viernes, 2 de enero de 2015

Compliance: La carga de prueba en procesos con responsabilidad penal de la PJ


Resumen: La responsabilidad penal de la persona jurídica (RPPJ) es un concepto relativamente nuevo en nuestro ordenamiento jurídico. El principio “societas delinquere non potest” ha quedado relegado a la historia del Derecho. No obstante, surgen una serie de dudas que irán resolviéndose en la medida en que aparezca y aumente la jurisprudencia y la doctrina al respecto. Una de las principales cuestiones, relevante para no crear indefensión, es entender a quién corresponde la carga de prueba en un proceso penal en que intervenga una PJ.

Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
4 de enero de 2015

Índice
1. Introducción formal a la práctica de prueba
2. La carga de prueba
3. La responsabilidad penal de la persona jurídica
4. La carga de prueba en la persona jurídica
5. Circunstancias atenuantes
6. Valor probatorio de los estándares internacionales
7. Evidencias para ser usadas como prueba documental
7.1. Sellado de tiempo o “timestamp”
7.2. Fuentes de tiempo seguras
7.3. Diferencia entre “sello de tiempo” y “marca de tiempo”
7.4. Sobre la firma electrónica
8. Bibliografía consultada
9. Derechos de autor


1. Introducción formal a la práctica de prueba

En el proceso penal la práctica de la prueba sirve para formar la convicción del Juzgador sobre la certeza de los hechos que se imputan, según el principio de libre valoración, en los términos referidos por el artículo 741.1 de la Ley de Enjuiciamiento Criminal. En otras palabras, determina la culpabilidad del imputado y su condena, en el caso en que quede acreditada su participación en el hecho típico enjuiciado con un grado de certeza bastante, o bien su absolución, cuando no quede acreditada dicha participación.

Existen dos principios del Derecho que proporcionan seguridad jurídica a los imputados, aunque suelen confundirse. Son el principio de presunción de inocencia y el principio in dubio pro reo:
  • El principio de presunción de inocencia, tratándose de un derecho fundamental según dispone el art. 24.2 CE, se aplica en todos los procesos penales. En base a él, se considera inocente al procesado mientras no exista medio de prueba convincente que acredite lo contrario.
  • El principio in dubio pro reo actúa como elemento de valoración probatoria una vez practicadas las pruebas disponiendo que, en los casos donde surja duda razonable, debe absolverse.

En consecuencia, a falta de pruebas practicadas (presunción de inocencia), o si estas no son suficientes para poder demostrar la culpabilidad del procesado una vez hecha la valoración por el Juzgador (in dubio pro reo), deberá absolverse al imputado.

Salvo matices en los que entraré más adelante, el que tiene la carga de la prueba en el proceso penal es el acusador ya que, como he señalado antes, el imputado goza de la presunción de inocencia. Esto no impide que frente a las pruebas de cargo, éste pueda presentar también pruebas en su descargo.

No obstante, en relación al derecho de presunción de inocencia, Cándido Conde-Pumpido Tourón [1] afirma que este derecho no se opone a que la convicción judicial en el proceso penal pueda formularse sobre la base de una prueba indiciaria, si bien ésta debe satisfacer al menos dos exigencias:
  • Los hechos base o indicios deben estar acreditados y no pueden tratarse de meras sospechas.
  • El órgano jurisdiccional debe explicitar el razonamiento a través del cual, partiendo de los indicios, llega a la convicción sobre la existencia del hecho delictivo y la participación del acusado.

2. La carga de prueba
Desde el punto de vista subjetivo, la carga de prueba se define como “la facultad que tiene una parte para demostrar en el proceso la efectiva realización de un hecho que alega en su interés, el cual se presenta como relevante para que sea juzgada la pretensión deducida por el titular de la acción penal” [4].

En Derecho penal el onus probandi es la base de la presunción de inocencia de cualquier sistema jurídico que respete los derechos humanos. Esta doctrina ha tenido un extenso desarrollo desde su postulado inicial en el derecho romano. Significa, como he indicado antes, que se presume la inocencia de toda persona hasta que se demuestre su culpabilidad. Es una presunción que, obviamente, admite prueba en contrario pero en ella lo relevante es que quien acusa es quien tiene que demostrar la acusación, es decir, el acusado no tiene que demostrar su inocencia, ya que de ella se parte.

En consecuencia en el proceso penal, una vez presentada la denuncia, le compete al acusador:
  • Probar la ocurrencia de los hechos que declara, su autoría y las circunstancias que implicasen situaciones agravantes que conducirían a un aumento de la pena.
  • La prueba de elementos subjetivos del delito, comprobando la forma en que el acusado ha incumplido con el deber de cuidado en los delitos culposos, ya sea por imprudencia, negligencia o impericia.
  • Probar que el acusado ha actuado con dolo, lo cual se presume en la mayoría de las veces cuando está verificado que los actos practicados por el acusado son conscientes y voluntarios.

La carga de prueba tiene que ser plena al estar obligada la acusación a anular la presunción de inocencia que favorece al acusado.

Es al acusado a quien le compete, si así lo desea:
  • Probar las causas excluyentes de antijuricidad, de culpabilidad y punibilidad.
  • La declaración probada de las circunstancias que merecen una disminución, total o parcial de la pena, en forma de eximentes o atenuantes. (Esta competencia del acusado, si hablamos de una PJ, será sustancial para entender más adelante la transferencia de la carga de prueba en el proyecto de reforma del código penal).

El aporte de pruebas por parte del acusado no es un deber, sino el ejercicio del derecho de legítima defensa, el cual lleva a la búsqueda de la verdad.

