02 Jul

Fundamentos del Compliance

Compliance consiste en establecer políticas y procedimientos para garantizar que una empresa actúe conforme a: la ley, las normativas aplicables y sus propias políticas internas. Busca fomentar una cultura de cumplimiento entre empleados, directivos y socios. Compliance significa Cumplir normas.

Riesgo de compliance: Posibilidad de sufrir sanciones, pérdidas o daño reputacional por incumplimiento legal, normativo o ético.

Norma: Regla que se debe seguir o a la que se deben ajustar las conductas, tareas, actividades…

Ética Corporativa y Cumplimiento Normativo

¿Por qué la ética corporativa y el cumplimiento normativo deben ir de la mano?

  • Motivos legales:

Muchos Códigos de Buen Gobierno incluyen la ética como parte esencial del cumplimiento:

  • UK: el Consejo debe establecer cultura, valores y ética.
  • Alemania: se exige ir más allá del cumplimiento legal.
  • España (CNMV): se recomienda una política de RSC que incluya ética y conducta empresarial.

Legislaciones como la Circular 1/2016 de la Fiscalía (España) o las US Sentencing Guidelines destacan la cultura ética como parte del sistema de Compliance.

  • Alineación de valores:

Misión y visión empresarial suelen incorporar principios éticos.

Sin ética, el Compliance es superficial e ineficaz («cumplir por cumplir»).

La ausencia de cultura ética dificulta la adaptación ante nuevos riesgos o cambios normativos.

El daño reputacional es mayor si se demuestra que “se podría haber hecho más”.

Valor añadido del Compliance

Más allá de la ley, un sistema eficaz genera beneficios como:

  • Transparencia
  • Comportamiento ético
  • Protección reputacional
  • Generación de confianza
  • Reducción de sanciones y delitos
  • Lucha contra el fraude y pérdidas internas

Esto se traduce en una ventaja competitiva, ya que la integridad se convierte en un diferenciador clave en el mercado.

Responsabilidad Penal de la Persona Jurídica

Hasta el 24 de diciembre de 2010, las personas jurídicas no podían ser penalmente responsables. Solo respondían como responsables civiles subsidiarias, en virtud del aforismo latino societas delinquere non potest. Se consideraba que las personas jurídicas actuaban a través de personas físicas que respondían penalmente de manera individual.

Aunque las organizaciones no tienen capacidad de acción autónoma, se les puede atribuir responsabilidad penal cuando se produce un quebrantamiento del debido control interno.

Personas Jurídicas Penalmente Responsables

Existen tres grandes categorías:

  • Personas jurídicas privadas (sí responden penalmente)
    • Sociedades mercantiles (S.A., S.L., cooperativas).
    • Asociaciones, fundaciones, colegios profesionales, cámaras de comercio.
  • Personas jurídicas públicas (no todas responden penalmente)
    • Exentas:
      • Estado, comunidades autónomas, entidades locales.
      • Administraciones públicas institucionales, organismos reguladores, agencias públicas empresariales.
      • Organizaciones internacionales de Derecho Público.
      • Entidades con potestades públicas de soberanía o funciones administrativas.

      Esta exención no opera si se demuestra que la forma jurídica fue utilizada para eludir responsabilidad penal.

    • No exentas:
      • Sociedades mercantiles públicas que presten servicios de interés económico general.

      Únicamente se les pueden imponer penas de multa o intervención judicial.

  • Entidades sin personalidad jurídica (UTE, comunidades de bienes)
    • No se les puede atribuir responsabilidad penal directa, pero se les pueden aplicar consecuencias accesorias conforme al artículo 129 CP, tales como:
      • Clausura de locales,
      • Prohibición definitiva de actividades,
      • Intervención judicial, entre otras.

El concepto de beneficio directo o indirecto

No se identifica con el ánimo del autor, sino con la existencia objetiva de una ventaja para la entidad, incluso si es una mera expectativa. Esto incluye beneficios no económicos, como una mejora de posición frente a competidores o la subsistencia de la organización.

Penas y Sanciones

  1. Multa. Existen dos sistemas para determinar el importe de la multa:
  • Sistema de días-multa
    • La cuota diaria varía entre 30 y 5.000 euros.
    • Se establece atendiendo a la duración específica señalada en la parte especial del delito.
    • Se tienen en cuenta criterios como: situación económica, patrimonio, ingresos, obligaciones, entre otros (igual que en personas físicas).
    • El artículo 50.6 del Código Penal permite el pago fraccionado o aplazado, siempre que no exceda de dos años desde la sentencia firme.
  • Sistema proporcional
    • En función del beneficio obtenido o facilitado, del perjuicio causado, del valor del objeto o de la cantidad defraudada o indebidamente obtenida.

En caso de concurrencia de ambos sistemas en el mismo artículo, se aplicará la cuantía más elevada.

  1. Penas interdictivas

Pueden ser aplicadas potestativamente, aunque algunas son obligatorias en determinados delitos:

  • Disolución de la persona jurídica. Supone su desaparición definitiva (pena de “muerte jurídica”).
  • Suspensión de actividades. Hasta un máximo de 5 años (art. 33.7 c) CP).
  • Clausura de locales o establecimientos. No puede exceder de 5 años.
  • Prohibición de realizar determinadas actividades. Puede ser temporal (hasta 15 años) o definitiva. Afecta a las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito.
  • Inhabilitación para contratar con el sector público, obtener subvenciones, ayudas públicas o beneficios fiscales y de Seguridad Social.
  • Intervención judicial. Hasta un máximo de 5 años, para salvaguardar los derechos de trabajadores o acreedores.

Proceso Legal y Responsabilidad Penal

La instrucción del proceso corresponde al Juez de Instrucción. El enjuiciamiento depende de la pena: si es igual o inferior a cinco años, se encarga el Juez de lo Penal; si la pena es superior, actúa la Audiencia Provincial.

En delitos competencia de la Audiencia Nacional, la instrucción la realiza el Juez Central de Instrucción, y el juicio puede llevarlo el Juzgado Central de lo Penal (penas ≤5 años) o la Sala de lo Penal de dicha Audiencia (penas >5 años).

Respecto a la inviolabilidad domiciliaria, están protegidos los centros de dirección y los establecimientos que custodien documentos relevantes para la actividad. No tienen protección lugares de almacenamiento o áreas abiertas al público. El registro sin autorización judicial es posible en lugares no protegidos, con consentimiento o ante delito flagrante.

La citación de una persona jurídica se hace mediante el traslado escrito de los hechos y copia de la denuncia o querella. Debe designar un representante, abogado y procurador. Si no lo hace, se asignan de oficio, y el proceso continúa incluso si no hay representante.

Circular 1/2016 de la Fiscalía General del Estado

La Circular 1/2016 de la Fiscalía General del Estado establece los criterios para valorar la eficacia de los programas de Compliance conforme al artículo 31 bis del Código Penal, reformado por la Ley Orgánica 1/2015. Señala que las empresas deben contar con modelos reales y efectivos, no meramente formales (paper compliance), promoviendo una verdadera cultura ética corporativa donde el delito sea excepcional.

Entre los aspectos que evidencian un programa eficaz destacan:

  • Aplicación práctica del modelo, más allá de su mera existencia documental.
  • Impulso de una cultura ética que disuada el delito.
  • Apoyo claro de la Alta Dirección al sistema de cumplimiento.
  • Inclusión de criterios éticos en la gestión de personal.
  • Capacidad de reacción ante incumplimientos, mediante sanciones, revisiones y mejoras.
  • Documentación escrita de códigos de conducta, canales de denuncia y protocolos de diligencia debida.

La Circular recalca que lo esencial es la efectividad del modelo, no su formalización.

Sentencia 154/2016 del Tribunal Supremo

La Sentencia 154/2016 del Tribunal Supremo analizó por primera vez la responsabilidad penal de las personas jurídicas tras la reforma penal. El caso se centró en una red de tráfico de drogas en la que participaron administradores de varias empresas. Aunque no hubo unanimidad total entre los magistrados, se fijaron principios clave:

  • La responsabilidad penal de la empresa se basa en la falta de medidas adecuadas de control y supervisión.
  • Es esencial la existencia de una cultura de cumplimiento estructurada.
  • La posible exención de responsabilidad por tener un Compliance eficaz no es automática, y debe ser valorada por los jueces.
  • La carga de la prueba recae sobre la acusación, que debe demostrar la ineficacia del modelo de prevención.

Requisitos del Sistema de Gestión de Compliance Penal (Art. 31 bis.5 CP)

El artículo 31 bis.5 del Código Penal detalla los seis requisitos mínimos que debe tener un Sistema de Gestión de Compliance Penal (SGCP) eficaz:

  1. Identificación de actividades de riesgo: detectar en qué áreas podrían cometerse delitos.
  2. Protocolos de decisión y ejecución: establecer cómo se toman y ejecutan decisiones dentro de una cadena clara de responsabilidades.
  3. Modelos de gestión financiera: garantizar un control transparente del uso de los recursos económicos.
  4. Canales de denuncia: permitir la comunicación segura y confidencial de posibles irregularidades al órgano de supervisión.
  5. Sistema disciplinario: aplicar sanciones proporcionales ante incumplimientos, bajo responsabilidad de la dirección.
  6. Revisión y actualización: evaluar periódicamente el modelo, especialmente tras detectar fallos o cambios relevantes en la organización.

En conjunto, estos documentos refuerzan que el cumplimiento normativo debe ser una práctica integrada, efectiva y revisada, no una mera formalidad.

Marco de Referencia de Compliance

Un marco de referencia es un conjunto de directrices y principios estructurados que detallan cómo una organización puede mantenerse conforme a las normas legales, regulaciones y buenas prácticas aplicables.

En el ámbito del Compliance, un marco de referencia establece los estándares de cumplimiento relevantes, describe los procesos y procedimientos internos, e identifica los controles necesarios para garantizar que la organización actúa dentro del marco legal y ético.

Derecho de la Competencia

Objetivo: Garantizar libre competencia en beneficio del consumidor.

  • Prácticas prohibidas:
  • Cárteles (acuerdos de precios, reparto de clientes)
  • Restricciones verticales (fijación de precios de reventa, exclusividades)
  • Abuso de posición de dominio
  • Herramientas de control: Inspecciones («dawn raids»), Programas de clemencia
  • Protocolo de inspección: derecho a asesoría jurídica, control del acceso a la información, revisión del acta final.

Derecho Medioambiental

CP Art. 325-331: Delitos por daño grave o riesgo al medio ambiente (vertidos, residuos ilegales, etc.).

  • Directivas europeas aplicables (RAEE, residuos, impacto ambiental).
  • Responsabilidad penal de la empresa según el Art. 328 CP.
  • Compliance ambiental:
    • Políticas documentadas
    • Auditorías y revisiones
    • Integración en el SGCP

Derechos de los Trabajadores y PRL

Art. 318 CP: NO hay RPJ por delitos laborales → solo se imputa a personas físicas responsables (administradores o encargados).

  • Sin exención por Compliance Penal (no aplica el art. 31 bis).
  • Sin embargo, la gestión de riesgos laborales (PRL) debe integrarse en el SGCP:
  • La Ley 31/1995 de PRL y RD 171/2004 ya anticipaban un modelo de gestión del cumplimiento.
  • La Norma UNE 19601 refuerza este enfoque integrado.

El Programa de Compliance

El Programa de Compliance es el documento que establece cómo una organización lleva a cabo los compromisos asumidos en su Política de Compliance. Define el grado de cumplimiento normativo que la organización quiere alcanzar, en coherencia con sus valores, misión, estrategia y principios.

Aunque existen distintos marcos de referencia, todos comparten una estructura común basada en los siguientes elementos clave:

  • Liderazgo y cultura de Compliance: El compromiso debe partir de la alta dirección (tone from the top) e integrarse en todos los niveles de la organización.
  • Función de Compliance: Es recomendable contar con un responsable o unidad de Compliance que coordine y supervise las acciones de cumplimiento.
  • Evaluación de riesgos: Identificar y valorar los riesgos permite priorizar medidas y prevenir incumplimientos.
  • Políticas y controles: Se deben implantar procedimientos y controles eficaces, documentados y adaptados a los riesgos detectados.
  • Comunicación, formación y sensibilización: Todo el personal debe conocer las normas y riesgos, mediante formación continua y campañas de sensibilización.
  • Supervisión y verificación: El cumplimiento debe revisarse de forma periódica y documentada, asegurando su efectividad.
  • Consecuencias ante incumplimientos: Deben aplicarse medidas disciplinarias o correctivas ante cualquier infracción detectada.

Liderazgo en Compliance

El compromiso real del órgano de administración y la alta dirección es imprescindible para que el sistema de Compliance funcione. Este liderazgo debe ser visible y formalizado, por ejemplo, mediante un Código Ético. En grandes empresas, el órgano de administración suele aprobar las políticas generales, mientras que la alta dirección se encarga de su implantación operativa, incorporándolas a los procedimientos y procesos internos.

La norma UNE 19601 establece los requisitos específicos que deben cumplir tanto el órgano de gobierno como la alta dirección en relación con el liderazgo y el compromiso en Compliance penal.

Requisitos según UNE 19601

Órgano de gobierno:

  • Establecer el cumplimiento como valor esencial.
  • Aprobar la política de Compliance penal.
  • Asignar recursos suficientes.
  • Evaluar periódicamente el sistema.
  • Designar un órgano de Compliance independiente.
  • Establecer procedimientos legales y éticos.

Alta dirección:

  • Implementar el sistema en toda la organización.
  • Integrarlo en los procesos internos.
  • Garantizar recursos y comunicación efectiva.
  • Promover mejora continua y participación.
  • Proteger a denunciantes de buena fe.

Política de Compliance Penal

  • Prohíbe la comisión de delitos.
  • Reduce el riesgo penal.
  • Establece objetivos claros y medibles.
  • Refuerza el compromiso con la legalidad y la mejora.
  • Debe comunicarse y ser accesible a todos.

Política vs. Sistema de Gestión

Política de Compliance: Intención formal de cumplir.

Sistema de gestión de Compliance: Conjunto de medios y procedimientos para cumplir esa intención.

Cultura Corporativa y Cultura de Cumplimiento

La cultura corporativa es el conjunto de creencias, valores, costumbres y prácticas que forman la identidad de una organización, reflejando cómo hace las cosas. La cultura de cumplimiento es un concepto complejo. No siempre una empresa con programa de compliance tiene realmente una cultura de cumplimiento, ni viceversa. Es un error asumir automáticamente que un programa de compliance implica cultura organizativa de cumplimiento. A veces, el programa se implanta para corregir la ausencia de esta cultura.

Reflexiones sobre la Cultura de Cumplimiento

El artículo «La cultura de cumplimiento, un concepto vacío» de Bernardo del Rosal señala que:

  • No existe acuerdo sobre qué función jurídica debe tener la cultura de cumplimiento ni quién debe probar su existencia.
  • La idea de una “voluntad colectiva” de cumplir con la ley es difícil de definir y problematiza el derecho penal, que no distingue entre cumplimiento por convicción o por coerción.
  • El derecho penal es un mecanismo formal para garantizar la convivencia social, no un instrumento para la perfección ética.

Se señala además que comparar la cultura de cumplimiento con conductas individuales de vida es erróneo, pues el derecho penal juzga la conducta concreta, no la ética personal o colectiva. El compliance moderno tiene raíces en el common law, y su objetivo principal es que las empresas demuestren una diligencia mínima para evitar o mitigar responsabilidades penales.

UNE 19601: Elementos de Apoyo para la Cultura de Compliance

La norma UNE 19601 destaca varios elementos para fomentar una cultura de cumplimiento sólida:

  • Ejemplo desde arriba: La dirección debe liderar con el ejemplo y establecer estándares claros de conducta.
  • Aplicación coherente: Tratar igual todos los casos, sin importar el rango o puesto.
  • Política activa: La política de Compliance penal debe estar vigente y activamente implementada.
  • Evaluaciones previas: Comprobar la idoneidad ética antes de contratar.
  • Formación continua: Implantar programas regulares de formación y orientación en Compliance.
  • Comunicación constante: Mantener canales abiertos y frecuentes sobre cumplimiento penal.
  • Reconocimiento y sanción:
    • Premiar públicamente el buen desempeño en Compliance.
    • Sancionar con rapidez y proporcionalidad ante incumplimientos.
  • Remuneración alineada: Vincular objetivos de cumplimiento a la retribución variable.

Medición de la Cultura de Compliance

Se considera sólida cuando:

  • El Compliance está integrado en la organización.
  • Los empleados entienden sus obligaciones.
  • Se corrigen riesgos detectados.
  • Se valora la función de Compliance.
  • Se fomenta la comunicación de inquietudes éticas.
  • Existe respeto y cooperación con el área de Compliance.

Evaluación de Riesgos de Compliance

La evaluación de riesgos es uno de los primeros pasos que debe realizar el Compliance Officer dentro de la organización. Es fundamental que el análisis de riesgos sea específico para cada organización, y no un documento genérico, dado que cada empresa varía en actividad, estructura, tamaño y área geográfica, entre otros factores.

Para comenzar, es necesario definir qué se entiende por riesgo. Según las normativas ISO, el riesgo se define como:

Efecto de la incertidumbre sobre los objetivos.

  • Nota 1: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede crear, abordar o resultar en oportunidades y amenazas.
  • Nota 2: Los objetivos pueden tener diferentes aspectos y categorías, y pueden aplicarse a distintos niveles.
  • Nota 3: El riesgo se expresa frecuentemente en términos de fuentes de riesgo, eventos potenciales, sus consecuencias y su probabilidad (entendida como «likelihood», no como probabilidad matemática).

Para orientar el análisis y la gestión de riesgos de Compliance, se utiliza como referencia la norma ISO 31000:2018 de gestión de riesgos. Directrices.

Proceso de Evaluación de Riesgos

Antes de gestionar riesgos, el Compliance Officer debe entender la organización:

  • Qué hace: actividad, servicios, procesos internos.
  • Quiénes están involucrados: partes interesadas, empleados, administraciones públicas.
  • Cómo opera: estructura jurídica y organizativa, toma de decisiones.
  • Marco normativo: leyes, regulaciones, normas internas y estándares internacionales.
  • Delimitación: definir qué riesgos se evaluarán y en qué áreas.
  • Identificación: detectar todos los escenarios que pueden afectar a la empresa.
  • Análisis: evaluar cada riesgo según probabilidad × impacto.
  • Tratamiento: decidir cómo actuar:
    • Evitar, reducir, compartir o asumir el riesgo.
    • Siempre con un umbral de riesgo aceptable (apetito de riesgo).

Controles de Compliance

  • Políticas: pautas generales (ej. conflictos de interés).
  • Procedimientos: cómo se aplican en el día a día.
  • Controles organizativos: segregación de funciones, accesos, cláusulas contractuales, etc.
  • Controles de procesos: doble firma, due diligence, validación de campañas.
  • Documentación: guardar evidencia de todos los controles aplicados.

Canales de Denuncia – Whistleblowing

Herramienta para reportar irregularidades.

  • Principios clave: confidencialidad, no represalia, protección de datos, verificación justa.
  • Fases: entrada > verificación > investigación > resultado.
  • Importancia cultural: fomentar que denunciar no es “chivatear”, sino actuar éticamente.
  • Regulaciones como la Directiva Europea y el Código Penal lo apoyan.

Supervisión y Verificación del Compliance

  • Plan de monitorización: qué revisar, cuándo y cómo.
  • Revisiones de compliance: planificación, trabajo de campo, conclusiones, informe y seguimiento.
  • Indicadores clave (KRI/KPI): denuncias, sanciones, reclamaciones, formación.
  • Feedback externo: quejas de clientes y partes interesadas también aportan valor.

Auditoría de Compliance

Una auditoría es un proceso sistemático que permite revisar y evaluar si una actividad cumple con reglas, normativas u objetivos establecidos. Aunque su práctica es antigua, se profesionalizó durante la Revolución Industrial, especialmente a partir de la Ley de Sociedades británica de 1862.

Tipos de auditoría según distintos criterios:

Según quién la realiza:

  • La auditoría interna la lleva a cabo un órgano que trabaja para la dirección de la empresa, aunque mantiene cierta independencia. Sirve para evaluar áreas internas, identificar problemas y proponer mejoras. Es una herramienta voluntaria, aunque puede ser realizada también por personas externas. Suele formar parte del modelo de gestión conocido como las tres líneas de defensa.
  • La auditoría externa la realiza un profesional completamente independiente, lo que aporta mayor credibilidad. Su participación es obligatoria en ciertos casos legales o regulatorios.

Según el tipo de entidad auditada:

  • Las auditorías pueden ser públicas o privadas. Las primeras se realizan sobre organismos del Estado, mientras que las segundas se enfocan en entidades privadas. No obstante, puede haber auditorías públicas sobre empresas privadas, como sucede con las inspecciones de Hacienda o de Trabajo.

Según lo que se evalúa:

  • La auditoría operativa se enfoca en revisar procesos administrativos y de gestión, valorando si son eficaces y eficientes. La de cumplimiento verifica si se siguen las normas internas, mientras que la de legalidad comprueba el respeto a las leyes. También existen auditorías sectoriales, que varían según la industria en la que opera la empresa.

Según su extensión:

Puede abarcar toda la organización, solo una parte o un aspecto muy específico.

Según cómo surgen:

Existen auditorías obligatorias, exigidas por ley (como las del artículo 31 bis del Código Penal), y otras voluntarias, que la empresa decide llevar a cabo por iniciativa propia o a pedido de terceros.

Auditorías y el artículo 31 bis del Código Penal:

Este artículo establece que las empresas deben revisar y mantener sus sistemas de compliance para garantizar su eficacia. La responsabilidad recae en el órgano de gobierno, aunque puede delegar la ejecución en el Compliance Officer, quien no debe auditar su propio trabajo. Estas auditorías pueden ser programadas (por ejemplo, trimestrales) o extraordinarias (ante cambios importantes).

Norma UNE 19601 y auditoría de compliance penal:

Esta norma se basa en el ciclo de mejora continua (Planificar, Hacer, Verificar, Actuar) y en principios de diligencia debida. Incluye anexos con recomendaciones sobre relaciones con socios de negocio, documentación del sistema y control de filiales. Para conservar la certificación, se exige una auditoría anual, hecha por un tercero o alguien que no esté involucrado en la gestión directa del sistema.

Control de proveedores y auditoría de terceros:

El control de proveedores es crucial, especialmente cuando se externalizan funciones críticas. Es necesario clasificar a los proveedores y vigilar especialmente a los más sensibles. La externalización conlleva riesgos como pérdida de control, problemas legales o actos de corrupción y fraude.

Responsabilidad penal de la empresa por actos de terceros:

Una empresa puede ser responsable penalmente por los delitos cometidos por representantes o personas bajo su supervisión, aunque no exista un contrato formal. Por ello, debe vigilar también a sus proveedores y colaboradores externos, incluyendo cláusulas éticas en los contratos y auditando las actividades más riesgosas, en especial en zonas propensas a la corrupción.

Requisitos del Compliance Officer

La norma UNE 19601 establece que el Compliance Officer es la figura responsable de garantizar que el Sistema de Gestión de Compliance Penal (SGCP) funcione de forma eficaz. Entre sus tareas principales se incluyen impulsar este sistema, supervisar su aplicación, fomentar la formación continua sobre cumplimiento normativo y asegurarse de que las funciones de compliance estén integradas en todos los niveles de la empresa. Además, debe establecer canales de comunicación seguros como el canal de denuncias, definir indicadores de rendimiento, identificar riesgos penales y revisarlos de forma periódica.

También debe garantizar que la organización disponga de los recursos necesarios para mantener el sistema de compliance, como herramientas y personal cualificado. En situaciones de riesgo o incumplimiento, debe informar directamente al órgano de gobierno y contar con acceso inmediato a este. Tiene la capacidad de solicitar colaboración de cualquier departamento.

Condiciones Estructurales para la Eficacia del Compliance Officer

Para que esta función sea eficaz, se deben cumplir cuatro condiciones estructurales:

  • Independencia, para evitar conflictos de interés y asegurar su autonomía frente a otras áreas operativas.
  • Autoridad, que implica tener capacidad de decisión e influencia reconocida dentro de la organización.
  • Recursos suficientes, como tiempo, herramientas adecuadas y un equipo con formación específica.
  • Responsabilidades bien definidas, documentadas oficialmente y aprobadas por la alta dirección.

El Compliance Officer debe ocupar una posición jerárquica elevada, con acceso directo al órgano de gobierno. Sus funciones deben estar claramente descritas en documentos formales como el Manual de Gobernanza de Compliance, y tener la autoridad necesaria para requerir colaboración de cualquier persona dentro de la organización.

Formación y Cultura Ética

El Código Ético de la empresa funciona como una guía para resolver dilemas morales y aplicar correctamente las normas. Además, la legislación penal exime de responsabilidad a la empresa si esta demuestra haber implementado modelos eficaces de prevención, lo cual incluye contar con una formación adecuada.

La formación también busca evitar la llamada “ceguera ética”, que ocurre cuando la presión interna provoca que se tomen malas decisiones. Para ello, es necesario fomentar una cultura basada en valores que facilite la toma de decisiones correctas y desaliente las infracciones.

Se menciona además la “teoría de los codazos” (nudge theory), que sostiene que pequeños cambios pueden generar grandes mejoras en el comportamiento. Un ejemplo es el aumento en el cumplimiento fiscal en Reino Unido tras enviar cartas recordatorias con mensajes sobre la mayoría de contribuyentes cumplidores.

Herramientas Formativas Más Frecuentes

  • Formación presencial: Debe contar con el respaldo de la alta dirección para que no se perciba como una imposición burocrática. Se recomienda usar métodos dinámicos como casos prácticos, debates sobre dilemas éticos y actividades participativas que involucren a toda la organización, por ejemplo, con campañas o material visual. Los contenidos comunes incluyen el Código Ético, gobernanza, gestión de riesgos y prevención penal.
  • Formación e-learning: Ofrece flexibilidad para aprender en tiempo y lugar, facilita la colaboración entre empleados dispersos geográficamente y suele ser más económica, ayudando a superar limitaciones presupuestarias.
  • Mensajes recordatorios: Se envían de forma periódica a través de intranets o portales internos, reforzando lo aprendido con mensajes breves y claros, manteniendo el compromiso continuo con el cumplimiento.
  • Folletos: Ideales para empleados con acceso limitado a medios electrónicos. Deben ser visuales y con mensajes sencillos para captar la atención y motivar.

Trazabilidad y Seguimiento de la Formación

Es fundamental recopilar evidencias que demuestren que la formación se ha realizado y ha llegado a los destinatarios. Esto incluye listas de asistencia, registros digitales, materiales entregados y utilizados durante las sesiones.

Para garantizar la integridad y validez de estos datos, se puede utilizar el sellado de tiempo, una técnica que certifica que cierta información existía en un momento determinado y no ha sido modificada desde entonces. Esta certificación es realizada por una autoridad externa de confianza y refuerza la credibilidad del sistema de prevención.

Investigaciones Internas

Cuando una empresa recibe una denuncia o detecta indicios de conducta ilegal o incumplimiento de sus políticas internas, tiene el deber de investigar. El objetivo principal es aclarar los hechos y, si procede, aplicar medidas correctivas.

Antes de iniciar una investigación profunda, es necesario realizar una evaluación inicial para determinar si existen motivos suficientes. No investigar o ignorar denuncias conocidas puede implicar responsabilidad para la empresa. Si se decide no continuar con la investigación, es recomendable dejar constancia escrita que explique esta decisión. Tampoco debe descartarse una denuncia solo porque a simple vista parezca infundada.

¿Quién investiga?

Una vez se justifica la investigación, la empresa debe decidir quién será el encargado de llevarla a cabo. Esta persona puede variar según la naturaleza y complejidad del caso. Los investigadores deben actuar con rapidez y profundidad, siempre respetando los derechos de los implicados y siguiendo el Código de Conducta interno.

En organizaciones grandes o con recursos limitados, puede ser recomendable contratar a investigadores externos para garantizar imparcialidad y profesionalidad. Según la Ley de Seguridad Privada, los detectives privados están autorizados para investigar y obtener pruebas en ámbitos económicos, laborales y sociales, entre otros.

Cumplimiento de la Ley y del Convenio Colectivo

La Constitución Española protege derechos fundamentales como el honor, la intimidad personal y familiar, y la propia imagen. La Ley Orgánica 1/1982 prohíbe las intromisiones ilegítimas, que incluyen, por ejemplo, la colocación de dispositivos para grabar la vida privada o la divulgación de información personal sin consentimiento.

Protección de Datos Personales (RGPD)

Derecho fundamental que permite a toda persona física controlar sus datos personales: decidir qué datos compartir, conocer quién los usa y para qué, oponerse a su uso indebido. No es absoluto, debe equilibrarse con otros derechos (RGPD).

Según el Preámbulo de la LOPDP y GDD (Sentencia 94/1998 del Tribunal Constitucional):

  • Derecho que garantiza el control sobre cualquier dato personal y su uso.
  • Busca evitar el tráfico ilícito o el uso lesivo para la dignidad y derechos de las personas.

Según el Considerando 4 del RGPD:

  • El tratamiento de datos debe estar al servicio de la humanidad.
  • No es un derecho absoluto: debe equilibrarse con otros derechos fundamentales.
  • Se rige por el principio de proporcionalidad.

Cambio de Modelo con el RGPD

La aprobación del RGPD supone un cambio de modelo: Se pasa de un sistema centrado en el control del cumplimiento a uno basado en la responsabilidad proactiva, que exige:

  • Valoración previa del riesgo por parte del responsable o encargado del tratamiento.
  • Adopción de medidas adecuadas según dicha valoración.

Elementos concretos del nuevo modelo:

  • Protección de datos desde el diseño y por defecto.
  • Análisis de riesgos.
  • Registro de tratamientos.
  • Evaluaciones de impacto.
  • Designación de Delegado de Protección de Datos (DPD).

Objeto del RGPD

  • Establecer normas sobre:
    • La protección de las personas físicas en el tratamiento de datos personales.
    • La libre circulación de dichos datos.
  • Proteger los derechos y libertades fundamentales, en especial el derecho a la protección de datos personales.
  • La libre circulación de datos en la UE no puede restringirse ni prohibirse por motivos relacionados con dicha protección.

Ámbito Material del RGPD

Se aplica a:

  • Tratamiento total o parcialmente automatizado de datos personales.
  • Tratamiento no automatizado de datos personales incluidos o destinados a ser incluidos en un fichero.

No se aplica a:

  • Actividades fuera del ámbito del Derecho de la Unión.
  • Actividades de los Estados miembros dentro del capítulo 2, título V del TUE.
  • Actividades personales o domésticas por parte de una persona física.
  • Actividades de autoridades competentes para fines de: prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección y prevención frente a las amenazas para la seguridad pública.

Ámbito Territorial del RGPD

Se aplica a:

  • Tratamiento de datos personales realizado en el contexto de establecimientos del responsable o encargado en la UE, aunque el tratamiento se haga fuera de la UE.
  • Tratamiento de datos personales de personas en la UE por responsables/encargados no establecidos en la UE, si:
    1. Ofrecen bienes o servicios a esas personas (con o sin pago).
    2. Controlan su comportamiento dentro de la UE.
  • Tratamiento por responsables no establecidos en la UE pero en territorios donde el Derecho de un Estado miembro es aplicable según el Derecho internacional público.

Definiciones Clave del RGPD

  • Datos personales: Información sobre una persona física identificada o identificable (interesado). Se considera identificable si se puede determinar su identidad, directa o indirectamente.
  • Datos genéticos: Datos personales sobre características genéticas heredadas o adquiridas que proporcionan información única sobre la fisiología o salud, obtenidos mediante análisis biológicos.
  • Datos biométricos: Datos personales obtenidos mediante tratamiento técnico específico sobre características físicas, fisiológicas o conductuales para identificar o confirmar la identidad (ej. imágenes faciales, huellas dactilares).
  • Datos relativos a la salud: Datos personales sobre la salud física o mental, incluida la atención sanitaria, que revelen el estado de salud.
  • Destinatario: Persona física o jurídica, autoridad pública, servicio u organismo a quienes se comunican datos personales, incluso si no son terceros. No se consideran destinatarios las autoridades públicas que reciben datos en investigaciones legales según Derecho de la UE o Estados miembros.
  • Tercero: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, responsable, encargado o personas autorizadas para tratar datos bajo autoridad directa.
  • Representante: Persona física o jurídica establecida en la UE, designada por el responsable o encargado para representarle en obligaciones RGPD (art. 27).
  • Elaboración de perfiles: Tratamiento automatizado de datos personales para evaluar aspectos de una persona física, como: Rendimiento profesional, Situación económica, Salud, Preferencias e intereses, Fiabilidad, comportamiento, ubicación o movimientos.
  • Seudonimización: Tratamiento que impide atribuir datos a un interesado sin información adicional, la cual debe protegerse separadamente.
  • Fichero: Conjunto estructurado de datos personales accesibles según criterios específicos, puede ser centralizado, descentralizado o distribuido funcional o geográficamente.
  • Establecimiento principal:
    • Para responsables con varios establecimientos en la UE: administración central (salvo que otro establecimiento tome decisiones clave).
    • Para encargados con varios establecimientos: administración central o establecimiento con principales actividades de tratamiento.
  • Empresa: Persona física o jurídica que realiza actividad económica, sin importar su forma mercantil (incluye sociedades o asociaciones con actividad económica regular).
  • Grupo empresarial: Conjunto formado por una empresa que ejerce control y las empresas que controla.

Principios Relativos al Tratamiento de Datos Personales (RGPD)

  • Licitud, lealtad y transparencia: Los datos personales deben tratarse de manera legal, justa y transparente para el interesado.
  • Limitación de la finalidad: Los datos deben recogerse para fines específicos, explícitos y legítimos, y no usarse después para otros fines incompatibles.
  • Minimización de datos: Solo se deben tratar los datos adecuados, pertinentes y limitados a lo necesario para el propósito.
  • Exactitud: Los datos deben ser correctos y actualizados cuando sea necesario. Se deben corregir o eliminar los datos inexactos sin demora.
  • Limitación del plazo de conservación: Los datos se conservan solo el tiempo necesario para cumplir la finalidad. Pueden conservarse más tiempo para: Archivo en interés público, Investigación científica o histórica, Fines estadísticos (art. 89.1 RGPD). Siempre garantizando la protección de derechos del interesado mediante medidas técnicas y organizativas.
  • Integridad y confidencialidad: Se debe garantizar la seguridad adecuada de los datos, protegiéndolos contra: Tratamientos no autorizados o ilegales, Pérdida, destrucción o daños accidentales. Estas medidas continúan incluso después de finalizar la relación con el responsable o encargado.
  • Responsabilidad proactiva: El responsable debe: Cumplir todos estos principios, Poder demostrar el cumplimiento, Evaluar riesgos y adoptar medidas preventivas.

Licitud del Tratamiento de Datos (RGPD)

El tratamiento solo es lícito si se cumple al menos una de estas condiciones:

  • Consentimiento del interesado:
    • Consentimiento libre, específico, informado e inequívoco.
    • Puede darse por declaración o acción afirmativa.
    • El responsable debe demostrar que el consentimiento fue otorgado.
    • Si se incluye en declaraciones conjuntas, debe ser claramente diferenciable.
    • El interesado puede retirar el consentimiento en cualquier momento, sin afectar la legalidad del tratamiento previo.
    • Debe informarse sobre la posibilidad de retirar el consentimiento antes de otorgarlo.
    • No debe condicionarse la ejecución de un contrato al consentimiento de datos innecesarios.
  • Ejecución de un contrato o medidas precontractuales.
  • Cumplimiento de obligación legal.
  • Protección de intereses vitales del interesado u otra persona física.
  • Cumplimiento de una misión en interés público o ejercicio de poderes públicos.
  • Satisfacción de intereses legítimos del responsable o de un tercero:
    • Siempre que no prevalezcan los derechos y libertades del interesado, especialmente si es un menor.
    • No se aplica a autoridades públicas en ejercicio de funciones públicas.

Derechos del Interesado (RGPD)

El RGPD otorga a los interesados una serie de derechos sobre sus datos personales:

  • Gratuidad: El ejercicio de los derechos es gratuito, salvo solicitudes repetitivas o excesivas, que pueden implicar una tasa razonable o denegación.
  • Plazo: La respuesta debe darse en un plazo máximo de un mes, prorrogable dos meses más por complejidad.
  • Medios: El interesado puede usar diversos canales para ejercer sus derechos, los cuales deben ser accesibles y no limitarse por la elección del medio.
  • Representante: Los derechos pueden ejercerse personalmente o mediante representante legal o voluntario.
  • Encargado: Puede tramitar solicitudes si está autorizado en el contrato.

Derecho de Acceso

Permite al interesado saber si se están tratando sus datos personales y acceder a ellos. También puede solicitar información sobre:

  • Las finalidades del tratamiento.
  • Las categorías de datos tratados.
  • Los destinatarios o categorías de destinatarios, especialmente si están en terceros países.
  • El plazo previsto de conservación o los criterios para determinarlo.
  • La existencia de derechos como rectificación, supresión, limitación u oposición.
  • La posibilidad de presentar una reclamación ante una autoridad de control.
  • El origen de los datos, si no se obtuvieron directamente del interesado.
  • La existencia de decisiones automatizadas, incluida la lógica aplicada y las consecuencias previstas.

Derecho de Rectificación

Permite corregir datos personales inexactos sin demora injustificada. También puede solicitar que se completen datos incompletos, incluso mediante una declaración adicional. Es necesario indicar qué datos se desean rectificar y, en su caso, aportar pruebas.

Derecho de Supresión (Derecho al Olvido)

El interesado puede solicitar la eliminación de sus datos cuando:

  • Ya no sean necesarios para los fines por los que fueron recogidos.
  • Retira su consentimiento y no existe otra base legal para el tratamiento.
  • Se opone al tratamiento y no hay motivos legítimos prevalentes.
  • Los datos han sido tratados de forma ilícita.
  • Existe una obligación legal de suprimirlos.
  • Los datos se recopilaron en el contexto de servicios ofrecidos a menores.

Si los datos fueron publicados, el responsable debe informar a otros responsables del tratamiento para que eliminen cualquier copia o enlace. En el caso del marketing directo, pueden conservarse datos mínimos identificativos para evitar futuros envíos.

Derecho a la Limitación del Tratamiento

Puede solicitarse la limitación del tratamiento en estos casos:

  • Se impugna la exactitud de los datos, mientras se verifica.
  • El tratamiento es ilícito, pero se prefiere limitarlo en lugar de suprimir los datos.
  • El responsable ya no necesita los datos, pero el interesado los requiere para formular reclamaciones.
  • El interesado se ha opuesto y se está comprobando si los intereses legítimos del responsable prevalecen.

Durante la limitación, los datos solo pueden tratarse con consentimiento, para reclamaciones, protección de derechos o por razones de interés público.

Derecho a la Portabilidad

Permite recibir los datos personales en un formato estructurado, de uso común y lectura mecánica. También puede solicitar que se transmitan directamente a otro responsable, si es técnicamente posible.

Derecho de Oposición

El interesado puede oponerse al tratamiento de sus datos cuando este se base en el interés público o en intereses legítimos del responsable.

El responsable debe cesar el tratamiento, salvo que demuestre motivos legítimos imperiosos que prevalezcan sobre los derechos del interesado.

En el caso del marketing directo, la oposición siempre debe ser atendida y el tratamiento debe cesar de inmediato. Esta posibilidad debe ser comunicada claramente desde el primer contacto con el interesado.

Tratamiento de Datos Personales en el Trabajo

El tratamiento de datos personales en el trabajo está regulado para proteger los derechos y libertades de los trabajadores, mediante normas específicas establecidas por ley o convenios colectivos.

Delegado de Protección de Datos (DPD)

Designación del DPD:

  • Debe elegirse según sus cualidades profesionales, especialmente:
    • Conocimientos especializados en Derecho y práctica en protección de datos.
    • Capacidad para cumplir las funciones del artículo 39 del RGPD.
  • El cumplimiento de requisitos (artículo 37.5 RGPD) puede acreditarse mediante:
    • Certificaciones voluntarias.
    • Titulación universitaria que demuestre conocimientos especializados en protección de datos.

Obligación de designar un DPD:

  • Cuando el tratamiento lo realice una autoridad u organismo público, excepto tribunales en función judicial.
  • Cuando las actividades principales impliquen una observación habitual y sistemática de interesados a gran escala.
  • Cuando el tratamiento principal consista en datos sensibles (artículo 9 RGPD) o datos sobre condenas e infracciones penales (artículo 10 RGPD) a gran escala.

Etiquetas: , , , , , , ,

Deja un comentario