Resumen: El
Delegado de Protección de Datos (DPD) y el Corporate Compliance Officer (CCO)
gozan de similitudes y diferencias. En este artículo, que escribí para European
Compliance & News, analizo el paralelismo entre ambas
figuras.
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
28 de Agosto de 2018
|
|
Índice
1. Introducción al Compliance
1.1 Aparición del término Compliance Officer
1.2 Aparición del término Delegado de Protección de Datos
2. Funciones asignadas
2.1 Funciones asignadas al CCO
2.2 Funciones asignadas al DPD
2.3 Las tres líneas de defensa
3. Estatuto profesional
3.1 Estatuto profesional del Compliance Officer
3.2 Estatuto profesional del Delegado de Protección de Datos
4. Designación del CCO y del DPD
5. El deber de garante
5.1 El deber de garante originario en las organizaciones
5.2 Transferencia del deber de garante al CCO y/o al DPD
6. Coexistencia de ambos roles (CCO y DPD)
7. Responsabilidad y protección jurídica del CCO y el DPD
7.1 En relación al deber de garante del CCO
7.2 El CCO como testigo o como investigado en la instrucción penal
7.3 Responsabilidad del DPD
8. Bibliografía
consultada
9.
Control de cambios del artículo
10. Derechos de autor
1. Introducción al Compliance
1.1 Aparición del término Compliance Officer
Si desde un punto de vista
simplista nos limitamos a traducir el término anglosajón Compliance por cumplimiento,
vemos que conceptualmente no es ninguna novedad ya que desde tiempos pretéritos
la sociedad en su conjunto se organiza alrededor de normas y obligaciones de
todo tipo que deben cumplirse, siendo las más relevantes las jurídicas.
No obstante, en los últimos
años, el término Compliance se ha puesto en valor en entornos corporativos,
quizá coincidiendo en España con la Ley Orgánica 5/2010, de 22 de junio, por la
que se modificaba el Código Penal de 1995, introduciendo en nuestro país la
responsabilidad penal de la persona jurídica. Posteriormente, con la última
reforma en 2015 mediante la Ley Orgánica 1/2015, de 30 de marzo, se continuaba
reconociendo en el Código Penal dicha responsabilidad, a la vez que se
determinaba con mayor detalle cómo podía una organización verse exonerada de la
misma. A partir del redactado del artículo 31 bis 2 CP, apareció indirectamente
la función de Compliance Officer, a la que nos referiremos a menudo en este
artículo como Corporate Compliance Officer (CCO).
Un hecho reseñable es que,
entre ambas reformas, apareció la norma ISO 19600:2014, sobre Sistemas de
Gestión de Compliance, que define: “Compliance es el resultado de que una organización cumpla con sus obligaciones”.
Esta definición de amplio recorrido no circunscribe las obligaciones únicamente
al ámbito penal, ni siquiera jurídico, sino que incardina dentro de Compliance
las normas internas, las normas de adscripción voluntaria – como pueden ser las
normas ISO - e incluso los requisitos contractuales, laborales o aquellos que
puedan estar obligando a la organización. Naturalmente en los sistemas de
gestión de Compliance basados en la norma ISO 19600:2014, partiendo de un
completo análisis del contexto en el que opera la organización, debe
determinarse el alcance del propio sistema, en base a seleccionar de qué marcos
normativos u obligaciones se gestionará el cumplimiento. Este alcance
delimitará sin duda las competencias específicas del CCO.
1.2 Aparición del término Delegado de
Protección de Datos
El año 2016 fue aprobado el Reglamento (UE) 2016/679, de 27
de abril, Reglamento del Parlamento
Europeo y del Consejo relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la Directiva 95/46/CE, conocido como
Reglamento General de Protección de Datos (RGPD) que ha finalizado el 25 de
mayo de 2018 su período de vacatio legis,
siendo actualmente de aplicación en todos los Estados de la Unión y ampara,
después del Corrigendum de fecha 19 de abril de 2018, al tratamiento de datos
personales de interesados “que se
encuentren en la Unión”, como acepción más amplia que la anterior de “residentes en la Unión”. En el RGPD se introduce
una nueva figura de cumplimiento normativo respecto a la protección de datos:
El Data Protection Officer (DPO) referido en España como Delegado de Protección
de Datos (DPD).
