Seguro de directivos D&O y responsabilidad penal

El rechazo a la petición de Miguel Blesa de cubrir su fianza de 16 millones con cargo al seguro de responsabilidad civil de consejeros que en su día suscribió Caja Madrid ha generado un debate sobre la cobertura de este tipo de seguros en el caso de la imputación de un delito a un directivo o a la sociedad.

Paralelamente, las empresas están en estos momentos planteando la renovación o modificación de estas pólizas para dar cobertura, durante el próximo ejercicio, a la responsabilidad civil de sus directivos, por lo que es el momento propicio para valorar el alcance de estos seguros.

Opcionalmente, algunas compañías ofrecen la posibilidad de incluir en el ámbito de la cobertura del seguro algunos aspectos relativos a la responsabilidad penal de la empresa.

La responsabilidad civil derivada de la comisión de un delito por parte de un directivo no puede quedar cubierta por la póliza, debido a la concurrencia de dolo, pero los gastos de defensa de la empresa para hacer frente a una eventual acción penal contra la misma por omisión del debido control sobre el directivo sí podrían llegar a estar contratados. Tras la reforma del Código Penal de 2010 algunas compañías de seguros incluyeron esta posibilidad, junto a otras prestaciones, en los seguros de D&O.

Sin embargo, debe tenerse en cuenta que en los grupos de empresa existe la posibilidad de que la póliza haya sido suscrita por la sociedad matriz del grupo en relación a todos los directivos de las empresas que lo forman. Ello genera el riesgo de que la cobertura del seguro no se extienda a la compañía en la que el directivo presta sus servicios.

Por todo ello, en el momento de comprobar el alcance real del seguro de D&O, deberán tenerse en cuenta los siguientes puntos:

Cobertura en relación al directivo

Deberá comprobarse los actos y responsabilidades que quedan incluidos en la cobertura del seguro y los que quedan excluidos. Es normal que los delitos estén excluidos, dada su naturaleza dolosa, así como la responsabilidad civil derivada de los mismos.

Cobertura en relación a la empresa

Deberá comprobarse en qué supuestos podrá la empresa hacer frente a la responsabilidad civil derivada de las acciones u omisiones del directivo. Probablemente quedará excluida la responsabilidad civil derivada del delito, pero podría contratarse la extensión a la responsabilidad penal. Para ello habrá que valorar toda la oferta existente en el mercado, ya que no todas las compañías de seguros ofrecen este servicio.

Responsabilidad penal corporativa

Las pólizas de responsabilidad civil suscritas por las empresas están limitadas a los riesgos del negocio y no cubren la responsabilidad penal corporativa. El cauce habitual para cubrir este riesgo es a través de los seguros de D&O. Esta cobertura se limita generalmente a los gastos de defensa. Reconociendo la dificultad jurídica para que llegue a existir un producto así, además del coste prohibitivo de la prima, el escenario ideal para una empresa incluiría la posibilidad de asegurar el impacto económico de la pena principal (pérdida de bonificaciones fiscales o de Seguridad Social, saldos fiscales, ayudas públicas y contratos públicos), la multa y la indemnización por daños y perjuicios.

Fianzas

Es importante comprobar si las fianzas están incluidas. Algunas compañías ofrecen esta cobertura, pero lo más probable es que las fianzas estén excluidas en relación a procedimientos penales o que sólo se contemplen los costes de constitución de las mismas.

Grupos de empresa

En los grupos de empresa deberá tenerse en cuenta la diferencia entre tomador y asegurado. Lo más probable es que el tomador sea la matriz del grupo y que los asegurados sean los directivos del grupo. Pero también deberá comprobarse si las compañías del grupo figuran como aseguradas en el caso de una acción de responsabilidad penal corporativa derivada de las acciones u omisiones del directivo y de la falta de control sobre las mismas. De no ser así, podría darse el caso de que, a pesar de haberse contratado esta cobertura, la empresa afectada no estuviese contemplada en el contrato de seguro.

La póliza de seguros constituye el último elemento de un programa de corporate compliance. Cuando todos los muros de contención que defienden a la empresa fallan, el último recurso es tener aseguradas todos los riesgos posibles con el fin de salvaguardar el patrimonio de la empresa y de sus directivos.

Ébola y compliance

Los errores cometidos en la gestión de un desastre son comprensibles cuando nos enfrentamos a algo repentino y desconocido. Es posible que una reacción instantánea, basada en razones de extrema urgencia, impida aplicar las mínimas cautelas, que después del desastre se presentarán como las más razonables y evidentes.

También son comprensibles los errores cuando hablamos de riesgos conocidos pero difíciles de predecir y de evitar, dada la cantidad y la complejidad de los datos a analizar y el carácter aleatorio de los sucesos relacionados con el riesgo.

Pero cuando un riesgo es conocido, medible, previsible, evitable, e incluso puede ser transferido a terceros o diferido en el tiempo, tomar decisiones sin la debida información y realizar actuaciones sin aplicar las medidas preventivas establecidas puede y debe generar responsabilidades.

La crisis del ébola generada en España se ha convertido, desgraciadamente, en un caso de estudio en materia de compliance, ya que sirve para ilustrar todas las fases de la gestión de un riesgo que deben ser contempladas en un modelo de prevención y control.

No voy a analizar en este caso la posible concurrencia de un elemento de ajenidad e incluso de riesgo moral en la gestión pública, o más bien política, de una amenaza como ésta, sino el contenido del modelo teórico que se habría aplicado en un mundo ideal.

En este caso, el modelo debería incluir todos los controles asociados a la prevención de los riesgos relacionados con la salud pública, la seguridad pública y la seguridad en el trabajo, reforzados con los controles específicos del ébola.

A continuación relaciono, de manera cronológica, algunas de las enseñanzas del caso analizado que se expresan en una minúscula muestra de las medidas preventivas que podemos trasladar al mundo de la empresa con el fin de incluirlas, si no lo están ya, en un modelo teórico de prevención y control corporativo, de acuerdo con el esquema definido en el Anteproyecto de Código Mercantil y en el Proyecto de reforma del Código Penal.

Del mismo modo, las enseñanzas de los modelos empresariales de prevención y control podrían haberse aplicado desde el principio a este caso para el beneficio de toda la población.

Protocolo de toma de decisiones

Escenario real: Posible repatriación de ciudadano español contagiado por ébola.

Escenario corporativo: Una empresa debe tomar una decisión de alto riesgo

Controles que debería incluir un modelo de prevención y control corporativo:

- Solicitud de informes internos y externos
– Asesoramiento técnico especializado en el riesgo
– Asesoramiento jurídico especializado en el riesgo
– Evaluación objetiva del riesgo
– Análisis de escenarios posibles
– Análisis de alternativas
– Análisis de costes
– Balance de prioridades entre intereses individuales y colectivos
– Mayoría reforzada en el proceso de votación

Planificación

Escenario real: Traslado de enfermo de ébola a país sin antecedentes ni experiencia

Escenario corporativo: Planificación de un proyecto de alto riesgo en el que la empresa no tiene experiencia

Controles que debería incluir un modelo de prevención y control corporativo:

- Solicitud de modelos de planificación a expertos internacionales
– Contratación de expertos externos
– Políticas, normas y procedimientos
– Formación adecuada y experta para todos los miembros del equipo
– Hot line para la resolución inmediata de dudas
– Canal de comunicación de situaciones de riesgo
– Diseño de protocolos
– Plan de adecuación y actualización de protocolos
– Planes alternativos
– Planes de respuesta y emergencia
– Selección de la ubicación más adecuada
– Comisión de seguimiento
– Gabinete de crisis
– Plan de comunicación
– Plan de concienciación en relación al riesgo de alarma social desproporcionada
– Gestión de la fase posterior al proyecto
– Plan de gestión de los residuos contaminados

Formación

Escenario real: Equipo sanitario aparentemente sin experiencia ni formación adecuada

Escenario corporativo: Asignación de funciones de alto riesgo a un equipo sin experiencia ni formación adecuada

Controles que debería incluir un modelo de prevención y control corporativo:

- Formación adecuada por parte de profesionales expertos
– Plataforma de e-learning que permita las repeticiones que sean necesarias
– Contratación de personal experto que actúe como guía
– Hot line para la resolución inmediata de dudas
– Formación genérica en materia de riesgos laborales
– Formación específica en materia de riesgos asociados a las funciones asignadas
– Manual de uso de cada EPI (Equipo de protección individual)
- Formación específica en el uso de los EPIs
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
– Grabación en vídeo de los procesos críticos para conseguir trazabilidad
– Actos prohibidos
– Actos permitidos

Medidas de seguridad y protocolos

Escenario real: Medidas de seguridad y protocolos aparentemente no adaptados al riesgo del ébola.

Escenario corporativo: Medidas de seguridad proporcionadas al alto riesgo del proyecto

Controles que debería incluir un modelo de prevención y control corporativo:

- Medidas de seguridad adaptadas al riesgo de la actividad y al riesgo
– Medidas de prevención de riesgos laborales adaptadas a la actividad y al riesgo
– Protocolos actualizados
– Protocolo de adecuación y actualización del modelo de prevención
– Asimilación y difusión de la experiencia adquirida
– Estructura de control
– Nombramiento de supervisores
– Monitorización y seguimiento
– Comisión de seguimiento
– Gabinete de crisis
– Segregación de tareas
– Política de cuatro ojos
– Canal de comunicación de situaciones de riesgo
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
Equipos de protección individual homologados
- Preparación y adecuación de las instalaciones
– Zonas de descontaminación
– Identificación del personal con acceso al proyecto
– Control de todo el ciclo de vida del proyecto
- Control de la fase posterior a la finalización del proyecto
- Control de los proveedores implicados en el proyecto
– Prohibición de subcontrataciones a los proveedores
- Monitorización de la salud del equipo durante el proyecto y en la fase posterior
– Seguimiento de los plazos de incubación en contactos directos e indirectos
– Protocolos de emergencia, cuarentena y aislamiento
– Gestión adecuada de los residuos contaminados

Como he comentado, esta selección de controles es una muestra minúscula, dado el alto riesgo del proyecto, pero si todos estos puntos parecen excesivos, sólo hay que mirar las consecuencias de su incumplimiento. Como dijo Paul McNulty: “If you think compliance is expensive, try non-compliance”.

Bonus, riesgo moral y Código Penal

El bonus, como elemento de motivación y recompensa, sigue en el punto de mira, y no son pocos los que consideran que su uso desmedido ha sido uno de los factores que han contribuido a la crisis. La ecuación es fácil: apuesta por el crecimiento, objetivos agresivos, bonus millonarios, saturación del mercado, dificultad para colocar los productos tradicionales, creación de productos con mayor riesgo, etc. Ahora es fácil ver cómo, entre todos, hemos conseguido diseñar una tormenta perfecta. El análisis de los factores que la desencadenaron debería ser suficiente para prevenirlos, sin embargo, los ciclos de la economía demuestran que no es así.

Una teoría confirmada es la del riesgo moral. Cuando conseguimos que alguien se sienta protegido frente a las consecuencias, su comportamiento será distinto del que habría tenido en caso de estar expuesto a ellas. Por ejemplo, no es razonable esperar que el comportamiento de alguien que gestiona el capital de miles de accionistas sea el mismo que el del que gestiona su propio capital. Tampoco es razonable esperar que alguien rescatado de una situación crítica realice un enorme esfuerzo para evitar volver a caer, si tiene la certeza de que volverá a ser rescatado. Pedro Schwartz va más allá y traduce el concepto “moral hazard” como riesgo inducido, refiriéndose a aquellas situaciones en las que la recompensa o el eventual rescate actúan como inductores de una acción fraudulenta o perjudicial.

Conociendo la relación entre el bonus y los riesgos, y que incrementando la recompensa aumentamos las amenazas, resulta lógico definir un modelo de bonus prudente y equilibrado.

La reforma del Código Penal debería ayudar a definir correctamente la estructura de los bonus, ya que la política retributiva de una empresa puede evidenciar, tanto la existencia del control debido para la prevención de delitos, como su inexistencia. La estrategia de defensa del acusado en el caso de Société Générale fue justamente la excesiva presión comercial de la empresa, el bonus y la retirada de sus límites de contratación.

Una medida preventiva, orientada a evitar supuestos de responsabilidad penal de la empresa por los actos de directivos excesivamente motivados, consistiría en asociar los bonus a objetivos que no fuesen exclusivamente cuantitativos. Paralelamente a la apuesta por el crecimiento y la rentabilidad, es necesario vincular la remuneración variable a una serie de indicadores asociados a parámetros cualitativos medibles de forma continuada.

Por ejemplo, un bonus vinculado al ratio de solvencia o liquidez puede ser útil para el futuro financiero de la compañía, pero también una prueba clara de que se quiere evitar una situación de insolvencia perjudicial para el mercado y que puede ser punible.

Otros indicadores cualitativos que estarían asociados a bonus podrían ser: el correcto uso de la información privilegiada, la eliminación de la creatividad en la contabilidad corporativa, la erradicación de cualquier tipo de dádiva dirigida a funcionarios públicos, clientes o proveedores, el cumplimiento de la normativa medioambiental y urbanística, las buenas prácticas tributarias, la explotación del I+D+i propio y no el de competidores, la exigencia de que los fichajes de la competencia no aporten información confidencial, ni datos de clientes y un largo etcétera de comportamientos que formarían el capital ético de la empresa.

Estos objetivos son medibles y su control puede evitar el impacto reputacional y económico de una sentencia condenatoria, que perjudique seriamente el cumplimiento de otros objetivos tan deseados como vulnerables. Podemos verlo como un planteamiento excesivamente simplista si los resultados del trimestre son la máxima prioridad, pero si nuestro objetivo es a largo plazo, cumplir las reglas del juego deberá ser una parte esencial del negocio. Y lo sencillo es a veces lo más difícil.

Uso ilícito de las tarjetas de empresa

Artículo de opinión publicado en Expansión el 4 de octubre de 2014 (Página 50)

Las tarjetas de empresa son utilizadas habitualmente para el pago de los gastos que el directivo realiza en nombre de la empresa. En la mayoría de los casos se trata de gastos de viaje, alojamiento y manutención que deben estar directamente relacionados con la actividad de la empresa. En los casos en que no es así, o cuando se superan los límites legalmente establecidos, la tarjeta de la empresa puede convertirse en un instrumento remuneratorio.

Para que el uso corporativo de la tarjeta sea correcto, el directivo debe entregar al departamento de contabilidad la factura y el justificante del pago. Si la cuenta de cargo de la tarjeta es del directivo los pagos no justificados no serán reembolsados por la empresa. Pero si la cuenta de cargo es de la empresa y los cargos no se repercuten al directivo se habrá producido un beneficio para éste que resultará opaco para la Hacienda Pública.

Si el bien o servicio adquirido es para uso personal y el titular es el directivo, el cargo se producirá sobre unas cantidades que han pasado por nómina, han sufrido las correspondientes retenciones y se han integrado en la renta percibida por el directivo, sujeta a tributación por IRPF. En cambio, si el cargo se ha producido directamente en una cuenta de la empresa, el directivo habrá percibido una remuneración que será opaca para la Hacienda Pública. El mismo resultado puede obtenerse si el gasto personal es cargado en la cuenta del directivo y después es reembolsado íntegramente por la empresa. Si la cuantía de la cuota defraudada supera los ciento veinte mil euros podemos estar ante un delito fiscal.

Este medio de pago también puede escapar a los controles basados en la segregación de tareas. El directivo puede escoger al proveedor, acordar el alcance y el precio, aceptar la prestación, aprobar la factura y realizar el pago. Estas tareas acostumbran a estar segregadas en las empresas con el fin de evitar fraudes. El uso de la tarjeta corporativa por parte del directivo puede no estar sujeto a estos controles. En ciertos niveles, la factura presentada por el directivo no exige una aprobación adicional. El único control es cuantitativo, y consiste en establecer un tope anual para la tarjeta, que, en la práctica, puede ser superado.

Si sumamos la falta de control a la opacidad del medio de pago, el directivo puede disponer libremente de la tarjeta para usos personales o incluso para una finalidad similar a la de los famosos fondos reservados. El uso de este medio de pago podría ser utilizado entonces para agradecer a cargos públicos o clientes favores realizados o pendientes de realizar. En este caso podríamos estar ante un delito de corrupción pública o privada si las cantidades fuesen significativas.

Las empresas están actualmente en pleno proceso de transformación, adoptando los modelos de prevención y control exigidos en la reforma del Código Penal de 2010 y claramente definidos en el proyecto de reforma actual. En ellos se debe dotar de la máxima independencia al órgano individual o colegiado encargado de velar por el cumplimiento del modelo, con la difícil tarea de alertar del riesgo de incumplimiento de las normas de control a los propios directivos que las aprobaron.

La constante aparición en los medios de casos de corrupción y de comportamientos contrarios a la ética empresarial deberían provocar una aceleración en la tramitación de la nueva reforma con el fin de lanzar un mensaje al exterior y mejorar nuestra imagen como país en los mercados internacionales.

Aprobado el proyecto de ley que regulará el crowdfunding

El Consejo de Ministros de ayer aprobó la remisión a las Cortes Generales del Proyecto de Ley de Fomento de la Financiación Empresarial cuyo objetivo es mejorar los canales de financiación de las empresas, en especial, las pymes. Entre las novedades destaca la regulación de los instrumentos de financiación no bancarios como el denominado “crowdfunding“.

Alcance de la nueva regulación

El Proyecto de Ley establece un régimen jurídico para las plataformas de Internet que promueven la financiación participativa mediante préstamos o la emisión de acciones, obligaciones o participaciones de responsabilidad limitada. El objetivo es proporcionar un marco adecuado para el denominado “crowdfunding” con el objetivo de garantizar, de manera equilibrada, la correcta protección de los inversores y de impulsar, al mismo tiempo, esta nueva herramienta de financiación directa de proyectos empresariales en sus fases iniciales (startups).

Esta norma regula exclusivamente las operaciones de financiación participativa que busquen un rendimiento dinerario derivado de la financiación empresarial o de consumo, a diferencia de otros tipos de “crowdfunding” como son los vinculados al mecenazgo o la compraventa.

Supervisión y transparencia

La supervisión correrá a cargo de la Comisión Nacional del Mercado de Valores, con la implicación del Banco de España, cuando la actividad consista en la intermediación de préstamos. La transparencia es otra de las exigencias de la nueva regulación al garantizar que todos los inversores tengan acceso a información suficiente sobre aspectos como la propia plataforma, el promotor y las características del vehículo utilizado para captar la financiación, así como sobre todos los riesgos que implica la inversión en este tipo de proyectos.

