.4 de este
artículo).
|
6
|
Realizarán
una verificación periódica del modelo y de su eventual modificación cuando se
pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando
se produzcan cambios en la organización, en la estructura de control o en la
actividad desarrollada que los hagan necesarios.
|
Implícitamente
deriva al modelo de Compliance hacia un completo Sistema de Gestión del
Cumplimiento (CMS), al hacer que persiga la mejora continua mediante la
definición de objetivos, la revisión de los procesos de apreciación y
tratamiento de riesgos penales y las auditorías periódicas de verificación.
|
Según el artículo 31 bis 2 CP, condiciones 1ª y 4ª, se propone una autorregulación forzada que
permitirá la exención de la RPPJ o la atenuación de la misma en función de la existencia
y efectividad del modelo de autorregulación (organización y gestión) adoptado.
Presento a continuación una
tabla de RPPJ en función del momento y la calidad de la autorregulación penal
adoptada:
Responsabilidad
penal de la persona jurídica
según su autorregulación (programa de
Compliance o CMS)
|
||
Nota: Para atenuación de la pena deben
cumplirse todos los condicionantes.
|
Adoptado
antes de la comisión del delito en su seno.
|
Adoptado
después de la comisión del delito pero antes del juicio oral.
|
AUTORREGULACIÓN EFICAZ (TOTAL)
|
EXENCIÓN
de la
responsabilidad
(31 bis 2 CP)
|
ATENUACIÓN
de la pena
(31 quater 1 CP)
|
AUTORREGULACIÓN
REGULAR (PARCIAL)
|
ATENUACIÓN
de la pena
(31 bis 2 CP condición 4ª)
|
EXIGIBLE
|
AUTORREGULACIÓN
DEFICIENTE (INEXISTENTE)
|
EXIGIBLE
|
EXIGIBLE
|
6. Códigos de conducta en protección de datos
No obstante, cabe decir que
hasta la fecha en España, bajo la denominación de códigos tipo, no han tenido
todo el éxito que inicialmente cabía esperar.
Los códigos de conducta son instrumentos
que van más allá de un simple compromiso con la privacidad. Están compuestos
por un conjunto de reglas que complementan a la legislación y una vez la
organización se someta a ellos, le resultarán vinculantes en toda su extensión.
[8]
Regulación europea
de protección de datos respecto
a la
autorregulación (Códigos de conducta o códigos tipo)
|
||
Legislación
|
Artículos
|
Comentarios
|
(EU) Directiva
95/46/CE
|
Artículo
27
|
Los
Estados miembros y la Comisión alentarán la elaboración de códigos de
conducta destinados a contribuir, en función de las particularidades de cada
sector, a la correcta aplicación de las disposiciones nacionales adoptadas
por los Estados miembros en aplicación de la presente Directiva.
|
(ES) LO
15/1999, de 13 de diciembre (LOPD)
|
Artículo
32
|
Mediante
acuerdos sectoriales, convenios administrativos o decisiones de empresa, los
responsables de tratamientos de titularidad pública y privada, así como las
organizaciones en que se agrupen, podrán formular códigos tipo…
|
(ES) RD
1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD)
|
Título
VII, artículos 71 a 78 (Códigos tipo)
Título
IX, capítulo VI, artículos 145 a 152 (Procedimiento de inscripción de códigos
tipo)
|
· Códigos tipo de carácter sectorial referidos a
la totalidad o a parte de los tratamientos llevados a cabo por entidades
pertenecientes a un mismo sector. Art. 72.2
· Códigos tipo de empresa, referidos a la
totalidad de sus tratamientos de datos personales. Art. 72.3
· Códigos tipo para las Administraciones públicas
y las corporaciones de Derecho Público. Art. 72.4
|
Ley
34/2002, de 11 de julio (LSSI-CE)
|
Capítulo
III, artículo 18
|
Códigos
de conducta voluntarios, por parte de las corporaciones, asociaciones u
organizaciones comerciales, profesionales y de consumidores, en las materias
reguladas en esta ley.
|
(EU) Borrador
del RGPD/UE
|
Sección
5, artículo 38 (Códigos de conducta).