Esta figura tiene mucho mayores
atribuciones y exige mayor competencia que el rol de Responsable de Seguridad
(DSO por sus siglas en inglés) que en España venía determinando por el derogado
RD 1720/2007, Reglamento de aplicación de la anterior LOPD. Pensemos que las
únicas competencias del DSO eran, según el artículo 5.2.l) RLOPD, coordinar y
controlar las medidas de seguridad aplicables según se detallaban en el
Documento de Seguridad. El DPD, en cambio, tiene una visión holística e
integral de la protección de datos en la organización, para lo que se requieren
conocimientos especializados del Derecho y práctica en protección de datos, que
lo elevan a otro nivel profesional.
2. Funciones asignadas
2.1 Funciones asignadas al CCO
Si nos ceñimos al ámbito penal,
la condición segunda del apartado 2 del art. 31 bis CP dispone: “2.ª la supervisión del funcionamiento y del
cumplimiento del modelo de prevención implantado ha sido confiada a un órgano
de la persona jurídica con poderes autónomos de iniciativa y de control o que
tenga encomendada legalmente la función de supervisar la eficacia de los
controles internos de la persona jurídica”. Luego únicamente se explicitan
como funciones del CCO la supervisión del funcionamiento del modelo de
prevención (en la práctica del Sistema de Gestión del Cumplimiento) y la de su
cumplimiento por parte de quienes están sometidos a él, junto a la supervisión
de la eficacia de los controles internos de la organización.
Está claro que, si ampliamos el
alcance del Compliance más allá de la RPPJ, las funciones pueden aumentar.
La norma UNE 19601:2017 sobre
Sistemas de gestión de Compliance penal, trata las responsabilidades del CCO, y
de la función de Compliance, en el apartado 5.1.2 Órgano de Compliance penal.
Por su parte, la norma ISO 19600:2014 sobre Sistemas de gestión de Compliance,
trata en el apartado 5.3.4 las responsabilidades de la función de Compliance en
general.
2.2 Funciones asignadas al DPD
Según dispone el art. 39 RGPD,
el DPD tendrá como mínimo las siguientes funciones que paso a resumir: a)
informar y asesorar a la organización y a los empleados que se ocupen del
tratamiento de datos personales; b) supervisar el cumplimiento de lo dispuesto
en el RGPD y en otras disposiciones de protección de datos que sean de
aplicación y de las políticas de la organización en materia de protección de datos
personales, incluida la asignación de responsabilidades, la concienciación y
formación del personal que participa en las operaciones de tratamiento; c)
ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto
relativa a la protección de datos (EIPD) y supervisar su aplicación de
conformidad con el artículo 35; d) cooperar con la autoridad de control; e)
actuar como punto de contacto de la autoridad de control para cuestiones
relativas al tratamiento, incluida la consulta previa a que se refiere el
artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
También ser interlocutor válido
para los interesados que quieran ejercer sus derechos frente a la organización
donde presta sus servicios, pudiendo resumir que mantiene contactos a tres
bandas: con la Autoridad de Control, con el Responsable del Tratamiento dónde
ejerce y con los interesados o afectados por los tratamientos.
2.3 Las tres líneas de defensa
La función de Compliance, ya estemos hablando del
CCO, o más especializada en protección de datos como es el caso del DPD, debe
tener suficiente grado de autonomía e independencia en sus funciones para no
verse condicionada por intereses departamentales en conflicto con la cultura de
cumplimiento corporativa. Ahora bien, al ser sus funciones principales las de
vigilancia y control, por un lado, y de asesoramiento sobre cumplimiento, por
otro, el contacto con las diferentes áreas funcionales o departamentos de la
empresa ha de ser máximo. Esto viene reforzado por cuánto conocemos respecto a
la elaboración del mapa de riesgos penales, que se extiende por todos los
procesos de negocio de la empresa y todas las áreas funcionales, sin excepción,
y por la teoría ampliamente aceptada de las tres líneas de defensa.
Esta teoría diferencia una primera línea consistente en la ejercida por los responsables de las diferentes áreas, puesto que la mayoría de circunstancias siempre suelen ocurrir en las áreas operativas; el poder supervisar y controlar en origen es condición necesaria para disponer de la suficiente agilidad para minimizar los incumplimientos y garantizar la eficacia de los controles. Una segunda línea la conforma la función de Compliance que vigila y asesora a las áreas operativas. También elabora los análisis de riesgos en su área de competencia en colaboración con dichas áreas que son las que conocen mejor que nadie los riesgos con los que conviven a diario. La tercera línea la constituye auditoría interna con sus evaluaciones, pero a menudo limitada en el tiempo a una única intervención anual para no agotar a los auditados.
NOTA del editor: No es un tema pacífico el que corresponda al DPD la realización de
auditorías sobre protección de datos. Parte de la doctrina piensa que sí,
aunque otros pensamos que preferiblemente no. La razón es que, caso de realizar
auditorías el DPD, estaríamos mezclando la segunda y tercera líneas de defensa
y quizá no es lo más apropiado, salvo en organizaciones pequeñas con pocos
recursos. Otra cosa es que el DPD reciba una copia del informe y actúe en
consecuencia orientando al Responsable o Encargado sobre la subsanación de las
desviaciones detectadas.
3. Estatuto profesional
3.1 Estatuto profesional del Compliance
Officer
Actualmente no se dispone de un
estatuto profesional del CCO, en lo que se refiere al ámbito de la RPPJ. De
hecho, el Código Penal ni tan siquiera nombra a dicha figura, limitándose a
señalar como hemos visto en la condición 2ª del art. 31 bis 2 CP que “la supervisión del funcionamiento y del
cumplimiento del modelo de prevención implantado ha sido confiada a un órgano
de la persona jurídica con poderes autónomos de iniciativa y de control o que
tenga encomendada legalmente la función de supervisar la eficacia de los
controles internos de la persona jurídica”.
Ha habido muchas voces que claman
su promulgación y también esfuerzos encaminados a perfilar su posición por
parte de determinadas organizaciones profesionales, que han elaborado
documentos titulados “Estatuto del Compliance Officer” y “Libro blanco sobre la
función de Compliance” que, aun siendo muy buenas aportaciones, carecen de
valor jurídico. Esto nos lleva a que cada vez se considera más necesario
disponer de un estatuto profesional para el CCO, o para la función de
Compliance en general, que clarifique sus funciones, derechos y responsabilidades.
Mientras llega, la mejor solución consiste en detallar como una adenda al
contrato las funciones específicas del CCO en relación a su desempeño, dejando
bien clara cualquier pretendida delegación de funciones desde la posición
originaria de garante del administrador, aspecto que analizamos más adelante.
3.2 Estatuto profesional del Delegado de
Protección de Datos
En cuanto al DPO, en lo formal
tampoco se dispone de estatuto profesional, aunque si algo en lo material,
deduciéndose de los artículos 37, 38 y 39 que constituyen la sección 4 sobre el
Delegado de Protección de Datos del propio Reglamento (UE) 2016/679.
Como ejemplo citaré que tanto
el responsable como el encargado del tratamiento respaldarán al DPD en el
ejercicio de sus funciones (Art. 38.2 RGPD), garantizarán que no reciba ninguna
instrucción en lo que respecta al desempeño de sus funciones, ni podrá ser
destituido o sancionado por desempeñarlas (Art. 38.3 RGPD), también, pese a
hacerlo de forma muy generalista, se explicitan sus requisitos de designación
(Art. 37.5 RGPD) y la necesaria publicidad que debe darse al nombramiento (Art.
37.7 RGPD).
Por todo ello podemos afirmar a
día de hoy que el desempeño profesional del DPD está más determinado y mejor
protegido que el del CCO, no solo por tener las funciones más claramente
delimitadas, sino por dedicarse al DPD tres artículos completos en el RGPD
frente a ninguno respecto al CCO en el Código Penal, en lo que se refiere a su
faceta de velar por la prevención de la RPPJ, como se ha visto en el apartado
anterior.
4. Designación del CCO y del DPD
Podemos definir la justicia
rogada como la petición dirigida a un órgano judicial para que éste dé a cada
una de las partes, especialmente a la propia, lo que le corresponda o
pertenezca. Desde este punto de vista, la exoneración de responsabilidad penal
de la PJ deberá rogarse en justicia si se estima conveniente, no siendo
obligatorios ni los modelos de prevención de delitos ni, en consecuencia,
disponer de un CCO. En cambio, si extendemos el alcance del sistema de gestión
de Compliance más allá de la RPPJ, debe estudiarse con detenimiento la
necesidad, incluso la obligatoriedad, de determinadas funciones, como pueden
ser la del Responsable de Prevención en PRL, el Representante ante el SEPBLAC
en sujetos obligados por la LPBC/FT, el Delegado de Protección de Datos en la
Administración pública y en determinadas circunstancias, etc. Dichas funciones
cubren determinados aspectos de cumplimiento en las organizaciones, pudiendo
actuar de forma independiente, aunque coordinada, o colegiados en un órgano
general de cumplimiento.
En el caso del CCO, incluso, el
apartado 3 del artículo 31 bis CP señala que “En las personas jurídicas de pequeñas dimensiones, las funciones de
supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser
asumidas directamente por el órgano de administración”, estableciendo así
un umbral de elusión en la independencia de la figura.
El caso del DPD es distinto al
del CCO, ya que es su propia designación la que viene regulada por Ley.
Concretamente, el art. 37.1 RGPD
establece tres supuestos de obligatoriedad, que vienen desarrollados de forma
práctica en el art. 34 del proyecto de nueva Ley Orgánica de Protección de
Datos, determinando la necesidad de su designación en función del tipo de
entidades de que se trate, detallando un numerus clausus o catálogo de 15 de
ellas que van desde los colegios profesionales hasta la seguridad privada.
5. El deber de garante
5.1 El deber de garante originario en las
organizaciones
No escapa a la lógica de la razón admitir que, en el
ámbito y en representación de la persona jurídica (PJ), el Administrador tiene
los deberes propios de garante sobre la conducta de sus empleados.
Este poder lo ejerce de dos formas consecutivas:
·
Primero,
desde la perspectiva in eligendo,
estableciendo los controles adecuados en el proceso de selección de los
trabajadores.
·
Después,
in vigilando, supervisando su
desempeño profesional, en la medida de sus posibilidades razonables,
especialmente con los puestos más especializados.
Se puede decir que este poder de supervisión y
control está orientado como:
·
Garante
de protección, desde una perspectiva ad intra, evitando resultados lesivos
para la propia empresa y sus empleados.
·
Garante
de control, desde una perspectiva Ad
extra, evitando resultados lesivos sobre terceros, externos a la
organización, a partir de la actividad de los empleados.
En consecuencia, puede afirmarse que el
Administrador de la PJ se encuentra en una posición de garante originaria, que
le obliga a impedir la comisión de delitos por parte de subordinados con
repercusión en bienes jurídicos de terceros.
Por ello, Los Administradores deben establecer los
mecanismos de organización adecuados para evitar los riesgos de comisión de
ilícitos en su seno o, en todo caso, mitigarlos hasta niveles tolerables por
las circunstancias de la PJ. Ello, no obstante, no exonera al Administrador de
su posición final de garante.
Dicho de otra manera, la comisión por omisión se
dará en relación a los riesgos típicamente unidos a la actividad empresarial
que tienden a descontrolarse, de no ponerse remedio, con el paso del tiempo y
su inevitable evolución.
La propia norma UNE 19601:2017, en su apartado 5.3.2 sobre delegación de
facultades, señala: “En los casos en que
la alta dirección delegue la toma de decisiones en ámbitos en los que exista
riesgo penal mayor que bajo, la organización debe establecer y aplicar un
procedimiento y un sistema de controles que garanticen que el proceso de
decisión y el nivel de autoridad de los decisores sean adecuados y estén libres
de conflictos de interés reales o potenciales. NOTA: La delegación de la toma
de decisiones no exonera a la alta dirección de sus propios deberes y
responsabilidades en cuanto a la prevención de los riegos penales. Tampoco
transfiere a las personas delegadas las posibles responsabilidades legales en
materia de supervisión o adopción de decisiones que les corresponda”.
Citando el Real Decreto Legislativo 1/2010, de 2 de
julio, por el que se aprueba el texto refundido de la Ley de Sociedades de
Capital, en su art. 236.1 señala: “Los
administradores responderán frente a la sociedad, frente a los socios y frente
a los acreedores sociales, del daño que causen por actos u omisiones contrarios
a la ley o a los estatutos o por los realizados incumpliendo los deberes
inherentes al desempeño del cargo, siempre y cuando haya intervenido dolo o
culpa”, quedando como indelegable la responsabilidad que se deriva de su
deber de garante originario. En consecuencia, sin perjuicio de las funciones
propias del CCO, siempre corresponderá al Órgano de Administración establecer
la política de control y gestión de riesgos de cualquier tipo de la
organización y su supervisión, que en las sociedades cotizadas tiene la condición
de facultad indelegable, conforme lo establece el art. 529 ter 1 b) de la
referida Ley de Sociedades de Capital “El
consejo de administración de las sociedades cotizadas no podrá delegar las
facultades de decisión a que se refiere el artículo 249 bis ni específicamente
las siguientes: (…) b) La determinación de la política de control y gestión de
riesgos, incluidos los fiscales, y la supervisión de los sistemas internos de
información y control”.
