Clase magistral – Compliance y tecnología

En esta conferencia, que tendrá lugar en ESADE (Campus Pedralbes Barcelona) el próximo miércoles 6 de julio a las 19:00 abordaré las siguiente cuestiones:

  1. Cómo intervienen las TIC en la prevención y la detección de los delitos
  2. Cómo intervienen las TIC en la comisión de los delitos
  3. Cómo pueden las TIC ayudar en la gestión del cumplimiento normativo

Agenda del evento:

19.00. Sesión informativa del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual

19.30. Master Class de Compliance y Tecnología

20.30. Coloquio

Información e inscripciones:

http://www.esade.edu/masters-derecho/esp/admisiones/eventos#
http://itemsweb.esade.edu/webbs/imagenes/mail-MD/MD-TEFI-evento-jul16.html?imp=Apertura

 

Cuidados paliativos

Este artículo contiene opiniones personales sobre los cuidados paliativos hospitalarios. El objetivo es valorar los últimos días de una persona desde el punto de vista del paciente terminal y de sus últimas voluntades en relación al dolor y a una muerte digna. En ningún caso supone una crítica de los profesionales que realizan la admirable función de acompañamiento del enfermo terminal ni una valoración jurídica de las decisiones adoptadas para evitar la prolongación de una vida con dolor y su sustitución por una muerte indolora. Aunque es un artículo lleno de tristeza, influido por la muerte reciente de un familiar muy cercano, es posible que sirva de ayuda para reflexionar sobre cómo queremos gestionar los últimos días de nuestra vida o de la de nuestros seres queridos.

En los antiguos mitos griegos el reino de Hades era la morada de los muertos a la que iban todos los mortales al final de sus días. La palabra Hades se asocia generalmente al inframundo en el que los muertos entraban cruzando el río Aqueronte, transportados por el barquero Caronte, que cobraba por el pasaje un óbolo, pequeña moneda que ponían en la boca del difunto sus piadosos familiares. Además de Aqueronte, el río de la aflicción, el reino de Hades tenía otros ríos como el Cocito, el Flegetonte, el Estigia y el Lete, que representaban respectivamente las lamentaciones, el fuego, el odio y el olvido.

En la vida real la función del barquero Aqueronte la realiza, para una gran parte de la población, la Seguridad Social. Y la moneda que cobra es lo que pueda quedar a esas alturas de la cotización de toda una vida. Cuando esa vida se agota y lo único que queda es el dolor de la enfermedad, la medicina se centra en los cuidados paliativos y en conseguir una muerte indolora.

En la sanidad catalana, la unidades de cuidados paliativos o de atención sociosanitaria reciben el nombre de PADES (Programa de Atención Domiciliaria y Equipos de Soporte). En una primera fase de insensibilidad, cuando entras en el ala de PADES de un hospital es fácil que la similitud del nombre de la unidad te lleve a pensar que entras en el reino de Hades, la morada de los muertos. También es fácil que esa insensibilidad inicial te haga crear una asociación mental con el corredor de la muerte de algunas cárceles norteamericanas. Es cierto que la muerte está presente a cualquier hora, pero tras varios días en el hospital compruebas que en un lugar tan triste hay espacio para la ternura, la comprensión y el cuidado inmediato y amable. Además, casualmente o no, en algunos hospitales estas unidades están en la misma planta que las de maternidad, juntando las puertas de entrada y salida de este mundo y haciendo que se crucen las miradas de ilusión con las de abatimiento.

En el caso de PADES los enfermos terminales también tienen cinco ríos para cruzar: el río del dolor y la aflicción que causa la enfermedad y la cercanía de la muerte, el río del fuego en el que se queman todas las esperanzas, el río de las lamentaciones, el arrepentimiento y los gemidos callados o estridentes, el río del odio a la enfermedad y la no aceptación del final de la vida, y lamentablemente el río del olvido en el caso de los que mueren en soledad, sin ningún apoyo o acompañamiento familiar.

