Articles Tagged with: sigma corporate
Inicio / Archivos de Blog
Cambio en la presidencia de ASEBLAC

Juan Luis Martínez es el nuevo presidente de ASEBLAC, sustituyendo a Juan Carlos Galindo, quien la presidió por espacio de seis años ininterrumpidos, por lo que ha sido designado “Presidente de Honor”, además de Portavoz y presidente ASEBLAC Comunitat Valenciana.

El pasado 23 de abril del año en curso, se celebró la Asamblea General Extraordinaria de ASEBLAC, Asociación Española de Sujetos Obligados en Prevención del Blanqueo de Capitales. Destacando de la misma los siguientes puntos:

ASEBLAC potencia su presencia en más autonomías, incorporando a nuestra Junta Directiva a D. Javier Pascual Bermejo, como presidente de ASEBLAC Andalucía, D. Iván Martínez López, como presidente de ASEBLAC Principado de Asturias, D. Manuel del Palacio Anuarbe, como presidente ASEBLAC Comunidad de Madrid, D. Miguel Toledo Murcia, como presidente de ASEBLAC Murcia.

Con estas incorporaciones, ya estamos presentes en 11 comunidades Autónomas, desarrollando la expansión y potenciando el trabajo por la defensa de los intereses de los sujetos obligados y expertos externos en prevención del blanqueo de capitales y financiación del terrorismo.

ASEBLAC renueva su junta directiva, y su Presidencia, para dotarla de más peso específico. Potenciando así las áreas de sujetos obligados y expertos externos, con dos nuevas vicepresidencias. Una portavocía que gestionara la comunicación y las relaciones institucionales, así como una nueva presidencia, que sin duda dotara de otro carácter a la asociación, manteniendo ese “espíritu libre” que ha caracterizado a ASEBLAC durante estos años.

La junta directiva queda configurada de la siguiente forma:

Presidente nacional ejecutivo y presidente ASEBLAC Extremadura: Juan Luis Martínez-Carande- Vicepresidenta nacional ejecutiva y presidenta ASEBLAC Canarias: Elisa I. Hernández Vicepresidente 2º y presidente ASEBLAC Andalucía: Javier Pascual Secretario General y presidente ASEBLAC Comunidad de Madrid: Manuel del Palacio Tesorero y presidente ASEBLAC Castilla y León: David Díaz – Portavoz y presidente ASEBLAC Comunitat Valenciana: Juan Carlos Galindo Vocal y presidente ASEBLAC Aragón: María García Vocal y presidente ASEBLAC Principado de Asturias: Iván Martínez Vocal y presidente ASEBLAC Illes Balears: José María Calado Vocal y presidente ASEBLAC Región de Murcia: Miguel Toledo Vocal y presidente ASEBLAC La Rioja: Basilio Ramírez

Para Juan Luis Martinez-Carande “Esta nueva etapa la afrontamos con ilusiones renovadas, sabiendo que los retos a los que nos vamos a enfrentar van a ser muy exigentes” por otro lado, el nuevo presidente de ASEBLAC tuvo palabras de agradecimiento para su antecesor, Juan Carlos Galindo, al cual agradeció toda su gestión anterior, proponiéndole como presidente de honor; propuesta, que aceptó la junta directiva por unanimidad.

Y para terminar apostilló “vamos a continuar siendo el nexo de los sujetos obligados y los expertos externos, así como potenciaremos nuestras relaciones, todavía mas si cabe, con los organismos regulatorios “.

Con este nuevo equipo rector, manteniendo sus fines fundacionales más actuales y firmes que nunca, ASEBLAC encara este nuevo proyecto hasta el 2024 con el convencimiento de que nos esperan años de grandes cambios.

Postura de ASEBLAC en relación a los “Criterios específicos de acreditación para Entidades examinadoras para la Prevención del Blanqueo de Capitales y la Financiación del Terrorismo”.

Desde que, en la Asociación Española de Sujetos Obligados en Prevención del Blanqueo de Capitales (ASEBLAC), tuvimos conocimiento de la presentación y publicación de los “Criterios específicos de acreditación para Entidades examinadoras para la Prevención del Blanqueo de Capitales y la Financiación del Terrorismo” (CEA-ENAC-25_Rev. 1) hemos hecho un análisis y seguimiento en profundidad de los beneficios que aportaba a los sujetos obligados la citada acreditación.

La acreditación pretende garantizar la “competencia de las entidades examinadoras, que pueden ser personas físicas o jurídica,  cuando realizan el informe de experto externo sobre los procedimientos y órganos de control interno y comunicación establecidos para prevenir el blanqueo de capitales que deben realizar a los sujetos obligados”. Esto parece un fin loable, que va a introducir criterios de calidad en los informes que los sujetos obligados en PBC/FT están obligados a contratar, si superan los umbrales de activos o empleados que establece la Ley 10/2010 PBC/FT.

Sin embargo, cuando se examina la norma con detalle, se puede comprobar que no es oro todo lo que reluce, y que su aprobación y puesta en práctica puede dar lugar a efectos indeseables, al menos en su redacción actual.

Destaca, en primer lugar, que la acreditación recaiga, no sobre los expertos externos, que son aquellos a quienes la Ley otorga la capacidad y responsabilidad para realizar el examen externo, sino sobre las denominadas “entidades examinadoras”, a las que se atribuye la misión de controlar la correcta labor de los expertos, lo que no deja de ser llamativo. Sería como si, para controlar la capacitación de los taxistas, en lugar de supervisar su capacidad, honestidad y aptitud, nos dedicáramos a supervisar la actuación de las empresas del taxi, olvidándonos de los profesionales que conducen los vehículos. Porque Ley de prevención de blanqueo de capitales no contempla a esas supuestas “entidades examinadoras”, ni les permite realizar exámenes de sujetos obligados, reservados exclusivamente a los expertos externos personas físicas.

Así lo exige el artículo 28 de la Ley 10/2010 de Prevención del Blanqueo de capitales y de la financiación del terrorismo, que caracteriza al experto externo por los siguientes aspectos:

  • Se le encomienda directamente, como persona física, la función de examinar las medidas y órganos de control interno y comunicación de los sujetos obligados.
  • Se le exige que reúna las condiciones académicas y de experiencia profesional que les hagan idóneos para el desempeño de la función, requisitos de imposible cumplimiento por las personas jurídicas.
  • El registro previo ante el SEPBLAC, necesario para ejercer la actividad, está reservado exclusivamente a las personas físicas.

La confusión que introduce la norma de acreditación, al mezclar la figura del experto externo con la de las entidades examinadoras, da lugar a que, a lo largo del texto, se recojan otros criterios que igualmente chocan con lo dispuesto en la Ley 10/2010. Así, por ejemplo:

  • Se dice que la entidad examinadora “deberá mantener registros que demuestren que semestralmente comunica al Servicio Ejecutivo de la Comisión la relación de sujetos obligados cuyas medidas de control interno hayan examinado”, cuando, por Ley la comunicación debe realizarse directamente por el experto externo, de modo que la entidad examinadora no puede nunca tener registros de unas comunicaciones que no puede hacer por Ley.

