Resumen: El Delegado de Protección de Datos (DPD) y el Corporate Compliance Officer (CCO) gozan de similitudes y diferencias. En este artículo, que escribí para European Compliance & News, analizo el paralelismo entre ambas figuras.
Autor del artículo Colaboración
José
Luis Colom Planas
Actualizado
28 de Agosto de 2018
Índice
1. Introducción al Compliance 1.1 Aparición del término Compliance Officer 1.2 Aparición del término Delegado de Protección de Datos 2. Funciones asignadas 2.1 Funciones asignadas al CCO 2.2 Funciones asignadas al DPD 2.3 Las tres líneas de defensa 3. Estatuto profesional 3.1 Estatuto profesional del Compliance Officer 3.2 Estatuto profesional del Delegado de Protección de Datos 4. Designación del CCO y del DPD 5. El deber de garante 5.1 El deber de garante originario en las organizaciones 5.2 Transferencia del deber de garante al CCO y/o al DPD 6. Coexistencia de ambos roles (CCO y DPD) 7. Responsabilidad y protección jurídica del CCO y el DPD 7.1 En relación al deber de garante del CCO 7.2 El CCO como testigo o como investigado en la instrucción penal 7.3 Responsabilidad del DPD 8. Bibliografía consultada 9. Control de cambios del artículo 10. Derechos de autor 1. Introducción al Compliance 1.1 Aparición del término Compliance Officer Si desde un punto de vista simplista nos limitamos a traducir el término anglosajón Compliance por cumplimiento, vemos que conceptualmente no es ninguna novedad ya que desde tiempos pretéritos la sociedad en su conjunto se organiza alrededor de normas y obligaciones de todo tipo que deben cumplirse, siendo las más relevantes las jurídicas.
No obstante, en los últimos años, el término Compliance se ha puesto en valor en entornos corporativos, quizá coincidiendo en España con la Ley Orgánica 5/2010, de 22 de junio, por la que se modificaba el Código Penal de 1995, introduciendo en nuestro país la responsabilidad penal de la persona jurídica. Posteriormente, con la última reforma en 2015 mediante la Ley Orgánica 1/2015, de 30 de marzo, se continuaba reconociendo en el Código Penal dicha responsabilidad, a la vez que se determinaba con mayor detalle cómo podía una organización verse exonerada de la misma. A partir del redactado del artículo 31 bis 2 CP, apareció indirectamente la función de Compliance Officer, a la que nos referiremos a menudo en este artículo como Corporate Compliance Officer (CCO).
Un hecho reseñable es que, entre ambas reformas, apareció la norma ISO 19600:2014, sobre Sistemas de Gestión de Compliance, que define: “Compliance es el resultado de que una organización cumpla con sus obligaciones”. Esta definición de amplio recorrido no circunscribe las obligaciones únicamente al ámbito penal, ni siquiera jurídico, sino que incardina dentro de Compliance las normas internas, las normas de adscripción voluntaria – como pueden ser las normas ISO - e incluso los requisitos contractuales, laborales o aquellos que puedan estar obligando a la organización. Naturalmente en los sistemas de gestión de Compliance basados en la norma ISO 19600:2014, partiendo de un completo análisis del contexto en el que opera la organización, debe determinarse el alcance del propio sistema, en base a seleccionar de qué marcos normativos u obligaciones se gestionará el cumplimiento. Este alcance delimitará sin duda las competencias específicas del CCO.
1.2 Aparición del término Delegado de Protección de Datos
El año 2016 fue aprobado el Reglamento (UE) 2016/679, de 27 de abril, Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, conocido como Reglamento General de Protección de Datos (RGPD) que ha finalizado el 25 de mayo de 2018 su período de vacatio legis, siendo actualmente de aplicación en todos los Estados de la Unión y ampara, después del Corrigendum de fecha 19 de abril de 2018, al tratamiento de datos personales de interesados “que se encuentren en la Unión”, como acepción más amplia que la anterior de “residentes en la Unión”. En el RGPD se introduce una nueva figura de cumplimiento normativo respecto a la protección de datos: El Data Protection Officer (DPO) referido en España como Delegado de Protección de Datos (DPD).
