José Luis Colom: Compliance Legal y Autoregulación

21 septiembre, 2015 por Govertis Blog 0 comentarios

José Luis Colom: Compliance Legal y Autoregulación

Jose Luis Colom

Resumen: La cada vez mayor complejidad de las empresas, y los mercados transnacionales donde éstas operan, provoca que al Estado le sea difícil legislar respecto a los nuevos modelos de negocio que van apareciendo, a la vez que inspeccionar su cumplimiento. La autorregulación se muestra como una posible solución a este problema, no exenta de dificultades.

Índice

La autorregulación en la persona jurídica

1.1 Los partidarios de la autorregulación

1.2 Los escépticos de la autorregulación

1.3 Una posición conciliadora

La autorregulación en forma de programas de cumplimiento penal
Los códigos de conducta

3.1 Introducción

3.2 Fomento de los códigos de conducta por la UE

3.3 Legislación y era digital

3.3.1. Primer ejemplo (Legado digital)

3.3.2. Segundo ejemplo (Internet de las cosas – IoT)

3.4 Exigibilidad de los códigos de conducta

Tipología de códigos de conducta
Códigos de conducta en Corporate Compliance
Códigos de conducta en protección de datos
Anexo – Códigos de conducta en los estándares internacionales

7.1 COSO-II ERM

7.2 ISO 19600:2014, Sistema de Gestión del Cumplimiento

Bibliografía consultada
Derechos de autor
La autorregulación en la persona jurídica

La autorregulación podría llegar a entenderse como la devolución de parte de la autoridad reguladora del Estado a los actores del sector privado. [1] Podríamos llegar a definirla como una forma de autoimposición voluntaria de normas o códigos de conducta por parte de las organizaciones.

La autorregulación puede manifestarse en la PJ de diferentes maneras, de las que paso a citar algunas:

Ética empresarial
Responsabilidad Social Corporativa (RSC)
Buen gobierno
Cumplimiento

1.1 Los partidarios de la autorregulación

Los partidarios de la idea de la autorregulación por parte de las personas jurídicas (en adelante PJ), afirman que ofrece ventajas significativas sobre la regulación estatal directa. Concretamente:

En algunos modelos, fomenta valores compartidos entre los actores privados.
Cultiva su sentido de participación en la elaboración de normas que reflejen esos valores, viendo a éstas con sentido de pertenencia.
Facilita el cumplimiento voluntario de las normas de libre adscripción resultantes.

En consecuencia, tienden a subrayar que la autorregulación es considerablemente más flexible que las normas jurídicas, ya que está integrada en el contexto actual y real en el que se mueven las PJ.

1.2 Los escépticos de la autorregulación

Los escépticos, en cambio, argumentan que no se puede confiar en las empresas que persiguen el beneficio privado, pese a ser lícito y legítimo, para regular sus propias actividades, confiando en que favorezcan el fomento de objetivos deseables públicamente. Desde esta perspectiva, apuntan la posibilidad de que la autorregulación del sector privado no sea más que una mera cortina de humo o maquillaje.

1.3 Una posición conciliadora

Buscando una posición conciliadora, cabe decir que lo que se pretende con la responsabilidad penal de la persona jurídica (RPPJ en adelante), la ratio legis del artículo 31 bis CP, por ejemplo, no es transferir poder regulatorio al sector privado, sino que el coste de aplicar el Derecho Penal vigente, regulado por el Estado, lo asuma la propia empresa con total libertad de medios y basándose en el riesgo real del contexto, interno y externo, donde ésta actúa. [3] En consecuencia, cualquier modelo de cumplimiento penal implantado en la empresa, únicamente pretende incorporar en la PJ exigencias de prevención de delitos regulados en el Código Penal. [4]

Desde este nuevo punto de vista, y a stricto sensu, quizá ya no estaríamos hablando de autorregulación y sí de auto-aplicación o libre-aplicación.

