Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Análisis a las conclusiones del análisis

Para calcular la probabilidad de que un incumplimiento del RGPD llegue a ser conocido, denunciado y sancionado, depende, en gran medida, de que el incumplimiento tenga sus efectos, o pueda ser percibido por fuera del perímetro de la empresa.

Si valoramos el riesgo de que esto suceda en cada una de las obligaciones del RGPD que pueden ser incumplidas por una empresa, podemos elaborar una tabla como la siguiente, en la que se valora, de forma aproximativa, el riesgo de que una infracción pueda tener efectos o ser percibida fuera del perímetro de la empresa:

  1. Principios relativos al tratamiento – Riesgo alto
  2. Licitud del tratamiento – Riesgo alto
  3. Condiciones para el consentimiento – Riesgo alto
  4. Consentimiento de menores – Riesgo alto
  5. Categorías especiales de datos – Riesgo medio
  6. Datos relativos a condenas e infracciones penales – Riesgo medio
  7. Tratamientos que no requieren identificación – Riesgo bajo
  8. Ejercicio de derechos del interesado – Riesgo alto
  9. Información al interesado en la obtención directa – Riesgo alto
  10. Información al interesado en la obtención indirecta – Riesgo medio
  11. Derecho de acceso del interesado – Riesgo alto
  12. Derecho de rectificación – Riesgo alto
  13. Derecho de supresión – Riesgo alto
  14. Derecho a la limitación del tratamiento – Riesgo alto
  15. Notificación de las acciones relativas a los derechos anteriores – Riesgo alto
  16. Derecho a la portabilidad de los datos – Riesgo alto
  17. Derecho de oposición – Riesgo alto
  18. Decisiones individuales automatizadas y elaboración de perfiles – Riesgo medio
  19. Limitaciones  – Riesgo bajo
  20. Responsabilidad del responsable del tratamiento – Riesgo medio
  21. Protección de datos desde el el diseño y por defecto – Riesgo medio
  22. Corresponsables del tratamiento  – Riesgo medio
  23. Representantes en la Unión Europea  – Riesgo alto
  24. Encargado del tratamiento – Riesgo medio
  25. Tratamiento bajo la autoridad del responsable o del encargado – Riesgo bajo
  26. Registro de las actividades de tratamiento  – Riesgo bajo
  27. Cooperación con la autoridad nacional –  – Riesgo alto
  28. Seguridad del tratamiento  – Riesgo bajo en relación a la disponibilidad y a la integridad y riesgo alto en relación a la confidencialidad
  29. Notificación de una violación de la seguridad a la autoridad de control – Riesgo alto
  30. Comunicación de una violación de la seguridad al interesado – Riesgo alto
  31. Evaluación de impacto – Riesgo bajo
  32. Consulta previa – Riesgo alto
  33. Designación del Delegado de Protección de Datos – Riesgo alto
  34. Posición del Delegado de Protección de Datos – Riesgo bajo
  35. Funciones del Delegado de Protección de Datos – Riesgo bajo
  36. Códigos de conducta – Riesgo alto
  37. Supervisión de los códigos de conducta – Riesgo alto
  38. Certificación – Riesgo alto
  39. Principio general de las transferencias a terceros países – Riesgo alto
  40. Transferencias basadas en una decisión de adecuación – Riesgo alto
  41. Transferencias mediante garantías adecuadas – Riesgo alto
  42. Normas corporativas vinculantes – Riesgo alto
  43. Transferencias no autorizadas por el Derecho de la Unión – Riesgo alto
  44. Excepciones para situaciones específicas – Riesgo alto

Al realizar este ejercicio nos damos cuenta de que todas las obligaciones en las que el interesado puede, de alguna manera, monitorizar o percibir el nivel de cumplimiento son aquellas en las que una eventual infracción tendría una manifestación o unos efectos fuera de la empresa. En cambio, las infracciones que sólo se manifestan o tienen sus efectos dentro de la empresa, son susceptibles de ser ocultadas o subsanadas, con la excepción de las que sean filtradas o denunciadas por alguien que se halle dentro del círculo de confianza de la empresa o sea expulsado del mismo a causa de un confilcto o de un despido.

En el caso de infracción de una obligación jurídica con riesgo alto de conocimiento por parte del interesado, la empresa no tiene muchas opciones para ocultar, corregir o eliminar los efectos de la infracción, ya que éstos han salido de su ámbito de control. Por ejemplo, si la empresa realiza un envío masivo de publicidad por correo electrónico y sin consentimiento, la prueba de la infracción está en cada uno de los buzones de entrada de los múltiples destinatarios.

