domingo, 3 de mayo de 2015

Responsabilidad por deber de garante: Aplicación al CCO y al DPO


Resumen: Este estudio presenta un paralelismo entre las figuras del Chief Compliance Officer (CCO) y el Data Protection Officer (DPO), en relación a la responsabilidad derivada del deber de garante, en el ámbito de sus competencias, que ostentan en el seno de la PJ.

Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
6 de septiembre de 2016

Índice
1. Introducción a la responsabilidad por deber de garante
2. La comisión por omisión
3. El deber de garante
4. El deber de garante del Administrador en la PJ
5. El deber de garante del CCO en la PJ
6. El deber de garante del DPO en la PJ
7. Epilogo
8. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor


1. Introducción a la responsabilidad por deber de garante

En la jurisdicción Penal, el deber de garante presenta una íntima relación con las conductas omisivas. Es en base a ellas que se puede atribuir responsabilidad a quién omite una acción, siempre que se den determinadas circunstancias. Entre éstas es primordial que exista alguna conexión entre la omisión y la responsabilidad, en base a una relación contractual o laboral, por ejemplo.

Éste sería el caso del Chief Compliance Officer (CCO) o responsable del órgano (individual o colegiado) de la persona jurídica, con poderes autónomos de iniciativa y de control, que velará, quizá entre otros, por el cumplimiento del modelo de prevención de delitos penales en el seno de la empresa.

Más adelante, por analogía, intentaremos extrapolar esta responsabilidad a otras figuras que prestan su desempeño en la persona jurídica, con obligación por su cargo de velar por determinado cumplimiento, como puede ser el Data Protection Officer (DPO).

2. La comisión por omisión

Podemos clasificar las conductas omisivas, al menos en omisión pura y comisión por omisión.
  • La omisión pura, en Derecho Penal, sitúa el fundamento de la punición en el terreno de la antijuridicidad formal, trasladando la responsabilidad penal del plano causal al normativo. Sería la abstención simple de hacer algo que marca la Norma.
  • La comisión por omisión, fundamentada en las teorías causales, se basa en que la omisión de determinada conducta que evitaría un resultado penal es casi idéntica a causar éste a través de una conducta activa. Sería haber dejado de hacer algo necesario. Es aquí donde confluye con el deber de garante.

3. El deber de garante

Para poder atribuir responsabilidad a quién omite una acción, se requiere en el Derecho Español:
  • A) Posición de garante: La existencia de una posición de garante en previsión de un evento perjudicial.
  • B) Conexión: La existencia de alguna conexión entre omisión y responsabilidad.
  • C) Resultado: La producción de un resultado dañino íntimamente ligado al evento.

La referida conexión, en la comisión de un delito por omisión, se sitúa en la exigencia de que concurra una situación en la que el ordenamiento impone una concreta y predeterminada posición jurídica a determinada persona (el omitente) ante una situación típica de riesgo dando lugar a una específica obligación de actuar que es lo que, en esencia, configura la llamada posición de garante.

Para gran parte de la doctrina y de la jurisprudencia se establece esta equivalencia en función de que se pueda deducir (y acreditar) que, por parte del omitente, existe un compromiso específico y efectivo de actuar, a modo de barrera de contención de riesgos, frente a un posible evento y frente a algún posible perjudicado: es decir, que existirá posición de garante, cuando entre omitente y perjudicado exista alguna obligación (de cualquier origen) real y efectiva que imponga al omitente una determinada actuación de prevención, de protección o de evitación [1].

Pero, aun cumpliéndose todos los requisitos enumerados anteriormente, resulta también necesario:
  • D) Previsibilidad: Que no se haya producido el evento por la concurrencia de otros factores externos, imprevisibles o inevitables, ajenos a los que configuran la específica posición de garante, ya que éste factor imprevisible eximirá de cualquier responsabilidad al omitente que está situado como garante, al tener su origen el resultado lesivo en factores imponderables.
  • E) Posibilidad de actuar: la necesidad de que el omitente obligado estuviera en condiciones de realizar la conducta prevista. En caso de imposibilidad de actuar no surge responsabilidad por la inacción, eliminando la responsabilidad inherente a la situación de garante.

