Curso presencial en Barcelona sobre el Reglamento UE de protección de datos

El próximo 24 de noviembre Thomson Reuters Aranzadi y nuestro despacho organizamos un curso presencial sobre el Reglamento UE de protección de datos.

Más detalles en esta dirección:

http://www.tienda.aranzadi.es/productos/formaciones/curso-presencial-data-protection-officer-barcelona/9924/4294967105?utm_source=Eloqua&utm_medium=email&utm_campaign=email_DPO_Barcelona.html

 

Publicada la ISO 37001:2016 sobre sistemas anti-corrupción

Ya se puede adquirir la nueva ISO 37001:2016 que pretende ser un estándar certificable en relación a sistemas de gestión de las medidas anti-corrupción de una empresa o cualquier otro tipo de organización.

https://www.iso.org/obp/ui/es/#iso:std:iso:37001:ed-1:v1:en

13ª Edición del Curso de Compliance Officer presencial intensivo (2 días)

Tengo el placer de anunciar que ya hemos llegado a la 13ª edición del Curso de Compliance Officer presencial intensivo, que tendrá lugar en nuestras oficinas en Diagonal 640 1C de Barcelona los próximos días 20 y 21 de octubre.

En esta convocatoria quedan libres cuatro plazas a fecha de hoy.

Como en la anterior edición, analizaremos a fondo la metodología a seguir en un proyecto de Compliance orientado a evidencias de cumplimiento.

Si deseas que te enviemos el programa, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

Nuevo proceso de selección

El próximo mes de noviembre vamos a iniciar un nuevo proceso de selección para nuestro despacho.

En este proceso estamos interesados en los siguientes perfiles profesionales:

  • Asociado Senior – Compliance (Experiencia de más de 6 años)
  • Asociado Senior – Protección de Datos (Experiencia de más de 6 años)
  • Asociado – Compliance (Experiencia de más de 3 años)
  • Asociado – Protección de Datos (Experiencia de más de 3 años)

Los abogados interesados en participar en este proceso pueden enviar un mensaje a anna.canadell@ribastic.com con un enlace a su perfil en Linkedin. Esta fase finaliza el 2 de noviembre de 2016. En la siguiente fase enviaremos la oferta completa a los preseleccionados.

La experiencia requerida se refiere a los años de ejercicio como abogado, valorándose los años de experiencia en la especialidad. Se valorarán también los perfiles que tengan a la vez las dos competencias de Compliance y Protección de Datos.

Muchas gracias.

La entrevista de salida como fuente de información para Compliance

Siempre hemos dicho que los canales éticos cuentan con numerosos obstáculos en los países mediterráneos. Desde el error de denominarlos canales de denuncias hasta el temor a su ineficacia, a las represalias, a las filtraciones y al estigma del delator.

Si en la entrevista de salida se consigue un clima de confianza y colaboración, la persona que va a causar baja en la empresa de forma inmediata no debería tener esos temores. El mensaje que recibe es claro: “Tu opinión puede ayudarnos a mejorar”.

Según los manuales de RRHH, los objetivos de la entrevista de salida pueden ser útiles para identificar áreas de mejora en distintos ámbitos organizativos y ello es perfectamente extensible al modelo de prevención y control de la empresa.

La gran ventaja es que este tipo de entrevistas gozan de gran credibilidad en cuanto a su nivel de confidencialidad. En las empresas que conozco, el contenido de las entrevistas de salida es un secreto inviolable, y ello permite conocer bien la opinión de la persona entrevistada si el entrevistador no se limita a leer el cuestionario, sino a mantener un diálogo distendido.

En algunos casos el entrevistado se explaya a gusto, como si esa fuese una ocasión para desahogarse por todas las veces que se ha mordido la lengua y ha reprimido sus críticas a situaciones en las que no se veía capaz de cambiar nada.

En otras ocasiones la entrevista puede llegar a convertirse en la denuncia de un incumplimiento continuado que podrá ser tratada como tal protegiendo la identidad de la fuente. En estos casos se deberá actuar con cautela para distinguir y aislar las situaciones de desagravio o venganza personal, así como las denuncias falsas. Esa ya será una labor del canal ético.