Todo ello viene refrendado por la STC 182/1989, de 3 de noviembre, que en sus fundamentos jurídicos señala: “El derecho a la presunción de inocencia, que alcanza rango de derecho fundamental tras su constitucionalización en el art. 24.2 de la Norma suprema, ha dado lugar a una constante jurisprudencia constitucional que se asienta sobre las siguientes notas esenciales: a) como consecuencia de la vigencia de esta presunción constitucional la carga material de la prueba corresponde exclusivamente a la acusación y no a la defensa (STC 70/1985), de tal manera que, en el proceso penal, recae la carga de la prueba en las partes acusadoras, quienes han de probar en el juicio los hechos constitutivos de la pretensión penal, sin que se pueda constitucionalmente exigir a la defensa una probatio diabolica de los hechos negativos (SSTC 150/1987; 82, 128 y 187/1988); (…)”.

3. La responsabilidad penal de la persona jurídica
El principio “societas delinquere non potest” pertenece a la historia del derecho en la mayoría de los países de la Unión Europea. En esos ordenamientos jurídicos que contemplan la responsabilidad penal de la persona jurídica, atendiendo tanto al derecho comparado como a las diversas aportaciones doctrinales, podemos constatar que básicamente existen tres grandes modelos [2] [3]:



  • Vicarial o de transferencia de responsabilidad: consiste en transferir a la PJ la culpabilidad de la PF que ha actuado. Este modelo puede encontrarse en el Reino Unido, en el Código Penal francés y también en el vigente Código Penal español. No obstante, si perfilamos un poco más, en un primer estadio la acción típica constituyente del delito que deriva en responsabilidad penal de la PJ es el cometido por la PF materializado en la infracción contenida en el catálogo o numerus clausus de delitos del CP susceptibles de acarrear RPPJ.  En un segundo estadio, la PJ no comete el tipo concreto materializado por la PF, sino que el delito consiste en la ausencia del debido control que cabría exigir, posibilitando la comisión por la PF del delito contenido en el catálogo.
  • De la culpabilidad de empresa: Busca los fundamentos de la responsabilidad en factores que tienen que ver con la propia PJ. El Código Penal austriaco y el suizo siguen este modelo.
  • Mixto: Aúna factores de ambos. Como criterio de imputación se parte del vicarial o de transferencia de responsabilidad, mientras que para graduar la sanción se basa en la culpabilidad de la PJ. Es el modelo de las United States Federal Sentencing Guidelines, que en Europa inspiran a la Ley Italiana de 2001 y que parece querer seguir en España el Proyecto de reforma del Código Penal.

4. La carga de prueba en la persona jurídica
Desde mi mejor entender, el estudio de a quién corresponde la carga de prueba es la principal diferencia entre el vigente Código Penal (Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal) y el proyecto de reforma del Congreso de los Diputados de 2013 y enmiendas posteriores.
No debe sorprender el que la carga de prueba no corresponda a la misma actora (acusación o acusada) al tratarse de modelos diferentes en cuanto a la RPPJ. Básicamente:
  • El vigente código penal es un modelo vicarial.
  • El proyecto de reforma es un modelo mixto.

4.1. El vigente Código Penal
El tipo penal del apartado 1 del art. 31 bis CP dispone: “En los mismos supuestos, las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”.

En consecuencia, en el vigente Código Penal y a sensu contrario, la existencia del “debido control” no significa un eximente de la responsabilidad criminal, sino que sencillamente se trata de un supuesto de impunidad por atípico, es decir, por ausencia del elemento básico integrante del hecho típico (tipo objetivo) que no es otro que el de la inexistencia de control por parte de la PJ. En otras palabras, implica la ausencia de RPPJ y, por ende, del delito de la PJ.

Por tanto deberían aplicarse los principios generales de la carga de prueba que he comentado en el apartado 1 “Introducción formal a la práctica de prueba”, siendo la acusación la que debe acreditar que no se ha ejercido el debido control. Dicho de otra manera, la acusación debe desacreditar la idoneidad del programa de Compliance, ya que su ineficacia o ausencia no sería otra que la existencia misma del delito de la PJ.

Comisión delito según CP
Corresponde la carga de prueba
Delito de la PF en su seno
Acusación
RPPJ
(posible impunidad por atípico) Acusación


4.2. El proyecto de reforma del Código Penal
El apartado 2 del art. 31 bis PR-CP dispone que la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
  • El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza;
  • La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;
  • Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;
  • No se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la letra b).

En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.

El art. 31 bis del proyecto de reforma del Código penal no cuestiona la existencia misma del delito, sino que dispone la exención de responsabilidad si se cumplen las condiciones del apartado 2.

En consecuencia la carga de prueba se traslada a la PJ al tener que demostrar que el modelo de cumplimiento implementado es eficaz y adecuado para conseguir para la PJ  la exención, total o parcial, de la pena consecuente al delito cometido por la PF, mediante las condiciones comentadas.

Comisión delito según PR-CP
Corresponde la carga de prueba
Delito de la PF en su seno
Acusación
RPPJ
(Posible eximente)
Se traslada a la PJ


5. Circunstancias atenuantes
En el caso de desear que se consideren las circunstancias atenuantes de la RPPJ que dispone el apartado 4 del art. 31 bis CP, o el art. 31 quáter PR-CP, del vigente Código Penal o del proyecto de reforma, respectivamente, la carga de prueba se traslada también a la PJ al tener que demostrar haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:

“a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades.
b) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos.
c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito.
d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.


6. Valor probatorio de los estándares internacionales

Es evidente que ante determinado modelo de Compliance, lo primero que debemos preguntarnos es si está vivo, basado en el aprendizaje por la experiencia y la consecuente mejora continua o, al contrario, está muerto por obsolescencia con el transcurrir del tiempo desde su implantación inicial, o por ser un mero maquillaje teórico para simplemente poder aducir que se dispone de él.

En relación al “simple maquillaje”, la discutida circular 1/2011 [6] de la Fiscalía general del Estado reza: “La elaboración y el cumplimiento de las normas de autorregulación de las empresas o compliance guide, solo son relevantes en la medida en que traduzcan una conducta. Como ya se ha señalado, existe en este momento el peligro de considerar que la mera formalización de uno esos estándares constituye un salvoconducto para eludir la responsabilidad penal de la corporación. Sin embargo, lo importante en la responsabilidad penal de la persona jurídica no es la adquisición de un código de autorregulación, corporate defense, compliance guide, plan de prevención del delito o como quiera llamársele, sino la forma en que han actuado o dejado de actuar los miembros de la corporación a que se refiere el artículo 31 bis en la situación específica, y  particularmente en este segundo párrafo del apartado 1º, sus gestores o representantes en relación con la obligación que la Ley penal les impone de ejercer el control debido sobre los subordinados; en este contexto, resulta indiferente que la conducta de los individuos responda a una guía de cumplimiento propia que, en el mejor de los casos, constituye un ideal regulativo de emanación estrictamente privada".

Da la sensación de que, salvo la frase subrayada con la que estoy completamente de acuerdo, la fiscalía esté haciendo en el texto restante su propia interpretación sobre los programas de Compliance en relación al CP vigente. Solamente para aunar criterios en este sentido considero que será bienvenida la próxima reforma del CP con un mayor grado de concreción en el art. 31 bis (y los nuevos 31 ter, 31 quáter y 31 quinquies).

En cualquier caso un auditor de cumplimiento que esté elaborando, por ejemplo, una pericia de un programa de Compliance, averiguará como está estructurado el modelo para poder entender su lógica, inspeccionará la documentación y los registros asociados, la actividad del canal de dilación y como se ha tratado la información recibida, que hechos típicos se  han detectado en el pasado y que respuesta se les ha dado, el conocimiento y concienciación de las partes interesadas (empleados, accionistas, cadena de suministro, clientes…) sobre el modelo, la metodología empleada para la identificación, evaluación y tratamiento de los riesgos penales, que órganos colegiados o individuales de la PJ se encargan de las diferentes funciones (Estructura de prevención, estructura de respuesta basada en instrucción y resolución, órgano de supervisión y control…), como se ha ido perfeccionando el sistema en base a su ciclo…

Está claro que si el modelo se adapta en su estructura básica a un estándar internacional, será mucho más fácil entender su lógica y, en consecuencia, comprobar y demostrar su idoneidad.


Al igual que otras leyes de nuestro ordenamiento jurídico no concretan qué metodología de gestión de riesgos debe emplearse, poniendo como única condición que se trate de una metodología reconocida a nivel internacional [10] (vid. art. 13 del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el Ámbito de la Administración Electrónica - ENS), podríamos estar tentados a plantear que basarse en un Sistema de Gestión del Cumplimiento avalado por una norma internacional como la ISO 19600:2014 [7] será, en sí misma, una garantía adicional o una “presunción de hecho” [5] entendida como el reconocimiento legal de un determinado acto o hecho mientras no se demuestre lo contrario. Esto quiere decir que la efectividad del modelo se entendería probada por la existencia de presupuestos para ello, como es el caso de la certificación. Para anular la presunción, sería necesario presentar pruebas en su contra que permitieran sostener otra verdad diferente a la presumida.


Debo indicar, no obstante, que en Derecho Penal la analogía, que consiste en aplicar una norma jurídica a un caso que no está incluido en su tenor literal pero que resulta muy similar a los que sí están previstos en ella, de forma que se le pueda dar el mismo tratamiento jurídico, está prohibida.


Aun así me atrevo a matizar que del principio de legalidad penal solo se deduce la prohibición de la analogía cuando es usada para agravar la responsabilidad penal (in malam partem), mientras que no se opone al principio de legalidad el uso de la analogía favorable al imputado, es decir, para excluir o atenuar su responsabilidad (in bonam partem), al no violar ninguna garantía de éste. En consecuencia, y con todas las prevenciones posibles intuyo que, si no ahora, lege ferenda podría exigirse, o al menos recomendarse en base al pensamiento analógico, una estructura de cumplimiento diseñada a partir de un modelo estándar internacionalmente reconocido.


La ventaja de un sistema basado en una Norma ISO es que debe estar sujeto a auditorías periódicas entendidas como un proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría en relación al modelo.


Se requieren tanto auditorías internas, que son las que la PJ hace a su propio modelo o sistema de gestión (al menos una vez al año y siempre que se produzcan cambios organizacionales sustanciales) con finalidad de identificar no-conformidades y acciones de mejora, así como las auditorías externas, que son las que se hacen al sistema de gestión de una PJ por parte de un tercero independiente, normalmente una entidad acreditada, para extender o mantener la certificación, si es que al final la Norma es certificable (que no lo son todas). Es evidente que un modelo maquillado (makeup Compliance), no pasaría una auditoría de tercera parte.

Debo indicar que no existen soluciones mágicas tipo “café para todos”. La ISO 19600:2014 es simplemente la estructura del sistema de gestión del cumplimiento. Deberán particularizarse para cada PJ concreta las partes interesadas, el código ético y las políticas de cumplimiento, la evaluación y tratamiento de los riesgos penales asociados, definir la estructura funcional y de responsabilidades y autoridades, los canales de comunicación… En definitiva adaptarse a la realidad y el entorno en el que opera la PJ.


7. Evidencias para ser usadas como prueba documental

Adjunto, aunque ampliado, el apartado extraído de un artículo que publiqué sobre GRC (Gobierno, Riesgo y  Cumplimiento) [8] al considerar  que es relevante para asegurar la validez de los medios de prueba.
Las evidencias en forma de documentos en formato electrónico que se considere ir obteniendo y conservando procedentes de informes, controles, notificaciones, eventos…, para preservar su valor probatorio tanto en el recabado como en su custodia en repositorios seguros, será imprescindible recurrir a algún método que acredite el preciso instante en que se obtuvieron y se garantice su integridad.