4. El deber de garante del Administrador en la PJ

No escapa a la lógica de la razón admitir que en el ámbito y en representación de la persona jurídica, el Administrador tiene los deberes propios de garante sobre la conducta de sus empleados.

Este poder lo ejerce de dos formas consecutivas:
  • Primero, desde la perspectiva in eligendo, estableciendo los controles adecuados en el proceso de selección de los trabajadores.
  • Después, in vigilando, supervisando su desempeño profesional en la medida de sus posibilidades razonables, especialmente con los puestos más especializados.

Podríamos decir que este poder de supervisión y control está orientado como: [2]
  • Garante de protección, desde una perspectiva ad intra, evitando resultados lesivos para la propia empresa.
  • Garante de control, desde una perspectiva Ad extra, evitando resultados lesivos sobre terceros externos a partir de la actividad de los empleados.

En consecuencia, estamos en condiciones de afirmar que el Administrador de la PJ se encuentra en una posición de garante originaria, que le obliga a impedir la comisión de delitos por parte de subordinados con repercusión en los bienes jurídicos de terceros. [5]

Por ello, los órganos de Administración deben establecer los mecanismos de organización adecuados para evitar los riesgos de comisión de ilícitos en su seno o, en todo caso, mitigarlos hasta niveles tolerables por las circunstancias de la PJ. Ello, no obstante, no exonera al órgano de gobierno de su posición de garante.

Con el establecimiento de la organización, el empresario tiene un derecho y un deber equilibrados:
  • El deber de evitar los cursos lesivos que surgen de la actividad empresarial, asumiendo el compromiso de contener aquellos riesgos que de la misma vayan surgiendo para los bienes jurídicos de los demás.
  • El derecho a ejercer la libertad que emana del establecimiento de la propia empresa.

Luego, por defecto, la comisión por omisión se dará en relación a los riesgos típicamente unidos a la actividad empresarial que tienden a descontrolarse, de no ponerse remedio, con el paso del tiempo.

5. El deber de garante del CCO en la PJ

En Derecho Penal, si analizamos el texto de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que entrará en vigor en julio de 2015, leemos en el artículo 31 bis CP:

“(…) 2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;
2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; (…)”.

En este caso, la delegación de competencias en un órgano de la persona jurídica, con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia de la posición de garante porque, basándonos en esa delegación, el órgano de administración como delegante hace surgir una posición de garantía en el órgano de cumplimiento normativo, en calidad de delegado. Este órgano puede ser colegiado o unipersonal pero, en todo caso, dirigido o coordinado por el CCO.

No obstante cabe decir que la posición de garante del órgano de administración no desaparece del todo sino que pasa a ser secundaria o residual. Pero es cierto que la delegación correctamente efectuada modifica la posición jurídica del delegante liberándole de los deberes inherentes del ámbito competencial de que se trate, pues de lo contrario, carecería por completo de sentido que se llevara a cabo. [5]

Al órgano de administración ya no le incumbe el deber de control directo de la fuente de riesgo, que sí le corresponde al órgano de cumplimiento, pero sí le compete la correcta selección, formación e información del responsable de cumplimiento, la dotación a este órgano de los medios necesarios para el cumplimiento de sus funciones y, especialmente, el deber de vigilancia sobre éste en el sentido de adquirir conocimiento y corregir sus actuaciones defectuosas [2].

Otra manera de verlo es considerando que el delegante mantiene el poder de revocación de la delegación, lo que representa que tiene la facultad de vigilar lo que el delegado organice, estableciendo los oportunos mecanismos de vigilancia y control con respecto al correcto desarrollo de la actividad por parte del delegado. [5] Estos mecanismos podrían articularse en base a pasar auditorías internas o mediante la obligación de reportar periódicamente informes de gestión.

Simplificando mucho, el CCO suele tener tres funciones básicas:
  • En algunos casos, si no el diseño y materialización, si la aceptación del modelo de cumplimiento encargado por el órgano de Administración a un tercero.
  • La implementación del modelo, y definitiva adaptación a la realidad de la empresa, para lograr los fines preventivos para la evitación de hechos delictivos.
  • El control y seguimiento de las normas derivadas del modelo, identificando las posibles infracciones e informando de las mismas a la Administración de la empresa con el fin de prevenirlas.

