Modelos de cumplimiento legal y apreciación del riesgo

1. Introducción

Últimamente, la elaboración de leyes que afectan a las personas jurídicas (PJ en adelante),  tiene en cuenta el manido refrán de “más vale prevenir que lamentar”. En otras palabras, es mejor legislar protegiendo el bien jurídico ex-ante de forma proactiva, que castigar la ocurrencia de un ilícito ex-post de forma reactiva, ya sea mediante la imposición de una sanción económica o, en su caso, una pena interdictiva.

Analizaremos a continuación algunas de estas leyes, y proyectos de ley en aras de una mayor actualidad, que tienen repercusión en la PJ. Veremos como todas tienen un denominador común: La evaluación del riesgo y, en base a ella,  la implantación de un modelo de cumplimiento adecuado a la realidad del sujeto obligado por esa ley.

2. Proyecto de LO de reforma del Código Penal

La vigente LO 5/2010, de 22 de junio, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, ya introduce claramente la responsabilidad penal de la PJ en su art. 31 bis CP. Los penalistas saben que la norma únicamente delimita la responsabilidad penal de la PJ en un numerus clausus de figuras delictivas, la mayoría de la Parte Especial del CP.

Si consideramos el proyecto de reforma del Código Penal (en adelante PR-CP), en su versión del Congreso de Diputados de 2013, vemos que el art. 31 bis PR-CP, en su apartado 4, dispone la exención de la PJ si previamente a la comisión del delito ha adoptado, y ejecutado eficazmente, un modelo de organización y gestión adecuado para prevenir delitos de la naturaleza del que se ha cometido.

Un modelo podrá considerarse “adecuado” si es capaz de identificar en los diferentes procesos de negocio de la PJ aquellas actividades en cuyo ámbito puedan ser cometidos los delitos y establecer protocolos o procedimientos encaminados a detectarlos y evitarlos. En otras palabras, la carga de prueba para lograr la exención le corresponderá a la PJ según se interpreta del PR-CP y la estrategia de defensa consistirá en demostrar, pese a la ocurrencia del ilícito, la correcta implementación e idoneidad razonable del programa de cumplimiento para prevenir delitos de la misma tipificación penal que el cometido.

Concretamente el artículo 31 bis PR-CP, en su apartado 5, dispone a tenor literal que “El modelo contendrá las medidas que, de acuerdo con la naturaleza y el tamaño de la organización, así como el tipo de actividades que se llevan a cabo, garanticen el desarrollo de su actividad conforme a la Ley y permitan la detección rápida y prevención de situaciones de riesgo”.

Es evidente que se refiere a un modelo basado en la evaluación del riesgo real de la ocurrencia de actuaciones contrarias a derecho, que variará de una PJ a otra en función de la naturaleza de sus actividades, estructura interna, clientes, territorialidad, etc.

3. Prevención de Blanqueo de capitales y FT

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, considera que los sujetos obligados podrán determinar el grado requerido de aplicación de las medidas de diligencia debida en función del riesgo, que dependerá del tipo de cliente, de la relación de negocios y del producto u operación.

Concretamente el art. 7 LPBCyFT dispone: “(…) Los sujetos obligados deberán estar en condiciones de demostrar a las autoridades competentes que las medidas adoptadas tienen el alcance adecuado en vista del riesgo de blanqueo de capitales o de financiación del terrorismo mediante un previo análisis de riesgo que en todo caso deberá constar por escrito”.

Como no podía ser de otro modo, el RD 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, hace constar en su preámbulo una realista reflexión: “Teniendo en cuenta los medios limitados de que disponen los sujetos obligados, se impone adoptar aquellas medidas que permitan incrementar la eficacia y la eficiencia en el uso de esos recursos, haciendo más hincapié en aquellas situaciones, productos y clientes que presentan un nivel de riesgos superior”.

Con este enfoque orientado al riesgo no solo se incrementa la efectividad de las medidas a aplicar, sino que representa un elemento realista de flexibilidad de la norma que está dirigida a un colectivo muy heterogéneo de sujetos.

Continúa diciendo el preámbulo: “ De esta manera, se establecen unos requerimientos básicos y comunes para todos los sujetos obligados, permitiendo asimismo un margen de adaptación de la aplicación de la norma a la realidad específica de la actividad que cada sujeto desarrolla”.

