El Data Protection Officer en el marco de la responsabilidad penal de las personas jurídicas Consideraciones a la luz del nuevo Reglamento Europeo en materia de protección de datos

HACIA UN NUEVO DERECHO EUROPEO DE PROTECCIÓN DE DATOS TOWARDS A NEW EUROPEAN DATA PROTECTION REGIME

Artemi Rallo Lombarte Rosario García Mahamut Editores

Valencia, 2015

El Data Protection Officer en el marco de la responsabilidad penal de las personas jurídicas Consideraciones a la luz del nuevo Reglamento Europeo en materia de protección de datos José R. Agustina Universitat Internacional de Catalunya Consultor en Molins & Silva Defensa Penal y Corporate Defense

Axel-Dirk Blumenberg Abogado en Molins & Silva Defensa Penal y Corporate Defensa

“Como es sabido, de llegarse a aprobar, el futuro futuro Reglamento europeo en materia de protección de datos —que actualmente se halla en fase de elaboración: se prevé que el borrador del texto esté listo para su tramitación en 2016— supondrá sin duda un paso enormemente significativo hacia una protección jurídica de los datos personales de primer nivel en el ámbito comunitario. Entre los objetivos que se pretenden con dicha norma, se halla responder a los retos que suponen las nuevas tecnologías de la información, la globalización y la tendencia cada vez más extendida a utilizar datos personales en investigaciones penales. A este respecto, una de sus principales novedades consistirá en regular la figura del Data Protection Officer como órgano o persona responsable de velar por la protección de datos personales en la empresa. Todavía no existe consenso sobre el criterio que determinará qué empresas estarán obligadas a contar con un Data Protection Officer. Pero, en todo caso, lo que sí parece claro es que sus competencias afectarán de lleno en la configuración del nuevo sistema de responsabilidad penal corporativa instaurado en España desde 2010. Las presentes líneas tratan de analizar de forma anticipada los efectos e intersecciones entre ambas regulaciones separadas —penal y admi-

248

José R. Agustina y Axel-Dirk Blumenberg

nistrativa— en la vida de las empresas, concretamente en sus estrategias de prevención y reacción frente a conductas desviadas o irregulares que se cometan en su seno”.

1. PUNTO DE PARTIDA: EL NUEVO RÉGIMEN DE RESPONSABILIDAD PENAL CORPORATIVA Y SU INCIDENCIA EN LAS NORMAS RELATIVAS A LA PROTECCIÓN DE DATOS Desde la reforma del Código Penal operada por la Ley Orgánica 5/2010, de 22 de junio, el nuevo sistema de responsabilidad penal de las personas jurídicas vigente en España impone a las empresas y organizaciones dotadas de personalidad jurídica la instauración de medidas de prevención y vigilancia para evitar que en su seno se cometan delitos o, cuanto menos, algunos delitos1. Como es sabido, el nuevo régimen de responsabilidad penal corporativa ha generado en poco tiempo un intenso debate doctrinal2. Al margen de la discusión, lo cierto es que con la reforma de 2010 se puede afirmar que, en la práctica, ha sido derogado el principio clásico según el cual las personas jurídicas no podían delinquir (societas delinquere non potest), de modo que por el hecho de que en su esfera de actividad se produzcan conductas delictivas puede ser la propia persona jurídica objeto de sanción penal, por considerarse emanadas dichas conductas de un “defecto de organización” de la misma empresa.

1



2



En efecto, sólo respecto de algunos delitos: vid. art. 31 bis CP, en el que se establece un sistema de numerus clausus no exento de crítica, pues no se comprende en ocasiones que algunas figuras delictivas hayan quedado excluidas. Para una perspectiva general sobre el debate y el alcance de la reforma, véase Silva Sánchez, J.Mª, “La responsabilidad penal de las personas jurídicas en Derecho español“, en Silva Sánchez, J.Mª., Montaner Fernández, R., Criminalidad de empresa y Compliance. Atelier, Barcelona, 2013, p. 15 y ss.

El Data Protection Officer en el marco de la responsabilidad penal ...

249

El nuevo artículo 31 bis, introducido por la referida reforma de 2010, con todo, no es en absoluto claro respecto a los programas de cumplimiento normativo o compliance que debe adoptar la empresa que no desea ser responsable penalmente. En efecto, el contenido de dicho artículo 31 bis no determina con la suficiente precisión cuáles han de ser los instrumentos que deben implementarse para evitar ser declarada responsable penalmente, dejando tal decisión en manos de las mismas empresas (utilizándose el término de “autorregulación regulada”). Sin embargo, lo que sí estaba claro desde su entrada en vigor era que carecer de un programa de compliance —o aplicarlo de modo deficiente— podía conllevar relevantes consecuencias jurídicas: nada menos que la imputación de responsabilidad penal a la propia empresa de los delitos cometidos en su seno por sus administradores o trabajadores en el ámbito de su actividad y en su provecho. En 2015 se aprobará con toda seguridad una reforma penal que, entre otras finalidades, está llamada a dar concreción a ese nuevo régimen de responsabilidad penal corporativa3. El Legislador penal optará, de este modo, en sintonía con las indicaciones contenidas en la Circular 1/2011 de la Fiscalía General del Estado, por ponerse manos a la obra y pasar al ataque, a fin de contrarrestar la tendencia generalizada a confeccionar programas de compliance de modelo o estereotipados, carentes de sentido. Como se señalaba en la referida Circular 1/2011, no puede ser que “cualquier vacua formulación corporativa contra el delito o la más sofisticada operación de maquillaje articulada, en su caso, por medio de las denominadas compliance guide, sirvan, por sí solos, de eficaz recurso para eludir la responsabilidad penal” (p. 41). Por tanto, con el nuevo artículo 31 bis que, presumiblemente, entrará en vigor con la reforma penal de 2015, asistiremos a un más que previsible perfeccionamiento de los programas de

3



Proyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (121/000065), presentado por el Gobierno a las Cortes Generales en fecha 24 de septiembre de 2013.

