La seguridad es el 20% de un proyecto RGPD

La gran demanda de servicios de adecuación al RGPD (GDPR por sus siglas en inglés) experimentada este año en la Unión Europea está teniendo una respuesta absolutamente heterogénea por parte de las empresas consultoras y los despachos de abogados.  Mientras las primeras dan más importancia a la seguridad en el alcance de la propuesta, los segundos dan mayor protagonismo a las obligaciones de contenido jurídico.

Es absolutamente normal y legítimo que cada uno defienda el alcance que considera más adecuado para satisfacer una necesidad de cumplimiento normativo que comporta importantes sanciones, especialmente en relación a una norma que el cliente medio no conoce a fondo debido a la situación de hiperregulación existente en la actualidad en la Europa continental.

Todos estamos de acuerdo en que los proyectos RGPD deben tener un enfoque multidisciplinar que incluya e integre los conocimientos jurídicos y los conocimientos tecnológicos, estructurados habitualmente en medidas organizativas, jurídicas y de seguridad. En lo que no hay un criterio uniforme es en la proporción de cada área.

Por ello, en el mercado actual podemos encontrar multiples combinaciones que configuran diversas modalidades de enfoque que escoran hacia una u otra disciplina en función de quién lidere el proyecto.

Siguiendo la regla del 80-20, es habitual que los proyectos impulsados por consultoras de seguridad dediquen un 80% a la seguridad y un 20% a las cuestiones jurídicas. Y también es habitual que los proyectos impulsados por despachos de abogados dediquen un 80% a las cuestiones jurídicas y un 20% a la seguridad. Estos porcentajes variarán en función de los acuerdos de colaboración externa o de organización interna, y del peso que cada disciplina tenga en esos acuerdos, llegando, en algunos casos, a la proporción aparentemente ideal del 50-50.

Los argumentos comerciales han coincidido en resaltar la cuantía de las sanciones en ambas disiciplinas, aunque en materia de seguridad el argumento principal se ha centrado en el impacto reputacional de tener que comunicar una brecha de seguridad o una fuga de datos.

En cuanto a los entregables, las consultoras acostumbran a dividir las fases de análisis de gap, disgnóstico, plan de acción e implantación, con una clara separación de esta última fase, que es opcional, de las anteriores fases. Los despachos de abogados se centran más en la adaptación, por lo que aunque las fases coincidan, los entregables incluyen más políticas, normas, procedimientos y aspectos organizativos relacionados con los principios del RGPD.

Para realizar un análisis objetivo del peso real de cada disciplina en un proyecto RGPD habría que valorar los siguientes elementos:

  1. Número de obligaciones del RGPD que guardan relación con cada una de las dos disciplinas.
  2. Número de infracciones del RGPD que guardan relación con cada una de las dos disciplinas
  3. Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad.
  4. Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada.
  5. Cuantía de las sanciones impuestas en el RGPD a las infracciones relacionadas con obligaciones jurídicas y de seguridad.
  6. Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD.
  7. La certeza de que no todos los incidentes de seguridad que se produzcan constituirán una violación de datos que tenga que ser notificada o comunicada.

Una primera aproximación a estos seis elementos de valoración nos da los resultados que aparecen reseñados en los artículos enlazados en la lista anterior.

CONCLUSIONES

Tras analizar los datos objetivos que ofrece el RGPD y las estadísticas analizadas, se puede llegar a las siguientes conclusiones:

  1. Los proyectos RGPD deben dar prioridad a las medidas destinadas a prevenir las infracciones graves y muy graves.
  2. La mayor parte de estas medidas son jurídicas.
  3. Las obligaciones de contenido jurídico constituyen el 84% de las obligaciones establecidas en el RGPD.
  4. Las medidas de seguridad constituyen el 6% de las obligaciones establecidas en el RGPD.
  5. Las infracciones relativas a las medidas de contenido jurídico pueden tener una sanción máxima de 20 millones.
  6. Las infracciones relativas a las medidas de seguridad pueden tener una infracción máxima de 10 millones.
  7. El 99% infracciones más sancionadas en España en 2016 estaban relacionadas con obligaciones jurídicas.
  8. El 1% de las infracciones más sancionadas en España en 2016 estaban relacionadas con medidas de seguridad.
  9. La obligación de comunicar las violaciones de datos pude producir un incremento en la comunicación de las violaciones de la confidencialidad de los datos que tengan sus efectos fuera del perímetro de la empresa, pero es muy probable que las violaciones de la integridad y la disponibilidad de los datos que sólo tengan efectos en el interior de la empresa, sigan sin ser comunicadas.

Las dos disciplinas, la jurídica y la relativa a la seguridad son absolutamente complementarias y deben trabajar juntas en los proyectos RGPD, pero el miedo a tener que comunicar una violación de datos no puede hacer perder la atención en el objetivo principal del proyecto, que es prevenir las infracciones que realmente tengan más probabilidad y más impacto económico en función de las estadísticas analizadas, las tendencias previsibles, las obligaciones establecidas en el RGPD y la cuantía de las sanciones.

Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Teniendo en cuenta que las características esenciales de las obligaciones establecidas en la LOPD y en el RGPD en materia de protección de datos son bastante parecidas, podemos acudir a las estadísticas publicadas anualmente por la Agencia Española de Protección de Datos (AEPD) para ver cuáles son los incumplimientos más frecuentes.

De acuerdo con la última memoria anual publicada por la AEPD, que corresponde a 2016, los datos relativos a las sanciones impuestas a empresas son los siguientes:

  • Videovigilancia: 170 sanciones
  • Ficheros de morosidad: 141 sanciones
  • Comunicaciones electrónicas (Spam): 77 sanciones
  • Contratación fraudulenta: 74 sanciones
  • Publicidad y marketing (Excepto spam): 54 sanciones
  • Información insuficiente: 1 sanción
  • Cookies: 9 sanciones
  • Documentación desechada sin destruir o borrar: 3 sanciones

Como podemos ver, de un total de 529 sanciones analizadas, sólo 3 tendrían relación con un incumplimiento de las medidas de seguridad. Es decir, un 1%.

Acceso a las conclusiones del análisis

 

“Data breach” y RGPD: la realidad de un concepto mal traducido

La traducción oficial al español de “data breach” en el Reglamento General de Protección de Datos es “violación de la seguridad de los datos personales”. Sin tener en cuenta artículos y preposiciones, el traductor oficial convierte dos palabras en cuatro.

Añadir “personales” no me parece mal, ya que confirma que el RGPD no se refiere a cualquier violación de datos, sino que ésta tiene que referirse a datos personales.

El problema surge al añadir la palabra seguridad, ya que ello puede generar la errónea interpretación de que el concepto “data breach” se refiere a cualquier incidente de seguridad en un entorno en el que haya datos personales. Y del texto de los artículos 33 y 34 del RGPD se deduce claramente que esto no es así.

Esta traducción ha provocado que, por economía de palabras, buena parte de las referencias al concepto “data breach” aparezcan en la práctica como “brechas de seguridad” o como “violaciones de seguridad”, con la consiguiente interpretación por parte de los profanos en la materia, de que todos los incidentes de seguridad que afecten a un sistema en el que haya datos personales serán un “data breach” y deberán ser objeto de notificación a la autoridad de control o de comunicación a los interesados. De ahí la pregunta habitual: “¿Cada vez que se pierda un móvil tendré que notificarlo a la Agencia?”

Para analizar el alcance real de un incidente de seguridad deberán tenerse en cuenta todas las circunstancias que lo rodean, así como las medidas anteriores, coetáneas y posteriores al incidente, que el responsable del tratamiento haya adoptado.

Entre las cuestiones conceptuales que deberán tenerse en cuenta destacan las siguientes:

  1. No todos los incidentes de seguridad constituirán una violación de la seguridad de los datos personales.
  2. No todas las violaciones de la seguridad de los datos personales serán una violación de los datos personales.
  3. La seguridad se representa gráficamente como un escudo de protección del sistema que alberga los datos personales, pero este escudo puede tener varias capas y formatos, de manera que un incidente en la primera capa de seguridad no implica forzosamente que exista un alto riesgo para los datos personales, ya que estos pueden encontrarse protegidos por varias capas de seguridad.
  4. Por ejemplo, un incidente en el firewall perimetral de una empresa puede no afectar a los datos que se encuentran cifrados dentro de una aplicación protegida con contraseña, en una máquina virtual protegida por un firewall propio albergada en un servidor interno, protegido a su vez por su propio firewall.

De manera similar a una ciudadela o a una fortaleza militar, el sistema informático de una empresa cuenta con varias líneas de defensa que permiten afirmar que un incidente de seguridad perimetral puede llegar a ser absolutamente irrelevante para los datos personales que alberga el sistema.

Si hablamos concretamente de una violación de la seguridad de los datos personales, igualmente debemos tener en cuenta que dicha seguridad puede estar compuesta por distintas capas y metodologías de protección, tanto físicas, como lógicas, como organizativas.

Por todo ello, y tal como puede verse en los dos gráficos que acompañan a este artículo, y que han sido incluidos en el nuevo curso de DPO de Thomson Reuters, una empresa debe contar con un protocolo de actuación ante incidentes de seguridad y con un protocolo de evaluación de la violación de los datos personales.

En el primer gráfico podemos ver que, antes del incidente, la empresa tiene que haber aplicado las medidas de seguridad necesarias para reducir la probabilidad de que se produzcan incidentes de seguridad y para mitigar los efectos de los que lleguen a producirse a pesar de las medidas aplicadas.

En relación al cifrado de datos, el Grupo de Trabajo del Artículo 29, en la guía que recientemente ha publicado sobre esta materia, ha manifestado que, si la confidencialidad de la clave de cifrado está intacta, los datos personales son en principio ininteligibles, y por lo tanto no se deberá realizar la notificación. Por ello es muy importante que las medidas adoptadas antes, durante y después del incidente vayan orientadas a asegurar la custodia de dicha clave.

También será necesario disponer de un plan de actuación ante un incidente, en el que se asignen funciones específicas a los responsables y se establezcan tiempos de respuesta en los contratos con los proveedores.

Durante y después del incidente, deberá realizarse un análisis de su alcance, del número de afectados, el origen (interno o externo) y el nivel de intencionalidad, así como cualquier otra circunstancia que permita determinar las medidas a aplicar y evaluar los riesgos.

La evaluación del riesgo deberá tener en cuenta, entre otras cuestiones, el tipo de incidente, su alcance en relación a los derechos fundamentales de los afectados, la sensibilidad de los datos, la gravedad del impacto para los afectados y la facilidad de identificación de los mismos. En esta fase será fundamental disponer de una checklist completa que permita evaluar el riego desde la óptica de los derechos y libertades fundamentales de los interesados.

El protocolo de actuación acabará con una decisión final en relación a la notificación y a la comunicación a realizar en función del riesgo evaluado. Si el riesgo es bajo, el incidente podrá ser registrado y archivado. Si el riesgo es alto, deberá realizarse la notificación a la AEPD y si el riesgo es muy alto, deberá realizarse la comunicación a los afectados.

En el segundo gráfico puede verse el protocolo de actuación que propongo aplicar para evaluar si se ha producido una violación de datos que deba ser notificada o comunicada.

Para ello habrá que recopilar información completa del incidente, evaluar la probabilidad y el impacto del riesgo, verificar si las medidas anteriores, coetáneas y posteriores al incidente han protegido de forma suficiente los datos, o si, por el contrario, se ha producido una violación.

De acuerdo con la guía del Grupo de Trabajo del Artículo 29, dicha violación puede referirse a la confidencialidad, a la disponibilidad y a la integridad de los datos. La violación de la confidencialidad permitiría que se produjese una comunicación o un acceso no autorizado a los datos. La violación de la disponibilidad podría provocar una pérdida de acceso a los datos o una destrucción de los mismos. La violación de la integridad supondría una alteración no autorizada de los datos.

Por lo tanto, y como conclusión final, para que un incidente de seguridad se convierta en una violación de datos, se tiene que haber producido una violación de la confidencialidad, la disponibilidad o la integridad de los datos. Si el riesgo de que esta violación afecte a los derechos y libertades de los interesados es alto, habrá que notificarla a la AEPD y si es muy alto, habrá que comunicarla a los interesados.

La diferencia entre riesgo alto y riesgo muy alto no queda definida en el RGPD, pero lo que sí queda claro es que, si una empresa ha cumplido sus obligaciones en materia de seguridad, consiguiendo un umbral razonable de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales, tiene más posibilidades de que una violación de la seguridad no se convierta en una violación de datos, y, por lo tanto, consiga no tener que notificar ni comunicar el incidente.

El objetivo del DPO y del responsable del tratamiento es que ese umbral de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales sea lo más alto posible.

Las violaciones de datos y las evaluaciones de impacto son dos puntos del RGPD que preocupan a las empresas por su operativa y por su contenido. En el nuevo curso de DPO de Thomson Reuters hemos dedicado especial atención a estos dos puntos, con una amplia descripción de los protocolos a seguir y, en el caso de las evaluaciones de impacto, al contenido detallado del informe que debe describir las procesos sedigos para realizar la evaluación y la justificación de la decisión final adoptada.

ARGUMENTO 18 – Prevención de responsabilidad heredada en fusiones y absorciones

El artículo 130 del Código Penal establece que la transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal, que se trasladará a la entidad o entidades en que se transforme, quede fusionada o absorbida y se extenderá a la entidad o entidades que resulten de la escisión.

Ello obliga a realizar un análisis profundo del esfuerzo continuado realizado en materia de cumplimiento normativo por la empresa que va a ser objeto de una fusión o una absorción. Normalmente, las due diligence están sometidas a una gran presión en materia de tiempo y honorarios, por lo que es muy habitual que no alcancen el nivel de profundidad que exigiría un análisis orientado a no heredar la responsabilidad penal. Sin embargo, estas carencias se están corrigiendo.

Una buena metodología de compliance, basada en la sistemática que ofrece una aplicación de compliance, permite.

  1. A la empresa candidata a ser absorbida o fusionada, estar preparada para el análisis previsto en las cada vez más completas due diligence en materia de compliance.
  2. A la empresa absorbente, a tener la seguridad de que ha analizado todos los riesgos de la absorbida que pueden transferirle responsabilidad penal.

Algunos autores mantienen que no hace falta tener estas cautelas en el caso de la adquisición de una empresa ya que este tipo de operaciones no están contempladas en el artículo 130 del Código Penal, y por lo tanto no puede producirse una transferencia de la responsabilidad penal a la empresa adquirente. Esta estrategia puede ser desacertada, ya que pueden darse las siguientes circunstancias:

  1. La empresa adquirida pasará a formar parte, probablemente, del grupo de empresas y del patrimonio de la empresa adquirente, por lo que las pérdidas ocasionadas por un incumplimiento no detectado en la due diligence pueden afectar directa o indirectamente al grupo.
  2. La empresa adquirente estará en el órgano de administración de la adquirida y participará en la toma de decisiones y en el control de la sociedad con sus derechos de voto correspondientes, por lo que podrá ser declarada responsable a través de ese conducto.
  3. En el caso concreto de las insolvencias punibles, la sociedad adquirente podría llegar a ser considerada responsable en virtud de lo establecido en el artículo 259 del Código Penal.

Todo ello sin tener en cuenta que la adquirente debe vigilar su inversión, ya que puede perderla si no realiza un análisis previo a la compra y la empresa es condenada por un incumplimiento grave.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 17- Continuidad del negocio y sostenibilidad basada en el cumplimiento

Decíamos en el argumento 16 que los inversores están interesados en empresas que ofrezcan garantías de continuidad, y que no vean en peligro sus beneficios futuros o incluso su propia existencia a causa de incumplimientos que puedan generar grandes sanciones e indemnizaciones.

La continuidad y la sostenibilidad del negocio son objetivos que también buscan otros grupos de interés como los trabajadores, los clientes y los proveedores de la empresa.

Por ello cada vez es más frecuente que las empresas sean analizadas desde el punto de vista del cumplimiento normativo por todas aquellas personas físicas o jurídicas que van a entrar en relación con ellas.

  1. El candidato a formar parte de la plantilla quiere conocer el perfil de empresa en la que se va a incorporar. Su aspiración es establecer una relación duradera y no puede arriesgarse a que un incumplimiento grave de la ley provoque el fin de la empresa o un expediente de regulación de empleo.
  2. El cliente quiere que los servicios que contrata o los productos que adquiere ofrezcan la máxima seguridad en materia de seguridad, riesgos para la salud y para el medio ambiente. No querrá asumir riesgos para su familia ni quedarse sin recambios o mantenimiento.
  3. El proveedor también quiere un cliente duradero, que no ponga en riesgo su política de cumplimiento y su solvencia, y que no desaparezca sin pagar sus facturas.

Las grandes empresas disponen para ello de una sección en sus sedes web dedicada a la transparencia y al cumplimiento normativo que ayudan a los diferentes grupos de interés a mantener la confianza con la empresa.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Matizaciones sobre la sentencia del Caso Barbulescu

Una buena parte de las noticias publicadas sobre la sentencia final del caso Barbulescu dan a entender que el Tribunal Europeo de Derechos Humanos (TEDH) establece nuevas limitaciones para la inspección del correo electrónico corporativo, entendiendo que el caso se refiere a un trabajador que envió mensajes de correo electrónico privados utilizando la cuenta de correo electrónico corporativa.

Sin embargo, la sentencia no dice esto, y por ello considero necesario realizar algunas matizaciones:

  1. Los mensajes que fueron monitorizados por la empresa y sirvieron de base para el despido no eran de correo electrónico.
  2. Tampoco pertenecían a una cuenta de correo electrónico de la empresa.
  3. Se trataba de mensajes de mensajería instantánea o chat que correspondían a una cuenta privada de Yahoo Messenger que el trabajador alegó estar utilizando para atender a los clientes de la empresa y a otra cuenta privada de uso estrictamente personal.
  4. La empresa había prohibido el uso personal de los recursos TIC corporativos, pero el trabajador consideró que la cuenta de Yahoo Messenger era personal y no era un recurso corporativo.
  5. La empresa informó sobre la monitorización pero el trabajador entendió que ésta no se extendía a la cuenta de Yahoo Messenger cuyo password sólo él conocía, ni al contenido de los mensajes enviados a través de ella.
  6. La empresa accedió al contenido de los mensajes de chat privados y los imprimió, utilizándolos como prueba de la infracción del trabajador.
  7. El TEDH considera que en la sentencia apelada no se valoró si la empresa habría podido demostrar el incumplimiento del trabajador con otros medios menos intrusivos.
  8. También considera que en el aviso previo no se informaba del alcance de la monitorización ni de la posibilidad de que las comunicaciones vía Yahoo Messenger también fuesen monitorizadas, ni de la posibilidad de que la empresa accediese al contenido del chat sin el conocimiento del trabajador.

El TEDH analiza en la sentencia el derecho de la Unión Europea y de los Estados miembro, resumiendo principios ya conocidos como el de la necesidad, proporcionalidad, interés legítimo, ponderación del justo equilibrio entre derechos e información previa en relación a las medidas de control a aplicar. Acto seguido comprueba si estos principios se han tenido en cuenta en la sentencia apelada, concluyendo que no se valoró si existía un justo equilibrio entre el interés legítimo de la empresa en la finalidad preventiva de la monitorización y el derecho del trabajador al respeto de su vida privada y su correspondencia.

Debe tenderse en cuenta que los hechos analizados en la sentencia tuvieron lugar en 2007, cuando el uso de los smartphones no estaba tan difundido como en la actualidad. En estos 10 años el uso de la tecnología para fines personales durante la jornada laboral ha cambiado mucho.

También hay que tener en cuenta que el uso de ciertas aplicaciones o servicios de Internet puede ser interpretado como personal en la mayor parte de los puestos de trabajo y que no es necesario acceder al contenido para demostrar un uso prohibido de los recursos TIC corporativos.

Por ello considero que esta sentencia no exige realizar cambios en las normas de uso de los recursos TIC corporativos y mantengo mi opinión de que hoy en día el trabajador puede satisfacer las necesidades sociales que menciona la sentencia a través de su smartphone y sin necesidad de utilizar los recursos de la empresa.

En las normas de uso de los recursos TIC también se debe informar sobre el alcance de la monitorización, aclarando que ésta se extiende a todos los canales de comunicación y a cualquier aplicación, protocolo o formato de los datos monitorizados, lo cual refuerza la obligación del trabajador de utilizar los dispositivos personales para las comunicaciones privadas. Este uso tiene que ser moderado para evitar casos de absentismo presencial.

