La responsabilidad penal corporativa, el Compliance Officer y el modelo integrado de GRC

Publicado el 26 agosto 2014 por Jlcolom

Los riesgos y los requerimientos actuales de cumplimiento regulatorio en la empresa son numerosos, exigentes y varían constantemente. Su ignorancia, deliberada o no, puede causar graves efectos en la organización. También, en un entorno globalizado y cada vez más competitivo, las normas de libre adscripción y marcos de mejores prácticas aportan valor a la empresa pero obligan a la entidad a implantar programas de cumplimiento para acreditar el debido control sobre todos los ámbitos. De la convergencia de todos ellos es que aparecen los Compliance Management Systems (CMS) y los Modelos integrados de Gobernance, Risk & Compliance (GRC).


2.2.1. Responsabilidad de las personas jurídicas
2.2.2. Huida hacia adelante para extinguir la responsabilidad

2.3.1. El administrador responde personalmente
2.3.2. Responsabilidad directa de la persona jurídica
2.3.3. Mecanismos de exención de responsabilidad
2.3.4. Régimen de atenuación
2.3.5. Penas por incumplimiento del debido control

GRC es la contracción de Gobierno, Riesgo y Cumplimiento (Governance, Risk & Compliance) por sus siglas en español y en inglés.

Recordemos el artículo 31 CP que resuelve las situaciones en las que se produce una disociación entre quien actúa, el representante, y quien ostenta la cualidad que el tipo exige al sujeto activo del delito, el representado, ya se trate de una persona física o jurídica. El artículo 31 CP dispone: "El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se dan en la entidad o persona en cuyo nombre o representación obre".

Desde el punto de vista del Derecho vigente, la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, ha introducido en el ordenamiento jurídico Español un nuevo concepto: La responsabilidad penal de las personas jurídicas.

Se añade el artículo 31 bis CP, que dispone en su número 1: "En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.

En los mismos supuestos, las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas,por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior,han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso".

Podríamos decir que distingue dos tipos de culpa de la persona jurídica: " In eligendo" al referirse a delitos cometidos por los representantes legales o administradores que ha designado la organización para que le representen e " In vigilando" tratándose de empleados sometidos a la autoridad de los anteriores, sin haberse ejercido el debido control.

Respecto este último grupo es de destacar que el concepto de " debido control", es señalando como atenuante en el mismo artículo 31 bis CP, número 4, apartado d): "Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica".

En consecuencia, se ratifica la necesidad de establecer un adecuado " Programa de Cumplimiento" por parte de las empresas, pese a la ausencia de concreción en nuestra legislación actual al aludir al " debido control", solo delimitado como el establecimiento y adopción de medidas eficaces de prevención y detección de delitos. El concepto "medidas eficaces" elude toda opción de simplemente maquillar un programa de cumplimiento en lo que se conoce, empleando terminología anglosajona, como "makeup compliance".

Para los que se plantearan la venta, cesión o fusión de la persona jurídica imputada, únicamente con la finalidad de eludir o entorpecer la acción procesal posterior, existe el apartado 2 del artículo 130 CP que dispone: "La transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal, que se trasladará a la entidad o entidades en que se transforme, quede fusionada o absorbida y se extenderá a la entidad o entidades que resulten de la escisión. El Juez o Tribunal podrá moderar el traslado de la pena a la persona jurídica en función de la proporción que la persona jurídica originariamente responsable del delito guarde con ella.

No extingue la responsabilidad penal la disolución encubierta o meramente aparente de la persona jurídica . Se considerará en todo caso que existe disolución encubierta o meramente aparente de la persona jurídica cuando se continúe su actividad económica y se mantenga la identidad sustancial de clientes, proveedores y empleados, o de la parte más relevante de todos ellos".

Hemos visto anteriormente lo que dispone el artículo 31CP, pudiendo llegar a interpretarse, a sensu contrario,como que se pasa a considerar a los administradores de una persona jurídica como sujeto activo de cualquier delito imputable a ésta, respondiendo personalmente.