Esta figura tiene mucho mayores atribuciones y exige mayor competencia que el rol de Responsable de Seguridad (DSO por sus siglas en inglés) que en España venía determinando por el derogado RD 1720/2007, Reglamento de aplicación de la anterior LOPD. Pensemos que las únicas competencias del DSO eran, según el artículo 5.2.l) RLOPD, coordinar y controlar las medidas de seguridad aplicables según se detallaban en el Documento de Seguridad. El DPD, en cambio, tiene una visión holística e integral de la protección de datos en la organización, para lo que se requieren conocimientos especializados del Derecho y práctica en protección de datos, que lo elevan a otro nivel profesional.
2. Funciones asignadas
2.1 Funciones asignadas al CCO
Si nos ceñimos al ámbito penal, la condición segunda del apartado 2 del art. 31 bis CP dispone: “2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica”. Luego únicamente se explicitan como funciones del CCO la supervisión del funcionamiento del modelo de prevención (en la práctica del Sistema de Gestión del Cumplimiento) y la de su cumplimiento por parte de quienes están sometidos a él, junto a la supervisión de la eficacia de los controles internos de la organización.
Está claro que, si ampliamos el alcance del Compliance más allá de la RPPJ, las funciones pueden aumentar.
La norma UNE 19601:2017 sobre Sistemas de gestión de Compliance penal, trata las responsabilidades del CCO, y de la función de Compliance, en el apartado 5.1.2 Órgano de Compliance penal. Por su parte, la norma ISO 19600:2014 sobre Sistemas de gestión de Compliance, trata en el apartado 5.3.4 las responsabilidades de la función de Compliance en general.
2.2 Funciones asignadas al DPD
Según dispone el art. 39 RGPD, el DPD tendrá como mínimo las siguientes funciones que paso a resumir: a) informar y asesorar a la organización y a los empleados que se ocupen del tratamiento de datos personales; b) supervisar el cumplimiento de lo dispuesto en el RGPD y en otras disposiciones de protección de datos que sean de aplicación y de las políticas de la organización en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos (EIPD) y supervisar su aplicación de conformidad con el artículo 35; d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
También ser interlocutor válido para los interesados que quieran ejercer sus derechos frente a la organización donde presta sus servicios, pudiendo resumir que mantiene contactos a tres bandas: con la Autoridad de Control, con el Responsable del Tratamiento dónde ejerce y con los interesados o afectados por los tratamientos.
2.3 Las tres líneas de defensa
La función de Compliance, ya estemos hablando del CCO, o más especializada en protección de datos como es el caso del DPD, debe tener suficiente grado de autonomía e independencia en sus funciones para no verse condicionada por intereses departamentales en conflicto con la cultura de cumplimiento corporativa. Ahora bien, al ser sus funciones principales las de vigilancia y control, por un lado, y de asesoramiento sobre cumplimiento, por otro, el contacto con las diferentes áreas funcionales o departamentos de la empresa ha de ser máximo. Esto viene reforzado por cuánto conocemos respecto a la elaboración del mapa de riesgos penales, que se extiende por todos los procesos de negocio de la empresa y todas las áreas funcionales, sin excepción, y por la teoría ampliamente aceptada de las tres líneas de defensa.
Esta teoría diferencia una primera línea consistente en la ejercida por los responsables de las diferentes áreas, puesto que la mayoría de circunstancias siempre suelen ocurrir en las áreas operativas; el poder supervisar y controlar en origen es condición necesaria para disponer de la suficiente agilidad para minimizar los incumplimientos y garantizar la eficacia de los controles. Una segunda línea la conforma la función de Compliance que vigila y asesora a las áreas operativas. También elabora los análisis de riesgos en su área de competencia en colaboración con dichas áreas que son las que conocen mejor que nadie los riesgos con los que conviven a diario. La tercera línea la constituye auditoría interna con sus evaluaciones, pero a menudo limitada en el tiempo a una única intervención anual para no agotar a los auditados.
NOTA del editor: No es un tema pacífico el que corresponda al DPD la realización de auditorías sobre protección de datos. Parte de la doctrina piensa que sí, aunque otros pensamos que preferiblemente no. La razón es que, caso de realizar auditorías el DPD, estaríamos mezclando la segunda y tercera líneas de defensa y quizá no es lo más apropiado, salvo en organizaciones pequeñas con pocos recursos. Otra cosa es que el DPD reciba una copia del informe y actúe en consecuencia orientando al Responsable o Encargado sobre la subsanación de las desviaciones detectadas.