7.1. Sellado de tiempo o “timestamp”

El sellado de tiempo es un método que permite probar que un documento electrónico existe a partir de un momento determinado y que no ha sido modificado (conserva su integridad) desde entonces. El sellado de tiempo proporciona, como valor añadido a la utilización de la firma digital, información acerca del momento de creación de la firma mediante una marca de tiempo proporcionada por una tercera parte de confianza.


El sellado de tiempo está definido en el standard RFC-3161 y recogido en la Norma ISO-18014-1:2008, -2 y -3.


7.2. Fuentes de Tiempo Seguras

Para poder asociar los documentos electrónicos con un instante de tiempo determinado es necesario utilizar una Autoridad de Sellado de Tiempo (TSA – Time Stamp Authority, por sus siglas en inglés) como tercera parte de confianza. Dicho instante será obtenido por parte del TSA de una fuente de tiempo segura, como puede ser la del Real Observatorio de la Armada que proporciona la base de la hora legal en todo el territorio nacional español según el RD 1308/1992, de  23 octubre, por el que se declara al Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del Patrón Nacional del Tiempo y laboratorio asociado al Centro Español de Metrología.

Actúan como TSA la Fábrica Nacional de Moneda y Timbre (FNMT) y otros muchos facilitadores.


7.3. Diferencia entre “sello de tiempo” y “marca de tiempo”

En el "sello de tiempo" la asignación de la referencia temporal se realiza por un tercero de confianza, independiente y ajeno al procedimiento o documento concreto, mediante un proceso de firma electrónica verificable que asegura la exactitud e integridad de la referencia. Asimismo, el sello de tiempo garantiza fehacientemente que una serie de datos, preparados por el solicitante del sello, han existido y no han sido modificados desde un momento determinado.

En cambio, la “marca de tiempo” es la asignación por medios electrónicos de la fecha y hora a un documento electrónico. No garantiza necesariamente la integridad del documento. Normalmente es la propia empresa interesada la que debe generar la referencia temporal. La marca de tiempo puede ser generada por cualquier aplicación y no tiene por qué ser menos precisa que un sello de tiempo. Habitualmente la referencia temporal se obtiene a través de la fecha y hora de un servidor informático que esté sincronizado mediante el protocolo Network Time Protocol (NTP) con una fuente de tiempo fiable y precisa.


7.4. Sobre la firma electrónica

La Ley 59/2003, de 19 de diciembre, de firma electrónica (LFE), [9] contiene reglas referidas al modo de proceder a la prueba de la corrección de la firma electrónica. Una vez probada la autenticidad de la firma electrónica, el soporte puede acceder como prueba documental.


El apartado 8 del art. 3 de la LFE dispone: El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio. Si se impugnare la autenticidad de la firma electrónica reconocida con la que se hayan firmado los datos incorporados al documento electrónico se procederá a comprobar que se trata de una firma electrónica avanzada basada en un certificado reconocido, que cumple todos los requisitos y condiciones establecidos en esta Ley para este tipo de certificados, así como que la firma se ha generado mediante un dispositivo seguro de creación de firma electrónica.


La carga de realizar las citadas comprobaciones corresponderá a quien haya presentado el documento electrónico firmado con firma electrónica reconocida. Si dichas comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de la firma electrónica reconocida con la que se haya firmado dicho documento electrónico (…)”.


La Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, indica a su vez en el art. 114 como un notario puede dejar constancia de un archivo en formato electrónico:
“1. Por el procedimiento que reglamentariamente se disponga, cuando un notario sea requerido para dejar constancia de cualquier hecho relacionado con un archivo informático, no será necesaria la transcripción de su contenido en el documento en soporte papel, bastando con que en éste se indique el nombre del archivo y una función alfanumérica [función hash] que lo identifique de manera inequívoca, obtenida del mismo con arreglo a las normas técnicas dictadas al efecto por el Ministro de Justicia. El archivo informático así referenciado deberá quedar almacenado en la forma prevista en el artículo 79 bis dieciocho. Las copias que se expidan del documento confeccionado podrán reproducir únicamente la parte escrita de la matriz, adjuntando una copia en soporte informático adecuado del archivo relacionado, amparada por la firma electrónica avanzada del notario.
2. Asimismo, a solicitud de los interesados, los notarios podrán almacenar en archivo informático las comunicaciones electrónicas recibidas, así como las que, a requerimiento de aquéllos, envíen a terceros. En todo caso, el notario actuante, dejará constancia en acta de tales hechos, consignando la fecha y hora en que hayan sucedido y expresando con claridad los extremos que quedan amparados bajo su fe. A estos exclusivos efectos, podrán los notarios admitir como requerimiento de parte la instancia suscrita con firma electrónica avanzada atribuida al requirente por un prestador de servicios de certificación acreditado mediante un certificado reconocido”.