En los profesionales que trabajan en estas unidades se aprecian varios perfiles. El distante, curtido por la impotencia ante la muerte, que evita cualquier tipo de afecto hacia una persona que va a desaparecer en pocos días, para evitar un previsible daño emocional tras su ausencia. El agrio o malhumorado, que une a su malestar por los recortes presupuestarios y la escasez de recursos, el convencimiento de que cualquier esfuerzo es inútil. El más cercano, que te informa de lo que está pasando y de lo que va a pasar, que te acompaña en el sufrimiento y atiende encantado tus peticiones, creando un vínculo emocional que agradece tanto el familiar como el paciente, para el que cualquier detalle tiene una gran importancia. Este perfil es afortunadamente el más habitual.

Entiendo que los profesionales dedicados a esta encomiable labor responden a una llamada vocacional, tienen formación y están preparados para actuar de una forma determinada, y definida en un manual, en cada fase de la evolución de la enfermedad terminal. Es responsabilidad del centro establecer una rotación adecuada de los profesionales que evite el agotamiento psicológico inherente al contacto diario con el sufrimiento de los pacientes y de sus familiares.

Entiendo que no existen objetivos de racionalización de la estancia media de un paciente de más de 80 años en la unidad, de manera que no se promueve una optimización de los ratios de ocupación que podrían derivar en una baja temprana de la misma manera que los mismos criterios podrían derivar en una alta temprana en otras unidades.

Me refiero a los pacientes mayores de 80 años porque parece que a esa edad alguien puede imaginar que ya tienen la vida amortizada, y que su cansancio o su menor vitalidad puede coincidir con el interés objetivo de una economía deficitaria de reducir los gastos asociados a las clases pasivas con mayor nivel de “obsolescencia” y por lo tanto, con mayor coste de “mantenimiento”. Si estos criterios existiesen, la evolución de la esperanza de vida obligaría a cambiarlos.

Superar los 80 ya no es sinónimo de vejez inhabilitante. Una persona de esa edad puede mantener perfectamente una actividad física y mental dentro de los parámetros considerados normales. Sin embargo, cuando analizamos el redactado de un testamento vital parece que vaya dirigido a personas más jóvenes. Es normal que a partir de los 80 el paciente deje de ser el que toma las decisiones relativas a su salud y a su tratamiento y se transfiera esa responsabilidad a los familiares.

Confirmo esta suposición con el hecho de que en los casos en que un familiar de esa edad ha entrado en una unidad de cuidados paliativos no se le ha preguntado si tenía un testamento vital ni se ha intentado averiguar cuál era su posición en relación al dolor y a su mitigación.

Me refiero de forma específica al dolor, porque creo que se ha convertido en el eje del protocolo de toma de decisiones en relación a la vida o la muerte de un paciente. Normalmente un modelo de testamento vital contiene la voluntad del paciente de que se suministren los fármacos necesarios para paliar el dolor causado por la enfermedad, aunque estos fármacos puedan acortar su vida. En ausencia de testamento vital los familiares aceptan el suministro de calmantes ante la aparición del dolor.

Pero la relación de una persona con el dolor no puede considerarse universal. Cada paciente tiene un umbral distinto de dolor y la opinión o la relación del paciente con el dolor puede ser también diferente en cada caso. Es posible que un enfermo desee valorar cada día el balance entre los episodios de dolor y el resto del día y decidir si desea mantener la consciencia a pesar del sufrimiento, cuando éste no es constante. Es posible que un paciente considere que el dolor es el precio que tiene que pagar por estar vivo un día más y que prefiera una vida con dolor que una muerte indolora. Estas cuestiones no acostumbran a ser planteadas a una persona de más de 80 años.