3. Estatuto profesional
3.1 Estatuto profesional del Compliance Officer
Actualmente no se dispone de un estatuto profesional del CCO, en lo que se refiere al ámbito de la RPPJ. De hecho, el Código Penal ni tan siquiera nombra a dicha figura, limitándose a señalar como hemos visto en la condición 2ª del art. 31 bis 2 CP que “la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica”.
Ha habido muchas voces que claman su promulgación y también esfuerzos encaminados a perfilar su posición por parte de determinadas organizaciones profesionales, que han elaborado documentos titulados “Estatuto del Compliance Officer” y “Libro blanco sobre la función de Compliance” que, aun siendo muy buenas aportaciones, carecen de valor jurídico. Esto nos lleva a que cada vez se considera más necesario disponer de un estatuto profesional para el CCO, o para la función de Compliance en general, que clarifique sus funciones, derechos y responsabilidades. Mientras llega, la mejor solución consiste en detallar como una adenda al contrato las funciones específicas del CCO en relación a su desempeño, dejando bien clara cualquier pretendida delegación de funciones desde la posición originaria de garante del administrador, aspecto que analizamos más adelante.
3.2 Estatuto profesional del Delegado de Protección de Datos
En cuanto al DPO, en lo formal tampoco se dispone de estatuto profesional, aunque si algo en lo material, deduciéndose de los artículos 37, 38 y 39 que constituyen la sección 4 sobre el Delegado de Protección de Datos del propio Reglamento (UE) 2016/679. Como ejemplo citaré que tanto el responsable como el encargado del tratamiento respaldarán al DPD en el ejercicio de sus funciones (Art. 38.2 RGPD), garantizarán que no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones, ni podrá ser destituido o sancionado por desempeñarlas (Art. 38.3 RGPD), también, pese a hacerlo de forma muy generalista, se explicitan sus requisitos de designación (Art. 37.5 RGPD) y la necesaria publicidad que debe darse al nombramiento (Art. 37.7 RGPD).
Por todo ello podemos afirmar a día de hoy que el desempeño profesional del DPD está más determinado y mejor protegido que el del CCO, no solo por tener las funciones más claramente delimitadas, sino por dedicarse al DPD tres artículos completos en el RGPD frente a ninguno respecto al CCO en el Código Penal, en lo que se refiere a su faceta de velar por la prevención de la RPPJ, como se ha visto en el apartado anterior.
4. Designación del CCO y del DPD
Podemos definir la justicia rogada como la petición dirigida a un órgano judicial para que éste dé a cada una de las partes, especialmente a la propia, lo que le corresponda o pertenezca. Desde este punto de vista, la exoneración de responsabilidad penal de la PJ deberá rogarse en justicia si se estima conveniente, no siendo obligatorios ni los modelos de prevención de delitos ni, en consecuencia, disponer de un CCO. En cambio, si extendemos el alcance del sistema de gestión de Compliance más allá de la RPPJ, debe estudiarse con detenimiento la necesidad, incluso la obligatoriedad, de determinadas funciones, como pueden ser la del Responsable de Prevención en PRL, el Representante ante el SEPBLAC en sujetos obligados por la LPBC/FT, el Delegado de Protección de Datos en la Administración pública y en determinadas circunstancias, etc. Dichas funciones cubren determinados aspectos de cumplimiento en las organizaciones, pudiendo actuar de forma independiente, aunque coordinada, o colegiados en un órgano general de cumplimiento.
En el caso del CCO, incluso, el apartado 3 del artículo 31 bis CP señala que “En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser asumidas directamente por el órgano de administración”, estableciendo así un umbral de elusión en la independencia de la figura.
El caso del DPD es distinto al del CCO, ya que es su propia designación la que viene regulada por Ley. Concretamente, el art.37.1 RGPD establece tres supuestos de obligatoriedad, que vienen desarrollados de forma práctica en el art. 34 del proyecto de nueva Ley Orgánica de Protección de Datos, determinando la necesidad de su designación en función del tipo de entidades de que se trate, detallando un numerus clausus o catálogo de 15 de ellas que van desde los colegios profesionales hasta la seguridad privada.
5. El deber de garante
5.1 El deber de garante originario en las organizaciones
No escapa a la lógica de la razón admitir que, en el ámbito y en representación de la persona jurídica (PJ), el Administrador tiene los deberes propios de garante sobre la conducta de sus empleados.