Inversores acreditados y no acreditados

El Proyecto distingue entre inversores acreditados e inversores no acreditados. Los primeros son los institucionales, las empresas que superen determinados niveles de activo (un millón de euros), cifra de negocio (dos millones) o recursos propios (trescientos mil euros) y todas las personas físicas o jurídicas cuyos niveles de renta superen los cincuenta mil euros al año o tengan un patrimonio superior a cien mil euros y soliciten expresamente este tratamiento.

Los inversores acreditados podrán invertir sin límite mientras que los no acreditados (todos los demás), por su carácter minorista, tendrán límites anuales a la inversión (tres mil euros por proyecto y diez mil euros en el conjunto de plataformas) y deberán requerir la firma manuscrita por la que manifiestan, antes de adquirir ningún compromiso de pago, haber sido advertidos de los riesgos de este tipo de inversiones.

La norma que regula el uso del correo electrónico por los Magistrados y el nuevo criterio del Tribunal Supremo

El Código de Conducta para usuarios de equipos y sistemas informáticos al servicio de la Administración de Justicia, vigente en la actualidad, siempre ha sido una referencia a seguir en la redacción de este tipo de normas, dado el justo equilibrio que establece entre las exigencias de control del propietario de los recursos TIC y los derechos de los usuarios.

Este equilibrio es el que muchas empresas han introducido en sus normas internas, ya que coincide con la doctrina unificada y consolidada por el Tribunal Supremo y por el Tribunal Constitucional.

Sin embargo, la Sentencia del Tribunal Supremo de 16/06/14 ha introducido un nuevo criterio en relación al control e intervención del correo electrónico “no leído” de los trabajadores para su uso como prueba en un procedimiento penal.

Este nuevo criterio y los cambios que implica en las actividades de control de la empresa, puede entrar en conflicto con el Código de Conducta comentado, que, paradójicamente regula el uso del correo electrónico que utilizan los Magistrados, incluidos los del órgano que dictó la sentencia comentada.

Reproduzco los puntos principales de este Código de Conducta para que se pueda valorar si existe o no un conflicto y si deben confirmarse o no las tesis defendidas en mi anterior artículo a favor de mantener el criterio hasta ahora vigente, que es justamente el que aplica este Código de Conducta.

1. El primer apartado de esta Instrucción, dictada por el Pleno del Consejo General del Poder Judicial de 26 de febrero de 20013, establece que el Código de Conducta se aplicará a todos los profesionales que prestan sus servicios en los órganos judiciales, incluidos los Jueces, Magistrados y Secretarios Judiciales.

2. Los apartados 2.3 y 4.1 extienden la aplicación de esta norma al correo electrónico y a todas las comunicaciones realizadas a través de la red interna o Intranet, o de la red externa o Internet.

3. El apartado 9.1.1 establece que es facultad de la Administración Pública competente exigir un buen uso del correo electrónico, y añade que el correo electrónico, por ser un instrumento básico de trabajo y colaboración, propiedad de la Administración, debe ser utilizado con fines profesionales.

4. Apartado 9.1.2: Queda prohibida la utilización del correo electrónico para “actividades personales restringidas”, en las que pueda haber alguna expectativa de privacidad o secreto en las comunicaciones.

5. Apartado 9.1.3: En los casos en los que la Administración competente permita utilizar el correo electrónico puesto a disposición de cada usuario para “actividades personales no reservadas”, en las que no exista expectativa alguna de privacidad, tales como usos sociales individualizados, esta utilización deberá restringirse al máximo.

6. En el apartado 6.8.3 se establece que, en aquellos órganos judiciales donde se hubiere instaurado la figura del “monitor judicial” y sin perjuicio de lo dispuesto en el párrafo anterior, a aquél le corresponderá comprobar y supervisar el correcto funcionamiento de las aplicaciones informáticas, poniendo en conocimiento del Secretario Judicial las deficiencias que observare, proponiendo, en su caso, la adopción de las medidas que estime pertinentes.

7.Apartado 6.11.2: Si un usuario finaliza su relación con la Administración o se traslada de puesto, deberá dejar intactos todos los archivos y documentos que hayan tenido un fin profesional. En el supuesto de que existan archivos de carácter personal, él mismo deberá eliminarlos, bajo la supervisión del Servicio de Soporte competente.

8. Apartado 9.3: En el momento de la extinción de la relación funcionarial o laboral, se interrumpirá el acceso a su buzón de correo. Los servicios técnicos podrán acceder al buzón para reenviar los mensajes profesionales a los usuarios que se determinen por el administrador o responsable del Sistema. (Se entiende que los destinatarios del reenvío accederán a los mensajes leídos y no leídos y que la selección de los mensajes profesionales, descartando los mensajes personales, la realizarán los servicios técnicos sin intervención judicial).

Conclusiones

En mi opinión, el criterio establecido en esta Instrucción del Pleno del Consejo General del Poder Judicial, que coincide con la doctrina unificada y consolidada del Tribunal Supremo y del Tribunal Constitucional, debe prevalecer.

Los usos actuales de los sistemas informáticos en el seno de las empresas y de las Administraciones Públicas exigen la reinterpretación o la modificación del artículo 18.3 de la Constitución, estableciendo la posibilidad de que:

  • o bien el secreto de las comunicaciones no sea de aplicación a las comunicaciones estrictamente corporativas o profesionales en las que no haya expectativa de privacidad, por la prohibición de su uso personal,
  • o bien se incluya el consentimiento del usuario y la ley como circunstancias habilitantes para la injerencia en dicho derecho.

Pensemos que la Constitución data de 1978 y que los avances tecnológicos, sociales, laborales, e incluso penales nos han llevado a un escenario que nada tiene que ver con el de entonces.

 

¿Una orden judicial para ver un correo electrónico de mi propia empresa?

Con un título similar publiqué hace años un breve artículo en v-Lex (premium) en el que me preguntaba si algún día sería necesario solicitar una autorización judicial para que una empresa pudiese inspeccionar el correo electrónico corporativo utilizado por sus trabajadores. Parece que ese momento ha llegado, aunque la intervención judicial sea sólo exigible para los correos no abiertos por el trabajador que tengan que ser utilizados como prueba en un procedimiento penal.

Aunque pensábamos que la doctrina jurisprudencial en esta materia estaba unificada y consolidada, una reciente sentencia de la Sala II del Tribunal Supremo ha establecido que el criterio existente hasta la fecha es aplicable a la jurisdicción laboral, pero no a la penal.

