Archivos de la categoría Control empresarial

EL GOBIERNO APRUEBA UN REAL DECRETO-LEY DE ADECUACIÓN AL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS, SIN ESPERAR A LA APROBACIÓN DE LA NUEVA LEY.

facebooktwittergoogle_pluslinkedinby feather

data-protection-cd-rom-1462085-640x480

Desde el pasado 25 de Mayo, nadie es ajeno a los grandes cambios que Europa ha impuesto en materia de protección de datos, entre los que destaca el notable incremento de las sanciones, pues en la Ley Orgánica de 1999 la cuantía máxima prevista eran 600.000 €, y desde la Unión Europea se habla de multas de hasta 20 millones de euros o del 4 % de facturación anual.

Por otro lado, se refuerza enormemente el derecho de los interesados a la información sobre el tratamiento que por terceros se realiza de sus datos personales, incorporándose además tres derechos más a los ya conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición). Concretamente, se suman el derecho al olvido, a la limitación del tratamiento y a la portabilidad de los datos.

Así mismo, uno de los cambios que más revuelo ha causado y que nos ha hecho a todos víctimas de innumerables correos electrónicos, es la necesidad de consentimiento expreso del interesado para tratar sus datos, debiendo ser informado de la finalidad del tratamiento, de la duración del mismo, y de las posibles cesiones a terceros de las que puedan ser objeto.

En este escenario de cambios, nos encontramos con muchas contradicciones entre el Reglamento Europeo y nuestra legislación actual, que hacen imprescindible la  aprobación de una nueva ley para adaptar nuestro ordenamiento a lo establecido en el citado reglamento, lo cual se encuentra actualmente en tramitación parlamentaria.

Pero teniendo en cuenta el carácter urgente de la adecuación al Reglamento Europeo, el Consejo de Ministros aprobó el pasado 27 de julio, a propuesta de la Ministra de Justicia aprobó el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

A grandes rasgos, podemos hablar de tres cuestiones que se regulan en el Real Decreto, en vigor desde hoy, 31 de julio de 2018:

1ºInspección en materia de protección de datos:

En materia de inspección, mientras que la LOPD del 99 limitaba esta función a la autoridad de control, podrán ahora realizar esta labor tanto los funcionarios de la Agencia Española de Protección de Datos como funcionarios ajenos a la Agencia habilitados por ésta.

Además, se prevé la actuación conjunta de los Estados miembros cuando se trate de tratamientos de datos trasfronterizos o tratamientos transfronterizos con relevancia local en un único Estado, en cuyo caso habrá que actuar conforme a lo previsto en la normativa de cada Estado y con orientación y presencia de la autoridad de control de dicho Estado.

2º Régimen sancionador:

En este sentido, se incrementa el número de responsables de la vulneración de derechos de los interesados en materia de protección de datos personales, pues mientras en la LOPD se limitaba a los responsables y encargados de tratamiento, se incluyen ahora los representantes de los responsables y encargados de tratamiento (figura que se refiere a la representación en países a donde trascienda el tratamiento de los datos), las entidades de certificación y las entidades acreditadas de supervisión de Códigos de Conducta.

3º Procedimiento a seguir en caso de posibles vulneraciones en materia de protección de datos:

El Reglamento Europeo distingue tres tipos de tratamientos a los que se aplican distintas normas de procedimiento: trasfronterizos, trasfronterizos con relevancia local en un Estado, y tratamientos exclusivamente nacionales.

En los dos primeros casos, esto es, en aquellos casos en que los datos trasciendan nuestras fronteras, la Agencia Española de Protección de Datos habrá de trasladar las propuestas de resolución a las autoridades de control de los Estados implicados, que en un plazo tasado habrán de emitir sus observaciones, debiendo resolver a falta de acuerdo el Comité Europeo de Protección de Datos.

En el resto de los casos, es decir, cuando estemos ante una posible vulneración en un tratamiento a nivel exclusivamente nacional, se establecen en el Real Decreto los pasos a seguir por la autoridad de control, esto es, la AEPD.

Alma Antón

facebooktwittergoogle_pluslinkedinby feather
videovigilancia

La video vigilancia en las empresas

facebooktwittergoogle_pluslinkedinby feather

En el tema de la video vigilancia en las empresas, ha sido un caso español el que ha provocado el pronunciamiento de Europa con respecto a este tipo de control por parte del empresario.