Partiremos de que, en Derecho Penal, uno no puede responder de lo que haga otro, ya que la responsabilidad penal es la consecuencia jurídica derivada de la comisión de un hecho antijurídico, por un sujeto imputable, tipificado en el Código Penal. Solo puede responderse de la propia conducta antijurídica por acción u omisión. Y esto es válido para personas físicas y jurídicas. En este caso, la empresa, y el administrador como sujeto activo, solo será culpable de lesionar un bien jurídico de forma merecedora de pena, ocasionado por cualquier empleado, si está mal organizada para evitar un delito cometido en su estructura, es decir, que según dispone el artículo 31 bis CP no ha ejercido el debido control efectivo.

Se modifica el artículo 31 bis CP, número 1, en referencia a la responsabilidad directa de la persona jurídica por la comisión de un delito por parte de cualquier persona con capacidad de decisión o de organización y control. En consecuencia no es necesario que sea el administrador sino que puede ser cualquier Directivo, mando intermedio, etc., ya sea individualmente o de forma colegiada: "En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

Se pretende conseguir que socios y altos directivos no solo adopten políticas empresariales que persigan el logro de objetivos económicos, sino que además adopten las medidas de gobierno y gestión necesarias para la consecución de objetivos legales . En otras palabras, se trata de que la empresa se autorregule de forma que los programas de cumplimiento, códigos de conducta, programas éticos, etc.,se erijan en instrumentos efectivos para prevenir delitos en el seno de la empresa, más que un simple maquillaje, cara al exterior, que en el fondo no proteja de nada.

Podríamos decir que si se han adoptado las medidas de control exigibles a la empresa, conforme a criterios razonablemente adecuados, examinados desde una perspectiva ex ante, no cabe atribuir responsabilidad penal a la persona jurídica.

El artículo 31 bis CP, en su número 2, dispone: "Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

El concepto " medidas idóneas" en esta 1ª condición puede interpretarse cómo que no será suficiente con la implementación de unas " medidas genéricas de vigilancia y control" sino que deben ser idóneas para cada posible naturaleza de delitos, es de suponer que en base a su riesgo real de materialización en la estructura concreta de la persona jurídica. Como se indica en el que equivale al preámbulo del RD 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2012, de 28 de abril, de prevención de blanqueo de capitales y de la financiación del terrorismo "Un enfoque orientado al riesgo que, no solamente, incrementará la eficiencia de las medidas a aplicar, sino que se presenta, igualmente como un elemento de flexibilidad de la norma, dirigida a un colectivo muy heterogéneo de sujetos".

En relación a la exención, cuando se dice " ha adoptado y ejecutado con eficacia, antes de la comisión del delito (...)" no se refiere únicamente a haber implantado,con un contenidoclaro y ajustado a los requerimientos de la empresa, modelos de prevención y control. Deberían existir unos requisitos de prueba que lo demuestren como puede ser la recogida de evidencias de los controles implementados, con su correspondiente timestamp o "sello de tiempo", que deberían ser custodiadas en un repositorio específico y seguro.

2.ª) la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a unórgano de la persona jurídica con poderes autónomos de iniciativa y de control;

Esta 2ª condición se refiere a la necesidad de una figura, o un órgano, independientes dentro de la persona jurídica, para supervisar y controlar el modelo de prevención. A este respecto recordaré otra vez el RD 304/2014, de 5 de mayo, de PBCyFT, que en su artículo 35.2 dispone también que " los sujetos obligados establecerán un órgano de control interno responsable de la aplicación de los procedimientos de prevención del blanqueo de capitales y de la financiación del terrorismo", con las consideraciones de ese mismo artículo 35.2 in fine.

Se establece un peculiar y diferenciado régimen de atenuación previsto en el número 4 del artículo 31 bis CP. Se concreta como una lista cerrada con un numerus clausus de circunstancias atenuantes. El legislador lo debe haber establecido así al ser impracticable, dada la especial naturaleza de las personas jurídicas, aplicarles la lista general de circunstancias atenuantes que se recoge en el artículo 21 CP legislada pensando en las personas físicas. Se concretan en una circunstancia de previsión para futuros casos y otras de confesión y colaboración para la investigación del delito: "Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:

d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica".