Se pide que la entidad examinadora “demuestre su capacidad técnica para realizar el informe de experto externo”, cuestión imposible dado que, ni la ley permite a las personas jurídica hacer informes externos, ni éstas pueden demostrar su capacidad técnica, al no ser susceptibles de obtener cualificación académica ni profesional propia.

Con todo, casi lo más preocupante del texto, es el criterio relativo a imparcialidad e independencia al establecer que “las entidades examinadoras deberán adecuarse al régimen de independencia regulado en la legislación sobre prevención del blanqueo de capitales y la financiación del terrorismo”, sin introducir criterios adicionales.

La Ley 10/2010, en su artículo 28, contempla un régimen de incompatibilidades aplicable exclusivamente a las personas físicas, al ser las únicas que pueden realizar el examen externo. Pero, dado que los criterios CEA-ENAC-25_Rev. 1 no introducen directrices adicionales que, al menos, extiendan el régimen de incompatibilidad a las “entidades examinadoras” personas jurídicas, el resultado es que estas quedan eximidas de cualquier requisito de incompatibilidad.

Así, nos encontraremos con que, mientras a los expertos externos se les prohíbe que presten cualquier otra clase de servicios retribuidos durante los tres años anteriores o posteriores a la emisión del informe, dicha prohibición no será aplicable a las entidades examinadoras personas jurídicas cuando, por tamaño, tendrán generalmente un mayor riesgo de incurrir en conflicto de intereses.

Este aspecto es sumamente grave y contrario a cualquier principio de objetividad y buen gobierno hasta el punto que podría, de facto,  impugnar la validez de los informes externos acreditados por entidades examinadoras que hubieran prestado servicios anteriormente a los sujetos obligados objeto de examen.

No menos importante es que la acreditación puede incurrir en un supuesto de competencia desleal o publicidad ilícita, contemplado en la Ley 3/1991, de 10 de enero, de Competencia Desleal. La citada Ley, considera engañosa por confusión la “promoción de un bien o servicio similar al comercializado por un determinado empresario o profesional para inducir de manera deliberada al consumidor o usuario a creer que el bien o servicio procede de este empresario o profesional, no siendo cierto.” Así, en el caso de que se acreditara un informe como realizado por una persona jurídica, que no pueden legalmente hacerlo, el servicio no procedería de la persona jurídica acreditada, sino del experto externo que lo realizara en la práctica, lo que daría lugar a una conducta prohibida expresamente por la Ley.

Todo lo anterior no es un obstáculo para que se utilicen mecanismos de acreditación y certificación, para evaluar las competencias profesionales de las personas físicas que realizan la función de experto externo. Para ello, hay un mecanismos específico, como la acreditación de competencias profesionales bajo criterios de ISO 17014 (al igual que se ha hecho con la figura del DPD, por ejemplo). Pero el mecanismo elegido para la acreditación de los informes externos, bajo la norma ISO 17020, supone una aplicación totalmente forzada y anti natura de la misma.

Consideramos que las consecuencias de esta norma pueden ser perjudiciales para el mercado, introduciendo confusión en el mismo y dando lugar a la alteración de precios, sin que ello suponga mejoras de la calidad de los informes e, incluso, pudiendo viciar los mismos por causa de incompatibilidad. Si se pretende garantizar la seriedad y solvencia de los informes hay prioridades, como la actualización de la Orden o el establecimiento de responsabilidades para el caso de que dichos informes no cumplan, al menos formalmente, los requisitos normativamente establecidos.

En suma, desde ASEBLAC estamos completamente a favor de garantizar la capacitación de los expertos externos y la responsabilidad por su actuación, en cuanto colaboradores del SEPBLAC, en la aplicación de la normativa de prevención de blanqueo de capitales. Pero nos parece innecesaria, e incluso nociva, la introducción de figuras ajenas al ordenamiento, que suponen la introducción de costes accesorios, al alcance exclusivamente de las grandes firmas, que van a ser repercutidos sobre los sujetos obligados sin beneficios apreciables e, incluso con efectos perjudiciales.

La ley de Secretos Empresariales y el Compliance.

El pasado miércoles entró en vigor la Ley 1/2019, de 20 de febrero, de Secretos Empresariales, transposición de la Directiva UE 2016/943 de Secretos Comerciales.

La nueva Ley es relevante, en materia de Compliance, en relación con los tipos penales recogidos en los artículos 278 y 279 del Código Penal, relativos al apoderamiento y revelación de secretos de empresa, dentro de los delitos contra el mercado y los consumidores. El alcance de dichos preceptos, con un contenido difuso y de elaboración jurisprudencial,  queda ahora delimitado por el concepto de secreto empresarial regulado en la Ley.

La Ley define el secreto empresarial por la concurrencia de tres condiciones:

  • Que la información sea secreta, es decir, no generalmente conocida en el sector.
  • Que tenga un valor empresarial, real o potencial, precisamente por ser secreta.
  • Que su carácter secreto haya sido protegido por su titular.

Es importante no confundir el secreto empresarial con los derechos de propiedad intelectual o industrial, que recaen sobre creaciones que son públicas y están dotados de mecanismos de protección específicos.

Así, el concepto de secreto de empresa comprenderá aquellos secretos de naturaleza técnica o industrial no patentables, los relativos a la actividad comercial (fondo de comercio, precios y condiciones de servicio, planes de marketing y expansión…) y los relativos al Know-How (como la organización productiva y laboral). Estos elementos, fundamentales para la competitividad de las empresas, son especialmente vulnerables por diversos motivos.

En primer lugar, por ser especialmente codiciados por la competencia. Pero, además, por la dificultad que entraña su protección. La organización, procesos y planes de producción y ventas de la empresa  no sirven de nada si se guardan en una caja fuerte, y su implementación implica necesariamente su conocimiento por un número elevado de personas de la organización. Lo anterior, unido a la necesidad, en muchos casos, de hacer partícipes de los secretos a terceros y al alto grado de movilidad del personal de las empresas, convierte la seguridad en un auténtico quebradero de cabeza.

Desde el punto de vista del Compliance penal, se nos plantean dos cuestiones relevantes:

  • Evitar cualquier conducta que pudiera ser constitutiva de obtención de secretos empresariales de terceros.
  • Proteger nuestra información, evitando que pueda ser revelada a terceros y, en el caso de que esto sucediera, haciéndola susceptible de protección en el ámbito penal.

Respecto a lo primero, va a ser fundamental el compromiso ético de directivos y gerentes en el respeto de los pactos de confidencialidad respecto a la información de terceros, así como en el uso de información de procedencia dudosa, que pudiera suponer una ventaja competitiva. Y ello, porque dicho uso implica el riesgo de incurrir de lleno en los tipos penales relativos al descubrimiento de secretos.

