Resumen: Este estudio presenta un paralelismo
entre las figuras del Chief Compliance Officer (CCO) y el Data Protection Officer
(DPO), en relación a la responsabilidad derivada del deber de garante, en el
ámbito de sus competencias, que ostentan en el seno de la PJ.
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
6 de septiembre de 2016
|
|
Índice
1. Introducción a la
responsabilidad por deber de garante2. La comisión por omisión
3. El deber de garante
4. El deber de garante del Administrador en la PJ
5. El deber de garante del CCO en la PJ
6. El deber de garante del DPO en la PJ
7. Epilogo
8. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor
1.
Introducción a la responsabilidad por deber de garante
Éste sería el caso del Chief
Compliance Officer (CCO) o responsable del órgano (individual o colegiado)
de la persona jurídica, con poderes autónomos de iniciativa y de control, que
velará, quizá entre otros, por el cumplimiento del modelo de prevención de
delitos penales en el seno de la empresa.
Más adelante, por analogía, intentaremos extrapolar esta
responsabilidad a otras figuras que prestan su desempeño en la persona
jurídica, con obligación por su cargo de velar por determinado cumplimiento,
como puede ser el Data Protection
Officer (DPO).
2. La
comisión por omisión
Podemos clasificar las conductas omisivas, al menos en
omisión pura y comisión por omisión.
- La omisión pura, en Derecho Penal, sitúa el fundamento de la punición en el terreno de la antijuridicidad formal, trasladando la responsabilidad penal del plano causal al normativo. Sería la abstención simple de hacer algo que marca la Norma.
- La comisión por omisión, fundamentada en las teorías causales, se basa en que la omisión de determinada conducta que evitaría un resultado penal es casi idéntica a causar éste a través de una conducta activa. Sería haber dejado de hacer algo necesario. Es aquí donde confluye con el deber de garante.
3. El
deber de garante
Para poder atribuir responsabilidad a quién omite una acción,
se requiere en el Derecho Español:
- A) Posición de garante: La existencia de una posición de garante en previsión de un evento perjudicial.
- B) Conexión: La existencia de alguna conexión entre omisión y responsabilidad.
- C) Resultado: La producción de un resultado dañino íntimamente ligado al evento.
La referida conexión, en la comisión de un delito por omisión,
se sitúa en la exigencia de que concurra una situación en la que el
ordenamiento impone una concreta y predeterminada posición jurídica a
determinada persona (el omitente)
ante una situación típica de riesgo dando lugar a una específica
obligación de actuar que es lo que, en esencia, configura la llamada posición de garante.
Para gran parte de la doctrina y de la jurisprudencia se
establece esta equivalencia en función de que se pueda deducir (y acreditar)
que, por parte del omitente, existe
un compromiso específico y efectivo de actuar, a modo de barrera de contención
de riesgos, frente a un posible evento y frente a algún posible perjudicado: es
decir, que existirá posición de garante, cuando entre omitente y perjudicado
exista alguna obligación (de cualquier origen) real y efectiva que imponga al omitente una determinada actuación de
prevención, de protección o de evitación [1].
Pero, aun cumpliéndose todos los requisitos enumerados
anteriormente, resulta también necesario:
- D) Previsibilidad: Que no se haya producido el evento por la concurrencia de otros factores externos, imprevisibles o inevitables, ajenos a los que configuran la específica posición de garante, ya que éste factor imprevisible eximirá de cualquier responsabilidad al omitente que está situado como garante, al tener su origen el resultado lesivo en factores imponderables.
- E) Posibilidad de actuar: la necesidad de que el omitente obligado estuviera en condiciones de realizar la conducta prevista. En caso de imposibilidad de actuar no surge responsabilidad por la inacción, eliminando la responsabilidad inherente a la situación de garante.
4. El
deber de garante del Administrador en la PJ
No escapa a la lógica de la razón admitir que en el ámbito y
en representación de la persona jurídica, el Administrador tiene los deberes
propios de garante sobre la conducta de sus empleados.
Este poder lo ejerce de dos formas consecutivas:
- Primero, desde la perspectiva in eligendo, estableciendo los controles adecuados en el proceso de selección de los trabajadores.
- Después, in vigilando, supervisando su desempeño profesional en la medida de sus posibilidades razonables, especialmente con los puestos más especializados.
Podríamos decir que este poder de supervisión y control está
orientado como: [2]
- Garante de protección, desde una perspectiva ad intra, evitando resultados lesivos para la propia empresa.
