sábado, 24 de septiembre de 2016

La dovela central del Reglamento Europeo de Protección de Datos (RGPDUE)


Resumen: El Reglamento (UE) 2016/679 representa un cambio significativo en relación a cómo debe entenderse la protección de los datos de naturaleza personal en la Unión Europea. En él se traslada el centro de gravedad desde los ficheros de datos hacia los tratamientos, dotando de mayor cobertura a los derechos y libertades de los ciudadanos ante los nuevos retos que surgen fruto del progreso tecnológico.


Autor del artículo
Colaboración
José Luis Colom Planas
Equipo jurídico de GOVERTIS
Actualizado

24 de septiembre de 2016




Índice

1. Introducción
2. Cambio estratégico en el RGPDUE
3. Los conceptos de tratamiento y de fichero
4. Pese a todo, los ficheros seguirán existiendo
5. ¿Dónde aplicar los principios de protección de datos?
6. Registro de las actividades de tratamiento
7. Epílogo
8. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor



1. Introducción

La aprobación del Reglamento (UE) 2016/679 [1] , de 27 de abril, Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, conocido como Reglamento General de Protección de Datos de la Unión Europea (RGPDUE), representa un cambio de mentalidad respecto a lo que estábamos acostumbrados en España mediante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), su Reglamento de desarrollo en base al Real Decreto 1720/2007, de 21 de diciembre (RLOPD) y demás legislación concordante.

Es cierto que el RGPDUE introduce un elenco de novedades, tratadas exhaustivamente por diferentes compañeros. [2] Incluso han sido analizadas a partir del borrador, años antes de su aprobación definitiva, con elevado nivel de acierto. [5]

No obstante, a mi entender, de todas ellas hay dos que son las más relevantes, especialmente la segunda:
  • La primera novedad es la Evaluación de Impacto en la Protección de Datos (EIPD), también conocida en lengua anglosajona como Privacy Impact Assessment (PIA), que ha sido tratada con exhaustividad en este mismo blog y por otros autores. [4] Viene a sustituir la actual clasificación cualitativa basada en niveles de los datos personales -básico, medio y alto-, y las consecuentes medidas de seguridad asociadas (Vid. Art. 7 LOPD y Art. 81 RLOPD), sustituyéndola en el RGPDUE por una evaluación de riesgo respecto a los derechos y libertades que representan los tratamientos aplicados sobre esos datos. Dichos valores de riesgo se obtendrán mediante la realización de una EIPD.  Pese a todo, se continúan identificando en el artículo 9 RGPDUE las categorías especiales de datos, prohibiéndose su tratamiento salvo que concurra alguna circunstancia de las que en el mismo artículo se determinan. La EIPD es un instrumento fundamental en la Privacidad desde el Diseño (PbD) y por defecto, según se señala en el artículo 25 RGPDUE. [3]
  • La segunda novedad es estratégica y emana del propio Reglamento en su conjunto. Para mí es la principal, ya que marca un cambio significativo respecto a la legislación anterior (todavía vigente en el momento de redactar este artículo al encontrarse el RGPDUE en período de “vacatio legis” hasta mayo de 2018, fecha en que será de aplicación directa a todos los estados miembros de la unión). La comentaré seguidamente.



2. Cambio estratégico en el RGPDUE

De alguna manera con el RGPDUE se desplaza el centro de gravedad de la norma jurídica, desde proteger ficheros, cómo estábamos acostumbrados mediante la LOPD y RLOPD, hacia asegurar tratamientos.
  • Se pasa de un concepto de protección estática a protección dinámica que ya se vislumbra si comparamos el título de la LOPD “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de DATOS de Carácter Personal” con el del nuevo RGPD “Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al TRATAMIENTO de datos personales y a la libre circulación de estos datos”.
  • No se requiere publicitar los ficheros en el Registro General de Protección de Datos (RGPD) de la Autoridad de Control, en España la AEPD, lo que corrobora esa traslación desde los datos personales, pese a ser el bien jurídico a proteger, hacia los tratamientos sobre esos datos, que son los que entrañan riesgo. Recordaré que en última instancia el mero hecho de poseer datos personales (almacenarlos), ya se considera una forma de tratamiento.



NOTA DEL EDITOR: No confundir las siglas RGPD correspondientes al Registro General de Protección de Datos de la AEPD, con las siglas RGPDUE correspondientes al Reglamento General de Protección de Datos de la Unión Europea. Por desgracia coinciden en parte pero, por suerte, el primero quedará en desuso con la aplicación efectiva del segundo, evitándose confusiones a partir de entonces.



En cierto modo, este nuevo planteamiento es una consecuencia lógica en la era del Big Data, donde la aplicación de tratamientos constituidos por técnicas analíticas a grandes volúmenes de información –estructurada o desestructurada-, permite inferir conocimiento. Algunas veces incluso combinando fuentes que por separado podríamos llegar a considerar anonimizadas o inocuas respecto a la protección de datos. En consecuencia, ese conocimiento se infiere en ocasiones debido a los tratamientos y no es inherente a los datos en sí mismos.

Como ya he señalado, este planteamiento lo corrobora el hecho de que ya no sea necesario publicitar los ficheros en el correspondiente registro general de la Autoridad de Control competente, debiendo en cambio mantener, el responsable o el encargado del tratamiento, registros de las actividades de tratamiento bajo su responsabilidad. Sobre estos registros volveré más adelante en este mismo artículo.



3. Los conceptos de tratamiento y de fichero

Si consultamos las diferentes normas jurídicas relacionadas con la privacidad en los distintos ordenamientos jurídicos sobre la definición de tratamiento, veremos conceptos similares, aunque con sutiles diferencias.

Según el artículo 4.2) RGPDUE: “«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;.

Si la comparamos en España con la LOPD y RLOPD respectivamente:
  • Según el artículo 3.c) LOPD: Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  • Según el artículo 5.t) RLOPD: Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”.



Vemos que en las Normas españolas, se insistía en operaciones técnicas, cuando en el RGPDUE es cualquier operación o conjunto de operaciones, dando así la máxima amplitud de significado al que deviene en eje central del Reglamento europeo.

Mientras que la definición de fichero es, según el artículo 4.6) RGPDUE: “«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.

Aquí yo hubiera abogado por definirlo como “todo conjunto de datos personales” sin distinción en estructurados o desestructurados, ya que las principales bases de datos empleadas como repositorios de Big Data son desestructuradas o “No SQL”. La experiencia demuestra que concretar mucho no siempre es la mejor solución en base al principio de universalidad.

Existe otra forma de ver el mayor nivel de empoderamiento de los tratamientos, frente a un fichero:
  • El fichero tiene per se una única finalidad asociada, que es agrupar un conjunto de datos para facilitar su acceso y localización, llevando siempre asociado de forma inherente un tratamiento, que es el de almacenamiento y conservación de su contenido.
  • El tratamiento incorpora múltiples posibilidades: comunicación y transferencia de datos, obtención de resultados, reelaboración de los datos de partida posibilitando crear otros de nuevos, etc.

Una curiosidad al respecto es que no puede existir fichero sin tratamiento (aunque sea el mero almacenamiento), pero sí tratamiento sin fichero, como podría ser el visionado de imágenes de videovigilancia sin grabación, por un vigilante de seguridad.



4. Pese a todo, los ficheros seguirán existiendo

Es una obviedad, como ya he dicho, que el dato personal es el bien jurídico a proteger, y el que da sentido a los tratamientos. Sin datos personales no pueden existir los tratamientos sobre ellos.

Luego el contenido esencial del derecho fundamental a la protección de datos está basado en un conjunto de normas (principios y reglas) de obligado cumplimiento para el que trata la información personal y que van dirigidas a proteger el dato personal considerado en sí mismo, a la vez que se limitan los tratamientos a que pueda ser sometido. Para ello se definen un conjunto de medidas preventivas de defensa, tanto jurídicas como organizativas y técnicas, que protejan a la información personal desde el mismo momento que se recaba, y a los tratamientos que se le aplicarán, durante todo su ciclo de vida.

En base a esta idea, no se puede prescindir ni del uno, ni del otro, dentro de cualquier marco jurídico de protección de datos. Y técnicamente tampoco, ya que, con independencia de declararlos en la Autoridad de Control, o no, los ficheros físicos siguen existiendo como requerimiento técnico para soportar los datos.

Para mí, lo que introduce el RGPDUE es más bien una variación en el enfoque más que una discusión ontológica. No se trata de buscar la esencia del fichero o del tratamiento, ya que ambos siempre han existido y existirán. Nada cambia respecto a ellos. Únicamente el fichero cede protagonismo frente a los tratamientos debido al abanico de posibilidades que deben ser tenidas en cuenta en las evaluaciones, pero no implica que el primero deba ser ninguneado.