Esta sentencia se refiere a un delito continuado de falsedad en documento mercantil y de estafa que la empresa perjudicada acreditó mediante mensajes de correo electrónico del trabajador presunto autor de los delitos.

Adelanto que una de mis conclusiones va a ser que es irrelevante la forma en que las pruebas relativas al correo electrónico corporativo lleguen a un proceso penal, ya que, al ser un instrumento que está en la mayoría de los casos bajo el control de la empresa, las garantías que ofrece la intervención judicial pierden toda su eficacia.

Afirmaciones más relevantes de la Sentencia del Tribunal Supremo de 16/06/14

1. Los criterios establecidos en las sentencias previas del Tribunal Supremo y del Tribunal Constitucional han de quedar restringidos al ámbito de la Jurisdicción Laboral y no procede, en modo alguno, que se extiendan al enjuiciamiento penal.

2. El artículo 18.3 de la Constitución Española es claro y tajante cuando afirma que se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

3. No contempla, por tanto, ninguna posibilidad ni supuesto que permita la injerencia en el contenido secreto de las comunicaciones sin la necesaria e imprescindible autorización judicial.

4. No son una excepción los argumentos relativos a la propiedad o titularidad del ordenador y la cuenta de correo electrónico, ni el uso de dichos recursos durante la jornada laboral, ni la naturaleza corporativa del cauce empleado.

5. Tampoco una supuesta renuncia tácita del derecho puede convalidar la ausencia de autorización judicial. En primer lugar porque esta renuncia al secreto de las comunicaciones no se produce en el caso concreto. En segundo lugar porque aunque se hubiese producido una renuncia-autorización, la Constitución no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante de la intervención del correo.

6. La protección reforzada del derecho al secreto de las comunicaciones se justifica porque este tipo de injerencias revelan aspectos de la privacidad del comunicante que son ajenos al legítimo interés de una investigación.

7. Además se produce una situación de absoluta indefensión, por no saber la persona investigada que sus comunicaciones están siendo intervenidas.

8. Finalmente, el secreto de las comunicaciones beneficia también a los terceros que comunican con el trabajador, que son ajenos a la relación de éste con el titular del recurso y de sus condiciones de uso.

9. Por consiguiente, para que pueda otorgarse valor y eficacia probatoria en sede penal al resultado de una intervención del correo electrónico de un trabajador, resultará siempre necesaria la autorización e intervención judicial.

10. Quedan excluidos del secreto de las comunicaciones los mensajes que, una vez recibidos y abiertos por su destinatario, no forman ya parte de la comunicación propiamente dicha.

11. A los mensajes abiertos le son aplicables las normas relativas a la protección de datos personales y a la intimidad en sentido genérico, por lo que en este caso no es necesaria la autorización judicial.

12. También quedan excluidos los datos de tráfico y el uso del ordenador para acceder a páginas web y a otros servicios de Internet.

Ausencia de contenido privado y confidencial

1. Las alegaciones del trabajador recurrente acerca de las dudas sobre la integridad y validez de la prueba informática aportada por la empresa no son tenidas en cuenta en la sentencia, ya que se considera que no se ha producido injerencia en el secreto de las comunicaciones en este caso concreto.

2. En la sentencia recurrida se dice que no consta que se haya examinado correo electrónico privado ni cualquier otro tipo de programa o archivos temporales que haya supuesto intervenir o desvelar algún tipo de de comunicación privada y confidencial del trabajador.

3. Pensemos que los mensajes intervenidos estaban relacionados con las funciones administrativas desarrolladas por el trabajador y los destinatarios o remitentes de los mensajes eran sus interlocutores en las entidades financieras y los clientes con los que la empresa operaba.

4. Los criterios establecidos en la sentencia se plantean, por lo tanto, con la finalidad de fijar una clara doctrina sobre la validez probatoria de este tipo de intervenciones en sede penal.

¿Comete un delito la empresa que abre un mensaje cerrado de un trabajador?

1. En la sentencia se habla de la invalidez en sede penal de los mensajes cerrados intervenidos a un trabajador sin autorización judicial, pero no habla de las consecuencias penales de esta intervención.

2. Se entiende que no, ya que en el caso de que esta intervención fuese subsumible en el tipo penal del artículo 197 del Código Penal, algunas de las actividades rutinarias que se realizan cada día en muchas empresas podrían llegar a constituir un delito.

3. Imaginemos a la secretaria que, siguiendo las instrucciones de su jefe, abre sus mensajes cuando está en una reunión, para avisarle de cualquier asunto urgente. O el supervisor de un call center que escucha una muestra de llamadas cada día para controlar la calidad ofrecida por los operadores del servicio de atención al cliente. O las líneas de banca telefónica cuyas conversaciones son grabadas como prueba del consentimiento dado a las operaciones realizadas. ¿Se está cometiendo un delito en todos estos casos? Entiendo que no. ¿Son válidas estas pruebas en un proceso penal? Entiendo que sí.

4. También ha que hablar en este punto del consentimiento que dan los trabajadores que causan baja en una empresa para que sus sucesores puedan acceder a sus documentos y mensajes con el fin de continuar su trabajo. ¿Qué pasa si la persona que recibe los pedidos causa baja en la empresa? Los clientes seguirán enviando sus pedidos a esa dirección durante un tiempo, aunque se les avise puntualmente. En estos casos se utilizan direcciones genéricas de departamento, pero según la doctrina del Tribunal Supremo de 2007, cualquier usuario podría utilizar la cuenta genérica para un uso personal, con la consiguiente “expectativa de privacidad”.

5. El artículo 197 del Código Penal describe un tipo penal en el que el consentimiento del interesado elimina la posibilidad de que se cometa un delito.

6. De ello se deduce a mi entender que un consentimiento expreso debería ser también suficiente para habilitar una intervención del correo electrónico con la finalidad de causar prueba en un proceso penal, siempre que se aplicase un protocolo con las debidas garantías, se utilizase un fedatario público y se respetase la cadena de custodia.

7. La tecnología actual permite realizar varias copias de un disco duro sin acceder a su contenido y con herramientas que aseguran su integridad.

8. No obstante, todas estas garantías se refieren al momento de la obtención de la prueba y a su ciclo de vida posterior, pero no permiten asegurar que la prueba haya sido manipulada con carácter previo a la intervención, como diré más adelante.