8. Bibliografía consultada 
- [5] Ricardo Seoane Rayo. “La carga de prueba en Compliance”. 1 de diciembre de 2014. Business Criminal Law.
Blog.
- [1] Cándido Conde-Pumpido Tourón. Coordinador de  Ley de enjuiciamiento Criminal. Ley y legislación complementaria. Doctrina y jurisprudencia”. Vol. II; Ed. Trivium,  Madrid. 1998.  páginas 2596 a 2598.
- [2] Alain Casanovas Ysla. “Contol legal interno”. Ed. La LEY (Grupo Wolters Kluwer). Madrid. Febrero 2012. Páginas 148 y 149.
- [3] Adán Nieto Martín. “La responsabilidad penal de las personas jurídicas: esquema de un modelo de responsabilidad penal”. Instituto de derecho penal europeo e internacional. Universidad de Castilla la Mancha. 2012. Página 8.
- [4] Flavio García del Rio. “La prueba en el proceso penal”. Parte General. Ediciones Legales Iberoamericanas EIRL. Lima. 2002. Página 92.
- [6] Cándido Conde-Pumpido Tourón. “CIRCULAR 1/2011 RELATIVA A LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS CONFORME A LA REFORMA DEL CÓDIGO PENAL EFECTUADA POR LEY ORGÁNICA NÚMERO 5/2010”. 1 de Junio de 2011. Fiscalía general del Estado.
Circular 1/2011

- [7] International Organization for Standardization. “ISO-19600:2014 Compliance management systems – Guidelines”. First edition. 15/12/2014.
ISO 19600:2014
 
- [8] José Luis Colom Planas. La responsabilidad penal corporativa, el Compliance Officer y el modelo integrado de GRC”. 26 de agosto de 2014. Blog “Aspectos profesionales”.
Blog

- [9] Ley 59/2003, de 19 de diciembre, de firma electrónica. BOE núm. 304, de 20/12/2003.
LFE

- [10] José Luis Colom Planas. “Modelos de cumplimiento legal y apreciación del riesgo”. Blog del Consejo General de la Abogacía Española, gestionado por ENATIC. 22 de diciembre de 2014.
Blog CGAE/ENATIC

9. Derechos de autor
Imágenes bajo licencia 123RF internacional.
El diagrama es propiedad de www.iso.org


La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito del derecho de las nuevas tecnologías: Ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación).
Ha superado el programa superior de especialización como Compliance Officer (Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.
Es consultor empresarial especializado en GRC (Governance, Risk and Compliance) en GESCONSULTOR, con incidencia en cumplimiento normativo y regulatorio, privacidad  y gestión de la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC) y CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo),    habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.



martes, 16 de diciembre de 2014

6a Píldora Tecnológica ICAB: 'La evaluación de impacto en protección de datos'


Resumen: Desarrollo del PowerPoint  presentado en la ponencia organizada por la Sección de Derecho de las Tecnologías de la Información y la Comunicación del Ilustre Colegio de Abogados de Barcelona (ICAB), en colaboración con el capítulo de Barcelona de ISACA.
La evaluación de impacto en protección de datos (o mejor aún, en privacidad) más conocida por su denominación inglesa: Privacy Impact Assessment o PIA, es una metodología para evaluar el impacto en la privacidad de un proyecto ya sea éste para diseñar un proceso de negocio, servicio, producto, dispositivo, App o cualquier iniciativa que implique tratamiento de datos personales, de forma que se puedan adoptar las medidas necesarias para evitar o minimizar posibles riesgos que pudieran afectar a esos datos. Es la consecuencia de aplicar el concepto de Privacidad en el Diseño (Privacy by Design) e incorpora instrumentos que hasta hace poco se utilizaban más en el entorno tecnológico, como el análisis y gestión de riesgos.


 ÍNDICE
1. Introducción
2. Concepto de privacidad
3. Introducción a la PbD
4. Factores de calidad en el diseño de un servicio
5. Evaluación de impacto en la privacidad
6. Bibliografía consultada




1. Introducción

La humanidad avanza cada vez más rápido. El progreso es un fenómeno imparable que viene propiciado por un efecto multiplicador, una interacción cruzada,  entre todos los estudios e investigaciones que tienen, y han tenido, lugar en el mundo.  E Internet, con su inmediata visibilidad global, actúa como un catalizador.
 
 
En este contexto, debemos evitar que el progreso vaya exclusivamente en favor del beneficio económico. No podemos ignorar a la humanidad que, a la postre, somos todos.

Precisamente evitar que esta finalidad económica, pese a ser licita y la razón de ser para la creación de la mayoría de empresas, se persiga a cualquier precio, es que aparece un binomio indivisible: Innovación y derechos humanos.

Debe buscarse una relación de equilibrio que no sea un freno para los avances tecnológicos, pero tampoco sea una violación continuada del largo camino que se ha necesitado para consolidar y proteger los derechos de las personas.

2. Concepto de Privacidad

 
Para ir entrando en materia, vamos a ver qué derechos fundamentales intervienen en el concepto de privacidad, circunscrito en la era digital:
 
  • El derecho a la intimidad: Es el que protege todos aquellos aspectos concernientes a la vida privada de un individuo, los cuales tiene derecho a que no trasciendan a terceros.
  • El derecho a la protección de datos: Es el que garantiza a los individuos el control y la libre disposición de sus datos personales, sean íntimos o no.

 
En el mundo actual, al estar nuestra intimidad  cada vez más digitalizada, la esfera íntima de las personas comprende cada vez un mayor número de datos personales. No es de extrañar, en este contexto, que se diluyan los límites entre el derecho a la intimidad y el derecho a la protección de los datos de carácter personal, siendo cada vez más los que designamos por “privacidad” a la conjunción de ambos derechos fundamentales.

3. Introducción a la PbD

 
Ann Cavoukian ha sido hasta julio de 2014 Comisionada de información y privacidad de Ontario (una de las 10 provincias del Canadá). Es Doctora en psicología, con especialización de postgrado en criminología y Derecho. Introdujo el concepto que se conoce como Privacy by Design – Privacidad desde el Diseño (PbD), que busca una relación win-win (ganar-ganar) en los nuevos proyectos que sean susceptibles de incorporar datos personales.

Esta relación win-win está en la línea del binomio (innovación, derechos de las personas) que hemos visto al principio.
 
