Tag: compliance

COMPLIANCE Y FONDOS EUROPEOS PARA LA RECUPERACIÓN: HACER DE LA NECESIDAD VIRTUD.

Hemos comentado en muchas ocasiones la necesidad, mucho más allá de la mera conveniencia, de que las empresas cuenten con una adecuada protección de los riesgos penales a los que se ven expuestas en el desarrollo de su actividad cotidiana, consecuencia de la atribución de responsabilidad penal a las personas jurídicas introducida en nuestro Código Penal a través de las sucesivas reformas del mismo. Y su gran utilidad se ha puesto de manifiesto durante el periodo de introducción de las restricciones derivadas de la pandemia Covid-19, ya que estos sistemas han permitido limitar los riesgos que de estas restricciones se han derivado, como los riesgos informáticos derivados de la introducción del teletrabajo o los derivados de los derechos de los consumidores y su protección.

Al hilo de esta situación, se ha aprobado el Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia. El correcto funcionamiento de estos mecanismos exige la adaptación de los procedimientos de gestión y el modelo de control por parte de las Administraciones Públicas gestoras de las ayudas, junto a la configuración y desarrollo de un Sistema de Gestión que facilite la tramitación eficaz de las solicitudes de desembolso a los Servicios de la Comisión Europea, conforme a los estándares requeridos, tanto desde el punto de vista formal como operativo. Para ello, el artículo 22 del citado Reglamento (UE) 2021/241 concreta la obligación de recabar, en un formato electrónico armonizado que permita realizar búsquedas y en una base de datos única, información identificativa relativa al perceptor final de los fondos, así como de los contratistas y subcontratistas.

El BOE del 30 de septiembre de 2021 publica la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia (en adelante, PRTR), que concreta las directrices que garanticen el cumplimiento coordinado de los requerimientos establecidos por la normativa comunitaria para la ejecución del PRTR. En su artículo 2, que define los principios de gestión específicos del PRTR, de obligatoria consideración en la planificación y ejecución de los componentes del Plan de Recuperación, Transformación y Resiliencia, y por lo tanto transversales en el conjunto del Plan, incluye, en la letra d) de dicho artículo, la obligación de considerar como principio específico el refuerzo de los mecanismos, establecidos ya o no, de los intervinientes en la ejecución del plan para la prevención, detección y corrección del fraude, la corrupción y los conflictos de interés. Es decir, y traducido a un lenguaje menos burocrático, que las empresa que opten a este tipo de mecanismos de ayuda deberán de disponer de un sistema de prevención de riesgos penales, un programa de Compliance, que permita minimizar los riesgos derivados de la ejecución del mismo.

El artículo 6 de la citada Orden HFP/1030/2021 desarrolla lo que entiende como refuerzo de mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses. Toda entidad, decisora o ejecutora, así como los perceptores de fondos, que participe en la ejecución de las medidas del PRTR deberá disponer de un «Plan de medidas antifraude» que le permita garantizar y declarar que, en su respectivo ámbito de actuación, los fondos correspondientes se han utilizado de conformidad con las normas aplicables, en particular, en lo que se refiere a la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses.

Se configuran como actuaciones obligatorias para los órganos gestores, la evaluación de riesgo de fraude, la cumplimentación de la Declaración de Ausencia de Conflicto de Intereses (DACI) y la disponibilidad de un procedimiento para abordar conflictos de intereses. La elección de las medidas de prevención y detección se deja a juicio de la entidad que asuma la responsabilidad de gestión, atendiendo a sus características específicas y siempre teniendo en cuenta la necesidad de garantizar una conveniente protección de los intereses de la Unión.

El Plan de medidas antifraude deberá cumplir los siguientes requerimientos mínimos:

- Estructurar las medidas antifraude de manera proporcionada y en torno a los cuatro elementos clave del denominado «ciclo antifraude»: prevención, detección, corrección y persecución. Es decir, un circuito análogo al que se debe de establecer en un programa de Compliance.

- Prever la realización, por la entidad de que se trate, de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal. Previsión que coincide con el Plan de Auditorías que el programa de Compliance debe de incorporar necesariamente, tanto internas (obligatorias), como, en su caso, externas (a lo que obliga, entre otras instituciones, LaLiga, como ya tuvimos oportunidad de exponer en otro post).

- Definir medidas preventivas adecuadas y proporcionadas, ajustadas a las situaciones concretas, para reducir el riesgo residual de fraude a un nivel aceptable, y establecer medidas de detección ajustadas a las señales de alerta, definiendo el procedimiento para su aplicación efectiva.

- Definir las medidas correctivas pertinentes cuando se detecta un caso sospechoso de fraude, con mecanismos claros de comunicación de las sospechas de fraude, y Eestablecer procesos adecuados para el seguimiento de los casos sospechosos de fraude y la correspondiente recuperación de los Fondos de la UE gastados fraudulentamente.