- Garante de control, desde una perspectiva Ad extra, evitando resultados lesivos sobre terceros externos a partir de la actividad de los empleados.
En consecuencia, estamos en condiciones de afirmar que el
Administrador de la PJ se encuentra en una posición de garante originaria, que
le obliga a impedir la comisión de delitos por parte de subordinados con
repercusión en los bienes jurídicos de terceros. [5]
Por ello, los órganos de Administración deben establecer los
mecanismos de organización adecuados para evitar los riesgos de comisión de
ilícitos en su seno o, en todo caso, mitigarlos hasta niveles tolerables por las
circunstancias de la PJ. Ello, no obstante, no exonera al órgano de gobierno de
su posición de garante.
Con el establecimiento de la organización, el empresario
tiene un derecho y un deber equilibrados:
- El deber de evitar los cursos lesivos que surgen de la actividad empresarial, asumiendo el compromiso de contener aquellos riesgos que de la misma vayan surgiendo para los bienes jurídicos de los demás.
- El derecho a ejercer la libertad que emana del establecimiento de la propia empresa.
Luego, por defecto, la comisión por omisión se dará en
relación a los riesgos típicamente unidos a la actividad empresarial que
tienden a descontrolarse, de no ponerse remedio, con el paso del tiempo.
5. El deber
de garante del CCO en la PJ
“(…) 2. Si el delito fuere cometido por las personas
indicadas en la letra a) del apartado anterior, la persona jurídica quedará
exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª el órgano de administración ha adoptado y ejecutado
con eficacia, antes de la comisión del delito, modelos de organización y
gestión que incluyen las medidas de vigilancia y control idóneas para prevenir
delitos de la misma naturaleza o para reducir de forma significativa el riesgo
de su comisión;
2.ª la supervisión del funcionamiento y del
cumplimiento del modelo de prevención implantado ha sido confiada a un órgano
de la persona jurídica con poderes autónomos de iniciativa y de control o
que tenga encomendada legalmente la función de supervisar la eficacia de los
controles internos de la persona jurídica; (…)”.
En este caso, la delegación de competencias en un órgano de
la persona jurídica, con poderes autónomos de iniciativa y control, para que
supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye
un mecanismo de transferencia de la posición de garante porque, basándonos
en esa delegación, el órgano de administración como delegante hace surgir una posición de garantía en el órgano de
cumplimiento normativo, en calidad de delegado.
Este órgano puede ser colegiado o unipersonal pero, en todo caso, dirigido o
coordinado por el CCO.
No obstante cabe decir que la posición de garante del órgano
de administración no desaparece del todo sino que pasa a ser secundaria o
residual. Pero es cierto que la delegación correctamente efectuada modifica la
posición jurídica del delegante liberándole de los deberes inherentes del
ámbito competencial de que se trate, pues de lo contrario, carecería por
completo de sentido que se llevara a cabo. [5]
Al órgano de administración ya no le incumbe el deber de
control directo de la fuente de riesgo, que sí le corresponde al órgano de
cumplimiento, pero sí le compete la correcta selección, formación e información
del responsable de cumplimiento, la dotación a este órgano de los medios
necesarios para el cumplimiento de sus funciones y, especialmente, el deber de
vigilancia sobre éste en el sentido de adquirir conocimiento y corregir sus
actuaciones defectuosas [2].
Otra manera de verlo es considerando que el delegante mantiene el poder de
revocación de la delegación, lo que representa que tiene la facultad de vigilar
lo que el delegado organice,
estableciendo los oportunos mecanismos de vigilancia y control con respecto al
correcto desarrollo de la actividad por parte del delegado. [5] Estos
mecanismos podrían articularse en base a pasar auditorías internas o
mediante la obligación de reportar periódicamente informes de gestión.
Simplificando mucho, el CCO suele tener tres funciones
básicas:
- En algunos casos, si no el diseño y materialización, si la aceptación del modelo de cumplimiento encargado por el órgano de Administración a un tercero.
- La implementación del modelo, y definitiva adaptación a la realidad de la empresa, para lograr los fines preventivos para la evitación de hechos delictivos.
- El control y seguimiento de las normas derivadas del modelo, identificando las posibles infracciones e informando de las mismas a la Administración de la empresa con el fin de prevenirlas.