5.2 Transferencia del deber de garante al
CCO y/o al DPD
¿Qué ocurre si la empresa delega varias de esas
responsabilidades de garante originarias en una figura específica como puede
ser el Delegado de Protección de Datos (DPD) o el Corporate Compliance Officer (CCO), cada una en su área de competencias?
La respuesta es que constituye un mecanismo de transferencia de la posición de garante porque, basándonos en esa delegación, el Administrador como delegante hace surgir una posición de garantía en el CCO o DPD, en calidad de delegado. Cabe decir que la posición de garante del Administrador no desaparece del todo, pudiendo pasar a ser residual, ya que la delegación correctamente efectuada modifica la posición jurídica del delegante liberándole de los deberes inherentes del ámbito competencial de que se trate, pues de lo contrario, carecería por completo de sentido que se llevara a cabo. Al administrador ya no le incumbe cómo se articulará el control de la fuente de riesgo, que le corresponde al CCO o al DPD, pero sí le compete la correcta selección, formación e información del responsable de cumplimiento, la dotación a esta figura de los medios necesarios para el cumplimiento de sus funciones y, especialmente, el deber de vigilancia sobre éste en el sentido de verificar su gestión.
Si llega a producirse un incidente motivado por una
dejación de funciones del CCO o del DPD, la organización mantiene su
responsabilidad última entendida en un caso como posible responsabilidad penal
de la persona jurídica donde opera un CCO y, en otro, asumiendo su
responsabilidad como Responsable,
Corresponsable o Encargado del Tratamiento en relación a la protección de
datos personales, donde opera un DPD.
Una prueba de que el administrador mantiene su
responsabilidad última, pese a que CCO y DPD dispongan de autonomía, sería el
hecho de estar facultado a destituirlos. Esto es así en el caso del CCO
respecto a Compliance penal, dado que el art. 31 bis CP y concordantes no
señala nada al respecto. En cambio, en el caso del DPD el art. 38.3 RGPD señala
que “No será destituido ni sancionado por
el responsable o el encargado por desempeñar sus funciones”.
6. Coexistencia de ambos roles (CCO y DPD)
En entornos de Compliance la
coexistencia de ambos roles vendrá marcada por la ausencia de conflictos de
interés.
En el caso del DPD viene
explicitado en el art. 38.8 RGPD que dispone: “El delegado de protección de datos podrá desempeñar otras funciones y
cometidos. El responsable o encargado del tratamiento garantizará que dichas
funciones y cometidos no den lugar a conflicto de intereses”.
En cambio, el Código Penal
español nada dice al respecto del CCO, debiendo acudir a la Circular 1/2016 de
la FGE, que señala: “Para conseguir los
máximos niveles de autonomía, los modelos deben prever los mecanismos para la
adecuada gestión de cualquier conflicto de interés que pudiera ocasionar el
desarrollo de las funciones del oficial de cumplimiento, garantizando que haya
una separación operacional entre el órgano de administración y los integrantes
del órgano de control que preferentemente no deben ser administradores, o no en
su totalidad”.
En consecuencia, caso de
ausencia de conflictos de interés nada impide concentrar, especialmente en pequeñas
organizaciones, ambos roles en la misma persona física. No obstante, debe
garantizarse que concurran en el candidato las competencias necesarias para
poder desempeñar ambos roles. Dicha concurrencia será poco habitual al
requerirse profundos conocimientos jurídicos, técnicos y organizativos en
protección de datos, seguridad de la información y gestión de riesgos para las
funciones de DPD y de Derecho Penal, de gestión de riesgos y de muchas otras
especialidades según el alcance adoptado de Compliance, para las funciones de
CCO.