- Definir procedimientos de seguimiento para revisar los procesos, procedimientos y controles relacionados con el fraude efectivo o potencial, que se transmiten a la correspondiente revisión de la evaluación del riesgo de fraude.

- Específicamente, definir procedimientos relativos a la prevención y corrección de situaciones de conflictos de interés, de acuerdo con lo dispuesto en el Reglamento Financiero de la UE.

Para dar cumplimiento al contenido de este Plan de Medidas antifraude, la Orden incorpora una serie de Anexos donde la entidad correspondiente debe de identificar los riesgos a los que se puede enfrentar, los planes de contingencia establecidos, la inexistencia de conflictos de intereses y cláusulas anticorrupción (cláusulas “Anti Bribery” del derecho anglosajón), declaraciones que no dejan de ser una síntesis de los programas de Compliance adoptados.

En el supuesto de que se detecte un posible fraude, o su sospecha fundada, la entidad correspondiente deberá suspender inmediatamente el procedimiento; iniciar una información reservada para depurar responsabilidades o incoar un expediente disciplinario; notificar tal circunstancia en el más breve plazo posible a las autoridades interesadas y a los organismos implicados en la realización de las actuaciones y revisar todos aquellos proyectos, subproyectos o líneas de acción que hayan podido estar expuestos al mismo, comunicando los hechos producidos y las medidas adoptadas a la entidad decisora, o a la entidad ejecutora;  y denunciar, si fuese el caso, los hechos a las Autoridades Públicas competentes, incluido, en su caso, el Ministerio Fiscal.

En resumen: las empresas que pretendan participar en los procesos de adjudicación de fondos del PRTR deben de disponer, imperativamente, de programas de Compliance suficientemente solventes y adaptados a las exigencias de la normativa nacional (artículo 31 bis del Código Penal) para poder acceder a estas ayudas. El Compliance deja de ser un importante  mecanismo de prevención para convertirse en una obligación para acceder a los fondos de recuperación, tan necesarios en la situación actual.

En Senex, Consejos de Buen Gobierno, ponemos a disposición de las empresas un equipo experimentado y solvente para la implantación de este tipo de programas, como parte de la gestión de los fondos, como acredita nuestra larga experiencia en este campo y el importante número de empresas a las que hemos ayudado a implantar estos modelos. Es el momento.

Miguel Angel Blanes Pascual

Socio – Director del Area de Compliance
Senex, Consejos de Buen Gobierno, SL

Miguel Ángel Blanes Pascual – Socio y director de Axium Consulting

Como es conocido, la reforma del Código Penal del año 2010 introdujo, por primera vez en España, la figura de la responsabilidad penal de las personas jurídicas. Su regulación aparece en el artículo 31 bis del Código Penal, sobre el que se han escrito ya muchos artículos doctrinales que orientan sobre las consecuencias de esta nueva figura. Esta reforma del Código Penal tuvo su continuidad en la reforma de 2015, que mantiene la responsabilidad penal de las personas jurídicas, pero establece como eximente la adopción de modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.

Esta nueva figura de responsabilidad afecta a todas las personas jurídicas, que en mayor o menor medida están expuestas a los distintos delitos que elartículo 31 bis del Código Penal les atribuye la responsabilidad penal por su comisión. Por ello, y reiterando la imperativa recomendación que todos los actores trasladan, desde Jueces y Magistrados hasta los profesionales que trabajan con las empresas, resulta imprescindible que las empresas se doten de los mecanismos de protección de la responsabilidad penal que el propio Código Penal articula, como son los modelos antes citados de Compliance. En SENEX, CONSEJOS DE BUEN GOBIERNO, SL, hemos implantado más de 150 modelos de cumplimiento normativo en muchos ámbitos de actividad, por lo que tenemos una visión clara de la necesidad, más que la conveniencia, de disponer de estos modelos, ya que está en juego la propia supervivencia de la empresa.

Entre los sectores que hemos trabajado estos modelos, queremos referirnos, en esta ocasión, a los clubes de fútbol profesionales, encuadrados en LaLiga, que son los clubs de Primera y Segunda división (Liga Santander y SmartBank respectivamente). Pero lo hemos trabajado desde otra perspectiva, ya que no hemos implantado el modelo, si no que hemos auditado el funcionamiento eficaz de los modelos adoptados por los clubs. Hemos realizado varias auditorías de clubs profesionales y podemos afirmar, con pleno conocimiento de causa, que los clubs tienen unos modelos serios, solventes y rigurosos que permiten hacer frente a las posibles responsabilidades penales a las que están expuestos con garantías. Son conocidos algunos casos que han afectado a clubs de gran relevancia, precisamente por la presunta comisión de delitos de los indicados en el citado artículo 31 bis; en concreto, quizás el más conocido sea el caso del procesamiento del FC Barcelona por parte de la Audiencia Nacional por los delitos de estafa y corrupción entre particulares con motivo del fichaje Neymar cuando jugaba en el Santos brasileño en 2011, por lo que la adopción de estos modelos son piedra angular del gran esfuerzo realizado por LaLiga para asegurar la transparencia de sus eventos.

LaLiga, como órgano competente para velar por la integridad de las competiciones que organiza, es muy exigente en la prevención de los riesgos penales de los clubs que forman parte de la misma. No sólo exige que tengan un programa de cumplimiento normativo, sino que este modelo esté auditado en su eficacia. En este sentido, el artículo 55.19 de los Estatutos de LaLiga establece entre los requisitos para la inscripción de los clubs en las competiciones organizadas bajo su mandato, la presentación de un “Informe de Auditoría de tercero experto independiente”, que refrende la efectiva implantación de los citados modelos de organización y gestión, y su funcionamiento eficaz, lo que permite contribuir a perfeccionamiento continuo del modelo y asegurar la adecuación de su planteamiento, no sólo desde la perspectiva teórica, sino también de su efectividad. Esto contribuye de forma decisiva a garantizar la buena dirección y el control del modelo implantado.

En esta línea, y como dijimos antes, en SENEX hemos realizado varias auditorías a clubs de LaLiga, encuadrados en la Primera División, siendo seleccionados en razón de nuestra experiencia en la implantación de estos modelos. Estas auditorías se enmarcan en la necesidad de dar cumplimiento a lo previsto en el punto sexto del apartado quinto del artículo 31 bis del Código Penal, que impone la obligación de realizar una verificación periódica de los Modelos de Prevención de Riesgos Penales y, en su caso, llevar a cabo las modificaciones que sean necesarias. Estas auditorías constituyen, por tanto, una revisión del Modelo de Prevención de Riesgos Penales implantado, que a su vez resultará útil para completar la labor de monitorización del modelo que viene impuesta por nuestro ordenamiento jurídico proponiendo, en su caso, las mejoras al modelo que se consideren oportunas.

La revisión del Modelo de Prevención de Riesgos Penales la hemos efectuado no sólo teniendo en cuenta lo previsto en el Código Penal, sino también lo previsto en las Circulares de la Fiscalía General del Estado 1/2015 y 1/2016, en la doctrina jurisprudencial, así como en las normas UNE 19011 y UNE 19601 — que por su parte imponen la realización de revisiones de los modelos implantados, así como su constante monitorización y la comprobación de su eficacia, con el fin de adaptar dichos modelos a las circunstancias existentes en cada momento. No obstante, y en las últimas auditorías realizadas, las anteriores normas ISO han sido sustituidas por la norma UNE – ISO 37301, Sistemas de Gestión del Compliance de reciente aprobación. Por tanto, hemos adaptado la revisión de los modelos al nuevo marco normativo derivado de la norma recientemente aprobada.

En resumen, de nuestra experiencia en el análisis de los modelos de prevención de riesgos penales implantados en los clubs de fútbol profesionales que participan en las competiciones organizadas por LaLiga, podemos afirmar, sin ningún género de dudas, que los clubs han implantado modelos bien desarrollados y con un seguimiento efectivo de las incidencias, lo que contribuye de forma decisiva a garantizar que la competición es segura y sobre todo íntegra.

14/09/2021 – 

Enlaces originales: Valenciaplaza; Murciaplaza;

El mundo del fútbol español ha entrado en una revolución provocada por el dineral que ha puesto sobre la mesa -con condiciones eso sí- la gestora británica de capital riesgo CVC Capital Partners. Un auténtico rescate en toda regla formalizado entre LaLiga y una de las firmas de ‘private equity’ más relevantes del panorama mundial, tal y como contó este diario el pasado 5 de agosto.

El fútbol español atravesaba por graves problemas, sin duda provocado por un endeudamiento desorbitado, pero sin embargo haciendo bien los deberes en lo que a prevención de riesgos penales se refiere. Algo de suma importancia para evitar casos como el procesamiento del FC Barcelona por la Audiencia Nacional por delitos de estafa y corrupción entre particulares, con motivo del fichaje de Neymar cuando éste jugaba en el Santos brasileño allá por 2011.

La importancia del ‘compliance’ en el fútbol, su correcta implantación, los riesgos de no aplicarlo… estas y otras cuestiones planteó Plaza a Miguel Ángel Blanes, ex director general de Tributos y Juego, ex secretario general de la Consejería de Economía y Hacienda de la Región de Murcia y actualmente director del Àrea de ‘Compliance’ de Senex. Se trata de la ‘joint venture’ formalizada hace tres años entre la valenciana Finest Portfolio Ideas -fundada por Rafael Carrau y Vicente Carpio-, y la murciana Axium, que puso en marcha Blanes.