En el caso de infracción de una obligación específica en materia de seguridad, como las relacionadas con las violaciones de datos, el Grupo de Trabajo del Artículo 29 ha identificado tres opciones:

  • Las violaciones de la integridad.
  • Las violaciones de la disponibilidad.
  • Las violaciones de la confidencialidad.

En el caso de las dos primeras, la empresa puede actuar de forma rápida y solucionar el problema sin que el interesado llegue a darse cuenta. En el caso de una violación de la confidencialidad, la existencia de la divulgación de los datos puede llegar a conocimiento del interesado o no, ya que puede deberse a un incidente involuntario intrascendente o a un ataque que no ha sido hecho público.

El gran impacto reputacional y la desconfianza en la seguridad de la empresa que puede generar la divulgación de una violación de datos hace que, en la mayoría de los casos, las empresas sólo publiquen datos de las violaciones de datos que ya han sido conocidas por los interesados.

No parece que esta estrategia vaya a cambiar a pesar de la obligación de comunicar las violaciones de datos. Las empresas, especialmente las de aquellos sectores en los que los datos personales sea un activo crítico, intentarán no tener que comunicar la existencia de la violación. Salvo que la brecha de seguridad haya sido dada a conocer por terceros, en la medida de lo posible, y especialmente en los casos de violación de la integridad y de la disponibilidad, estos incidentes seguirán siendo de ámbito interno muy probablemente.

Si a ello unimos las conclusiones del análisis histórico de sanciones, en el que las cuestiones relativas a la seguirdad prácticamente no aparecen, es posible afirmar que existe una mayor probabilidad de que el incumplimiento de una obligación jurídica sea sancionado, frente a la menor probabilidad de sanción del incumplimiento de una obligación de seguridad.

Acceso a las conclusiones del análisis

Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Teniendo en cuenta que las características esenciales de las obligaciones establecidas en la LOPD y en el RGPD en materia de protección de datos son bastante parecidas, podemos acudir a las estadísticas publicadas anualmente por la Agencia Española de Protección de Datos (AEPD) para ver cuáles son los incumplimientos más frecuentes.

De acuerdo con la última memoria anual publicada por la AEPD, que corresponde a 2016, los datos relativos a las sanciones impuestas a empresas son los siguientes:

  • Videovigilancia: 170 sanciones
  • Ficheros de morosidad: 141 sanciones
  • Comunicaciones electrónicas (Spam): 77 sanciones
  • Contratación fraudulenta: 74 sanciones
  • Publicidad y marketing (Excepto spam): 54 sanciones
  • Información insuficiente: 1 sanción
  • Cookies: 9 sanciones
  • Documentación desechada sin destruir o borrar: 3 sanciones

Como podemos ver, de un total de 529 sanciones analizadas, sólo 3 tendrían relación con un incumplimiento de las medidas de seguridad. Es decir, un 1%.

Acceso a las conclusiones del análisis

 

Número de infracciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Las infracciones que establece el artículo 83 del RGPD se distribuyen en dos grandes grupos:

A) Infracciones con sanciones de hasta 20 millones o el 4% del volumen de negocio, cuyo contenido es exclusivamente jurídico, ya que se refieren a:

  1. Los principios básicos del tratamiento (Artículos 5, 6, 7 y 9)
  2. Los derechos de los interesados (Artículos 12 a 22)
  3. Las transferencias de datos personales a un tercer país (Artículos 44 a 49)
  4. El incumplimiento de obligaciones en virtud del Derecho de los Estados miembros (Artículos 85 a 91)
  5. El incumplimiento de resoluciones de la autoridad de control (Artículo 58)

B) Infracciones con sanciones de hasta 10 millones o el 2% del volumen de negocio, cuyo contenido es predominantemente jurídico, ya que se refieren a:

  1. Las obligaciones del responsable y del encargado del tratamiento
  2. Las obligaciones de los organismos de certificación
  3. Las obligaciones de las autoridades de control

Las infracciones en materia de seguridad están incluidas en el punto 1, relativo a las obligaciones del responsable y del encargado del tratamiento, que están descritas en los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 y 43.

Por lo tanto, una infracción de las obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio y afectaría a 3 de los 19 artículos del RGPD cuya infracción comportaría este tipo de sanciones.