Los cuidados paliativos no son curativos, sólo buscan reducir el sufrimiento del paciente. Por ello pueden llegar a generar un círculo vicioso:

1. El paciente se queja de dolor
2. Se le suministra un calmante
3. Si el dolor no cesa se suministra un calmante más eficaz
4. Los fármacos suministrados generan estreñimiento
5. Ello añade dolores abdominales al cuadro de sufrimiento
6. Por ello se aumenta la dosis
7. El suministro de fármacos hace que el paciente pierda el apetito
8. El suministro continuado genera un estado de inconsciencia
9. Ello impide al paciente la ingesta de alimentos y líquidos
10. El paciente muere deshidratado antes de lo que correspondería por los efectos de la enfermedad

En un mundo ideal la función de compliance de un hospital debería ayudar a diseñar un protocolo de actuación que asegurase los derechos del paciente a cualquier edad y que tuviese en cuenta la singularidad de cada paciente y el justo equilibrio entre dolor y medicación.

En este protocolo debería respetarse la voluntad de los pacientes que se aferran a la vida, que agradecen que su cama esté cerca de una ventana porque la luz exterior marca la llegada de un nuevo día. Un paciente que a pesar del dolor agradece cada día que pasa vivo merece tener un protocolo que respete su voluntad. El calor humano de los familiares y del personal sanitario puede ser un aliciente para seguir viviendo. El mismo respeto merece el paciente que tira la toalla que el que prolonga su agonía. Una enfermera nos dijo que los enfermos que agonizan mucho tiempo están haciendo cola para entrar en el cielo, ya que allí también hay recortes y no dan abasto para darles ocupación. Pero después reconoció que es simplemente la fuerza de la vida. El impulso vital que hace que el corazón siga latiendo en un cuerpo desahuciado.

Si el paciente está consciente, debería ser él el que valore si los episodios de tranquilidad compensan los de dolor. De la misma manera que existen escalas de valoración del dolor, el paciente consciente debería disponer de una escala de valoración de la jornada para decidir si apuesta por un nuevo día sin aumentar la dosis de los fármacos orientados a paliar el dolor. El paso a un tratamiento más intenso o continuado debería ser objeto de un consentimiento informado. Entiendo que ya se hace así, pero yo no lo he visto.

En un mundo ideal el protocolo también debería marcar claramente las fases de evolución de la enfermedad y del tratamiento paliativo del dolor para conseguir la máxima sincronización entre ambas, de manera que la mayor eficacia de los cuidados paliativos no deriven en una eutanasia involuntaria. Tanto el paciente consciente como sus familiares deberían ser informados de cada fase y de sus posibles efectos.

Hoy en día, la eficacia de los fármacos en los cuidados paliativos es tal que en los funerales debería sustituirse la habitual frase “Ha dejado de sufrir” por la de “Hemos dejado de sufrir” ya que cada vez es más habitual ver el dolor del paciente desde nuestros ojos y no desde los suyos. Tal vez valga la pena incluir en nuestros propios protocolos internos el aseguramiento de que los cuidados paliativos sean para el enfermo y no para nosotros.

Independientemente de mis reflexiones en el campo teórico, quiero manifestar mi más profunda admiración y agradecimiento a los profesionales que cada día trabajan en las unidades de cuidados paliativos.

El Ibex aprueba “por los pelos” en el alcance de sus códigos éticos

Expansión dedica hoy una página a nuestro análisis de los códigos éticos de las empresas del Ibex 35, con un artículo de Almudena Vigil que resume las principales conclusiones del estudio.

Estudio completo 2016

Estudio completo 2015

Gráfico comparativo de Expansión relativo al estudio de 2015

Análisis de los códigos éticos del IBEX 35 – 2016

Nuestro despacho publica hoy el estudio titulado “Códigos éticos y líneas rojas penales 2016” en el que analizamos el alcance de los códigos éticos de cada empresa y el lugar en el que colocan las líneas rojas relativas a los principales delitos económicos las empresas del Ibex 35.