-En estos tiempos donde los clubes de fútbol españoles tienen -en líneas generales- el endeudamiento por bandera, ¿qué importancia tiene la figura del ‘compliance’ o prevención de riesgos penales?
-Siempre es importante disponer de un sistema de prevención de riesgos penales -lo que llamamos ‘compliance’-, no sólo en los momentos de endeudamiento. Los riesgos nos son sólo derivados de esa situación financiera, que puede ser transitoria, sino de la propia evolución de la actividad. Pensemos que, en los casos más mediáticos en los que se han visto envueltos clubs de fútbol, las imputaciones han sido por los delitos de estafa y corrupción entre particulares. Pero hay más delitos a los que están expuestos. De forma que sólo una cultura de prevención de estos riesgos penales, que deriva en la implantación del correspondiente programa, puede mitigar esta exposición hasta hacerla irrelevante.

-Ahora que la gestora británica de capital riesgo CVC ha entrado en el fútbol español inyectando cerca de 3.000 millones de euros, ¿sería un buen momento para que los clubes tuvieran en cuenta el ‘compliance’?
-LaLiga, como órgano encargado de la organización de las competiciones profesionales del fútbol en España, es extremadamente estricta a la hora de exigir estos programas. De hecho, su existencia, y la demostración de que son sistemas vigentes y eficaces, se han convertido en requisitos indispensables para la inscripción en sus competiciones. LaLiga se toma muy en serio la cultura de prevención de riesgos penales para asegurar la limpieza e integridad de las mismas, en beneficio de todos los integrantes: clubs y sus accionista, deportistas, aficionados…


-¿Y hasta qué punto su implementación afectaría -por aquello de la transparencia- a los llamados ‘equipos-estado’ como el PSG donde Qatar está detrás inyectándole miles de millones de euros?
-‘Compliance’ y transparencia son procedimientos complementarios, aunque no se sustituyen. El eventual incumplimiento llamado ‘fair play’ financiero no es, en sí mismo, un delito de los identificados como riesgos penales de los clubs, aunque pueda condicionar su participación en las competiciones oficiales, pero no deriva en responsabilidades penales. Por eso nos gusta hablar de cultura de cumplimiento, como parte de un buen gobierno corporativo, más que de un programa estricto de prevención de los riesgos delitos tipificados en el Código Penal y susceptibles ser cometidos por personas jurídicas.

-¿Qué riesgos evita el ‘compliance’ en el mundo del fútbol?
-De acuerdo con nuestra experiencia, y con las auditorías que hemos realizado, los clubs de fútbol profesional, como cualquier otra empresa, están expuestos a  casi todos los riesgos penales que se les pueda imputar como persona jurídica. Aunque son los delitos con base económica (estafas, cohecho, corrupción…), a los que están más expuestos . Pero estar expuesto a un delito no quiere decir que éste se vaya a cometer. Para eso está la cultura del cumplimiento y los programas bien implantados, ejecutados y mantenidos de ‘compliance’, para asegurar que, pese a la exposición, el riesgo de comisión del delito es mínimo.

-¿Podemos decir que instaurar esta figura es garantizar una competición segura e íntegra?
-Desde nuestra experiencia, podemos asegurar que la cultura del cumplimiento normativo es muy elevada tanto por parte de los clubs como de la propia Liga de Fútbol Profesional. En lo normativo, esta figura y su exigencia es una garantía de primer nivel para la integridad de la competición.

-El artículo 55.19 de los estatutos de la Liga de Fútbol Profesional (LFP) habla sobre la necesidad de implantar dicha figura, ¿siguen habiendo clubes reticentes a llevarlo a cabo?
-No, porque se ha convertido en un requisito indispensable para la inscripción en la competición. De forma que su no adopción implica automáticamente la exclusión de las estructuras que permiten participar.

Miguel Ángel Blanes (i.), Vicente Carpio (c.) y Rafael Carrau, en Valencia Plaza

-¿Tal vez el caso más sonado es el de Neymar cuando jugaba en el FC Barcelona, club que fue procesado en la Audiencia Nacional por delitos de estafa y corrupción entre particulares con motivo del fichaje del delantero cuando pertenecía al Santos brasileño en 2011?
-Sin duda. Por la trascendencia del club imputado, por la relevancia del jugador y por la gravedad de los delitos por lo que ha sido procesado el FC Barcelona, es el caso más relevante, y ha venido a demostrar el acierto de LaLiga en exigir como condición definitiva para participar en sus competiciones el hecho de disponer de estos programas de prevención.

-Nos consta que Senex ha realizado varias auditorías a clubes de Primera División, ¿qué nos puede contar al respecto?
-En las auditorías que hemos realizado, hemos verificado el alto nivel de cultura del cumplimiento normativo y los altos estándares de integridad de los clubs auditados, que entiendo será extensible al resto de clubs participantes. LaLiga se toma muy en serio, como dijimos antes, esta obligación, y los clubs lo han asumido plenamente. Entre ambos han acertado en implementar un modelo muy eficaz y que se mantiene permanentemente actualizado, por lo que podemos asegurar que los clubs son extremadamente cuidadosos en la prevención de los riesgos penales a los que están expuestos.