 

En el ciclo de vida de los servicios (y los procesos, sistemas telemáticos, Apps… que los soporten) se puede actuar de dos formas:
 
  • Antes: actuar de forma proactiva respecto a la privacidad permitirá integrar ésta en el proceso de diseño evitando costosas rectificaciones posteriores (en la misma fase de aceptación del proyecto o posteriormente, mediante RFC, en la gestión de cambios) debido a no haberla tenido en cuenta.
  • Después: se corre el riesgo de propiciar un rechazo por parte de los actuales y futuros clientes y/o usuarios, dañando de forma irremediable la imagen de la empresa.

En consecuencia, el enfoque basado en la PbD aumenta la eficacia y la eficiencia del proyecto.

NOTA DEL EDITOR: En esta ponencia cuando hablo de diseñar un Servicio o Producto, me estoy refiriendo en sentido amplio a diseñar cualquier iniciativa susceptible de tratar datos de carácter personal. Puede ser un Servicio, un Proceso de Negocio (B.P.), software (App), un dispositivo telemático inteligente, un sistema de telecomunicaciones…


De los 7 principios hay dos que destacan, considerándose como el techo y los cimientos de la construcción en la que se encuentran los demás:
 
  • Respeto por el individuo: El interés del individuo (normalmente en calidad de usuario) siempre ha de estar presente en el diseño de servicios, por ejemplo mediante previsión de medidas de seguridad, mensajes informativos, opciones “user-friendly”, privacidad por defecto…
  • Suma positiva (sostenibilidad del proyecto): “Funcionalidad” y  “privacidad” no han de ser necesariamente características excluyentes sino que ambas han de estar garantizadas e integradas en cualquier servicio desde la fase del diseño. Pensemos que los usuarios no usarán aquellos servicios en los que no confían y a la larga desaparecerán. Los servicios que atentan a los derechos fundamentales de las personas, no pueden considerarse sostenibles.

Los cinco principios restantes, consecuencia de los anteriores, son:
 
  • Proactivo no reactivo / preventivo no correctivo: La privacidad por diseño se anticipa a los riesgos sobre los datos personales, identificándolos, evaluándolos y tratándolos mediante la adopción de medidas encaminadas a evitar que se materialicen durante la transición y operación del servicio.
  • Privacidad por defecto: Cualquier sistema ha de estar configurado de forma que por defecto otorgue una mayor protección a la privacidad de las personas. Un ejemplo es evitar que se comparta la información del usuario salvo que éste realice una acción voluntaria claramente identificada (Consentimiento informado: “Qué, con quién y cuándo”).
  • Privacidad embebida en el diseño: La protección de la privacidad ha de estar integrada en el servicio desde el momento en que se diseña, sin que ello disminuya su plena funcionalidad. No se trata de una opción que se añade a posteriori sino que, al contrario, es uno de sus componentes integrales.
  • Visibilidad y transparencia: La entidad que gestiona el servicio que trate datos personales ha de estar sujeta a los “términos y condiciones” y “políticas de privacidad” informados desde un principio y que no deberían modificarse sin el previo consentimiento del usuario afectado. También debería estar sujeta a una verificación independiente.
  • Seguridad “end to end”: La protección de la información se ha de configurar desde el momento en que se recaban los datos, y durante todo el ciclo de vida del servicio que los trata, hasta que éste es retirado y éstos sean utilizados para un nuevo servicio o destruidos. En este último caso se garantizará también que se eliminen de forma segura y confidencial, respetando los periodos de retención establecidos.

 
En una organización, existen diferentes actores involucrados con diferentes responsabilidades en privacidad:
 
  • El DPO (Data Protection Officer) establece las políticas de privacidad, generales y orientadas a los tratamientos de datos personales consecuencia de determinados servicios.
  • La Alta Dirección crea y avala la cultura de privacidad en la empresa mediante la ratificación y promulgación de políticas.
  • Los propietarios de los servicios (o los responsables de los productos) definen los requisitos de privacidad. Para ello se dirigen al DPO para orientarse y éste les informa de cuánto les afecta a su servicio concreto. Periódicamente, y como requerimiento legal, el DPO auditará el cumplimiento de los principios de privacidad en los diferentes servicios.
  • El equipo de proyecto redacta las especificaciones necesarias para poder implementar o producir el servicio o producto diseñado. Integrará los requisitos de privacidad facilitados por el propietario del servicio o producto quién, periódicamente  revisará, y aprobará si  procede,   la conformidad de las especificaciones.

4. Factores de calidad en el diseño de un servicio

 
En las diapositivas que siguen concretaré un poco más los considerandos que intervienen en el diseño, a través de los factores que afectan a su calidad, intentando ver donde encaja la privacidad.

Los factores que afectan a la calidad en el diseño de un servicio, App o sistema telemático, podemos contemplarlos desde dos puntos de vista diferentes:
 
  • La calidad que percibe el usuario
  • La calidad interna  

 
A simple vista da la sensación que relacionados con la privacidad (derecho a la intimidad y derecho a la protección de datos) hay un único factor en cada grupo.
 
  • A nivel de usuario: Por un lado la “privacidad” tal como la percibe el usuario del servicio (recabado de datos personales a partir del consentimiento informado, información clara y explícita de la finalidad de los tratamientos que se aplicarán sobre los datos personales recabados…).
  • A nivel interno: Los atributos de la seguridad de la información tratada por el servicio (confidencialidad, integridad y disponibilidad).

Ambos factores están relacionados ya que la privacidad se apoya, entre otras, en la gestión de la seguridad de la información, como se dispone en el Título VIII del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LO 15/1999, de 13 de diciembre, de protección de datos de carácter personal

Si lo analizamos con detenimiento, aparecen más relaciones:
 
  • El factor de calidad interna “configurabilidad” afecta también a la privacidad en cuánto permite ajustarla a los requerimientos de cada usuario, dando cumplimiento así a uno de los siete principios de la PbD, concretamente a la  privacidad por defecto en el diseño de servicios que se ha visto antes.
  • El factor de calidad interna “seguridad de la información” afecta a la confiabilidad, en tanto ningún usuario confía en un servicio que no es confidencial respecto a sus datos personales, no garantiza su integridad y no asegura la disponibilidad de los mismos cuando se necesitan.
  • El factor de calidad interna “portabilidad” afecta a la privacidad como se recoge en el artículo 18 del borrador del nuevo Reglamento General de Protección de Datos de la UE (RGPDUE). Concretando un poco más, la ratio legis de ese artículo es garantizar que se pueda seguir dando cumplimiento a los derechos ARCO en el nuevo entorno operativo.