5. ¿Dónde aplicar los principios de protección de datos?

No siempre será posible asociar principios de protección de datos a los tratamientos, como tampoco podrá hacerse a los ficheros.  Como ejemplo, el principio de limitación de la finalidad se aplica a tratamientos, no a ficheros. En consecuencia se puede intentar elaborar una relación de principios que emanan de las normas jurídicas, como es el RGPDUE,  y comprobar si aplican únicamente a los tratamientos, a los ficheros de datos, o a ambos.  Recordemos que medidas para proteger esos principios, las hay jurídicas, organizativas y técnicas.

Una primera aproximación de partida podría ser la siguiente, pese a no existir un absoluto consenso en su elaboración:



 (*) Nota: (ARC)=Acceso, Rectificación y Cancelación; (OS)= Oposición y Supresión (Olvido).

Principio de protección de datos
(sin pretender ser una relación exhaustiva)
Elemento al que aplica principalmente


Consentimiento informado
Tratamientos
Ficheros
Limitación en el recabado de datos
Tratamientos
Ficheros
Calidad de los datos

Ficheros
Especificación del propósito
Tratamientos

Limitación de la finalidad
Tratamientos

Transparencia
Tratamientos
Ficheros
(*) Ejercicio de derechos (ARC) (OS)
(OS) Tratamientos
(ARC)
Ficheros
Rendición de cuentas
Tratamientos

Velar por las Transferencias Internacionales de Datos (TID)
Tratamientos

También podría verse desde la perspectiva de Ficheros si no fuera una cesión “intencionada”. En caso contrario, esa actividad o acción de ceder constituiría un Tratamiento.
Velar por las cesiones de datos
Tratamientos

También podría verse desde la perspectiva de Ficheros si no fuera una cesión “intencionada”. En caso contrario, esa actividad o acción de ceder constituiría un Tratamiento.
Principio de seguridad
Tratamientos
Ficheros



Vemos que a pesar de predominar el color verde en la aplicación de principios de la protección de datos sobre tratamientos, el color naranja, que he asignado arbitrariamente a los ficheros, en absoluto desaparece.



6. Registro de las actividades de tratamiento

El artículo 24.1 RGPDUE dispone: “Los Estados miembros dispondrán que cada responsable conserve un registro de todas las categorías de actividades de tratamiento de datos personales efectuadas bajo su responsabilidad”, pasando a detallar su contenido en los epígrafes del a) al i). También el apartado 2 del mismo artículo señala: “Los Estados miembros dispondrán que cada encargado del tratamiento lleve un registro de todas las categorías de actividades de tratamiento de datos personales efectuadas en nombre de un responsable”, pasando también a detallar su contenido en los epígrafes del a) al d).

El artículo 24.3 RGPDUE dispone “Los registros a que se refieren los apartados 1 y 2 se establecerán por escrito, inclusive en formato electrónico. El responsable y el encargado del tratamiento harán que los registros estén disponibles para la autoridad de control a solicitud de esta.

Afortunadamente las exigentes excepciones de aplicación que se determinaban en el texto del borrador del RGPDUE, parecidas a las que se exigen para la obligatoriedad de disponer de un DPO, desaparecieron en el texto definitivo. Yo mismo he sido un acérrimo defensor de suprimirlas por carecer de coherencia jurídica con la ratio legis del Reglamento europeo. Recordaré lo que señalaba el superado borrador en su momento: Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10”.

No es menos cierto que, según mi opinión personal, en el borrador se producía una flagrante contradicción jurídica, ya que:
  • Por una parte, se señalaba la necesidad de documentar siempre las actividades de tratamiento para poder demostrar, en calidad de responsable o encargado, el debido control sobre las mismas y dar así cumplimiento al principio de “accountability” (traducido en la versión española por “responsabilidad proactiva”) introducido por el artículo 5.2 RGPDUE.
  • Y por otra parte, se restringía la obligatoriedad de registrar las actividades de tratamiento a empresas de 250 o más trabajadores, algo que excluye, por ejemplo, a más del 90% de las empresas españolas.



7. Epílogo

Para mí el artículo 24 RGPDUE, sobre los registros de las actividades de tratamiento (RAT), debería ser la dovela central del Reglamento General Europeo de Protección de Datos. Es el hilo conductor del principio de “accountability” en relación a las actividades de tratamiento sobre los datos de naturaleza personal.

Ya hemos visto que los tratamientos se vuelven nucleares en el RGPDUE, junto al propio dato personal en sí mismo. Incluso el considerando (82) señala “Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.

Yendo un poco más allá, las EIPD deben hacerse, según dispone el artículo 35.1 RGPD, Cuando sea probable que un tipo de TRATAMIENTO, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. No se hace una EIPD sobre un fichero de datos, sino sobre un tratamiento de datos personales.

Por todo lo desarrollado aquí, vemos que el RGPDUE dota a la protección de los derechos y libertades de los ciudadanos de la Unión Europea de mayor grado de coherencia y homogeneidad en sus disposiciones por el hecho de poner, con mayor intensidad, el foco en los tratamientos.



8. Bibliografía consultada

- [1] Reglamento (UE) 2016/679, de 27 de abril, Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. “Reglamento General de Protección de Datos de la Unión Europea (RGPDUE)”.
RGPDUE


- [2] Eduard Chaveli Donet. “Algunas novedades del recientemente aprobado Reglamento General de Protección de Datos de la Unión Europea”. Tribuna de la publicación COMUNICAV del Ilustre Colegio de Abogados de Valencia. Pág. 28 y 29. Agosto 2016.
Novedades RGPDUE

- [3] José Luis Colom. “Recopilación de entradas sobre Privacidad desde el Diseño (PbD)”. Blog Aspectos Profesionales. Junio de 2015.
Privacidad desde el Diseño (PbD)

- [4] Eduard Chaveli Donet. “Cómo realizar una Evaluación de Impacto en Protección de Datos (EIPD) en el marco del Reglamento General de Protección de Datos de la Unión Europea (RGPDUE)”, parte 1 (6 de septiembre 2016), parte 2 (13 de septiembre 2016) y parte 3 (20 de septiembre 2016). Blog de GOVERTIS.
Cómo realizar una EIPD, Parte 1

Cómo realizar una EIPD, Parte 2

Cómo realizar una EIPD, Parte 3

- [5] Emilio Aced Félez. “La nueva Propuesta de Reglamento General de Protección de Datos de la Unión Europea”. Blog Aspectos Profesionales. Enero de 2013.
Comentarios al borrador del RGPDUE



9. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
24/09/2016
Redacción inicial del artículo
Autor


















10. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.





jueves, 1 de septiembre de 2016

El triángulo de responsabilidad penal en la persona jurídica


Resumen: Se explica el modelo de transferencia de responsabilidad penal en la empresa, para acabar recomendando la implantación de un modelo de prevención de riesgos penales.


Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

1 de septiembre de 2016




Índice

1. Obligatoriedad de los programas de Compliance Penal
2. Transferencia de responsabilidad de la PF a la PJ
3. Transferencia de responsabilidad de la PJ al administrador
4. El triángulo de responsabilidad penal en la persona jurídica
5. Epílogo
6. Bibliografía consultada
7. Control de cambios del artículo
8. Derechos de autor



0. Artículo disponible en vídeo













1. Obligatoriedad de los programas de Compliance Penal


He tenido ocasión de leer titulares de artículos donde se señala la obligación de implantar un programa de prevención de delitos en las empresas. Nada más lejos de la realidad.

Otro si es que su implantación, habitualmente en forma de Sistema de Gestión del Cumplimiento Penal (SGCP), sea, en la coyuntura actual de nuestro ordenamiento jurídico, muy recomendable y casi imprescindible, como veremos más adelante.

La confusión surge del entonces proyecto de Ley Orgánica por la que se modificaba la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, de fecha 4 de octubre de 2013, [2] en el que, los que por aquel entonces ya nos dedicábamos a Compliance Penal recordaremos que se proponía introducir un nuevo artículo 286 seis CP que penaba directamente al representante legal o administrador de cualquier sociedad, con el siguiente redactado:

1. Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses, e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso, el representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, que omita la adopción de las medidas de vigilancia o control que resultan exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la diligencia debida (…)”.

Este artículo se consideraba por aquel entonces de efectos devastadores ya que, partiendo del deber de garante del representante o administrador societario, se le castigaba como sujeto activo por un delito  de omisión respecto a las medidas de vigilancia y control exigibles para evitar la comisión de determinados delitos en la empresa.