-Por último, ¿qué aporta Senex en materia de ‘compliance’?
-En Senex abordamos la problemática de la responsabilidad penal desde una perspectiva multidisciplinar, lo que nos permite acotar adecuadamente los problemas reales de las empresas. Nuestras implantaciones suponen  diseños completos y a medida (‘llave en mano’), basadas en el conocimiento directo de la empresa. Y, muy especialmente, porque podemos seguir al lado del cliente tras la implantación, prestando servicios de ‘compliance’ externo, de asistencia jurídica, de canal de denuncia…

El Reglamento General de Protección de Datos (RGPD) ha creado la figura del Delegado de Protección de Datos, que constituye un garante del cumplimiento de la normativa de protección de datos en las organizaciones. El delegado de protección de datos es un especialista en protección de datos que será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.

Así, esta figura constituye una de las piezas clave del RGPD/LOPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, aunque la responsabilidad sobre este cumplimiento recae siempre sobre el responsable o encargado.

El RGPD y la nueva LOPD disponen que serán los responsables y encargados del tratamiento quienes deberán asignar un Delegado de Protección de Datos y enumeran los casos que debe designarse un DPO, entre los que destacamos:
a) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
b) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
c) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
d) Los establecimientos financieros de crédito.
e) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
f) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
g) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, aunque se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
h) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
i) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
j) Las empresas de seguridad privada.

El responsable y encargado del tratamiento –públicos o privados-, se ven obligados a garantizar la independencia del DPD, pues se ven obligados a designar a este sujeto en los supuestos previstos en los Reglamentos, Normativa Europea o Normativa Nacional o cuando fuere elegido de forma voluntaria.

A este respecto, hay que señalar que la independencia del DPD, que se entiende como autonomía para el desempeño de funciones, es una de las garantías básicas que establece el RGPD y que tienen que asegurar quienes lo designen. Esta autonomía debe entenderse como una garantía frente a posibles injerencias en el desarrollo de sus funciones, y está relacionada estrechamente con el requisito de evitar el conflicto de intereses para así asegurar el derecho fundamental a la protección de datos de carácter personal.

Cualquier tipo de insuficiencia en el desarrollo de las funciones del DPO implicaría vulnerar su estatuto jurídico pudiendo llegar, incluso, a vulnerar el derecho fundamental a la protección de datos personales. Por ejemplo, un error sería no proporcionar los recursos necesarios para el desarrollo de sus funciones.

El DPO no puede ser alguien que esté en una posición de toma de decisiones o que influya en las decisiones relativas al tratamiento de datos personales, es decir, los medios y fines del tratamiento, dada su posición en la organización, tales como el propietario o presidente de la misma, el responsable de ficheros, el responsable del servicio médico, el responsable de recursos humanos, el responsable de marketing, el responsable de áreas de tecnología de la información, o cualquier otro puesto que desempeñe una función o tenga una posición que implique intervenir en la determinación de dichos fines y medios del tratamiento.

La normativa antes indicada establece expresamente que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos; a estos efectos, por conocimientos especializados, debe entenderse el resultado de una formación homologada, evitando el desarrollo de ciertas prácticas que pudieran ocasionar una falta de protección de datos, debido al desconocimiento de su mercado. Estos conocimientos deben ser los necesarios para identificar los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, y puede ser tanto una persona de la organización como, y muy especialmente, un profesional externo con formación debidamente homologada.

El DPD debe de formar parte de todos los análisis, debates o discusiones que tengan como materia directa o indirecta en tratamiento de datos personales en el seno de la organización. En el ejercicio de sus funciones, el DPD deberá reportar al consejo de administración u órgano equivalente de la organización, lo que requiere una línea de reporte funcional claramente identificada.

En Senex, Consejos de Buen Gobierno, contamos con certificación homologada por la ANF, Autoridad de Certificación, de acuerdo con el Esquema de la Agencia Española de Protección de Datos, por lo que podemos prestar el servicio de Delegado de Protección de Datos externo acreditando los conocimientos especializados que la normativa requiere.

Miguel Angel Blanes Pascual Socio – Director del Area de Compliance Senex, Consejos de Buen Gobierno, SL

Con la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (y por el que se deroga la Directiva 95/46/CE) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la Protección de Datos de carácter personal entró en una nueva era en nuestro país.

La obligación de establecer un Registro de actividades del tratamiento, sustituyendo el anterior modelo de inscripción de ficheros, hace que las empresas tengan que tener en todo momento controlado el movimiento de información.