Titular real del derecho al secreto de las comunicaciones

1. Siguiendo con mis opiniones personales cabe decir que llevo muchos años defendiendo la tesis de que en el correo electrónico corporativo el titular del derecho al secreto de las comunicaciones es la empresa. Insistiré poco en ello ya que doy por consolidada la doctrina jurisprudencial que exige una sospecha razonable y la aplicación del principio de proporcionalidad a la intervención del correo electrónico del trabajador para causar prueba en sede laboral. El único límite que establece el artículo 20.3 del Estatuto de los Trabajadores es el respecto a la dignidad del trabajador.

2. Plantémonos las siguientes preguntas: si un competidor interceptase un mensaje de correo electrónico entre nuestra empresa y un cliente, ¿quién pondría la querella por vulneración del secreto de las comunicaciones contra el competidor? ¿el trabajador que ha enviado el mensaje o la empresa? ¿Y en el caso de una llamada telefónica entre la empresa y un cliente?

3. La doctrina ha sido restrictiva y poco uniforme a la hora de extender los derechos fundamentales reconocidos en el artículo 18 de la Constitución a la persona jurídica. Se considera que la empresa puede tener derecho al honor y reputación, pero hay reparos para reconocer su derecho a la intimidad. En cambio hay que disponer de un consentimiento expreso para enviar una comunicación comercial electrónica a una empresa y de un mandamiento judicial para entrar en sus oficinas.

4. El Tribunal Europeo de Derechos Humanos (TEDH) reconoce el derecho al secreto de las comunicaciones a las personas jurídicas y declara que las nociones “vida privada” y “correspondencia” del art. 8 del convenio incluyen tanto locales privados como profesionales (Sentencia TEDH de 16 de febrero de 2000, caso Amann). También reconoció este derecho a favor de las empresas el Tribunal de Justicia de las Comunidades Europeas (en su anterior denominación) en la sentencia de 18 de mayo de 1982, A.M.S. v. Comisión.

5. El artículo 200 del Código Penal establece que lo dispuesto para las personas físicas en el mismo capítulo será aplicable también al que descubriere, revelare o cediere datos reservados de personas jurídicas sin el consentimiento de sus representantes.

6. Si se reconoce que una empresa puede ser titular del derecho al secreto de las comunicaciones deberá concluirse que la interceptación de un mensaje entre dos empresas supondrá una vulneración de este derecho. El derecho de la persona física que envió o recibió el mensaje pasaría en este caso a un segundo plano.

7. En mi opinión, la empresa es parte en las comunicaciones que se generan entre ella y cualquier otra persona física o jurídica y de ello debería deducirse que no precisa una autorización judicial para conocer su contenido cuando ha prohibido expresamente el uso privado de dichas comunicaciones y ha advertido de su monitorización.

8. La prueba podrá ponerse en duda, como toda prueba aportada por una de las partes, pero no debería decirse que ha sido obtenida de forma ilegítima, ya que, como he dicho, la empresa es parte en la comunicación.

¿Qué pasa actualmente con el correo postal corporativo?

1. Las cartas que llegan todavía a las empresas en formato papel conteniendo pedidos, facturas, publicidad, y otros contenidos de índole empresarial, van dirigidas generalmente a una persona física.

2. Hay diversas fórmulas para identificar al destinatario de una carta. Puede aparecer directamente su nombre o bien el cargo o departamento. La carta también puede ir dirigida a la empresa, a la atención de una persona concreta.

3. Aunque la carta vaya dirigida al Presidente de la compañía, es muy probable que su secretaria la abra, ya que los altos cargos acostumbran a optimizar su tiempo delegando en sus secretarias la apertura de la correspondencia.

4. Lo mismo sucederá en el departamento de contabilidad. Si una carta va dirigida a una persona que ya no está en la empresa, se presumirá que su contenido tiene que ver con la función que desempeñaba y será abierta.

5. En estos supuestos nadie habla de violación del secreto de las comunicaciones porque se entiende que se trata de comunicaciones en las que la empresa es parte, como remitente o como destinataria.

6. En el correo electrónico sucede lo mismo. Los mensajes van dirigidos a la empresa, a la atención de una persona concreta. De hecho, la arroba significa “at”, lo que indica que el mensaje va dirigido a a la atención de una persona concreta en (at) la empresa indicada en el nombre de dominio.

El derecho al secreto de las comunicaciones en el puesto de trabajo

1. La cultura del “buen rollo” desarrollada en las grandes empresas durante los años de bonanza llevó a buscar un equilibrio entre la vida laboral y la personal. Se entendió que no podía pedirse a un trabajador la conducta heroica de no utilizar los recursos tecnológicos corporativos para fines privados o personales durante las ocho largas horas de la jornada laboral. Ello generó un clima de permisividad que en muchas empresas derogó de facto las prohibiciones que pudiesen existir en relación a ese uso privado.

2. Pero las circunstancias han cambiado. Por un lado han surgido los smartphones, que han concentrado en ellos las comunicaciones privadas de los trabajadores. Ello permite presumir que el correo electrónico corporativo está dejando de ser utilizado para asuntos personales, justamente por el riesgo conocido de su lectura por la empresa. La tendencia del BYOD, para mi equivocada por cuestiones de seguridad, establece una diferencia clara entre las aplicaciones corporativas

3. Por otro lado, la crisis ha hecho que las empresas exijan una mayor productividad a sus trabajadores, por lo que un uso personal de los recursos TIC de la empresa puede ser mal visto y tratado como un supuesto de absentismo presencial.

4. Ello no impide que los trabajadores más jóvenes pasen su jornada laboral con el smartphone al lado del teclado del ordenador. Con este gesto le están diciendo a la empresa que seguirán trabajando en sus funciones hasta el momento en que reciban un mensaje de Whatsapp o de correo electrónico en el smartphone, momento en que su lectura tendrá prioridad absoluta sobre cualquier otra tarea de su famoso “multitasking”. La cuestión es que la frecuencia de las interrupciones que provoca la multitarea es tan alta que un reciente estudio afirma que esta práctica provoca una reducción de 10 puntos en el coeficiente intelectual de la persona. Si la mayoría de los trabajadores no aceptarían una injerencia de la empresa en el sagrado episodio del fin de semana o las vacaciones, no parece justo que la empresa tenga que aceptar la injerencia de los mensajes personales y las constantes interrupciones del Whatsapp durante la jornada laboral. Ninguno de nosotros tendría que aceptarlo, por su inevitable impacto acumulado en el PIB de nuestro país.