Toda esta flexibilidad de la norma, se compensa jurídicamente mediante el concepto de accountability o rendición de cuentas, que muchos entendemos como un “compromiso responsable”.  Este concepto lleva incardinado el deber de dejar constancia escrita de las políticas, análisis, procedimientos y actuaciones en la PJ de forma que se justifique que todos sus actos son conformes a la norma.  El art. 28 RLPByFT  dispone la obligación de conservar entre otros, en aplicación de las medidas de diligencia debida, los resultados de cualquier análisis efectuado, durante un período de 10 años.

4. Proyecto de Reglamento de Protección de Datos de la UE

La propuesta de Reglamento Europeo de protección de datos (en adelante RGPDUE), también se basa en el riesgo para proteger adecuadamente los datos de carácter personal.

Así podemos leer en sus considerandos iniciales: “(66) Con objeto de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos”.

El art. 30 RGPDUE dispone que el responsable y el encargado del tratamiento implementaran medidas de seguridad adecuadas a los riesgos que entrañe el tratamiento. Es evidente que los riesgos han debido de ser identificados y evaluados previamente, para que se puedan tratar “de forma adecuada”.

El art. 33 RGPDUE regula la necesidad de efectuar una evaluación de impacto en la privacidad (PIA) para aquellos tratamientos que entrañen riesgo para los derechos y libertados de los interesados. Una de las actividades dentro del proceso de PIA, o de evaluación de impacto en la protección de datos (EIPD) como le llama la AEPD, es precisamente el análisis de riesgos. Se corrobora en el apartado 3 del mismo art. 33: “La evaluación deberá incluir, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos (…)”.

En relación a la accountability o rendición de cuentas, el art. 22 RGPDUE dispone que el responsable del tratamiento promulgue políticas e implemente medidas organizativas apropiadas para asegurar y poder demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el Reglamento.

5. Conclusiones

He pretendido demostrar mediante los ejemplos anteriores que la tendencia actual en la elaboración de leyes que regulen a las PJ es permitir un margen de adaptación en la aplicación de la norma a la realidad específica de la actividad que cada sujeto obligado por ella desarrolla. Esto permite focalizar los limitados recursos de un modo más eficaz y eficiente para preservar la comisión de ilícitos en su seno, ya sea por acción o por omisión del deber de garante, en función del bien jurídico protegido por la ley de que se trate.

Como dispone el art. 13 del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el Ámbito de la Administración Electrónica (en adelante ENS), cualquier metodología reconocida internacionalmente de gestión del riesgo es aceptable. Para concretar, la norma ISO 31000:2010, sobre principios y directrices de gestión del riesgo, establece un sistema de gestión que se basa en el establecimiento del contexto, la apreciación del riesgo (Identificación, análisis y evaluación), y su tratamiento.

No obstante, ya que he empezado con un refrán, terminaré con otro: “que los árboles no nos hagan perder de vista el bosque”. El grupo de trabajo consultivo europeo del Artículo 29 (GT29) adoptó en mayo de 2014 la Declaración WP 218 sobre el papel de un enfoque basado en el riesgo en los marcos legales de protección de datos”. Viene a decir que los principios fundamentales, que protegen los derechos de los interesados, deben permanecer inalterables con independencia de cuál sea la evaluación y tratamiento posterior del riesgo por parte del responsable.

Se deduce de esta Declaración que, pese a los incuestionables beneficios de basarse en el riesgo, no es suficiente aplicar técnicas sistemáticas para su gestión de forma indiscriminada sin detenerse a analizar las consecuencias del resultado obtenido. Deben poseerse profundos conocimientos jurídicos, en la especialidad concreta de que se trate, para así disponer del criterio necesario para no exponer ni los principios fundamentales ni el bien jurídico a proteger por la norma. Y esta conclusión es especialmente cierta cuando, motivado por un involuntario error humano, se han omitido premisas o se ha partido de supuestos equivocados en los procesos de apreciación del riesgo.

José Luis Colom Planas

Consultor de GRC en GESCONSULTOR

Postgrado en Derecho, especialidad protección de datos y privacidad

Curso superior de Compliance Officer en Escuela Legal WKE

Editor del blog www.aspectosprofesionales.info

Miembro de ENATIC