Autorregulación aplicada al “Compliance Legal” (RPPJ, Privacidad…)

José Luis Colom Planas

Actualizado
14 de septiembre de 2015

• Ética empresarial
• Responsabilidad Social Corporativa (RSC)
• Buen gobierno
• Cumplimiento

• En algunos modelos, fomenta valores compartidos entre los actores privados.
• Cultiva su sentido de participación en la elaboración de normas que reflejen esos valores, viendo a éstas con sentido de pertenencia.
• Facilita el cumplimiento voluntario de las normas de libre adscripción resultantes.

• En una democracia parlamentaria bicameral, el proceso de elaboración y aprobación de leyes es estructuralmente lento, lo cual debería redundar en la calidad del resultado final.
• La cada vez mayor complejidad tecnológica, hace que el legislador tenga, salvo que se haya formado específicamente, dificultades en adaptar la legislación a la realidad tecnológica en un breve período de tiempo. En cierto modo ya es razonable, para evitar legislar basándose en el caso particular.

• Quizá de conformidad con una interpretación basada en la analogía con las disposiciones del Código Civil.
• O bien con la autorregulación, que ya vienen aplicando algunas plataformas cuando se encargan de la gestión de estos bienes digitales según criterios que haya elegido el causante en vida o, en su ausencia, mediante un proceder general.

• La autorregulación voluntariaen la que no hay intervención pública alguna destinada, ni tan siquiera, a fomentar o estimular la autorregulación.
• La autorregulación impuesta o reguladaen la que el Estado establecerá el marco general de la autorregulación, es decir, construye “metanormas”, o normas jurídicas específicas, que regulan como deben establecerse las normas de las empresas y cuáles deben ser sus principios básicos.
• La autorregulación estimulada o coaccionadaen la que el Estado, a través de sanciones positivas o negativas, incentiva la autorregulación. [10]

• Autorregulación voluntaria: El código ético de una organización.
• Autorregulación regulada: El artículo 27 de la Directiva europea de protección de datos, 95/46/CE, establece en relación a todas aquellas entidades encargadas de elaborar, modificar o prorrogar códigos de conducta, que los Estados miembros velarán, entre otras cosas, por la conformidad de los códigos respecto a las disposiciones nacionales adoptadas en aplicación de esa Directiva.
• Autorregulación estimulada: El artículo 31 bis 2 de nuestro Código Penal incentiva la autorregulación mediante sanciones positivas (Exención de la RPPJ o, en su caso, atenuación de la pena).

• Códigos de organización. Se aplican a una organización que está delimitada por una estructura organizativa clara, como puede ser una PJ. El desencadenante, antes de legislarse la RPPJ, podría ser haber recibido un importante volumen de quejas de los consumidores, haber sido investigada por medios de comunicación o Autoridades de Control o afrontar con mejores condiciones un proceso de fusión.
• Códigos sectoriales. Son los más relevantes en la materia dado que permiten adaptarse a las circunstancias de un modo sencillo, ágil y eficaz. Se basan en la existencia de muchos aspectos comunes en las PJ pertenecientes a determinado sector de actividad y son especialmente interesantes en protección de datos.
• Códigos funcionales. Estos códigos están más enfocados a específicas áreas de práctica de las organizaciones y a los procedimientos concretos que siguenen el ejercicio de sus funciones. Un ejemplo es el márketing directo.
• Códigos profesionales. Son creados por un colectivo, asociación o Colegio Profesional, a cuyos miembros se aplicará el código. A menudo se refuerza con algunas medidas disciplinarias que pueden implicar pérdida de reputación profesional o, en su caso, expulsión del colectivo.
• Códigos tecnológicos. Define normas basándose en las “mejores prácticas” tecnológicas, intentando hacer frente a problemas específicos y novedosos que aparecen de la mano de las nuevas tecnologías. Por su objeto han de ser instrumentos enormemente dinámicos, usados especialmente en privacidad.

Requisitos del artículo 31 bis 5 CP sobre autorregulación (códigos de conducta)

# Tenor literal de la norma Observaciones

1 Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Esta tarea debe ser efectuada ex ante y consistirá en un completo proceso de apreciación de riesgos penales: identificación, análisis y evaluación. Éste se basará en un minucioso análisis de las actividades de todos los procesos de la PJ, especialmente en lo que respecta a la toma de decisiones.