Este poder lo ejerce de dos formas consecutivas:
· Primero, desde la perspectiva in eligendo, estableciendo los controles adecuados en el proceso de selección de los trabajadores.
· Después, in vigilando, supervisando su desempeño profesional, en la medida de sus posibilidades razonables, especialmente con los puestos más especializados.
Se puede decir que este poder de supervisión y control está orientado como:
· Garante de protección, desde una perspectiva ad intra, evitando resultados lesivos para la propia empresa y sus empleados.
· Garante de control, desde una perspectiva Ad extra, evitando resultados lesivos sobre terceros, externos a la organización, a partir de la actividad de los empleados.
En consecuencia, puede afirmarse que el Administrador de la PJ se encuentra en una posición de garante originaria, que le obliga a impedir la comisión de delitos por parte de subordinados con repercusión en bienes jurídicos de terceros.
Por ello, Los Administradores deben establecer los mecanismos de organización adecuados para evitar los riesgos de comisión de ilícitos en su seno o, en todo caso, mitigarlos hasta niveles tolerables por las circunstancias de la PJ. Ello, no obstante, no exonera al Administrador de su posición final de garante.
Dicho de otra manera, la comisión por omisión se dará en relación a los riesgos típicamente unidos a la actividad empresarial que tienden a descontrolarse, de no ponerse remedio, con el paso del tiempo y su inevitable evolución.
La propia norma UNE 19601:2017, en su apartado 5.3.2 sobre delegación de facultades, señala: “En los casos en que la alta dirección delegue la toma de decisiones en ámbitos en los que exista riesgo penal mayor que bajo, la organización debe establecer y aplicar un procedimiento y un sistema de controles que garanticen que el proceso de decisión y el nivel de autoridad de los decisores sean adecuados y estén libres de conflictos de interés reales o potenciales. NOTA: La delegación de la toma de decisiones no exonera a la alta dirección de sus propios deberes y responsabilidades en cuanto a la prevención de los riegos penales. Tampoco transfiere a las personas delegadas las posibles responsabilidades legales en materia de supervisión o adopción de decisiones que les corresponda”.
Citando el Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, en su art. 236.1 señala: “Los administradores responderán frente a la sociedad, frente a los socios y frente a los acreedores sociales, del daño que causen por actos u omisiones contrarios a la ley o a los estatutos o por los realizados incumpliendo los deberes inherentes al desempeño del cargo, siempre y cuando haya intervenido dolo o culpa”, quedando como indelegable la responsabilidad que se deriva de su deber de garante originario. En consecuencia, sin perjuicio de las funciones propias del CCO, siempre corresponderá al Órgano de Administración establecer la política de control y gestión de riesgos de cualquier tipo de la organización y su supervisión, que en las sociedades cotizadas tiene la condición de facultad indelegable, conforme lo establece el art. 529 ter 1 b) de la referida Ley de Sociedades de Capital “El consejo de administración de las sociedades cotizadas no podrá delegar las facultades de decisión a que se refiere el artículo 249 bis ni específicamente las siguientes: (…) b) La determinación de la política de control y gestión de riesgos, incluidos los fiscales, y la supervisión de los sistemas internos de información y control”.
5.2 Transferencia del deber de garante al CCO y/o al DPD
¿Qué ocurre si la empresa delega varias de esas responsabilidades de garante originarias en una figura específica como puede ser el Delegado de Protección de Datos (DPD) o el Corporate Compliance Officer (CCO), cada una en su área de competencias?
La respuesta es que constituye un mecanismo de transferencia de la posición de garante porque, basándonos en esa delegación, el Administrador como delegante hace surgir una posición de garantía en el CCO o DPD, en calidad de delegado. Cabe decir que la posición de garante del Administrador no desaparece del todo, pudiendo pasar a ser residual, ya que la delegación correctamente efectuada modifica la posición jurídica del delegante liberándole de los deberes inherentes del ámbito competencial de que se trate, pues de lo contrario, carecería por completo de sentido que se llevara a cabo. Al administrador ya no le incumbe cómo se articulará el control de la fuente de riesgo, que le corresponde al CCO o al DPD, pero sí le compete la correcta selección, formación e información del responsable de cumplimiento, la dotación a esta figura de los medios necesarios para el cumplimiento de sus funciones y, especialmente, el deber de vigilancia sobre éste en el sentido de verificar su gestión.
