Cash pooling versus jail pooling

Los casos de corrupción internacional y el incumplimiento de normas medioambientales  en el sector del automóvil de varios países han reabierto el debate sobre las diferentes condiciones en las que una empresa multinacional y una empresa local afrontan una sanción económica. Una empresa de ámbito local cuenta exclusivamente con los recursos de su única sede, sus resultados están relacionados con la situación económica del país y su tesorería es también única y local. Una empresa multinacional cuenta idealmente con los recursos de todos los países en los que tiene presencia, pudiendo compensar pérdidas y ganancias con las limitaciones fiscales asociadas a los precios de transferencia, y gestionando los flujos de tesorería de acuerdo con las necesidades de cada país, gracias a la técnica del cash pooling.

Una filial que se siente segura por la posibilidad de hacer frente a contingencias sobrevenidas gracias al auxilio de una caja central (de la misma manera que los países europeos más endeudados pudieron solicitar el rescate del BCE), puede desarrollar un apetito de riesgo distinto al de una empresa local que sólo cuenta con sus recursos propios. Además de los factores culturales de cada país, la filial puede tener una percepción de la realidad distorsionada por el llamado riesgo moral del que ya hablamos en su día.

En los cursos que damos a consejeros y directivos, en los que se tratan numerosos argumentos sobre las ventajas del compliance, suele surgir de forma recurrente la influencia del cash pooling en el apetito de riesgo de una filial. Algunos directivos han reconocido expresamente las ventajas de disponer de un pulmón financiero internacional que permita asumir una sanción millonaria de una forma más holgada.

En estos casos acostumbramos a solicitar que se reflexione sobre las diferencias del compliance penal. En él no cabe jugar con el apetito de riesgo, ya que el mapa de riesgos penales puede convertirse en la mejor prueba de que la empresa conocía la existencia del delito y no aplicó medidas eficaces para evitarlo.

Un argumento que ayuda a reflexionar sobre las diferencias del compliance penal es el de la imposibilidad de aplicar un criterio de “jail pooling” de la misma manera que se aplicaría el cash pooling. Sería cómico pensar que una filial con un directivo clave condenado a 6 años de cárcel, por ejemplo, podría repartir la pena entre las restantes filiales, a razón de unos meses para cada país. Se trata en cualquier caso de un argumento gráfico que demuestra las diferencias entre los riesgos de negocio, en los que puede caber cierto apetito de riesgo y los riesgos penales, en los que no.

Lo mismo sucedería en el caso de una inhabilitación de tres años para contratar con el Sector Público. Un argumento tan básico como la imposibilidad de fragmentar y compartir este tipo de penas, como se haría con una sanción administrativa, una indemnización, una operación fallida o unos resultados negativos, debería ayudar a conseguir un mayor efecto disuasorio en relación a las conductas con trascendencia penal.

En teoría.

 

¿Qué es la cultura de cumplimiento, cómo se mide y cómo se acredita?

Un punto en el que coinciden la Circular 1/2016 de la Fiscalía General del Estado y el obiter dicta de la Sentencia del Tribunal Supremo de 29 de febrero de 2016 es el de la cultura de cumplimiento que debe existir en la empresa para que ésta pueda acceder a la exención de la responsabilidad penal.

Es cierto que este concepto es indeterminado, no está incluido en el artículo 31 bis del Código Penal, ni constituye un elemento adicional del tipo objetivo, como bien se señala en uno de los votos particulares de la Sentencia, pero es un requisito mencionado de forma recurrente por la doctrina internacional y en los marcos de referencia en materia de compliance. Lo más importante es que se trata de un atributo que van a tener en cuenta los fiscales y los jueces en el momento de valorar los programas de compliance y el esfuerzo realizado en materia de prevención y control por las empresas investigadas a partir de ahora.

Por ello es necesario intentar determinar el contenido y el alcance teórico y práctico de este concepto, con el fin de estar en condiciones de poder comprobar si una empresa cumple o no el requisito de disponer de una cultura de cumplimiento.

 

¿Cómo se manifiesta la cultura de cumplimiento?

La Circular de la Fiscalía establece que los modelos de organización y gestión no sólo tienen por objeto evitar la sanción penal de la empresa sino también promover una verdadera cultura ética empresarial. La clave para valorar su verdadera eficacia no radica tanto en la existencia del programa de prevención sino en la importancia que tiene éste en la toma de decisiones de los directivos y los subordinados de la empresa y en qué medida es una verdadera expresión de su cultura de cumplimiento. La Circular añade que este criterio general deberá ser tenido en cuenta al valorar los modelos de organización y gestión con el fin de determinar si, más allá de su conformidad formal con las condiciones y requisitos que establece el artículo 31 bis del Código Penal, expresan un compromiso corporativo que realmente disuada de conductas criminales.