Respecto a lo segundo, se requiere un cambio importante en la forma de tratar la información propia. Porque, como dice la Ley, la información empresarial secreta solo tiene tal carácter si es protegida por la empresa. Eso supone la adopción de medidas que van más allá de la firma de compromisos de confidencialidad y la aplicación de medidas de seguridad informática.

Será necesario, fundamentalmente, clasificar nuestra información, distinguiendo entre la que tiene carácter confidencial y la que carece de él. También habrá que establecer los protocolos de acceso y uso de la información que previamente hayamos calificado como secreta. Así, para la efectividad de las leyes que protegen  los secretos empresariales, es inexcusable una actuación proactiva de los sujetos titulares del bien jurídico protegido. La propia Ley excluye del ámbito de su protección aquella información que las empresas no se molesten en proteger.

En conclusión, la Ley parece oportuna y necesaria, y ofrece una protección que puede desplegar sus efectos.  Pero solo en tanto en cuanto se genere en las empresas un cambio de cultura respecto a la importancia de nuestros activos inmateriales, y de los ajenos, y la necesidad de esforzarse en su salvaguarda. Para ello deberemos integrar esta tarea entre los planes de seguridad y, por supuesto, los de Compliance.

Adaptación de la Ley 10/2010 a la IV Directiva Europea: novedades.

 

El Real Decreto-ley 11/2018, de 31 de agosto, de transposición de directivas en materia de protección de los compromisos por pensiones con los trabajadores, prevención del blanqueo de capitales y requisitos de entrada y residencia de nacionales de países terceros y por el que se modifica la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, ha sido publicado el pasado 4 de agosto y entrado en vigor el mismo día.

Dicho Decreto ha venido a subsanar las deficiencias en la transposición de la Cuarta Directiva europea sobre blanqueo de capitales, que habían dado lugar a la apertura de un expediente sancionador por parte de la Comisión Europea.

Las modificaciones introducidas por el Real Decreto son numerosas, hasta treinta y tres, por lo que destacaremos las más importantes.

En matera de sujetos obligados se incluye en al apartado o) del artículo 2.1 a las personas que, con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable, presten por cuenta de terceros funciones de asesoría externa de una sociedad.

En la identificación del titular real se precisan los criterios de determinación del control, por remisión al artículo 42 del Código de Comercio y a las Directivas Europeas sobre estados financieros. Asimismo, se establecen los criterios de determinación del titular real en los fideicomisos y trust.

En materia de juego hay importantes añadidos, incluyendo las distintas modalidades de juego on line y estableciendo las cuantías de las operaciones para aplicar las distintas medidas de diligencia debida.

Se permite externalizar determinadas obligaciones en materia de diligencia debida en organizaciones o federaciones de sujetos obligados.

Se obliga a aplicar diligencia reforzada en relación con los países que presenten deficiencias estratégicas en sus sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo.

Se define expresamente la corresponsalía bancaria transfronteriza y se regulan las medidas y obligaciones a adoptar en relación con las operaciones con corresponsales.

Se introducen modificaciones en la definición de los PEPs, para una mejor precisión del concepto de altos cargos. Destaca, como novedad, la introducción entre los mismos de los cargos de alta dirección de partidos políticos con representación parlamentaria. Por su parte, se extiende la obligación de aplicar medidas de diligencia debida en relación con los mismos, transcurrido el plazo de dos años desde el cese, salvo que el sujeto obligado determine que ya no representa un riesgo específico derivado de su antigua condición.

En materia de conservación de documentación en materia de PBC, se establece la obligación de destrucción de la misma, transcurrido el plazo de conservación de diez años, y restricciones de acceso en el plazo de cinco.

Se extiende la obligación de aplicar las políticas y procedimientos de PBC a las sucursales y filiales en terceros países.

Se establece la obligación de crear un canal confidencial de denuncias por incumplimiento, que debe permitir las denuncias anónimas. Y ello sin perjuicio de mantener el resto de obligaciones de comunicación interna.

El representante ante el SEPBLAC deberá ser una persona residente en España, que ejerza cargo de administración o dirección de la sociedad.

En materia comercio de bienes el límite en el uso de medios de pago anónimos se reduce de 15.000 a 10.000 euros.

Las facultades de supervisión e inspección del SEPBLAC se ven reforzadas, pudiendo extenderse a los sujetos que han sido objeto de una exención de conformidad con lo previsto en la ley, y a las políticas y procedimientos aplicados por la matriz a sus filiales y sucursales en el extranjero. Asimismo se orientan las actuaciones de supervisión a un enfoque basado en el riesgo supervisor.

Se intensifica la cooperación internacional en materia de prevención mediante el refuerzo de las actuaciones de intercambio de información, tanto con países UE como con terceros, en este caso en función de convenios o del principio de reciprocidad. Se faculta al SEPBLAC a la suspensión de transacciones en curso a requerimiento de la Unidad de Inteligencia Financiera de otro Estado miembro de la Unión Europea,

En materia de sanciones, se incrementa notablemente la cuantía de las mismas que quedan de la siguiente forma:

  • El importe máximo de las multas por infracciones muy graves ascenderá hasta la mayor de las siguientes cifras: el 10 por ciento del volumen de negocios anual total del sujeto obligado, el duplo del contenido económico de la operación, el quíntuplo del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan determinarse o 10.000.000 euros.

Para los administradores o directivos el importe máximo se fija en 10.000.000 euros.

  • El importe máximo de las multas por infracciones graves ascenderá hasta la mayor de las siguientes cifras: el 10 por ciento del volumen de negocios anual total del sujeto obligado, el tanto del contenido económico de la operación, más un 50 por ciento, el triple del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan determinarse, o 5.000.000 euros.

Para los administradores o directivos el importe máximo se fija en 5.000.000 euros. Además de la sanción que corresponda imponer al sujeto obligado por la comisión de

Se introducen nuevos criterios de graduación de las sanciones como la cuantía de las operaciones afectadas por el incumplimiento, las pérdidas para terceros causadas por el incumplimiento o el nivel de cooperación del inculpado con las autoridades competentes.

Otra importante novedad es la regulación del canal para la comunicación de infracciones al SEPBLAC, canal cuya existencia deberá ser difundida en los programes de formación de los sujetos obligados. Dicho canal será confidencial y se establecen los mecanismos de protección del denunciante.

Por último, y con especial relevancia, se introduce la obligación de inscripción en el Registro Mercantil  de las personas físicas o jurídicas que de forma empresarial o profesional presten todos o alguno de los servicios descritos en el artículo 2.1.o) de la ley, inscripción que debe hacerse con carácter previo al inicio de dichas actividades o, en el caso de quienes ya las estén realizando, en el plazo de un año.

Dicha inscripción, cuya omisión es considerada infracción leve, va acompañada de la obligación de presentar cuentas anuales aunque no lo estuvieran los sujetos obligados, salvo que se trate de prestadores de servicios a sociedades que sean personas físicas profesionales.

Además, junto a las cuentas anuales deberá depositarse un documento en el que se consignen los servicios de esta índole que se prestan, ámbito territorial de actuación, operaciones con no residentes o volumen facturado, entre otras cuestiones.

Como podemos observar, las modificaciones de la normativa en materia de prevención del blanqueo de capitales no son pocas y algunas son bastante relevantes. Destacan la definición de grupo empresarial, el refuerzo de las sanciones, el registro de profesionales de prestación de servicios financieros, la definición de tercer país equivalente, las medidas de diligencia debida o el establecimiento de los canales de denuncia internos y externos.

Hay alguna cuestión imprecisa y que dará lugar a problemas interpretativos como la inclusión entre los sujetos obligados de las personas que presten servicios de asesoría externa de una sociedad, término especialmente difuso que nos obliga a estar a la interpretación de que del mismo se haga por la administración.

En todo caso, la norma está ya en vigor y obligará a hacer adaptaciones a todos los sujetos obligados, puntuales en algunos casos y significativas en otros.

La visibilidad del canal de denuncias.

Los canales éticos son un elemento fundamental en cualquier sistema de Compliance, tal y como establece el art 31 bis 5 de nuestro Código Penal.

De los diversos aspectos que afectan a dichos canales, señalados en un post publicado en este mismo blog hace un año, http://sigmacorporate.es/es/la-implementacion-practica-de-los-canales-de-denuncias/ nos interesa reseñar ahora la importancia de darles visibilidad.

Porque, si accedemos a las web de algunas de las principales multinacionales españolas, podemos comprobar que no es tarea fácil localizar el canal de denuncias, salvo buceando a través de las páginas dedicadas al gobierno corporativo. Lo anterior resulta más llamativo al observar que, otros canales como el SAC o las direcciones habilitadas para el ejercicio de derechos en materia de protección de datos, sí se presentan con una mayor visibilidad.

Tal vez no sea razonable que un canal, que pretende ser una de las principales garantías del correcto funcionamiento del modelo de compliance, sea tratado como el patito feo de las vías de comunicación entre la empresa y terceros. Y no se trata de saturar a dichos terceros con múltiples canales, sino de dar relevancia al canal ético, más que nada porque la tiene.

Tal vez, la poca tradición en materia de compliance existente todavía en España, sea la causa de esa opacidad del canal ético, unido al temor a que se convierta en un cajón de sastre, donde se acumulen todo tipo de quejas y opiniones sobre la empresa, difíciles de gestionar por los responsables del mismo.

Pero la experiencia nos indica que los canales de denuncia suelen ser muy poco (o casi nada) utilizados, por lo que el riego de sobrecarga es, en principio, escaso. Y, sobre todo, que el elemento esencial  de la credibilidad del canal es su uso. Al igual que no es posible predicar el éxito de una carretera por la que no circulan vehículos, lo mismo puede decirse de una canal de denuncias por el que no circulan denuncias.

Si el motivo es que no hay materia que pueda ser objeto de denuncia, la organización no tendrá nada de que preocuparse. Pero si, por el contrario, hay denuncias que no llegan a la carretera por falta de una señalización adecuada, nos encontraremos con que la vía de suministro de información clave para el correcto funcionamiento del modelo no está cumpliendo su función. Y ello pone en entredicho la validez del propio modelo y, por ende, su capacidad para prevenir las conductas delictivas y exonerar de responsabilidad a la entidad.

No hace mucho, un juez me comentaba que a él lo que le interesaba del canal de denuncias era su histórico. Y lo cierto es que, un canal de denuncias en blanco, tiene poca historia que sirva de respaldo para demostrar un verdadero interés de la empresa en implementar y mantener una cultura de cumplimiento.

Por todo lo expuesto, consideramos que, en lo que al canal de denuncias se refiere, es mejor pecar de exhibicionismo que de pudor, y que darle una presencia destacada en nuestros medios de comunicación con terceros (la página web será normalmente la clave) va a redundar siempre en beneficio de la entidad.

La Norma UNE 19601, ¿guinda del pastel de compliance?

El pasado jueves se publicó la esperada norma UNE 19601 “Sistemas de gestión de compliance penal”. Sin perjuicio de su análisis en profundidad en post posteriores, llama poderosamente la atención el título con el que se presenta: “norma que establece los requisitos para implantar un sistema de gestión de compliance penal”.

Analicemos dicho aspecto bajo el prisma de las fuentes del Derecho de nuestro ordenamiento jurídico. Estas no son otras que la ley (en sus diversas manifestaciones), la costumbre y los principios generales del Derecho, como fuentes directas, y la jurisprudencia como fuente indirecta. Pues bien, no hace falta ser un experto en Derecho para ver que las normas de certificación aprobadas por organismos privados, nacionales o internacionales, no están recogidas en nuestro sistema de fuentes.

En consecuencia, podemos afirmar, sin temor a equivocarnos, que la UNE 19601 no puede establecer los requisitos para implantar un sistema de gestión de compliance penal, porque la facultad para establecerlos corresponde al legislador, que ya lo ha hecho en el artículo 31.bis 5. Del Código Penal. Y no solo eso, sino que carece de cualquier eficacia en orden a desarrollar, interpretar y, mucho menos, modificar o restringir, los requisitos exigibles a un modelo de gestión de compliance.

Dicho lo anterior, cabe preguntarse sobre los efectos que puede desplegar la certificación de un modelo de gestión de riesgos penales. La respuesta a esta pregunta ya la dio la Circular 1/2016 de la Fiscalía General del Estado, al señalar, en su apartado 5.6., que ”las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, en modo alguno acreditan la eficacia del programa”. Poco cabe añadir a tan rotunda manifestación, que expresa la posición del órgano que constitucionalmente tiene atribuida la misión  de “promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley”.

De lo expuesto no se deduce que la certificación de un sistema de gestión no sea conveniente o útil, sino que hay que ponerla en su justo sitio. Según la misma Circular 1/2016, las certificaciones “podrán apreciarse como un elemento adicional más” de la observancia de que el modelo cumple los requisitos necesarios para su eficacia. Es decir, la Fiscalía atribuye a la certificación del modelo el carácter de prueba, lo que no es poco, en principio. Pero hay que reseñar que dicha prueba no tiene un valor especial respecto a cualquier otro de los medios de prueba de nuestro Derecho. Y ello lo deja muy claro la Circular, al señalar que las certificaciones no sustituyen la valoración de la eficacia del programa, que “de manera exclusiva compete al órgano judicial”. Así, la opinión del juez no va a verse limitada, condicionada o predeterminada por la certificación, cuya hipotética validez puede ser destruida por cualquier otra prueba.

Y así, lo que deben tener claro los operadores jurídicos y los sujetos que implanten un sistema de compliance es que un sistema certificado conforme a la UNE 19601 puede no ser válido (aunque es menos probable) y, por el contrario, un modelo no certificado puede ser perfectamente válido y desplegar todos sus efectos. Esto es muy importante reseñarlo para evitar dos problemas que puede plantear la aprobación de la «Norma”. Por un lado, la sensación de falsa seguridad que podría generar, en una persona jurídica, el disponer de un sistema certificado. Y por otro, las trabas que puede suponer, a la hora de decidir la implantación de un sistema de compliance, pensar que la no certificación del mismo va en menoscabo de su validez.

En conclusión, las certificaciones pueden ser una buena guinda para un programa de compliance, pero si el pastel es malo, no habrá guinda que lo arregle.

El Libro blanco sobre la función de Compliance: una oportunidad perdida.

La semana pasada tuvo lugar la presentación del “Libro blanco sobre la función de Compliance”, en el seno de la Asociación Española de Compliance, que integra a un buen número de reputados profesionales en la materia. Lo novedoso de la iniciativa la dota de un innegable atractivo que, sin embargo, no se ve favorecido por el contenido del Libro, como señalamos a continuación.

La lectura del preámbulo origina cierta confusión, al presentarse como una herramienta para identificar los aspectos esenciales de la función de Compliance, ayudando a los profesionales integrados en ella a concretar sus contenidos esenciales. Al margen de la ambición del mismo, por Libro Blanco suele entenderse una guía básica que emana de una autoridad. Y el elemento de autoridad está ausente del citado texto, en cuya elaboración no participa ninguna de las autoridades o poderes de los que emana nuestro sistema de compliance: ni el poder legislativo, encargado de crearlo, ni el ejecutivo, capaz de desarrollarlo, siempre con los límites derivados de nuestro sistema de fuentes, ni el judicial, competente para aplicarlo.

En suma que parece que  nos encontramos ante un White Paper en su versión comercial. Pero sería interesante que los autores lo hubieran dejado claro desde el principio, para no inducir a confusión a los destinatarios.

En cualquier caso, la confusión inicial va dando paso a la sensación de perplejidad al intentar descifrar el contenido del texto. Porque, desde el principio, recuerda la anécdota atribuida a D. Eugenio D´Ors que, tras dictar un párrafo a su secretaria, le preguntaba: “¿Se entiende?” Y, si ella respondía afirmativamente, replicaba: “Entonces oscurezcámoslo”.

Así podemos comprobar que el Libro Blanco está plagado de párrafos oscuros. Como botón de muestra el apartado inicial, que define la función  de compliance de la siguiente forma:

La función de compliance asume las tareas de prevención, detección y gestión de los riesgos de compliance, mediante la operación de uno o varios Programas de compliance”.

Parece que la regla de no utilizar la palabra definida dentro de la definición no es del agrado de los autores, porque la omiten deliberadamente a lo largo de todo el libro. El párrafo citado se explica con unas notas aclaratorias bastante peculiares:

“Nota 1- La función de compliance se asocia a la operación del Programa de Compliance que tenga asignado.

Nota 2. En cuanto a la concurrencia de varios programas de compliance, véase la Nota 2 al apartado 1.3.

Nota 3. La cultura de cumplimiento o cultura de compliance guarda relación con el respeto y compromiso con los objetivos de compliance que pueden estar recogidos en las Políticas de Compliance traduciéndose en conductas alineadas con ellos.

Nota 4. La función de Compliance contribuye a promover la cultura de cumplimiento en el seno  de la organización…”

Por si a alguien le hubiera aclarado algo semejante galimatías, el apartado segundo dice que “Son riesgos de compliance los relacionados con el incumplimiento de las obligaciones de compliance, esto es aquellas que una organización debe cumplir, y también las que elige voluntariamente cumplir”.

Y, como colofón, el apartado 3 añade que “la organización determina las obligaciones de compliance cuyo riesgo de incumplimiento prevendrá, detectará y gestionará la función de compliance a través de uno o varios Programas de compliance”.

La perplejidad, que va en aumento a medida que se avanza en la lectura del texto, se torna en hilaridad al comprender, finalmente, su sentido: no se trata de un Libro Blanco sino de un enorme palíndromo. Efectivamente, da igual leerlo de izquierda a derecha o de derecha a izquierda, porque siempre dice lo mismo. En sus escasas 51 páginas (42 si se excluyen las que están en blanco y el anexo de referencias), repite la palabra “compliance” nada menos que en 528 ocasiones. Si consideramos que palabras como “función” (234), “programa” (152), “organización” (156) y otras se repiten igualmente hasta la extenuación, podemos llegar a la conclusión que el Libro Blanco, es más bien, un “libro en blanco”.

En suma, el Libro blanco sobre la función de Compliance no pasa de ser una mera excusa para la promoción de sus autores. Y aunque es legítima cualquier acción de marketing para tratar de elevar tu producto, no queda tan claro que ello se deba realizar a costa de introducir confusión en una materia de tanta trascendencia como la que nos ocupa. En este sentido, es bastante orientativo que, por ejemplo, el nuevo Reglamento General de Protección de Datos, importante en el aspecto del compliance relativo a la privacidad, imponga a los responsables la obligación de redactar sus cláusulas con claridad.

Otro aspecto cuestionable es la importancia que se da en dicho Libro a la posibilidad de establecer múltiples programas de compliance en una organización, coordinados a través de una “superestructura transversal de compliance”. Esta opción, que igualmente se menciona hasta la saciedad, choca frontalmente con la línea que siguen otras normas sectoriales en materia de compliance. Así, en materia de prevención de blanqueo de capitales, la tendencia es establecer manuales y procedimientos a nivel de grupo, armonizando y simplificando las obligaciones de los miembros de la organización, en lugar de crear un arsenal de subsistemas distintos.

No parece muy oportuno, especialmente en el estado, aún precario, en que se encuentra la materia en España, que prediquemos la necesidad de multiplicar las estructuras de compliance, para poder crear superestructuras transversales. Salvo que queramos incrementar nuestra factura, a costa de despistar definitivamente a los destinatarios de los programas de cumplimiento.

Por ello sería importante que, quienes operamos en el mundo del compliance, contribuyéramos a ayudar, a quienes tiene que implementar los programas, a un mejor cumplimiento de sus obligaciones, de una forma sencilla y asumible.

Y que tengamos claro que las directrices en materia de compliance no son de patrimonio privado, sino que tendremos que empeñar nuestro mejor saber y hacer al servicio de empresas y organizaciones, con la vista siempre puesta en los dictados de aquellos a quienes nuestro ordenamiento atribuye la potestad de enjuiciar la validez de la función de compliance: las autoridades y, sobre todo, los jueces y tribunales.

Es cierto que nuestro ordenamiento jurídico atribuye a la doctrina científica un papel no desdeñable en la tarea de interpretar y aplicar el derecho. Pero esa tarea debe abordarse de forma rigurosa, con una correcta fundamentación jurídica, y en aras de su operatividad práctica. No para cubrir la materia de una espesa niebla de palabrería, que no aporta más que ruido y confusión, sino para tratar de añadir valor, desde el punto de vista del desempeño ético, a los diversos actores del tablero del compliance y a la sociedad en su conjunto.

Con todo, lo que más se puede reprochar a este Libro blanco no es lo hueco de su contenido, sino la magnífica oportunidad que se ha desaprovechado para clarificar conceptos faltos de concreción y sugerir e introducir soluciones en las facetas de compliance (autonomía del OCI, régimen sancionador, mapeo de riesgos, medidas de prevención, etc.) que están todavía difusas por la existencia de vacíos legales.

¿Obligación de identificar a los proveedores en la prevención del blanqueo de capitales? No nos liemos.

Con cierta sorpresa, hemos conocido alguna consulta del SEPBLAC en la que se informaba, a sujetos obligados en materia de PBC/FT, de la necesidad de aplicar medidas de diligencia debida a los proveedores. La fundamentación dada a dichas consultas se basa en los artículos 3.1 de la Ley 10/2010 de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo y 4.1. del Reglamento, que establecen que “los sujetos obligados identificarán a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones….”

De una interpretación literal de estos preceptos podemos llegar, efectivamente, a la conclusión de que los sujetos obligados tienen que aplicar los procedimientos de diligencia debida a clientes y proveedores, ya que no distinguen entre unos y otros. Pero no debemos olvidar que, en la aplicación del derecho, no existe un único criterio interpretativo sino varios, que deben ser utilizados de forma conjunta. Concretamente, nuestro Código Civil, en su artículo 3.1, distingue entre la interpretación gramatical o literal, la lógica, la sistemática y la histórica.

Así, desde el criterio de interpretación lógico, lo primero que debemos plantearnos es por qué la Ley y el Reglamento no utilizan en los artículos citados el término “clientes”, sino el más amplio de “cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones”. Planteada la cuestión, la respuesta es simple: la obligación de identificar es previa a la adquisición de la condición de cliente, como establece el propio artículo 3 de la Ley en su apartado 2. Pero es que, además, la obligación de identificación afecta no solo a clientes, sino a personas físicas o jurídicas que no son propiamente nuestros clientes, aunque están relacionados con ellos: los beneficiarios de seguros de vida, representados, premiados en sorteos, partícipes, etc. Por ello, el utilizar en dichos preceptos la palabra “cliente” daría lugar a problemas de aplicación de la norma. Pero eso no significa que debamos incluir a los proveedores, por las razones que a continuación exponemos.

Siguiendo con el criterio lógico, podemos afirmar que no tiene sentido aplicar la diligencia debida a proveedores, dado que el origen de los fondos no es otro, en las operaciones con ellos pactadas, que nuestra propia tesorería. Además, no hay ninguna diferencia apreciable, en la dinámica contractual con proveedores, entre los sujetos obligados y los no obligados. ¿Por qué debería una inmobiliaria aplicar “due diligence” a su proveedor de servicios de telecomunicaciones, o al arrendador de su local de negocio, y no debería hacerlo una superficie comercial?

Por otra parte, la interpretación sistemática de la norma pone igualmente de manifiesto que, los sujetos obligados, no tienen la obligación de identificar a sus proveedores de servicios, a pesar de lo que indica el SEPBLAC en la consulta aludida. En este sentido, nuestro ordenamiento los excluye de dicha obligación en diversos preceptos: el artículo 4 de la Ley, en lo relativo a la obligación de identificar el titular real; el artículo 5 relativo al propósito e índole de la relación de negocios, que excluye igualmente a proveedores; el artículo 6 en cuanto al seguimiento continuo; o el artículo 7, que gradúa el nivel de diligencia debida en función del tipo de cliente, relación de negocios, producto u operación, sin mencionar a los proveedores. Especialmente significativo es el artículo 52 que, al regular las infracciones, califica como grave el incumplimiento de aplicar medidas de diligencia debida a “los clientes existentes”, omitiendo toda mención a proveedores.

Para no aburrir, podemos señalar que el término “cliente” aparece citado en la Ley 10/2010  nada menos que 60 veces, mientras que el de «proveedor» solo aparece una vez y precisamente para referirse al proveedor de servicios de externalización de diligencia debida.

Si adoptamos el criterio de interpretación histórico, podemos comprobar que los antecedentes históricos y legislativos de nuestra norma apoyan, igualmente, la exclusión de los proveedores de las obligaciones de diligencia debida. No aparecen citados en las Directivas comunitarias en materia de Prevención de Blanqueo, ni en las normas de derecho comparado. Todas las políticas de prevención a nivel internacional tienen como base el principio de “Know Your Customer”, sin  que el “provider” o “supplier” merezcan ningún tipo de mención. Las recomendaciones del GAFI aluden a “clientes, países o áreas geográficas” y a “productos, servicios, transacciones o canales de envío”, dejando de lado, una vez más, a nuestros proveedores.

Por todo lo expuesto podemos concluir, sin temor a equivocarnos, que el particular criterio interpretativo del servicio de consultas del SEPBLAC no se ajusta al ordenamiento y, que en el cumplimiento de nuestras obligaciones PBC/FT, se puede dejar tranquilos a nuestros proveedores. Ello no quiere decir que no exista la posibilidad de blanquear capitales en una transacción con proveedores. Pero, si se diera el caso, no sería porque omitiéramos nuestras obligaciones de prevención, sino porque estaríamos participando activamente en una operación de lavado.

Análisis de riesgo en los modelos de compliance: criterios objetivos de valoración.

El artículo 31.bis 5 del Código Penal exige que los modelos de compliance cumplan el requisito de “identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”, esto es, la necesidad de un adecuado mapa de riesgos penales de la organización, como base del modelo.

Podemos afirmar que la fiabilidad de un mapa de riesgo penal está absolutamente condicionada por la calidad de los imputs obtenidos para su elaboración. En este sentido, no podemos fiarlo a las percepciones subjetivas de los miembros de la organización entrevistados para su elaboración. Y ello por dos razones:

–          Por el desconocimiento de dichos sujetos de los tipos penales y sus implicaciones. No parece muy razonable esperar que, un director comercial, pueda darnos la medida del riesgo del delito de corrupción entre particulares dentro de su empresa, cuando seguramente no conoce los elementos del tipo delictivo.

–          Por la percepción negativa de muchos de los responsables de la empresa a reconocer que, en su área concreta, radican riesgos relevantes. En este sentido, nuestra experiencia nos muestra, por ejemplo, cómo se tiende a considerar que, si los directivos de una empresa son buenos en su gestión operativa, lo serán igualmente en el aspecto ético. Experiencias como el caso Volkswagen son una evidencia palmaria de que las cosas no suceden así.

Ello no quiere decir que las entrevistas a los responsables de la organización no tengan valor para el mapa de riesgos. Por el contrario, son un elemento que nos van a permitir conocer datos que se escapan a las frías cifras y a las evidencias documentales de la estructura, operativa y resultados empresariales. Además, nos darán pistas esenciales sobre la existencia de una cultura de cumplimiento.

Pero deben ser complementarias de los factores objetivos de riesgo, que deben ser fijados a priori, en función de las características de la organización evaluada. Por ejemplo, el factor tamaño va a ser un factor esencial en la casi totalidad de los tipos delictivos. Así, en una empresa con un volumen de facturación elevado y operaciones en diversos países, el riesgo fiscal va a estar presente, cualquiera que sea la percepción subjetiva del Director Financiero. Luego podrá ser moderado por las medidas de prevención existentes y las evidencias de cumplimiento, pero no podemos valorarlo basándonos en preguntas del tipo “¿cree usted que el grado de cumplimiento fiscal de la empresa es adecuado?”, como frecuentemente hemos visto hacer.

Junto a la dimensión de la empresa, que deberá ser valorada, a su vez,  de distinta forma para cada delito específico (el número de empleados no tiene la misma ponderación para valorar el riesgo de delitos contra los derechos de los trabajadores que para el delito de falsedad contable) habrá que ponderar factores como la actividad, riesgo geográfico, riesgo histórico o relaciones con stakeholders, entre otros.

Ésta es la línea seguida por la circular 1/2016 de la Fiscalía General del Estado, al señalar que el análisis “identificará y evaluará el riesgo por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones, etc., tomando en consideración variables como el propósito de la relación de negocio, su duración o el volumen de las operaciones”.

Si bien los criterios señalados en la Circular nos marcan la línea a seguir, hay que señalar que son criterios procedentes de la normativa de prevención de blanqueo de capitales y, por tanto, no comprenden la totalidad del espectro de los delitos imputables a las personas jurídicas.

Podemos afirmar que, una valoración  de riesgos fundamentada en criterios contrastables y cuantificables, es la piedra angular de un plan de prevención de riesgos penales. Solo así tendremos los elementos de juicio necesarios para adoptar las medidas idóneas para minimizar el riesgo. Y ello, a su vez, nos permitirá probar, en caso de producirse un ilícito en la empresa, que concurren las circunstancias para exonerar de responsabilidad a la misma, al acreditarse la adecuación del programa “para prevenir el concreto delito que se ha cometido”, y la “idoneidad entre el contenido del programa y la infracción”, en los términos de la Circular 1/2016 citada.

En conclusión, podemos afirmar que un mapa de riesgos basado en criterios y evidencias rigurosos y cuantificables es la base del éxito de un programa de compliance, siguiendo el conocido aforismo “lo que no se puede medir no se puede controlar”.

El Reglamento Europeo de Protección de Datos y las medidas de seguridad: ¿autorregulación, desregulación o abandono?

Sobre el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Reglamento Europeo de Protección de Datos para entendernos, se han vertido ya ríos de tinta, especialmente en las cuestiones más o menos novedosas relativas a la regulación del consentimiento, la privacidad por diseño y por defecto, los nuevos derechos, como la portabilidad de datos, o la figura del delegado de protección de datos.

Si bien es cierto que estas cuestiones tienen gran trascendencia (unas más que otras), se echa de menos literatura jurídica sobre un aspecto clave para el éxito o el fracaso en la garantía de los derechos de los titulares de los datos. Nos referimos a las normas relativas a la seguridad en el tratamiento de datos dentro de la UE.

En este apartado, el Reglamento, en su artículo 32, establece la obligación para el responsable y el encargado del tratamiento de “aplicar las  medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”. Esto no resulta especialmente problemático y en términos muy parecidos se expresa el actual artículo 9 de nuestra LOPD.

El problema surge en la forma en que se van a materializar en la práctica los mecanismos efectivos de garantía de la seguridad de los datos. Porque la LOPD, a través de su reglamento de desarrollo, establecía una panoplia de medidas de seguridad, en función de la clasificación de los datos, que marcaba la senda a seguir por empresas y organizaciones en la protección de los datos que tratan. En cambio, el Reglamento europeo apenas aporta unos pocos criterios que deben cumplir los responsables del tratamiento, algunos tan imprecisos como  “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”, y otros tan rigurosos como “el cifrado”, sin especificar qué datos deben cifrarse.

Con el fin de dar una cierta seguridad a los obligados, el Reglamento se remite a dos mecanismos específicos de prueba de la eficacia de las medidas de seguridad adoptadas: los códigos de conducta y las certificaciones.

Pues bien, respecto a los primeros, es decir a los códigos aprobados por asociaciones y organismos representativos de cada sector, no son nada nuevo,  pues ya estaban regulados por nuestra LOPD en su artículo 32. La prueba de su ineficacia es que, en los diecisiete años de vigencia de la Ley, se han aprobado apenas catorce códigos en algunos sectores aislados como el sanitario, cobros, seguros de automoción, y poco más.

Respecto a las certificaciones, los problemas que pueden plantearse son aún mayores dada la imprecisión de los criterios para determinar quién puede certificar y qué se puede certificar. Y aunque en el mundo de las certificaciones hay ejemplos de entidades rigurosas, hemos asistido en los últimos años a una pérdida de credibilidad del sector que nos hace dudar seriamente de su capacidad para garantizar la protección del derecho fundamental a la protección de los datos personales de los ciudadanos. Bien puede aplicarse al mismo la frase que precedía la entrada al infierno de Dante: “abandonad toda esperanza los que entráis aquí”.

Y más aún en cuanto que los ingresos de las certificadoras van a provenir precisamente de las empresas y entidades que tienen la obligación de cumplir las medidas de seguridad. En el conflicto entre el interés de las empresas y entidades por tratar los datos personales de los ciudadanos con el mayor beneficio propio y el menor coste de seguridad, y el de los ciudadanos en que sus datos se traten con el máximo respeto a sus derechos, el árbitro va a recibir sus emolumentos de las primeras.

Paradójicamente, el propio Reglamento, tras regular las certificaciones, dispone que serán de carácter voluntario y que “no limitarán la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento”. Ciertamente, para ese viaje no hacían falta alforjas.

En fin, que el Reglamento europeo parece haber optado en esta materia por una desregulación que no invita al optimismo. Recordemos, sin ir más lejos, las pésimas consecuencias de la  dejación por la Administración del mandato de la LOPD de gestionar el censo promocional y las listas de exclusión de publicidad (las famosas Listas Robinson), que dio lugar a que no hubiera forma efectiva de librarse de comunicaciones comerciales en nuestro domicilio.