Estudio completo 2016

Estudio completo 2015

 

Curso orientado a crear una cultura de cumplimiento en la empresa

Me complace comunicar que hemos ampliado nuestro Campus de Compliance con un nuevo curso orientado a crear una cultura de cumplimiento en la empresa.

El curso va dirigido a todos los niveles de la empresa y permite crear una prueba de los esfuerzos realizados en materia de formación y sensibilización con el fin de crear una cultura orientada al cumplimiento de la ley.

Dada la importancia que tanto la Circular de la Fiscalía General del Estado como las dos últimas sentencias del Tribunal Supremo dan a la cultura de cumplimiento, y teniendo en cuenta que los  esfuerzos realizados por la empresa en materia de formación y sensibilización son clave para conseguir una exención de la responsabilidad penal de la empresa y de los directivos, consideramos que este curso puede contribuir decisivamente a acreditar dichos esfuerzos.

Las empresas interesadas en recibir más información del contenido de este curso pueden enviar un mensaje a xavier.ribas@ribastic.com y les enviaremos un documento con todos los detalles.

Cash pooling versus jail pooling

Los casos de corrupción internacional y el incumplimiento de normas medioambientales  en el sector del automóvil de varios países han reabierto el debate sobre las diferentes condiciones en las que una empresa multinacional y una empresa local afrontan una sanción económica. Una empresa de ámbito local cuenta exclusivamente con los recursos de su única sede, sus resultados están relacionados con la situación económica del país y su tesorería es también única y local. Una empresa multinacional cuenta idealmente con los recursos de todos los países en los que tiene presencia, pudiendo compensar pérdidas y ganancias con las limitaciones fiscales asociadas a los precios de transferencia, y gestionando los flujos de tesorería de acuerdo con las necesidades de cada país, gracias a la técnica del cash pooling.

Una filial que se siente segura por la posibilidad de hacer frente a contingencias sobrevenidas gracias al auxilio de una caja central (de la misma manera que los países europeos más endeudados pudieron solicitar el rescate del BCE), puede desarrollar un apetito de riesgo distinto al de una empresa local que sólo cuenta con sus recursos propios. Además de los factores culturales de cada país, la filial puede tener una percepción de la realidad distorsionada por el llamado riesgo moral del que ya hablamos en su día.

En los cursos que damos a consejeros y directivos, en los que se tratan numerosos argumentos sobre las ventajas del compliance, suele surgir de forma recurrente la influencia del cash pooling en el apetito de riesgo de una filial. Algunos directivos han reconocido expresamente las ventajas de disponer de un pulmón financiero internacional que permita asumir una sanción millonaria de una forma más holgada.

En estos casos acostumbramos a solicitar que se reflexione sobre las diferencias del compliance penal. En él no cabe jugar con el apetito de riesgo, ya que el mapa de riesgos penales puede convertirse en la mejor prueba de que la empresa conocía la existencia del delito y no aplicó medidas eficaces para evitarlo.

Un argumento que ayuda a reflexionar sobre las diferencias del compliance penal es el de la imposibilidad de aplicar un criterio de “jail pooling” de la misma manera que se aplicaría el cash pooling. Sería cómico pensar que una filial con un directivo clave condenado a 6 años de cárcel, por ejemplo, podría repartir la pena entre las restantes filiales, a razón de unos meses para cada país. Se trata en cualquier caso de un argumento gráfico que demuestra las diferencias entre los riesgos de negocio, en los que puede caber cierto apetito de riesgo y los riesgos penales, en los que no.

Lo mismo sucedería en el caso de una inhabilitación de tres años para contratar con el Sector Público. Un argumento tan básico como la imposibilidad de fragmentar y compartir este tipo de penas, como se haría con una sanción administrativa, una indemnización, una operación fallida o unos resultados negativos, debería ayudar a conseguir un mayor efecto disuasorio en relación a las conductas con trascendencia penal.

En teoría.

 

¿Qué es la cultura de cumplimiento, cómo se mide y cómo se acredita?