Analizando la Circular de la Fiscalía podemos obtener varias pistas que indicarían la existencia de una cultura de cumplimiento. Por ejemplo:

  1. El cumplimiento de la Ley es la regla general en la empresa y la comisión de un delito es un acontecimiento accidental.
  2. El cumplimiento normativo está siempre por delante del negocio.
  3. El proceso de toma de decisiones en todos los niveles de la empresa está orientado al cumplimiento.
  4. Los directivos promueven con su ejemplo una verdadera cultura de cumplimiento.
  5. Existe un compromiso inequívoco de la alta dirección de la empresa para evitar la comisión de delitos y un apoyo claro al programa de compliance.
  6. El comportamiento y la implicación del Consejo de Administración y de los principales ejecutivos traslada una cultura de cumplimiento al resto de la compañía.
  7. No existe hostilidad de los directivos hacia los programas de compliance.
  8. Los mensajes de los directivos en esta materia son claros e inequívocos y no denotan ambigüedad ni indiferencia.
  9. No existe apetito de riesgo.
  10. No hay ninguna conducta de los directivos que permita a los subordinados interpretar que vale la pena asumir el riesgo del incumplimiento a cambio del mayor beneficio económico que se puede obtener.
  11. Los principales responsables de la empresa no incumplen el modelo de prevención y control.
  12. Los directivos no recompensan ni incentivan, directa o indirectamente, el incumplimiento del modelo de organización y prevención.
  13. El descubrimiento de los incumplimientos se produce internamente, por la propia empresa, y el infractor es inmediatamente sancionado, sin que se produzcan casos de tolerancia.
  14. La tolerancia cero se aplica en todos los incumplimientos, tanto de los subordinados como de los directivos.

En la Sentencia del Tribunal Supremo encontramos también varias referencias a la cultura de cumplimiento, aunque en este caso se alterna con la cultura de control, que es diferente:

  1. La cultura de respeto al Derecho debe ser una fuente de inspiración de la actuación en todos los niveles de la empresa.
  2. Debe manifestarse en formas concretas de vigilancia y control del comportamiento de los directivos y de los subordinados jerárquicos con el fin de evitar la comisión de delitos.
  3. Debe acreditarse con la existencia de instrumentos adecuados y eficaces de prevención del delito en el seno de la persona jurídica.

 

¿Cómo se mide la cultura de cumplimiento?

Tanto la Circular como la Sentencia se refieren a elementos intangibles que son difíciles de apreciar y de medir. Medir la cultura de cumplimiento de una empresa es tan difícil como medir la felicidad de sus trabajadores. Depende de criterios subjetivos y no existe una unidad de medida estándar que podamos utilizar en sucesivas valoraciones con el fin de monitorizar su evolución.

A pesar de estas dificultades, y siguiendo la teoría de que todo se puede medir, vamos a intentar identificar algunos valores cualitativos y cuantitativos que podemos utilizar como indicadores, evidencias, y en algunos casos simples indicios, que nos ayudarán a valorar si existe realmente una cultura de cumplimiento en la empresa.

Entre dichos indicadores destacaríamos los siguientes:

  1. Número de cursos presenciales realizados (En prevención de la culpa in instruendo mencionada en la Sentencia).
  2. Número de cursos de e-learning realizados.
  3. Número de campañas de divulgación del código ético realizadas.
  4. Número de campañas de sensibilización realizadas.
  5. Número de cursos de refuerzo en el caso de los delitos que pueden ser cometidos de forma imprudente.
  6. Número de evaluaciones realizadas para comprobar la cultura de los directivos y los subordinados en materia de compliance y principios éticos.
  7. Resultados comparativos de las evaluaciones a lo largo del tiempo.
  8. Número de actas del Consejo de Administración en las que consta la aplicación del protocolo de toma de decisiones.
  9. Número de premios o bonus otorgados por buenas prácticas en materia de compliance.
  10. Número de consultas formuladas al canal ético o al Compliance Officer.
  11. Número de denuncias de incumplimiento recibidas a través del canal ético.
  12. Número de sanciones impuestas por incumplimiento del código ético o de las obligaciones que derivan de él.
  13. Ratio de conversión de denuncias en sanciones en general.
  14. Ratio de conversión de denuncias en sanciones en el caso de directivos.
  15. Ratio que indique la proporción entre el número de infracciones descubiertas de manera interna y de manera externa.
  16. Tiempo medio transcurrido entre el momento del descubrimiento de la infracción y el momento de la sanción.
  17. Número de controles establecidos en la empresa.
  18. Número de evidencias de la existencia, la idoneidad y la eficacia de cada control.

Cabe citar, en materia de indicadores, el ejemplo de un Compliance Officer que, en un congreso de compliance organizado por Aranzadi, presentó como un indicio de la existencia de una cultura de cumplimiento, la llamada de un directivo consultando si podía aceptar la invitación a un partido de fútbol que le habían hecho.

 

¿Cómo se acredita la cultura de cumplimiento?

En los años 80 Carlos D. Regueira publicó el libro ¡Dígalo con sanciones! en el que concluía que la manera más eficaz de transmitir un mensaje y conseguir una disciplina de cumplimiento es a través de la sanción reiterada de las infracciones.

También ha habido Magistrados que han adelantado que será difícil apreciar la eficacia de un modelo de prevención y control si no hay sanciones que castiguen su incumplimiento.

Por lo tanto, todo parece indicar que la sanción será uno de los instrumentos más eficaces para acreditar la cultura de cumplimiento en una empresa. Aunque es evidente que un número elevado de sanciones también pueden sugerir lo contrario, por lo que deberá distinguirse entre los esfuerzos realizados por la empresa para conseguir una cultura de cumplimiento y los resultados de estos esfuerzos. Es decir, la consecución del objetivo de implantar dicha cultura, medible a través del comportamiento diario de las personas integradas en todos los niveles de la empresa.

Sin embargo, la formación orientada a crear una cultura de cumplimiento, las campañas de sensibilización y los esfuerzos realizados por la empresa para divulgar y hacer cumplir el contenido del código ético también son pruebas decisivas. En este sentido cabe resaltar la importancia del e-learning como sistema de formación que permite llegar a todos los centros de trabajo de una empresa de manera rápida y económica, además de permitir la trazabilidad electrónica de la actividad formativa y el sellado de tiempo de las listas de alumnos que han finalizado el curso.

Si revisamos la lista de indicadores del punto anterior, identificaremos muchas pruebas que una empresa puede recopilar para demostrar su compromiso con el cumplimiento normativo. Entre ellas destacan las siguientes:

  1. Código ético.
  2. Política de prevención y control.
  3. Mapa de riesgos.
  4. Mapa de controles
  5. Protocolo de toma de decisiones.
  6. Modelo de gestión de los recursos financieros.
  7. Sistema disciplinario.
  8. Canal ético.
  9. Estructura de control.
  10. Repositorio de evidencias.
  11. Actas del Consejo de Administración.
  12. Política de bonus.
  13. Bonus otorgados por buenas prácticas en materia de compliance.
  14. Consultas formuladas al canal ético o al Compliance Officer.
  15. Denuncias de incumplimiento a través del canal ético.
  16. Sanciones impuestas por incumplimiento del modelo.
  17. Evidencias de de la existencia, la idoneidad y la eficacia cada control.
  18. Cursos presenciales realizados.
  19. Cursos de e-learning realizados.
  20. Campus de compliance interno o externo.
  21. Campañas de sensibilización realizadas.
  22. Cursos de refuerzo realizados en el caso de los delitos que pueden ser cometidos de forma imprudente.
  23. Evaluaciones realizadas para comprobar la cultura de los directivos y los subordinados en materia de compliance y principios éticos.
  24. Resultados comparativos de las evaluaciones a lo largo del tiempo.

En uno de los votos particulares de la Sentencia del Tribunal Supremo se manifiesta que la carga de la prueba de que no existe una cultura de cumplimiento en la empresa corresponde a la acusación. Esta cuestión forma parte de un debate doctrinal que, debido a su interés, merece un análisis más detallado en otro artículo. En cualquier caso, y aplicando un criterio de prudencia empresarial, nuestra recomendación siempre ha sido la preconstitución de la prueba, mediante recopilación de las evidencias que demuestren el esfuerzo realizado para crear una verdadera cultura de cumplimiento en la empresa y los resultados de dicho esfuerzo.

Por lo tanto, estas pruebas se dividirán en dos grupos:

  1. Las pruebas que acreditan el esfuerzo de la empresa para crear la cultura de cumplimiento.
  2. Las pruebas que acreditan la existencia de la cultura de cumplimiento.

En su artículo Algunos hombres malos, Manuel Conthe explica la diferencia entre la cultura escrita y la cultura real de una empresa y se refiere a los esfuerzos realizados por SAC Capital para crear una apariencia de compliance cuando en realidad su modelo de negocio se basaba en la obtención de información privilegiada, como así reconoció.

En nuestro país, el legislador, la Fiscalía y el Tribunal Supremo coinciden en que los modelos de compliance deberán ir mucho más allá del cartón piedra y la prueba de que este objetivo se ha conseguido será clave para muchas empresas en los próximos años.

 

Dictamen preliminar del Supervisor Europeo de Protección de Datos referido al acuerdo US-UE Privacy Shield

Ante el acuerdo al que llegaron los representantes de EE.UU. y la UE para la rápida aprobación de un marco legal que permita sustituir al anterior Safe-Harbor garantizando el respeto de las normas Europeas acerca de privacidad y protección de datos (US-EU Privacy Shield, en adelante, el Acuerdo), el Supervisor Europeo de Protección de Datos (SEPD) a emitido un Dictamen preliminar en el que analiza el Acuerdo, y emite su opinión acerca de medidas adicionales a tener en cuenta antes de la presentación de dicho Acuerdo al Parlamento y Consejo Europeos.

En este sentido, se han identificado tres puntos clave, o mejoras esenciales, que se recomiendan para dar correcto cumplimiento de la Carta de Derechos Fundamentales de la Unión Europea (la Carta) y el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFEU):

  • Las garantías deberán aplicarse a todas las personas, no sólo a los nacionales de la UE.
  • Las disposiciones de recurso jurisdiccional son eficaces en el sentido de la Carta.
  • Las transferencias de datos sensibles de forma masiva no están autorizadas.

A continuación hacemos un breve extracto de las conclusiones de dicho dictamen, cuyo texto íntegro (en inglés) puede consultarse aquí:

1) Se espera que las disposiciones sustantivas del Acuerdo se correspondan total o parcialmente con las garantías esenciales del derecho a la protección de datos de la UE, como por ejemplo los derechos de los interesados, la supervisión independiente o el derecho a la tutela judicial efectiva. (Recordemos que estos puntos son precisamente de los mas criticados del anterior Safe Harbor, y que por tanto entendemos que si el nuevo marco no los cumple, no prosperará).

2) El Acuerdo de momento no constituye, técnicamente, una decisión de adecuación per se, aunque crea una presunción de cumplimiento acerca de las transferencias soportado por una base jurídica concreta, por lo que es crucial que se refuercen todas las garantías necesarias para evitar nuevas vulneraciones de la Carta.

3) Con el propósito de garantizar la seguridad jurídica, el SEPD recomienda las siguientes mejoras o aclaraciones, que deberán incluirse en el Acuerdo en sí o durante la ejecución del mismo:

  • Deberá respetarse el papel de los supervisores para dar cumplimiento al artículo 8.3 de la Carta.
  • Las bases jurídicas para las transferencias deben cumplir con las garantías del Acuerdo, prevaleciendo éste ante disposiciones contradictorias respecto a una base jurídica concreta.
  • En caso de falta de protección para los datos transferidos a las autoridades a nivel de Estado, deberán incluirse las medidas relativas a los datos que ya se hubieran compartido.
  • Las definiciones acerca de las operaciones de tratamiento e información personal deberán alinearse para su comprensión en virtud de la Unión Europea. En cualquier caso, si no se alinearan totalmente, la aplicación de los conceptos de deberá diferir sustancialmente de lo que entienda la legislación Europea al respecto.
  • Deberá incluirse en la declaración explicativa las condiciones específicas para que los datos puedan ser transferidos de forma masiva.
  • Asimismo, deberá incluirse que las Partes tienen la intención de aplicar todo lo relativo a las notificaciones de violación de información para limitar la omisión o retrasos excesivos de las mismas.
  • En relación a la retención de datos, se complementa con la especificación para los fines específicos para los que fueron transferidos.
  • Las Partes deberán incrementar sus esfuerzos para asegurar que las restricciones al derecho de acceso se limitan a lo indispensable para preservar los intereses públicos y reforzar la obligación de transparencia.
  • Deberá incluirse una declaración explicativa detallada que enumere específicamente:
    • Las autoridades de control que tendrán competencia en materia de protección de datos y el mecanismo mediante el que las Partes se informarán mutuamente acerca de cambios futuros-
    • Los poderes efectivos que éstas pueden ejercer.
    • La identidad y datos del punto de contacto, que ayuden a la identificación del órgano de control competente.

Por último, el SEPD recuerda que cualquier interpretación, aplicación y medida de aplicación del Acuerdo se debe hacer de forma compatible con los principios constitucionales de la UE, independientemente de las mejoras que se puedan incorporar siguiendo las recomendaciones del Dictamen.

Las anteriores recomendaciones y comentarios se han realizado de acuerdo al texto preliminar del Acuerdo US-EU Privacy Shield, disponible aquí.

Marc Rius

Textos referidos:

 

Declaración del WP29 acerca del plan de acción para la implementación del Reglamento General de Protección de Datos

El pasado 2 de febrero, el Grupo de Trabajo del Artículo 29 publicó la citada declaración para orientar la implementación del nuevo Reglamento General de Protección de Datos (RGPD), en vista a su entrada en vigor y plena aplicación el primer semestre de 2018.

En este sentido, se publica el plan de acción para 2016 para marcar las prioridades principales, entre las que destaca un nuevo modelo de gobierno, en el que las Agencias de Protección de Datos tendrán un papel más activo debiendo cooperar entre ellas para garantizar la consistencia del RGPD. El plan de acción consta de los siguientes 4 puntos:

a) Configurar la estructura administrativa del Consejo Europeo de Protección de Datos (CEPD)

Se ha creado un grupo de trabajo formado por Presidente, Vice-Presidentes y el Supervisor Europeo de Protección de Datos (SEPD). El papel principal de dicho grupo de trabajo será el desarrollo de los sistemas de IT para CEPD en el contexto del one-stop shop, así como la supervisión de los recursos humanos, el presupuesto y las futuras normas de funcionamiento del CEPD.

b) Preparar el one stop shop y el mecanismo que le debe dar consistencia

  • Designación de la Autoridad de Protección de Datos principal.
  • Mecanismos para la cooperación en el cumplimiento del one stop shop.
  • Mecanismos de consistencia para el CEPD.

c) Desarrollar guías para Responsables y Encargados del tratamiento

Para ayudar a las empresas a implementar las provisiones del RGPD, se ha establecido como prioridad el desarrollo de guías o procedimientos específicos, especialmente relacionados con los siguientes aspectos:

  • El nuevo derecho de portabilidad.
  • El concepto de riesgo y las Evaluaciones de Impacto.
  • Certificaciones
  • Data Protection Officer.

d) Comunicaciones alrededor del CEPD y el RGPD

Para garantizar la visibilidad e identificación del nuevo marco legal:

  • Se creará una herramienta online de comunicación.
  • Se reforzarán las relaciones entre las Agencias e Instituciones de la UE y otros grupos de supervisión.
  • Se participará en eventos externos para promover el nuevo modelo de gobierno.

Se espera que el plan de acción anterior se revise periódicamente y se complemente en 2017 con nuevos objetivos y material entregable.

Por último, es importante destacar que el WP29 tiene la intención de contar con la opinión de las distintas partes afectadas, tanto de empresas como de organismos representativos de la sociedad civil, a fin de intercambiar opiniones y puntos de vista acerca de la implementación del RGPD.

Marc Rius

Textos referidos:

Nota de prensa del WP29

Como ya comentamos en el artículo anterior, los pasados días 2 y 3 de Febrero se reunión el Grupo de Trabajo del Artículo 29 (WP29), para analizar las consecuencias de la Sentencia del TJUE que derogó el Acuerdo Safe Harbor –Caso Schrems-, en relación con los restantes mecanismos para realizar transferencias internacionales a EE.UU., como son las Cláusulas Modelo de la UE o las Normas Corporativas Vinculantes (Binding Corporate Rules, o BCR).

Al respecto, el WP29 ha analizado la jurisprudencia Europea relacionada con los derechos fundamentales y ha concluido que deben respetarse las siguientes garantías esenciales cuando se transfieren datos a cualquier país terceo, sea o no de la UE:

  • El tratamiento de datos debe ser claro, preciso y basarse en normas accesibles.
  • Debe poder demostrarse la necesidad y proporcionalidad entre el acceso a los datos y los objetivos legítimos perseguidos.
  • Debe existir un mecanismo de control independiente, efectivo e imparcial.
  • Los individuos deben tener a su disposición mecanismos eficaces para defender sus derechos ante organismos independientes.

Asimismo, el WP29 se ha puesto a disposición de la Comisión Europea para analizar el resultado de las negociaciones acerca del “EU-U.S. Privacy Shield”, a fin de comprobar el cumplimiento de las garantías requeridas, y en especial analizar si las preocupaciones acerca del marco legal americano se ven aliviadas mediante el acuerdo sustituto de Safe Harbor, la cobertura que pueda proporcionar a los demás mecanismos de transferencia internacional, y verificar si se respetan las facultades de las Autoridades Europeas de Protección de Datos.

En vista de lo anterior, por el momento el resultado de la reunión ha sido relativamente decepcionante para aquellos que esperaban conocer hoy si el contrato modelo de la UE o las BCR siguen siendo válidas o no, si bien el WP29 ha solicitado a la Comisión Europea que le comuniquen todos los documentos relativos al “EU-U.S. Privacy Shield” antes de finales de Febrero, para poder tener una visión clara del acuerdo y poder completar su opinión acerca de las transferencias de datos a U.S.

Para ello, anuncian que en las próximas semanas se realizará una nueva reunión extraordinaria, en la que se tomará una decisión definitiva acerca de la validez de los contratos modelo de la UE y las BCR en relación con las transferencias a U.S..

Así pues, por el momento siguen siendo válidas, pero cuestionadas, por lo que no hay garantía de que las transferencias declaradas en base a dichos mecanismos sean válidas. Continua por tanto la incertidumbre en el sector, a la espera de que a finales de marzo se pueda tener algo más de información y empezar a ver la luz al final del túnel. Por el momento, todas las transferencias internacionales a EE.UU. siguen en tela de juicio.

Enlace a la nota de prensa (solo inglés): http://bit.ly/NP_WP29

Marc Rius

Aplicación de Compliance adaptada a la Circular 1/2016 de la Fiscalía General del Estado

Tengo el placer de anunciar que hemos finalizado el proceso de adaptación de nuestra aplicación Compliance 3.0 a los criterios establecidos en la Circular 1/2016 de la Fiscalía General del Estado.

No ha sido una labor complicada debido a que había mucha coincidencia con los criterios de nuestra metodología Compliance 3.0.

Esta aplicación utiliza como marco de referencia la ISO 19600 para la implantación de un CMS (Compliance Management System) y la Circular de la Fiscalía para cumplir los requisitos de un modelo de prevención y control de delitos.

Considero que puede ser de gran utilidad tanto para Compliance Officers como para despachos especializados en Compliance penal.

Los interesados pueden solicitar a marc.casado@ribastic.com el acceso a un vídeo de demostración y a un documento descriptivo del contenido y estructura de la aplicación.

Europa y Estados Unidos llegan a un acuerdo para el nuevo Acuerdo de Safe Harbor

Esta misma tarde se ha celebrado la rueda de prensa por parte del Vicepresidente de la Comisión Europea Andrus Ansip y la Comisaria Vera Jourova, comunicando el acuerdo político sobre el nuevo marco jurídico que dé cobertura a las transferencias de datos de carácter personal entre Europa y Estados Unidos.

El nuevo texto, que estará disponible en las próximas semanas (de momento, como hemos indicado, no es más que un acuerdo político sin transposición jurídica), recibe el nombre de EU-US Privacy Shield, y busca proteger los derechos fundamentales de los ciudadanos europeos, así como garantizar la certidumbre jurídica en las transferencias de datos.

En este sentido, se ha recordado que la principal crítica que recibió el anterior acuerdo Safe Harbor fue en relación al acceso masivo a datos personales por parte de los servicios de inteligencia americanos. En este sentido, por primera vez en la historia, se ha conseguido que EE.UU. se comprometa a presentar garantías detalladas y por escrito acerca de las salvaguardias y limitaciones que aplicarán a los programas de vigilancia.

Destacan asimismo las siguientes características o logros conseguidos después de meses de negociaciones:

  • A diferencia de Safe Harbor, el Privacy Shield nace con la intención de ser un instrumento jurídico vivo, que pueda revisarse y modificarse continuamente para adaptarlo a futuras situaciones.
  • Definición de salvaguardias claras y transparentes por parte del acceso de las Agencias de Seguridad de EE.UU. a datos de ciudadanos europeos, así como existencia de garantías vinculantes incluyendo límites y mecanismos de control.
  • Involucración directa por parte del Director de Inteligencia de la Casa Blanca y la Comisión Federal de Comercio.
  • Monitorización continuada sobre el funcionamiento y aplicación del nuevo Acuerdo. La Comisión Federal de Comercio y la Comisión Europea realizarán una revisión anual conjunta para evaluar los compromisos acordados, junto con expertos de EE.UU y la U.E.
  • Marco sancionador para aquellas empresas que incumplan los compromisos asumidos bajo el Privacy Shield, que contempla incluso la expulsión de dicho acuerdo.
  • Acceso a los tribunales de EE.UU. por parte de ciudadanos europeos en aspectos relacionados con sus datos personales.
  • Creación de un mecanismo de resolución de conflictos, y, previsiblemente, sumisión a Arbitraje.
  • Creación de una nueva figura, el Defensor del Pueblo (Ombudsman), independiente de los servicios de inteligencia de EE.UU, que seguirá y responsabilizará de quejas y solicitudes realizadas por individuos o Autoridades de Protección de Datos europeas.
  • Inclusión de nuevas obligaciones que deberán seguir las empresas sujetas al nuevo acuerdo y traten datos de ciudadanos europeos.

Se prevé que el acuerdo jurídico esté preparado en las próximas semanas y, si no hay oposición en cuanto a su contenido, pueda estar en vigor en un plazo de aproximadamente 3 meses, por lo que probablemente exista solución antes de verano.

En cualquier caso, la Comisaria Jourova ha comunicado esta mañana el acuerdo a la presidenta del Grupo de Trabajo del Artículo 29 (Comité de expertos en protección de datos de la Unión Europea) Isabelle Falque-Perrotin, y se comunicará mañana a las Autoridades Europeas de Protección de Datos.

Dichas Autoridades están precisamente reunidas hoy y mañana en Bruselas para discutir sobre el alcance de la Sentencia que anuló la Decisión acerca del Acuerdo Safe Harbor, y las consecuencias que la misma tiene sobre otros mecanismos de transferencia internacional de datos, como las cláusulas modelo o las Binding Corporate Rules (Normas Corporativas Vinculantes).

Por tanto, se espera que mañana se puedan tener ya las primeras conclusiones a nivel jurídico que puedan transmitir tanto el Grupo de Trabajo del Artículo 29 o las Autoridades de Protección de Datos acerca del nuevo acuerdo.

Asimismo, habrá que ver si este acuerdo político tiene algún efecto con las Autoridades de Protección de Datos, y si puede dar una nueva prórroga para declarar o adecuar las transferencias internacionales, cuyo plazo finalizó el pasado viernes 29 de enero.

Como ya hemos dicho anteriormente, de momento no deja de ser un acuerdo político de buenas intenciones entre ambas partes, y faltará ver como se plasma en un documento jurídico para poder valorar hasta que punto será un instrumento válido y efectivo.

Marc Rius

Enlaces de interés:

Vídeos de la rueda de prensa:

http://ec.europa.eu/avservices/video/player.cfm?ref=I115847

http://ec.europa.eu/avservices/video/player.cfm?ref=I115848

http://ec.europa.eu/avservices/video/player.cfm?ref=I115849

Nota de prensa:

http://europa.eu/rapid/press-release_IP-16-216_es.htm

Primera opinión de Max Schrems, quién incitó la anulación del Safe Harbor al denunciar a Facebook:

http://europe-v-facebook.org/PS_update.pdf

 

 

Corruption Perceptions Index 2015

Esta semana se ha publicado la nueva edición del índice de Transparency International sobre la percepción de la corrupción en todo el mundo.

Es un índice muy útil ya que ayuda a tomar decisiones sobre el riesgo que asume la empresa al exportar sus productos, crear filiales o establecer acuerdos en determinados países.

El índice no sólo ayuda a valorar el riesgo de comisión de un delito de corrupción, sino de todos los demás, ya que se ha comprobado reiteradamente la relación entre el “riesgo país” en materia de compliance y el riesgo de corrupción.

No se trata sólo de conocer los países en los que el paso por aduana de nuestros productos exigirá los correspondientes esfuerzos colaterales a la transacción, en algunos casos reducidos a pagos de facilitación, sino de saber identificar los países en los que el único programa de compliance posible es no estar en ellos.

Mapa:

http://media.transparency.org/maps/cpi2015-470.html

Ranking:

http://www.transparency.org/cpi2015#results-table

Años anteriores:

http://www.transparency.org/research/cpi

Necesitamos un colaborador para nuestro Campus de Compliance

Debido a la alta demanda de nuestros cursos de compliance necesitamos contratar urgentemente un colaborador con el siguiente perfil:

  • Conocimientos de PowerPoint
  • Alta capacidad de trabajo
  • Estudios de Derecho (opcional)

Las funciones a desarrollar son las siguientes:

  • Gestión de nuestro Campus de Compliance
  • Diseño de cursos en PowerPoint
  • Mantenimiento y actualización de contenidos
  • Gestión de altas de alumnos
  • Interlocución con clientes corporativos

Ofrecemos:

  • Incorporación inmediata
  • Formación en materia de e-learning
  • Formación en materia de Moodle
  • Formación en materia de herramientas de autor
  • Formación en materia de compliance
  • Contrato indefinido previo periodo de prueba de tres meses
  • Alta en el Régimen General de la Seguridad Social
  • Puesto de trabajo estable en nuestro despacho: Diagonal 640

Los interesados pueden enviar un mensaje a montse.otalora@ribastic.com antes del 5 de febrero de 2016.

 

#Compliance 02 – Cómo afecta la Circular 1/2016 de la Fiscalía a los programas de Compliance de las grandes empresas (II)

Sigue de la entrega anterior

Responsabilidad penal de los directivos

En la Circular se indica que la nueva exigencia de que el incumplimiento del deber de control haya sido grave determina que, junto a la empresa, el directivo que omite el control también puede responder por un delito, bien doloso, en comisión por omisión, bien gravemente imprudente, lo que traslada la conducta de los directivos con obligaciones de control.

De esta manera se hace eco de los criterios establecidos en varias sentencias del Tribunal Supremo en las que se establece la responsabilidad penal del directivo que:

  1. Tiene obligaciones de control y vigilancia sobre sus subordinados
  2. Tiene autoridad sobre los mismos
  3. Puede evitar el delito, directamente o a través de sus superiores
  4. Conoce el riesgo o la ejecución del acto antijurídico del subordinado
  5. No ejerce sus facultades de control o no actúa para evitar el delito

En estos casos, el directivo es responsable por omisión, ya que ocupa una posición de garante e incumple su deber de impedir la comisión del delito.

La responsabilidad de los directivos debe ser contemplada en los programas de compliance con el fin de mitigar la habitual contradicción entre el defense file de la empresa y el defense file del directivo.

Responsabilidad penal del Compliance Officer

La Fiscalía entiende que el Compliance Officer puede ser una de las personas que, al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la empresa. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado.

En cualquier caso, la exposición personal al riesgo penal del Compliance Officer no es superior a las de otros directivos de la empresa.

Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones:

  1. Puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos.
  2. Especialmente a causa de su responsabilidad en relación a la gestión del canal de denuncias.
  3. Siempre que la denuncia se refiera a hechos que se están cometiendo.
  4. Y que, por tanto, el Compliance Officer puede impedir con su actuación.

Por ello será muy importante que las funciones de control del Compliance Officer estén claramente definidas en el programa de Compliance, en su contrato y en la descripción del puesto de trabajo.

Perímetro de control

En relación a las personas sometidas a la autoridad de los directivos con obligaciones de control, la Fiscalía interpreta que:

  1. Sólo tienen que operar en el ámbito de dirección, supervisión, vigilancia o control de dichos directivos.
  2. No es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil.

Por lo tanto, quedan incluidos:

  1. Los autónomos
  2. Los trabajadores subcontratados, es decir, los trabajadores de los proveedores.
  3. Los empleados de empresas filiales
  4. Siempre que se hallen integrados en el perímetro de su dominio social

Se entiende que si hay un vínculo laboral entrarían en el perímetro de control los empleados de la empresa, y si hay un contrato mercantil podrían entrar:

  1. Los proveedores críticos
  2. Los clientes críticos
  3. Los concesionarios
  4. Los franquiciados

La necesidad de extender el perímetro de control más allá de la plantilla de la propia empresa es una medida que he defendido desde hace años, por lo que no puedo estar más de acuerdo con la posición de la Fiscalía.


Prevención de conductas imprudentes

Los comportamientos que pueden generar responsabilidad penal para la empresa pueden ser dolosos o imprudentes. En la circular de la Fiscalía se recuerda que sólo cuatro grupos de conductas imprudentes son susceptibles de general responsabilidad penal para las empresas:

  1. Las insolvencias punibles
  2. Los delitos contra los recursos naturales y el medio ambiente
  3. El delito de blanqueo de capitales
  4. Los delitos de financiación del terrorismo

Esta información debe ser aprovechada por las empresas y sectores con un riesgo inherente alto en alguno de estos cuatro puntos, ya que así saben donde tienen que concentrar su esfuerzos de prevención y formación.

Se entiende que la prevención de los comportamientos dolosos exige una gran inversión en medidas de control y detención, mientras que la prevención de los comportamientos imprudentes exige destinar más recursos a la información, la formación y la sensibilización.

Ver siguientes entregas