Considerando
(76).
|
Las
asociaciones y otros organismos que representen a categorías de responsables
o encargados del tratamiento en un Estado miembro que tengan la intención de
elaborar códigos de conducta o de modificar o ampliar códigos de
conducta existentes podrán someterlos al dictamen de la autoridad de control
en dicho Estado miembro.
|
Para ampliar información
respecto a los códigos de conducta aplicados a la protección de datos puede
consultarse en este mismo blog el artículo “Códigos tipo en protección de datos” referenciado en el
apartado de “Bibliografía consultada”. [9]
7. Anexo – Códigos de conducta en los estándares internacionales
7.1 COSO-II ERM
Elementos clave en
Coso II
|
||
#
|
Detalle del nivel
|
Observaciones
|
1
|
Ambiente Interno: Aquí se contempla
la metodología de gestión de riesgos,
el apetito de riesgo, el Consejo de Administración u órganos de
gobierno, integridad y valores éticos,
compromiso con la competencia, estructura de la organización, asignación de
responsabilidades y autoridad, normas de recursos humanos…
|
Se
trata de perfilar el contexto interno de la organización, como se contempla
en el apartado 4 de las Normas ISO sujetas al “anexo SL” y se detalla en el
apartado 5.3.3 “Establecimiento del contexto interno” de la Norma ISO
31000:2009 “Gestión del riesgo – principios y directrices”.
No
obstante, el contexto externo también es importante.
|
2
|
Establecimiento de objetivos: Objetivos
estratégicos, objetivos relacionados, objetivos seleccionados, apetito de
riesgo, tolerancia al riesgo…
|
En
cualquier Sistema de Gestión o modelo de cumplimiento deberían establecerse objetivos
anuales que persigan la mejora continua del mismo y su adecuación a la
organización pese al transcurso del tiempo. Estos objetivos deben estar
alineados con la estrategia empresarial.
|
3
|
Identificación de eventos: Eventos, factores
que influyen, técnicas de identificación de eventos, interdependencias de
eventos, categorías de eventos, distinción entre riesgos y oportunidades…
|
Entendemos
por eventos tanto los positivos, cómo los negativos. (Riesgos y
oportunidades).
|
4
|
Evaluación de riesgos: Riesgo inherente y
residual, establecimiento de probabilidad e impacto, fuentes de datos,
técnicas de evaluación, relaciones entre eventos…
|
Se
refiere al proceso de “apreciación del riesgo” (identificación,
análisis y evaluación) a que se refiere la Norma ISO 31000:2009.
|
5
|
Respuesta al riesgo: Evaluación de las
posibles respuestas, respuestas seleccionadas y visión del portfolio de
tratamientos…
|
Se
refiere al “tratamiento del riesgo” a que se refiere la Norma ISO
31000:2009.
|
6
|
Actividades de control: Integración con la
respuesta a los riesgos, tipos de actividades de control, políticas y
procedimientos, controles sobre sistemas de información, entidades
específicas…
|
Una
vez decidido cómo se va a tratar el riesgo, deben implementarse los controles
adecuados para llevar los riesgos residuales a niveles aceptables o, en su
caso, tolerables según el apetito de riesgo establecido por la organización.
Una
acción de tratamiento es adecuar el
código de conducta de modo que establezca regulación interna adecuada
para minimizar aquellos nuevos riesgos detectados.
|
7
|
Información y comunicación: Información,
comunicación…
|
La
comunicación es imprescindible en cualquier modelo o sistema de cumplimiento,
en dos vertientes:
·
La primera dando a conocer el código de conducta
a empleados, administradores, colaboradores, clientes, proveedores y demás
partes interesadas. Éstos deben conocer la regulación del código con
exactitud.
·
La segunda estableciendo canales de dilación o
whistleblowers para que el órgano de supervisión del programa pueda conocer
su grado de efectividad y actuar en consecuencia.
|
8
|
Monitoreo: Monitoreo
permanente de las actividades, evaluaciones independientes, informes de
deficiencias…
|
Consiste
en verificar las actividades de la PJ dentro del alcance del programa de
cumplimiento. Se basará en diferentes instrumentos: Verificaciones de
control, Whistleblowers, auditorías internas independientes…
|
7.2 ISO 19600:2014, Sistema de Gestión del Cumplimiento
Cláusulas de la Norma
ISO 19600:2014
|
||
#
|
Cláusula
|
Observaciones
|
4
|
Contexto de la
organización: Comprendiendo
la organización y su contexto, comprendiendo las necesidades de las partes
interesadas, determinando el alcance del CMS, principios de buen gobierno,
obligaciones de cumplimiento, “identificación, análisis y evaluación” de
riesgos de cumplimiento.
|
4.5.1
Identificación de las obligaciones de cumplimiento: “(…) principios o códigos de conducta voluntarios”,
formando parte de las diferentes fuentes de requerimientos legales o de
adscripción voluntaria.
|
5
|
Liderazgo: Liderazgo y
compromiso, política de cumplimiento, “roles, responsabilidad y autoridad” de
la organización.
|
Se
establece la política general de cumplimiento en la organización y los roles
necesarios para el CMS.
|
6
|
Planificación: Acciones para hacer
frente a los riesgos de cumplimiento, objetivos de cumplimiento y
planificación para alcanzarlos.
|
Aquí
se planifican los aspectos que se concretarán en la cláusula 8. Operación.
|
7
|
Soporte: Recursos,
competencia y capacitación, concienciación, comunicación, información
documentada
|
Dar
a conocer los códigos de conducta y concienciar respecto a ellos es
una labor esencial.
|
8
|
Operación: Planificación y
control operacional, establecimiento de controles y procedimientos, procesos
externalizados.
|
8.2
Establecimiento de controles y procesos: Aquí cabría adecuar el código de conducta como un control más, para dar
respuesta a nuevos riesgos detectados.
|
9
|
Evaluación del
desempeño: “Monitorización,
medición, análisis y evaluación”, auditoría, revisión por la dirección.
|
Se
contemplan, entre otros, los canales de dilación o whistleblowing.
|
10
|
Mejora: “No conformidades,
incumplimiento y acciones correctivas”, mejora continua.
|
Gestionar
los incumplimientos y su escalado.
|
8. Bibliografía consultada
-
[2] BOE. “Ley Orgánica 1/2015,
de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de
noviembre, del Código Penal”. 31 de marzo de 2015.
-
[3] José Luis Colom.
“Modelos de cumplimiento legal y apreciación del riesgo”. Blog del Consejo
General de la Abogacía Española. Diciembre de 2014.
Cumplimiento
legal y apreciación del riesgo
-
[4] Ricardo Robles Planas. “Pena
y persona jurídica”. Diario La Ley, ISSN 1989-6913, Nº 7705, 2011. Página 6.
-
[5] Alicia Real Pérez.
“CÓDIGOS DE CONDUCTA Y ACTIVIDAD ECONÓMICA: UNA PERSPECTIVA JURÍDICA”. “I y II
Congresos Internacionales «Códigos de Conducta y Mercado». Facultad de Derecho. Universidad Complutense de Madrid. Editorial
Marcial Pons. Madrid 2010. Páginas 11 a 16.
- [6] Iván Navas Mondaca. “Los códigos de
conducta y el Derecho penal económico”. Capítulo 4 del libro dirigido por Jesús-María Silva Sánchez titulado “Criminalidad
de empresa y Compliance”. Ed.
Atelier. Barcelona 2013. Página 114.
- [7]
Colin J. Bennett. “What
Government Should Know about Privacy: A Foundation Paper”. Department of Political Science University of Victoria. Paper
prepared for the Information Technology Executive Leadership Council’s Privacy
Conference. June 2001.
-
[8] Jorge Viguri Cordero. Capítulo “Los mecanismos de certificación
(códigos de conducta, sellos y marcas)”.
Del libro “Hacia un nuevo derecho europeo de protección de datos” editado
por Artemi Rallo Lombarte y Rosario García Mahamut. Editorial
Tirant lo Blanch. Valencia, 2015. Páginas 901 a 957.
-
[9] José Luis Colom. “Códigos
tipo en protección de datos”. Blog “Aspectos Profesionales”. Octubre de 2012
revisado en Agosto de 2015.
Códigos tipo en protección de datos
- [10] Adán Nieto Martín. “Manual
de cumplimiento penal en la empresa”. Lección 1: “El cumplimiento normativo”.
Instituto de Derecho penal europeo e internacional. Editorial Tirant lo Blanch.
Valencia 2015. Páginas 25 a 48.
- [11] Ignacio F. Benítez Ortúzar. “Globalización,
Delincuencia organizada, Expansionismo penal y Derecho penal económico en el
siglo XXI - Libro Homenaje al Prof. Dr. Juan María Terradillos Basoco”. Capítulo: “Responsabilidad penal de
las personas jurídicas en España. Breve análisis del alcance del artículo 31
bis del Código Penal, tras las reformas operadas por las leyes orgánicas
5/2010, de 22 de junio, y 1/2015, de 30 de marzo”. Ignacio F. Benítez Ortúzar.
Editorial UNIJURIS, 2015. Páginas 259 a 291.
- [12] Miguel Retana. “Gestión de la
identidad y el patrimonio digital por el usuario: el testamento digital”.
Septiembre 2015. LegaLtoday.com
Testamento
digital
- [13]
Federal Trade Commission. “internet of things – Privacy & Security in a Connected World”. January
2015.
FTC Staff Report
9. Derechos de autor
Tablas creadas por el autor.
La presente obra y su título
están protegidos por el derecho de autor. Las denominadas obras derivadas, es
decir, aquellas que son el resultado de la transformación de ésta para generar
otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre
el autor: (Twitter: @JLColomPlanas)
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.