Matizaciones sobre la sentencia del Caso Barbulescu

Una buena parte de las noticias publicadas sobre la sentencia final del caso Barbulescu dan a entender que el Tribunal Europeo de Derechos Humanos (TEDH) establece nuevas limitaciones para la inspección del correo electrónico corporativo, entendiendo que el caso se refiere a un trabajador que envió mensajes de correo electrónico privados utilizando la cuenta de correo electrónico corporativa.

Sin embargo, la sentencia no dice esto, y por ello considero necesario realizar algunas matizaciones:

  1. Los mensajes que fueron monitorizados por la empresa y sirvieron de base para el despido no eran de correo electrónico.
  2. Tampoco pertenecían a una cuenta de correo electrónico de la empresa.
  3. Se trataba de mensajes de mensajería instantánea o chat que correspondían a una cuenta privada de Yahoo Messenger que el trabajador alegó estar utilizando para atender a los clientes de la empresa y a otra cuenta privada de uso estrictamente personal.
  4. La empresa había prohibido el uso personal de los recursos TIC corporativos, pero el trabajador consideró que la cuenta de Yahoo Messenger era personal y no era un recurso corporativo.
  5. La empresa informó sobre la monitorización pero el trabajador entendió que ésta no se extendía a la cuenta de Yahoo Messenger cuyo password sólo él conocía, ni al contenido de los mensajes enviados a través de ella.
  6. La empresa accedió al contenido de los mensajes de chat privados y los imprimió, utilizándolos como prueba de la infracción del trabajador.
  7. El TEDH considera que en la sentencia apelada no se valoró si la empresa habría podido demostrar el incumplimiento del trabajador con otros medios menos intrusivos.
  8. También considera que en el aviso previo no se informaba del alcance de la monitorización ni de la posibilidad de que las comunicaciones vía Yahoo Messenger también fuesen monitorizadas, ni de la posibilidad de que la empresa accediese al contenido del chat sin el conocimiento del trabajador.

El TEDH analiza en la sentencia el derecho de la Unión Europea y de los Estados miembro, resumiendo principios ya conocidos como el de la necesidad, proporcionalidad, interés legítimo, ponderación del justo equilibrio entre derechos e información previa en relación a las medidas de control a aplicar. Acto seguido comprueba si estos principios se han tenido en cuenta en la sentencia apelada, concluyendo que no se valoró si existía un justo equilibrio entre el interés legítimo de la empresa en la finalidad preventiva de la monitorización y el derecho del trabajador al respeto de su vida privada y su correspondencia.

Debe tenderse en cuenta que los hechos analizados en la sentencia tuvieron lugar en 2007, cuando el uso de los smartphones no estaba tan difundido como en la actualidad. En estos 10 años el uso de la tecnología para fines personales durante la jornada laboral ha cambiado mucho.

También hay que tener en cuenta que el uso de ciertas aplicaciones o servicios de Internet puede ser interpretado como personal en la mayor parte de los puestos de trabajo y que no es necesario acceder al contenido para demostrar un uso prohibido de los recursos TIC corporativos.

Por ello considero que esta sentencia no exige realizar cambios en las normas de uso de los recursos TIC corporativos y mantengo mi opinión de que hoy en día el trabajador puede satisfacer las necesidades sociales que menciona la sentencia a través de su smartphone y sin necesidad de utilizar los recursos de la empresa.

En las normas de uso de los recursos TIC también se debe informar sobre el alcance de la monitorización, aclarando que ésta se extiende a todos los canales de comunicación y a cualquier aplicación, protocolo o formato de los datos monitorizados, lo cual refuerza la obligación del trabajador de utilizar los dispositivos personales para las comunicaciones privadas. Este uso tiene que ser moderado para evitar casos de absentismo presencial.

En el caso de tener que realizar la inspección de recursos TIC corporativos en los que puede haber mensajes personales conviene que se aplique el protocolo que ya comentamos en su día con el fin de asegurar que se cumplen los requisitos de información previa de la posibilidad de inspección, sospecha razonable, necesidad, proporcionalidad y respeto de la dignidad del trabajador.

ARGUMENTO 16 – Exigencia de inversores, accionistas y fondos activistas

El compliance se está imponiendo progresivamente en los procesos de due diligence previos a un proceso de inversión, haciendo que, a pesar de las urgencias y los cortos plazos de la transacción, se valoren aspectos relativos al cumplimiento que antes se analizaban superficialmente.

Los inversores están interesados en empresas que ofrezcan garantías de continuidad, y que no pongan en peligro sus solvencia o incluso su propia existencia a causa de incumplimientos que puedan generar grandes sanciones e indemnizaciones.

En los casos de absorción y fusión, la due diligence va orientada a evitar la transferencia de la responsabilidad penal prevista en el artículo 130 del Código Penal a la empresa resultante de la absorción o la fusión. Y en los casos de adquisición, el objetivo interesa salvaguardar la inversión y los activos incorporados con toda probabilidad al grupo de empresas de la adquirente, a pesar de que no haya consolidación contable ni se produzca la transferencia de una eventual responsabilidad penal.

Es también cada vez más frecuente que los accionistas soliciten información sobre los esfuerzos que la sociedad realiza en materia de cumplimiento, especialmente en el caso de los grandes inversores, capital riesgo y private equity. Debido a ello, las empresas están desarrollando sistemas de reporting, y en algunos casos, portales de compliance que faciliten el acceso a dicha información. También es importante que las sociedades de capita riesgo y de private equity utilicen una aplicación que les permita realizar un seguimiento periódico de los programas de compliance de sus participadas.

Según el Estudio Global de Inversión de Schroders 2016, los inversores españoles son más propensos a contemplar aspectos de gobierno corporativo, ambientales y sociales (conocidos como ESG) a la hora de adoptar decisiones de inversión que la media europea, e incluso, se sitúan por encima de otros países del mundo.

Los fondos activistas intentan asegurar que sus inversiones se dirijan a empresas que realicen un esfuerzo significativo en el cumplimiento de la ley, especialmente en el ámbito del medio ambiente, la corrupción y los derechos de los trabajadores.

El fondo soberano de Noruega ha destacado en esta tendencia, realizando controles periódicos en materia de compliance y retirando la inversión de las empresas incumplidoras. O incluso planteando demandas.

Noticias relacionadas

El fondo noruego ganó 1.300 millones menos al invertir solo en compañías éticas

El fondo soberano de Noruega revisa sus inversiones en el oro negro del Sáhara

Noruega dejará de invertir en carbón y venderá todas sus participaciones en el sector

Los inversores españoles, más responsables que los europeos

Enlaces relacionados

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 15 – Prevención del riesgo reputacional derivado de la implicación de la empresa en tramas de corrupción y otros delitos

Hemos dicho muchas veces que una  de las peores cosas que le puede suceder a una empresa es aparecer en la portada de un periódico económico de gran difusión asociada a un grave incumplimiento o a un delito. De hecho, en los primeros cursos de sensibilización en materia de cumplimiento normativo, incluíamos una portada de Expansión modificada, en la que habíamos cambiado el nombre de la empresa mencionada en la noticia para que los directivos valorasen el impacto de ver el nombre de su compañía en esa situación.

Hay empresas que incluso “coleccionan” portadas y que pueden presumir de que les faltan pocos artículos del Código Penal para completar la colección. No hace falta decir que una empresa que llegue a ese nivel va a tener serias dificultades para mantener intacta la reputación que tantos años ha tardado en construir. Además del riesgo de exclusión del mercado si sus clientes tienen programas de compliance que les impiden contratar con empresas condenadas o investigadas en sede penal.

Por todo ello, en nuestra aplicación Compliance 3.0 incluimos en su día un mapa de riesgos adicional, destinado medir y mostrar gráficamente el impacto reputacional de cada uno de los riesgos asociados a la actividad de la empresa. Gracias a este mapa puede comprobarse que el impacto reputacional de cada delito varía sensiblemente de un sector a otro. Y el impacto económico derivado del daño reputacional también.

Muchas veces, los delitos que tienen gran impacto reputacional no tienen el mismo impacto en la facturación de la empresa. Por ejemplo, en el sector alimentario, una práctica colusoria puede pasar desapercibida para el consumidor final y no afectar a las ventas del producto. Pero una contaminación bacteriana puede suponer la ruina. Buena parte de los productos de gran consumo están afectados por este riesgo. Recuerdo el nombre de una colonia para bebés que tuvo una contaminación bacteriana grave y que no volvió a entrar en muchos hogares, ya que el consumidor puede retener en su memoria durante años los riesgos para la salud que asocia a una determinada marca.

Por el contrario, los consumidores están bastante acostumbrados a los delitos de corrupción en nuestras latitudes, y es probable que su decisión de compra no se vea afectada por una noticia sobre corrupción que afecte a una empresa. Por cuestiones culturales alguien puede comprender que las empresas utilicen ciertos “incentivos” para vender sus productos. Y eso es más fácil de entender para las personas que siguen prefiriendo la opción sin IVA para pagar los servicios del fontanero.

Sin embargo, la tendencia de las grandes empresas es la contraria. En el proceso de homologación de proveedores se está imponiendo la práctica, derivada de la culpa in eligendo, de confirmar que la empresa proveedora no está implicada en una trama de corrupción. Por motivos legales, éticos y estéticos una empresa no puede aparecer públicamente relacionada con una trama de corrupción.

En estos casos, como al repuperar los puntos perdidos del permiso de conducir, una empresa puede someterse a un proceso de “descontaminación sectorial” y mostrar públicamente su voluntad de actuar dentro de la ley a través de un portal de cumplimiento o de integridad, en el que vaya publicando todas las acciones y esfuerzos realizados para conseguir una desconexión de su turbio pasado. En este portal se publicarán indicadores relacionados con el número de cursos impartidos sobre el código ético, el número de trabajadores formados, el número de cuestiones atendidas o planteadas a través del canal ético, el número de sanciones impuestas por incumplir el código ético y otros datos que ayudarán a demostrar la transformación de la empresa en un auténtico defensor de la cultura de cumplimiento. Los clientes que se lo crean podrán utilizar las evidencias obtenidas en este portal, justificar la excepción en el protocolo de selección, y contratar con la empresa.

Creo que no he acentuado suficientemente el tono sarcástico de este último párrafo.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

Tratamiento de datos de contacto y de empresarios individuales en la nueva LOPD

El anteproyecto de la nueva LOPD aclara una de las dudas que el texto del Reglamento (RGPD) suscitaba en relación a los datos de contacto de las personas físicas que prestan sus servicios en una persona jurídica.

El artículo 12 del anteproyecto establece que se entenderá amparado en lo dispuesto en el interés legítimo el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

  1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
  2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios. 

El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

La remisión del anteproyecto al artículo 6.1.f del RGPD enmarca el tratamiento de este tipo de datos en el interés legítimo, por lo que añade los siguientes requisitos:

  1. El tratamiento debe ser necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.
  2. Siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En el caso de que el texto de este artículo del anteproyecto prospere, y el responsable del tratamiento cumpla los requisitos establecidos en él, esta excepción permitirá que el tratamiento de este tipo de datos sea lícito sin necesidad de obtener el consentimiento del interesado.

Otra ventaja de la aprobación de este texto sería que contaríamos con un supuesto que claramente formaría parte de la lista de supuestos en los que concurre el interés legítimo. Ello es realmente importante teniendo en cuenta el carácter indeterminado de este concepto y la inseguridad jurídica que ello supone.

También será una ventaja poder excluir estos datos de contacto de la regularización del consentimiento tácito que habrá que realizar antes del 25 de mayo de 2018, al concurrir en este caso la excepción del interés legítimo.

La necesaria compatibilidad entre el interés legítimo del RGPD y el futuro Reglamento e-Privacy permitirá valorar si cabe plantear una revisión del régimen de las comunicaciones electrónicas entre empresas, con el fin de que tengan un tratamiento diferente del regulado actualmente en el artículo 21 de la LSSI. Pero todo parece indicar que la idea del legislador europeo es exactamente la contraria.

Controles de la UNE 19601

Hemos introducido en nuestra aplicación Compliance 3.0 los controles de la UNE 19601.

Por lo tanto, la aplicación acumula en la actualidad los controles relativos a las siguientes normas:

– RGPD
– ISO 27001 – Seguridad informática
– ISO 27002 – Seguridad informática
– ISO 37001 – Corrupción
– UNE 19601 – Compliance penal
– Los controles propios de nuestra metodología Compliance 3.0

30 años
 

Informe sobre el Anteproyecto de Ley de Protección de Datos para adaptarla al RGPD

Nota publicada tras el consejo de Ministros de ayer en:

http://www.lamoncloa.gob.es/consejodeministros/referencias/Paginas/2017/refc20170623.aspx#PROTECCIONDATOS

INFORME SOBRE EL ANTEPROYECTO DE LEY DE PROTECCIÓN DE DATOS PARA ADAPTARLA AL REGLAMENTO COMUNITARIO

El Consejo de Ministros ha recibido un informe del ministro de Justicia sobre el Anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de este derecho fundamental en los datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el Reglamento comunitario de 2016 en esa materia antes de su definitiva entrada en vigor, fijada para el próximo 25 de mayo de 2018.

Ante la realidad de una sociedad más globalizada, el objetivo de esta reforma es conseguir en todo el espacio comunitario una regulación de carácter más uniforme de este derecho, que en el caso español está recogido en el artículo 18.4 de la Constitución. Así, la aprobación de un Reglamento Comunitario de Protección de Datos se dirige a superar ciertos obstáculos generados por normativas diferentes en todo el conjunto de la Unión Europea, que hasta el momento ha conducido a diferencias apreciables en este derecho para los ciudadanos comunitarios.

Novedades

En esta reforma se introducirán novedades como el tratamiento de los datos de personas fallecidas por parte de sus herederos, teniendo en cuenta las instrucciones aportadas por las mismas. Además, se excluye el “consentimiento tácito”, debiendo ser expreso y afirmativo y se establece la presunción de exactitud y actualización de los datos obtenidos directamente del interesado. En cuanto a la edad para el consentimiento, se reduce desde los catorce a los trece años, tal y como permite el Reglamento europeo, para adaptar el sistema español al de otros países de nuestro entorno.

En lo referente al tratamiento de los datos, se adopta el principio de transparencia, se regulan los sistemas de información crediticia, la videovigilancia, los sistemas de exclusión publicitaria (“listas Robinson”), la función estadística pública y las denuncias internas en el sector privado.

Se incide también en los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, y se introduce la obligación de bloqueo que garantiza que esos datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la Agencia Española de Protección de Datos) para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.

Nueva Ley Orgánica

En el caso de España, la adaptación de nuestra legislación al Reglamento General de Protección de Datos hace necesaria la elaboración de una nueva Ley Orgánica en sustitución de la actual, cuyas normas y desarrollo deberán ser revisadas y adaptadas para evitar contradicciones. Igualmente, la Agencia Española de Protección de Datos (AEPD) deberá desarrollar cuestiones concretas que el Reglamento comunitario remite a las autoridades nacionales de control y las empresas deberán revisar sus tratamientos de datos personales para adaptarlos a esas exigencias.

Este Reglamento atiende a nuevas circunstancias producidas, fundamentalmente, por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la Sociedad de la Información.

Ante esta situación, han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial, siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino.

Texto íntegro del Anteproyecto

Nuevo curso: Prestación de servicios de compliance a empresas

Me complace anunciar un nuevo curso dirigido a despachos de abogados sobre la prestación de servicios de compliance a pequeñas y medianas empresa.

El curso pretende ser una guía práctica sobre el ciclo completo de prestación de servicios de compliance, desde la captación y retención de potenciales clientes hasta la contratación y desarrollo del proyecto de compliance y de sus servicios asociados.

En el curso se tratarán los siguientes temas:

  • Marketing jurídico para la:
    • Identificación de clientes target
    • Captación del interés
    • Retención de clientes target
  • Preparación de la oferta:
    • Valoración económica de los servicios
    • Presentación de la propuesta
  • Planificación del proyecto
  • Etapas del proyecto
  • Desarrollo del proyecto
  • Gestión de recursos durante el proyecto
  • Servicios asociados que pueden ofrecerse
  • Adecuación a la UNE 19601
  • Adecuación al RGPD
  • Fidelización del cliente
  • Herramientas

La primera convocatoria de este curso está prevista para el 23 de junio de 2017

El horario será de 9:00 a 14:00.

El curso está limitado a 12 asistentes por sesión, con el fin de conseguir el máximo aprovechamiento.

El precio del curso es de 250€ más IVA y tendrá lugar en nuestro despacho, en Diagonal 640 1C de Barcelona.

Si te interesa asistir, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

ARGUMENTO 14 – Estrategia de defensa basada en pruebas preconstituidas, ordenadas, centralizadas y con sello de tiempo (Defense file)

En España, y en general en los países mediterráneos, no existe una cultura de preconstitución de prueba y de preparación para el litigio. Igual que estudiamos los días antes del examen, en la mayoría de los casos nos preparamos para el litigio después de recibir el escrito de demanda o de querella.

El concepto anglosajón de “litigation readiness” sugiere una planificación dirigida a estar preparado para acreditar el cumplimiento ante la eventualidad de una reclamación en sede civil, penal o administrativa.

Este concepto, trasladado a nuestra aplicación Compliance 3.0, consiste en seleccionar, obtener, ordenar y archivar las evidencias que acreditan la existencia, la idoneidad y la eficacia de cada control, con la prueba cronológica añadida del sellado de tiempo o time stamping del documento probatorio.

Este “defense file” se crea de manera sistemática y automática al incorporar cada evidencia a la aplicación de manera asociada a cada control y tiene el objetivo de acreditar el esfuerzo realizado por la empresa para asegurar el cumplimiento en todos los niveles de la organización.

El primer efecto positivo de disponer de un repositorio de evidencias es emocional, ya que mitiga el pánico post-querella, que se ocasiona cuando el querellado ve que las pruebas exculpatorias están dispersas, en distintos departamentos, proveedores, auditores, gestores, abogados… o no existen.

La imagen de orden que ofrece la simple visualización de la aplicación y de los controles con sus evidencias asociadas es una prueba en sí misma de diligencia y de cultura de cumplimiento.

Finalmente, la empresa dispone de un arsenal de evidencias, que, sin ánimo de saturar al tribunal desde el punto de vista cuantitativo, permite realizar una selección de las más significativas y ofrecer, en una sola acta notarial, una estrategia de defensa robusta y eficaz, con el fin de conseguir el archivo de las actuaciones en la fase de instrucción.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

ARGUMENTO 13 – Creación de cortafuegos que ayuden a aislar la responsabilidad en los verdaderos autores del incumplimiento

Cada vez que en una empresa hacemos pruebas de estrés de controles o simulacros de querella, y analizamos hasta dónde llegaría la responsabilidad penal, comprobamos que los cortafuegos que supuestamente debían proteger a la persona jurídica, al órgano de administración, al órgano de compliance y a los directivos, no son tan robustos como parecían.

El problema no está en la fase de diseño, ya que como dicen, el papel lo aguanta todo, sino en la fase de implantación y ejecución de la estructura de control.

En la práctica es muy difícil aislar la responsabilidad y hacer que “cada palo aguante su vela”. Las obligaciones de control están interconectadas a través de una línea de delegaciones que muchas veces es imperfecta. Además, algunas facultades y sus consiguientes obligaciones de control son indelegables, de acuerdo con lo establecido en la Ley de Sociedades de Capital. Finalmente, la delegación puede crear un nuevo garante pero también puede ser insuficiente para liberar de responsabilidad al que delega el control o la función.

Por ello, el diseño y la creación de cortafuegos no debe ser un fin en sí mismo sino el resultado de la construcción de una robusta estructura de control realmente destinada a la prevención y detección de infracciones.

Pensemos que la creación de cortafuegos puede constituir en sí misma una maniobra de elusión de responsabilidad que será valorada negativamente por la acusación y por el tribunal. Se podría ver como una estrategia parecida a la del que se esconde tras la figura de un testaferro para concentrar en él toda la responsabilidad.

La concentración de la responsabilidad en una persona debe estar originada por la mala fe orientada a neutralizar los efectos del control por parte del autor del delito, y no por la mala fe orientada exclusivamente a la exculpación de los directivos a través del diseño de líneas de defensa de cartón piedra, tan irreales como ineficaces.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0

 

ARGUMENTO 12 – Aseguramiento de que ningún control quede sin asignar a un responsable

Es muy habitual en los proyectos de compliance encontrar controles sin asignar.

La existencia de un control sin asignar es un claro indicador de su ineficacia, ya que no es posible asegurar el cumplimiento de un objetivo de prevención de un riesgo si el control asociado no tiene un responsable que vele por su aplicación continuada.

La asignación de un control a su responsable lo convierte en propietario del control y ello significa que deberá dedicarse no solo a su implantación, sino también a la vigilancia de su aplicación, a su monitorización, a la ejecución de las acciones correctivas y de mejora y a la obtención de evidencias de la existencia, la idoneidad y la eficacia del control.

La asignación del control puede producirse asociándolo a un puesto de trabajo, a una función o a una persona concreta. En los tres casos, el control deberá figurar en una parte destacada de la descripción del puesto de trabajo (DPT o job description) del responsable del control.

La asignación del control también puede estar prevista en una norma, en la etapa de un proceso o en un procedimiento.

En nuestra aplicación  Compliance 3.0 cada control debe estar asociado a un responsable y cada responsable debe estar asociado a una DPT y a la etapa concreta de un proceso.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.

Ver las principales funciones de la aplicación Compliance 3.0