Un punto en el que coinciden la Circular 1/2016 de la Fiscalía General del Estado y el obiter dicta de la Sentencia del Tribunal Supremo de 29 de febrero de 2016 es el de la cultura de cumplimiento que debe existir en la empresa para que ésta pueda acceder a la exención de la responsabilidad penal.

Es cierto que este concepto es indeterminado, no está incluido en el artículo 31 bis del Código Penal, ni constituye un elemento adicional del tipo objetivo, como bien se señala en uno de los votos particulares de la Sentencia, pero es un requisito mencionado de forma recurrente por la doctrina internacional y en los marcos de referencia en materia de compliance. Lo más importante es que se trata de un atributo que van a tener en cuenta los fiscales y los jueces en el momento de valorar los programas de compliance y el esfuerzo realizado en materia de prevención y control por las empresas investigadas a partir de ahora.

Por ello es necesario intentar determinar el contenido y el alcance teórico y práctico de este concepto, con el fin de estar en condiciones de poder comprobar si una empresa cumple o no el requisito de disponer de una cultura de cumplimiento.

 

¿Cómo se manifiesta la cultura de cumplimiento?

La Circular de la Fiscalía establece que los modelos de organización y gestión no sólo tienen por objeto evitar la sanción penal de la empresa sino también promover una verdadera cultura ética empresarial. La clave para valorar su verdadera eficacia no radica tanto en la existencia del programa de prevención sino en la importancia que tiene éste en la toma de decisiones de los directivos y los subordinados de la empresa y en qué medida es una verdadera expresión de su cultura de cumplimiento. La Circular añade que este criterio general deberá ser tenido en cuenta al valorar los modelos de organización y gestión con el fin de determinar si, más allá de su conformidad formal con las condiciones y requisitos que establece el artículo 31 bis del Código Penal, expresan un compromiso corporativo que realmente disuada de conductas criminales.

Analizando la Circular de la Fiscalía podemos obtener varias pistas que indicarían la existencia de una cultura de cumplimiento. Por ejemplo:

  1. El cumplimiento de la Ley es la regla general en la empresa y la comisión de un delito es un acontecimiento accidental.
  2. El cumplimiento normativo está siempre por delante del negocio.
  3. El proceso de toma de decisiones en todos los niveles de la empresa está orientado al cumplimiento.
  4. Los directivos promueven con su ejemplo una verdadera cultura de cumplimiento.
  5. Existe un compromiso inequívoco de la alta dirección de la empresa para evitar la comisión de delitos y un apoyo claro al programa de compliance.
  6. El comportamiento y la implicación del Consejo de Administración y de los principales ejecutivos traslada una cultura de cumplimiento al resto de la compañía.
  7. No existe hostilidad de los directivos hacia los programas de compliance.
  8. Los mensajes de los directivos en esta materia son claros e inequívocos y no denotan ambigüedad ni indiferencia.
  9. No existe apetito de riesgo.
  10. No hay ninguna conducta de los directivos que permita a los subordinados interpretar que vale la pena asumir el riesgo del incumplimiento a cambio del mayor beneficio económico que se puede obtener.
  11. Los principales responsables de la empresa no incumplen el modelo de prevención y control.
  12. Los directivos no recompensan ni incentivan, directa o indirectamente, el incumplimiento del modelo de organización y prevención.
  13. El descubrimiento de los incumplimientos se produce internamente, por la propia empresa, y el infractor es inmediatamente sancionado, sin que se produzcan casos de tolerancia.
  14. La tolerancia cero se aplica en todos los incumplimientos, tanto de los subordinados como de los directivos.

En la Sentencia del Tribunal Supremo encontramos también varias referencias a la cultura de cumplimiento, aunque en este caso se alterna con la cultura de control, que es diferente:

  1. La cultura de respeto al Derecho debe ser una fuente de inspiración de la actuación en todos los niveles de la empresa.
  2. Debe manifestarse en formas concretas de vigilancia y control del comportamiento de los directivos y de los subordinados jerárquicos con el fin de evitar la comisión de delitos.
  3. Debe acreditarse con la existencia de instrumentos adecuados y eficaces de prevención del delito en el seno de la persona jurídica.