7. Responsabilidad y protección jurídica
del CCO y el DPD
7.1 En relación al deber de garante del CCO
La responsabilidad de cualquier
desempeño en una organización radica en su “posición de garantía”. Son el
Administrador, o quienes tengan delegadas competencias de dirección general o
alta dirección operativa, quienes serán poseedores de dicha posición. Bajo esa
concepción será siempre el poder ejecutivo en la organización quien tiene el
dominio de la fuente de riesgo, mientras que el CCO no posee en el mismo nivel
dicha posición de garantía, concluyendo su responsabilidad - prima facie - con el deber de advertir,
vigilar e informar de los riesgos propios de la actividad a la alta dirección
operativa.
Dicho en otras palabras, el
órgano de administración y, como máximo, la alta dirección operativa, conservan
o en su caso adquieren, respectivamente, el deber de garante general originario
respecto a la evitación de la comisión de delitos. En cambio, el CCO no se
convierte en “garante” ya que el Código Penal únicamente le encomienda la
función de “supervisar la eficacia de los
controles internos de la persona jurídica” y “funciones de supervisión, vigilancia y control”, como se desprende
del art. 31 bis 2 CP, pero no la posibilidad de contener y evitar la comisión
del posible hecho delictivo, es decir, no posee el “dominio del hecho” propio
del autor de un ilícito tipificado penalmente, incluso equiparando su desempeño
a una posición directiva, como sucederá en múltiples ocasiones para legitimar y
garantizar su comunicación directa con los órganos de gobierno
corporativo. Adicionalmente, si tuviera
conocimiento cierto de que va a cometerse, se está cometiendo, o se ha cometido
un delito en el seno de la organización, su única responsabilidad es
notificarlo al órgano de administración para que éste obre en consecuencia a su
capacidad sancionadora, capacidad de la que adolece el CCO.
No obstante, el CCO podría ser
responsable de un delito de omisión si incumple un deber especifico de
actuación cuya observancia hubiera impedido o dificultado la comisión de un
delito por parte de un tercero en el seno de la empresa.
Para poder atribuir
responsabilidad a quién omite una acción se requiere dolo - intencionalidad o
conocimiento cierto de que con su inactividad se contribuye al delito,
equiparable a cómplice necesario o coautor- o dejación de funciones -comisión
por omisión- concretándose este último supuesto en el Derecho Español mediante
la necesidad de (1) Posición de garante: La existencia de una posición de
garante en previsión de un hecho perjudicial; (2) Conexión: La existencia de
alguna conexión entre omisión y responsabilidad; (3) Resultado: La producción
de un resultado dañino íntimamente ligado al hecho; (4) Previsibilidad: Que no
se haya producido el hecho por la concurrencia de otros factores externos,
imprevisibles o inevitables, ajenos a los que configuran la específica posición
de garante, ya que éste factor imprevisible eximirá de cualquier
responsabilidad al omitente que está situado como garante, al tener su origen
el resultado lesivo en factores insalvables; (5) Posibilidad de actuar: la
necesidad de que el omitente obligado estuviera en condiciones de realizar la
conducta prevista. En caso de imposibilidad de actuar no surge responsabilidad
por la inacción, eliminando la responsabilidad inherente a la situación de
garante.
Ya el Tribunal Supremo ha señalado en la sentencia nº 797/2010, de 10 de septiembre, con MARCHENA GÓMEZ como presidente de la Sala Segunda del Alto Tribunal, referida a la realización omisiva de un ilícito penal en los delitos de resultado, indica en el FD 17 que: “La jurisprudencia de esta Sala, si bien ha reconocido expresamente que la admisibilidad de una participación omisiva es de difícil declaración, ha aceptado ésta, asociando su concurrencia a la de los elementos propios del art. 11 del CP, entre ellos, que el omitente ocupe una posición de garante (STS 1273/2004, 2 de noviembre). De ahí que sea posible incluso en los delitos de acción, cuando la omisión del deber de actuar del garante haya contribuido, en una causalidad hipotética, a facilitar o favorecer la causación de un resultado propio de un delito de acción o comisión y que podría haberse evitado o dificultado si hubiera actuado como le exigía su posición de garante (cfr. SSTS 19/1998, 12 de enero, 67/1998, 19 de enero, 221/2003, 14 de febrero)”.