250

José R. Agustina y Axel-Dirk Blumenberg

cumplimiento en las empresas españolas; y, en todo caso, a una generalización de la introducción de tales programas en pequeñas y medianas empresas. Importa resaltar de entrada que, con la entrada en vigor del nuevo articulado, no bastará con tener un programa de compliance, sino que deberá reunir éste un listado de requisitos mucho más precisos sobre el que, por razones de espacio y oportunidad, no nos extenderemos, pero al que haremos referencia en las líneas que siguen. En todo caso, y por lo que aquí interesa, dentro de los sistemas de compliance la protección de datos personales es uno de los ejes centrales en el marco del conjunto de aspectos prácticos a los que las empresas deben (o deberían) enfrentarse habitualmente. Esta afirmación se refleja en que, en los países en los que existe ya una tradición en este ámbito, muchas organizaciones de compliance ocupan un lugar central en el organigrama empresarial junto a la unidad encargada de velar por la protección de datos. Así, por ejemplo, algunas empresas multinacionales combinan dentro de su organización de compliance la función de Compliance Officer & Data Protection Officer. En estos momentos, estando pues a las puertas de una reforma penal de importantes consecuencias, en el contexto español ya no se trata de adaptar las estructuras empresariales u organizacionales a una nueva norma, sino de incorporar por necesidad la protección de datos a la cultura empresarial y al diseño, organización y funcionamiento de toda persona jurídica que pudiera ser declarada responsable penalmente. Las empresas deberán implementar, por tanto, sistemas de cumplimiento normativo en todo su organigrama funcional si no quieren ser responsables penalmente de los delitos que se cometan en su seno. Y en ese empeño, no sólo habrá que prestar singular atención a la eventual responsabilidad penal de la persona jurídica (por omisión de específicos deberes de vigilancia o control), sino que se deberá tener especial cuidado por no vulnerar las normas generales de protección de datos. Desde este punto de vista, se puede afirmar que las normas relativas a la protección de datos vienen a cumplir una función de límite a los deberes de vigilancia y control empresarial en el nuevo escenario de responsabilidad penal corporativa.

El Data Protection Officer en el marco de la responsabilidad penal ...

251

Las infracciones de la ley de protección de datos pueden suponer un riesgo considerable no solamente por las sanciones aplicables, sino también desde el punto de vista de los riesgos reputacionales, como muestra el caso LIDL4. La cadena de supermercados LIDL se vio involucrada en un escándalo mediático por causa de la vigilancia intrusiva a sus empleados. Como consecuencia, la empresa fue sancionada por infracción de la normativa de protección de datos por un importe de 1.500.000 Euros5. Sin embargo, debido a la transcendencia mediática del escándalo, muchos clientes iniciaron un boicot hacia los establecimientos de la compañía. Fruto de ello, la empresa se vio obligada a lanzar una campaña de publicidad para recuperar la confianza de sus clientes. Los costes de esa campaña de publicidad ascendieron a varios millones de euros6. El caso LIDL muestra la importancia del cumplimiento normativo y su posible impacto económico. Algunas infracciones se mueven en el ámbito limítrofe entre el Derecho Penal y el derecho relativo a la Protección de Datos. En efecto, como hemos señalado anteriormente, el Código Penal prevé la responsabilidad penal de las personas jurídicas de forma limitada a un catálogo de delitos, entre los que se encuentra, en concreto, el delito de descubrimiento y revelación de secretos (vid. art. 197, en concreto, en relación con el art. 31 bis). La cuestión que nos concierne aquí se centra en identificar posibles sinergias y modelos de organización prácticos para dar respuesta a la necesidad de crear sistemas de compliance congruentes en sí mismos. A la luz del nuevo Reglamento europeo de protec-

4



5



6



Sobre el caso LIDL y su importancia en materia de protección de datos y compliance, vid. Maschmann, F., “Compliance y derechos del trabajador”, en Kuhlen, L., Montiel, J.P., Ortiz de Urbina, I., Compliance y teoría del Derecho penal, Marcial Pons, Barcelona, 2013, p. 147 y ss. Vid. al respecto, noticia publicada en El País: http://economia.elpais.com/economia/2008/09/11/actualidad/1221118375_850215.html (22 de junio de 2014). Determinados riesgos de protección de datos pueden ser relevantes también para empresas más pequeñas (por ejemplo un “Ciber-Café”, que podría responder por infracciones de protección de datos cometidas por empleados o usuarios).

252

José R. Agustina y Axel-Dirk Blumenberg

ción de datos y de la inminente reforma del Código Penal, las empresas tienen que encontrar el modo de compaginar ambos modelos. Mientras que de lege lata venía existiendo un amplio margen para la autorregulación7 desde el punto de vista del Código Penal vigente este, margen se ve reducido con el proyecto de reforma anunciado, con la finalidad de aumentar la seguridad jurídica en relación a los programas de compliance. Y en ese nuevo contexto de responsabilidad penal, el nuevo Reglamento europeo, en lo que se refiere al Data Protection Officer, regula aún más detalladamente las obligaciones de organización y gestión de la empresa. La seguridad jurídica es, sin duda, el aspecto que más preocupa a las empresas como sujetos obligados por las normas administrativas y penales. A este respecto, en España faltan, como así sucede en otros países (por ejemplo, en el Reino Unido8), pautas prácticas sobre la implantación de programas de compliance. La Circular de la Fiscalía General del Estado (español) 1/20119 muestra, en líneas generales, una posición escéptica hacia los programas de cumplimiento y arroja algo de luz a las cuestiones eminentemente prácticas y relativas al nivel de exigencia frente a las empresas. La reforma parece avanzar, pues, en esta línea de concreción de la exigencia y es que si comparamos la casuística a nivel internacional, tanto en el ámbito de la delincuencia económica —especialmente la corrupción— como en el de la protección de datos,

7



Vid. Nieto, A. en Arroyo, L., Nieto, A., Ortiz de Urbina, I., Autorregulación y Sanciones, Lex Nova, Valladolid, 2008, p. 81 y ss. 8 La UK Bribery Act es uno de los modelos legislativos en la lucha contra la corrupción. Esta Ley ha entrado en vigor en 2010; por tanto, en el mismo año en que fue introducido el nuevo régimen de responsabilidad penal de las personas jurídicas en España. A este respecto, es muy instructiva la guía para empresas “Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing (section 9 of the Bribery Act 2010)”, disponible en http://www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf (22 de junio de 2014). 9 Circular 1/2011, relativa a la responsabilidad de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica número 5/2010.

El Data Protection Officer en el marco de la responsabilidad penal ...

253

podemos observar que la implantación o mejora de programas de compliance suele ser la respuesta a casos sistémicos de infracciones, como en el ejemplo del caso LIDL al que nos hemos referido.

2. LA FUNCIÓN DE COMPLIANCE Como es sabido, la función de compliance engloba no sólo los riesgos penales que pueden dar lugar a la responsabilidad penal de las personas jurídicas, sino que puede englobar otros riesgos estratégicos, como pueden ser infracciones relativas a las normas administrativas en materia de competencia o relativas a la protección de datos. En referencia a este último ámbito, el Data Protection Officer ostenta un rol importante en la prevención y detección de riesgos en relación con infracciones administrativas y delitos contra la intimidad y los derechos de los trabajadores. En materia penal la función del delegado de protección de datos o Data Protection Officer (en adelante, DPO) abarca la prevención de la utilización de datos personales en perjuicio y con finalidad distinta a su disposición por parte del titular (art. 197.2 CP). En este contexto, también debe velar a fin de evitar la imposición de condiciones abusivas en materia de protección de datos (art. 311 CP). Por su parte, en el borrador el nuevo Reglamento europeo de Protección de Datos define las tareas del DPO y los requisitos de independencia exigibles dentro de la organización empresarial. Así, el artículo 36.2 establece: “El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones”. En este contexto, Sempere Samaniego pone de relieve que el mandato de dos años renovables sirve para proteger la independencia del DPO. La protección de la función del compliance officer es de suma importancia porque su correcto desempeño conlleva una gran responsabilidad y un alto potencial de conflictividad en caso de detectar infracciones en la organización. Por tanto, en la práctica es imprescindible no sólo una detallada descripción de las funciones y responsabilida-

254

José R. Agustina y Axel-Dirk Blumenberg

des del Compliance Officer en el contrato laboral, sino también un nivel de cobertura de seguros adecuada para esta función. La cobertura de seguros tiene que considerar riesgos vinculados a la función directiva del Compliance Officer, lo que corresponde a la póliza de Directors & Officers (D&O)10. El requisito de la independencia es un elemento transversal en la regulación en materia de compliance. A modo de ejemplo, podemos ver los requisitos exigidos en la organización de empresas que prestan servicios de inversión (véase, a este respecto, el art. 70 ter de la Ley 24/1988, de 28 de julio, del Mercado de Valores). En dicho art. 70 ter, en su apartado 1 b), se establece como requisito que la organización deberá contar con una unidad que garantice el desarrollo de la función de cumplimiento normativo bajo el principio de independencia con respecto a aquellas áreas o unidades que desarrollen las actividades de prestación de servicios de inversión sobre las que gire el ejercicio de aquella función. En relación con el requisito de independencia, podemos deducir de manera general un posible conflicto entre el negocio operativo y la función de compliance. Este conflicto no sólo se plantea en el ámbito de protección de datos o servicios de inversión, sino en cualquier otro ámbito. Así, un ámbito especialmente conflictivo es, en este sentido, la prevención de la corrupción y la consecuente restricción de prácticas comerciales. Para que el compliance officer pueda cumplir sus funciones es importante que cuente con la independencia necesaria, también en relación a su remuneración, que debería ser preferiblemente fija o contar con una parte variable que no dependa de los resultados del negocio que debe vigilar11.

10

Vid. Steiner, M. en Schettgen-Sarcher, W., Bachmann, S., Schettgen, P.,Compliance Officer, Springer Gabler, Wiesbaden, 2014, p. 103 y ss. 11 Vid. sobre este aspecto en el ámbito financiero, Koller, I en Assmann, U. H., Schneider, H.-D., Wertpapierhandelsgesetz, 6ª ed., Dr. Otto Schmidt, Colonia, 2012, § 33 nm. 31 con ult. ref.

El Data Protection Officer en el marco de la responsabilidad penal ...

255

El proyecto de reforma del Código Penal presta atención de una forma mucho más pormenorizada al modelo de gestión y organización exigible (art. 31 bis 2 y 5). Para que tenga por efecto excluir la responsabilidad penal de la persona jurídica, este modelo debe cumplir los siguientes requisitos: (1) Identificar ex ante las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Este análisis de riesgos sirve (i) para poder adoptar las medidas de prevención y detección de riesgos penales conforme a la prioridad de los distintos riesgos y (ii) para poder distribuir los recursos empresariales de manera óptima. (2) Establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas, con relación a los riesgos penales previamente definidos. Según la complejidad de cada organización empresarial, la descripción de tales procesos internos y su correspondiente normativa pueden tener un volumen considerable. En muchos casos, la toma de decisiones vendrá concretada de forma detallada, por ejemplo en un proceso de compras. En estos casos, habrá que hacer un inventario de todos los procesos y señalar el modo en que se llevará a cabo la toma de decisiones. En otros casos, la toma de decisiones carecerá de una base escrita aunque existan procesos habituales. Aquí sería conveniente formalizar estos procesos para conseguir una mayor transparencia y trazabilidad. (3) Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Este paso es muy importante para poder prevenir irregularidades financieras o riesgos de corrupción. (4) Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Este requisito muestra claramente la importancia de un enfoque

256

José R. Agustina y Axel-Dirk Blumenberg

integrador de compliance. Las obligaciones de información pueden tener un impacto considerable desde el punto de vista de la protección de datos. (5) Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. El hecho de sancionar posibles infracciones del sistema de compliance es imprescindible para lograr la efectividad del sistema. En efecto, la falta de sanciones puede socavar la credibilidad de todo el sistema —especialmente si se trata de infracciones toleradas cometidas por directivos—. Así pues, el número de sanciones impuestas es un indicador sobre la eficacia del propio sistema12. Así las cosas, el modelo previsto en la reforma del Código Penal entra a regular con mucho mayor detalle el modelo de cumplimiento con el fin de que las medidas implantadas permitan la detección rápida y prevención de situaciones de riesgo. Este aspecto es muy importante desde la perspectiva de gestión de riesgos de incumplimiento. El factor tiempo es clave, no solamente para poder mitigar cualquier riesgo —por ejemplo, una irregularidad financiera que podría dar lugar a un caso de corrupción— lo antes posible, sino para mantener el mayor margen de maniobra para la dirección de la empresa. La reacción rápida permite definir la estrategia procesal (y preprocesal), recabar posibles pruebas de descargo y gestionar la comunicación de crisis, protegiendo, de tal modo, la reputación corporativa. Asimismo, las medidas de prevención y detección requieren, según el modelo propuesto, una verificación periódica y la eventual modificación (por las infracciones relevantes de sus disposiciones o por los cambios operados en la organización), en la estructura de control o en la actividad desarrollada por la em-

12

A este respecto, SIEMENS ha impuesto en 2013 un total de 305 sanciones disciplinarias. Para más información y estadísticas cfr. http://www.siemens. com/sustainability/en/core-topics/compliance/management-facts/ (23 de junio de 2014).

El Data Protection Officer en el marco de la responsabilidad penal ...

257

presa. Estas medidas corresponden a los requisitos clave de los programas de compliance a nivel internacional. Tal y como hemos señalado al principio, este modelo de regulación aumenta la seguridad jurídica. Sin embargo, el incumplimiento de los requisitos organizativos puede conducir fácilmente a la presunción de que la empresa no ha cumplido de hecho con el nivel de debido control exigible. Con todo, la reforma del Código Penal es también cuestionable, en tanto que parece centrarse en exceso en la vertiente sancionadora del modelo de compliance propuesto. Por supuesto, la sanción de infracciones es imprescindible, como ya hemos señalado, para un sistema eficaz de prevención y detección de riesgos penales. Sin embargo, en el modelo propuesto tal vez no se resalte suficientemente el necesario hincapié en la parte preventiva de todo modelo de compliance. Este enfoque aparente puede dar lugar a una percepción negativa de los empleados y por tanto socavar la aceptación de medidas de un modelo de naturaleza represiva de compliance. Un ejemplo claro, a este respecto, sería la percepción general que se puede tener tras la implantación de un sistema de whistleblowing. Si no se presta la debida atención a los aspectos comunicativos, así como a los motivos de la implantación de un canal de denuncias anónimo, esta medida puede ser percibida como un mero aumento del nivel de control y producir rechazo. La función de compliance requiere un alto nivel de confianza, debido a que muchas veces se trata de cuestiones muy sensibles que, en ocasiones, pueden tener incluso transcendencia penal. En este sentido el nuevo Reglamento de Protección de Datos da mayor importancia a las tareas preventivas, por ejemplo por lo que respecta a la formación del DPO. Aunque el proyecto de reforma del Código Penal no menciona la función del compliance officer en cuanto tal13, consagra sin embargo el principio de in-

13



El proyecto de reforma del Código Penal incluye dentro de los requisitos del art. 286 seis (Del incumplimiento de los deberes de vigilancia o control en personas

258

José R. Agustina y Axel-Dirk Blumenberg

dependencia. Así, según el art. 31 bis 2 2ª) CP, la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado debe confiarse a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control. La independencia del compliance officer resulta, pues, imprescindible para el desarrollo del sistema de prevención y detección de riesgos penales, sin perjuicio de que —es comúnmente aceptado— no exista una independencia absoluta, ya que el compliance officer está integrado en la propia estructura organizativa. Las funciones del DPO14 corresponden a las funciones de compliance en general y comprenden tareas preventivas como la formación y tareas de detección de posibles infracciones en la ma-

jurídicas y empresas), en su epígrafe 1 inciso 2, una referencia al respecto: “Dentro de estas medidas de vigilancia y control se incluye la contratación, selección cuidadosa y responsable, y vigilancia del personal de inspección y control […]”. La inspección y el control son, en efecto, elementos importantes de un sistema de compliance, pero dejan al margen funciones tan relevantes como la formación y el apoyo a los empleados. 14 Vid. Sempere, F. J., Comentarios prácticos a la Propuesta de Reglamento de Protección de Datos de la Unión Europea, p. 358, quien resume las funciones del DPO de la siguiente manera: Asesoramiento jurídico: √ Elaboración de informes. √ Elaboración de Evaluaciones de impacto de privacidad. √ Implementación de la privacidad por diseño y por defecto. Control (“Compliance”) √ Cumplimiento de la normativa. √ Cumplimiento del principio de Accountability. Seguridad √ Soporte en implementación de medidas de seguridad. √ Auditorías. √ Notificación de brechas de seguridad. Formación √ A los recursos humanos de la organización. Cooperación institucional √ Relaciones con la Autoridad de control. √ Relaciones con otras entidades.

El Data Protection Officer en el marco de la responsabilidad penal ...

259

teria que le es propia. También juega un papel importante como persona u órgano de contacto para la AEPD. En contraste con otros países —especialmente en el ámbito anglosajón15, o en Alemania16, donde los programas de compliance cuentan con un alto grado de reconocimiento—, en España esta vertiente de la política criminal internacional está plasmándose poco a poco en el ámbito empresarial. Sin embargo, en el ámbito comparado podemos observar una creciente profesionalización de la función del DPO y del compliance officer17. Finalmente, la aparición del DPO plantea cuestiones como su integración en estructuras de compliance existentes. Muchas empresas optan por un Comité de Compliance donde el DPO puede ocupar un lugar estratégico. Esta solución tiene la ventaja de que la implantación no altera la organización de la empresa y la óptima integración en medidas de control existentes.



√ Solicitud de autorizaciones previas al tratamiento de datos persona-

les. Relaciones con los interesados √ Velar por el cumplimiento de los derechos ARCO, consentimiento y derecho de información. √ Actuar como mediador para evitar denuncias. Implícitas a su figura √ Alta cualificación en protección de datos. √ Formarse constantemente. 15 En este sentido, cfr. US Federal Sentencing Guidelines Manual o los Australian Standards on Compliance. 16 A raíz del caso SIEMENS y la sentencia del Tribunal Supremo alemán (Bundesgerichtshof, Sentencia del 17 de Julio 2009 Az 5 StR 394/08) que menciona la hipotética posición del garante del compliance officer se ha generado un amplio debate doctrinal. Se ha editado un elevado número de publicaciones y existen varias revistas específicas, por ejemplo la Corporate Compliance Zeitschrift (CCZ). 17 La Universidad de Augsburg (Alemania) ha desarrollado un programa de formación específico para Compliance Officer. Cfr. Schettgen-Sarcher, W., Bachmann, S., Schettgen, P., Compliance Officer, Springer Gabler, Wiesbaden, 2014.

260

José R. Agustina y Axel-Dirk Blumenberg

3. RIESGOS DE DATA PROTECTION Y COMPLIANCE En el mismo desarrollo y ejecución del sistema de compliance pueden plantearse también ciertos riesgos de infracción de normas de protección de datos. A este respecto, son ámbitos especialmente sensibles las investigaciones internas y los sistemas de whistleblowing. Ciertamente, las investigaciones internas que incumplan con las exigencias de las normas relativas a la protección de datos y al derecho a la intimidad suponen un riesgo elevado para la empresa. Tales riesgos pueden alcanzar sin duda dimensiones penales; por ejemplo, si una empresa quiere despedir a un empleado y accede para ello de forma ilícita a su ordenador. En tales escenarios, en caso de no tener establecido la empresa un protocolo de uso de medios de tecnología de la información y comunicación (TIC) o si, a pesar de tenerlo, la empresa optara además por utilizar medios de vigilancia excesiva —por ejemplo mediante programas de vigilancia oculta—, tales prácticas podrían llegar a ser constitutivas de un delito de descubrimiento y revelación de secretos (art. 197 y ss. del Código Penal). Conviene tener presente que esta figura de delito se halla incluida en el catálogo de delitos que admiten la responsabilidad penal de las personas jurídicas. Para poder sancionar a la persona jurídica, de conformidad con lo previsto en el art. 31 bis las conductas de intromisión en la esfera de intimidad deben haberse cometido en beneficio directo o indirecto de la compañía. En consecuencia, junto a la declaración de nulidad del despido, la empresa podría ser responsable penalmente. Este ejemplo ilustra que la protección de datos y las medidas de prevención y detección de riesgos penales tienen que estar coordinados para garantizar un modelo óptimo de protección. La casuística de posibles delitos de descubrimiento y revelación de secretos puede abarcar tanto intromisiones aisladas en la intimidad por una supervisión excesiva en el ámbito laboral, hasta casos de

El Data Protection Officer en el marco de la responsabilidad penal ...

261

tráfico organizado de datos con información sensible, como muestra el caso PITIUSA18. Otros riesgos penales son —como hemos visto— la utilización de datos personales en perjuicio y con finalidad distinta a su disposición por parte del titular (art. 197.2 CP) y la imposición de condiciones abusivas en materia de protección de datos (arts. 311 CP). Respecto a este último delito, tal y como se establece en el art. 318 CP no puede dar lugar a sancionar penalmente a la persona jurídica según lo prevenido en el art. 31 bis, sino que para tales delitos se aplicarán las consecuencias accesorias previstas en el art. 129 CP. Todos estos riesgos deben tenerse en cuenta a la hora de realizar una evaluación o análisis de riesgos19. Las matrices de riesgos resultantes deben recoger tanto ámbitos de riesgos como controles existentes. Por tanto, se presentan sinergias entre la prevención y detección de riesgos penales y la protección de datos. En definitiva, si contemplamos los riesgos penales en el “interfaz” entre Derecho Penal y Protección de Datos desde la perspectiva de la responsabilidad penal, la implantación de un programa de compliance y la incorporación de un DPO podrían ser consideradas medidas adecuadas de debido control.

4. SISTEMAS DE COMUNICACIÓN INTERNOS Y WHISTLEBLOWING Dentro de los programas de compliance, los sistemas de información, también denominados líneas éticas o canales de whistle-

18

Cfr. sobre este caso por ejemplo la noticia de La Vanguardia: http://www.lavanguardia.com/politica/20140224/54401678701/los-imputados-de-caso-pitiusacallan-ante-juez-tras-morir-principal-implicado.html (22 de junio de 2014). 19 El proyecto de reforma del Código Penal hace referencia al análisis de riesgos en el art. 31 bis 5.1: “Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”.

262

José R. Agustina y Axel-Dirk Blumenberg

blowing son una herramienta clave20. A nivel internacional se ha dado un paso más en los EE.UU. con la Dodd Frank Act21. Esta norma prevé la posibilidad de recompensar económicamente a un whistleblower en caso de que su notificación dé lugar a una sanción a la empresa. Teniendo en cuenta el elevado umbral de sanciones en EE.UU. estas recompensas pueden ser muy generosas. Los canales éticos o sistemas de whistleblowing pueden, por otra parte, suponer un riesgo desde el punto de vista de protección de datos. La Agencia Española de Protección de Datos ha definido a este respecto en uno de sus informes22 los requisitos de dichos sistemas. Una de las características principales es que sólo se admitan notificaciones confidenciales. En el ámbito internacional podemos observar diferencias sustanciales en el ámbito de protección de datos que pueden suponer un riesgo elevado de compliance, por ejemplo en el desarrollo de investigaciones internas (vid. supra). En la práctica se han desarrollado sistemas que están basados en servidores externos (por ejemplo, la iniciativa de SIEMENS “Tell us”)23. Estos sistemas tienen la ventaja de cumplir con los requisitos de protección de datos. Además, permiten un análisis estadístico de todas las notificaciones y posibilitan a las empresas ahorrar los costes indirectos que conlleva la implantación de sistemas propios (por ejemplo, la creación de una dirección de correo electrónico).

20

Para una aproximación al concepto de whistleblowing y sus implicaciones en Derecho penal, vid. la excelente monografía de Ragués i Vallés, R., Whistleblowing. Una aproximación desde el Derecho penal, Marcial Pons, Madrid, 2013. 21 Dodd-Frank Wall Street Reform and Consumer Protection Act. 22 Cfr. el informe de la Agencia Española de Protección de Datos “Creación de sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”)”, disponible en: http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2007-0128_Creaci-oo-nde-sistemas-de-denuncias-internas-en-las-empresas-mecanismos-de-whistleblowing.pdf (22 de junio de 2014). 23 Una descripción del sistema de esta iniciativa está disponible en http://www. siemens.com/sustainability/en/core-topics/compliance/system/compliance-helpdesk. htm (22 de junio de 2014).

El Data Protection Officer en el marco de la responsabilidad penal ...

263

El proyecto de reforma del Código Penal prevé, dentro de las medidas de gestión y organización del art. 31 bis, la creación de sistemas internos de información. Por tanto, se puede observar cómo según el modelo de gestión y organización propuesto por el proyecto de reforma del Código Penal, tales sistemas se hallan entre las medidas clave que deben incorporar en la práctica los programas de compliance para que puedan eximir de responsabilidad penal a las personas jurídicas. El Reglamento de Protección de Datos prevé también líneas de comunicación internas directas (art 36.2 del Reglamento: El delegado de protección de datos informará directamente a la dirección del responsable o del encargado del tratamiento). Se puede reforzar mediante sistemas de whistleblowing que permiten la notificación de posibles riesgos de manera confidencial. En este sentido una unificación de los distintos canales de denuncia —tanto de riesgos penales, como de posibles infracciones en el ámbito de protección de datos— es altamente recomendable. El diseño de las líneas de comunicación directa es, pues, un requisito indispensable de un sistema de compliance. Tales canales de comunicación son necesarios para evitar que estas notificaciones puedan ser retenidas, por ejemplo, por un directivo afectado por el incumplimiento. Por otra parte, es imprescindible conocer posibles riesgos —como el incumplimiento de la normativa de protección de datos, o incluso riesgos penales— cuanto antes. Desde el punto de vista de la gestión de estos riesgos el factor tiempo es clave. En primer lugar, es importante definir el alcance de los hechos y de los posibles implicados mediante una investigación interna. Este paso permite evaluar el posible impacto de los hechos y tomar medidas; entre otras, por ejemplo, la mejora inmediata de las medidas de prevención y detección de posibles riesgos, o la preparación oportuna de la estrategia de defensa de la persona jurídica.

264

José R. Agustina y Axel-Dirk Blumenberg

5. INVESTIGACIONES CORPORATIVAS INTERNAS Como ha señalado Nieto Martín, el proceso penal constituye una gran batalla en la que dos bandos enfrentados luchan encarnizadamente por el control de la información. De un lado, el fiscal, la policía o las autoridades administrativas (es decir, los investigadores públicos), intentan obtener la información necesaria para destruir la presunción de inocencia e imponer una sanción; y de otro, las personas investigadas intentan controlar el flujo de información que llega a la acusación pública o hacerle llegar sólo aquella que les conviene24. Pues bien, en una fase anterior, tienen lugar las investigaciones corporativas internas, ámbito en el que se agudizan las tensiones entre la búsqueda de pruebas y el derecho a la intimidad y a la protección de datos. El esfuerzo de las empresas por detectar delitos intra-empresariales responde a razones de distinta naturaleza, orientadas en todo caso a una disminución de costes (procesales, económicos y reputacionales, fundamentalmente). Los instrumentos a aplicar habrán de ser eficaces para la prevención y detección del delito, pero, por descontado también, como señala Alcácer Guirao, dicha eficacia —premiada como veremos por el Legislador—, no podrá conseguirse a costa del sacrificio de los derechos de los trabajadores. Los derechos fundamentales constituyen, pues, “un límite infranqueable a la actividad de compliance empresarial”25.

24

Vid. Nieto Martín, A., “Investigaciones internas, whistleblowing y cooperación: la lucha por la información en el proceso penal”, Diario La Ley, núm. 8120, Sección Doctrina, 5 Jul. 2013, Año XXXIV, Ref. D-247, LA LEY 3283/2013. 25 Vid. Alcácer Guirao, R., “Cumplimiento penal por la persona jurídica y derechos fundamentales: la intimidad como límite a la vigilancia empresarial”, Diario La Ley, Núm. 8053, Sección Doctrina, 2 Abr. 2013, Año XXXIV, Ref. D-118, LA LEY 1685/2013. Se refiere, en el mismo sentido, al derecho laboral y de protección de datos como “límite insuperable” del compliance Maschmann, F., “Compliance y derechos del trabajador”, en Kuhlen, L., Montiel, J.P., Ortiz de Urbina, I., Compliance y teoría del Derecho penal,Marcial Pons, Barcelona, 2013, p. 147 y ss.

El Data Protection Officer en el marco de la responsabilidad penal ...

265

Sentado lo anterior, ¿cuál es el rol del DPO en las investigaciones internas?; ¿cómo debería regularse, implementarse y supervisarse la lectura de correos electrónicos de los trabajadores, el uso de videovigilancia o el entrelazamiento de datos personales?; ¿cómo distinguir entre casos de uso ordinario de los datos y casos motivados por la comisión de un delito? A este respecto, Maschmann ha puesto de relieve cómo los escándalos que convulsionaron la opinión pública alemana entre 2006 y 2009 (casos Deutsche Telekom, Deutsche Bahn y Lidl) cambiaron el escenario en materia de protección de datos en el marco de investigaciones internas26. Tales casos fueron el germen y condujeron a la aprobación del § 32 BDSG (Bundesdatenschutzgesetz), disposición normativa que suponía hasta el momento el límite (positivo) más importante al compliance en el Derecho vigente y que venía a concretar el principio de proporcionalidad, de creación jurisprudencial —utilizado profusamente también por la jurisprudencia del Tribunal Constitucional español—. En nuestro país, recientemente el Tribunal Constitucional ha matizado la jurisprudencia que parecía ya consolidada en materia de intromisiones legítimas del empresario en el correo electrónico (laboral) de sus empleados. Así, los criterios establecidos en la importante Sentencia del Tribunal Supremo de 26 de septiembre de 200727 se han visto radicalmente alterados por la STC de 7 de octubre de 2013, en la que se minimizan sustancialmente los requisitos exigibles al empresario. En efecto, con dicha sentencia se da un paso más en la americanización de nuestra jurisprudencia en materia de privacidad en el ámbito laboral. Si bien se sigue exigiendo una comunicación previa acerca de la posibilidad de control por parte de la empresa —aunque ahora ya basta con que ésta esté contenida de forma genérica en un convenio laboral sectorial—, nos aproximamos al principio que

26

Maschmann, F., op. cit., p. 149. Vid. al respecto, Agustina Sanllehí, J.R., El delito de descubrimiento y revelación de secretos en su aplicación al control del correo electrónico del trabajador. Ed. La Ley, Madrid, 2009.

27

266

José R. Agustina y Axel-Dirk Blumenberg

inspira las relaciones laborales en EE.UU., en el que la privacy está a la plena disposición de las partes (es decir, del empresario), siendo pues a matter of contract. Pues bien, visto lo anterior, conviene señalar que, en el marco de la estrategia de defensa corporativa, el Legislador ya reconoce actualmente un conjunto de circunstancias atenuantes, previstas de lege lata por el art. 31 bis 4 b), precepto que establece como posible atenuante la colaboración en la investigación del hecho mediante la aportación de pruebas que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes. Otra posible circunstancia atenuante consiste en haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica (art. 31 bis 4 d). Más aún, en el texto de la reforma penal en ciernes el modelo de responsabilidad penal de las personas jurídicas premia aún más una actitud colaboradora por parte de la empresa imputada, confiriéndole una virtualidad eximente y no meramente atenuante. Sin embargo, esta colaboración no puede dar lugar al menoscabo de derechos y garantías de empleados y directivos, especialmente en el ámbito de protección de datos. Una investigación interna tiene distintos objetivos. En primer lugar, persigue aclarar los hechos ocurridos. Esta tarea puede conllevar, sin duda, cierta complejidad, por ejemplo si se trata de presuntas irregularidades financieras o indicios de corrupción. En un siguiente paso, hay que determinar el impacto de los hechos desde la perspectiva penal o de protección de datos. Más adelante veremos las sanciones y medidas coercitivas existentes. A la hora de averiguar los hechos ocurridos, la investigación de los medios de Tecnología de la Información y Comunicación (TIC) es imprescindible, ya que la gran mayoría de los datos de una compañía están procesados digitalmente. Esto plantea no sólo posibles conflictos desde el punto de vista de la protec-

El Data Protection Officer en el marco de la responsabilidad penal ...

267

ción de datos, sino también desde el punto de vista procesal o forense. La preservación de evidencias digitales y su cadena de custodia es imprescindible para garantizar las trazabilidad de la investigación interna. Este requisito es clave también desde el punto de vista de una estrategia de defensa de la persona jurídica. Las pruebas digitales son, en efecto, un aspecto determinante para poder documentar el ejercicio del debido control y los procesos de toma de decisiones. En el desarrollo del sistema de compliance hay que integrar por tanto las estructuras de IT para preservar de la mejor manera posible la calidad de pruebas digitales (por ejemplo, garantizando la inalterabilidad de correos electrónicos). Asimismo, la intervención de especialistas en IT Forensic es imprescindible si hay que hacer frente a una gran cantidad de información leíble mediante un proceso de E-Discovery. Por todo ello, en la planificación de una investigación interna se deben analizar cuidadosamente las consecuencias desde el punto de vista de la protección de datos. Esto es de suma importancia para evitar infracciones en materia de protección de datos que, entre otras consecuencias, podrían acarrear la expulsión de la eventual prueba del proceso (en virtud del art. 11 LOPJ). Por tanto, es importante involucrar al DPO en todo proceso relativo a una investigación interna. Finalmente, conviene apuntar que las investigaciones internas corporativas plantean retos no menores sobre todo si requieren la transferencia de datos personales a otros países.

6. FORMACIÓN Y SENSIBILIZACIÓN La formación es uno de los ámbitos esenciales tanto para sistemas de compliance orientados a prevenir riesgos penales, como aquellos relativos a riesgos procedentes de infracciones en materia de protección de datos. En todo caso los distintos sistemas de compliance

268

José R. Agustina y Axel-Dirk Blumenberg

tendrían que estar coordinados de modo que se pudieran evitar solapamientos y, por tanto, sobrecostes. Por otra parte, se deben tener en cuenta riesgos de otro tipo, como el denominado efecto “Compliance-Fatigue”28. La sobrecarga de medidas de compliance puede provocar un rechazo por parte de las personas que integran la organización empresarial. Esto es, sin duda, contraproducente para cualquier sistema de compliance. Para que un programa de formación resulte efectivo es, pues, conveniente adaptarlo a los distintos niveles de la organización. Igual que ocurre en la prevención de los distintos riesgos penales —por ejemplo, los referidos a prácticas de corrupción—, se deben identificar los cargos y puestos de trabajo con mayor exposición a riesgos de incumplimiento. La integración de las personas que ocupan los puestos sensibles en relación con la organización en el análisis de riesgos y con el diseño de las normas y procesos internos, es la mejor manera de aumentar tanto la aceptación como la calidad misma de las normas. Las medidas de formación tienen que ser actualizadas y repetidas de manera periódica, y realizarse ad hoc, por ejemplo, si una persona se incorpora en la empresa o cambia de puesto de trabajo. Las medidas de formación se complementan con el denominado tone from the top29. Esto es, el firme apoyo de los directivos de nivel alto y medio a las medidas de compliance. El hecho de predicar con el ejemplo puede proporcionar el mejor apoyo a un sistema de compliance; mientras que puede producir el efecto contrario el hecho de que los mandos directivos desautoricen las medidas de prevención y detección de riegos penales o de protección de datos, si no se cumple en el día a día de la compañía y se da de

28

Este término se puede traducir como cansancio de compliance: cfr. Moosmayer, K., Modethema oder Pflichtprogramm guter Unternehmensführung? – Zehn Thesen zu Compliance, Neue Juristische Wochenschrift, 2012, pp. 3013, 3015. 29 Moosmayer, K., Compliance, 2ª ed. 2012, C.H. Beck, Munich, pp. 47-49.

El Data Protection Officer en el marco de la responsabilidad penal ...

269

manera concluyente a entender que otros objetivos de la empresa son prioritarios al cumplimiento normativo. El tone from the top se tiene que percibir en el desarrollo de las actividades de la empresa: por ejemplo, mediante la repetición de las pautas de prevención de delitos y riesgos de protección de datos en reuniones de departamentos.

7. EXTERNALIZACIÓN Una de las cuestiones que se plantean en la práctica en relación al DPO es la relativa a la posibilidad de externalizar esta función (“outsourcing”)30. Esta cuestión ha sido tratada ampliamente en el ámbito de la prevención del blanqueo de capitales. La función de prevención del blanqueo de capitales puede ser, ciertamente, externalizada. Sin embargo, conviene tener presente que la propia externalización no exonera a la empresa de la responsabilidad por el correcto cumplimiento. Este modelo puede ofrecer una orientación para la implantación del compliance officer aunque el Código Penal no prevea esta figura en el texto actualmente vigente —sí se incluye con la reforma referida que se aprobará probablemente en 2015—. La externalización de determinados aspectos del sistema de compliance puede ayudar en muchas ocasiones a crear un sistema eficaz, teniendo en cuenta los recursos limitados de la empresa. La implantación de servicios externos como una canal de whistleblowing o un ombudsmann son claros ejemplos de ello. En muchas ocasiones, el compliance officer precisará también de asesoramiento adecuado, por ejemplo de un especialista en Derecho laboral, a la hora de sancionar infracciones de las

30

Esta cuestión obedece en muchos ámbitos a cuestiones económicas y a la optimización de recursos empresariales y no se limita al ámbito de Compliance. Mediante Business Process Outsourcing muchas empresas por ejemplo han externalizado la elaboración de informes financerios a centros especializados en terceros países.

270

José R. Agustina y Axel-Dirk Blumenberg

medidas del sistema de compliance, en tanto que se trata de un requisito previsto por el proyecto de reforma del Código Penal.

8. SANCIONES Y MEDIDAS COERCITIVAS En cuanto al régimen sancionador, conviene señalar que en muchas ocasiones las sanciones administrativas en el ámbito de protección de datos pueden ser muy severas. Junto a ello, como hemos visto supra, determinadas infracciones en materia de protección de datos pueden ser además constitutivas de delito (por ejemplo, como vimos, de un delito de descubrimiento y revelación de secretos del art. 197 CP). Asimismo, si el hecho delictivo ha sido cometido en beneficio de la empresa y cumpliendo los demás requisitos previstos por el art. 31 bis CP, las sanciones aplicables a la persona jurídica son las siguientes: según el art. 197.3, inciso 2, se impondrá la pena de multa de seis meses a dos años, pudiéndose además imponer de forma adicional las sanciones previstas en el art. 33.7 b) a g). Estas sanciones incluyen: √ Disolución de la persona jurídica. √ Suspensión de las actividades. √ Clausura de los locales y establecimientos de la persona jurídica. √ Prohibición de realizar en el futuro las mismas actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito. √ Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social. √ Intervención judicial. A estas sanciones hay que añadir la posibilidad de imponer medidas cautelares. El Código Penal contempla en su art. 33.7 la clausura temporal de los locales o establecimientos, la suspensión de las actividades sociales y la intervención judicial

El Data Protection Officer en el marco de la responsabilidad penal ...

