¿Puede una certificación de Sistema de Gestión de Compliance minorar una sanción de protección de datos?
El Código Penal permite la exención de responsabilidad penal a aquellas organizaciones que, entre otras cuestiones, dispongan de un modelo de organización y gestión eficaz que incluyan las medidas de vigilancia y control «idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión». Muchas organizaciones, especialmente, grandes multinacionales, han articulado sus modelos de prevención bajo las premisas de diversos estándares, esencialmente dos:
- UNE 19601:2017 de Sistemas de gestión de compliance penal: requisitos con orientación para su uso.
- UNE-ISO 37301:2021 de Sistemas de gestión de compliance: requisitos con orientación para su uso.
La primera es adecuada para fomentar una cultura de prevención y cumplimiento, prevenir la comisión de hechos delictivos, conseguir una mejora en los controles de prevención y, en definitiva, establecer un sistema de gestión que responda a los requisitos definidos por el Código Penal para que el modelo de prevención penal sea eficaz para prevenir el delito.
La segunda determina la posibilidad de que el objetivo de la implantación del sistema de gestión de cumplimiento se alinee con el alcance del cumplimiento de cualesquiera normas aplicables al proceso que queremos certificar.
¿Qué sucede en protección de datos?
El Reglamento 679/2016 General de Protección de Datos (RGPD) establece que cualquier organización debe cumplir con los principios y normativa de protección de datos y poder acreditarlo (principio de responsabilidad proactiva). La legislación en Hispanoamérica también ha ido acuñando este principio, denominado en algunos países como principio de responsabilidad demostrada.
Además, cualquier entidad tiene que cumplir con el principio de confidencialidad y adoptar las medidas técnicas y organizativas «apropiadas» para garantizar la seguridad en atención a los derechos y libertades de las personas físicas.
En este contexto, algunos de los controles que pueden quedar bajo el amparo del sistema de gestión adoptado conforme 19601, ¿podría servir para acreditar que la organización tiene medidas técnicas y organizativas adecuadas?
Esta cuestión se debatió primero ante la Agencia Española de Protección de Datos (AEPD), PS-00021-2021, y posteriormente ante la Audiencia Nacional, en un caso de sim swapping. La AEPD analiza las medidas de seguridad establecidas, entre las que hay controles bajo el amparo de la certificación de la Norma UNE-19601.
La AEPD concluye que, a pesar de no considerar suficiente como medida de seguridad para evitar la práctica de sim swapping, el hecho de tener controles bajo el amparo de la certificación del citado estándar, sí se debía tener en cuenta como atenuante en tanto que esta contiene «medidas de vigilancia y control idóneas para prevenir delitos y para reducir de forma significativa el riesgo de cometerlos». Consideraba la AEPD que la organización podía acogerse a la atenuante relativa a «la adhesión a códigos de conducta en virtud del artículo 40 [RGPD] o a mecanismos de certificación aprobados con arreglo al artículo 42 [RGPD]».
La Audiencia Nacional, en su Sentencia 595/2024, de 8 de febrero determina que, a pesar de las medidas previstas por el recurrente, las medidas de seguridad resultaban insuficientes.
Sin embargo, la circular de la Fiscalía 1/2016 que determina los criterios para considerar la eficacia de un modelo de prevención de delitos determina que: «Los Sres. Fiscales concederán especial valor al descubrimiento de los delitos por la propia corporación de tal manera que, detectada la conducta delictiva por la persona jurídica y puesta en conocimiento de la autoridad, deberán solicitar la exención de pena de la persona jurídica, al evidenciarse no solo la validez del modelo sino su consonancia con una cultura de cumplimiento corporativo».
Además de que: «Las certificaciones sobre la idoneidad del modelo expedidas por empresas o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán apreciarse como un elemento adicional más de la adecuación del modelo».
En resumen, a la pregunta de si «¿puede una certificación de sistema de gestión de compliance minorar una sanción de protección de datos?» debemos contestar que SÍ.
Implantar y certificar una norma como la UNE 19601:2017 o la ISO 37301, no solamente puede ser interesante, al objeto de acreditar en un proceso penal que la entidad cuenta con un sistema de gestión eficaz de prevención de delitos, sino puede ser un criterio que minore una hipotética sanción si los hechos examinados por la autoridad de control en protección de datos guardan relación con la prevención de hechos ilícitos.
Centro de Competencia Compliance de Govertis, parte de Telefónica Tech
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
