Una pequeña muestra de los errores cometidos durante el primer año de RGPD

  1. Contratar a encargados del tratamiento que no ofrecen garantías suficientes.
  2. Aceptar cláusulas de limitación de responsabilidad de los encargados del tratamiento.
  3. Delegar la selección y homologación de encargados del tratamiento a Compras sin las instrucciones adecuadas.
  4. Seleccionar a los encargados del tratamiento tomando como único criterio el coste del servicio.
  5. Aceptar que un encargado del tratamiento tiene la ISO 27001 sin verificar su alcance real.
  6. Solicitar el consentimiento a los clientes y a los interesados con contrato.
  7. Solicitar el consentimiento a los trabajadores.
  8. Facilitar información incompleta a los trabajadores sobre los datos que la empresa trata y sobre todas las finalidades de los tratamientos que realiza con sus datos.
  9. Aplicar una política de uso de dispositivos móviles basada en el BYOD.
  10. Nombrar a un DPO y no dotarlo de recursos suficientes.
  11. Aplicar el interés legítimo como base de legitimación sin la debida ponderación.
  12. Realizar la ponderación del interés legítimo de manera inadecuada.
  13. No conservar una prueba documental de la ponderación del interés legítimo.
  14. Notificar como brecha un incidente de seguridad que no ha generado riesgos para los interesados.
  15. Desarrollar un detallado protocolo de notificación de brechas y no disponer de un protocolo para verificar si realmente hay que notificar la brecha.
  16. Elaborar un registro de actividades del tratamiento excesivamente extenso, sin agrupar e imposible de gestionar y actualizar.
  17. Aplicar un proceso de desvinculación de trabajadores inadecuado, especialmente en los departamentos comerciales y de marketing, sin ningún tipo de control sobre los datos que se llevan o se han llevado.
  18. Devolver los equipos informáticos al finalizar el renting sin un procedimiento adecuado de eliminación de los datos, y, en la medida de lo posible, mediante la extracción del disco duro.
  19. Aceptar el certificado de destrucción de documentos o soportes con datos como única prueba de su destrucción.
  20. Aceptar que todavía haya departamentos de Marketing que inician campañas de marketing directo sin aplicar el procedimiento de privacy by design y sin contar con la validación jurídica correspondiente. O solicitándola el día antes del lanzamiento de la campaña.

#Compliance 02 – Cómo afecta la Circular 1/2016 de la Fiscalía a los programas de Compliance de las grandes empresas (II)

Sigue de la entrega anterior

Responsabilidad penal de los directivos

En la Circular se indica que la nueva exigencia de que el incumplimiento del deber de control haya sido grave determina que, junto a la empresa, el directivo que omite el control también puede responder por un delito, bien doloso, en comisión por omisión, bien gravemente imprudente, lo que traslada la conducta de los directivos con obligaciones de control.

De esta manera se hace eco de los criterios establecidos en varias sentencias del Tribunal Supremo en las que se establece la responsabilidad penal del directivo que:

  1. Tiene obligaciones de control y vigilancia sobre sus subordinados
  2. Tiene autoridad sobre los mismos
  3. Puede evitar el delito, directamente o a través de sus superiores
  4. Conoce el riesgo o la ejecución del acto antijurídico del subordinado
  5. No ejerce sus facultades de control o no actúa para evitar el delito

En estos casos, el directivo es responsable por omisión, ya que ocupa una posición de garante e incumple su deber de impedir la comisión del delito.

La responsabilidad de los directivos debe ser contemplada en los programas de compliance con el fin de mitigar la habitual contradicción entre el defense file de la empresa y el defense file del directivo.

Responsabilidad penal del Compliance Officer

La Fiscalía entiende que el Compliance Officer puede ser una de las personas que, al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la empresa. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado.

En cualquier caso, la exposición personal al riesgo penal del Compliance Officer no es superior a las de otros directivos de la empresa.

Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones:

  1. Puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos.
  2. Especialmente a causa de su responsabilidad en relación a la gestión del canal de denuncias.
  3. Siempre que la denuncia se refiera a hechos que se están cometiendo.
  4. Y que, por tanto, el Compliance Officer puede impedir con su actuación.

Por ello será muy importante que las funciones de control del Compliance Officer estén claramente definidas en el programa de Compliance, en su contrato y en la descripción del puesto de trabajo.

Perímetro de control

En relación a las personas sometidas a la autoridad de los directivos con obligaciones de control, la Fiscalía interpreta que:

  1. Sólo tienen que operar en el ámbito de dirección, supervisión, vigilancia o control de dichos directivos.
  2. No es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil.

Por lo tanto, quedan incluidos:

  1. Los autónomos
  2. Los trabajadores subcontratados, es decir, los trabajadores de los proveedores.
  3. Los empleados de empresas filiales
  4. Siempre que se hallen integrados en el perímetro de su dominio social

Se entiende que si hay un vínculo laboral entrarían en el perímetro de control los empleados de la empresa, y si hay un contrato mercantil podrían entrar:

  1. Los proveedores críticos
  2. Los clientes críticos
  3. Los concesionarios
  4. Los franquiciados

La necesidad de extender el perímetro de control más allá de la plantilla de la propia empresa es una medida que he defendido desde hace años, por lo que no puedo estar más de acuerdo con la posición de la Fiscalía.


Prevención de conductas imprudentes

Los comportamientos que pueden generar responsabilidad penal para la empresa pueden ser dolosos o imprudentes. En la circular de la Fiscalía se recuerda que sólo cuatro grupos de conductas imprudentes son susceptibles de general responsabilidad penal para las empresas:

  1. Las insolvencias punibles
  2. Los delitos contra los recursos naturales y el medio ambiente
  3. El delito de blanqueo de capitales
  4. Los delitos de financiación del terrorismo

Esta información debe ser aprovechada por las empresas y sectores con un riesgo inherente alto en alguno de estos cuatro puntos, ya que así saben donde tienen que concentrar su esfuerzos de prevención y formación.

Se entiende que la prevención de los comportamientos dolosos exige una gran inversión en medidas de control y detención, mientras que la prevención de los comportamientos imprudentes exige destinar más recursos a la información, la formación y la sensibilización.

Ver siguientes entregas

Control de proveedores y responsabilidad corporativa: los modelos de Inditex y Apple

El alto nivel de externalización que actualmente tienen las empresas hace que compartan con sus proveedores la gestión de la reputación corporativa.

Cuando las hojas salariales de una empresa o las historias clínicas de un hospital aparecen en un contenedor, el nombre del proveedor al que se había encomendado su correcta destrucción, y que certificó que efectivamente lo había hecho, ni siquiera aparece. En cambio, el de la empresa que lo contrató y confió en que cumpliría el contrato es objeto de críticas en los medios y de denuncias ante la Agencia de Protección de Datos.

A ello se unen factores que configuran una tormenta perfecta. El proveedor está aplicando una política de ahorro de costes que puede influir en la calidad, y probablemente su capacidad de hacer frente a una reclamación de daños y perjuicios ha quedado limitada, al haber reducido la cobertura de su seguro de responsabilidad civil a causa de la misma política de ahorro de costes.

En 2012 varias empresas de diversos sectores tuvieron problemas en la calidad de sus productos o servicios y es razonable pensar que el origen de estos incidentes pudiera deberse, en cierta medida, al recorte presupuestario comentado.

Ante esta situación surge más que nunca la necesidad de establecer medidas de control y pruebas cronológicas sobre el esfuerzo realizado por la empresa para asegurar la calidad, el cumplimiento contractual y el cumplimiento normativo de los proveedores. Al igual que en las grandes empresas existe las funciones de auditoría interna y control interno, se hace necesario potenciar las funciones de auditoría y control externos.

Para analizar la política y los protocolos a seguir para prevenir supuestos de responsabilidad civil (culpa in eligendo y culpa in vigilando) derivados de las acciones u omisiones de los proveedores, vamos a relacionar los elementos más significativos de los modelos de control externo de dos grandes compañías como Inditex y Apple.

Modelo Inditex

La política de control de proveedores de Inditex se basa en los siguientes puntos:

  • Programa de cumplimiento
  • Programa de sensibilización
  • Código de conducta de fabricantes y proveedores
  • Autoevaluación de proveedores
  • Auditoría social
  • Asignación de rating
  • Monitorización permanente de los proveedores
  • Programas y auditorías de seguimiento
  • Aplicación de planes de acción correctivos
  • Acompañamiento en la mejora constante de las condiciones sociolaborales
  • Colaboración con organizaciones de referencia
  • Estrategia global de gestión del agua
  • Plan estratégico medioambiental 2011-2015
  • Compromiso de vertido cero

La política de Inditex en relación a sus proveedores se encuentra en la sección Proveedores del área de Sostenibilidad de su sede web.

Modelo Apple

La política de control de proveedores de Apple se basa en los siguientes puntos:

  • Lista pública de proveedores (PDF)
  • Código de conducta para proveedores (PDF)
  • Programa de formación para toda la cadena de suministro
  • Política de protección de los derechos del trabajador
  • Política de seguridad e higiene en el trabajo
  • Política de protección del medioambiente
  • Cálculo de la huella ambiental y de carbono a nivel mundial
  • Auditorías presenciales
  • Investigaciones encargadas a asociaciones independientes
  • Publicación de los resultados de los controles

La política de Apple en relación a sus proveedores se encuentra en la sección Supplier Responsibility de su sede web.

Sobre el papel ambos modelos son tan completos que si una empresa quiere saber si su modelo de control de proveedores es exhaustivo, sólo tiene que compararlo con los de Inditex y Apple. Incluso puede utilizar la lista de puntos anterior como checklist. En la práctica hay que saber distinguir entre maquillaje (makeup compliance) y control efectivo, por lo que es importante valorar los resultados y generar pruebas de la existencia y la eficacia de los controles.

Finalmente, cabe mencionar la reciente resolución de la AEPD, en la se se ha impuesto una sanción de 33.000 euros a una empresa por el mal funcionamiento del procedimiento de gestión de las solicitudes de baja cursadas por usuarios que no deseaban seguir recibiendo publicidad por correo electrónico. Este procedimiento estaba externalizado en una empresa especializada, y la AEPD considera que la empresa sancionada debía haberse asegurado del correcto funcionamiento de la operativa encomendada al proveedor. La resolución establece que la empresa desatendió su deber de cuidado de la labor del proveedor, que envió 23 mensajes publicitarios al usuario afectado, a pesar de haber comunicado éste que no deseaba recibir más publicidad.