2 Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos. Aquí estría incardinado el código de conducta y demás políticas y normativas internas de la PJ, y los procedimientos que las desarrollan y concretan. Debe basarse en el tratamiento de los riesgos que han sido apreciados en el punto anterior, según el umbral de riesgo aceptable o, en su caso, tolerable, que han determinado, asesorados, los órganos de gobierno de la PJ.

3 Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Es un caso particular del punto anterior para prevenir, por ejemplo, la corrupción.

4 Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Aquí estaría el Chief Compliance Officer (CCO) al frente del a un “órgano de la persona jurídica con poderes autónomos de iniciativa y de control”, ayudado de un canal de dilación o whistleblower.

5 Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. La falta de sanciones puede derivar al modelo de cumplimiento penal a una percepción de no creíble y minar su eficacia (ver apartado 3.4 de este artículo).

6 Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios. Implícitamente deriva al modelo de Compliance hacia un completo Sistema de Gestión del Cumplimiento (CMS), al hacer que persiga la mejora continua mediante la definición de objetivos, la revisión de los procesos de apreciación y tratamiento de riesgos penales y las auditorías periódicas de verificación.

Responsabilidad penal de la persona jurídica según su autorregulación (programa de Compliance o CMS)

Nota: Para atenuación de la pena deben cumplirse todos los condicionantes. Adoptado antes de la comisión del delito en su seno. Adoptado después de la comisión del delito pero antes del juicio oral.

AUTORREGULACIÓNEFICAZ (TOTAL) EXENCIÓN de la responsabilidad (31 bis 2 CP) ATENUACIÓN de la pena (31 quater 1 CP)

AUTORREGULACIÓN REGULAR (PARCIAL)
ATENUACIÓN de la pena (31 bis 2 CP condición 4ª) EXIGIBLE

AUTORREGULACIÓN DEFICIENTE (INEXISTENTE)
EXIGIBLE EXIGIBLE

Regulación europea de protección de datos respecto a la autorregulación (Códigos de conducta o códigos tipo)

Legislación Artículos Comentarios

(EU) Directiva 95/46/CE Artículo 27 Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.

(ES) LO 15/1999, de 13 de diciembre (LOPD) Artículo 32 Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo…

(ES) RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD) Título VII, artículos 71 a 78 (Códigos tipo) Título IX, capítulo VI, artículos 145 a 152 (Procedimiento de inscripción de códigos tipo)
·  Códigos tipo de carácter sectorial referidos a la totalidad o a parte de los tratamientos llevados a cabo por entidades pertenecientes a un mismo sector. Art. 72.2 ·  Códigos tipo de empresa, referidos a la totalidad de sus tratamientos de datos personales. Art. 72.3 ·  Códigos tipo para las Administraciones públicas y las corporaciones de Derecho Público. Art. 72.4

Ley 34/2002, de 11 de julio (LSSI-CE) Capítulo III, artículo 18 Códigos de conducta voluntarios, por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores, en las materias reguladas en esta ley.

(EU) Borrador del RGPD/UE Sección 5, artículo 38 (Códigos de conducta). Considerando (76). Las asociaciones y otros organismos que representen a categorías de responsables o encargados del tratamiento en un Estado miembro que tengan la intención de elaborar códigos de conducta o de modificar o ampliar códigos de conducta existentes podrán someterlos al dictamen de la autoridad de control en dicho Estado miembro.

El último modelo de Gestión de Riesgos Empresariales (ERM) y control interno propuesto por el Committee of Sponsoring Organizations of the Treadway Commission (COSO), conocido como COSO-II ERM, se estructura en ocho niveles:

Elementos clave en Coso II

# Detalle del nivel Observaciones

1 Ambiente Interno: Aquí se contempla la metodología de gestión de riesgos,el apetito de riesgo, el Consejo de Administración u órganos de gobierno,integridad y valores éticos, compromiso con la competencia, estructura de la organización, asignación de responsabilidades y autoridad, normas de recursos humanos… Se trata de perfilar el contexto interno de la organización, como se contempla en el apartado 4 de las Normas ISO sujetas al “anexo SL” y se detalla en el apartado 5.3.3 “Establecimiento del contexto interno” de la Norma ISO 31000:2009 “Gestión del riesgo – principios y directrices”. No obstante, el contexto externo también es importante.

