Resumen: Aprovecho el quinto aniversario del blog jurídico “Aspectos profesionales” para reflexionar sobre la finalidad del Compliance y, continuando la tradición, analizar la cronología de los últimos 365 días basada en los acontecimientos relacionados con la temática del blog, siempre desde mi punto de vista.
ÍNDICE
1. Editorial: La verdadera finalidad del Compliance
2. Colaboraciones de terceros
3. Crónica de lo acaecido durante este quinto año
4. Epílogo
5. Aniversarios anteriores
1. Editorial: La verdadera finalidad del Compliance
En ese periodo hemos asistido a la irrupción con fuerza del término “Compliance” que, de ser algo snob (1) en sus orígenes, se ha convertido en algo presente en la vida de las organizaciones.
(1) Para quién no se lo haya planteado nunca, la palabra snob es la contracción de la expresión latina “sine nobilitate” que significa “sin nobleza”, con la cual se denominaba a una persona que imitaba con afectación las maneras, opiniones, etc. de aquellos a quienes consideraba distinguidos o de clase social alta para aparentar ser igual que ellos. En otras palabras y en nuestro campo, que adoptaba el Derecho anglosajón (o Common law), ya que nos llevaban años de ventaja en temas de Compliance.
No obstante, de todos es conocida aquella célebre frase atribuida a Confucio: “Elige un trabajo que te guste y no tendrás que trabajar ni un día de tu vida”. Por experiencia propia no puedo estar más de acuerdo con ella. El resultado final de una persona que disfruta con su trabajo frente a otra que, aunque cumplidora, su actividad no le diga nada, no puede nunca ser el mismo. Y su felicidad personal tampoco.
Muchos lectores os preguntaréis por que empezar con esta locución la tradicional editorial con motivo del aniversario de este blog. La razón debemos buscarla en la finalidad de los modelos de Compliance.
Efectivamente, diseñar e implantar un modelo de cumplimiento en las organizaciones requiere esfuerzo, no se hace solo, pero éste se verá a la larga recompensado. Esa sensación de esfuerzo se acrecienta sobremanera si únicamente construimos el Modelo para lograr una eximente, una exoneración de la Responsabilidad Penal de la Persona Jurídica (RPPJ), en el caso de referirnos a un modelo que incluya Compliance Penal.
Se trata de una visión sesgada y pobre que no llega nunca a poner en valor al propio modelo que estamos construyendo, ya que éste se ve únicamente como un salvoconducto, un mal necesario, hacia la pretendida inmunidad de la PJ.
Por una parte, dicha devaluación del modelo hace que nos olvidemos de su principal finalidad, que no es otra que evitar se cometan conductas delictivas, o ilícitos caso de extender el ámbito del Compliance más allá del estrictamente penal, en la organización. La exoneración, o en su caso el atenuante, serán la consecuencia de haber implantado y mantenido un modeloeficaz, o casi, respectivamente y no el fin en sí mismo.
Por otra parte, la implantación de un Modelo de Cumplimiento o, como se refiere a él el art. 31 bis CP “Modelo de Organización y Gestión”, permite mejorar la gestión en general de la organización y racionalizar los diferentes procesos de negocio que serán ampliamente analizados, especialmente cuando elaboremos el mapa de riesgos de incumplimiento.
En consecuencia, y parafraseando de nuevo a Confucio, podríamos tergiversar su pensamiento y decir “Cree en el valor inherente que aporta a la organización el propio Modelo de Compliance, y su implantación no te costará apenas esfuerzo”.
2. Colaboraciones de terceros
Inaugurando la sección del blog sobre PBC/FT, el artículo “El delito de blanqueo de capitales en el Código Penal” por José Manuel Estébanez Izquierdo.
En el ámbito de la vertiente jurídica en tecnologías innovadoras: “Blockchain, Smart Contracts y Criptomonedas” por Eduard Chaveli Donet.
Muchas gracias a ambos por poner sus conocimientos a disposición de los lectores del blog.
3. Crónica de lo acaecido durante este quinto año
Como vengo haciendo cada año, pido disculpas por si me olvido, siempre desde mi subjetividad y limitación humana, de algún acontecimiento relevante. Si algún amable lector detecta alguna omisión especialmente significativa puede hacerme llegar un correo electrónico y, ésta es una de las ventajas de los blogs, lo añadiré si efectivamente es de interés conforme a la temática antes expresada.