5. ¿Qué expectativa de intimidad tiene el trabajador cuando utiliza el correo electrónico corporativo? No todas las formas de comunicación tienen el mismo tratamiento. Las postales que enviamos cuando ejercemos de turista van abiertas y la expectativa de intimidad es nula. El correo electrónico corporativo también va abierto para la empresa. No es necesario que el trabajador lo abra para que la empresa tenga la oportunidad de leer su contenido.

6. En la sentencia analizada se habla de que una renuncia del trabajador al derecho es inviable. Pero la cuestión es si al hablar del correo electrónico corporativo debemos dejar que este derecho llegue a nacer. El cauce no es la renuncia al derecho sino el convencimiento de que no hay espacio para la intimidad en el correo electrónico corporativo.

6. Entiendo que las empresas deben hacer un esfuerzo para definir de forma más clara que los recursos TIC corporativos están reservados para un uso empresarial y que el uso personal debe quedar prohibido. Ello no sería exigir una conducta heroica al trabajador, ya que pueden aprovecharse las pausas y los momentos de descanso para consultar el smartphone personal.

El correo corporativo está bajo el control constante de la empresa

1. Como adelantaba al principio, considero que las garantías que ofrece la intervención judicial van a llegar siempre tarde cuando se trata de obtener y utilizar el correo electrónico corporativo como prueba.

2. Pensemos que un mensaje de correo electrónico no cifrado es texto plano, que entra y sale de la empresa por un conducto que está enteramente bajo su control. Salvo en los casos en que el servicio está en manos de un tercero, y a veces incluso así, nada impide al departamento de sistemas de la empresa leer el correo e incluso modificar su contenido. Incluso se puede decir que el ISP es un proveedor pagado por la empresa que carece de neutralidad.

3. Una intervención judicial sería el procedimiento ideal para “blanquear” una prueba previamente asegurada desde el punto de vista técnico.

4. También existe la posibilidad de que la empresa marque como “leído”el mensaje que desea intervenir antes de aplicar el protocolo de intervención. Al igual que existe la posibilidad de que el trabajador marque como “no leído” los mensajes ya leídos que desea proteger de una eventual intervención de la empresa. Aunque en este caso sería mejor borrarlos.

5. En estas condiciones, las garantías de integridad, fe pública y continuidad de la cadena de custodia decaen de manera absoluta. ¿De qué sirve que un Secretario Judicial de fe de una realidad que ha podido ser alterada previamente? ¿Por qué preocuparnos de la cadena de custodia de algo que puede haber sido modificado con anterioridad a la diligencia judicial?

6. En cualquier caso, existen herramientas de “forensic readiness” que permiten acreditar que un mensaje no ha sido manipulado.

7. Es evidente que las empresas no están manipulando el correo para imputar a sus trabajadores. Estamos hablando de que existe la posibilidad técnica para hacerlo y ello puede desvirtuar las garantías de una intervención judicial posterior.

8. Por lo tanto, la validez de esta prueba se basa más en la credibilidad de su contenido y en las restantes pruebas anteriores, coetáneas y posteriores a los mensajes intervenidos que en la forma en que han sido obtenidos. De hecho esto es lo que ocurre exactamente en el caso analizado.

El secreto de las comunicaciones como subconjunto del derecho a la intimidad

1. En la sentencia comentada se dice que el derecho al secreto de las comunicaciones está dentro del genérico derecho a la intimidad que se contempla en el artículo 18 de la Constitución.

2. El artículo 2.2 de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen establece que no se apreciará la existencia de intromisión ilegítima en el ámbito protegido cuando estuviere expresamente autorizada por Ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso.

3. Aunque el preámbulo de esta ley se refiere exclusivamente al desarrollo del articulo 18.1 de la Constitución, lo cierto es que en el articulado se habla de todo el artículo 18.

5. Si pudiésemos aplicar a este caso el principio de quien puede lo más puede lo menos, sería natural concluir que una persona que puede dar su consentimiento para entrar en su casa también puede dar su consentimiento para entrar en su correo electrónico, por muy enérgica que sea su protección en el artículo 18.3 de la Constitución exigiendo la intervención judicial.

6. También hay que tener en cuenta que en la redacción del artículo 18.3 no se incluyó la posibilidad de que la injerencia en el secreto de las comunicaciones estuviese autorizada en ciertos casos por una ley. Y ello podría ser un error.

7. Lo natural sería que la ley y el consentimiento fuesen también instrumentos habilitadores de una injerencia legítima en el secreto de las comunicaciones. Pensemos que en la actualidad, tras los escándalos de la NSA, cualquier persona puede pensar que la probabilidad de que alguien lea sus mensajes de correo electrónico es más alta que la probabilidad de que alguien entre en su domicilio sin autorización. Los mensajes están ahí fuera y en abierto. Mis efectos personales, mi verdadera intimidad, están en casa y cerrados con llave.

8. Por otro lado, entiendo que las obligaciones de control establecidas en el artículo 31bis del Código Penal exigen a las empresas poder realizar inspecciones que alcancen a contenidos presuntamente protegidos por el derecho a la intimidad y por el secreto de las comunicaciones, como subconjunto del mismo.

Impacto en las obligaciones de control derivadas de un programa de compliance

1. Muchos programas de corporate compliance, destinados a establecer un modelo de prevención y control de delitos, basan su fuerza en la posibilidad de realizar investigaciones en el correo electrónico corporativo.

2. La sentencia comentada puede poner en peligro estas investigaciones, ya que no permitiría realizarlas sin la existencia de una autorización judicial. Al menos el caso de mensajes cerrados destinados a causar prueba en un proceso penal.

3. Entiendo que debería contemplarse como válido el protocolo de intervención del correo electrónico en el que el trabajador está presente en la diligencia y se observan todas las garantías en la obtención de la copia (hash) y en la cadena de custodia.

4. Pero yo me atrevería a ir más allá y a dar por válido el consentimiento expreso dado con carácter previo por el trabajador al firmar las normas de uso de los recursos TIC corporativos, asumir la prohibición de un uso personal de los mismos y aceptar una eventual inspección del correo electrónico.

5. Y también considero que las obligaciones de control establecidas en el artículo 31bis del Código Penal para las empresas habilitan a éstas a realizar investigaciones que pueden alcanzar a todos los recursos TIC que están bajo su control y son de su propiedad, como el correo electrónico corporativo.

 Precauciones a tener en cuenta a partir de ahora

A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por una cuestión de prudencia empresarial y para evitar que las pruebas pierdan su eficacia, la empresa tiene la opción de solicitar la intervención judicial en la obtención de los mensajes cerrados que vayan a ser utilizados como prueba en un proceso penal. En cualquier caso, también puede reforzar sus normas y protocolos de actuación mediante algunas de las siguientes acciones:

1. Prohibir el uso personal del correo electrónico
2. Informar claramente de los controles que la empresa puede aplicar
3. Solicitar el consentimiento expreso para el control del correo electrónico
4. Prohibir la conversión de los mensajes leídos en mensajes no leídos
5. Reforzar las garantías de los protocolos de intervención del correo electrónico
4. Limitar las investigaciones internas dirigidas a un proceso penal a los mensajes abiertos
5. Instalar herramientas de forensic que permitan acreditar que los mensajes no han sido
manipulados por la empresa

Conclusiones

Tras la lectura de la sentencia y el análisis realizado en este artículo, extraigo las siguientes conclusiones:

1. Las empresas están habilitadas por la ley (artículo 31bis del Código Penal y artículo 20.3 del Estatuto de los Trabajadores) para adoptar medidas de vigilancia y control sobre la actividad de los trabajadores.

2. Esta habilitación también puede surgir del consentimiento del trabajador.

3. La prohibición de un uso personal del correo electrónico corporativo y la migración del correo personal a los smartphones privados permite presumir cada vez más que el correo electrónico corporativo está desprovisto de intimidad para el trabajador.

4. La intervención de los mensajes de correo electrónico corporativo enviados o recibidos por el trabajador no supone un delito contra la intimidad, ya que existe una autorización legal y un consentimiento del trabajador.

5. Además, la empresa forma parte de la comunicación, ya que no presta un servicio al trabajador, sino que es jurídicamente el verdadero emisor y receptor de las comunicaciones y por lo tanto, el titular del derecho al secreto de las mismas.

6. Sin embargo, el nuevo criterio del Tribunal Supremo establece que las pruebas obtenidas de esta manera no serán validas en la jurisdicción penal sin la correspondiente autorización e intervención judicial que dote a la diligencia de las correspondientes garantías en el caso de mensajes cerrados.

7. En mi opinión, la tecnología actual de forensic que garantiza la integridad de una copia permite aplicar un protocolo de intervención en el que se apliquen las garantías de integridad, cadena de custodia y fe pública a través de la intervención de un fedatario público.

8. La intervención judicial no garantiza la integridad de la prueba en el caso del correo electrónico corporativo, ya que éste está desde el primer momento bajo el control de la empresa y puede haber sido manipulado antes de la diligencia judicial. Salvo en el caso de que se hayan utilizado previamente herramientas de forensic readiness.

9. A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por un principio de prudencia empresarial recomiendo adoptar las precauciones que resumo en este artículo.

Barrido de cookies de las agencias europeas de protección de datos

Hoy empieza el barrido coordinado de cookies de las agencias europeas de protección de datos, de acuerdo con el comunicado de adigital de la semana pasada.

Este barrido, denominado “European cookie sweep”, finalizará el 19 de septiembre y tiene la finalidad de monitorizar y evaluar el cumplimiento de la normativa europea que regula el uso de cookies en materia de consentimiento e información al usuario.

Los datos obtenidos podrían servir de base a las agencias nacionales para posteriores revisiones individualizadas de los sitios web evaluados en este barrido.

Comunicado de adigital:

http://www.adigital.org/noticias/european-cookie-sweep-las-agencias-de-la-ue-accederan-los-sites-para-comprobar-el

Mi primera colección de software

De la época en que el software se vendía principalmente en cajas, con discos de 5 pulgadas y cuarto, después de 3 y medio y después en CDrom.

Entre los veteranos destacan la primera versión de Windows, el popular dBase III de Ashton Tate y el software de autoedición Ventura Publisher de Xerox, entre otros.

ColeccionSW

Riesgo residual y riesgo aparente

En la navegación a vela se llama viento aparente al resultado que se produce cuando al viento real se suma el generado por la propia velocidad de la embarcación. Se produce una discrepancia entre la realidad ambiental y la que el tripulante percibe, que en este caso es positiva, ya que el viento aparente hace que la embarcación alcance una velocidad muy superior a la del viento real. Gracias a ello, los superveleros de la Copa América pueden alcanzar velocidades superiores a los 20 nudos con vientos de 12 nudos.

En el mundo de la empresa se llama riesgo residual al resultado de restar al riesgo real el efecto de las medidas preventivas y los controles. En el plano teórico, el objetivo es que el riesgo residual tienda a ser cero, ya que el valor asignado al control debe ser cercano o igual al valor asignado al riesgo.

Digo en el plano teórico, porque en la práctica el riesgo real es difícil de medir, el control es relativo y su eficacia es meramente especulativa. Todo ello hace que no podamos hablar de riesgo residual, sino de riesgo aparente, ya que, al igual que en la navegación a vela, se produce una discrepancia entre la realidad ambiental y la que la empresa percibe. Pero en este caso el efecto es negativo, ya que trabajar con riesgos residuales cercanos a cero puede dar una sensación falsa de seguridad y tranquilidad que puede llegar a ser muy peligrosa.

En la prevención de la responsabilidad penal de las empresas y los directivos, ¿las empresas están trabajando con riesgos residuales o con riesgos aparentes?

La respuesta es muy fácil. Si en el análisis de riesgos se ha asignado un valor 5 al riesgo de corrupción, y un valor 4,5 a la existencia de un código ético que prohíbe la corrupción en la empresa, decir que el valor residual es 0,5 es una aberración.

Desgraciadamente, el riesgo es siempre aparente y la seguridad es pura percepción, por lo que una actividad preventiva eficaz no puede estar basada exclusivamente en un modelo teórico que arroje un riesgo residual bajo. Sería lo mismo que confiar en los buenos resultados de una startup fijándonos sólo en su plan de negocio.

Por otro lado, el valor residual de un mes no tiene nada que ver con el del mes siguiente, por lo que de nada sirve basar la actividad preventiva en un análisis hecho hace dos años.

El control debe ser por lo tanto continuado, adaptado, cercano a la fuente del riesgo, actualizado, desconfiado, experto, comprobado, auditado, acreditado y basado en evidencias.

El riesgo nunca es residual, ya que el control nunca es constante, y su eficacia tampoco.