Aquí entra en juego la capacidad de los programas implementados en las empresas de adaptarse a los cambios que se vayan produciendo en la gestión de los datos. Y para que exista una adaptación eficiente y completa estos programas deben estar lo más estructurados posibles, dejando siempre espacio para la improvisación de determinados protocolos o actuaciones por circunstancias extraordinarias, como hemos podido ver en estos tiempos de la Crisis del Covid19.

Para que exista esta estructuración nosotros optamos por el modelo del Check List, que nos ayuda a articular su implantación y facilita que al cliente no le cueste ningún esfuerzo seguir los hitos de la implementación y seguimiento del Programa.

Este Check List nos ayuda a guiarnos en la generación de la documentación escrita para el cliente basándonos siempre en el Registro de Actividades.

Con esta fórmula, y tomando como inicio el Registro de Actividades, podemos trazar 3 tipos de documentos:

  1. Documentos de trabajo y desarrollo.
    En los documentos de trabajo y desarrollo englobamos todos aquellos textos requeridos por la normativa vigente, como el Análisis de riesgo de los datos o la Evaluación de encargados del tratamiento.
  2. Documentos para el día a día de las empresas.
    Aquí generaríamos todas las cláusulas, escritos y circulares de información necesarias para actualizar e informar a todos los interesados de la protección de sus datos de carácter personal.
  3. Protocolos.
    Incluimos las medidas de seguridad o la notificación de quiebras de seguridad.

Especial atención merece la formación del personal en la Protección de Datos. Al final, cuando implementas un Programa en una empresa, y aunque estés siempre disponible para la resolución de dudas o problemas que puedan surgir, la empresa tiene que interiorizar la cultura del cumplimiento, en este caso del cumplimiento en la normativa de la Protección de Datos. Sobre todo en aquellas empresas que basan sus actuaciones en interacciones como clientes, el personal tiene que estar plenamente integrado en el Programa.

Esta estructura que nos proporciona el Check List es perfecta para nuestro modelo de implementación de Programas Llave en Mano.

Además de la estructura, es de vital importancia la actualización de los Programas. No vale con generar la documentación mínima para que esté guardada en un armario o una carpeta del escritorio.

Aquí entra de nuevo la exigencia de la normativa, que en el caso concreto de la Protección de Datos exige una continua revisión del Registro de Actividades, cada vez que se produzca un cambio en el tratamiento de los datos.

La presencia del Delegado de Protección de Datos (DPD), obligatorio en los casos que establecen el RGPD que van desde operadores de juego online a notarías, se complementa con la asistencia de empresas especializadas que sirven de soporte al DPD.

El calendario de renovación de documentos, con actas de cada reunión, es recomendable establecerlo de manera ordinaria cada, como mínimo, semestre. En estas reuniones se pueden analizar los cambios en el tratamiento de la información, el funcionamiento de los protocolos o la extensión de la formación de los empleados.

La celebración de reuniones extraordinarias tiene que estar contemplada para aquellos supuesto donde se produzcan hechos que precisen medidas inmediatas.

La planificación minuciosa tanto de la implementación del Programa como de su actualización, tiene que integrarse lo máximo posible en el funcionamiento habitual de la empresa, siendo recomendable su integración en los Órganos de Cumplimiento de la empresa o Compliance Officer.

Miguel Ángel Blanes Ortuño
Responsable Área Protección de Datos
Sénex Consejos de Buen Gobierno

El Tribunal Supremo mediante sentencia de 6 de febrero de 2020, ha desestimado un recurso en el que entre otros argumentos, se pretendía la inexistencia de “engaño suficiente” en el realizado a una empresa, porque ésta, la engañada, no disponía de un adecuado sistema de Compliance. Si bien la sentencia desestima el recurso, al considerar que en los hechos enjuiciados se había producido engaño suficiente, sobre todo porque ese había contado con la colaboración activa de los empleados de la empresa estafada que, precisamente, tenían la función de controlar que no fuese engañada la empresa, realiza de pasada interesantes afirmaciones en favor de la implantación de sistemas de “Compliance” en las empresas.

La sentencia afirma que “una cosa es que la empresa española esté adoptando programas de compliance, cada vez más, con estos mecanismos de vigilancia, y otra bien distinta es que sea el autor de un delito de estafa quien marque los parámetros y medidas que debe adoptar la empresa para protegerse, y que si no se hace en una elevada graduación de autotutela quedará exonerado el autor del ilícito penal, lo que, obviamente, no puede admitirse.”

Pero al mismo tiempo afirma “es básico en la empresa la existencia del debido control interno en éstas, mediante la técnica anglosajona del compliance como conjunto de normas de carácter interno, establecidas en la empresa a iniciativa del órgano de administración, con la finalidad de implementar en ella un modelo de organización y gestión eficaz e idóneo que le permita mitigar el riesgo de la comisión de delitos y exonerar a la empresa y, en su caso, al órgano de administración, de la responsabilidad penal de los delitos cometidos por sus directivos y empleados.”