Compliance y RRHH pueden colaborar en el diseño del contenido de la entrevista de salida para que se convierta en una oportunidad para conseguir identificar:

  1. Áreas de mejora del modelo de prevención i control.
  2. Riesgos desconocidos o mal evaluados.
  3. Controles mal aplicados.
  4. Situaciones de incumplimiento.
  5. Instrucciones contradictorias.
  6. Instrucciones que comportan la anulación de ciertos controles.
  7. Situaciones de tolerancia ante incumplimientos continuados.

La información obtenida por RRHH puede ser comunicada a Compliance cuando se cuente con el consentimiento del informado o cuando se refiera a cuestiones genéricas de la empresa cuyo origen no pueda ser atribuido a la persona entrevistada.

Compliance también puede tener la opción de entrevistarse con las personas que causen baja en la empresa y obtener esta información directamente, en las mismas condiciones de confidencialidad y diálogo distendido, evitando el formato de interrogatorio y teniendo en cuenta que la persona entrevistada puede pensar que no tiene nada que perder, pero también que no tiene nada que ganar.

 

Desayuno de trabajo en Madrid sobre el Reglamento UE de protección de datos

desayunomadridEl próximo miércoles, 21 de septiembre, tendrá lugar el desayuno de trabajo organizado por Thomson Reuters Aranzadi en la Real Academia de Jurisprudencia y Legislación, en el que haré un resumen de las novedades del nuevo Reglamento UE de Protección de Datos y explicaré cómo afecta a las empresas.

Puedes acceder a la invitación haciendo clic en este enlace:

http://www.aranzadi.es/sites/aranzadi.es/files/creatividad/Marketing/Invitaciones/email_invitacion_Protecion_datos_0.html

 

Una alternativa a la dimisión de Compliance Officer

En las Jornadas de Compliance de Barcelona del pasado mes de junio, organizadas por Thomson Reuters Aranzadi y Cumplen, di una ponencia sobre la figura del Compliance Officer, sus derechos, sus deberes y su responsabilidad. Fue mi primera conferencia después de un accidente de tráfico que ocasionó la fractura múltiple de mi mandíbula y una buena temporada de dieta líquida y sin poder hablar, por lo que me alegro mucho de haber podido superar mis dificultades para vocalizar, a pesar de la letra ese, que todavía se resiste.

Al hablar de la responsabilidad del Compliance Officer expliqué las opciones que este cargo tiene ante el descubrimiento de un delito continuado tolerado por la alta dirección de la empresa y de las estrategias a seguir ante una mala práctica sectorial apoyada por los directivos de la empresa, tal como previamente había descrito en una infografía y en un vídeo publicados en mi blog.

Estas opciones se concretaban en la negociación de alternativas con los directivos afectados, la comunicación al Consejo de Administración o la comunicación a los accionistas, y finalizaban en la denuncia externa, con el consiguiente riesgo de despido o la dimisión del Compliance Officer, con la correspondiente pérdida de la indemnización.

Al final de la jornada estuve hablando con Emilio del Bas, abogado laboralista, que me comentó que existía otra alternativa a la dimisión que permitía salir de la empresa incumplidora sin perder la indemnización que correspondería en el caso de un despido improcedente.

Días después me envió la argumentación jurídica que Emilio del Bas consideraba aplicable a los supuestos de impedimento grave para el desarrollo de las funciones encomendadas al Compliance Officer interno por parte de la empresa. Esta argumentación, que desde aquí le agradezco, sustentaba una alternativa más ventajosa que la dimisión voluntaria, consistente en solicitar la extinción del contrato laboral por parte del Compliance Officer.

El fundamento jurídico de la tesis de Emilio del Bas se encuentra recogido en el artículo 50.1.c del Estatuto de los Trabajadores, que establece como causa justa para que el trabajador pueda solicitar la extinción del contrato, cualquier otro incumplimiento grave de sus obligaciones por parte de la empresa, distinto a los ya previstos en dicho artículo.

Este artículo debe ponerse en relación con los artículos 4.2.a y 5.a del Estatuto de los trabajadores.

El primero establece el derecho a la ocupación efectiva de los trabajadores y el segundo el deber laboral básico del trabajador de cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.

De la conjunción de estos dos últimos preceptos a juicio de Emilio del Bas resultan inequívocos, tanto el derecho del trabajador a la ocupación efectiva, entendida ésta como desarrollo en toda su extensión de su profesión de Compliance Officer, como su deber de hacerlo conforme a las reglas de la buena fe y diligencia, es decir, sin limitaciones a su alcance.