Si llega a producirse un incidente motivado por una dejación de funciones del CCO o del DPD, la organización mantiene su responsabilidad última entendida en un caso como posible responsabilidad penal de la persona jurídica donde opera un CCO y, en otro, asumiendo su responsabilidad como Responsable, Corresponsable o Encargado del Tratamiento en relación a la protección de datos personales, donde opera un DPD.
Una prueba de que el administrador mantiene su responsabilidad última, pese a que CCO y DPD dispongan de autonomía, sería el hecho de estar facultado a destituirlos. Esto es así en el caso del CCO respecto a Compliance penal, dado que el art. 31 bis CP y concordantes no señala nada al respecto. En cambio, en el caso del DPD el art. 38.3 RGPD señala que “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”.
6. Coexistencia de ambos roles (CCO y DPD)
En entornos de Compliance la coexistencia de ambos roles vendrá marcada por la ausencia de conflictos de interés.
En el caso del DPD viene explicitado en el art. 38.8 RGPD que dispone: “El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”.
En cambio, el Código Penal español nada dice al respecto del CCO, debiendo acudir a la Circular 1/2016 de la FGE, que señala: “Para conseguir los máximos niveles de autonomía, los modelos deben prever los mecanismos para la adecuada gestión de cualquier conflicto de interés que pudiera ocasionar el desarrollo de las funciones del oficial de cumplimiento, garantizando que haya una separación operacional entre el órgano de administración y los integrantes del órgano de control que preferentemente no deben ser administradores, o no en su totalidad”.
En consecuencia, caso de ausencia de conflictos de interés nada impide concentrar en pequeñas organizaciones ambos roles en la misma persona física. No obstante, debe garantizarse que concurran en el candidato las competencias necesarias para poder desempeñar ambos roles. Dicha concurrencia será poco habitual al requerirse profundos conocimientos jurídicos, técnicos y organizativos en protección de datos, seguridad de la información y gestión de riesgos para las funciones de DPD y de Derecho Penal, de gestión de riesgos y de muchas otras especialidades según el alcance adoptado de Compliance, para las funciones de CCO.
7. Responsabilidad y protección jurídica del CCO y el DPD
7.1 En relación al deber de garante del CCO
La responsabilidad de cualquier desempeño en una organización radica en su “posición de garantía”. Son el Administrador, o quienes tengan delegadas competencias de dirección general o alta dirección operativa, quienes serán poseedores de dicha posición. Bajo esa concepción será siempre el poder ejecutivo en la organización quien tiene el dominio de la fuente de riesgo, mientras que el CCO no posee en el mismo nivel dicha posición de garantía, concluyendo su responsabilidad - prima facie - con el deber de advertir, vigilar e informar de los riesgos propios de la actividad a la alta dirección operativa.
Dicho en otras palabras, el órgano de administración y, como máximo, la alta dirección operativa, conservan o en su caso adquieren, respectivamente, el deber de garante general originario respecto a la evitación de la comisión de delitos. En cambio, el CCO no se convierte en “garante” ya que el Código Penal únicamente le encomienda la función de “supervisar la eficacia de los controles internos de la persona jurídica” y “funciones de supervisión, vigilancia y control”, como se desprende del art. 31 bis 2 CP, pero no la posibilidad de contener y evitar la comisión del posible hecho delictivo, es decir, no posee el “dominio del hecho” propio del autor de un ilícito tipificado penalmente, incluso equiparando su desempeño a una posición directiva, como sucederá en múltiples ocasiones para legitimar y garantizar su comunicación directa con los órganos de gobierno corporativo.Adicionalmente, si tuviera conocimiento cierto de que va a cometerse, se está cometiendo, o se ha cometido un delito en el seno de la organización, su única responsabilidad es notificarlo al órgano de administración para que éste obre en consecuencia a su capacidad sancionadora, capacidad de la que adolece el CCO.
No obstante, el CCO podría ser responsable de un delito de omisión si incumple un deber especifico de actuación cuya observancia hubiera impedido o dificultado la comisión de un delito por parte de un tercero en el seno de la empresa.