Los hechos sucedieron en un supermercado en Cataluña, donde una serie de empleadas cometían hurtos de la caja de forma habitual.

Existiendo sospechas fundadas sobre las mismas, pues comenzaron a detectarse pérdidas considerables, se instalaron cámaras de seguridad, unas dirigidas a la salida del supermercado, y otras a las cajas registradoras, pero únicamente se informó a las trabajadoras de la existencia de las primeras. Constatándose los hurtos se despide a las cajeras. Impugnando éstas su despido, fue considerado procedente tanto por el Juzgado de lo Social de Granollers como por el Tribunal Superior de Justicia de Cataluña. Presentando amparo ante el Tribunal Constitucional, basado en la vulneración de su derecho a la intimidad, éste no fue admitido.

Sin embargo, al llevar el asunto a Europa, entendió el Tribunal Europeo de Derechos Humanos que efectivamente existía una vulneración del artículo 8 del CEDH, esto es, del derecho a la intimidad de las trabajadoras.

El razonamiento del alto Tribunal se resume en que, existiendo en el momento de los hechos una regulación legal de la utilización de sistemas de video vigilancia art. 5 de la Ley Orgánica de Protección de datos), que obligaba a comunicar expresamente la instalación de estos sistemas y de su finalidad, se generaba en las trabajadoras una expectativa razonable de privacidad, al tratarse de una video vigilancia encubierta.

Alma Antón
Especialista en Responsabilidad Penal de la Empresa.
@tederabogados

¿Quieres conocer otras novedades en relación al control empresarial? Te recomendamos el post  El uso de dispositivos electrónicos y correos corporativos por los empleados.

 

 

facebooktwittergoogle_pluslinkedinby feather
uso_disposiitvosycorreos_empresa_blogtederabogados

Uso de dispositivos electrónicos y correos corporativos por los empleados

facebooktwittergoogle_pluslinkedinby feather

Con respecto al uso de dispositivos y correos electrónicos de empresa, tras mucha polémica y resoluciones judiciales en direcciones de lo más dispares, parece que Europa ha sentado doctrina al respecto a raíz del caso “Barbulescu”.

Los hechos son los siguientes:
El Sr. Barbulescu trabajaba como ingeniero y jefe de compras en una empresa. Por indicaciones de la mercantil, se creó una cuenta de Yahoo para uso profesional, con advertencia expresa por parte de sus superiores de la prohibición de utilizar la cuenta corporativa con fines personales.

Pasados tres años, le comunican su despido, basándose en el uso de la cuenta corporativa para fines personales. Al negar el Sr. Barbulescu los hechos, la empresa hace pública la transcripción de mensajes del trabajador relativos a su esfera íntima y personal.

Impugnado su despido en todas las instancias de Rumanía, alegando la vulneración de su derecho a la intimad, el resultado es desestimatorio, por entender que la monitorización y control de sus comunicaciones era la única forma de probar el incumplimiento del trabajador y la procedencia de su despido.

Agarrándose al Convenio Europeo de Derechos Humanos, que establece en su artículo 8 el derecho a la intimidad y al secreto de las comunicaciones, recurre ante el Tribunal Europeo de Derechos Humanos, que en su sentencia de 5 de septiembre de 2017, que se opone frontalmente a la doctrina que venía defendiéndose por nuestro Tribunal Constitucional, y que implica las siguientes obligaciones para el empresario:

  • No es suficiente con informar al empleado que el dispositivo (teléfono, Pc), o el correo electrónico, debe ser de uso exclusivamente profesional, sino que debe advertirse de forma expresa de la posibilidad de que el empresario supervise el contenido de sus comunicaciones.
  • El acceso a las comunicaciones habrá de estar justificado por una previa sospecha y limitado en el tiempo. Además, habrá de accederse únicamente a aquel contenido del que pudieran obtenerse evidencias de incumplimientos por parte del trabajador.
  • Debe tratarse del único modo posible de probar un incumplimiento o de vigilar la productividad del empleado, debiendo acudir a un sistema menos intrusivo en caso de que exista.

El motivo de la comunicación expresa al trabajador, de la posibilidad de que el empresario controle o supervise el contenido de sus comunicaciones, no es otro que el de eliminar la expectativa razonable de privacidad que pudiera tener el empleado, pues si falta dicha comunicación parece lógico que el trabajador se genere dicha expectativa.

Primera jurisprudencia en España

La primera consecuencia del pronunciamiento de Europa en el caso Barbulescu la tenemos en una sentencia reciente del Tribunal Supremo, relativa a un caso de despido en la empresa Inditex.

El caso hace referencia a un trabajador de la multinacional, que desempeñaba funciones de comprador para la mercantil, descubriéndose casualmente por un tercero trabajador de la empresa, que recibía comisiones de una entidad a cambio de su selección como proveedor de Inditex.

Para comprobar los hechos y ampliar la información, pues únicamente se contaba con dos justificantes de transferencias del proveedor al trabajador que fueron casualmente halladas en una impresora, se procedió a monitorizar el correo electrónico del empleado, en concreto las comunicaciones con el proveedor y durante un tiempo determinado, constatándose que efectivamente estaba recibiendo comisiones de forma ilícita, por lo que se despidió al trabajador.

Recurrida la sentencia en suplicación ante la Sala de lo Social del TSJ de Galicia, se desestimó el recurso confirmándose la procedencia del despido del trabajador. No obstante, entendía nulas e ilícitamente obtenidas las pruebas halladas a través de la monitorización del correo electrónico del trabajador, debiendo basarse el despido únicamente en el hallazgo casual de los justificantes de las trasferencias.

A pesar de entenderse procedente el despido por el TSJ, Inditex recurre al Supremo por entender que dicho trabajador fue debidamente informado de la posible supervisión del empresario de los medios informáticos puestos a su disposición por la empresa.

Y así el Tribunal Supremo, en sentencia de 8 de febrero de 2018, hace referencia ya a la doctrina sentada por el Tribunal Europeo de Derechos Humanos en el caso Barbulescu, estimando el recurso interpuesto por Inditex, por entender que la empresa había cumplido sobradamente los requisitos que se recogen en la Sentencia Europea, esto es, comunicación expresa, limitación de la medida e inexistencia de otro medio menos intrusivo.

Alma Antón
Especialista en Responsabilidad Penal de la Empresa.
@tederabogados

¿Quieres conocer otras novedades en relación al control empresarial? Te recomendamos el post  La video vigilancia en las empresas.

 

facebooktwittergoogle_pluslinkedinby feather

El deber de control interno y la responsabilidad de COMPLIANCE OFFICER

facebooktwittergoogle_pluslinkedinby feather

 

El art. 31 bis, que instaura por primera vez en nuestra legislación la responsabilidad penal de las personas jurídicas, establece en su apartado segundo el deber de control interno por parte de las organizaciones con personalidad jurídica, que deben adoptar medidas para la prevención y detección de delitos en su seno.

CONTROL_INTERNO

Dicho deber de control interno, se materializa en un órgano, unipersonal o colegiado, que asume las funciones de prevención, lo que por su procedencia anglosajona se ha venido denominando “Compliance Officer”.

Sin embargo, el Código Penal no regula específicamente esta figura, lo que provoca cierta incertidumbre tanto en los expertos en la materia, como en los propios empleados que asumen ese rol dentro de la organización, y que a menudo trae de la mano la siguiente pregunta:

¿Qué consecuencias jurídico-penales puede tener el incumplimiento del deber de prevención y control?

Tras estudiar las distintas opiniones e interpretaciones que se están emitiendo por la doctrina y por juristas de muy diversos ámbitos, la conclusión es que siempre se ha de tener en cuenta un punto de partida inicial, y es que el empresario es, en todo caso, quien tiene la posición de garante, debiendo velar porque en el desarrollo de la actividad empresarial no se lesionen bienes jurídicos ajenos.

Partiendo de ésta premisa, lo que se produciría en el caso del Compliance Officer, es una delegación de dicho deber se supervisión, en lo que a la prevención penal se refiere, lo cual no extingue ni mucho menos la posición de garante del empresario, sino que en cierta medida la modifica.

Esto es, el deber de control interno del empresario se convierte en deber de supervisión y vigilancia sobre la labor del Oficial de Cumplimiento, debiendo dotarle de las herramientas y recursos necesarios para el desarrollo de sus funciones.

Una vez sentadas las bases anteriores, esto es, que el empresario no extingue su labor de garante por la delegación de la misma en la figura del Compliance Officer, habrá que analizar el caso concreto para definir la responsabilidad que éste puede tener en la comisión de un acto delictivo.

Pese al deber de prevención, detección y control que asume esta figura, con funciones que abarcan desde la correcta difusión del Plan de Prevención de delitos, la formación de los trabajadores, hasta la instrucción de posibles irregularidades y la imposición de sanciones, no resulta tarea fácil probar que la omisión o la ejecución negligente de sus funciones sea la causa directa de la comisión de un hecho delictivo en la empresa.

El escenario que puede uno imaginarse es la participación del Compliance Officer en la comisión de un delito por omisión de sus funciones, cuando dicha omisión esté directamente relacionada con el resultado lesivo. No obstante, tendría que probarse en tal caso la intencionalidad de éste en permitir o favorecer la comisión de un hecho delictivo.

Por tanto, cabe concluir que aunque existe delegación de la empresa en el Compliance Officer de la prevención y control en el ámbito penal, ello no supone que se exima el empresario de su posición de garante, no pudiendo exigirse al empleado que asuma esta labor responsabilidad penal alguna por la comisión de un delito en la empresa, salvo que se trata de una omisión dolosa en sus funciones con la expresa intención de permitir o favorecer la comisión de un hecho delictivo.

Alma Antón

 ¿Quieres realizar alguna consulta sobre Compliance Corporate?

facebooktwittergoogle_pluslinkedinby feather

LA ERA DE LA AUTORREGULACIÓN, OLE POR LOS VALIENTES!

facebooktwittergoogle_pluslinkedinby feather

la-harina-suelta-se-encuentra-en-el-fondo-negro_1304-3388

Este post va dirigido a aquellos que, en tiempos como los que vivimos, lejos de sucumbir ante la comodidad de ver su nómina en el banco a final de mes y no torturar a su almohada, deciden emprender una actividad económica en este país, ingenuamente convencidos, de que las dificultades que se encontrarán por el camino, estarán directamente relacionadas con el sueño por el que tan rotundamente han decidido apostar, y por ello las asumirán con gusto.

Mal sabrán ellos que aunque consigan poner en marcha su negocio,  con la satisfacción que produce que gracias a su proyecto puedan obtener el sustento los miembros que escoja para su equipo, sus problemas no han hecho más que empezar.

Tendrán que enfrentarse, simplemente por ejercer una actividad económica, a una incesante presión y fiscalización por parte de la Administración Pública, y de la Europa que viene con fuerza a imponernos sus criterios del buen hacer.

No se pretende negar el efecto positivo que tendrá el incremento de regulación y control sobre el tejido empresarial, pero será dura la transición hasta que la cultura de cumplimiento y la rigurosa observancia normativa estén tan impregnadas en el día a día de la empresa que se conviertan en algo innato a sus miembros.

Pero esto no termina aquí, pues además de tener que destinar recursos, financieros y humanos, a la observancia de la ingente cantidad de normas que rigen el desarrollo de una actividad económica, ahora se espera que sea la propia empresa quien se autoregule, se analice y decida, según su buen criterio, los riesgos que corre en su actividad y los controle como buenamente pueda.

Se ve meridianamente clara esta intención por parte de los que legislan, en los dos temas por excelencia, que a día de hoy preocupan al empresario: la adaptación al Reglamento Europeo en materia de Protección de Datos, y la implementación en la empresa de sistemas de Compliance, que cumplan las exigencias del Código Penal desde su reforma en el año 2015.

Como asesores jurídicos, escuchamos cada día las protestas al aire de los empresarios que se resisten a la idea de tener que hacer de policías con sus trabajadores, crear sus propias normas, vigilar el cumplimiento de las mismas, y todo ello sin la certeza de estar en el camino correcto, sin la seguridad de que, a pesar de invertir tiempo y dinero en intentar cumplir con todo el entramado de normas que pesan sobre él, va a librarse de la pena de muerte a la que se pueden enfrentar  las empresas si un empleado se salta la ley y comete un delito en el seno de la misma.