Es evidente que la PJ al elaborar, refrendar y promulgar un Código de Conducta propio, puede establecer disposiciones que superen por restrictivas incluso al legislador público, pero que presumiblemente en nada afectarán al Derecho penal ni a la RPPJ. A lo sumo si estas disposiciones, consideradas por algunos soft-law o instrumentos cuasi-legislativos, se popularizan y demuestran eficaces pueden llegar, lege ferenda, a ser incorporados el día de mañana al ordenamiento jurídico por el legislador.

Esto último, y en jurisdicciones o ámbitos diferentes del penal, viene avalado por el interés mostrado por la Unión Europea que está impulsando en los últimos años la suscripción empresarial de códigos de conducta. Lo podemos ver en el ámbito de la llamada Responsabilidad Social Corporativa (RSC) o en los conocidos como Códigos Tipo en protección de datos.

No quiero acabar este apartado sin referirme a la mayor amplitud que puede llegar a tener el término “Compliance” para trascender estrictamente a la jurisdicción penal y aprovechar la estructura del programa de cumplimiento para regular y prevenir adicionalmente otra tipología más amplia de ilícitos.

La autorregulación en forma de programas de cumplimiento penal

El vigente Código Penal español, reformado según la LO 1/2015 [2], de 30 de marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, dispone en su artículo 31 bis 2: “2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;(…)”.

Podemos incardinar dentro del concepto de “autorregulación”, con las prevenciones abordadas en el apartado anterior, la adopción y ejecución de modelos de organización auto-vigilados y auto-controlados en el seno de la persona jurídica, especialmente si son eficaces y modelan la voluntad de administradores, empleados y colaboradores.

Así, un programa de Compliance o, mejor aún, un CMS o Sistema de Gestión del Cumplimiento, uno de cuyos elementos sustanciales es la elaboración y promulgación de un Código de Conducta, tendría su espacio aquí. Podríamos llegar a considerar que la falta de fidelidad al Derecho por parte de una PJ, viene dada por una falta de autorregulación de la empresa para evitar un defecto de organización que no impida la comisión de un delito en su seno.

No obstante, más que hablar de autorregulación pura, deberemos hablar de enforced self-regulation o autorregulación impuesta. Ésta la definiremos como la incorporación a la PJ de la autorregulación, subordinada a los intereses del Estado que ha legislado la RPPJ, aunque dejando cierto grado de libertad.

El Estado puede conservar, como en el caso de España, su potestad de supervisión y sanción, materializándola especialmente cuando tiene conocimiento de un hecho antijurídico en el seno de la PJ que pertenezca al numerus clausus de delitos susceptibles de ocasionar RPPJ.

Los códigos de conducta

3.1 Introducción

Al hablar de códigos de conducta nos podemos referir a reglas de comportamiento no exigidas por la ley, pero voluntariamente establecidas por los interesados, quienes dan publicidad a su compromiso de actuar conforme a esas reglas, siempre armonizadas con el Derecho aplicable. Con dicho modo de proceder se suscita en terceros la confianza de que actuarán de acuerdo a las reglas que hacen públicas. [5]

Esa confianza en quién se somete a los “códigos de conducta”, genera en el tráfico comercial una reputación que puede mover a terceros a preferir establecer relaciones empresariales con quienes los suscriben.

Con los códigos de conducta una organización, o un conjunto de ellas, dan a conocer a terceros prácticas, principios o derechos que se comprometen a respetar unilateralmente.

Muchas veces se presentan como códigos éticos, debido a que, por lo general, no son jurídicamente exigibles, obedeciendo más al mundo de la ética que al de la normatividad jurídica. No obstante, además del contenido ético pueden contener normas y procedimientos que regulen el cómo, cuándo y qué hacer en aquellos casos que un trabajador o directivo de empresa descubra o intervenga en algún hecho que pudiera ser constitutivo de algún tipo de responsabilidad social o jurídica para la PJ. [6]

3.2 Fomento de los códigos de conducta por la UE

En la Unión Europea, la Directiva 2006/123/CE relativa a los servicios en el mercado interior, habla de fomentar la elaboración de códigos de conducta a nivel comunitario. Concretamente dispone en su artículo 37.1 sobre Códigos de conducta a escala comunitaria: “1. Los Estados miembros, en colaboración con la Comisión, tomarán medidas complementarias para fomentar la elaboración a escala comunitaria, en particular por colegios, organizaciones y asociaciones profesionales, de códigos de conducta destinados a facilitar la prestación de servicios o el establecimiento de un prestador en otro Estado miembro, de conformidad con el Derecho comunitario”.

En uno de los borradores del nuevo Reglamento General de Protección de Datos (RGPD/UE), concretamente en su considerando (76) se lee: “Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables del tratamiento a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores”.

Y en el ordenamiento jurídico español, la LSSI-CE dispone en su artículo 18 sobre códigos de conducta: “1. Las Administraciones públicas impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta voluntarios, por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores, en las materias reguladas en esta Ley. La Administración General del Estado fomentará, en especial, la elaboración de códigos de conducta de ámbito comunitario o internacional.

3.3 Legislación y era digital

En la actualidad, no pasa desapercibida la dificultad de conciliar los avances tecnológicos con la legislación al respecto. El conocido vocablo SMAC (iniciales en inglés de Social media, Mobile, Analytics and Cloud) es solo un pequeño ejemplo de las diferentes líneas de innovación tecnológica. Bajo esta realidad subyacen dos motivos claramente diferenciados:

En una democracia parlamentaria bicameral, el proceso de elaboración y aprobación de leyes es estructuralmente lento, lo cual debería redundar en la calidad del resultado final.
La cada vez mayor complejidad tecnológica, hace que el legislador tenga, salvo que se haya formado específicamente, dificultades en adaptar la legislación a la realidad tecnológica en un breve período de tiempo. En cierto modo ya es razonable, para evitar legislar basándose en el caso particular.

Ambos considerandos nos llevan a afirmar que para estas situaciones de rápida evolución tecnológica, con gran demanda de soluciones jurídicas, la autorregulación sectorial se vislumbra adecuada, al menos inicialmente, al disponer el propio sector de los conocimientos necesarios en relación a aquello que se pretende regular.

3.3.1. Primer ejemplo (Legado digital)

Para concretar en alguna situación de vacío legal propiciado por las nuevas tecnologías en que se apoyan los blogs, las redes sociales y los “data storage”, podemos considerar el caso de todo este cada vez mayor patrimonio digital en caso de fallecimiento. [12] Esta problemática del legado digital puede resolverse:

Quizá de conformidad con una interpretación basada en la analogía con las disposiciones del Código Civil.
O bien con la autorregulación, que ya vienen aplicando algunas plataformas cuando se encargan de la gestión de estos bienes digitales según criterios que haya elegido el causante en vida o, en su ausencia, mediante un proceder general.

3.3.2. Segundo ejemplo (Internet de las cosas – IoT)

Otro ejemplo sobre la autorregulación tecnológica es la opinión [en enero de 2015] de la Federal Trade Commission (FTC), encargada de proteger a los consumidores norteamericanos, que en el informe de su staff titulado “internet of things – Privacy & Security in a Connected World”, [13] recomienda: “El staff está de acuerdo con los comentaristas que declararon que existe un gran potencial para la innovación en esta área, y que la legislación dirigida específicamente a la IoT en esta etapa sería prematura. El personal también está de acuerdo en que el desarrollo de los programas de autorregulación diseñados para determinadas industrias sería útil como medio para fomentar la adopción de prácticas sensibles a la privacidad y seguridad. Sin embargo, aunque no es necesaria legislación específica para la IoT, el taller proporcionó una prueba más de que el Congreso debería promulgar legislación general sobre seguridad de los datos”.

3.4 Exigibilidad de los códigos de conducta

Es evidente que como más amplio sea el colectivo que participe en la elaboración del código de conducta – gremios, asociaciones profesionales, asociaciones de consumidores, etc.- más legitimado estará.

En cuanto a su exigibilidad, no es otra que la aceptación contractual de sanciones por incumplimiento al suscribirlo, si se trata de una PJ, o relacionado con el Derecho laboral mediante la aplicación de medidas disciplinarias a los empleados que vulneren las disposiciones del código previamente aceptado.

Téngase en cuenta que el principio de legalidad impide afirmar la tipicidad penal de una conducta que haya vulnerado únicamente una norma extrajurídica incluida en un código de conducta, a no ser que tenga concordancia dentro del ordenamiento jurídico.

No obstante, el código de conducta podría elaborarse desde la autorregulación pero al amparo de la propia Administración, interviniendo en alguna de las fases necesarias desde su creación hasta su adopción. Podría ser ex ante, estableciendo las directrices a seguir por el proceso autorregulador o ex post, en el sentido de comprobar el grado de calidad de la autorregulación.

En este contexto la RPPJ tiene, como último cometido, motivar a que se adopten mecanismos internos de vigilancia, estableciendo de este modo un control estatal sobre la autorregulación. Son los jueces, o los fiscales, los encargados de decidir si la empresa se ha regulado debidamente para prevenir una infracción que ha tenido lugar en el desarrollo de su actividad. [10]

Existen diferentes tipos de autorregulación atendiendo a la relación que ésta guarda con el ordenamiento jurídico y los órganos estatales o, lo que es lo mismo, el grado de voluntariedad:

La autorregulación voluntaria en la que no hay intervención pública alguna destinada, ni tan siquiera, a fomentar o estimular la autorregulación.
La autorregulación impuesta o regulada en la que el Estado establecerá el marco general de la autorregulación, es decir, construye “metanormas”, o normas jurídicas específicas, que regulan como deben establecerse las normas de las empresas y cuáles deben ser sus principios básicos.
La autorregulación estimulada o coaccionada en la que el Estado, a través de sanciones positivas o negativas, incentiva la autorregulación. [10]

Como ejemplo de autorregulación tenemos:

Autorregulación voluntaria: El código ético de una organización.
Autorregulación regulada: El artículo 27 de la Directiva europea de protección de datos, 95/46/CE, establece en relación a todas aquellas entidades encargadas de elaborar, modificar o prorrogar códigos de conducta, que los Estados miembros velarán, entre otras cosas, por la conformidad de los códigos respecto a las disposiciones nacionales adoptadas en aplicación de esa Directiva.
Autorregulación estimulada: El artículo 31 bis 2 de nuestro Código Penal incentiva la autorregulación mediante sanciones positivas (Exención de la RPPJ o, en su caso, atenuación de la pena).

En atención al principio de proporcionalidad y para paliar la invocación [muy forzada] del principio de ne bis in idem en la jurisdicción penal, el artículo 31 ter 1 CP dispone: “(…) Cuando como consecuencia de los mismos hechos se impusiere a ambas [PF y PJ] la pena de multa, los jueces o tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos.”. [11]

Tipología de códigos de conducta

Ya en el año 2001, Bennett [7] catalogaba los códigos de conducta en cinco tipos distintos, en su caso en el ámbito de la privacidad, aunque aplicable a otros contextos. Me basaré en su clasificación, aunque advirtiendo que los códigos de conducta deben basarse en un análisis previo de riesgos, lo que significa que su aplicación deberá particularizarse a la naturaleza concreta de quienes se adhieran al mismo:

Códigos de organización. Se aplican a una organización que está delimitada por una estructura organizativa clara, como puede ser una PJ. El desencadenante, antes de legislarse la RPPJ, podría ser haber recibido un importante volumen de quejas de los consumidores, haber sido investigada por medios de comunicación o Autoridades de Control o afrontar con mejores condiciones un proceso de fusión.
Códigos sectoriales. Son los más relevantes en la materia dado que permiten adaptarse a las circunstancias de un modo sencillo, ágil y eficaz. Se basan en la existencia de muchos aspectos comunes en las PJ pertenecientes a determinado sector de actividad y son especialmente interesantes en protección de datos.
Códigos funcionales. Estos códigos están más enfocados a específicas áreas de práctica de las organizaciones y a los procedimientos concretos que siguen en el ejercicio de sus funciones. Un ejemplo es el márketing directo.
Códigos profesionales. Son creados por un colectivo, asociación o Colegio Profesional, a cuyos miembros se aplicará el código. A menudo se refuerza con algunas medidas disciplinarias que pueden implicar pérdida de reputación profesional o, en su caso, expulsión del colectivo.
Códigos tecnológicos. Define normas basándose en las “mejores prácticas” tecnológicas, intentando hacer frente a problemas específicos y novedosos que aparecen de la mano de las nuevas tecnologías. Por su objeto han de ser instrumentos enormemente dinámicos, usados especialmente en privacidad.

Códigos de conducta en Corporate Compliance

Cabe insistir en el hecho de que los códigos de conducta no tienen que ser algo aislado, sino una parte sustancial de un todo mayor, por ejemplo, de un programa de Compliance o de un Sistema de Gestión del Cumplimiento (CMS).

El artículo 31 bis 5 CP dispone: “5. Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos: (…)” y concreta seis de ellos, que relaciono en una tabla:

Requisitos del artículo 31 bis 5 CP sobre autorregulación (códigos de conducta)
#	Tenor literal de la norma	Observaciones
1	Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.	Esta tarea debe ser efectuada ex ante y consistirá en un completo proceso de apreciación de riesgos penales: identificación, análisis y evaluación. Éste se basará en un minucioso análisis de las actividades de todos los procesos de la PJ, especialmente en lo que respecta a la toma de decisiones.
2	Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.	Aquí estría incardinado el código de conducta y demás políticas y normativas internas de la PJ, y los procedimientos que las desarrollan y concretan. Debe basarse en el tratamiento de los riesgos que han sido apreciados en el punto anterior, según el umbral de riesgo aceptable o, en su caso, tolerable, que han determinado, asesorados, los órganos de gobierno de la PJ.
3	Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.	Es un caso particular del punto anterior para prevenir, por ejemplo, la corrupción.
4	Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.	Aquí estaría el Chief Compliance Officer (CCO) al frente del “órgano de la persona jurídica con poderes autónomos de iniciativa y de control”, ayudado de un canal de dilación o whistleblower.
5	Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.	La falta de sanciones puede derivar al modelo de cumplimiento penal a una percepción de no creíble y minar su eficacia (ver apartado 3.4 de este artículo).
6	Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.	Implícitamente deriva al modelo de Compliance hacia un completo Sistema de Gestión del Cumplimiento (CMS), al hacer que persiga la mejora continua mediante la definición de objetivos, la revisión de los procesos de apreciación y tratamiento de riesgos penales y las auditorías periódicas de verificación.

Según el artículo 31 bis 2 CP, condiciones 1ª y 4ª, se propone una autorregulación forzada que permitirá la exención de la RPPJ o la atenuación de la misma en función de la existencia y efectividad del modelo de autorregulación (organización y gestión) adoptado.

Presento a continuación una tabla de RPPJ en función del momento y la calidad de la autorregulación penal adoptada:

Responsabilidad penal de la persona jurídica según su autorregulación (programa de Compliance o CMS)
Nota: Para atenuación de la pena deben cumplirse todos los condicionantes.	Adoptado antes de la comisión del delito en su seno.	Adoptado después de la comisión del delito pero antes del juicio oral.
AUTORREGULACIÓN EFICAZ (TOTAL)	EXENCIÓN de la responsabilidad (31 bis 2 CP)	ATENUACIÓN de la pena (31 quater 1 CP)
AUTORREGULACIÓN REGULAR (PARCIAL)	ATENUACIÓN de la pena (31 bis 2 CP condición 4ª)	EXIGIBLE
AUTORREGULACIÓN DEFICIENTE (INEXISTENTE)	EXIGIBLE	EXIGIBLE

Códigos de conducta en protección de datos

La legislación de protección de datos, a menudo, es incapaz de solucionar problemas específicos de un sector concreto y aquí es donde juegan un papel muy importante los códigos de conducta y los sellos y marcas de privacidad, instrumentos muy flexibles que se adaptan rápidamente a los cambios económicos y tecnológicos. [8]

No obstante, cabe decir que hasta la fecha en España, bajo la denominación de códigos tipo, no han tenido todo el éxito que inicialmente cabía esperar.

Los códigos de conducta son instrumentos que van más allá de un simple compromiso con la privacidad. Están compuestos por un conjunto de reglas que complementan a la legislación y una vez la organización se someta a ellos, le resultarán vinculantes en toda su extensión. [8]

Regulación europea de protección de datos respecto a la autorregulación (Códigos de conducta o códigos tipo)
Legislación	Artículos	Comentarios
(EU) Directiva 95/46/CE	Artículo 27	Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.
(ES) LO 15/1999, de 13 de diciembre (LOPD)	Artículo 32	Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo…
(ES) RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD)	Título VII, artículos 71 a 78 (Códigos tipo) Título IX, capítulo VI, artículos 145 a 152 (Procedimiento de inscripción de códigos tipo)	· Códigos tipo de carácter sectorial referidos a la totalidad o a parte de los tratamientos llevados a cabo por entidades pertenecientes a un mismo sector. Art. 72.2 · Códigos tipo de empresa, referidos a la totalidad de sus tratamientos de datos personales. Art. 72.3 · Códigos tipo para las Administraciones públicas y las corporaciones de Derecho Público. Art. 72.4
Ley 34/2002, de 11 de julio (LSSI-CE)	Capítulo III, artículo 18	Códigos de conducta voluntarios, por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores, en las materias reguladas en esta ley.
(EU) Borrador del RGPD/UE	Sección 5, artículo 38 (Códigos de conducta). Considerando (76).	Las asociaciones y otros organismos que representen a categorías de responsables o encargados del tratamiento en un Estado miembro que tengan la intención de elaborar códigos de conducta o de modificar o ampliar códigos de conducta existentes podrán someterlos al dictamen de la autoridad de control en dicho Estado miembro.

Para ampliar información respecto a los códigos de conducta aplicados a la protección de datos puede consultarse en este mismo blog el artículo “Códigos tipo en protección de datos” referenciado en el apartado de “Bibliografía consultada”. [9]

Anexo – Códigos de conducta en los estándares internacionales

7.1 COSO-II ERM

El último modelo de Gestión de Riesgos Empresariales (ERM) y control interno propuesto por el Committee of Sponsoring Organizations of the Treadway Commission (COSO), conocido como COSO-II ERM, se estructura en ocho niveles:

Elementos clave en Coso II
#	Detalle del nivel	Observaciones
1	Ambiente Interno: Aquí se contempla la metodología de gestión de riesgos, el apetito de riesgo, el Consejo de Administración u órganos de gobierno, integridad y valores éticos, compromiso con la competencia, estructura de la organización, asignación de responsabilidades y autoridad, normas de recursos humanos…	Se trata de perfilar el contexto interno de la organización, como se contempla en el apartado 4 de las Normas ISO sujetas al “anexo SL” y se detalla en el apartado 5.3.3 “Establecimiento del contexto interno” de la Norma ISO 31000:2009 “Gestión del riesgo – principios y directrices”. No obstante, el contexto externo también es importante.
2	Establecimiento de objetivos: Objetivos estratégicos, objetivos relacionados, objetivos seleccionados, apetito de riesgo, tolerancia al riesgo…	En cualquier Sistema de Gestión o modelo de cumplimiento deberían establecerse objetivos anuales que persigan la mejora continua del mismo y su adecuación a la organización pese al transcurso del tiempo. Estos objetivos deben estar alineados con la estrategia empresarial.
3	Identificación de eventos: Eventos, factores que influyen, técnicas de identificación de eventos, interdependencias de eventos, categorías de eventos, distinción entre riesgos y oportunidades…	Entendemos por eventos tanto los positivos, cómo los negativos. (Riesgos y oportunidades).
4	Evaluación de riesgos: Riesgo inherente y residual, establecimiento de probabilidad e impacto, fuentes de datos, técnicas de evaluación, relaciones entre eventos…	Se refiere al proceso de “apreciación del riesgo” (identificación, análisis y evaluación) a que se refiere la Norma ISO 31000:2009.
5	Respuesta al riesgo: Evaluación de las posibles respuestas, respuestas seleccionadas y visión del portfolio de tratamientos…	Se refiere al “tratamiento del riesgo” a que se refiere la Norma ISO 31000:2009.
6	Actividades de control: Integración con la respuesta a los riesgos, tipos de actividades de control, políticas y procedimientos, controles sobre sistemas de información, entidades específicas…	Una vez decidido cómo se va a tratar el riesgo, deben implementarse los controles adecuados para llevar los riesgos residuales a niveles aceptables o, en su caso, tolerables según el apetito de riesgo establecido por la organización. Una acción de tratamiento es adecuar el código de conducta de modo que establezca regulación interna adecuada para minimizar aquellos nuevos riesgos detectados.
7	Información y comunicación: Información, comunicación…	La comunicación es imprescindible en cualquier modelo o sistema de cumplimiento, en dos vertientes: · La primera dando a conocer el código de conducta a empleados, administradores, colaboradores, clientes, proveedores y demás partes interesadas. Éstos deben conocer la regulación del código con exactitud. · La segunda estableciendo canales de dilación o whistleblowers para que el órgano de supervisión del programa pueda conocer su grado de efectividad y actuar en consecuencia.
8	Monitoreo: Monitoreo permanente de las actividades, evaluaciones independientes, informes de deficiencias…	Consiste en verificar las actividades de la PJ dentro del alcance del programa de cumplimiento. Se basará en diferentes instrumentos: Verificaciones de control, Whistleblowers, auditorías internas independientes…

7.2 ISO 19600:2014, Sistema de Gestión del Cumplimiento

La Norma ISO 19600:2014, Sistema de Gestión del Cumplimiento (CMS por sus siglas en inglés), es un sistema de gestión que se adapta al estándar basado en el “Anexo SL” que siguen todas las normas ISO, y sus revisiones, desde el año 2012.

Cláusulas de la Norma ISO 19600:2014
#	Cláusula	Observaciones
4	Contexto de la organización: Comprendiendo la organización y su contexto, comprendiendo las necesidades de las partes interesadas, determinando el alcance del CMS, principios de buen gobierno, obligaciones de cumplimiento, “identificación, análisis y evaluación” de riesgos de cumplimiento.	4.5.1 Identificación de las obligaciones de cumplimiento: “(…) principios o códigos de conducta voluntarios”, formando parte de las diferentes fuentes de requerimientos legales o de adscripción voluntaria.
5	Liderazgo: Liderazgo y compromiso, política de cumplimiento, “roles, responsabilidad y autoridad” de la organización.	Se establece la política general de cumplimiento en la organización y los roles necesarios para el CMS.
6	Planificación: Acciones para hacer frente a los riesgos de cumplimiento, objetivos de cumplimiento y planificación para alcanzarlos.	Aquí se planifican los aspectos que se concretarán en la cláusula 8. Operación.
7	Soporte: Recursos, competencia y capacitación, concienciación, comunicación, información documentada	Dar a conocer los códigos de conducta y concienciar respecto a ellos es una labor esencial.
8	Operación: Planificación y control operacional, establecimiento de controles y procedimientos, procesos externalizados.	8.2 Establecimiento de controles y procesos: Aquí cabría adecuar el código de conducta como un control más, para dar respuesta a nuevos riesgos detectados.
9	Evaluación del desempeño: “Monitorización, medición, análisis y evaluación”, auditoría, revisión por la dirección.	Se contemplan, entre otros, los canales de dilación o whistleblowing.
10	Mejora: “No conformidades, incumplimiento y acciones correctivas”, mejora continua.	Gestionar los incumplimientos y su escalado.

Bibliografía consultada

– [1] Saule T. Omarova. “Rethinking the Future of Self-Regulation in the Financial Industry”. Symposium: new paradigms for financial regulation in the USA and EU. Brooklyn Journal of International Law. Vol. 35. Number 3. 2010. Page 665-706.

Rediseñando el futuro de la autorregulación

– [2] BOE. “Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 31 de marzo de 2015.

Ley Orgánica 1/2015

– [3] José Luis Colom. “Modelos de cumplimiento legal y apreciación del riesgo”. Blog del Consejo General de la Abogacía Española. Diciembre de 2014.

Cumplimiento legal y apreciación del riesgo

– [4] Ricardo Robles Planas. “Pena y persona jurídica”. Diario La Ley, ISSN 1989-6913, Nº 7705, 2011. Página 6.

– [5] Alicia Real Pérez. “CÓDIGOS DE CONDUCTA Y ACTIVIDAD ECONÓMICA: UNA PERSPECTIVA JURÍDICA”. “I y II Congresos Internacionales «Códigos de Conducta y Mercado». Facultad de Derecho. Universidad Complutense de Madrid. Editorial Marcial Pons. Madrid 2010. Páginas 11 a 16.

– [6] Iván Navas Mondaca. “Los códigos de conducta y el Derecho penal económico”. Capítulo 4 del libro dirigido por Jesús-María Silva Sánchez titulado “Criminalidad de empresa y Compliance”. Ed. Atelier. Barcelona 2013. Página 114.

– [7] Colin J. Bennett. “What Government Should Know about Privacy: A Foundation Paper”. Department of Political Science University of Victoria. Paper prepared for the Information Technology Executive Leadership Council’s Privacy Conference. June 2001.

– [8] Jorge Viguri Cordero. Capítulo “Los mecanismos de certificación (códigos de conducta, sellos y marcas)”. Del libro “Hacia un nuevo derecho europeo de protección de datos” editado por Artemi Rallo Lombarte y Rosario García Mahamut. Editorial Tirant lo Blanch. Valencia, 2015. Páginas 901 a 957.

– [9] José Luis Colom. “Códigos tipo en protección de datos”. Blog “Aspectos Profesionales”. Octubre de 2012 revisado en Agosto de 2015.

Códigos tipo en protección de datos

– [10] Adán Nieto Martín. “Manual de cumplimiento penal en la empresa”. Lección 1: “El cumplimiento normativo”. Instituto de Derecho penal europeo e internacional. Editorial Tirant lo Blanch. Valencia 2015. Páginas 25 a 48.

– [11] Ignacio F. Benítez Ortúzar. “Globalización, Delincuencia organizada, Expansionismo penal y Derecho penal económico en el siglo XXI – Libro Homenaje al Prof. Dr. Juan María Terradillos Basoco”. Capítulo: “Responsabilidad penal de las personas jurídicas en España. Breve análisis del alcance del artículo 31 bis del Código Penal, tras las reformas operadas por las leyes orgánicas 5/2010, de 22 de junio, y 1/2015, de 30 de marzo”. Ignacio F. Benítez Ortúzar. Editorial UNIJURIS, 2015. Páginas 259 a 291.

– [12] Miguel Retana. “Gestión de la identidad y el patrimonio digital por el usuario: el testamento digital”. Septiembre 2015. LegaLtoday.com

Testamento digital

– [13] Federal Trade Commission. “internet of things – Privacy & Security in a Connected World”. January 2015.

FTC Staff Report

Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre el autor:

José Luis Colom Planas ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO y también en la optimización de sus procesos.

Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito del derecho de las nuevas tecnologías: Ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación).

Ha superado el programa superior de especialización como Compliance Officer (Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en cumplimiento normativo y regulatorio, privacidad y gestión de la seguridad de la información. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC) y CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.