En consecuencia, el responsable de cumplimiento sí puede ser responsable de los actos cometidos por el personal de la empresa, sometido a las normas del modelo, en el caso de una dejación de funciones u omisión del cumplimiento de sus deberes, porque esa "área de riesgo" es la que queda sometida a su deber de control.

Un matiz sutil, pero importante, es el que considera que para generarse responsabilidad por omisión del deber de garante del CCO, el riesgo no impedido debe pertenecer a la clase de riesgos cuyo compromiso de control ha sido asumido expresamente por el Responsable de Cumplimiento. [6] En algunos ámbitos al CCO sólo le corresponde impedir delitos relativos al fraude o la corrupción, y no delitos medioambientales o contra los derechos de los trabajadores, por ejemplo, cuya prevención está asignada a otros departamentos especializados. Sera por esta razón muy importante con que cláusulas y nivel de detalle se redacte el contrato laboral, o de prestación de servicios, que ha de vincular al CCO con la PJ.

Así las cosas, esa omisión imprudente de sus deberes de vigilancia podrá generar la propia responsabilidad al Responsable de Cumplimiento, pudiendo responder imprudentemente respecto de la infracción de sus deberes.

Cabe matizar que los deberes básicos que le incumben al CCO en primera instancia, salvo que contractualmente se acuerde otra cosa, se reducen a:
  • Vigilar el cumplimiento del modelo de prevención de delitos.
  • Formar y concienciar a los trabajadores
  • Informar a la Administración de la PJ del desarrollo, incidencias y eventuales riesgos detectados en su actividad de supervisión y control.

Eso no quita que tenga facultades decisorias sobre los eventuales controles a aplicar y las posibles sospechas a investigar, siendo independiente en términos organizativos, económicos y materiales, aunque careciendo de facultades ejecutivas. [5]

De lo anterior podría desprenderse que el CCO es tan solo un órgano auxiliar, ya que el cumplimiento del Derecho en la empresa recae primordialmente sobre el órgano de Administración. No obstante, tan pronto como el Responsable de Cumplimiento pase a desempeñar su función, recibe de forma derivada su posición de garante, por delegación de los deberes que competen a la Administración de la PJ.

Si una vez el CCO ha dado traslado de información relevante al órgano de Administración para impedir un delito, éste no lo impide, el responsable de cumplimiento no responderá penalmente por no haber adoptado ulteriores medidas encaminadas a que el delito no se cometiera. Evidentemente ha de estar en condiciones de acreditarlo.




6. El deber de garante del DPO en la PJ


Si bien no puede aplicarse el razonamiento analógico entre jurisdicciones diferentes, de lo referido hasta ahora puede apreciarse una aplicabilidad de los criterios entre el Corporate Compliance Officer (CCO) y el Data Protection Officer (DPO).

En ambos casos, si se produce un incidente motivado por una dejación de funciones  del CCO o del DPO, la empresa mantiene su responsabilidad última entendida en un caso como posible responsabilidad penal de la persona jurídica donde opera un CCO y, en otro, asumiendo su responsabilidad como responsable del tratamiento en relación a la protección de datos personales, donde opera un DPO.

Me he referido antes a que la delegación de competencias en un órgano de la persona jurídica con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia parcial de la posición de garante.

Al estar el DPO, según el artículo 38.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPDUE), en posesión de “poderes autónomos de iniciativa i control” en el ámbito de las funciones y competencias que tiene encomendadas, la analogía es total.

El citado artículo 38.3 RGPDUE dispone a tenor literal:
“El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.

Como conclusión que se deduce de lo aquí analizado, pese a que el responsable del tratamiento mantiene su responsabilidad última, igual que hemos visto antes en relación al Administrador y la figura del CCO, el DPO también tiene transferida la responsabilidad en el ámbito de sus competencias.