5. Evaluación de impacto en la privacidad


Para poder integrar la privacidad en el diseño del servicio, es necesario poder evaluar el impacto detallado de todos los elementos que lo constituyen, los procesos en que se organiza, las infraestructuras que le dan soporte, etc.

Para ello existe, no una herramienta, sino un completo proceso conocido como Privacy Impact Assessment (PIA), que será obligatorio a partir de la entrada en vigor del nuevo Reglamento General Europeo de Protección de Datos (RGEPD).


Dividiremos el proceso de elaborar un PIA en cinco fases, cada una de ellas constituida por diferentes actividades:
 

Fase 1 (Preliminar)

Ésta fase está constituida por tres actividades:
 
  • Elaborar el Plan de Proyecto: En el constarán claramente especificados los objetivos generales del proyecto y su alineación con los de la organización, el alcance y la magnitud del proyecto, los vínculos con otros proyectos y algunos elementos clave de privacidad.
  • Cumplimentar el PTA: Un  Privacy Threshold Analysis – Análisis de Umbral de Privacidad (PTA) consiste  en un análisis previo basado en un sencillo documento de pocas hojas y pensado para profanos, que se utiliza a modo de “check-list”. Son pocas preguntas que solo admiten SI o NO como respuesta. A partir de un 10% afirmativo debe efectuarse un PIA.  Si el umbral es mucho mayor, entonces se aconseja el PIA  completo.
  • Recopilar documentación del proyecto: En ésta fase temprana se inicia la recopilación y gestión documental de toda la información relacionada con la privacidad en el servicio  la cual ayudará a desarrollar el PIA con éxito.

Fase 2 (Preparación)

El propósito de ésta fase es fijar la estrategia y la táctica para que la crítica “fase 3 (consultas y análisis)” pueda llevarse a cabo sin problemas. Está constituida por tres actividades:
 
Diagrama de los flujos de información: Se describen y dibujan en esta actividad los flujos de información de naturaleza personal que se tratarán durante la operativa del servicio o producto. Se trata de una actividad sustancial que debe desarrollarse con sumo rigor ya que los “olvidos” podrían ocultar vulnerabilidades importantes que desvirtuaran los resultados finales obtenidos.
Estrategia y plan de consultoría: Se definen las diferentes “partes interesadas” del proyecto y se elabora un plan de consultoría para poder recabarles toda la información necesaria. Debe entenderse por partes interesadas a la propia organización (Accionistas, Comité de Dirección, empleados en general…), clientes, distribuidores, proveedores, aseguradoras, reguladores, grupos gremiales, asociaciones profesionales, grupos de opinión…
Constitución del PCG: En función de la magnitud del proyecto, se constituirá un PIA Consulting Group – Grupo consultor del PIA (PCG), normalmente multidisciplinario que se encargará de apoyar y colaborar en el desarrollo del PIA.


Fase 3 (Consultas y análisis)

A partir del marco de trabajo definido en la “fase 2”, conviene centrarse en las diferentes consultas a las partes interesadas, analizar el posible impacto del proyecto de servicio en la privacidad y modularlo mediante un análisis de riesgos. Esta fase nos dará los recursos para poder encontrar y aplicar soluciones que permitan mitigar los problemas para la privacidad que hayan podido aflorar.

Está constituida por tres actividades:
 
  • Consultas y auditorías: En base a entrevistas y auditorías, siguiendo el plan definido en la “fase 2”, se recopila toda la información de detalle en el proyecto desde diferentes puntos de vista en el ámbito de la privacidad. Se acaban de perfilar, confirmándolos con evidencias, los diagramas de flujo de información que hemos dibujado en la fase anterior.
  • Análisis de impacto en la privacidad: Se identifican las vulnerabilidades del servicio o producto proyectado y se analiza su impacto en la privacidad. Algo parecido a los controles del anexo 1 de la norma ISO 27001. Un primer y sencillo filtro pueden ser los IPP (Information Privacy Principles), que si bien el borrador del RGPDUE no los recoge específicamente en un anexo como otras legislaciones de protección de datos  (Inglaterra -Data Protection Act 1998-, Victoria, Nueva Zelanda…) que vienen utilizando PIAs en la actualidad, pueden servir como una primera aproximación como veremos más adelante.
  • Análisis y Gestión de riesgos: Partiendo del anterior análisis de impacto, se evalúa la probabilidad de que las amenazas sobre la privacidad se materialicen.

Fase 4 (Documentación)

Si bien la documentación se genera y mantiene a lo largo de todas las fases del PIA, es en ésta donde se elabora el informe final.

Está constituida por una actividad:
  • Elaboración del informe PIA: Se trata de un informe resumen que abarca todas las etapas anteriores y finaliza con un apartado de recomendaciones. Una opción adicional, motivada por el delicado equilibrio entre seguridad y transparencia, consiste en editar una versión simplificada del informe PIA (tipo informe ejecutivo) que, sin desvirtuarlo, permita hacerlo público. Esta actitud de transparencia  aporta beneficios a la imagen de la organización y confianza a todas las partes interesadas.

Fase 5 (Revisión y auditoría)

El propósito de esta fase es asegurar que las nuevas características de diseño que surgen del PIA se implementen y sean efectivas.