Para completar los actos legislativos y jurídicos remarcables, he decidido incorporar a la cronología una breve referencia a aquellos congresos y eventos que, siempre a mi juicio, han tenido mayor trascendencia para el Derecho digital y el Compliance. Para distinguirlos a simple vista, marcaré:
Fecha del evento Tipo de evento
Actos Legislativos Aprobación de leyes y proyectos de Ley.
Jurisprudencia y Doctrina Sentencias y circulares relevantes respecto a la temática del blog
Congresos y actos públicos Relacionados con Derecho TIC, Compliance y PBC/FT
Otros actos jurídicos Acuerdos, Dictámenes, Circulares
Ámbito / Área de práctica [Privacidad], [RPPJ], [ENS], [PBCyFT], [Seguridad]…
· 19 DE ABRIL DE 2016[Innovación] [Derecho Administrativo][ENI] [EU] Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones del Plan de Acción sobre Administración Electrónicade la UE 2016-2020 para acelerar la transformación digital de la Administración. En 2020 a más tardar, las Administraciones Públicas y las Instituciones Públicas de la Unión Europea deberían ser abiertas, eficientes e integradoras, y prestar servicios públicos digitales sin fronteras, personalizados, fáciles de utilizar y de extremo a extremo a todos los ciudadanos y empresas de la UE. Se aplicarán enfoques innovadores para diseñar y prestar mejores servicios de conformidad con las necesidades y las demandas de la ciudadanía y las empresas. Las administraciones públicas deben aprovechar las oportunidades que brinda el nuevo entorno digital para facilitar sus interacciones con las partes interesadas y entre sí.
· 27 DE ABRIL DE 2016 [Privacidad][EU]Es aprobado el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPDUE) y por el que se deroga la Directiva 95/46/CE. Esta norma entró en vigor el 25 de mayo de 2016, sin embargo, no será de aplicación en los Estados miembros hasta el 25 de mayo de 2018, tras un período de vacatio legis de dos años.
· 27 DE ABRIL DE 2016 [Privacidad][Derecho Penal] [EU] Es aprobada la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
· 27 DE ABRIL DE 2016 [Privacidad][Derecho Penal][EU] Es aprobada la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.Regula la transferencia por las compañías aéreas de los datos del registro de los nombres de los pasajeros (PNR) de vuelos exteriores de la Unión Europea -aunque también puede aplicarse voluntariamente a vuelos interiores-, el tratamiento de estos datos incluyendo su recogida, tratamiento y conservación -por los Estados miembros- y su intercambio. No altera la Directiva 2004/82/CE del Consejo que regula la comunicación previa por los transportistas aéreos a las autoridades nacionales competentes de información anticipada sobre los pasajeros con objeto de mejorar los controles fronterizos y combatir la inmigración ilegal.
· 31 DE MAYO DE 2016 [Derecho Civil] [Innovación][EU] La Comisión de Asuntos Jurídicos del Parlamento Europeo elabora un Proyecto de Informe 2015/2103 (INL) con recomendaciones destinadas a la Comisión respecto a normas de Derecho Civil sobre robótica, del que se hizo eco este blog en el artículo titulado Recomendaciones respecto a normas de Derecho civil sobre robótica cuando todavía no se disponía del texto traducido al Español.
· 13 DE JUNIO DE 2016 [RPPJ][Derecho Penal][ES] STS 2616/2016,de la Sala de lo Penal,con nº de Resolución 516/2016, siendo desestimado el Recurso de Casación. Es contundente el Fundamento del Derecho tercero frente a la solicitud de la recurrente, que señala: “TERCERO.- En el tercer motivo denuncia la vulneración del art. 2.2 del Código penal por la no aplicación del precepto penal más favorable que considera tiene ese carácter la novedosa de previsión legal de la responsabilidad en las personas jurídicas. La desestimación es procedente. La premisa de una responsabilidad de la persona jurídica no tiene la consideración de la que el recurrente parte para afirmar el error de derecho. La previsión de una responsabilidad penal de la persona jurídica no es excluyente respecto de la persona física, antes al contrario para el código es acumulativa, pudiendo darse ambas responsabilidades conjuntamente. Solo si se considerara que la responsabilidad en la persona jurídica excluye la de la física pudiera considerarse el argumento expuesto pero no es esta la previsión legislativa”.
· 22 y 23 DE JUNIO DE 2016 [RPPJ][Compliance][ES] Organizado por Thomson Reuters Aranzadi tuvieron lugar las Jornadas de Compliance en el hotelVincci Marítimo de Barcelona, a las que el editor de este blog tuvo el placer de poder asistir.