Para poder atribuir responsabilidad a quién omite una acción se requiere dolo - intencionalidad o conocimiento cierto de que con su inactividad se contribuye al delito, equiparable a cómplice necesario o coautor- o dejación de funciones -comisión por omisión- concretándose este último supuesto en el Derecho Español mediante la necesidad de (1) Posición de garante: La existencia de una posición de garante en previsión de un hecho perjudicial; (2) Conexión: La existencia de alguna conexión entre omisión y responsabilidad; (3) Resultado: La producción de un resultado dañino íntimamente ligado al hecho; (4) Previsibilidad: Que no se haya producido el hecho por la concurrencia de otros factores externos, imprevisibles o inevitables, ajenos a los que configuran la específica posición de garante, ya que éste factor imprevisible eximirá de cualquier responsabilidad al omitente que está situado como garante, al tener su origen el resultado lesivo en factores insalvables; (5) Posibilidad de actuar: la necesidad de que el omitente obligado estuviera en condiciones de realizar la conducta prevista. En caso de imposibilidad de actuar no surge responsabilidad por la inacción, eliminando la responsabilidad inherente a la situación de garante.
Ya el Tribunal Supremo ha señalado en la sentencia nº 797/2010, de 10 de septiembre, con MARCHENA GÓMEZ como presidente de la Sala Segunda del Alto Tribunal, referida a la realización omisiva de un ilícito penal en los delitos de resultado, indica en el FD 17 que: “La jurisprudencia de esta Sala, si bien ha reconocido expresamente que la admisibilidad de una participación omisiva es de difícil declaración, ha aceptado ésta, asociando su concurrencia a la de los elementos propios del art. 11 del CP, entre ellos, que el omitente ocupe una posición de garante (STS 1273/2004, 2 de noviembre). De ahí que sea posible incluso en los delitos de acción, cuando la omisión del deber de actuar del garante haya contribuido, en una causalidad hipotética, a facilitar o favorecer la causación de un resultado propio de un delito de acción o comisión y que podría haberse evitado o dificultado si hubiera actuado como le exigía su posición de garante (cfr. SSTS 19/1998, 12 de enero, 67/1998, 19 de enero, 221/2003, 14 de febrero)”.
Para acabar este apartado, analizaré la referencia que hace la Circular 1/2016 de la FGE respecto a la posición del CCO en relación con su responsabilidad penal y la de la persona jurídica: “Por un lado, el oficial de cumplimiento puede con su actuación delictiva transferir la responsabilidad penal a la persona jurídica a través de la letra a) puesto que, como se ha dicho, está incluido entre las personas que ostentan facultades de organización y control dentro de la misma. Por otro lado, puede ser una de las personas de la letra a) que al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la persona jurídica. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado. Finalmente, si el oficial de cumplimiento omite sus obligaciones de control, la persona jurídica en ningún caso quedará exenta de responsabilidad penal (condición 4ª del art. 31 bis 2). De conformidad con este planteamiento, la exposición personal al riesgo penal del oficial de cumplimiento no es superior a la de otros directivos de la persona jurídica. Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones, puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos, especialmente dada su responsabilidad en relación con la gestión del canal de denuncias y siempre que la denuncia se refiera a hechos que se están cometiendo y que, por tanto, el oficial de cumplimiento pueda impedir con su actuación”.
7.2 El CCO como testigo o como investigado en la instrucción penal
El Juez del Juzgado Central de Instrucción n.º 5 de la Audiencia Nacional ha citado como investigados a siete CCO del Banco de Santander y BNP Paribas, en la pieza separada de entidades financieras de la lista Falciani, por delitos de blanqueo de capitales.
Alfredo Domínguez, socio de Derecho Penal y Coordinador de Corporate Compliance de Cuatrecasas, expuso en unas recientes jornadas que, a su juicio, se está "muy cerca" de vulnerar el derecho de defensa de la persona jurídica en la actual situación, "si el representante de la organización se acoge a su derecho a no declarar y el fiscal o la acusación llama al CCO como testigo y le obliga a testificar". "La persona jurídica, al igual que la física, tiene derecho a definir su estrategia y aportar las pruebas que considere oportunas y necesite".
No entramos aquí, pero también tuvo lugar hace poico en el ICAM una jornada sobre la responsabilidad civil del CCO. Se refuerza pues la necesidad de disponer de un estatuto profesional de la función de Compliance.