En consecuencia, de darse por parte de la empresa el supuesto de impedir o limitar de modo grave las funciones propias e inherentes al Compliance Officer estaríamos en el supuesto de grave incumplimiento empresarial del art. 50.1.c del Estatuto de los Trabajadores, que le habilitaría para instar la extinción de su contrato de trabajo por imposibilidad material de llevar a cabo el objeto del mismo, pero a diferencia de en el caso de la dimisión voluntaria, con las siguientes coberturas:

  1. Indemnización idéntica a la establecida para los supuestos de despido improcedente, y
  2. Acceso a las prestaciones económicas por desempleo.

La extinción del contrato laboral a instancias del trabajador supone una alternativa reconocida de forma reiterada por el Tribunal Supremo. En el caso del Compliance Officer el incumplimiento grave de la empresa consistiría en impedir al Compliance Officer la realización de sus funciones de prevención y control, imposibilitando la aplicación del modelo de compliance de la empresa, la supervisión de su cumplimiento y la sanción de sus incumplimientos, de acuerdo con los requisitos establecidos en el artículo 31 bis del Código Penal para la exención de la responsabilidad penal de la empresa.

Adicionalmente, el impedimento y la limitación de las funciones del Compliance Officer tendrían el efecto perverso de consolidar el delito continuado denunciado como práctica habitual de la empresa.

La nueva figura del DPO (Data Protection Officer): Oportunidad profesional para los abogados

Jesús Martinell
Abogado Ribas y Asociados.

El pasado 4 de mayo se publicó en el Diario Oficial Unión Europea, el esperado Reglamento 2016/679 relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de esos datos. Este nuevo Reglamento deroga la Directiva 95/46/CE aplicable en todos los Estados Miembros a partir del 25 de mayo  de 2018.

A pesar de que el Reglamento será aplicable a partir de mayo de 2018, las empresas deben, de manera progresiva, empezar a implementar determinadas medidas. En este sentido la Agencia Española de Protección de Datos (AEPD) ya se ha pronunciado. Una de ellas es la obligatoriedad (si interpretamos el sentido literal del texto al decir “deberán”) de que el responsable y encargado del tratamiento en la empresa designe al DPO siempre que: (i) el tratamiento lo lleve a cabo una autoridad u organismo público, (ii) que la empresa haga tratamientos que por su naturaleza, alcance y/o fines requieran de una observación habitual y sistemática de interesados a gran escala o (iii) que se lleve a cabo tratamientos a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.

El nuevo Reglamento afecta, principalmente, a los responsables y encargados del tratamiento ya que deberán adaptar la nueva normativa al tratamiento de datos que lleven a cabo en la empresa. De algún modo, los responsables y encargados deberán hacer un esfuerzo considerable para, paulatinamente, ir adaptando todos los tratamientos de datos existentes en la empresa, así como los futuros, a las exigencias de la nueva normativa.

Asimismo, los interesados o titulares de derechos, con el nuevo Reglamento, disponen de un abanico más amplio de Derechos (p.e. derecho a la portabilidad, derecho al olvido o supresión, derecho a la limitación de los datos, derecho a presentar una denuncia ante la Autoridad de Control etc.).

En el caso de los abogados, es una oportunidad para especializarse en una nueva figura que nos introduce el Reglamento: el Data Protection Officer (DPO). Todas las novedades, que iremos tratando a lo largo de estos meses a través de diferentes artículos, ofrecen la oportunidad perfecta para el abogado que tenga interés en la empresa, y más concretamente,  en la implantación de modelos dónde, el cumplimiento normativo, el principio de responsabilidad y la prevención tengan un papel predominante en detenimiento de un modelo estrictamente sancionador y más reactivo que proactivo.

La nueva figura del DPO comparte sinergias con el Compliance Officer. Ya que, a ambos, se les exige la necesidad de acreditar el cumplimiento a través de las políticas y medidas que se adopten. El legislador europeo sigue apostando por modelos en los que la empresa lleve la iniciativa. Modelos de “Privacy by design” y “by default” en el que será fundamental que cualquier decisión que se lleve a cabo por el DPO y/o cualquier otra figura con responsabilidad en la empresa, estén razonadas o argumentadas y debidamente acreditadas.

