Tag: Senex consejos de buen gobierno

COMPLIANCE Y FONDOS EUROPEOS PARA LA RECUPERACIÓN: HACER DE LA NECESIDAD VIRTUD.

Hemos comentado en muchas ocasiones la necesidad, mucho más allá de la mera conveniencia, de que las empresas cuenten con una adecuada protección de los riesgos penales a los que se ven expuestas en el desarrollo de su actividad cotidiana, consecuencia de la atribución de responsabilidad penal a las personas jurídicas introducida en nuestro Código Penal a través de las sucesivas reformas del mismo. Y su gran utilidad se ha puesto de manifiesto durante el periodo de introducción de las restricciones derivadas de la pandemia Covid-19, ya que estos sistemas han permitido limitar los riesgos que de estas restricciones se han derivado, como los riesgos informáticos derivados de la introducción del teletrabajo o los derivados de los derechos de los consumidores y su protección.

Al hilo de esta situación, se ha aprobado el Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia. El correcto funcionamiento de estos mecanismos exige la adaptación de los procedimientos de gestión y el modelo de control por parte de las Administraciones Públicas gestoras de las ayudas, junto a la configuración y desarrollo de un Sistema de Gestión que facilite la tramitación eficaz de las solicitudes de desembolso a los Servicios de la Comisión Europea, conforme a los estándares requeridos, tanto desde el punto de vista formal como operativo. Para ello, el artículo 22 del citado Reglamento (UE) 2021/241 concreta la obligación de recabar, en un formato electrónico armonizado que permita realizar búsquedas y en una base de datos única, información identificativa relativa al perceptor final de los fondos, así como de los contratistas y subcontratistas.

El BOE del 30 de septiembre de 2021 publica la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia (en adelante, PRTR), que concreta las directrices que garanticen el cumplimiento coordinado de los requerimientos establecidos por la normativa comunitaria para la ejecución del PRTR. En su artículo 2, que define los principios de gestión específicos del PRTR, de obligatoria consideración en la planificación y ejecución de los componentes del Plan de Recuperación, Transformación y Resiliencia, y por lo tanto transversales en el conjunto del Plan, incluye, en la letra d) de dicho artículo, la obligación de considerar como principio específico el refuerzo de los mecanismos, establecidos ya o no, de los intervinientes en la ejecución del plan para la prevención, detección y corrección del fraude, la corrupción y los conflictos de interés. Es decir, y traducido a un lenguaje menos burocrático, que las empresa que opten a este tipo de mecanismos de ayuda deberán de disponer de un sistema de prevención de riesgos penales, un programa de Compliance, que permita minimizar los riesgos derivados de la ejecución del mismo.

El artículo 6 de la citada Orden HFP/1030/2021 desarrolla lo que entiende como refuerzo de mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses. Toda entidad, decisora o ejecutora, así como los perceptores de fondos, que participe en la ejecución de las medidas del PRTR deberá disponer de un «Plan de medidas antifraude» que le permita garantizar y declarar que, en su respectivo ámbito de actuación, los fondos correspondientes se han utilizado de conformidad con las normas aplicables, en particular, en lo que se refiere a la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses.

Se configuran como actuaciones obligatorias para los órganos gestores, la evaluación de riesgo de fraude, la cumplimentación de la Declaración de Ausencia de Conflicto de Intereses (DACI) y la disponibilidad de un procedimiento para abordar conflictos de intereses. La elección de las medidas de prevención y detección se deja a juicio de la entidad que asuma la responsabilidad de gestión, atendiendo a sus características específicas y siempre teniendo en cuenta la necesidad de garantizar una conveniente protección de los intereses de la Unión.

El Plan de medidas antifraude deberá cumplir los siguientes requerimientos mínimos:

- Estructurar las medidas antifraude de manera proporcionada y en torno a los cuatro elementos clave del denominado «ciclo antifraude»: prevención, detección, corrección y persecución. Es decir, un circuito análogo al que se debe de establecer en un programa de Compliance.

- Prever la realización, por la entidad de que se trate, de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal. Previsión que coincide con el Plan de Auditorías que el programa de Compliance debe de incorporar necesariamente, tanto internas (obligatorias), como, en su caso, externas (a lo que obliga, entre otras instituciones, LaLiga, como ya tuvimos oportunidad de exponer en otro post).

- Definir medidas preventivas adecuadas y proporcionadas, ajustadas a las situaciones concretas, para reducir el riesgo residual de fraude a un nivel aceptable, y establecer medidas de detección ajustadas a las señales de alerta, definiendo el procedimiento para su aplicación efectiva.

- Definir las medidas correctivas pertinentes cuando se detecta un caso sospechoso de fraude, con mecanismos claros de comunicación de las sospechas de fraude, y Eestablecer procesos adecuados para el seguimiento de los casos sospechosos de fraude y la correspondiente recuperación de los Fondos de la UE gastados fraudulentamente.

- Definir procedimientos de seguimiento para revisar los procesos, procedimientos y controles relacionados con el fraude efectivo o potencial, que se transmiten a la correspondiente revisión de la evaluación del riesgo de fraude.

- Específicamente, definir procedimientos relativos a la prevención y corrección de situaciones de conflictos de interés, de acuerdo con lo dispuesto en el Reglamento Financiero de la UE.

Para dar cumplimiento al contenido de este Plan de Medidas antifraude, la Orden incorpora una serie de Anexos donde la entidad correspondiente debe de identificar los riesgos a los que se puede enfrentar, los planes de contingencia establecidos, la inexistencia de conflictos de intereses y cláusulas anticorrupción (cláusulas “Anti Bribery” del derecho anglosajón), declaraciones que no dejan de ser una síntesis de los programas de Compliance adoptados.

En el supuesto de que se detecte un posible fraude, o su sospecha fundada, la entidad correspondiente deberá suspender inmediatamente el procedimiento; iniciar una información reservada para depurar responsabilidades o incoar un expediente disciplinario; notificar tal circunstancia en el más breve plazo posible a las autoridades interesadas y a los organismos implicados en la realización de las actuaciones y revisar todos aquellos proyectos, subproyectos o líneas de acción que hayan podido estar expuestos al mismo, comunicando los hechos producidos y las medidas adoptadas a la entidad decisora, o a la entidad ejecutora;  y denunciar, si fuese el caso, los hechos a las Autoridades Públicas competentes, incluido, en su caso, el Ministerio Fiscal.

En resumen: las empresas que pretendan participar en los procesos de adjudicación de fondos del PRTR deben de disponer, imperativamente, de programas de Compliance suficientemente solventes y adaptados a las exigencias de la normativa nacional (artículo 31 bis del Código Penal) para poder acceder a estas ayudas. El Compliance deja de ser un importante  mecanismo de prevención para convertirse en una obligación para acceder a los fondos de recuperación, tan necesarios en la situación actual.

En Senex, Consejos de Buen Gobierno, ponemos a disposición de las empresas un equipo experimentado y solvente para la implantación de este tipo de programas, como parte de la gestión de los fondos, como acredita nuestra larga experiencia en este campo y el importante número de empresas a las que hemos ayudado a implantar estos modelos. Es el momento.

Miguel Angel Blanes Pascual

Socio – Director del Area de Compliance
Senex, Consejos de Buen Gobierno, SL

Miguel Ángel Blanes Pascual – Socio y director de Axium Consulting

Como es conocido, la reforma del Código Penal del año 2010 introdujo, por primera vez en España, la figura de la responsabilidad penal de las personas jurídicas. Su regulación aparece en el artículo 31 bis del Código Penal, sobre el que se han escrito ya muchos artículos doctrinales que orientan sobre las consecuencias de esta nueva figura. Esta reforma del Código Penal tuvo su continuidad en la reforma de 2015, que mantiene la responsabilidad penal de las personas jurídicas, pero establece como eximente la adopción de modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.

Esta nueva figura de responsabilidad afecta a todas las personas jurídicas, que en mayor o menor medida están expuestas a los distintos delitos que elartículo 31 bis del Código Penal les atribuye la responsabilidad penal por su comisión. Por ello, y reiterando la imperativa recomendación que todos los actores trasladan, desde Jueces y Magistrados hasta los profesionales que trabajan con las empresas, resulta imprescindible que las empresas se doten de los mecanismos de protección de la responsabilidad penal que el propio Código Penal articula, como son los modelos antes citados de Compliance. En SENEX, CONSEJOS DE BUEN GOBIERNO, SL, hemos implantado más de 150 modelos de cumplimiento normativo en muchos ámbitos de actividad, por lo que tenemos una visión clara de la necesidad, más que la conveniencia, de disponer de estos modelos, ya que está en juego la propia supervivencia de la empresa.

Entre los sectores que hemos trabajado estos modelos, queremos referirnos, en esta ocasión, a los clubes de fútbol profesionales, encuadrados en LaLiga, que son los clubs de Primera y Segunda división (Liga Santander y SmartBank respectivamente). Pero lo hemos trabajado desde otra perspectiva, ya que no hemos implantado el modelo, si no que hemos auditado el funcionamiento eficaz de los modelos adoptados por los clubs. Hemos realizado varias auditorías de clubs profesionales y podemos afirmar, con pleno conocimiento de causa, que los clubs tienen unos modelos serios, solventes y rigurosos que permiten hacer frente a las posibles responsabilidades penales a las que están expuestos con garantías. Son conocidos algunos casos que han afectado a clubs de gran relevancia, precisamente por la presunta comisión de delitos de los indicados en el citado artículo 31 bis; en concreto, quizás el más conocido sea el caso del procesamiento del FC Barcelona por parte de la Audiencia Nacional por los delitos de estafa y corrupción entre particulares con motivo del fichaje Neymar cuando jugaba en el Santos brasileño en 2011, por lo que la adopción de estos modelos son piedra angular del gran esfuerzo realizado por LaLiga para asegurar la transparencia de sus eventos.

LaLiga, como órgano competente para velar por la integridad de las competiciones que organiza, es muy exigente en la prevención de los riesgos penales de los clubs que forman parte de la misma. No sólo exige que tengan un programa de cumplimiento normativo, sino que este modelo esté auditado en su eficacia. En este sentido, el artículo 55.19 de los Estatutos de LaLiga establece entre los requisitos para la inscripción de los clubs en las competiciones organizadas bajo su mandato, la presentación de un “Informe de Auditoría de tercero experto independiente”, que refrende la efectiva implantación de los citados modelos de organización y gestión, y su funcionamiento eficaz, lo que permite contribuir a perfeccionamiento continuo del modelo y asegurar la adecuación de su planteamiento, no sólo desde la perspectiva teórica, sino también de su efectividad. Esto contribuye de forma decisiva a garantizar la buena dirección y el control del modelo implantado.

En esta línea, y como dijimos antes, en SENEX hemos realizado varias auditorías a clubs de LaLiga, encuadrados en la Primera División, siendo seleccionados en razón de nuestra experiencia en la implantación de estos modelos. Estas auditorías se enmarcan en la necesidad de dar cumplimiento a lo previsto en el punto sexto del apartado quinto del artículo 31 bis del Código Penal, que impone la obligación de realizar una verificación periódica de los Modelos de Prevención de Riesgos Penales y, en su caso, llevar a cabo las modificaciones que sean necesarias. Estas auditorías constituyen, por tanto, una revisión del Modelo de Prevención de Riesgos Penales implantado, que a su vez resultará útil para completar la labor de monitorización del modelo que viene impuesta por nuestro ordenamiento jurídico proponiendo, en su caso, las mejoras al modelo que se consideren oportunas.

La revisión del Modelo de Prevención de Riesgos Penales la hemos efectuado no sólo teniendo en cuenta lo previsto en el Código Penal, sino también lo previsto en las Circulares de la Fiscalía General del Estado 1/2015 y 1/2016, en la doctrina jurisprudencial, así como en las normas UNE 19011 y UNE 19601 — que por su parte imponen la realización de revisiones de los modelos implantados, así como su constante monitorización y la comprobación de su eficacia, con el fin de adaptar dichos modelos a las circunstancias existentes en cada momento. No obstante, y en las últimas auditorías realizadas, las anteriores normas ISO han sido sustituidas por la norma UNE – ISO 37301, Sistemas de Gestión del Compliance de reciente aprobación. Por tanto, hemos adaptado la revisión de los modelos al nuevo marco normativo derivado de la norma recientemente aprobada.

En resumen, de nuestra experiencia en el análisis de los modelos de prevención de riesgos penales implantados en los clubs de fútbol profesionales que participan en las competiciones organizadas por LaLiga, podemos afirmar, sin ningún género de dudas, que los clubs han implantado modelos bien desarrollados y con un seguimiento efectivo de las incidencias, lo que contribuye de forma decisiva a garantizar que la competición es segura y sobre todo íntegra.

El Reglamento General de Protección de Datos (RGPD) ha creado la figura del Delegado de Protección de Datos, que constituye un garante del cumplimiento de la normativa de protección de datos en las organizaciones. El delegado de protección de datos es un especialista en protección de datos que será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones.

Así, esta figura constituye una de las piezas clave del RGPD/LOPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, aunque la responsabilidad sobre este cumplimiento recae siempre sobre el responsable o encargado.

El RGPD y la nueva LOPD disponen que serán los responsables y encargados del tratamiento quienes deberán asignar un Delegado de Protección de Datos y enumeran los casos que debe designarse un DPO, entre los que destacamos:
a) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
b) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
c) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
d) Los establecimientos financieros de crédito.
e) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
f) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
g) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, aunque se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
h) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
i) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
j) Las empresas de seguridad privada.

El responsable y encargado del tratamiento –públicos o privados-, se ven obligados a garantizar la independencia del DPD, pues se ven obligados a designar a este sujeto en los supuestos previstos en los Reglamentos, Normativa Europea o Normativa Nacional o cuando fuere elegido de forma voluntaria.

A este respecto, hay que señalar que la independencia del DPD, que se entiende como autonomía para el desempeño de funciones, es una de las garantías básicas que establece el RGPD y que tienen que asegurar quienes lo designen. Esta autonomía debe entenderse como una garantía frente a posibles injerencias en el desarrollo de sus funciones, y está relacionada estrechamente con el requisito de evitar el conflicto de intereses para así asegurar el derecho fundamental a la protección de datos de carácter personal.

Cualquier tipo de insuficiencia en el desarrollo de las funciones del DPO implicaría vulnerar su estatuto jurídico pudiendo llegar, incluso, a vulnerar el derecho fundamental a la protección de datos personales. Por ejemplo, un error sería no proporcionar los recursos necesarios para el desarrollo de sus funciones.

El DPO no puede ser alguien que esté en una posición de toma de decisiones o que influya en las decisiones relativas al tratamiento de datos personales, es decir, los medios y fines del tratamiento, dada su posición en la organización, tales como el propietario o presidente de la misma, el responsable de ficheros, el responsable del servicio médico, el responsable de recursos humanos, el responsable de marketing, el responsable de áreas de tecnología de la información, o cualquier otro puesto que desempeñe una función o tenga una posición que implique intervenir en la determinación de dichos fines y medios del tratamiento.

La normativa antes indicada establece expresamente que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos; a estos efectos, por conocimientos especializados, debe entenderse el resultado de una formación homologada, evitando el desarrollo de ciertas prácticas que pudieran ocasionar una falta de protección de datos, debido al desconocimiento de su mercado. Estos conocimientos deben ser los necesarios para identificar los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, y puede ser tanto una persona de la organización como, y muy especialmente, un profesional externo con formación debidamente homologada.

El DPD debe de formar parte de todos los análisis, debates o discusiones que tengan como materia directa o indirecta en tratamiento de datos personales en el seno de la organización. En el ejercicio de sus funciones, el DPD deberá reportar al consejo de administración u órgano equivalente de la organización, lo que requiere una línea de reporte funcional claramente identificada.