Para a continuación afirmar que “en este caso la delincuencia lo ha sido hacia la propia empresa (ad intra) en la que trabajaban los condenados en colaboración con empresas que con ellos se relacionaban, pero la circunstancia de la inexistencia de una medida de “autoprotección” de la empresa con el programa de cumplimiento normativo, no puede conllevar más que un propio error interno de la empresa que no ha seguido las recomendaciones que al respecto se están haciendo de implementar estos programas para aplicar la cultura del cumplimiento del derecho en la empresa y de las buenas prácticas que eviten la actividad delictiva tanto hacia dentro como hacia afuera.”

Destaca así el Tribunal Supremo que un sistema de Compliance no solamente sirve para liberar a las empresas de la responsabilidad de delitos cometidos contra terceros por empleados y directivos de la empresa, sino también para detectar delitos que se cometen contra la propia empresa, reduciendo con ello los perjuicios que se le puedan causar. Esto es, los sistemas de Compliance no sólo aportan un valor exculpatorio, sino un valor preventivo de perjuicios a la propia empresa que puede ser muy interesante para ella.

Afirma la sentencia que “De haber existido un adecuado programa de cumplimiento normativo, casos como el aquí ocurrido se darían con mayor dificultad, ya que en la mayoría de los supuestos, el conocimiento de actividades, como las aquí declaradas probadas de estafa por los propios empleados a su empresa, cobrando comisiones de terceros, pese perjudicar a su propia empresa, y para beneficiarse ellos, no se hubieran dado…” “de ahí, la importancia de que en las sociedades mercantiles se implanten estos programas de cumplimiento normativo, no solo para evitar la derivación de la responsabilidad penal a la empresa en los casos de delitos cometidos por directivos y empleados, que serían los casos de ilícitos penales ad extra, que son aquellos en los que los perjudicados son terceros/acreedores que son sujetos pasivos por delitos tales como estafas, alzamientos de bienes, etc, sino, también, y en lo que afecta al supuesto ahora analizado, para evitar la comisión de los delitos de estafa, apropiación indebida y administración desleal, es decir, ad intra.”

Originalmente escrito en http://www.finestportfolioideas.com/las-recomendaciones-del-tribunal-supremo-en-materia-de-compliance-un-motivo-mas-para-implantarlo-por-rafael-carrau/

Artículo de Pedro Guirao, abogado de Axium Consulting publicado en la web del Sector del Juego.

Los programas de cumplimiento penal, con origen en el mundo anglosajón, están abriéndose camino en el tejido empresarial español a fuerza de necesidad, sobre todo dada la ruptura del principio que había imperado en nuestro Derecho Penal hasta la Ley Orgánica 5/2010, de 22 de junio, por la que se modificó la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que se concretaba en el adagio latino societas delinquere non potest. Hasta ese momento y sobre la base de diferentes razonamientos –no escasos de fundamento– se entendía que las personas jurídicas como tales no podían ser sancionadas penalmente. A partir de ese momento y con diferentes argumentos, principalmente la trasposición de Directivas Comunitarias –que, dicho sea de paso, tan solo plantean la responsabilidad penal de las personas jurídicas como una alternativa, sin imponerla– el legislador quiebra ese principio y sobre la base de una regulación en exceso interpretable, dado lo taxativo que debiera ser el Derecho Penal, articula un régimen de responsabilidad penal para las personas jurídicas en el ordenamiento jurídico español, que además puede operar con independencia de que se pueda o no individualizar la responsabilidad en una persona física concreta.