271

como medidas cautelares durante la instrucción de la causa. Estos riesgos trascienden incluso a transacciones de fusión y adquisición (art. 130.2 CP31). Por tanto, en la práctica se están contemplando posibles consecuencias penales en los procesos de Due Diligence para poder mitigar dichos riesgos. A parte de estos riesgos hay que tener en cuenta otras consecuencias económicas, como una posible regularización fiscal o posibles indemnizaciones contractuales. Como hemos adelantado, las sanciones previstas por el Código Penal suponen un riesgo económico considerable para la persona jurídica, entre otros motivos porque, en este hipotético escenario de riesgos, hay que añadir las posibles sanciones por infracciones de protección de datos. Las sanciones previstas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) engloban multas de hasta 600.000 Euros (art. 45 LOPD). La AEPD cuenta incluso con la potestad de inmovilizar ficheros de datos (art. 49 LOPD) como medida adicional en caso de infracción grave o muy grave. Esta medida puede ser más disuasoria que las medidas previstas en el Código Penal. En efecto, las amplias capacidades de inspección y sanción de la AEPD dan lugar a que en la práctica muchas empresas temen aún más a la AEPD que a la propia Fiscalía. La inmovilización de ficheros de datos puede inmovilizar prácticamente a toda una empresa (por ejemplo en el sector de las telecomunicaciones o en hospitales). Esta medida es especialmente relevante en el caso de que una empresa tenga asumida la infracción de las previsiones de protección de datos y el pago de la correspondiente multa para obtener beneficios. En muchos casos, la empresa cuenta con protocolos para enfrentarse a inspecciones administrativas (por ejemplo, en el ámbito de defensa de la competencia). El correcto comportamiento de

31

“La transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal, que se trasladará a la entidad o entidades en que se transforme, quede fusionada o absorbida y se extenderá a la entidad o entidades que resulten de la escisión”.

272

José R. Agustina y Axel-Dirk Blumenberg

los empleados y directivos es clave para garantizar que la inspección se desarrolle con el menor impacto posible para la marcha de la actividad empresarial y la protección de los derechos fundamentales de empleados y directivos, así como para los intereses legítimos de la compañía. Por este motivo puede ser conveniente adaptar los protocolos correspondientes también para inspecciones de la AEPD o en casos de entrada y registro de locales empresariales mediante autorización judicial o administrativa. En relación a la responsabilidad penal de las personas jurídicas se debe hacer un breve inciso respecto a la situación procesal. Aunque la Ley 37/2011, de 10 de octubre, sobre medidas de agilización procesal, haya introducido nociones básicas sobre la participación de la persona jurídica en el proceso penal, existe incertidumbre en relación a muchas cuestiones procesales. Esta incertidumbre procesal aumenta el riesgo para las empresas, debido al hecho de que una hipotética imputación conlleva riesgos procesales, por ejemplo en cuanto a la duración del proceso. En un enfoque integrado de gestión de riesgos de cumplimiento estos aspectos tienen que ser considerados por el tiempo que pueden significar y venir acompañados por una adecuada comunicación en situaciones de crisis para limitar los riesgos reputacionales32.

9. CONCLUSIONES La coincidencia en el tiempo de la próxima entrada en vigor del nuevo Reglamento Europeo en materia de protección de datos y la reforma del Código Penal muestran claramente un auge en el ámbito del compliance. De hecho, ambas dimensiones jurídicas del fenómeno son las dos caras de una misma moneda. Mien-

32

Sobre los efectos de las investigaciones internas y la persecución de delitos infra-empresariales, vid. Agustina Sanllehí, José R. “Estrategias de reacción frente al delito. A propósito del delito intraempresarial”. RDPC, 3ª Época, nº 3 (2010), p. 317 y ss.

El Data Protection Officer en el marco de la responsabilidad penal ...

273

tras que el Reglamento hace hincapié en la figura del DPO, la reforma del Código Penal prevé un modelo detallado que regula los aspectos básicos de gestión de los programas de cumplimiento. Aunque el modelo previsto por el Código Penal no ha hecho referencia hasta la fecha a la figura del compliance officer, las tareas y la carga laboral que conlleva la implantación de las medidas de prevención y detección de riesgos penales hacen necesaria la dedicación profesional de una persona encargada de dichos cometidos, especialmente si la estructura o actividad de la empresa tiene una cierta complejidad. Esta misma necesidad se corresponde con la conveniencia de contar con un DPO. La tendencia de política criminal se encamina a optar cada vez más por recurrir a elementos de autorregulación y programas de compliance. Esta tendencia se corresponde con la creciente profesionalización de las tareas de compliance en el ámbito empresarial internacional. Los retos de organización consisten —a la hora de adaptarse a los requisitos del nuevo Reglamento y la reforma del Código Penal— en dar un enfoque integrado a las distintas facetas de compliance. Este enfoque no sólo tiene la ventaja de aprovechar las sinergias entre los distintos ámbitos de compliance —protección de datos y riesgos penales— y traducirse, por tanto, en un ahorro de costes, sino que ambas dimensiones se complementan para prever posibles escenarios de riesgos. Como hemos visto, tanto las infracciones penales como los riesgos de protección de datos pueden tener un impacto elevado para las empresas, especialmente si consideramos la potestad de inmovilizar ficheros de la AEPD. En un modelo integrado de compliance, el DPO juega, en este sentido, un rol central. Desde la concepción del sistema de compliance, en la implantación de sistemas de información interna y canales de denuncia, y especialmente en investigaciones internas, esta función puede aportar un gran valor y proteger la posición de la empresa. El DPO debe participar en la regulación, implantación y supervisión de la lectura de correos electrónicos de los trabajadores, en el uso de medios de video-vigilancia y en el entrelazamiento de

274

José R. Agustina y Axel-Dirk Blumenberg

datos personales. Además el DPO tiene que distinguir casos de uso ordinario de datos personales de los empleados y directivos con casos motivados por la comisión de un delito. Estas funciones son de especial relevancia en el desarrollo de investigaciones internas y medidas de IT Forensic, como análisis de datos de correos electrónicos o de servidores de la empresa. Las investigaciones internas son, a este respecto, una pieza clave en el rompecabezas de la defensa penal de las personas jurídicas. De lege lata, el Código Penal prevé un modelo de defensa basada en la colaboración y la aportación de pruebas. Este modelo de defensa tiene que garantizar al máximo la protección de los derechos fundamentales de los empleados y directivos afectados, especialmente en el ámbito de protección de datos. Todos estos aspectos muestran las distintas vertientes del compliance. El diseño e implementación de un programa de cumplimiento es un trabajo multidisciplinar que requiere una colaboración efectiva entre disciplinas como la jurídica, la auditoría interna, la gestión de riesgos, los recursos humanos y otros. Dentro de los departamentos jurídicos de las empresas la colaboración de los servicios de asesoramiento jurídico-penal y relativos a la protección de datos —y a menudo, también, a la prevención del blanqueo de capitales— es muy importante para la gestión de riesgos de cumplimiento. Los nexos entre riesgos penales y relativos a la protección de datos son, como hemos visto, especialmente relevantes a la luz del delito de descubrimiento y de la revelación de secretos (art. 197 CP).