Autor: Juan Bosco, Aogado y MBA. Consultor y Auditor de sistemas de gestión de compliance y antisoborno. Perito Judicial en Compliance. Compliance Officer.
Fuente: Legal & Compliance
Sanciones millonarias para BBVA y Caixabank por su gestión en la protección de datos.
No hay empresa grande ni infracción pequeña y viceversa. Todas las organizaciones y riesgos tienen que ser contemplados en el plan de compliance y este aplicarse con el objeto de asentar la cultura ética en la organización.
El pasado 13 de Enero la Agencia Española de Protección de Datos (AEPD) ha publicado dos resoluciones sobre sendos procedimientos (PS/00070/2019 y PS/00477/2019) cursados contra instituciones bancarias, y no de las más pequeñas puesto que van referidos al Banco Bilbao Vizcaya Argentaria BBVA y a CAIXABANK.
Ambas acarrean sanciones importantes, de cinco y seis millones de euros para cada entidad, y en ambos casos por el mismo tipo de infracción, en relación con la información que debe de facilitarse sobre los datos, obtenidos o no del interesado, y respecto a la licitud del tratamiento.
Y no se trata tan solo de si se da o no la información, sino de cómo esta se proporciona, de si se justifica o no correctamente el uso de la misma, y de si se da opción, en qué momento y cómo al usuario para determinar el alcance o límite del uso que la entidad pueda hacer de los datos. Y en consecuencia un empleo abusivo de los mismos. Un “aviso a navegantes” para muchas empresas o grupos de empresas con distintas líneas de actividad, filiales, delegaciones…
Como ya señalamos en su momento todo tratamiento de datos personales debe ser lícito pero además leal y transparente.
Sin embargo el objeto a hora no es fijarse en el detalle respecto a la protección de datos. Ahí están los enlaces a las resoluciones de la AEPD para quienes tengan interés en consultarlos.
Tomo estas resoluciones con otra finalidad: hacer ver la importancia que tienen TODOS los aspectos relacionados con el compliance y para TODAS las organizaciones.
La Ley 10/2010 de prevención del blanqueo de capitales introdujo la responsabilidad penal de la persona jurídica en el caso de la comisión de este tipo de delitos, estableciendo el alcance subjetivo, por lo tanto limitándose, en su artículo 2, a quienes entiende el legislador que están expuestos, y requiriendo la adopción de medidas para prevenirlos y atajarlos, precisadas en el Reglamento que desarrolla la Ley (RD 304/2014).
La modificación del código penal (LO 1/2015) amplía la responsabilidad penal a prácticamente la totalidad de las personas jurídicas, dejando a salvo tan solo a las administraciones, agencias y entidades públicas empresariales.
Amplia a su vez el “catálogo de delitos”, como lo denomina la Fiscalía General del Estado (Circular 1/2016), manteniendo los de blanqueo de capitales y financiación del terrorismo, pero extendiendo el número y tipo de delitos por los que puede ser imputada penalmente la persona jurídica.
El esfuerzo y recursos puestos por las entidades financieras para dar cumplimiento a la Ley 10/2010, del Reglamento y de las disposiciones del SEPBLAC es evidente, pero estas dos resoluciones de la AEPD revelan que puede haber otros resquicios por los que se caiga en irregularidades e incumplimientos.
Un programa de cumplimiento tiene que establecerse con amplitud de miras, diría que hasta con imaginación, para descubrir, analizar, evaluar y prevenir los posibles riesgos con el fin de aplicar y ajustar las medidas necesarias.
El plan de compliance de la organización puede ir más allá de la mera prevención de la responsabilidad penal, incluso trascender a la comisión de delitos, en la empresa se pueden cometer también infracciones de normas que sin llegar a ser delito lleven aparejadas sanciones administrativas.
Se pueden además estar produciendo situaciones de fraude interno perjudiciales también para la empresa, no solo para su economía, sino para su clima laboral.
Recordemos que “los modelos de organización y gestión o corporate compliance programs no tienen por objeto evitar la sanción penal de la empresa sino promover una verdadera cultura ética empresarial” (1) y esto requiere compromiso y un amplio despliegue en la organización.
El camino a seguir es la formación, la información y la comunicación a todos los niveles y a cada uno según su actividad y responsabilidades.
En eso estamos. Un buen diagnóstico de cómo debe de ser el modelo tiene que ir acompañado de un plan de difusión interno, y para los socios de negocio, y de una dotación de recursos que lo hagan viable.
Y como aprecia la Fiscalía General del Estado en su circular, no existe inconveniente alguno en que una gran compañía pueda recurrir a la contratación externa de las distintas actividades que la función de cumplimiento y señala: “incluso resultarán tanto más eficaces cuanto mayor sea su nivel de externalización, como ocurre por ejemplo con la formación de directivos y empleados“.(2)
Nada mejor que contar con quien tiene experiencia en sistemas de gestión de compliance para colaborar con la organización en la preparación y desarrollo de un plan de formación eficaz, adecuado a sus objetivos y con la mejor relación entre presupuesto y resultados.
(1) Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015. Pág. 39.
(1) Ibidem. Pág. 48.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación