Derecho Digital: “Compliance” y la gestión de riesgos legales II

En el anterior post sobre “Derecho Digital: Compliance y la gestión de riesgos legales” se hizo una introducción a los conceptos básicos que definen dicha materia relacionada con el Derecho preventivo en el entorno de práctica de un abogado TIC. En este artículo trataremos sobre aquellos elementos básicos que deben configurar un programa de Compliance en el ámbito de los negocios digitales.

Como se comentó anteriormente, los tres elementos que se deben tener siempre en consideración para el desarrollo adecuado de un plan de compliance en Derecho Digital son:

• Un conocimiento especializado de la normativa legal del sector TIC.

• Un conocimiento del uso y funcionamiento de la tecnología.

• Una metodología que permita la gestión de los riesgos legales y cumplimiento normativo de forma continua.

En este artículo nos centraremos en los aspectos referentes a la preparación y posterior desarrollo de una metodología de un programa de compliance en TIC. Una metodología adecuada de cumplimiento normativo y gestión de riesgos debe permitir:

• Revisar y/o monitorizar de hechos o acciones relevantes de la organización con posibles consecuencias jurídicas en Derecho TIC.

• Comunicar cualquier hecho o acción que pueda tener incidencia en el cumplimiento normativo.

• Actuar de forma urgente y/o planificada para poder gestionar cualquier riesgo legal producido por tales hechos detectados o comunicados.

Toda esta serie de actuaciones deben integrarse en un plan de mejora continua en el que de forma cíclica se pueda detectar y actuar cualquier hecho o acción con relevancia jurídica en derecho TIC y por tanto que pueda suponer un estado de riesgo de incumplimiento legal.

Para poder desarrollar toda esta serie de actuaciones anteriormente mencionadas, se deberá disponer de una serie de herramientas documentales y en algunos casos también necesariamente tecnológicas que permitan gestionar y acreditar el cumplimiento adecuado de nuestro programa de compliance:

• Códigos de conducta o éticos

• Manual de políticas, procedimientos, procesos e instrucciones.

• Informes de análisis y evaluación de riesgos legales.

• Plan de adecuación o de actuación ante los riesgos legales detectados.

• Auditorías jurídicas periódicas de cumplimiento.

• Registros de actividad y de constatación de hechos (sistema de recopilación de evidencias).

• Habilitación de un canal de denuncias.

Para que todas estas herramientas puedan ser creadas, desarrolladas y supervisadas de forma adecuada, será necesario definir las personas que serán responsables de llevar a cabo el programa de cumplimiento según sus cargos y funciones dentro de la organización.

En cualquier caso, el éxito del arranque de un programa de cumplimiento normativo requerirá que los cargos con poder de decisión en la organización sean los responsables de definir las políticas de cumplimiento así como la aportación de garantías en su difusión y vinculación a todo el personal de la organización.

Como figura clave en el programa de cumplimiento, el “Compliance Officer” (CO) será la persona (o personas) que se encargue de supervisar, coordinar y proponer las correcciones o mejoras de los incumplimientos detectados dentro de la organización así como proponer medidas que garanticen de forma continua un constante cumplimiento normativo ante cualquier cambio legislativo y jurisprudencial.

Una vez definidas las principales actuaciones, herramientas necesarias para su viabilidad y las personas encargadas de su supervisión y cumplimiento, deberemos empezar a definir las líneas maestras para iniciar nuestro propio programa. La puesta en práctica de un programa de compliance en un negocio digital deberá pasar por tres fases principales:

1. Estudio, análisis y evaluación del negocio digital.

2. Adopción de medidas urgentes de cumplimiento.

3. Implementación de un Plan de actuación de supervisión y mejora continua.

El CO deberá conocer en profundidad el negocio afectado por el programa de cumplimiento donde deberá entender el servicio que presta la organización, cómo lo presta (activos, procesos y procedimientos) y su estructura organizativa y funcional. Esta primera fase de estudio debe permitir determinar aquellos hechos y acciones que pueden ser considerados relevantes jurídicamente para su análisis y evaluación de posible riesgo de incumplimiento. En el caso que se quiera conocer el funcionamiento, la prestación o gestión de servicios TIC de un negocio digital en un marco internacionalmente reconocido, las prácticas contempladas en ITIL (Biblioteca de Infraestructura de Tecnologías de Información) permiten disponer de un conjunto, no sólo los procesos y requerimientos técnicos y operacionales de cualquier organización que preste servicios TIC, sino que también permite un conocimiento de la gestión estratégica, la gestión de operaciones y la gestión financiera de cualquier organización basada en la economía digital.

Una vez que empezamos a comprender la estructura y el funcionamiento de un negocio digital y se ha procedido a inventariar los hechos y acciones con relevancia jurídica se deberá realizar también una relación de la normativa jurídica aplicable al negocio en base a un criterio de clasificación que deberemos ir perfeccionando a la medida de cada tipo de negocio, como puede ser el que se propone de forma orientativa a continuación:

1. Estructura y presencia del negocio digital.

MARCAS Y DOMINIOS:

Ley 17/2001, de 7 de diciembre, de Marcas ( Art. 11 )

Ley 3/1991, de 10 de enero, de Competencia Desleal ( Art 12 )

WEB CORPORATIVA:

Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el

texto refundido de la Ley de Sociedades de Capital. ( Arts. 11 )

WEB COMERCIAL:

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información

y de comercio electrónico. (Arts. 9, 10, 11 y 12)

Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. (Art 2 )

2. Tipo de servicios que presta.

CONTRATACIÓN ELECTRÓNICA

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información

y de comercio electrónico (TIT IV)

COMUNICACIONES COMERCIALES ELECTRÓNICAS

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información

y de comercio electrónico (TIT. III )

RÉGIMEN DE VENTA DE PRODUCTOS A DISTANCIA

Ley 7/1996, de 15 de enero, de ordenación del comercio minorista (capítulo II )

CONSUMIDORES Y USUARIOS

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

3. Protección de derechos de los diferentes agentes (personal, clientes, proveedores, consumidores y otros agentes interesados).

PROTECCIÓN DE DATOS PERSONALES

(Realizar un Plan de Adecuación LOPD y RDLOPD)

PROPIEDAD INTELECTUAL

Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el

texto refundido de la Ley de Propiedad Intelectual.

LSSICE ( Art. 8 )

DERECHO AL HONOR Y LA PROPIA IMAGEN

Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al

honor, a la intimidad personal y familiar y a la propia imagen. (Art. 2)

PROTECCIÓN DE MENORES

Ley Orgánica 1/1996, de 15 de enero, de protección jurídica del menor RDLOPD ( Art 13 )

El emparejamiento de los hechos y acciones relevantes jurídicamente del negocio con el marco jurídico aplicable a ellos, supondrá el ámbito de actuación inicial que abarcará el CO en su análisis y supervisión para la activación del programa de compliance.

Como el CO seguramente se encontrará con un marco de actuación demasiado amplio para los recursos que dispone la organización para lograr los objetivos del programa, inicialmente se deberá realizar un informe de análisis y evaluación de riesgos legales que nos permita clasificar aquellos puntos de riesgo de incumplimiento por grado de urgencia e importancia en su gestión. El Plan de actuación y mejora continua plasmará de forma cronológica y por parámetros de preferencia en base a su urgencia e importancia, la forma en que se desarrollarán las acciones de corrección, gestión y mejora continua.

Una de las principales acciones consistirá en la preparación y difusión del Código de conducta (ético) de la organización que debe convertirse en un instrumento fundamental para comunicar a todo el personal los principios que garanticen el cumplimiento normativo por toda la organización. Dicho código de conducta debe plasmar la cultura de cumplimiento y para su eficacia debe ser impulsado siempre por los órganos de dirección de la organización.

En conclusión, un programa de cumplimiento normativo en Derecho Digital requerirá de un perfil de jurista especializado en esta materia con unos conocimientos en el uso y funcionamiento de las TIC que aplique una metodología basada en la mejora continua respaldada por unas herramientas documentales y tecnológicas además de la necesaria definición de las responsabilidades de los cargos directivos y personal encargado de su desarrollo y supervisión.

 Eduardo López-Román, abogado experto en Derecho TIC. Vocal de la Junta de ENATIC