En Senex, Consejos de Buen Gobierno, contamos con certificación homologada por la ANF, Autoridad de Certificación, de acuerdo con el Esquema de la Agencia Española de Protección de Datos, por lo que podemos prestar el servicio de Delegado de Protección de Datos externo acreditando los conocimientos especializados que la normativa requiere.

Miguel Angel Blanes Pascual Socio – Director del Area de Compliance Senex, Consejos de Buen Gobierno, SL

Con la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (y por el que se deroga la Directiva 95/46/CE) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la Protección de Datos de carácter personal entró en una nueva era en nuestro país.

La obligación de establecer un Registro de actividades del tratamiento, sustituyendo el anterior modelo de inscripción de ficheros, hace que las empresas tengan que tener en todo momento controlado el movimiento de información.

Aquí entra en juego la capacidad de los programas implementados en las empresas de adaptarse a los cambios que se vayan produciendo en la gestión de los datos. Y para que exista una adaptación eficiente y completa estos programas deben estar lo más estructurados posibles, dejando siempre espacio para la improvisación de determinados protocolos o actuaciones por circunstancias extraordinarias, como hemos podido ver en estos tiempos de la Crisis del Covid19.

Para que exista esta estructuración nosotros optamos por el modelo del Check List, que nos ayuda a articular su implantación y facilita que al cliente no le cueste ningún esfuerzo seguir los hitos de la implementación y seguimiento del Programa.

Este Check List nos ayuda a guiarnos en la generación de la documentación escrita para el cliente basándonos siempre en el Registro de Actividades.

Con esta fórmula, y tomando como inicio el Registro de Actividades, podemos trazar 3 tipos de documentos:

  1. Documentos de trabajo y desarrollo.
    En los documentos de trabajo y desarrollo englobamos todos aquellos textos requeridos por la normativa vigente, como el Análisis de riesgo de los datos o la Evaluación de encargados del tratamiento.
  2. Documentos para el día a día de las empresas.
    Aquí generaríamos todas las cláusulas, escritos y circulares de información necesarias para actualizar e informar a todos los interesados de la protección de sus datos de carácter personal.
  3. Protocolos.
    Incluimos las medidas de seguridad o la notificación de quiebras de seguridad.

Especial atención merece la formación del personal en la Protección de Datos. Al final, cuando implementas un Programa en una empresa, y aunque estés siempre disponible para la resolución de dudas o problemas que puedan surgir, la empresa tiene que interiorizar la cultura del cumplimiento, en este caso del cumplimiento en la normativa de la Protección de Datos. Sobre todo en aquellas empresas que basan sus actuaciones en interacciones como clientes, el personal tiene que estar plenamente integrado en el Programa.

Esta estructura que nos proporciona el Check List es perfecta para nuestro modelo de implementación de Programas Llave en Mano.

Además de la estructura, es de vital importancia la actualización de los Programas. No vale con generar la documentación mínima para que esté guardada en un armario o una carpeta del escritorio.

Aquí entra de nuevo la exigencia de la normativa, que en el caso concreto de la Protección de Datos exige una continua revisión del Registro de Actividades, cada vez que se produzca un cambio en el tratamiento de los datos.

La presencia del Delegado de Protección de Datos (DPD), obligatorio en los casos que establecen el RGPD que van desde operadores de juego online a notarías, se complementa con la asistencia de empresas especializadas que sirven de soporte al DPD.

El calendario de renovación de documentos, con actas de cada reunión, es recomendable establecerlo de manera ordinaria cada, como mínimo, semestre. En estas reuniones se pueden analizar los cambios en el tratamiento de la información, el funcionamiento de los protocolos o la extensión de la formación de los empleados.

La celebración de reuniones extraordinarias tiene que estar contemplada para aquellos supuesto donde se produzcan hechos que precisen medidas inmediatas.

La planificación minuciosa tanto de la implementación del Programa como de su actualización, tiene que integrarse lo máximo posible en el funcionamiento habitual de la empresa, siendo recomendable su integración en los Órganos de Cumplimiento de la empresa o Compliance Officer.

Miguel Ángel Blanes Ortuño
Responsable Área Protección de Datos
Sénex Consejos de Buen Gobierno