7.3 Responsabilidad del DPD
Buscando cierto paralelismo entre ambas figuras, DPD y CCO, según afirma Mar España, directora de la AEPD, “La posición del DPD será próxima a los niveles jerárquicos más elevados dentro de una organización, de manera que aquellos a quienes reporte tengan capacidad de decisión en calidad de Responsables o Encargados del tratamiento. En ningún caso el DPD sustituirá al Responsable del Tratamiento en la toma de decisiones sobre los fines y alcance de los tratamientos, ni deberá asumir la carga de las posibles sanciones en las que pudieran incurrir los Responsables como consecuencia de tratamientos de datos no acordes con el RGPD”.
8. Bibliografía consultada
[1] MACIÁ GÓMEZ, RAMÓN “La posición de garante en el Derecho español: concepto y estructura”. Pórtico legal (Expansión). Enero de 2009. Página Web.
[2] SILVA SÁNCHEZ, JESÚS-MARÍA. “Fundamentos del Derecho Penal de la empresa”. EDISOFER S.L. 2013.
[3] SILVA SÁNCHEZ, JESÚS-MARÍA. “El delito de omisión: Concepto y sistema”. Colección Maestros del Derecho Penal nº 12. Editorial IBdeF. Segunda edición 2010.
[4] GOMEZ-ALLER, DOPICO. “Presupuestos básicos de la responsabilidad penal del Compliance Officer y otros garantes en la empresa”. Actualidad Jurídica Aranzadi Nº 843, página 2. Año 2012.
[5] COLOM, JOSE LUIS. “Compliance en la persona jurídica y las tres líneas de defensa”. Blog “Aspectos Profesionales”. 26 de enero de 2017. Página Web.
[6] MONZÓIN PÉREZ, HELENA. “La naturaleza de la relación laboral del delegado de protección de datos”. UPF - IUSLabor 2/2017. Página Web.
[7] ANLLO, LINA y ALGUACIL, JIMENA. “¿Tiene el Compliance Officer responsabilidad penal?”. Comisión Directiva del capítulo argentino de la WCA. Página WEB.
[8] OSUNA, FERNANDO. “A vueltas con la responsabilidad penal del Chief Compliance Officer”. LEFEBVRE – El Derecho. 5 de octubre de 2017. Página Web.
[9] ESPAÑA, MAR. “El Delegado de Protección de Datos: esquema de certificación, nombramiento, funciones y perfil requerido”. LEFEBVRE – El Derecho. 1 de agosto de 2017. Página Web.
[10] Confederation on Data Protection Organizations (CEDPO). “Posición de CEDPO sobre el Delegado de Protección de Datos (DPO) en el Reglamento General de Protección de Datos (RGPD)”. 15 de febrero de 2017. Página Web.
[11] MARINETTO IGLESIAS, JESÚS. “Responsabilidad de los Directivos”. PRACTICUM de Compliance. THOMSON REUTERS. 2018.
9. Control de cambios del artículo
Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.
Fecha Cambio Responsable
28/08/2018 Redacción inicial del artículo Autor
28/08/2018 Se añade, en relación al artículo original, una observación en el apartado 2.3 Las tres líneas de defensa sobre la conveniencia, o no, de que el DPD realice auditorías de protección de datos. Editor/Autor
10. Derechos de autor
Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, ya sean estos jurídicos o de adscripción voluntaria. Está especializado en aplicar normas ISO a entornos jurídicos como pueden ser el Derecho Penal-Económico y el Derecho de las nuevas tecnologías. También es especialista en marcos normativos relacionados con la seguridad de la información como pueden ser ENS e ISO 27001. A partir de su dilatada experiencia, edita el Blog jurídico “Aspectos Profesionales”.
A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).
A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS, acreditada por ENAC, como Director Técnico (Auditoría y Cumplimiento Normativo). También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado anteriormente cómo asesor en materia de Compliance, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad y auditorías respecto a la seguridad de la información. Ha participado como lead auditor de diferentes sistemas de gestión basados en Normas ISO y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en la prevención del Blanqueo de Capitales y Financiación del Terrorismo), socio de ASCOM (Asociación Española de Compliance), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum) y ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Es docente en varios Masters y cursos jurídicos organizados por el ICAB, así como del ENS, organizados por el CCN. Es examinador en la AEC del Esquema de Certificación de DPD/DPO propiedad de la AEPD y acreditado por ENAC. Ha obtenido premios compartidos de protección de datos otorgados por la AEPD y la AVPD.
Twittear