Habrá que estar al desarrollo del Reglamento por las autoridades de los estados miembros, pero lo cierto es que el contenido del mismo, a priori, hace temer por la seguridad de nuestros datos y por la seguridad jurídica de quienes tienen la obligación de tratarlos con ajuste a derecho. Nubes de tormenta se ciernen sobre nuestra privacidad y sólo un desarrollo normativo riguroso y adecuado podrá disiparlas.

La Sociedad de la Información y su regulación: dos velocidades distintas.

Un vistazo al “top ten” de empresas mundiales en 2016 pone de relieve un hecho que todavía muchos no alcanzan a comprender: la Sociedad de la Información, se ha impuesto definitivamente. Si en 2006 el ranking estaba copado por las grandes empresas energéticas y corporaciones financieras, dejando apenas algún hueco para el sector tecnológico, hoy todas ellas han retrocedido posiciones, desapareciendo en su mayoría del ranking, que encabezan Apple, Alphabet (Google) y Microsoft. A quien, hace solo diez años, hubiera afirmado que el “libro de caras” creado por un estudiante de Harvard superaría en capitalización bursátil a Shell, General Electric o Citigroup, le hubieran tildado de loco.

Las implicaciones son enormes: asistimos al triunfo definitivo de conceptos como computación “en la nube”, comercio electrónico, “big data”, minería de datos, etc., y otros que acabarán popularizándose, como la intermediación en el tráfico web. Conceptos todos ellos con una repercusión directa en los derechos fundamentales de las personas y en las relaciones sociales y económicas.

Pues bien, mientras la realidad circula a velocidad de vértigo, la regulación trata de  alcanzarla al paso de una carreta de bueyes. Hace pocas semanas, escuchaba a un miembro de un organismo financiero público reconocer, en un acto de sinceridad, que no entendía los bitcoin. Lo que no es de extrañar, habida cuenta de la obsolescencia de nuestra regulación tecnológica. No olvidemos que la base de la misma es la LOPD, que va camino de cumplir 20 años y todavía contempla “dinosaurios” como someter las transferencias internacionales de datos a autorización administrativa previa. Sin olvidar las múltiples lagunas normativas existentes, que son el campo abonado para que los estafadores y demás delincuentes cibernéticos operen a sus anchas en el mundo digital.

El Reglamento Europeo de Protección de Datos, publicado en mayo pasado, pretende introducir un nuevo marco regulatorio que unifique y modernice la normativa europea sobre protección de datos, permitiendo a los ciudadanos mayor control de sus datos y a las empresas un mercado único digital. Para conseguirlo se ha dado una “vacatio legis” de dos años, largo me lo fiais,  comenzando a aplicarse a partir de mayo de 2018. Mientras, los estados deberán adaptar su normativa para hacer posible su aplicación.

Sin entrar en un juicio crítico del Reglamento, y reconociendo aspectos muy positivos del mismo, suscitan enormes dudas su aplicabilidad en aspectos como el consentimiento o las evaluaciones de impacto, además de la gran cantidad de cuestiones que deja en el aire y que tienen completamente despistados a los operadores jurídicos que, hasta el necesario desarrollo por la normativa de los distintos estados, no saben realmente cuál es el modelo de protección de datos que estará vigente a partir de 2018.

Quedan casi dos años para que sea de aplicación, pero comienza a ser motivo de preocupación la incertidumbre jurídica que rodea a un aspecto tan esencial como la información y la privacidad. La complejidad del mundo digital, derivada fundamentalmente del volumen del tráfico de datos y la interconexión global,  dificulta enormemente la tarea de abordar su regulación, pero eso no es óbice para que, al menos, nos lo propongamos. Para ello habría que preguntarse, entre otras muchas cuestiones, si se puede afrontar la empresa dotando a la Agencia Española de Protección de Datos de un presupuesto que no llega a los 15 millones de euros. Esperemos no tener que lamentarnos de abordar cuestiones tan importantes con tan magros recursos.

La lista oficial de PEPs: ni está ni se la espera.

En el magnífico foro organizado por Control Capital Net, el pasado 29 de junio, sobre sobre «Gestión de Riesgos en la Prevención del Blanqueo de Capitales» pregunté, a los representantes del Tesoro, si existía algún proyecto para la elaboración de una lista oficial de Personas con Responsabilidad Pública (los PRPs o PEPs) lo que fue contestado de forma negativa.

La cuestión no es menor, dada la relevancia que tiene identificar a los PEPs para impedir de forma eficaz el blanqueo derivado de la corrupción pública, tanto en el ámbito internacional como el interno. Así parece considerarlo nuestra Ley 10/2010, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, que  les dedica dos de los catorce artículos artículos que regulan las obligaciones de diligencia debida. Pues bien, una vez plasmada en la ley la obligación de someter a medidas de diligencia reforzada a los responsables de la “res publica”, lo deseable sería que, por parte del regulador, se  llevaran a cabo las actuaciones para su implementación efectiva. La tarea no parece inabordable, especialmente en lo que se refiere a los PEPs domésticos, habida cuenta de que se trata de cargos públicos cuyo nombramiento es objeto de publicación en diarios oficiales.

Desde el punto de vista de la privacidad, no debe haber  ningún obstáculo al tratamiento de los datos, pues la propia Ley 10/2010 habilita en su artículo 15 a los propios sujetos obligados, e incluso a “terceros colaboradores”, a crear sus propias listas. Mucho menos desde el punto de vista de las dificultades técnicas para su creación y mantenimiento, ya que se han abordado cuestiones infinitamente más complejas, como el Fichero de Titularidades Financieras.

Lo notable es que el artículo anime a los sujetos obligados a una tarea para la que no disponen de medios ni se esté dispuesto a facilitárselos. No imagino a los sujetos del sector inmobiliario o a los marchantes de arte (si me apuran ni al sector financiero) en la tarea de localizar a quienes “desempeñen o hayan desempeñado funciones públicas importantes en el Estado español, tales como los altos cargos de acuerdo con lo dispuesto en la normativa en materia de conflictos de intereses de la Administración General del Estado”, fichando al “alto personal de las fuerzas armadas” o identificando a “los concejales y demás altos cargos” de San Bartolomé de Tirajana, municipio que, como todos sabemos, tiene más de 50.000 habitantes (concretamente 56.698).

La única opción es acudir a las listas elaboradas por “colaboradores”, por cierto sin ninguna garantía de fiabilidad, a que se refiere el artículo 15 de la Ley, que se prestarán a “colaborar” con nosotros siempre que pasemos previamente por caja, lo que es inviable para los sujetos obligados con multitud de clientes o con pequeña capacidad de gestión o financiera.

En fin, seguiremos aconsejando a los sujetos obligados que identifiquen a los PEPs haciéndoles firmar en el KYC que reconocen serlo (cosa que la mayoría de ellos no saben). Y crucemos los dedos para que, quienes no lo hagan, no aparezcan implicados en ninguno de los casos de corrupción que, con más frecuencia de la deseada, salpican la política nacional.

Todos los derechos reservados 2016. Sigma Corporate || RANNA Consultoría