· 1 DE JULIO DE 2016 [RPPJ][Derecho Penal] [Privacidad] [EU] Se publica por el Supervisor Europeo de Protección de Datos el documento “Guidelines on processing personal information within a whistleblowing procedure - Directrices sobre el tratamiento de información personal dentro de un procedimiento de denuncia”. Estas Directrices proporcionan orientación práctica a las Instituciones y Órganos de la UE tanto antes como después de la aplicación de un procedimiento de denuncia para garantizar que cumplen las obligaciones en materia de protección de datos.
· 5 de JULIO DE 2016[PBC/FT][EU] Se publica la propuesta de la que se conoce por V Directiva de PBC/FT (5AMLD), Directiva del Parlamento Europeo y del Consejo por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención del uso del sistema financiero para el blanqueo de capitales o la financiación del terrorismo y por la que se modifica la Directiva 2009/101/CE. Se trata de la primera iniciativa europea para implantar el Plan de Acción de lucha contra la financiación del terrorismo de febrero de 2016, y en relación con las conocidas como Monedas Virtuales o Criptomonedas, podemos considerar que es también la primera iniciativa legislativa Europea de regulación de dicho sector, siguiendo las recomendaciones del BCE.
· 6 de JULIO DE 2016[Seguridad de la Información][Derecho Administrativo] [EU] Se aprueba la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público. Establece que los Estados miembros se asegurarán de que los organismos del sector público tomen las medidas necesarias para aumentar la accesibilidad de sus sitios web y aplicaciones para dispositivos móviles, haciéndolos perceptibles, operables, comprensibles y robustos, debiendo proporcionar y actualizar periódicamente una declaración de accesibilidad detallada, exhaustiva y clara sobre la conformidad de sus sitios web y aplicaciones para dispositivos móviles con la presente Directiva.
· 6 de JULIO DE 2016[Seguridad de la Información][EU] Se aprueba la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad para las redes y sistemas de información creando una red de equipos de respuesta a incidentes de seguridad informática («red de CSIRT», por sus siglas en inglés de «Computer Security Incident Response Teams») con el fin de promover una cooperación operativa rápida y eficaz;
· 7 DE JULIO DE 2016 [PBCyFT][RPPJ][ES] Organizado por la asociación INBLAC, Instituto de Expertos en Prevención del Blanqueo de Capitales y Financiación del Terrorismo, tuvo lugar en Barcelona el curso práctico anual de actualización, en el que el editor de este blog tuvo el honor de impartir el tema “Cómo integrar los controles de Prevención de Blanqueo de Capitales y de la Financiación del Terrorismo con los sistemas basados en la norma ISO 19600”.
· 2 DE OCTUBRE DE 2016[Derecho Administrativo][ENS] [ES] Tras más de veinte años de vigencia de la Ley 30/1992, de 26 de noviembre de 2016, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJAP), el día 2 de octubre de 2016 entraron en vigor las nuevas Ley 39/2015 y Ley 40/2015, del Procedimiento Administrativo Común (LPACP) y de Régimen Jurídico del Sector Público, respectivamente. Queda derogada laLey 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, que sentó las bases para el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).
· 6 DE OCTUBRE DE 2016 [RPPJ][Derecho Penal][ES] STS 4416/2016,de la Sala de lo Penal,con nº de Resolución 744/2016, sentencia en la que desgraciadamente y parafraseando al Fiscal de delitos económicos Juan Antonio Frago en su blog En ocasiones veo reos: “Otra sentencia del Tribunal Supremo que no puede entrar en cuestiones sustantivas o de Código penal por haberse cometido errores mayúsculos en la tramitación del procedimiento”. Se declara haber lugar al recurso de casación por infracción del derecho a la tutela judicial efectiva, interpuesto por el Ministerio Fiscal, declarándose la nulidad del Auto de Apertura del Juicio Oral dictado el 15 de octubre de 2014 por el Juzgado de Instrucción nº 5 de Navalcarnero , así como la nulidad de todas las actuaciones procesales subsiguientes, debiendo retornar el procedimiento a la situación en la que se encontraba en la fecha del auto anulado y debiendo continuar la tramitación del Procedimiento Abreviado 2037/11.
· 13 DE OCTUBRE DE 2016 [ENS][Seguridad de la Información][ES] Publicada en el BOE el 2 de noviembre de 2016, la Resolución de 13 de octubre, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad. Es relevante porque determina no solo el esquema de certificación de la Conformidad con las disposiciones del RD 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la administración electrónica, sino porque obliga también a los operadores del Sector Privado que prestan servicios o proveen soluciones al Sector Público.