 

¿Cómo se mide la cultura de cumplimiento?

Tanto la Circular como la Sentencia se refieren a elementos intangibles que son difíciles de apreciar y de medir. Medir la cultura de cumplimiento de una empresa es tan difícil como medir la felicidad de sus trabajadores. Depende de criterios subjetivos y no existe una unidad de medida estándar que podamos utilizar en sucesivas valoraciones con el fin de monitorizar su evolución.

A pesar de estas dificultades, y siguiendo la teoría de que todo se puede medir, vamos a intentar identificar algunos valores cualitativos y cuantitativos que podemos utilizar como indicadores, evidencias, y en algunos casos simples indicios, que nos ayudarán a valorar si existe realmente una cultura de cumplimiento en la empresa.

Entre dichos indicadores destacaríamos los siguientes:

  1. Número de cursos presenciales realizados (En prevención de la culpa in instruendo mencionada en la Sentencia).
  2. Número de cursos de e-learning realizados.
  3. Número de campañas de divulgación del código ético realizadas.
  4. Número de campañas de sensibilización realizadas.
  5. Número de cursos de refuerzo en el caso de los delitos que pueden ser cometidos de forma imprudente.
  6. Número de evaluaciones realizadas para comprobar la cultura de los directivos y los subordinados en materia de compliance y principios éticos.
  7. Resultados comparativos de las evaluaciones a lo largo del tiempo.
  8. Número de actas del Consejo de Administración en las que consta la aplicación del protocolo de toma de decisiones.
  9. Número de premios o bonus otorgados por buenas prácticas en materia de compliance.
  10. Número de consultas formuladas al canal ético o al Compliance Officer.
  11. Número de denuncias de incumplimiento recibidas a través del canal ético.
  12. Número de sanciones impuestas por incumplimiento del código ético o de las obligaciones que derivan de él.
  13. Ratio de conversión de denuncias en sanciones en general.
  14. Ratio de conversión de denuncias en sanciones en el caso de directivos.
  15. Ratio que indique la proporción entre el número de infracciones descubiertas de manera interna y de manera externa.
  16. Tiempo medio transcurrido entre el momento del descubrimiento de la infracción y el momento de la sanción.
  17. Número de controles establecidos en la empresa.
  18. Número de evidencias de la existencia, la idoneidad y la eficacia de cada control.

Cabe citar, en materia de indicadores, el ejemplo de un Compliance Officer que, en un congreso de compliance organizado por Aranzadi, presentó como un indicio de la existencia de una cultura de cumplimiento, la llamada de un directivo consultando si podía aceptar la invitación a un partido de fútbol que le habían hecho.

 

¿Cómo se acredita la cultura de cumplimiento?

En los años 80 Carlos D. Regueira publicó el libro ¡Dígalo con sanciones! en el que concluía que la manera más eficaz de transmitir un mensaje y conseguir una disciplina de cumplimiento es a través de la sanción reiterada de las infracciones.

También ha habido Magistrados que han adelantado que será difícil apreciar la eficacia de un modelo de prevención y control si no hay sanciones que castiguen su incumplimiento.

Por lo tanto, todo parece indicar que la sanción será uno de los instrumentos más eficaces para acreditar la cultura de cumplimiento en una empresa. Aunque es evidente que un número elevado de sanciones también pueden sugerir lo contrario, por lo que deberá distinguirse entre los esfuerzos realizados por la empresa para conseguir una cultura de cumplimiento y los resultados de estos esfuerzos. Es decir, la consecución del objetivo de implantar dicha cultura, medible a través del comportamiento diario de las personas integradas en todos los niveles de la empresa.