En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:

  • Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
  • Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
  • Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.

Cabe añadir que dos de los tres artículos relativos a medidas de seguridad se refieren a la obligación de notificar y comunicar las violaciones de datos.

Acceso a las conclusiones del análisis

Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

El RGPD tiene 99 artículos, de los que:

  • 44 contienen obligaciones de contenido jurídico.
  • 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
  • 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
  • Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control

Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:

  • El 84% contiene obligaciones de contenido jurídico
  • El 10% contiene obligaciones en materia de medidas técnicas
  • El 6% contiene obligaciones específicas en materia de seguridad

Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:

  1. Principios relativos al tratamiento (Artículo 5)
  2. Licitud del tratamiento (Artículo 6)
  3. Condiciones para el consentimiento (Artículo 7)
  4. Consentimiento de menores (Artículo 8)
  5. Categorías especiales de datos (Artículo 9)
  6. Datos relativos a condenas e infracciones penales (Artículo 10)
  7. Tratamientos que no requieren identificación (Artículo 11)
  8. Ejercicio de derechos del interesado (Artículo 12)
  9. Información al interesado en la obtención directa (Artículo 13)
  10. Información al interesado en la obtención indirecta (Artículo 14)
  11. Derecho de acceso del interesado (Artículo 15)
  12. Derecho de rectificación (Artículo 16)
  13. Derecho de supresión (Artículo 17)
  14. Derecho a la limitación del tratamiento (Artículo 18)
  15. Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
  16. Derecho a la portabilidad de los datos (Artículo 20)
  17. Derecho de oposición (Artículo 21)
  18. Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
  19. Limitaciones (Artículo 23)
  20. Responsabilidad del responsable del tratamiento (Artículo 24)
  21. Protección de datos desde el el diseño y por defecto (Artículo 25)
  22. Corresponsables del tratamiento (Artículo 26)
  23. Representantes en la Unión Europea (Artículo 27)
  24. Encargado del tratamiento (Artículo 28)
  25. Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
  26. Registro de las actividades de tratamiento (Artículo 30)
  27. Cooperación con la autoridad nacional (Artículo 31)
  28. Seguridad del tratamiento (Artículo 32)
  29. Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
  30. Comunicación de una violación de la seguridad al interesado (Artículo 34)
  31. Evaluación de impacto (Artículo 35)
  32. Consulta previa (Artículo 36)
  33. Designación del Delegado de Protección de Datos (Artículo 37)
  34. Posición del Delegado de Protección de Datos (Artículo 38)
  35. Funciones del Delegado de Protección de Datos (Artículo 39)
  36. Códigos de conducta (Artículo 40)
  37. Supervisión de los códigos de conducta (Artículo 41)
  38. Certificación (Artículo 42)
  39. Principio general de las transferencias a terceros países (Artículo 44)
  40. Transferencias basadas en una decisión de adecuación (Artículo 45)
  41. Transferencias mediante garantías adecuadas (Artículo 46)
  42. Normas corporativas vinculantes (Artículo 47)
  43. Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
  44. Excepciones para situaciones específicas (Artículo 49)

La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:

El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.

El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.

El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).

Acceso a las conclusiones del análisis

“Data breach” y RGPD: la realidad de un concepto mal traducido

La traducción oficial al español de “data breach” en el Reglamento General de Protección de Datos es “violación de la seguridad de los datos personales”. Sin tener en cuenta artículos y preposiciones, el traductor oficial convierte dos palabras en cuatro.

Añadir “personales” no me parece mal, ya que confirma que el RGPD no se refiere a cualquier violación de datos, sino que ésta tiene que referirse a datos personales.

El problema surge al añadir la palabra seguridad, ya que ello puede generar la errónea interpretación de que el concepto “data breach” se refiere a cualquier incidente de seguridad en un entorno en el que haya datos personales. Y del texto de los artículos 33 y 34 del RGPD se deduce claramente que esto no es así.

Esta traducción ha provocado que, por economía de palabras, buena parte de las referencias al concepto “data breach” aparezcan en la práctica como “brechas de seguridad” o como “violaciones de seguridad”, con la consiguiente interpretación por parte de los profanos en la materia, de que todos los incidentes de seguridad que afecten a un sistema en el que haya datos personales serán un “data breach” y deberán ser objeto de notificación a la autoridad de control o de comunicación a los interesados. De ahí la pregunta habitual: “¿Cada vez que se pierda un móvil tendré que notificarlo a la Agencia?”

Para analizar el alcance real de un incidente de seguridad deberán tenerse en cuenta todas las circunstancias que lo rodean, así como las medidas anteriores, coetáneas y posteriores al incidente, que el responsable del tratamiento haya adoptado.

Entre las cuestiones conceptuales que deberán tenerse en cuenta destacan las siguientes:

  1. No todos los incidentes de seguridad constituirán una violación de la seguridad de los datos personales.
  2. No todas las violaciones de la seguridad de los datos personales serán una violación de los datos personales.
  3. La seguridad se representa gráficamente como un escudo de protección del sistema que alberga los datos personales, pero este escudo puede tener varias capas y formatos, de manera que un incidente en la primera capa de seguridad no implica forzosamente que exista un alto riesgo para los datos personales, ya que estos pueden encontrarse protegidos por varias capas de seguridad.
  4. Por ejemplo, un incidente en el firewall perimetral de una empresa puede no afectar a los datos que se encuentran cifrados dentro de una aplicación protegida con contraseña, en una máquina virtual protegida por un firewall propio albergada en un servidor interno, protegido a su vez por su propio firewall.

De manera similar a una ciudadela o a una fortaleza militar, el sistema informático de una empresa cuenta con varias líneas de defensa que permiten afirmar que un incidente de seguridad perimetral puede llegar a ser absolutamente irrelevante para los datos personales que alberga el sistema.

Si hablamos concretamente de una violación de la seguridad de los datos personales, igualmente debemos tener en cuenta que dicha seguridad puede estar compuesta por distintas capas y metodologías de protección, tanto físicas, como lógicas, como organizativas.

Por todo ello, y tal como puede verse en los dos gráficos que acompañan a este artículo, y que han sido incluidos en el nuevo curso de DPO de Thomson Reuters, una empresa debe contar con un protocolo de actuación ante incidentes de seguridad y con un protocolo de evaluación de la violación de los datos personales.

En el primer gráfico podemos ver que, antes del incidente, la empresa tiene que haber aplicado las medidas de seguridad necesarias para reducir la probabilidad de que se produzcan incidentes de seguridad y para mitigar los efectos de los que lleguen a producirse a pesar de las medidas aplicadas.

En relación al cifrado de datos, el Grupo de Trabajo del Artículo 29, en la guía que recientemente ha publicado sobre esta materia, ha manifestado que, si la confidencialidad de la clave de cifrado está intacta, los datos personales son en principio ininteligibles, y por lo tanto no se deberá realizar la notificación. Por ello es muy importante que las medidas adoptadas antes, durante y después del incidente vayan orientadas a asegurar la custodia de dicha clave.

También será necesario disponer de un plan de actuación ante un incidente, en el que se asignen funciones específicas a los responsables y se establezcan tiempos de respuesta en los contratos con los proveedores.

Durante y después del incidente, deberá realizarse un análisis de su alcance, del número de afectados, el origen (interno o externo) y el nivel de intencionalidad, así como cualquier otra circunstancia que permita determinar las medidas a aplicar y evaluar los riesgos.

La evaluación del riesgo deberá tener en cuenta, entre otras cuestiones, el tipo de incidente, su alcance en relación a los derechos fundamentales de los afectados, la sensibilidad de los datos, la gravedad del impacto para los afectados y la facilidad de identificación de los mismos. En esta fase será fundamental disponer de una checklist completa que permita evaluar el riego desde la óptica de los derechos y libertades fundamentales de los interesados.

El protocolo de actuación acabará con una decisión final en relación a la notificación y a la comunicación a realizar en función del riesgo evaluado. Si el riesgo es bajo, el incidente podrá ser registrado y archivado. Si el riesgo es alto, deberá realizarse la notificación a la AEPD y si el riesgo es muy alto, deberá realizarse la comunicación a los afectados.

En el segundo gráfico puede verse el protocolo de actuación que propongo aplicar para evaluar si se ha producido una violación de datos que deba ser notificada o comunicada.

Para ello habrá que recopilar información completa del incidente, evaluar la probabilidad y el impacto del riesgo, verificar si las medidas anteriores, coetáneas y posteriores al incidente han protegido de forma suficiente los datos, o si, por el contrario, se ha producido una violación.

De acuerdo con la guía del Grupo de Trabajo del Artículo 29, dicha violación puede referirse a la confidencialidad, a la disponibilidad y a la integridad de los datos. La violación de la confidencialidad permitiría que se produjese una comunicación o un acceso no autorizado a los datos. La violación de la disponibilidad podría provocar una pérdida de acceso a los datos o una destrucción de los mismos. La violación de la integridad supondría una alteración no autorizada de los datos.

Por lo tanto, y como conclusión final, para que un incidente de seguridad se convierta en una violación de datos, se tiene que haber producido una violación de la confidencialidad, la disponibilidad o la integridad de los datos. Si el riesgo de que esta violación afecte a los derechos y libertades de los interesados es alto, habrá que notificarla a la AEPD y si es muy alto, habrá que comunicarla a los interesados.

La diferencia entre riesgo alto y riesgo muy alto no queda definida en el RGPD, pero lo que sí queda claro es que, si una empresa ha cumplido sus obligaciones en materia de seguridad, consiguiendo un umbral razonable de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales, tiene más posibilidades de que una violación de la seguridad no se convierta en una violación de datos, y, por lo tanto, consiga no tener que notificar ni comunicar el incidente.

El objetivo del DPO y del responsable del tratamiento es que ese umbral de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales sea lo más alto posible.

Las violaciones de datos y las evaluaciones de impacto son dos puntos del RGPD que preocupan a las empresas por su operativa y por su contenido. En el nuevo curso de DPO de Thomson Reuters hemos dedicado especial atención a estos dos puntos, con una amplia descripción de los protocolos a seguir y, en el caso de las evaluaciones de impacto, al contenido detallado del informe que debe describir las procesos sedigos para realizar la evaluación y la justificación de la decisión final adoptada.

Texto del proyecto de Ley de la nueva LOPD

El Ministerio de Justicia ha publicado el texto del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, aprobado en el Consejo de Ministros del viernes pasado.

El proyecto de ley ha sido remitido a las Cortes Generales.

Acceso al texto en formato PDF

 

Publicada la Ley de resolución alternativa de litigios en materia de consumo

El BOE de hoy publica la Ley 7/2017, de 2 de noviembre, por la que se incorpora al ordenamiento jurídico español la Directiva 2013/11/UE, del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativa a la resolución alternativa de litigios en materia de consumo.

En virtud de esta ley, los consumidores residentes en España o en cualquier Estado miembro de la Unión Europea tendrán la posibilidad de resolver sus litigios de consumo con empresarios establecidos en España acudiendo a entidades de resolución alternativa de calidad que hayan sido acreditadas por la autoridad competente e incluidas en un listado nacional de entidades acreditadas, el cual será trasladado a la Comisión Europea para que sea incluido en el listado único de entidades notificadas por los diferentes Estados miembros de la Unión Europea.

Esta ley tiene como finalidad garantizar a los consumidores residentes en la Unión Europea el acceso a mecanismos de resolución alternativa de litigios en materia de consumo que sean de alta calidad por ser independientes, imparciales, transparentes, efectivos, rápidos y justos.

Las empresas que celebren contratos de compraventa o de prestación de servicios en línea, así como las plataformas de comercio electrónico o mercados en línea, deberán incluir en su sitio web un enlace que permita un acceso identificable y fácil a la plataforma de resolución de litigios en línea de la Unión Europea a la que se refiere el Reglamento (UE) n.º 524/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013.

La presentación de una reclamación ante una entidad acreditada suspenderá o interrumpirá los plazos de caducidad y de prescripción de acciones conforme a lo establecido en la normativa que resulte de aplicación en cada caso.

Los procedimientos deben ser gratuitos para los consumidores.

El acceso de las partes a los procedimientos, ya sea en línea o no, debe ser sencillo y de fácil identificación, con independencia del lugar donde se encuentren.

No serán vinculantes para el consumidor los acuerdos suscritos antes del surgimiento de un litigio entre un consumidor y un empresario con objeto de someterse a un procedimiento con resultado no vinculante. Para el empresario el acuerdo será vinculante en la medida en que reúna las condiciones de validez exigidas por la normativa aplicable a dicho acuerdo. Este consentimiento no será necesario cuando el empresario se encuentre obligado, por ley o por su adhesión previa, a participar en dicho procedimiento.

ARGUMENTO 25 – Exención o atenuación de la responsabilidad penal

He dejado este argumento intencionadamente al final, ya que lo normal sería que fuese el primero. Se entiende que todas las empresas deberían invertir todos sus esfuerzos en evitar que ellas o sus directivos fuesen declarados penalmente responsables.

Si embargo, en la práctica, algunos directivos siguen anteponiendo el negocio y los intereses económicos a la prevención de las infracciones, por lo que intentar convencerlos con este argumento parece una tarea inútil.

Si un directivo está convencido de que no puede mantener el negocio sin cruzar la línea roja del incumplimiento, será reacio a establecer un modelo de cumplimiento que ponga límites a su actuación, y se manifestará especialmente en contra de realizar un análisis de riesgos que no conseguirá otra cosa que demostrar la incapacidad de la empresa para reducir el riesgo de incumplimiento.

Pero el argumento de la exención de la responsabilidad penal está plenamente vigente y debe llevar a las empresas a establecer controles y medidas preventivas que permitan asegurar el esfuerzo realizado para evitar el incumplimiento.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 24 – Mejora de la posición negociadora al contratar o renovar un seguro de responsabilidad civil (D&O y RC)

Los inversores quieren invertir en empresas que sean sostenibles en el tiempo, las entidades financieras quieren financiar a empresas que aseguren su solvencia y su continuidad en el negocio, los trabajadores quieren trabajar en empresas que les ofrezcan seguridad en el empleo y las compañías de seguros quieren tener garantías de que la cobertura de sus seguros se aplica a empresas que están haciendo todo lo posible para no tener que utilizarlos.

Las compañías de seguros realizan análisis de riesgos que pueden extenderse a un sector, a una actividad o a una empresa concreta. Ese análisis de riesgos en una empresa puede traducirse en recomendaciones de mejora cuando el resultado demuestra que existen deficiencias en la aplicación de las correspondientes medidas preventivas.

Un modelo de compliance contiene un conjunto estructurado y ordenado de controles y medidas que permite realizar una estimación sobre el impacto que la actividad preventiva tiene sobre el riesgo. Las evidencias de dicha actividad preventiva deberían colocar a la empresa en una mejor posición que una empresa sin modelo de cumplimiento a la hora de negociar la prima con la compañía aseguradora.

En otras palabras, una empresa que acredite la eficacia de su programa de cumplimiento debería pagar una prima inferior que otra empresa del mismo tamaño y la misma actividad, pero sin modelo de cumplimiento.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 23 – Incremento de la confianza del mercado en la empresa a través de los indicadores de cumplimiento en la memoria de RSC o en su portal ético

La responsabilidad social de las empresas va íntimamente ligada al cumplimiento, ya que una empresa no puede afirmar que es socialmente responsable si incumple normas básicas diseñadas para proteger a los ciudadanos de riesgos relacionados con el medio ambiente, la salud o la seguridad pública, por ejemplo.

La mayor parte de las memorias de RSC tienen referencias directas o indirectas al cumplimiento normativo y muchos de los indicadores GRI también. Por ello resulta lógico afirmar que una empresa que apuesta por el cumplimiento y que consigue reducir las infracciones y las sanciones a la mínima expresión, puede destinar una parte de la memoria a describir la evolución de los indicadores relacionados con el cumplimiento y de su esfuerzo por mejorar su sector.

En 2016 nuestro despacho diseñó una página de indicadores de cumplimiento para las memorias de RSC de las grandes compañías. Se trata de algo tan sencillo como indicar el número de sanciones que una empresa ha tenido en cada uno de los apartados del mapa de compliance de la compañía. El objetivo evidente es que todos los indicadores estén a cero y que ello refleje el resultado de un esfuerzo continuado por conseguir el famoso retorno del beneficio empresarial a la sociedad en forma de respeto a los ciudadanos y cumplimiento de las obligaciones legales y contractuales asumidas.

En muchas memorias de RSC se describe ese retorno a la sociedad, por ejemplo, mediante inversiones en la mejora del medio ambiente que previamente se ha dañado. Pero tal vez lo que interesa es explicar el esfuerzo que se ha hecho para evitar que la actividad de la empresa sea perjudicial, en vez de explicar cómo se compensa el daño producido, ya que esta compensación nunca será proporcional.

Como decía Robert Baden-Powell, no es más limpio el que más limpia, sino el que menos ensucia. En definitiva, la responsabilidad social no es invertir los beneficios en reparar el daño causado con el incumplimiento, sino procurar que los beneficios se obtengan respetando la ley y sin provocar daños ni a las personas ni al entorno.

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0