Ello ha hecho crecer la preocupación entre las empresas, sobre todo a medida que se han empezado a conocer los primeros fallos del Tribunal Supremo al respecto,
que son sin duda los que han hecho a las mismas plantearse la auténtica necesidad de dotarse de un programa de prevención de delitos. Esta necesidad no es en absoluto exagerada, una vez que los operadores se han cerciorado de que los tribunales han comenzado a dictar pronunciamientos condenatorios frente a las sociedades y que las sanciones pueden tener una entidad nada baladí.
La necesidad tiene sentido porque el legislador articula un régimen que excluye la responsabilidad penal de la persona jurídica para el caso de que haya articulado un
programa de cumplimiento normativo que mantenga vivo, precisión esta última que normalmente olvidan las empresas y que conviene recordar, pues difícilmente podrán las sociedades verse eximidas de responsabilidad o beneficiarse de una atenuación de la pena si estos programas no se revisan y se mantienen actualizados con la periodicidad adecuada. Esta circunstancia tiene todo el sentido sobre la base de que la voluntad del legislador es instaurar una verdadera cultura de cumplimiento normativo en el sector privado –como era esperable, al sector público no le alcanzan esas necesidades de prevención– algo imposible si no se hace el debido seguimiento. En definitiva, si el plan no se revisa y se le dota de virtualidad, sobre la base de un seguimiento y de la formación del personal, es tan solo papel mojado que no tendrá la utilidad deseada.
Uno de los elementos que sin duda todo plan debe contener es un mapa de riesgos relacionado con los delitos que son susceptibles de comisión por las personas
jurídicas –que son un numerus clausus– asignándoles un concreto nivel de riesgo sobre el que tomaremos las decisiones oportunas en materia de prevención, elemento también esencial. Todos estos delitos se encuentran ubicados en el Código Penal, ello con excepción de uno que no es otro que el que da título a este artículo; el delito de contrabando, que viene regulado por la Ley Orgánica 12/1995, de 12 de diciembre, de represión del contrabando (Ley Orgánica 12/1995, en adelante), que en su artículo 2.6 prevé expresamente la posibilidad de comisión de este delito por parte de las personas jurídicas.
A la hora de realizar el estudio correspondiente a los mapas de riesgo de comisión delictual de los que se deben dotar los bingos al elaborar sus programas de prevención, las particularidades que ofrece el sector son varias. Huelga decir como ejemplo las particularidades que precisa en su valoración el blanqueo de capitales, dada la obligatoriedad que tienen los bingos de contar con un programa de prevención específico al respecto, tal y como les impone el artículo 2.1 u) de la Ley Orgánica 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
Con respecto al contrabando, y más allá de las previsiones genéricas que debe adoptar cualquier sociedad, conviene no pasar por alto al reflexionar sobre qué riesgo se le asigna a este delito en el caso de los bingos varios factores, de los que apuntaremos dos. En primer lugar está el hecho de que los cartones de bingo son géneros estancados, lo que adquiere una importancia capital en la medida en que la Ley Orgánica 12/1995, al tipificar el delito, habla en su artículo 2.2 b) de los que “realicen operaciones de importación, exportación, comercio, tenencia, circulación de: géneros estancados […]”, por tanto no debemos pasar por alto que uno de los elementos esenciales de la actividad de los bingos puede ser objeto de uno de los delitos que la legislación penal establece como susceptible de atribución a las personas jurídicas. Ello dicho, para que exista delito el “valor de los bienes, mercancías, géneros o efectos” debe ser “igual o superior a 50.000 euros”, cifra que minimiza bastante el riesgo de comisión del tipo, pero que no excluye que deba ser tenido en cuenta en la valoración, como ahora se apuntará.
De igual modo, conviene tener en presente una previsión que quizás sea más evidente, y es que el artículo 2.3 b) de la Ley Orgánica 12/1995 recoge otra modalidad
comisiva más plausible por el límite cuantitativo con el que la dota, al establecer que también habrá delito de contrabando “cuando se trate de labores del tabaco cuyo valor sea igual o superior a 15.000 euros”.
Volviendo a lo anteriormente apuntado, a pesar de lo elevado –en principio– de las cifras, conviene no bajar la guardia al respecto dada la expresa mención que realiza
la Ley Orgánica 12/1995 a la posibilidad de concurrencia del delito continuado. Esta figura será de aplicación cuando, en ejecución de un plan preconcebido, se realicen varias de las acciones y/u omisiones previstas en la Ley y el valor acumulado de los géneros o productos en sí mismos considerados no alcancen los límites del artículo, pues podrán ser tenidos en cuenta cuando su valor acumulado sí lo alcance, siempre y cuando no hayan sido sancionados administrativamente.
Sirvan estas precisiones sobre el delito de contrabando para apuntar que el juego privado debe imponerse rápido las nuevas exigencias de prevención que establece el legislador penal, ello a los efectos de evitar más problemas de los necesarios si se comete un delito en el seno de cualquiera de las empresas que dan cobertura al sector. Esa rapidez, como es lógico, debe venir acompañada de una adaptación de los programas de cumplimiento a lo específico de la regulación para el juego, de modo que los mismos posean el rigor que les haga, verdaderamente, cumplir su función.

Durante la mañana del 29 de Abril, el Colegio de Abogados de Albacete y Wolterskluwer organizarán una jornada sobre La Responsabilidad Penal de las Personas Jurídicas. La figura del Compliance.

En esta Jornada participará Miguel Ángel Blanes, director de Axium Consulting, con una ponencia sobre “Aspectos prácticos de la Implantación de un programa de Compliance”, dada su condición de socio fundador de Complying SL y tras la reciente implantación de varios programas de Compliance por esta empresa.

A la jornada también acudirán Don Julio Guerrero Zapara, Magistrado-Juez titular del Juzgado de lo Penal de Murcia y Don Jaime Sánchez-Vizcaíno Rodríguez, Abogado, Doctor en Derecho y Profesor de Derecho Mercantil.

El evento se celebrará en  el Salón de Actos del Hotel Los Llanos (Albacete).

Noticia completa aquí.