2 Establecimiento de objetivos: Objetivos estratégicos, objetivos relacionados, objetivos seleccionados, apetito de riesgo, tolerancia al riesgo… En cualquier Sistema de Gestión o modelo de cumplimiento deberían establecerse objetivos anuales que persigan la mejora continua del mismo y su adecuación a la organización pese al transcurso del tiempo. Estos objetivos deben estar alineados con la estrategia empresarial.

3 Identificación de eventos: Eventos, factores que influyen, técnicas de identificación de eventos, interdependencias de eventos, categorías de eventos, distinción entre riesgos y oportunidades… Entendemos por eventos tanto los positivos, cómo los negativos. (Riesgos y oportunidades).

4 Evaluación de riesgos: Riesgo inherente y residual, establecimiento de probabilidad e impacto, fuentes de datos, técnicas de evaluación, relaciones entre eventos… Se refiere al proceso de “apreciación del riesgo” (identificación, análisis y evaluación) a que se refiere la Norma ISO 31000:2009.

5 Respuesta al riesgo: Evaluación de las posibles respuestas, respuestas seleccionadas y visión del portfolio de tratamientos… Se refiere al “tratamiento del riesgo” a que se refiere la Norma ISO 31000:2009.

6 Actividades de control: Integración con la respuesta a los riesgos, tipos de actividades de control, políticas y procedimientos, controles sobre sistemas de información, entidades específicas… Una vez decidido cómo se va a tratar el riesgo, deben implementarse los controles adecuados para llevar los riesgos residuales a niveles aceptables o, en su caso, tolerables según el apetito de riesgo establecido por la organización. Una acción de tratamiento es adecuar el código de conducta de modo que establezca regulación interna adecuada para minimizar aquellos nuevos riesgos detectados.

7 Información y comunicación: Información, comunicación… La comunicación es imprescindible en cualquier modelo o sistema de cumplimiento, en dos vertientes: ·   La primera dando a conocer el código de conducta a empleados, administradores, colaboradores, clientes, proveedores y demás partes interesadas. Éstos deben conocer la regulación del código con exactitud. ·   La segunda estableciendo canales de dilación o whistleblowers para que el órgano de supervisión del programa pueda conocer su grado de efectividad y actuar en consecuencia.

8 Monitoreo: Monitoreo permanente de las actividades, evaluaciones independientes, informes de deficiencias… Consiste en verificar las actividades de la PJ dentro del alcance del programa de cumplimiento. Se basará en diferentes instrumentos: Verificaciones de control, Whistleblowers, auditorías internas independientes…

7.2 ISO 19600:2014, Sistema de Gestión del Cumplimiento

La Norma ISO 19600:2014, Sistema de Gestión del Cumplimiento (CMS por sus siglas en inglés), es un sistema de gestión que se adapta al estándar basado en el “Anexo SL” que siguen todas las normas ISO, y sus revisiones, desde el año 2012.

Cláusulas de la Norma ISO 19600:2014

# Cláusula Observaciones

4 Contexto de la organización: Comprendiendo la organización y su contexto, comprendiendo las necesidades de las partes interesadas, determinando el alcance del CMS, principios de buen gobierno, obligaciones de cumplimiento, “identificación, análisis y evaluación” de riesgos de cumplimiento. 4.5.1 Identificación de las obligaciones de cumplimiento: “(…) principios o códigos de conducta voluntarios”, formando parte de las diferentes fuentes de requerimientos legales o de adscripción voluntaria.

5 Liderazgo: Liderazgo y compromiso, política de cumplimiento, “roles, responsabilidad y autoridad” de la organización. Se establece la política general de cumplimiento en la organización y los roles necesarios para el CMS.

6 Planificación: Acciones para hacer frente a los riesgos de cumplimiento, objetivos de cumplimiento y planificación para alcanzarlos. Aquí se planifican los aspectos que se concretarán en la cláusula 8. Operación.

7 Soporte: Recursos, competencia y capacitación, concienciación, comunicación, información documentada Dar a conocer los códigos de conducta y concienciar respecto a ellos es una labor esencial.

8 Operación: Planificación y control operacional, establecimiento de controles y procedimientos, procesos externalizados. 8.2 Establecimiento de controles y procesos: Aquí cabría adecuar el código de conducta como un control más, para dar respuesta a nuevos riesgos detectados.

9 Evaluación del desempeño: “Monitorización, medición, análisis y evaluación”, auditoría, revisión por la dirección. Se contemplan, entre otros, los canales de dilación o whistleblowing.

10 Mejora: “No conformidades, incumplimiento y acciones correctivas”, mejora continua. Gestionar los incumplimientos y su escalado.

8. Bibliografía consultada

- [1]Saule T. Omarova. “Rethinking the Future of Self-Regulation in the Financial Industry”. Symposium: new paradigms for financial regulation in the USA and EU. Brooklyn Journal of International Law. Vol. 35. Number 3. 2010. Page 665-706. Rediseñando el futuro de la autorregulación
- [2] BOE. “Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 31 de marzo de 2015. Ley Orgánica 1/2015
- [3] José Luis Colom. “Modelos de cumplimiento legal y apreciación del riesgo”. Blog del Consejo General de la Abogacía Española. Diciembre de 2014. Cumplimiento legal y apreciación del riesgo
- [4] Ricardo Robles Planas. “Pena y persona jurídica”. Diario La Ley, ISSN 1989-6913, Nº 7705, 2011. Página 6.
- [5] Alicia Real Pérez. “CÓDIGOS DE CONDUCTA Y ACTIVIDAD ECONÓMICA: UNA PERSPECTIVA JURÍDICA”. “I y II Congresos Internacionales «Códigos de Conducta y Mercado». Facultad de Derecho. Universidad Complutense de Madrid. Editorial Marcial Pons. Madrid 2010. Páginas 11 a 16.
- [6]Iván Navas Mondaca. “Los códigos de conducta y el Derecho penal económico”. Capítulo 4 del libro dirigido por Jesús-María Silva Sánchez titulado “Criminalidad de empresa y Compliance”. Ed. Atelier. Barcelona 2013. Página 114.
- [7] Colin J. Bennett. “What Government Should Know about Privacy: A Foundation Paper”. Department of Political Science University of Victoria. Paper prepared for the Information Technology Executive Leadership Council’s Privacy Conference. June2001.
- [8] Jorge Viguri Cordero. Capítulo “Los mecanismos de certificación (códigos de conducta, sellos y marcas)”. Del libro “Hacia un nuevo derecho europeo de protección de datos” editado por Artemi Rallo Lombarte y Rosario García Mahamut. Editorial Tirant lo Blanch. Valencia, 2015. Páginas 901 a 957.
- [9] José Luis Colom. “Códigos tipo en protección de datos”. Blog “Aspectos Profesionales”. Octubre de 2012 revisado en Agosto de 2015. Códigos tipo en protección de datos
- [10] Adán Nieto Martín. “Manual de cumplimiento penal en la empresa”. Lección 1: “El cumplimiento normativo”. Instituto de Derecho penal europeo e internacional. Editorial Tirant lo Blanch. Valencia 2015. Páginas 25 a 48.
- [11] Ignacio F. Benítez Ortúzar. “Globalización, Delincuencia organizada, Expansionismo penal y Derecho penal económico en el siglo XXI - Libro Homenaje al Prof. Dr. Juan María Terradillos Basoco”. Capítulo: “Responsabilidad penal de las personas jurídicas en España. Breve análisis del alcance del artículo 31 bis del Código Penal, tras las reformas operadas por las leyes orgánicas 5/2010, de 22 de junio, y 1/2015, de 30 de marzo”. Ignacio F. Benítez Ortúzar. Editorial UNIJURIS, 2015. Páginas 259 a 291.
- [12] Miguel Retana. “Gestión de la identidad y el patrimonio digital por el usuario: el testamento digital”. Septiembre 2015. LegaLtoday.com Testamento digital
- [13] Federal Trade Commission. “internet of things – Privacy & Security in a Connected World”. January 2015. FTC Staff Report

9. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
Tablas creadas por el autor.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre el autor:  (Twitter: @JLColomPlanas)

José Luis Colom Planas ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO y también en la optimización de sus procesos.
Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito del derecho de las nuevas tecnologías: Ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación).
Ha superado el programa superior de especialización como Compliance Officer (Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.
Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en cumplimiento normativo y regulatorio, privacidady gestión de la seguridad de la información.A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC) y CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo),   habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos

Twittear