Vemos según el apartado d) que siempre favorece la implantación en la empresa de medidas eficaces de prevención y control, lo que es lo mismo, un programa de cumplimiento efectivo. La inversión económica que representa ese programa se justifica en que las circunstancias atenuantes son siempre carga de prueba de aquel al que favorecen, en este caso la persona jurídica. Cabe recordar que los seguros de responsabilidad civil (RC) no cubren la responsabilidad penal, ni la responsabilidad civil derivada de la comisión de un delito.

Se introduce en el capítulo XI del título XIII del libro II una nueva sección cuarta bis, con la rúbrica "Del incumplimiento del deber de vigilancia o control en personas jurídicas y empresas".

También un nuevo artículo 286 seis CP, con la siguiente redacción: " 1. Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses,e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso,el representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, queomita la adopción de las medidas de vigilancia o control que resultan exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la diligencia debida (...).

Cada vez más, ya sea en marcos legales de obligado cumplimiento o en normativas de libre adscripción representadas mediante estándares y mejores prácticas internacionales, el "riesgo" a que se presenten circunstancias adversas que impliquen un impacto en el objeto protegido por la norma será sustantivo para poder determinar qué medidas deberían aplicarse (ya sean jurídicas, organizativas o técnicas) para mitigarlo a niveles aceptables para la organización en base a su " apetito de riesgo" acordado.

El riesgo empresarial es la probabilidad de que se materialice, por causas internas o externas,alguna amenaza aprovechando cualquier vulnerabilidad en la estructura de la organización que provoque cierto impacto, directo o indirecto, en la consecución de los objetivos fijados.

Como se cita en la introducción de la norma UNE-ISO 31000:2010 Gestión del Riesgo. Principios y directrices: "Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas que hacen incierto saber si y cuando conseguirán sus objetivos. La incidencia que esta incertidumbre tiene sobre la consecución de los objetivos de una organización constituye el "riesgo".

Todas las actividades de una organización implican riesgos. Las organizaciones gestionan el riesgo identificándolo, analizándolo y evaluando después si el riesgo se debería modificar mediante un tratamiento que satisfaga sus criterios de riesgo. A lo largo de todo este proceso, las organizaciones comunican y consultan a las partes interesadas, realizan seguimiento y revisan el riesgo y los controles que lo modifican para asegurar que no es necesario un tratamiento adicional del riesgo".

Debe contemplarse desde el punto de vista jurídico y organizativo. La razón es la habitual convergencia, en una misma organización, dediferentes obligaciones corporativas sabiendo que sus fuentes pueden ser diversas. Pueden incluir las que nacen de la Ley, las que surgen de los diferentes contratos suscritos, normativas sectoriales o normas auto-impuestas:

Como hemos visto, la introducción de la responsabilidad penal de las empresas por la LO 5/2010, de 22 de junio, viene a corroborar las tesis de este artículo. En consecuencia, se ratifica la necesidad de establecer un adecuado " Programa de Cumplimiento" por parte de las empresas que acredite " debido control", estableciendo y adoptando medidas de prevención y detección de delitos. Estas medidas de carácter general deberán aplicarse siempre sin menoscabo de las medidas específicas que pudieran concurrir como consecuencia de ser considerada la persona jurídica " sujeto obligado" por otra Ley, como puede ser la LPBCyFT.

Un paso más allá de establecer un Programa de Cumplimiento es llevarlo a constituir un completo Sistema de Gestión del Cumplimiento (CMS - Compliance Management System - por sus siglas en inglés).

Después de varios estándares nacionales, entre ellos el Australian Standard AS3806:2008, se está desarrollando la Norma ISO/DIS 19600 -Compliance Management Systems. Ha estado publicado el borrador para la recepción de comentarios hasta el 21 de abril 2104. International Guideline Standard on

El objeto de las normas standard para CMS es proporcionar directrices o requisitos mínimos para todas las organizaciones, públicas y privadas, para diseñar, implementar, mantener y mejorar sistemas eficaces de gestión de cumplimiento.

- Análisis del entorno en el que opera la organización (contexto, problemática, partes interesadas ​​y sus requerimientos, necesidades y expectativas).

- Ámbito de aplicación del sistema de gestión del Cumplimiento.

- Identificación de las obligaciones de cumplimiento.

- Evaluación de los riesgos de cumplimiento

- Política, compromiso, liderar con el ejemplo.

- Roles, responsabilidades y autoridades con respecto al cumplimiento, para el Consejo de Administración, la Alta Dirección y Dirección operativa, los empleados y un Compliance Officer independiente.

- Planificación de las medidas para controlar los riesgos de cumplimiento.

- Establecimiento de objetivos de cumplimiento.

- Concienciación, competencia y capacitación en el cumplimiento.

- Comportamiento y cultura.

- Comunicación y documentación.

- Implementación de controles para el cumplimiento (técnicos, procedimentales, dirigiendo la actitud y el comportamiento del personal).

- Monitorización del cumplimiento. Aplicación de indicadores.

- Análisis de la información (interna y externa) y comunicación de los resultados.

- Auditoría interna y revisión por la Dirección.

- Acciones sobre el incumplimiento de los requisitos y el escalado a los niveles de Alta Dirección cuando sea necesario.

3.5. Buscando una definiciónde GRC

Podemos definir GRC como la capacidad que tiene la organización de lograr unos objetivos, administrando los recursos, en base a la estrategia acordada [GOBIERNO], gestionando el riesgo dentro de niveles aceptables [RIESGO] y respetando las obligaciones regulatorias y los compromisos normativos voluntarios [CUMPLIMIENTO].

Es una realidad el que las regulaciones globales y locales están creciendo en volumen, en frecuencia de las revisiones o reformas legislativas y en complejidad. Como resultado, la exigencia de responsabilidad legal a los Consejos de Administración, y a otros órganos de gobierno corporativo, y directamente a los Directivos, se ha intensificado. Sin olvidar que la contención de los costes asociados a la gestión del riesgo y cumplimiento continúa siendo un reto para los Directores Financieros (CFO) que les obliga a velar para que no se produzca una redundancia de esfuerzos en esas áreas.

La transición en la que nos encontramos inmersos desde la era industrial a la era de la información y últimamente a la era del conocimiento, implica una serie de cambios que llevan aparejados:

4.1. Aparición de nuevos riesgos

4.2. Ambiente de negocios más inestable

Factores que han propiciado la aparición de GRC

4.3. Algunas responsabilidades de cumplimiento

4.4. Algunas concreciones de cumplimiento

La falta de integración y coordinación entre las diferentes áreas de cumplimiento y gestión de riesgos hace aflorar los problemas propios de la fragmentación empresarial en silos inconexos:

Un modelo GRC pretende la unificación de criterios coordinando esfuerzos y la colaboración entre los diferentes involucrados en la dirección de la organización mediante:

Para adoptar un proyecto de implantación de un modelo de GRC deben considerarse, adaptadas a la realidad de la organización, unas cuantas fases. Por ejemplo, podemos definir estas nueve:

Caso de que no hayan funcionado con la debida eficacia esas medidas de prevención, el modelo debe contemplar controles adecuados de detección.

Una vez evidenciado el ilícito deberá actuarse con un plan de respuesta, con las acciones necesarias para su remediación, y con su correspondiente seguimiento.

El diseño e implantación de un sistema de control efectivo, tiene una serie de ventajas para la empresa:

  • al haber cada vez más normativa que obliga a los Logra evitar sanciones sujetos obligados a implantar medidas de control. El mero hecho de no hacerlo puede suponer importantes sanciones administrativas, con independencia de las exenciones penales para la persona jurídica, que ya hemos visto, que le proporcionan unas medidas de vigilancia y control efectivo.
  • ya que el poder demostrar que se posee un estricto sistema de verificación y control, en época de corrupción y escándalos, implica un valor añadido para la empresa en relación a clientes, proveedores, entidades financieras... que absorbe parte del presupuesto de la inversión necesaria. A Mantiene el prestigio al ayudar a preservar la reputación sensu contrario permitir un daño reputacional debido a un escándalo, que con medidas de control efectivo se hubiera podido evitar, en un mundo cada vez más interconectado socialmente, a través de Internet, es una auténtica temeridad.

Ambos roles que presento a continuación podríanrecaer en la misma persona en función del tamaño y de los los requerimientos de la organización, de las competencias del sujeto que ostentará los roles, o incluso llegar a ser externalizados en un tercero en calidad de experto externo si la legislación lo permite.

No es del todo mi particular parecer ya que existen otros incumplimientos regulatorios en el marco de la empresa que no necesariamente implican, en casos concretos, una ratio legis de tipo penal y, en consecuencia, inicialmente no se usará esa vía. Algunos de ellos, por ejemplo, pueden sancionarse administrativamente o por la vía civil obligando al resarcimiento de los daños causados e ineludiblemente también requieren o se beneficiarían de un programa de control efectivo sujeto a coordinación y supervisión.

Ejemplo de otros ámbitos legislativos habituales en la empresa

En lo que solemos estar todos de acuerdo es en que se trata de un perfil eminentemente jurídico, conocedor del Derecho Penal y otras especialidades, como las citadas anteriormente,aunque yo le añadiría conocimientos multidisciplinares como pueden ser organizativos, financieros, técnicos..., según el caso. Esto es así porque debe conocer, no solo la regulación nacional y local de los países en los que está presente la empresa, sino saber con detalle cómo opera ésta y el sector donde se desenvuelve, regulado o no, para determinar con la mayor precisión dónde enfocar sus esfuerzos.

Para ello podrá actuar solo o dirigiendo un órgano colegiado de control interno, en función del tamaño, complejidad y jurisdicciones dónde actúa la empresa, aplicando siempre el El CCO debe considerarse por la empresa como un garante de cumplimiento. principio de proporcionalidad. En cualquier caso deberá quedar garantizada su independencia.

Sobre el oficial jefe de cumplimiento recae una gran responsabilidad, especialmente desde la óptica penal, dado su perfil de "experto conocedor" e independencia de actuar .

Debe tenerse en cuenta que la asignación del deber específico de supervisión actúa como una delegación del deber de control, que corresponde a los administradores de la empresa, y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito. Podría llegar a contemplarse la intervención delictiva del CCO pudiendo imputársele comisión por tolerancia dolosa (complicidad) o por omisión imprudente.

Podría impugnarse la aplicación del principio " in dubio pro reo" sobre los posibles hechos delictivos, apoyándose en un supuesto de ignorancia deliberada, en base a los conocimientos y competencias especializados del sujeto en el ámbito del delito a considerar. Es indudable que el CCO los tiene o debería tenerlos.

De ahí que sea muy importante, en su desempeño profesional, el mantener rigurosamente documentado:

Es un perfil de espectro mucho más amplio que el del CCO. Su perfil será simultáneamente Jurídico, organizativo y técnico y deberá disponer de un amplio abanico de competencias multidisciplinares. No importa desde donde se acceda a este rol puesto que el conocimiento requerido, dentro de su desempeño, deberá ser global.

Pensemos que no solo coordinará el cumplimiento legal, sino también el cumplimiento normativo de adscripción voluntaria (por ejemplo las posibles normas ISO). Coordinará también el análisis y gestión de riesgos en diferentes ámbitos de la empresa, intervendrá en los planes de auditoría, interactuará con RR.HH. buscando la "Collective Action", etc.

Conocer las singularidades legales de todas las áreas funcionales, y unidades de negocio en la organización, no sólo le proporcionará un valioso
conocimiento de la estructura operativa de la organización sino que le permitirá, también, conocer detalladamente los riesgos legales que les afectan. El rol de coordinador de GRC tiene una clara dimensión corporativa ya que para desarrollar su eficaz desempeño es necesario que conozca bien e interactúe con la totalidad de áreas funcionales y unidades de negocio.

Debe cumplir una serie de requisitos inherentes a su desempeño profesional:

El secreto profesional de los abogados de empresa es un tema polémico tras la Sentencia del Tribunal de Justicia de las Comunidades Europeas de 14 de septiembre de 2010 (TJCE 2010/275), asunto Azko Nobel Chemicals Ltd. Y Arkros Chemicals Ltd., que niega al abogado el secreto profesional por el asesoramiento legal que haya podido prestar a la empresa básicamente porque indica que el abogado interno carece de independencia para asesorar a la empresa. Por ello, todas las comunicaciones que haya enviado a su empresa en el desempeño de sus funciones, como asesor legal, no estarán amparadas por el secreto profesional.

NOTA DEL EDITOR: La denominación del Tribunal de Justicia de la Unión Europea (TJUE) hasta la entrada en vigordel Tratado de Lisboa, el 1 de diciembre de 2009, era la de Tribunal de Justicia de las Comunidades Europeas (TJCE).

"21 Más allá de estas diversidades, los Derechos internos de los Estados miembros revelan, no obstante, la existencia de criterios comunes, por cuanto protegen, en condiciones similares, la confidencialidad de la correspondencia entre los Abogados y sus clientes, siempre que, por un lado, se trate de la correspondencia mantenida en el marco y en interés de los derechos de defensa del cliente y, por otro lado,se trate de Abogados independientes, es decir, no vinculados a su cliente mediante una relación laboral".

Previas a la sentencia, las conclusiones de la Abogada General Julianne Kokott, de 29 de abril de 2010, manifiestan que "Existe el riesgo real de que los abogados internos, en su afán por obedecer al empresario, den de motu propio al asesoramiento legal el contenido que complazca al empresario . (...) En cambio, en principio el abogado externo dispone de varios clientes, con lo que sí existe una discrepancia, dispone de la libertad suficiente para renunciar por iniciativa propia a la propia representación del cliente y así mantener su independencia"

Para acabar, y en relación al Derecho vigente en España, recordaré el artículo 23 de la LPBCyFT (Ley 10/2010, de 28 de abril, de Prevención de Blanqueo de Capitales y Financiación del Terrorismo), que establece: "Exención de responsabilidad. La comunicación de buena fe de información a las autoridades competentes con arreglo a la presente Ley por los sujetos obligados o, excepcionalmente, por sus directivos o empleados,no constituirá violación de las restricciones sobre divulgación de información impuestas por vía contractual o por cualquier disposición legal, reglamentaria o administrativa, y no implicará para los sujetos obligados, sus directivos o empleados ningún tipo de responsabilidad".

El abogado no está sometido a las obligaciones contenidas en los artículos 7.3,18 y 21 de la LPBCyFT respecto a la información que reciban de sus clientes que se utilice para la defensa del cliente en el marco de un procedimiento judicial, resultando acorde y encaja con la normativa sobre secreto profesional. El artículo 22 de la LPBCyFT establece lo siguiente: "No sujeción. Los abogados no estarán sometidos a las obligaciones establecidas en los artículos 7.3, 18 y 21 con respecto a la información que reciban de uno de sus clientes u obtengan sobre élal determinar la posición jurídica en favor de su cliente o desempeñar su misión de defender a dicho cliente en procesos judiciales o en relación con ellos, incluido el asesoramiento sobre la incoación o la forma de evitar un proceso, independientemente de si han recibido u obtenido dicha información antes, durante o después de tales procesos".

Sin perjuicio de lo establecido en la presente Ley, los abogados guardarán el deber de secreto profesional de conformidad con la legislación vigente".

La conclusión inmediata que se desprende es que si el Compliance Officer o el Coordinador de GRC forman parte de la plantilla de la empresa dejan de estar protegidos, pese a que fueren abogados y como norma general, por el secreto profesional. En cuanto a la Ley de PBCyFT ni tan siquiera así, salvo que se limiten a asesorar a su cliente en relación a un posible proceso judicial, algo que podría ocurrir con un asesor legal externo, pero no con un Compliance Officer o un Coordinador de GRC que, por su desempeño y funciones asignadas al rol, no se limita a ese único menester.

El sellado de tiempo es un método que permite probar que un documento electrónico existe a partir de un momento determinado y que no ha sido modificado (conserva su integridad) desde entonces. El sellado de tiempo proporciona, como valor añadido a la utilización de la firma digital, información acerca del momento de creación de la firma mediante una marca de tiempo proporcionada por una tercera parte de confianza.

Para poder asociar los documentos electrónicos con un instante de tiempo determinado es necesario utilizar una Autoridad de Sellado de Tiempo (TSA - Time Stamp Authority, por sus siglas en inglés) como tercera parte de confianza. Dicho instante será obtenido por parte del TSA de una fuente de tiempo segura, como puede ser la del Real Observatorio de la Armada que proporciona la base de la hora legal en todo el territorio nacional español según el RD 1308/1992, de23 octubre, por el que se declara al Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del Patrón Nacional del Tiempo y laboratorio asociado al Centro Español de Metrología.

En el " sello de tiempo" la asignación de la referencia temporal se realiza por un tercero de confianza, independiente y ajeno al procedimiento o documento concreto, mediante un proceso de firma electrónica verificable que asegura la exactitud e integridad de la referencia. Asimismo, el sello de tiempo garantiza fehacientemente que una serie de datos, preparados por el solicitante del sello, han existido y no han sido modificados desde un momento determinado.

En cambio, la " marca de tiempo" es la asignación por medios electrónicos de la fecha y hora a un documento electrónico. No garantiza necesariamente la integridad del documento. Normalmente es la propia empresa interesada la que debe generar la referencia temporal. La marca de tiempo puede ser generada por cualquier aplicación y no tiene por qué ser menos precisa que un sello de tiempo. Habitualmente la referencia temporal se obtiene a través de la fecha y hora de un servidor informático que esté sincronizado mediante el protocolo Network Time Protocol (NTP) con una fuente de tiempo fiable y precisa.

En 2008 el Open Compliance and Ethics Group (OCEG) definió un marco de referencia para la integración del Gobierno Corporativo, la Gestión de Riesgos y el Cumplimiento Regulatorio.

El desempeño basado en principios se logra integrando y organizando áreas o funcionalidades que, en muchas entidades, se encuentran fragmentadas y aisladas, como por ejemplo:

En algunas empresas, estas funcionalidades se manejan en múltiples departamentos diferentes y existe, de haberla, poca comunicación de carácter transversal. En algunas organizaciones estas actividades no se administran en absoluto y, literalmente, no son gobernadas usando técnicas actuales de mejora de procesos de negocio. [5]

3.3. Componentes integrados del modelo de capacidad GRC


3.4. Resultados esperados del modelo de capacidad GRC

Incentivan proactivamente condiciones o hechos que son deseables y evitan los que no lo son.

    Las acciones y controles de incentivo aumentan la probabilidad, efecto o velocidad de las condiciones o hechos que son deseables.

Recompensan las condiciones o hechos que son deseables y corrigen los que no lo son.

    Las acciones y controles de retribución reconocen la ocurrencia de condiciones o hechos deseables, y aumentan la probabilidad, efecto y velocidad actual de otras condiciones o hechos deseables.

En resumen, GRC debe sustentar el gobierno, gestión y aseguramiento del desempeño, riesgo y cumplimiento con una combinación de acciones y controles proactivos, de detección y de respuesta, para lograr el desempeño basado en principios. Según la OCEG, el modelo de capacidad de GRC aporta la estructura para lograrlo.

UNE-ISO 31000:2010 Gestión del Riesgo. Principios y directrices ". Julio 2010.

"Latinoamérica CACS - Sesión 244 Gobierno Riesgo Cumplimiento". Octubre 2013. PowerPoint. Slides 9,12,13 y 14.- [3] Fernando Izquierdo Duarte. ISACA.

CONGRESO DE LOS DIPUTADOS- [6] BOLETÍN OFICIAL DE LAS CORTES GENERALES. . " Proyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal". 4 de octubre de 2013.

"From compliance programme to compliance management system: reaching the next level of effective compliance management". Criminal Law and Business Crime Newsletter. Volume 7 - Number 1 - April 2014. Páginas 18 y 19. International Bar Association Legal Practice Division.

y - Vicente Gimeno Sendra Jordi Gimeno Beviá. "Código de buena conducta de las personas jurídicas". Consejo General de la Abogacía. Madrid, 18 de Abril de 2012. (Documento).

José Luis Colom Planas Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito de la privacidad: Ha cursado Ingeniería técnica de Telecomunicaciones en "la Salle BCN" estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). También ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia.

Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática) y ENATICAbogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa delObservatorio Iberoamericano de Protección de Datos