En consecuencia, el responsable de cumplimiento sí puede ser
responsable de los actos cometidos por el personal de la empresa, sometido a
las normas del modelo, en el caso de una dejación de funciones u omisión del
cumplimiento de sus deberes, porque esa "área de riesgo" es la que
queda sometida a su deber de control.
Un matiz sutil, pero importante, es el que considera que para
generarse responsabilidad por omisión del deber de garante del CCO, el riesgo
no impedido debe pertenecer a la clase de riesgos cuyo compromiso de control ha
sido asumido expresamente por el Responsable de Cumplimiento. [6] En algunos ámbitos al CCO sólo le corresponde
impedir delitos relativos al fraude o la corrupción, y no delitos
medioambientales o contra los derechos de los trabajadores, por ejemplo, cuya
prevención está asignada a otros departamentos especializados. Sera por esta
razón muy importante con que cláusulas y nivel de detalle se redacte el
contrato laboral, o de prestación de servicios, que ha de vincular al CCO con
la PJ.
Así las cosas, esa omisión
imprudente de sus deberes de vigilancia podrá generar la propia
responsabilidad al Responsable de Cumplimiento, pudiendo responder
imprudentemente respecto de la infracción de sus deberes.
Cabe matizar que los deberes básicos que le incumben al CCO en
primera instancia, salvo que contractualmente se acuerde otra cosa, se reducen
a:
- Vigilar el cumplimiento del modelo de prevención de delitos.
- Formar y concienciar a los trabajadores
- Informar a la Administración de la PJ del desarrollo, incidencias y eventuales riesgos detectados en su actividad de supervisión y control.
Eso no quita que tenga facultades decisorias sobre los
eventuales controles a aplicar y las posibles sospechas a investigar, siendo
independiente en términos organizativos, económicos y materiales, aunque careciendo
de facultades ejecutivas. [5]
De lo anterior podría desprenderse que el CCO es tan solo un
órgano auxiliar, ya que el cumplimiento del Derecho en la empresa recae
primordialmente sobre el órgano de Administración. No obstante, tan pronto como
el Responsable de Cumplimiento pase a desempeñar su función, recibe de forma
derivada su posición de garante, por delegación de los deberes que competen a
la Administración de la PJ.
Si una vez el CCO ha dado traslado de información relevante
al órgano de Administración para impedir un delito, éste no lo impide, el
responsable de cumplimiento no responderá penalmente por no haber adoptado
ulteriores medidas encaminadas a que el delito no se cometiera. Evidentemente
ha de estar en condiciones de acreditarlo.
6. El deber de garante del DPO en la PJ
En ambos casos, si se
produce un incidente motivado por una dejación de funciones del CCO o del DPO, la empresa mantiene su
responsabilidad última entendida en un caso como posible responsabilidad penal
de la persona jurídica donde opera un CCO y, en otro, asumiendo su
responsabilidad como responsable del tratamiento en relación a la protección de
datos personales, donde opera un DPO.
Me he referido antes
a que la delegación de competencias en un órgano de la persona jurídica con
poderes autónomos de iniciativa y control, para que supervise el funcionamiento
y el cumplimiento del modelo de prevención, constituye un mecanismo de
transferencia parcial de la posición de garante.
Al estar el DPO,
según el artículo 38.3 del Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos (RGPDUE),
en posesión de “poderes autónomos de iniciativa i control” en el ámbito de las
funciones y competencias que tiene encomendadas, la analogía es total.
El citado artículo 38.3
RGPDUE dispone a tenor literal:
“El responsable y
el encargado del tratamiento garantizarán que el delegado de protección de
datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas
funciones. No será destituido ni sancionado por el responsable o el
encargado por desempeñar sus funciones. El delegado de protección de datos rendirá
cuentas directamente al más alto nivel jerárquico del responsable o
encargado”.
Como conclusión que
se deduce de lo aquí analizado, pese a que el responsable del tratamiento
mantiene su responsabilidad última, igual que hemos visto antes en relación al
Administrador y la figura del CCO, el DPO también tiene transferida la
responsabilidad en el ámbito de sus competencias.
Incluso diría más,
mientras que en relación al CCO el delegante mantiene el poder de revocación de
la delegación, no ocurre lo mismo en el caso del DPO ya que éste, según hemos
visto en el artículo 38.3 RGPDUE, goza de unas garantías que lo hacen inmune a
arbitrariedades del Administrador de la PJ: “(…). No será destituido ni sancionado por el responsable o el encargado por
desempeñar sus funciones. (…)”
7. Epilogo
No obstante, la mera
posibilidad, aconseja un alto nivel
de profesionalización a quién pretenda desempeñar ese cometido en el seno
de la persona jurídica.