Dicho artículo 286 seis CP se cayó del texto definitivo y, en consecuencia, ya no consta en la vigente Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

No obstante, se verá más adelante en este artículo que el Código Penal en vigor dispone de mecanismos para suplir la ausencia del referido artículo 286 seis CP.



2. Transferencia de responsabilidad de la PF a la PJ

Un segundo error que suelo apreciar es que todavía hay quien considera que el modelo español de transferencia de Responsabilidad Penal de la Persona Jurídica (RPPJ) le transfiere la culpa del acto delictivo cometido por la PF a la PJ, cuando lo único que se transfiere es la responsabilidad penal del mismo y, en consecuencia, con penas graves, pero distintas. De ahí que pueda haber exención de esa responsabilidad transferida a la PJ si en base a la debida diligencia se ha implantado un modelo de prevención penal.

Podemos afirmar que si por ejemplo una PF sometida al control de la PJ comete en provecho de la sociedad y durante las actividades societarias uno de los delitos catalogado como susceptible de acarrear RPPJ, será también la PJ penalmente responsable y castigada con las penas que en el CP se determinen, a no ser que la PJ disponga implantado un modelo eficaz de prevención de delitos, como dice la Circular 1/2016 de la Fiscalía General del Estado (FGE), arraigado en la cultura de la organización.

En el caso de la PJ las penas pueden oscilar desde una sanción económica, pasando por clausura de locales o intervención judicial, hasta la disolución de la organización.



3. Transferencia de responsabilidad de la PJ al administrador

En relación a la RPPJ se habla mucho del artículo 31 bis CP y concordantes, pero el gran olvidado es el artículo 31 CP, que además permanece casi invariable desde que entró en vigor el 23 de noviembre de 1995 el Código Penal que, con sucesivas reformas en 2010 y 2015, ha llegado a nuestros días.

Dicho artículo 31 CP dispone: “El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se den en la entidad o persona en cuyo nombre o representación obre”.

Lo que señala este artículo es la transferencia de responsabilidad desde la entidad o persona jurídica que representa, hacia el administrador, por el mero hecho de serlo. [3]



4. El triángulo de responsabilidad penal en la persona jurídica

La relación matemática transitiva implica que cuando un elemento se relaciona con otro, y éste con un tercero, entonces el primero se relaciona con el tercero.

Si este simple razonamiento lo aplicamos a las transferencias de responsabilidad tratadas en los apartados anteriores, obtenemos el que se me ha dado por llamar triángulo de responsabilidad penal en la PJ, [1] que a continuación se representa gráficamente:




5. Epílogo

El resultado del triángulo de responsabilidad penal en la PJ provoca un efecto análogo, aunque indirecto, al que se pretendía con el desaparecido artículo 286 seis del proyecto de reforma del Código Penal de 2013.

Si una PF comete un delito en la organización que ocasione RPPJ, si se acredita la inexistencia de un modelo de prevención penal, la PJ será penalmente responsable por lo dispuesto en el art. 31 bis CP y, en consecuencia, también lo será el administrador por lo dispuesto en el art. 31.

Esto explica mi afirmación inicial de que la implantación en las empresas de un modelo de prevención de delitos penales en base a un Sistema de Gestión de Compliance Penal, pese a no ser obligatorio en base a normativa jurídica, si que es muy recomendable, casi imprescindible.

6. Bibliografía consultada

- [1] José Luis Colom. PPT de la ponencia “Cómo integrar los controles de Prevención de Blanqueo de Capitales y de la Financiación del Terrorismo con los sistemas basados en la norma ISO 19600”. Programa de actualización INBLAC. Barcelona, julio de 2016.


- [2] Boletín Oficial de las Cortes Generales. Congreso de los Diputados. Proyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 121/000065. 4 de octubre de 2013.
Proyecto de reforma del CP 2013




- [3] José Luis Colom. Responsabilidad por deber de garante: Aplicación al CCO y al DPO”. Blog Aspectos Profesionales. 3 Mayo de 2015.
Responsabilidad por deber de garante


- [4] Jesús María Silva Sánchez. El delito de omisión. Concepto y sistema”. Editorial B de F. Colección maestros del Derecho penal nº 12. 2ª edición. Buenos Aires, 2010. ISBN: 9974-578-30-2.



7. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
01/09/2016
Redacción inicial del artículo
Autor


















8. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.