Está constituida por dos actividades:
 
  • Auditoría post-PIA: Se trata de revisar el proyecto para asegurar que se incorporen en el diseño las recomendaciones del PIA.
  • Seguimiento periódico: Se tendrá en cuenta el Ciclo de Vida del proyecto, ajustando el PIA a las futuras variaciones del mismo. Como dispondremos de toda la documentación concerniente al efecto del diseño en la privacidad, mantenerlo no debería representar mayor dificultad.

 

Para poder elaborar el análisis de impacto en la privacidad, necesitaremos apoyarnos en los diagramas de flujo, que previamente habremos elaborado, sobre la información personal tratada en los servicios, procesos, Apps o dispositivos.



Una posible técnica puede ser descomponerlos en actividades o tareas. Se trata de algo sustancial que debe desarrollarse con sumo rigor ya que los “olvidos” podrían ocultar vulnerabilidades importantes que desvirtuaran los resultados finales obtenidos.


Para cada uno de estos elementos, evaluaremos más adelante que impacto puede llegar a representar para cada uno de los diferentes principios de la privacidad.

En el análisis de riesgos del PIA, manejaremos unos cuantos conceptos que es importante comprender y relacionar entre ellos previamente.


Para una mejor claridad, trazaremos una relación ontológica entre ellos:



Las amenazas aprovecharán vulnerabilidades de nuestro diseño de proceso de negocio, servicio, sistema o dispositivo, para producir un impacto en la privacidad. Afortunadamente la ocurrencia del impacto no es segura, sino que dependerá de la probabilidad de que suceda. La combinación de ambos factores, probabilidad e impacto es lo que nos dará el riesgo.

Este riesgo, en el caso de evaluaciones de privacidad, se entiende referido a la vulneración de los diferentes IPP (Principios de Privacidad de la Información).

Para obtener resultados comparables, se debe fijar un sistema de medición con escalas armonizadas entre todas las variables que intervienen.
 
En este caso por simplicidad, y como suele hacerse habitualmente en la práctica, utilizaremos escalas cualitativas, que son más intuitivas, frente a las cuantitativas.

Primero obtendremos el impacto que podría llegar a producirse en los principios de privacidad de la información (IPP), para cada una de los elementos en que se ha descompuesto antes el flujograma. En consecuencia, dibujaremos una tabla donde en un eje estén los IPP y en el otro los diferentes elementos (E1, E2, E3… En).


Para cada principio, según el elemento considerado, analizaremos si el impacto que se produciría, como consecuencia de materializarse los posibles riesgos relacionados, podría considerarse  bajo, medio, alto, muy alto o simplemente “no aplica”.

A continuación haremos lo mismo pero en vez de evaluar el impacto, evaluaremos la probabilidad de ocurrencia.


Obtendremos una tabla distinta. A partir de ambas, se podrá obtener el riesgo.

Para hacerlo intuitivamente utilizaremos una tabla que propone la metodología MAGERIT, que es un método formal para analizar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para tratar y controlar esos riesgos, muy extendida en las AAPP, especialmente en la adecuación al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).
 
 

Se trata de una tabla de doble entrada en la que, eligiendo el valor obtenido en la estimación del impacto por la parte izquierda, y eligiendo el valor obtenido en la estimación de la probabilidad de ocurrencia en su parte superior, en su intersección se  encuentra el valor del riesgo.

Se repetirá el método de cálculo para cada una de las casillas de la tabla. Ya se intuye que, en esta parte de naturaleza mecánica y repetitiva, es una buena idea ayudarse de una herramienta o plataforma telemática especializada en riesgos.

Cuando tengamos la tabla completa, deberíamos ordenar todos los riesgos obtenidos por su valor (de mayor a menor) dándonos una idea clara del orden por el que hemos de empezar a controlarlos.
 
Un concepto muy utilizado en gestión de riesgos es el apetito de riesgo. No es otra cosa que el umbral de riesgo que la organización está en condiciones de asumir. Así las cosas, como precisa el grupo de trabajo del artículo 29 en su Declaración wp218, nunca debería asumirse un nivel de riesgo que conculcara principios fundamentales de la privacidad.


Para cada riesgo por encima del umbral definido, por ejemplo “muy bajo”, debe decidirse si se evita (se elimina la funcionalidad), se trata aplicando controles o medidas que lo mitiguen (rediseño) o bien se ignora (se deja como está). Ésta última opción debe justificarse claramente.


Como el tratamiento del riesgo será lo habitual, remito a la Guía de la AEPD sobre la “Evaluación de Impacto en la Protección de Datos”, donde se indican para los diferentes Principios de Privacidad de la Información (IPP), los riesgos más frecuentes y las medidas para mitigarlos.


6. Bibliografía consultada

- AEPD (Agencia Española de Protección de Datos). “Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)”. Octubre de 2014.
Guía para EIPD

- ICO (Information Commissioner’s Office). “Privacy Impact Assessment Handbook version 2.0”. June 2009.
PIA handbook

- ICO (Information Commissioner’s Office).  “Conducting privacy impact assessments code of practice”. Based about UK Data Protection Act.
Conducting PIA

- Varios autores (entre los que me incluyo). “Reflexiones sobre el futuro de la privacidad en Europa – Capítulo 2: Privacy Impact Assessment y Privacy by Design”. Noviembre de 2013. DPI-ISMS Forum Spain.
Capítulo 2 – PIA y PbD

- José Luis Colom Planas. “Consideraciones teórico-prácticas sobre el proceso de elaborar un PIA”. Blog “Aspectos Profesionales”. 13 de abril de 2014.
Consideraciones PIA
 
- José Luis Colom Planas. “Modelos de cumplimiento legal y apreciación del riesgo”. Blog del Consejo General de la Abogacía Española, gestionado por ENATIC. 22 de diciembre de 2014.
Blog CGAE/ENATIC