Sin embargo, la formación orientada a crear una cultura de cumplimiento, las campañas de sensibilización y los esfuerzos realizados por la empresa para divulgar y hacer cumplir el contenido del código ético también son pruebas decisivas. En este sentido cabe resaltar la importancia del e-learning como sistema de formación que permite llegar a todos los centros de trabajo de una empresa de manera rápida y económica, además de permitir la trazabilidad electrónica de la actividad formativa y el sellado de tiempo de las listas de alumnos que han finalizado el curso.

Si revisamos la lista de indicadores del punto anterior, identificaremos muchas pruebas que una empresa puede recopilar para demostrar su compromiso con el cumplimiento normativo. Entre ellas destacan las siguientes:

  1. Código ético.
  2. Política de prevención y control.
  3. Mapa de riesgos.
  4. Mapa de controles
  5. Protocolo de toma de decisiones.
  6. Modelo de gestión de los recursos financieros.
  7. Sistema disciplinario.
  8. Canal ético.
  9. Estructura de control.
  10. Repositorio de evidencias.
  11. Actas del Consejo de Administración.
  12. Política de bonus.
  13. Bonus otorgados por buenas prácticas en materia de compliance.
  14. Consultas formuladas al canal ético o al Compliance Officer.
  15. Denuncias de incumplimiento a través del canal ético.
  16. Sanciones impuestas por incumplimiento del modelo.
  17. Evidencias de de la existencia, la idoneidad y la eficacia cada control.
  18. Cursos presenciales realizados.
  19. Cursos de e-learning realizados.
  20. Campus de compliance interno o externo.
  21. Campañas de sensibilización realizadas.
  22. Cursos de refuerzo realizados en el caso de los delitos que pueden ser cometidos de forma imprudente.
  23. Evaluaciones realizadas para comprobar la cultura de los directivos y los subordinados en materia de compliance y principios éticos.
  24. Resultados comparativos de las evaluaciones a lo largo del tiempo.

En uno de los votos particulares de la Sentencia del Tribunal Supremo se manifiesta que la carga de la prueba de que no existe una cultura de cumplimiento en la empresa corresponde a la acusación. Esta cuestión forma parte de un debate doctrinal que, debido a su interés, merece un análisis más detallado en otro artículo. En cualquier caso, y aplicando un criterio de prudencia empresarial, nuestra recomendación siempre ha sido la preconstitución de la prueba, mediante recopilación de las evidencias que demuestren el esfuerzo realizado para crear una verdadera cultura de cumplimiento en la empresa y los resultados de dicho esfuerzo.

Por lo tanto, estas pruebas se dividirán en dos grupos:

  1. Las pruebas que acreditan el esfuerzo de la empresa para crear la cultura de cumplimiento.
  2. Las pruebas que acreditan la existencia de la cultura de cumplimiento.

En su artículo Algunos hombres malos, Manuel Conthe explica la diferencia entre la cultura escrita y la cultura real de una empresa y se refiere a los esfuerzos realizados por SAC Capital para crear una apariencia de compliance cuando en realidad su modelo de negocio se basaba en la obtención de información privilegiada, como así reconoció.

En nuestro país, el legislador, la Fiscalía y el Tribunal Supremo coinciden en que los modelos de compliance deberán ir mucho más allá del cartón piedra y la prueba de que este objetivo se ha conseguido será clave para muchas empresas en los próximos años.

 

Dictamen preliminar del Supervisor Europeo de Protección de Datos referido al acuerdo US-UE Privacy Shield

Ante el acuerdo al que llegaron los representantes de EE.UU. y la UE para la rápida aprobación de un marco legal que permita sustituir al anterior Safe-Harbor garantizando el respeto de las normas Europeas acerca de privacidad y protección de datos (US-EU Privacy Shield, en adelante, el Acuerdo), el Supervisor Europeo de Protección de Datos (SEPD) a emitido un Dictamen preliminar en el que analiza el Acuerdo, y emite su opinión acerca de medidas adicionales a tener en cuenta antes de la presentación de dicho Acuerdo al Parlamento y Consejo Europeos.