En el caso de tener que realizar la inspección de recursos TIC corporativos en los que puede haber mensajes personales conviene que se aplique el protocolo que ya comentamos en su día con el fin de asegurar que se cumplen los requisitos de información previa de la posibilidad de inspección, sospecha razonable, necesidad, proporcionalidad y respeto de la dignidad del trabajador.

ARGUMENTO 16 – Exigencia de inversores, accionistas y fondos activistas

El compliance se está imponiendo progresivamente en los procesos de due diligence previos a un proceso de inversión, haciendo que, a pesar de las urgencias y los cortos plazos de la transacción, se valoren aspectos relativos al cumplimiento que antes se analizaban superficialmente.

Los inversores están interesados en empresas que ofrezcan garantías de continuidad, y que no pongan en peligro sus solvencia o incluso su propia existencia a causa de incumplimientos que puedan generar grandes sanciones e indemnizaciones.

En los casos de absorción y fusión, la due diligence va orientada a evitar la transferencia de la responsabilidad penal prevista en el artículo 130 del Código Penal a la empresa resultante de la absorción o la fusión. Y en los casos de adquisición, el objetivo interesa salvaguardar la inversión y los activos incorporados con toda probabilidad al grupo de empresas de la adquirente, a pesar de que no haya consolidación contable ni se produzca la transferencia de una eventual responsabilidad penal.

Es también cada vez más frecuente que los accionistas soliciten información sobre los esfuerzos que la sociedad realiza en materia de cumplimiento, especialmente en el caso de los grandes inversores, capital riesgo y private equity. Debido a ello, las empresas están desarrollando sistemas de reporting, y en algunos casos, portales de compliance que faciliten el acceso a dicha información. También es importante que las sociedades de capita riesgo y de private equity utilicen una aplicación que les permita realizar un seguimiento periódico de los programas de compliance de sus participadas.

Según el Estudio Global de Inversión de Schroders 2016, los inversores españoles son más propensos a contemplar aspectos de gobierno corporativo, ambientales y sociales (conocidos como ESG) a la hora de adoptar decisiones de inversión que la media europea, e incluso, se sitúan por encima de otros países del mundo.

Los fondos activistas intentan asegurar que sus inversiones se dirijan a empresas que realicen un esfuerzo significativo en el cumplimiento de la ley, especialmente en el ámbito del medio ambiente, la corrupción y los derechos de los trabajadores.

El fondo soberano de Noruega ha destacado en esta tendencia, realizando controles periódicos en materia de compliance y retirando la inversión de las empresas incumplidoras. O incluso planteando demandas.

Noticias relacionadas

El fondo noruego ganó 1.300 millones menos al invertir solo en compañías éticas

El fondo soberano de Noruega revisa sus inversiones en el oro negro del Sáhara

Noruega dejará de invertir en carbón y venderá todas sus participaciones en el sector

Los inversores españoles, más responsables que los europeos

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 15 – Prevención del riesgo reputacional derivado de la implicación de la empresa en tramas de corrupción y otros delitos

Hemos dicho muchas veces que una  de las peores cosas que le puede suceder a una empresa es aparecer en la portada de un periódico económico de gran difusión asociada a un grave incumplimiento o a un delito. De hecho, en los primeros cursos de sensibilización en materia de cumplimiento normativo, incluíamos una portada de Expansión modificada, en la que habíamos cambiado el nombre de la empresa mencionada en la noticia para que los directivos valorasen el impacto de ver el nombre de su compañía en esa situación.

Hay empresas que incluso “coleccionan” portadas y que pueden presumir de que les faltan pocos artículos del Código Penal para completar la colección. No hace falta decir que una empresa que llegue a ese nivel va a tener serias dificultades para mantener intacta la reputación que tantos años ha tardado en construir. Además del riesgo de exclusión del mercado si sus clientes tienen programas de compliance que les impiden contratar con empresas condenadas o investigadas en sede penal.

Por todo ello, en nuestra aplicación Compliance 3.0 incluimos en su día un mapa de riesgos adicional, destinado medir y mostrar gráficamente el impacto reputacional de cada uno de los riesgos asociados a la actividad de la empresa. Gracias a este mapa puede comprobarse que el impacto reputacional de cada delito varía sensiblemente de un sector a otro. Y el impacto económico derivado del daño reputacional también.