Asimismo, debemos tener en cuenta que el perfil de DPO debe tener un talante proactivo en sus funciones. El legislador, huye, cada vez más, de posturas o criterios más pasivos en cuanto que debíamos esperar a que nos vinieran a mirar cómo teníamos la casa. Con el cambio de criterio, debe ser la empresa misma quién tome la iniciativa y, en consecuencia, será crucial el perfil de DPO que escoja.

El DPO deberá tener unas skills comunicativas sólidas ya que, dentro de sus funciones, tendrá que mantener una comunicación fluida y constante con los múltiples interlocutores que aparecen en el nuevo Reglamento. En primer lugar, los responsables y encargados del tratamiento de la empresa, las Autoridades de Control (ante p.e. una consulta previa, violación de seguridad de los datos o una evaluación de impacto.

Por otro lado, si en la empresa en la que estamos es internacional y dispone de filiales por Europa, será importante que la figura que escojamos tenga habilidades para comunicarse en inglés u otros idiomas así como también, una visión amplia y clara sobre los diferentes tratamientos que contengan datos personales que puedan tratarse en tales países y que, en España, quizás no abunden tanto.

Por otro lado, en un contexto global, el DPO deberá ser consciente de que los datos van circulando de un país a otro constantemente. Ello le exige un conocimiento exhaustivo de la normativa europea y local para así poder interaccionar con las múltiples normativas. Así pues deberá ser capaz de saber compaginar nuevos acuerdos, como p.e., el Privacy Shield (que sustituye al antiguo Safe Harbor entre USA y Europa) con el Reglamento Europeo de Protección de Datos y la propia normativa local.

En el seno de un grupo de empresas podrá designarse un único DPO siempre que sea fácilmente accesible desde cada filial y, en el caso de las autoridades u organismos públicos, también podrán designarse un DPO para más de una teniendo en cuenta la estructura y tamaño de la misma.

El nuevo DPO tiene un protagonismo destacable en el futuro de la Protección de Datos siendo una oportunidad para aquellos que les interesa ésta área del Derecho. La empresa, para la designación del mismo, podrá optar por alguien de la cantera o buscar un perfil externo. De todos modos, ambos perfiles, deberán ser designados atendiendo a sus cualidades profesionales, concretamente, sus conocimientos en Derecho y en la práctica de la materia de protección de datos. Asimismo, el perfil escogido, también deberá tener capacidad para desarrollar las funciones y habilidades comentadas anteriormente. Cabe recordar que la empresa deberá respetar al DPO para que desarrolle su cargo con absoluta independencia y con obligación de secreto y confidencialidad.

No siempre, como abogados, se nos presenta una oportunidad como esta para reenfocar o potenciar nuestra carrera profesional. Para el que quiera empezar en este campo, o para el que quiera seguir formándose en el mismo, puede especializarse en la materia a través de un curso de DPO y con ello optar al puesto de DPO en cualquier empresa que solicite el cargo.

En el nuevo curso de DPO de Aranzadi hemos hecho un gran esfuerzo para describir la metodología y las acciones que un DPO debe realizar en el seno de una empresa o como DPO externo. Puedes ver el programa en este enlace:

http://www.tienda.aranzadi.es/productos/formaciones/curso-data-protection-officer/8748/4294967105

 

Nuevo curso de DPO – Data Privacy Officer

Ya está disponible en http://www.tienda.aranzadi.es/productos/formaciones/curso-data-proteccion-officer/8748/4294967105 la posibilidad de reservar plaza en el nuevo curso de DPO (Delegado de Protección Datos) ofrecido por Thomson Reuters Aranzadi con nuestra colaboración.

Clase magistral – Compliance y tecnología

En esta conferencia, que tendrá lugar en ESADE (Campus Pedralbes Barcelona) el próximo miércoles 6 de julio a las 19:00 abordaré las siguiente cuestiones:

  1. Cómo intervienen las TIC en la prevención y la detección de los delitos
  2. Cómo intervienen las TIC en la comisión de los delitos
  3. Cómo pueden las TIC ayudar en la gestión del cumplimiento normativo

Agenda del evento:

19.00. Sesión informativa del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual

19.30. Master Class de Compliance y Tecnología

20.30. Coloquio

Información e inscripciones:

http://www.esade.edu/masters-derecho/esp/admisiones/eventos#
http://itemsweb.esade.edu/webbs/imagenes/mail-MD/MD-TEFI-evento-jul16.html?imp=Apertura