Para acabar este apartado,
analizaré la referencia que hace la Circular 1/2016 de la FGE respecto a la
posición del CCO en relación con su responsabilidad penal y la de la persona
jurídica: “Por un lado, el oficial de
cumplimiento puede con su actuación delictiva transferir la responsabilidad
penal a la persona jurídica a través de la letra a) puesto que, como se ha
dicho, está incluido entre las personas que ostentan facultades de organización
y control dentro de la misma. Por otro lado, puede ser una de las personas de
la letra a) que al omitir gravemente el control del subordinado permite la
transferencia de responsabilidad a la persona jurídica. En este supuesto, la
omisión puede llevarle a ser él mismo penalmente responsable del delito
cometido por el subordinado. Finalmente, si el oficial de cumplimiento omite
sus obligaciones de control, la persona jurídica en ningún caso quedará exenta
de responsabilidad penal (condición 4ª del art. 31 bis 2). De conformidad con
este planteamiento, la exposición personal al riesgo penal del oficial de
cumplimiento no es superior a la de otros directivos de la persona jurídica.
Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por
su posición y funciones, puede acceder más frecuentemente al conocimiento de la
comisión de hechos delictivos, especialmente dada su responsabilidad en
relación con la gestión del canal de denuncias y siempre que la denuncia se
refiera a hechos que se están cometiendo y que, por tanto, el oficial de
cumplimiento pueda impedir con su actuación”.
7.2 El CCO como testigo o como investigado
en la instrucción penal
El Juez del Juzgado Central de
Instrucción n.º 5 de la Audiencia Nacional ha citado como investigados a siete
CCO del Banco de Santander y BNP Paribas, en la pieza separada de entidades
financieras de la lista Falciani, por delitos de blanqueo de capitales.
Alfredo Domínguez, socio de
Derecho Penal y Coordinador de Corporate Compliance de Cuatrecasas, expuso en
unas recientes jornadas que, a su juicio, se está "muy cerca" de vulnerar el derecho de defensa de la persona
jurídica en la actual situación, "si
el representante de la organización se acoge a su derecho a no declarar y el
fiscal o la acusación llama al CCO como testigo y le obliga a testificar".
"La persona jurídica, al igual que
la física, tiene derecho a definir su estrategia y aportar las pruebas que
considere oportunas y necesite".
No entramos aquí, pero también
tuvo lugar hace poico en el ICAM una jornada sobre la responsabilidad civil del
CCO. Se refuerza pues la necesidad de disponer de un estatuto profesional de la
función de Compliance.
7.3 Responsabilidad del DPD
Buscando cierto paralelismo
entre ambas figuras, DPD y CCO, según afirma Mar España, directora de la AEPD,
“La posición del DPD será próxima a los
niveles jerárquicos más elevados dentro de una organización, de manera que
aquellos a quienes reporte tengan capacidad de decisión en calidad de
Responsables o Encargados del tratamiento. En ningún caso el DPD sustituirá al Responsable del Tratamiento en la
toma de decisiones sobre los fines y alcance de los tratamientos, ni deberá
asumir la carga de las posibles sanciones en las que pudieran incurrir los
Responsables como consecuencia de tratamientos de datos no acordes con el RGPD”.
8.
Bibliografía consultada
[2] SILVA
SÁNCHEZ, JESÚS-MARÍA. “Fundamentos del Derecho Penal de la empresa”.
EDISOFER S.L. 2013.
[3] SILVA
SÁNCHEZ, JESÚS-MARÍA. “El delito de omisión: Concepto y sistema”. Colección
Maestros del Derecho Penal nº 12. Editorial IBdeF. Segunda edición 2010.
[4] GOMEZ-ALLER,
DOPICO. “Presupuestos básicos de la responsabilidad penal del Compliance
Officer y otros garantes en la empresa”. Actualidad Jurídica Aranzadi Nº 843,
página 2. Año 2012.
[5] COLOM, JOSE
LUIS. “Compliance en la persona jurídica y las tres
líneas de defensa”. Blog “Aspectos Profesionales”.
26 de enero de 2017. Página Web.
[6] MONZÓIN
PÉREZ, HELENA. “La naturaleza de la relación laboral del
delegado de protección de datos”. UPF
- IUSLabor 2/2017. Página Web.
[7] ANLLO, LINA
y ALGUACIL, JIMENA. “¿Tiene el Compliance Officer responsabilidad
penal?”. Comisión Directiva del capítulo
argentino de la WCA. Página WEB.
[8] OSUNA,
FERNANDO. “A vueltas con la responsabilidad penal del
Chief Compliance Officer”. LEFEBVRE – El Derecho. 5 de
octubre de 2017. Página Web.
[9] ESPAÑA,
MAR. “El Delegado de Protección de Datos: esquema
de certificación, nombramiento, funciones y perfil requerido”. LEFEBVRE – El Derecho. 1 de agosto de 2017. Página
Web.
[10] Confederation
on Data Protection Organizations (CEDPO). “Posición de CEDPO sobre el Delegado de
Protección de Datos (DPO) en el Reglamento General de Protección de Datos
(RGPD)”. 15 de febrero de 2017. Página
Web.
[11] MARINETTO
IGLESIAS, JESÚS. “Responsabilidad de los Directivos”. PRACTICUM de
Compliance. THOMSON REUTERS. 2018.
9. Control de cambios del artículo
Siguiendo
voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las
normas ISO, se incorpora el control de cambios a los artículos de este Blog
permitiendo conocer la trazabilidad de los mismos una vez han sido publicados
por primera vez. Todo ello en concordancia con el último párrafo de la cláusula
general de exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
28/08/2018
|
Redacción
inicial del artículo
|
Autor
|
28/08/2018
|
Se añade, en relación al artículo original, una
observación en el apartado 2.3 Las tres líneas de defensa sobre la
conveniencia, o no, de que el DPD realice auditorías de protección de datos.
|
Editor/Autor
|
10. Derechos de autor
Imágenes
bajo licencia 123RF internacional. La licencia únicamente es válida para su
publicación en este blog.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, ya sean estos jurídicos o de adscripción voluntaria. Está especializado en aplicar normas ISO a entornos jurídicos como pueden ser el Derecho Penal-Económico y el Derecho de las nuevas tecnologías. También es especialista en marcos normativos relacionados con la seguridad de la información como pueden ser ENS e ISO 27001. A partir de su dilatada experiencia, edita el Blog jurídico “Aspectos Profesionales”.
A nivel de especialización jurídica,
ha realizado el postgrado de Especialista Universitario en Protección de Datos
y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo
de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum
Spain. También ha cursado el programa superior de Compliance Officer
(Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a
los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre
Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de
blanqueo de capitales, certificado por INBLAC y registrado en el Servicio
Ejecutivo de la Comisión de Blanqueo de Capitales e Infracciones Monetarias
(SEPBLAC).
A nivel de especialización técnica y de gestión, ha
cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando
adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de
Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de
la Información) por AENOR (Asociación Española de Certificación y
Normalización). Leader Auditor
& Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor
del esquema de certificación STAR para prestadores de servicios de Cloud
Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación
internacional CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone de las
certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service
Management by EXIN (Examination Institute for Information Science).
Desempeña
su labor profesional en la entidad de
certificación AUDERTIS, acreditada
por ENAC, como Director Técnico (Auditoría y Cumplimiento Normativo). También
colabora con la entidad certificadora British Standards Institution (BSI) como
auditor jefe de certificación e impartiendo formación para la obtención de la
acreditación como lead auditor, en diferentes marcos normativos, incluidas las
especificaciones del IRCA. Ha trabajado anteriormente cómo asesor en materia de
Compliance, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a
cumplimiento normativo, privacidad y auditorías respecto a la seguridad de
la información. Ha participado como lead auditor de diferentes sistemas
de gestión basados en Normas ISO y en la optimización de sus procesos. Ha
realizado diferentes niveles de auditorías de cumplimiento legal ya sea para
organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado
la posición de Director de Consultoría, asesorando respecto a Privacidad,
seguridad de la información y PBC/FT.
Convencido
del valor que aportan las organizaciones profesionales, es vocal de la Junta
Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en la prevención
del Blanqueo de Capitales y Financiación del Terrorismo), socio de ASCOM (Asociación Española de
Compliance), asociado sénior de la APEP (Asociación Profesional Española
de Privacidad), miembro de ISACA (Information Systems Audit and Control
Association), miembro de ISMS Forum Spain (Asociación Española para el
Fomento de la Seguridad de la Información), miembro de ENATIC
(Asociación de expertos nacionales de la abogacía TIC) y miembro de itSMF
(IT Service Management Forum), habiendo sido ponente o colaborado en casi todas las referidas
organizaciones.
Es docente en
varios Masters y cursos jurídicos organizados por el ICAB, así como del ENS, organizados por el CCN. Es examinador en la AEC
del Esquema de Certificación de DPD/DPO propiedad de la AEPD y acreditado por
ENAC. Ha obtenido premios compartidos de protección de datos otorgados por la AEPD y la AVPD.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.