El CCO, al dedicarse inherentemente al
cumplimiento normativo en la organización, debe disponer de sólida formación jurídica mientras que,
salvando las distancias, el Responsable de Seguridad en protección
de datos y precursor del DPO en España, al
limitarse a velar por el cumplimiento de las medidas de seguridad que dispone
el Título VIII del RD 1720/2007, Reglamento de aplicación de la LOPD, suele
tener cualquier perfil, la mayoría de las veces más tecnológico.
Es evidente que el
mayor nivel de competencias asignadas al DPO
en el RGPDUE, como puede verse en este mismo blog, [4] provoca
que su formación jurídica se vea
ampliamente potenciada. Sigue sin proceder aquello del desconocimiento como
eximente, ya que lo mínimo que se exige a cualquier profesional es que conozca
sus derechos y deberes en relación a su desempeño en la empresa donde presta
sus servicios.
En cuanto a la
posibilidad de que coincidan ambos desempeños (CCO + DPO) en la misma persona, no es una situación impensable,
pese a requerir niveles de formación y experiencia más difíciles de encontrar. Debería
estar especializado, además de en otras disciplinas, en Derecho penal, Derecho de
las TIC, Derecho administrativo orientado a protección de datos, seguridad de
la información, sistemas de gestión, etc.
Tampoco parece que dicha
unión represente un conflicto de intereses, aspecto a tener en cuenta según en el
artículo 38.6 RGPDUE que dispone “El delegado de
protección de datos podrá desempeñar otras funciones y cometidos. El
responsable o encargado del tratamiento garantizará que dichas funciones y
cometidos no den lugar a conflicto de intereses”.
No obstante, dicha
conjunción de funciones puede significar una facilidad para que las organizaciones
de pequeñas dimensiones puedan acceder a las ventajas de ambos roles sin tener
que sobrecargar la plantilla. Otra opción es recurrir a la externalización en
forma de prestación de servicios, algo viable para el DPO pero no aconsejable
para el CCO.
NOTA
DEL EDITOR: Se puede entender por organización de pequeñas dimensiones lo
señalado por el párrafo 3 del artículo 31 bis CP: “A estos efectos, son personas jurídicas de pequeñas dimensiones
aquéllas que, según la legislación aplicable, estén autorizadas a presentar
cuenta de pérdidas y ganancias abreviada”.
8. Bibliografía Consultada
[2] Jesús-María Silva Sánchez. “FUNDAMENTOS DEL DERECHO PENAL DE LA EMPRESA”. EDISOFER S.L.,
2013.
[3] Jesús-María Silva Sánchez. “EL DELITO DE OMISIÓN: Concepto y sistema”. Colección
Maestros del Derecho Penal nº 12. Editorial IBdeF. Segunda edición 2010.
[4] José Luis Colom Planas. “EL DELEGADO DE PROTECCIÓN DE DATOS”. Blog “Aspectos
profesionales”. 13 de abril de 2012, actualizado el 18 de octubre de 2014.
El DPO
El DPO
[5] Ricardo Robles Planas. “CRIMINALIDAD DE EMPRESA Y COMPLIANCE: Prevención y
reacciones corporativas”. Capítulo 12. Páginas 319 a 331. Compendio dirigido
por Jesús-María Silva Sánchez. Editorial Atelier. Barcelona 2013.
[6] Dopico Gomez-Aller. “Presupuestos básicos de la responsabilidad penal del Compliance Officer
y otros garantes en la empresa”. Actualidad Jurídica Aranzadi Nº 843, página 2.
2012.
9. Control de cambios del artículo
Siguiendo
voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las
normas ISO, se incorpora el control de cambios a los artículos de este Blog
permitiendo conocer la trazabilidad de los mismos una vez han sido publicados
por primera vez. Todo ello en concordancia con el último párrafo de la cláusula
general de exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
03/05/2015
|
Redacción
inicial del artículo
|
Autor
|
06/05/2016
|
Se actualizan las referencias al borrador del RGPDUE mediante
el ya aprobado Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos.
|
Autor
|
10.
Derechos de autor
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica y organizativa, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.