Incluso diría más, mientras que en relación al CCO el delegante mantiene el poder de revocación de la delegación, no ocurre lo mismo en el caso del DPO ya que éste, según hemos visto en el artículo 38.3 RGPDUE, goza de unas garantías que lo hacen inmune a arbitrariedades del Administrador de la PJ: “(…). No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. (…)

7. Epilogo

No es baladí y deben ponderarse todos los requerimientos necesarios antes de atribuir responsabilidad propia por la conducta omisiva en sus funciones a las figura del CCO y DPO.

No obstante, la mera posibilidad,  aconseja un alto nivel de profesionalización a quién pretenda desempeñar ese cometido en el seno de la persona jurídica.

El CCO, al dedicarse inherentemente al cumplimiento normativo en la organización, debe disponer de sólida formación jurídica mientras que, salvando las distancias,  el Responsable de Seguridad en protección de datos y precursor del DPO en España, al limitarse a velar por el cumplimiento de las medidas de seguridad que dispone el Título VIII del RD 1720/2007, Reglamento de aplicación de la LOPD, suele tener cualquier perfil, la mayoría de las veces más tecnológico.

Es evidente que el mayor nivel de competencias asignadas al DPO en el RGPDUE, como puede verse en este mismo blog, [4] provoca que su formación jurídica se vea ampliamente potenciada. Sigue sin proceder aquello del desconocimiento como eximente, ya que lo mínimo que se exige a cualquier profesional es que conozca sus derechos y deberes en relación a su desempeño en la empresa donde presta sus servicios.

En cuanto a la posibilidad de que coincidan ambos desempeños (CCO + DPO) en la misma persona, no es una situación impensable, pese a requerir niveles de formación y experiencia más difíciles de encontrar. Debería estar especializado, además de en otras disciplinas, en Derecho penal, Derecho de las TIC, Derecho administrativo orientado a protección de datos, seguridad de la información, sistemas de gestión, etc.

Tampoco parece que dicha unión represente un conflicto de intereses, aspecto a tener en cuenta según en el artículo 38.6 RGPDUE que dispone “El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”.

No obstante, dicha conjunción de funciones puede significar una facilidad para que las organizaciones de pequeñas dimensiones puedan acceder a las ventajas de ambos roles sin tener que sobrecargar la plantilla. Otra opción es recurrir a la externalización en forma de prestación de servicios, algo viable para el DPO pero no aconsejable para el CCO.

NOTA DEL EDITOR: Se puede entender por organización de pequeñas dimensiones lo señalado por el párrafo 3 del artículo 31 bis CP: “A estos efectos, son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada”.

8. Bibliografía Consultada

[1] Ramón Maciá Gómez. “LA POSICIÓN DE GARANTE EN EL DERECHO ESPAÑOL: CONCEPTO Y ESTRUCTURA”. Pórtico legal (Expansión).

[2] Jesús-María Silva Sánchez. “FUNDAMENTOS DEL DERECHO PENAL DE LA EMPRESA”. EDISOFER S.L., 2013.

[3] Jesús-María Silva Sánchez. “EL DELITO DE OMISIÓN: Concepto y sistema”. Colección Maestros del Derecho Penal nº 12. Editorial IBdeF. Segunda edición 2010.

[4] José Luis Colom Planas. “EL DELEGADO DE PROTECCIÓN DE DATOS”. Blog “Aspectos profesionales”. 13 de abril de 2012, actualizado el 18 de octubre de 2014.
El DPO
[5] Ricardo Robles Planas. “CRIMINALIDAD DE EMPRESA Y COMPLIANCE: Prevención y reacciones corporativas”. Capítulo 12. Páginas 319 a 331. Compendio dirigido por Jesús-María Silva Sánchez. Editorial Atelier. Barcelona 2013.

[6] Dopico Gomez-Aller. “Presupuestos básicos de la responsabilidad penal del Compliance Officer y otros garantes en la empresa”. Actualidad Jurídica Aranzadi Nº 843, página 2. 2012.


9. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
03/05/2015
Redacción inicial del artículo
Autor
06/05/2016
Se actualizan las referencias al borrador del RGPDUE mediante el ya aprobado Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Autor















10. Derechos de autor

Imágenes bajo licencia 123RF internacional.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica y organizativa, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.





No hay comentarios:

Publicar un comentario