· 13 DE OCTUBRE DE 2016 [RPPJ][Derecho Penal][ES] SAP M 13584/2016,Penal - procedimiento abreviado,con nº de Resolución 710/2016, en cuyo fallo se acuerda imponer una sanción de elevada cuantía económica a la PJ: “II. CONDENAMOS a UBER DESARROLLO URBANO, S.L., en concepto de autora de un delito CONTRA LA HACIENDA PÚBLICA, precedentemente definido, con la concurrencia de la circunstancia atenuante muy cualificada de reparación del daño, a las penas de MULTA DE 2.439.693,96 EUROS y pérdida de la posibilidad de obtener subvenciones o ayudas públicas y del derecho a gozar de los beneficios o incentivos fiscales o de la Seguridad Social durante el periodo de nueve meses y un día”.
· 3 DE NOVIEMBRE DE 2016 [RPPJ][Derecho Penal][ES] STS 4728/2016,de la Sala de lo Penal,con nº de Resolución 827/2016, respecto a un delito de la PJ de estafa procesal. La sentencia viene a clarificar la aplicación del artículo 31 CP y la relación procesal entre dos facetas que pueden converger en la figura del administrador de la PJ: Como persona física responsable del delito y en calidad de persona especialmente designada que representa a la PJ en el procedimiento. Concretamente señala el Fundamento Jurídico segundo: “Una persona que actúa en la condición de imputado (ahora investigado) como representante legal de la sociedad querellada no puede ser condenada con carácter individual. La condición aparecía clara y pudiendo actuar de un modo u otro, debió tener cuidado el representante legal de la persona jurídica de evitar confusiones. En la querella quedó delimitada la condición en la que actuaba y los posteriores trámites se produjeron en el mismo sentido. Se absuelve por no haber sido citado como persona física imputada. Por el contrario lo fue en su condición de administrador y así quedó claro en la querella y en la ampliación de la querella”. Puede verse un análisis exhaustivo en el artículo“El Derecho procesal penal, los artículos 31 CP - 31 bis CP y el Administrador de la PJ”,en este mismo blog
· 2 DE DICIEMBRE DE 2016[Derecho Administrativo] [RPPJ] [ES] Se inician los trámites en la Mesa del Congreso de los Diputados del Proyecto de Ley de Contratos del Sector Público,121/000002, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo, 2014/23/UE y 2014/24/UE, de 26 de febrero. Es relevante el artículo 71, respecto a la prohibición de contratar, ya que menciona explícitamente “La prohibición de contratar alcanzará, salvo lo dispuesto en el párrafo siguiente, a las personas jurídicas que sean declaradas penalmente responsables (…)”, lo que pone en valor los Modelos de Cumplimiento en las organizaciones, especialmente en aquellas que participan en pliegos del Sector Público.
· 13 y 14 DE DICIEMBRE DE 2016 [Seguridad de la Información][ENS][ES] Organizado por el Centro Criptológico Nacional (CCN) y participando como patrocinador SILVER, junto a otras organizaciones, AUDERTIS, la primera entidad de certificación 100% especializada en el Esquema Nacional de Seguridad (ENS), se desarrollaron las X Jornadas STIC CCN-CERT bajo el lema “Diez años fortaleciendo la seguridad Nacional”. En esta edición se batió el record de asistentes, denotando el creciente interés por la ciberseguridad, y seguridad de la información en general, en el ámbito del Sector Público y del Sector Privado que le presta servicios o le provee soluciones.
· 1 DE FEBRERO DE 2017 [Privacidad][Seguridad de la Información][ES] Organizado por el DPI del ISMS Forum Spain, tuvo lugar en le CaixaForum de Madrid el “IX Foro de la Privacidad del Data Privacy Institute”. Una intervención destacada fue la de Mar España, Directora de la AEPD y también se anunció la inminente presentación de la “Guía de buenas prácticas en protección de datos para entornos de BigData”, en la que el editor de este blog ha tenido el placer de participar en un equipo compuesto tanto por juristas como por profesionales del sector empresarial que utilizan o implantan dichos tratamientos masivos de datos.
· 7 DE FEBRERO DE 2017 [Derecho Penal][RPPJ][ES] Juan Antonio Frago, Fiscal de delitos económicos, presenta su libro CASOS PRÁCTICOS DE DERECHO PROCESAL PENAL en la sede del Consejo General de la Abogacía Española en el Paseo de Recoletos de Madrid. Fue un placer asistir y agradecerle especialmente la dedicatoria que le hizo a este blog en un ejemplar de su libro. Por cierto, redactado en el formato que se ha puesto de moda de preguntas y respuestas, es un excelente ejercicio para repasar y aprender conceptos vinculados con la realidad procesal.
· 7 y 8 DE FEBRERO DE 2017 [Derecho Penal][RPPJ][ES] Se celebran en el Hotel Hesperia de Madrid las Mesas Redondas Anticorrupción, organizadas por C5, donde tuve el placer de participar. Con un formato muy didáctico y abierto a intervenciones de todos los asistentes, me llevo un muy buen recuerdo.
· 15 DE FEBRERO DE 2017 [Privacidad][DPO][EU] Se publica un documento con la Posición de CEDPO sobre el Delegado de Protección de Datos (DPO) en el Reglamento General de Protección de Datos (RGPD). Con él, la Confederación de Organizaciones Europeas de Protección de Datos pretende clarificar una serie de conceptos relacionados con la figura del Data Protection Officer (DPO) fundamental respecto al nuevo RGPDUE.
· 23 DE FEBRERO DE 2017 [RPPJ][Derecho Penal][ES] STS 737/2017,de la Sala de lo Penal,con nº de Resolución 121/2017, en la que el Tribunal Supremo anula la posibilidad de que a una PJ se la pueda condenar por delito contra los derechos de los trabajadores, dado que el artículo 318 CP no forma parte del numerus clausus de delitos susceptibles de ocasionar RPPJ. Queda evidenciado en el Fundamento del Derecho segundo: “Dice así el art. 318 CP: ‘Cuando los hechos previstos en los artículos de este título (Título XV, de los delitos contra los derechos de los trabajadores) se atribuyeran a personas jurídicas, se impondrá la pena señalada a los administradores o encargados del servicio que hayan sido responsables de los mismos y a quienes, conociéndolos y pudiendo remediarlo, no hubieren adoptado medidas para ello. En estos supuestos la autoridad judicial podrá decretar, además alguna o algunas de las medidas previstas en el artículo 129 de este Código’. De hecho, ha sido frecuente la crítica doctrinal sobre la no inclusión de los delitos contra los derechos de los trabajadores en el listado de delitos en los que cabe opere el art. 31 bis. La sentencia sí que resuelve esta cuestión. Condena al recurrente y ello pese a que nadie acusó a la persona jurídica”.
· 7 DE MARZO DE 20177 [Innovación][Derecho Civil][ES] Se admite a trámite por la ‘Mesa del Parlament de Catalunya’ el Anteproyecto de Ley sobre las voluntades digitales y de modificación del libro segundo y cuarto del Código Civil de Cataluña. Como señala en su preámbulo [traducido del catalán] “Las personas utilizan cada vez con más frecuencia los entornos digitales para desarrollar las actividades de su vida personal y profesional. Estas actividades generan una diversidad de archivos que, una vez ha muerto la persona, también constituyen su legado”.
· 23 DE MARZO DE 2017 [Seguridad de la Información][Privacidad][ES] Organizado por la entidad certificadora BSI Group, tuvo lugar en Barcelona la jornada “Seguridad en entornos Cloud y Protección de Datos” dónde el editor de este blog impartió la ponencia titulada “Ciberseguridad y cumplimiento en entornos Cloud”. Me acompañaron en la mesa de ponentes la abogada Dra. Belén Duran, Manel González (Compliance Manager de Ricoh Spain), David Díaz de BSI y Gigi Robinson de BSI UK.
4. Agradecimientos y epílogo
Y, por supuesto, agradecer primero a los lectores, razón de ser de este blog, y después a los autores que han elegido este lugar para publicar sus trabajos de forma desinteresada. Entre todos hacemos bueno aquel proverbio que reza: “si quieres ir rápido, ve solo; si quieres llegar lejos, ve acompañado”.
Como vengo repitiendo año tras año, la grandeza de los blogs en Internet es, gracias a la tecnología, que posibilitan estar siempre en contacto, 24 horas al día desde cualquier dispositivo y de forma ubicua, sin que importe la distancia ni el lugar.
Gracias a todos por compartir una misma ilusión.
José Luis
(Editor del Blog)
5. Aniversarios anteriores
2015 (III Aniversario)
2014(II Aniversario)
2013(I Aniversario)