El que avisa no es traidor

En determinados campos de acción de la abogacía menos tradicionales, estamos actuando en ocasiones como alarmas de riesgo para empresarios, cambiando el concepto del abogado “de toda la vida”

Tal y como escuché en una ponencia organizada por la Agencia Vasca de Protección de Datos a la que tuve el placer de asistir, el mundo del Derecho se divide entre los que beben vino y cocinan con aceite, y los que beben cerveza y cocinan con mantequilla. En esta división, tanto en la responsabilidad penal de las personas jurídicas como en la protección de datos se están imponiendo éstos últimos, ya que, en el mundo empresarial y profesional nos estamos sometiendo a normativa que nos exige una cultura preventiva y, en ocasiones, un resultado que objetive que dicha cultura es eficaz.

Empezando por la responsabilidad penal de las personas jurídicas, es evidente que estamos ante un cambio de prisma en el cual a los empresarios “se les ha puesto la gorra de policía” para que cada organización prevea los delitos que pudieran llegar a cometerse en su seno.

Sin embargo, esta responsabilidad va más allá porque, a tenor de las sentencias dictadas por el Tribunal Supremo sobre esta materia, la propia ausencia del debido control se convierte en uno de los elementos configuradores de la responsabilidad penal de la persona jurídica, contradiciendo el criterio que mantenía la Fiscalía General del Estado.

Esta prevención, que ya existía en algunos casos, como en lo respectivo a los riesgos laborales, se está imponiendo en el tejido empresarial nacional desde una perspectiva penal, aproximando las exigencias penales a las existentes en otros Estados miembros y países ajenos a la Unión Europea.

¿Será igualmente la responsabilidad penal de las personas jurídicas objeto de armonización, al igual que lo ha sido la protección de datos? Desde mi punto de vista, la respuesta es un sí. Esta afirmación la sustento en los Considerandos del Reglamento General de Protección de Datos ya que, en muchas ocasiones, hacen referencia a “la confianza que permita a la economía digital desarrollarse en todo el mercado interior”, el big data, riesgos importantes en relación con las actividades en línea…

Es evidente que la revolución tecnológica nos genera muchas oportunidades que hace unos años eran inimaginables pero también nos está generando unas preocupaciones que obliga a los legisladores nacionales e internacionales a poner a los empresarios, volviendo al ejemplo anterior, “la gorra de policía”.

Esta misma situación es la preponderante en la protección de datos, ya que se exige una responsabilidad proactiva de los responsables del tratamiento de los datos. Es decir, lo que el legislador viene a decir es que debemos establecer todas las medidas oportunas para que los datos personales que recojamos en el desarrollo de nuestras actividades profesionales estén seguros.

Como todos sabemos, es prácticamente imposible (y me atrevería a suprimir el “prácticamente”) establecer medidas de seguridad absolutas en el mundo digital. Por ello, el legislador opta por la ponderación del esfuerzo empresarial, al igual que en el caso de la responsabilidad penal de las personas jurídicas relativizando la responsabilidad empresarial.

Es decir, en el caso ésta ultima materia, se trata de aplicar “modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión” y en el caso de la protección de los datos personales, éstos serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”. Como se puede observar, se trata de organizarse cada uno para prevenir, controlar y demostrar dicho control y prevención en el caso de que tenga alguna brecha dicho sistema, así como denunciar los incumplimientos del mismo.

Volviendo a otro nexo de unión entre ambas materias, la seguridad en el tráfico digital, el hecho de disponer de un plan de ciberseguridad en cada organización es indispensable tanto para una buena política de protección de datos, así como para conseguir un valor añadido en los programas de compliance. Digo esto porque casi un tercio de los delitos que pueden ser generadores de responsabilidad penal de las personas jurídicas, son delitos informáticos, y otros tantos se pueden cometer desde cualquier dispositivo, debido a la digitalización constante de los servicios. Por lo tanto, en mi opinión, todo programa de compliance tiene que tener un ajustado protocolo de uso de bienes corporativos que debe servir, no solamente para no cometer ataques a terceros, sino también para poder paliar los efectos en caso de recibirlos.

En consonancia con la última frase, aún siendo lógico que una empresa no puede ser responsable de los ataques cibernéticos que recibe, es indispensable que nuestros clientes sean asesorados desde un punto de vista transversal ya que, si no es obligatorio a día de hoy, lo será dentro de un año y unos meses.

Como conclusión, estamos en una época en la que la prevención se está imponiendo en nuestro desarrollo profesional, por lo tanto, no podemos cejar en nuestro empeño de advertir a nuestros clientes de los riesgos que entraña a día de hoy, el no disponer de una correcta política de prevención de riesgos penales, así como de protección de datos personales en un momento en el que la seguridad está en entredicho en el mundo digital por lo que, lo menos que podemos hacer, actuar con la mayor diligencia posible, no únicamente para no ser sancionados administrativa o penalmente, si no para poder operar con una cierta confianza en el entorno digital que, a pasos agigantados, va imponiéndose en la gran mayoría de variantes de negocio.

Borja Llonín. Abogado

Twitter: @LloninBorja

 LinkedIn: https://www.linkedin.com/in/borjalloninblasco/