Muchas veces, los delitos que tienen gran impacto reputacional no tienen el mismo impacto en la facturación de la empresa. Por ejemplo, en el sector alimentario, una práctica colusoria puede pasar desapercibida para el consumidor final y no afectar a las ventas del producto. Pero una contaminación bacteriana puede suponer la ruina. Buena parte de los productos de gran consumo están afectados por este riesgo. Recuerdo el nombre de una colonia para bebés que tuvo una contaminación bacteriana grave y que no volvió a entrar en muchos hogares, ya que el consumidor puede retener en su memoria durante años los riesgos para la salud que asocia a una determinada marca.

Por el contrario, los consumidores están bastante acostumbrados a los delitos de corrupción en nuestras latitudes, y es probable que su decisión de compra no se vea afectada por una noticia sobre corrupción que afecte a una empresa. Por cuestiones culturales alguien puede comprender que las empresas utilicen ciertos “incentivos” para vender sus productos. Y eso es más fácil de entender para las personas que siguen prefiriendo la opción sin IVA para pagar los servicios del fontanero.

Sin embargo, la tendencia de las grandes empresas es la contraria. En el proceso de homologación de proveedores se está imponiendo la práctica, derivada de la culpa in eligendo, de confirmar que la empresa proveedora no está implicada en una trama de corrupción. Por motivos legales, éticos y estéticos una empresa no puede aparecer públicamente relacionada con una trama de corrupción.

En estos casos, como al repuperar los puntos perdidos del permiso de conducir, una empresa puede someterse a un proceso de “descontaminación sectorial” y mostrar públicamente su voluntad de actuar dentro de la ley a través de un portal de cumplimiento o de integridad, en el que vaya publicando todas las acciones y esfuerzos realizados para conseguir una desconexión de su turbio pasado. En este portal se publicarán indicadores relacionados con el número de cursos impartidos sobre el código ético, el número de trabajadores formados, el número de cuestiones atendidas o planteadas a través del canal ético, el número de sanciones impuestas por incumplir el código ético y otros datos que ayudarán a demostrar la transformación de la empresa en un auténtico defensor de la cultura de cumplimiento. Los clientes que se lo crean podrán utilizar las evidencias obtenidas en este portal, justificar la excepción en el protocolo de selección, y contratar con la empresa.

Creo que no he acentuado suficientemente el tono sarcástico de este último párrafo.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Tratamiento de datos de contacto y de empresarios individuales en la nueva LOPD

El anteproyecto de la nueva LOPD aclara una de las dudas que el texto del Reglamento (RGPD) suscitaba en relación a los datos de contacto de las personas físicas que prestan sus servicios en una persona jurídica.

El artículo 12 del anteproyecto establece que se entenderá amparado en lo dispuesto en el interés legítimo el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

  1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
  2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios. 

El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

La remisión del anteproyecto al artículo 6.1.f del RGPD enmarca el tratamiento de este tipo de datos en el interés legítimo, por lo que añade los siguientes requisitos:

  1. El tratamiento debe ser necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.
  2. Siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En el caso de que el texto de este artículo del anteproyecto prospere, y el responsable del tratamiento cumpla los requisitos establecidos en él, esta excepción permitirá que el tratamiento de este tipo de datos sea lícito sin necesidad de obtener el consentimiento del interesado.

Otra ventaja de la aprobación de este texto sería que contaríamos con un supuesto que claramente formaría parte de la lista de supuestos en los que concurre el interés legítimo. Ello es realmente importante teniendo en cuenta el carácter indeterminado de este concepto y la inseguridad jurídica que ello supone.

También será una ventaja poder excluir estos datos de contacto de la regularización del consentimiento tácito que habrá que realizar antes del 25 de mayo de 2018, al concurrir en este caso la excepción del interés legítimo.

La necesaria compatibilidad entre el interés legítimo del RGPD y el futuro Reglamento e-Privacy permitirá valorar si cabe plantear una revisión del régimen de las comunicaciones electrónicas entre empresas, con el fin de que tengan un tratamiento diferente del regulado actualmente en el artículo 21 de la LSSI. Pero todo parece indicar que la idea del legislador europeo es exactamente la contraria.