No podemos evitar la llegada de esta era, la de la autoregulación, que viene pisando fuerte desde Europa y que nos hace partícipes a todos de la labor de crear una cultura de cumplimiento en nuestras actividades profesionales. Pero lo que sí podemos, con una gran satisfacción, es acompañar al empresario en ese rumbo hacia la excelencia, ofreciéndole un asesoramiento integral, formando a sus empleados en las exigencias normativas actuales, y en definitiva, respaldándole en la incierta labor de cumplir con todos los efectos colaterales que le ha traído apostar por su sueño.

Alma Antón

facebooktwittergoogle_pluslinkedinby feather

CONCIENCIA DE NECESIDAD DE LA IMPLANTACIÓN DEL COMPLIANCE

facebooktwittergoogle_pluslinkedinby feather

Como se mencionaba en el último post hace unos meses, el Corporate Compliance se ha convertido en el tema jurídico estrella. De hecho, cada vez son más numerosas las empresas a las que asesoramos en el camino a la implantación de la normativa en sus organizaciones.

Y ello no es casualidad, sino que se debe al creciente interés de las corporaciones en la implantación de una cultura de cumplimiento en su seno, tanto por la exigencia del mismo en sus relaciones comerciales como por una cuestión de organización interna, lo que aumenta paulatinamente la conciencia de su necesidad.

Así mismo, pese a la ambigüedad inicial de esta normativa, que se limitaba a un artículo vago e impreciso del Código Penal, progresivamente se han ido despejando las incógnitas, precisándose cada vez más los requisitos que han de cumplirse y la operativa que ha de seguirse por las organizaciones.

Además de las directrices indicadas por la Fiscalia General del Estado, o los estándares nacionales e internacionales, a comienzos de este año, se ha publicado por la Asociación Española de Compliance (ASCOM), un Libro Blanco sobre la Función de Compliance, donde se recogen los trazos básicos que definen los pasos que deben dar las organizaciones para su implantación y el cometido esencial de los responsables dentro de la misma.

Se habla en el mismo de la importancia de la prevención, detección y gestión de los riesgos empresariales en el ámbito penal, para cuyo análisis habrán de tomarse en consideración las circunstancias internas y externas de las compañías. Dentro de las circunstancias internas jugarán un papel importante, tanto en el riesgo empresarial que exista como en la complejidad de atajarlo, las cifras de negocio, el número de empleados, los terceros con quien mantiene relaciones de negocio, o la complejidad de las transacciones que realiza. Por otro lado, influirá como circunstancia externa el sector en que opere la empresa, su objeto social o el marco regulador al que esté sometida.

También se resalta la necesidad de que la función del oficial u órgano de cumplimiento, esté dotada de autonomía e independencia, con poder suficiente para la toma de decisiones y lejos de influencias o incentivos como las relaciones comerciales o las cifras económicas de la empresa, que en ningún momento deben guardar relación con su labor o incidir en ella.

Por tanto, es creciente y así nos lo hacen saber nuestros clientes, la conciencia de la necesidad de adoptar un sistema de cumplimiento normativo interno, como factor clave para el buen gobierno corporativo, implicando a todos los miembros de la misma y dotándola de personal cualificado para su gestión.

Alma Antón

facebooktwittergoogle_pluslinkedinby feather

ACTITUD PRO ACTIVA ANTE LAS EXIGENCIAS DEL CÓDIGO PENAL.

facebooktwittergoogle_pluslinkedinby feather

http://www.farodevigo.es/portada-arousa/2016/09/11/congreso-mediacion-advierte-empresa-debe/1531128.html

compliance-penal

Los operadores jurídicos de nuestro país advierten de la necesidad de implantación en las empresas de un plan de cumplimiento normativo.

“La empresa que cometa un delito y no tenga un plan de responsabilidad penal implantado será condenada irremediablemente, a raíz de la reforma del Código Penal que entró en vigor el pasado 1 de julio de 2015″. Fue la máxima pronunciada por la totalidad de los ponentes que intervinieron en la tercera y última jornada del “I Congreso Internacional de Mediación, Arbitraje y Compliance” celebrado en el Auditorio de Vilagarcía.

compliance-officer-compliancers-300x176

facebooktwittergoogle_pluslinkedinby feather