En este sentido, se han identificado tres puntos clave, o mejoras esenciales, que se recomiendan para dar correcto cumplimiento de la Carta de Derechos Fundamentales de la Unión Europea (la Carta) y el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFEU):

  • Las garantías deberán aplicarse a todas las personas, no sólo a los nacionales de la UE.
  • Las disposiciones de recurso jurisdiccional son eficaces en el sentido de la Carta.
  • Las transferencias de datos sensibles de forma masiva no están autorizadas.

A continuación hacemos un breve extracto de las conclusiones de dicho dictamen, cuyo texto íntegro (en inglés) puede consultarse aquí:

1) Se espera que las disposiciones sustantivas del Acuerdo se correspondan total o parcialmente con las garantías esenciales del derecho a la protección de datos de la UE, como por ejemplo los derechos de los interesados, la supervisión independiente o el derecho a la tutela judicial efectiva. (Recordemos que estos puntos son precisamente de los mas criticados del anterior Safe Harbor, y que por tanto entendemos que si el nuevo marco no los cumple, no prosperará).

2) El Acuerdo de momento no constituye, técnicamente, una decisión de adecuación per se, aunque crea una presunción de cumplimiento acerca de las transferencias soportado por una base jurídica concreta, por lo que es crucial que se refuercen todas las garantías necesarias para evitar nuevas vulneraciones de la Carta.

3) Con el propósito de garantizar la seguridad jurídica, el SEPD recomienda las siguientes mejoras o aclaraciones, que deberán incluirse en el Acuerdo en sí o durante la ejecución del mismo:

  • Deberá respetarse el papel de los supervisores para dar cumplimiento al artículo 8.3 de la Carta.
  • Las bases jurídicas para las transferencias deben cumplir con las garantías del Acuerdo, prevaleciendo éste ante disposiciones contradictorias respecto a una base jurídica concreta.
  • En caso de falta de protección para los datos transferidos a las autoridades a nivel de Estado, deberán incluirse las medidas relativas a los datos que ya se hubieran compartido.
  • Las definiciones acerca de las operaciones de tratamiento e información personal deberán alinearse para su comprensión en virtud de la Unión Europea. En cualquier caso, si no se alinearan totalmente, la aplicación de los conceptos de deberá diferir sustancialmente de lo que entienda la legislación Europea al respecto.
  • Deberá incluirse en la declaración explicativa las condiciones específicas para que los datos puedan ser transferidos de forma masiva.
  • Asimismo, deberá incluirse que las Partes tienen la intención de aplicar todo lo relativo a las notificaciones de violación de información para limitar la omisión o retrasos excesivos de las mismas.
  • En relación a la retención de datos, se complementa con la especificación para los fines específicos para los que fueron transferidos.
  • Las Partes deberán incrementar sus esfuerzos para asegurar que las restricciones al derecho de acceso se limitan a lo indispensable para preservar los intereses públicos y reforzar la obligación de transparencia.
  • Deberá incluirse una declaración explicativa detallada que enumere específicamente:
    • Las autoridades de control que tendrán competencia en materia de protección de datos y el mecanismo mediante el que las Partes se informarán mutuamente acerca de cambios futuros-
    • Los poderes efectivos que éstas pueden ejercer.
    • La identidad y datos del punto de contacto, que ayuden a la identificación del órgano de control competente.

Por último, el SEPD recuerda que cualquier interpretación, aplicación y medida de aplicación del Acuerdo se debe hacer de forma compatible con los principios constitucionales de la UE, independientemente de las mejoras que se puedan incorporar siguiendo las recomendaciones del Dictamen.

Las anteriores recomendaciones y comentarios se han realizado de acuerdo al texto preliminar del Acuerdo US-EU Privacy Shield, disponible aquí.

Marc Rius

Textos referidos: