Categoría:Blog
El misterio de la Directora inexistente.

Saltó la sorpresa. O más bien la Directora. Porque ayer podíamos leer en un diario digital la extraordinaria noticia de que la Directora de la Agencia de Protección de Datos no existe. Y cómo puede ser eso, se preguntarán algunos. Porque en la página de la Agencia, concretamente dentro de la pestaña de organigrama, hay otra destinada a la Directora, en la que figura como tal Mar España Martí, describiéndose su currículum y sus funciones.

Lo sorprendente es que nadie dentro del organismo parece haber caído en la cuenta de que el Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, en su disposición adicional única, dispone que quedan suprimidos los siguientes órganos directivos:

  1. El Director de la Agencia Española de Protección de Datos.
  2. El Registro General de Protección de Datos.
  3. La Inspección de Datos.

Pues si bien del Registro y la Inspección no quedan rastros, lo cierto es que al frente de la Agencia sigue figurando la Directora General de la misma, sin que nadie pueda explicar en derecho cuál es la base legitimadora que le permite hacerlo.

Desde luego no será el Estatuto actual de la Agencia, que no contempla dicha figura, atribuyendo la dirección a la Presidencia de la Agencia Española de Protección de Datos, designada de conformidad con el procedimiento establecido en el artículo 48 de la Ley Orgánica 3/2018 de Protección de Datos.

Tampoco el Estatuto anterior conforme al cual fue nombrada, aprobado por Real Decreto 428/1993, qué queda derogado expresamente por la disposición derogatoria única del Real Decreto 389/2021.

La situación ha quedado al descubierto merced al dictamen jurídico elaborado por Javier Borrego, exmagistrado del Tribunal Supremo y del Tribunal Europeo de Derechos Humanos, actualmente abogado en el despacho Durán & Durán, que lo ha aportado en un procedimiento contencioso administrativo contra la Agencia Española de Protección de Datos en la Audiencia Nacional. Según el dictamen citado, la alto cargo que ratificó las sanciones impugnadas en calidad de «directora de la AEPD» no tiene facultades legales para desempeñar ninguna función ni aprobar ninguna resolución o sanción administrativa desde junio de 2021.

Y no podemos estar más de acuerdo con la postura, dado que la anomalía de que se estén dictando resoluciones sancionadoras en materia de derecho fundamentales, firmadas por una persona titular de un órgano administrativo inexistente, choca frontalmente con los principios de legalidad, competencia, interdicción de la arbitrariedad de los poderes públicos y cualquier otro principio básico de procedimiento administrativo que se nos venga a la cabeza.

No hablamos de un cargo público cuyo plazo de nombramiento está excedido y se encuentra en situación de interinidad o en funciones. Ni de una reestructuración administrativa, en la que se cambian la denominación y estructura del órgano, pues no hay ninguna disposición en ese sentido. Tampoco hay ninguna disposición transitoria que atribuya las competencias de la Presidencia de la AEPD, detalladas en el nuevo Estatuto, a la antigua Dirección.

La doctrina del órgano administrativo distingue entre:

  • El “órgano institución”, como conjunto de atribuciones o competencias.
  • El “órgano físico”, como persona llamada a ejercer dichas competencias.

Pues aquí nos encontramos con un “órgano institución” suprimido, conforme a derecho,  cuyo titular físico ha decidido, por su cuenta y riesgo, seguir ejerciendo las competencias al margen de cualquier habilitación legal.

Porque si la “titular” del cargo actuara y firmara en calidad de Presidenta de la AEPD, órgano contemplado en la norma vigente, podríamos discutir si el nombramiento es legítimo o no, pero al menos habría una apariencia de legitimidad. Pero dado que esa “titular” ni siquiera pretende actuar en desempeño de las competencias de un órgano legítimo, sino de uno inexistente, es imposible otorgar cualquier legitimidad a sus actos.

La consecuencia, como señala el dictamen, es que todas las resoluciones y sanciones dictadas en los últimos tres años por la AEPD son «nulas de pleno derecho» y podrían ser recurridas. Y por supuesto la totalidad de las que se dicten mientras se continue en esta situación de “limbo jurídico”.

Las multas de la AEPD suman casi 80 millones de euros tan solo en los últimos tres años, según las memorias anuales de la propia Agencia. Estaremos atentos a ver qué sucede con ellas, así como con la totalidad de resoluciones que firme la “Directora” de la AEPD a partir de ahora.

La obligatoriedad de los canales de denuncia en el sector privado.

 

whistleblower

La entrada en vigor de la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, está dando lugar a múltiples problemas de aplicación, a los que no son ajenos las deficiencias en la técnica normativa utilizada y, en particular, las frecuentes remisiones, por vía directa o indirecta, a una multitud de normas comunitarias.

En este artículo nos vamos a referir a un aspecto tan básico como la determinación de las entidades del sector privado obligadas a establecer un sistema interno de información.

En este sentido el artículo 10.1 de la Ley dispone lo siguiente:

“Estarán obligadas a disponer un Sistema interno de información en los términos previstos en esta ley:

  1. a) Las personas físicas o jurídicas del sector privado que tengan contratados cincuenta o más trabajadores.
  2. b) Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, deberán disponer de un Sistema interno de información que se regulará por su normativa específica con independencia del número de trabajadores con que cuenten. En estos casos, esta ley será de aplicación en lo no regulado por su normativa específica.

Se considerarán incluidas en el párrafo anterior las personas jurídicas que, pese a no tener su domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente”

Del literal del precepto podemos establecer las siguientes conclusiones:

  • Los empresarios, profesionales o cualquier tipo de entidad privada qué tenga contratados 50 o más trabajadores estarán obligados en todo caso a disponer de un sistema interno de información, con independencia de la actividad que realicen.
  • El empresario o profesional individual que actúe por cuenta propia y no tenga contratados a 50 empleados estará exento de la obligación de disponer de un sistema de información, igualmente con independencia de la actividad que realice.

El problema lo plantean los supuestos relativos a las personas jurídicas que no llega al umbral de los 50 trabajadores contratados. En este supuesto, la norma se remite al anexo de la directiva UE 2019 barra 1937. Dada la multiplicidad de actividades contempladas en dicho anexo y las referencias, a su vez, del anexo a distintas directivas, no es fácil determinar que actividades dan lugar a la obligación de implantar el sistema interno de información.

Con carácter previo hay que decir que no todas las actividades relacionadas en las partes I.B y II del anexo implican la obligación de disponer de un sistema interno de información. Así lo establece el artículo 10.1 de la ley, que entresaca de las actividades de dicho anexo cuatro materias concretas:

  • Servicios productos y mercados financieros.
  • Prevención del blanqueo de capitales o de la financiación del terrorismo.
  • Seguridad del transporte.
  • Protección del medio ambiente.

El primer apartado, servicios productos y mercados financieros, de acuerdo con el anexo, incluiría los productos bancarios, de crédito, de inversión, de seguro y reaseguro, de pensiones personales o de jubilación, servicios de valores, de fondos de inversión, de pago, entidades de dinero electrónico, gestores de fondos de inversión alternativos, fondos de capital riesgo europeos, fondos de emprendimiento social europeos y, en general, cualquier entidad privada de inversión.

En el segundo apartado quedarían incluidas las entidades del sector privado a la que les aplica la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo (IV Directiva) y, entendemos que en virtud de su transposición al ordenamiento nacional, la totalidad de los sujetos obligados en materia de prevención del blanqueo de capitales, incluidos en el artículo 2 de la ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, a saber:

  • Todo tipo de entidades de crédito e inversión, ya comprendidas en el apartado anterior, así como las entidades de dinero electrónico y las entidades de pago y entidades prestadoras del servicio de información sobre cuentas.
  • Las personas que ejerzan profesionalmente actividades de cambio de moneda.
  • Los servicios postales respecto de las actividades de giro o transferencia.
  • Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos.
  • Los promotores inmobiliarios y quienes ejerzan profesionalmente actividades de agencia, comisión o intermediación en la compraventa de bienes inmuebles o en arrendamientos suntuarios de bienes inmuebles.
  • Los auditores de cuentas, contables externos y asesores fiscales.
  • Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles.
  • Los abogados, procuradores u otros profesionales independientes cuando participen o asesoren en operaciones de la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos («trusts»), sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria.
  • Las personas que con carácter profesional presten determinados servicios por cuenta de terceros.
  • Los casinos de juego.
  • Las personas que comercien profesionalmente con joyas, piedras o metales preciosos.
  • Las personas que comercien profesionalmente con objetos de arte o antigüedades.
  • Las personas que ejerzan profesionalmente las actividades a que se refiere el artículo 1 de la Ley 43/2007, de 13 de diciembre, de protección de los consumidores en la contratación de bienes con oferta de restitución del precio.
  • Las personas que ejerzan actividades de depósito, custodia o transporte profesional de fondos o medios de pago.
  • Las personas responsables de la gestión, explotación y comercialización de loterías u otros juegos de azar presenciales o por medios electrónicos, informáticos, telemáticos e interactivos. En el caso de loterías, apuestas mutuas deportivo-benéficas, concursos, bingos y máquinas recreativas tipo “B” únicamente respecto de las operaciones de pago de premios.
  • Las fundaciones y asociaciones.

Respecto a este tipo de entidades, señalar que el artículo 26 bis de la ley 10/2010 les impone la obligación de establecer un procedimiento interno de comunicación de potenciales incumplimientos en la materia, cometidos en el seno del sujeto obligado. Habrá que entender que, dado que los incumplimientos en materia de prevención de blanqueo de capitales constituyen una infracción administrativa grave, este canal específico va a estar sujeto a lo dispuesto en la ley 2/2023, lo que implicará la realización de las acciones de adaptación necesarias.

En este aspecto hay que señalar que el artículo 26. bis, en su apartado 5,  prevé que, reglamentariamente, se exceptúen determinados sujetos obligados del cumplimiento de la obligación de establecer el canal.

Actualmente, el desarrollo reglamentario de la Ley 10/2010 es el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. El citado Reglamento establece la exceptuación de determinadas obligaciones en materia de control interno, documentación,  organización, formación y supervisión para los sujetos obligados que ocupen a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 2 millones de euros. Como es lógico, dado que el Reglamento es anterior tanto al R.D-L. 11/2018 que introduce el canal de comunicación de incumplimientos, como a la Ley 3/2023, la excepción no se refiere al citado canal, por lo que plantea la cuestión de si cabe extender la excepción del canal a determinados sujetos (fundamentalmente los de carácter no financiero) que no superen los umbrales de facturación y contratación.

En este sentido, los principios de “lex posterior derogat anterior” y de jerarquía normativa, nos permiten afirmar que, en materia prevención de blanqueo de capitales, las excepciones de determinadas obligaciones a determinados sujetos obligados no se extienden a los que no superen los umbrales reglamentarios. Así y, en contra del criterio establecido en la comunicación del Consejo General de Economistas de 27 de noviembre de 2023, entendemos que la totalidad de los sujetos obligados personas jurídicas tienen que implementar el Sistema interno de información que , de acuerdo con la Ley, unificará la totalidad de los buzones o canales existentes en la entidad.

El tercer apartado, referido a las entidades privadas cuya actividad recaiga sobre materias de seguridad en el transporte afectará a las sociedades mercantiles y profesionales que realicen actividades comprendidas en el apartado D de la parte I del anexo. En particular actividades de seguridad en el sector ferroviario, seguridad para túneles de la red transeuropea de carreteras, profesión de transportista por carretera, inspección y reconocimiento de buques, transportistas de pasajeros por mar, transporte marítimo, operaciones de carga y descarga de los graneleros y transporte terrestre de mercancías peligrosas.

El problema surge en el apartado relativo a la materia de protección del medio ambiente, recogida en el apartado E de la parte I del anexo, debido a su amplitud, ya que cabría suponer comprendida dentro del mismo cualquier actividad en la que pudiera producirse un delito contra la protección del medio ambiente, en los términos del número 1 del apartado E.

Entendemos que una interpretación sistemática de la norma nos permite reducir el ámbito a las concretas materias recogidas en dicho apartado, pues de lo contrario sobraría el resto del articulado. Y dichas materias son, básicamente, el comercio de derechos de emisión de gases de efecto invernadero, energía procedente de fuentes renovables, seguimiento y la notificación de las emisiones de gases de efecto invernadero, gestión de residuos, reciclado de buques, exportación e importación de productos químicos peligrosos, determinadas normas relativas a contaminación marina, atmosférica y sonora, determinadas normas de protección de aguas y suelos y determinadas normas de protección de la naturaleza y la biodiversidad (pesca, maderas y conservación de aves), determinadas sustancias y mezclas químicas y productos ecológicos.

La lista no es precisamente pequeña, pero permite aplicar la exención a un conjunto amplio de actividades como el comercio minorista, construcción, hostelería, IT, entre otros.

Resumiendo, podemos decir qué la obligación de implantar un sistema interno de información acorde a la ley aplica a la totalidad de personas físicas y jurídicas del sector privado que empleen a 50 empleados o más y a las personas jurídicas que empleen a menos de 50 empleados si realizan actividades de carácter financiero, tienen la condición de sujetos obligados en materia de prevención de blanqueo de capitales, están sujetas a la normativa de seguridad en el transporte terrestre marítimo o aéreo, o trabajan en sectores relativos a emisión de gases de efecto invernadero, energías renovables o protección del medio ambiente, la naturaleza y la biodiversidad.

Por el contrario, estarán exceptuadas la totalidad de las personas físicas que empleen a menos de 50 trabajadores, cualquiera que sea la actividad a la que se dediquen, y las personas jurídicas que empleen a menos de 50 trabajadores y no operen en los sectores mencionados.

Los canales de denuncia y la nueva Ley de protección del denunciante

Los plazos de implementación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, corren se acaba el tiempo para que empresas y organizaciones implementen sus directrices.

No son pocas las dudas que introduce una Ley que adolece de imprecisiones y alguna incongruencia, por lo que no está de más introducir algunas notas aclaratorias sobre su contenido.

El Canal de denuncias es el sistema a través del cual se reciben las noticias de posibles comportamientos con relevancia penal, que pueden llegar, bien de los propios trabajadores o empleados de la compañía o del exterior, (clientes, colaboradores, proveedores, etc…). Y ello independientemente de si la denuncia es anónima o nominal.

El Sistema Interno de Información (o canal de denuncias) es un cauce o canal seguro de participación que permite informar sobre cualquier acción u omisión contraria a los principios de buen gobierno y, en particular, sobre cualquier infracción de las normas que puedan constituir un delito o una infracción administrativa grave.

Incluye mecanismos para garantizar la confidencialidad de todas las informaciones y ofrece un espacio de comunicación seguro que permite el anonimato para mantener el contacto con la empresa.

Se articula en torno a los siguientes elementos:

  • Canales de recepción de la información.

Integrará todo canal interno de información de que dispone la empresa para posibilitar la presentación de información respecto de las infracciones del Código ético, de los protocolos de obligado cumplimiento o del Derecho de la Unión Europea, así como infracciones penales o administrativas graves.

  • Responsable del Sistema.

El Responsable del Sistema se ocupará de la tramitación diligente de las informaciones recibidas.

Deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo

  • Procedimiento de gestión de informaciones.

Contempla los siguientes aspectos:

Recepción de informaciones: Recibida la información, se procederá a su registro en el Sistema de Gestión de Información, le será asignado un código de identificación y se procederá al envío de acuse de recibo de la comunicación al informante.

Trámite de admisión: si la denuncia expone hechos o conductas que se encuentran dentro del ámbito de aplicación del Sistema.

Instrucción: comprenderá todas aquellas actuaciones encaminadas a comprobar la verosimilitud de los hechos relatados.

 Terminación de las actuaciones: Concluidas todas las actuaciones, el instructor emitirá un informe que contendrá al menos:

  1. Una exposición de los hechos relatados junto con el código de identificación de la comunicación y la fecha de registro.
  2. Las actuaciones realizadas con el fin de comprobar la verosimilitud de los hechos.
  3. Las conclusiones alcanzadas en la instrucción y la valoración de las diligencias y de los indicios que las sustentan.

Emitido el informe, el Responsable del Sistema de Información adoptará alguna de las siguientes decisiones:

  1. Archivo del expediente.
  2. Remisión al Ministerio Fiscal.
  3. Adopción de acuerdo de inicio de un procedimiento sancionador.

Registro de informaciones: El Sistema de Gestión de Información estará contenido en una base de datos segura y de acceso restringido exclusivamente al personal de la Autoridad Independiente de Protección del Informante, convenientemente autorizado. La empresa contará con un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en la ley.

Régimen jurídico del tratamiento de datos personales.

Los tratamientos de datos personales del SII se regirán por lo dispuesto en el Reglamento Europeo de Protección de Datos,  la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y la propia Ley 2/2023 el presente título.

Medidas de protección.

Las personas que comuniquen o revelen infracciones tendrán derecho a protección siempre que concurran las circunstancias siguientes:

  1. a) tengan motivos razonables para pensar que la información referida es veraz en el momento de la comunicación o revelación, aun cuando no aporten pruebas concluyentes, y que la citada información entra dentro del ámbito de aplicación de la ley,
  2. b) la comunicación o revelación se haya realizado conforme a los requerimientos previstos en la ley.

Prohibición de represalias.

Se prohíben expresamente los actos constitutivos de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación.

Se entiende por represalia cualesquiera actos u omisiones que estén prohibidos por la ley, o que, de forma directa o indirecta, supongan un trato desfavorable que sitúe a las personas que las sufren en desventaja particular con respecto a otra en el contexto laboral o profesional, solo por su condición de informantes, o por haber realizado una revelación pública.

Infracciones y sanciones.

El incumplimiento de la normativa por personas físicas o jurídicas podrá ser sancionado en función de la gravedad de la infracción con sanciones de hasta 100.000 euros para las infracciones leves y hasta 1.000.000 para las muy graves.

Plazos de implementación.

  1. Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un Sistema interno de información deberán implantarlo en el plazo máximo de tres meses a partir de la entrada en vigor de la Ley, plazo que terminó el 13 de junio pasado.
  2. Como excepción, en el caso de las entidades jurídicas del sector privado con doscientos cuarenta y nueve trabajadores o menos, así como de los municipios de menos de diez mil habitantes, el plazo previsto en el párrafo anterior se extenderá hasta el 1 de diciembre de 2023.

Ya estamos tardando, señores.

LA DECLARACIÓN RESPONSABLE CONTRA LA CORRUPCIÓN ADMINISTRATIVA.

La Comunidad de Madrid ha presentado una batería de medidas para la reactivación económica, entre las que destaca la implantación de la declaración responsable, con el objetivo de agilizar la burocracia. De la declaración responsable se habla poco, tal vez por no ser un mecanismo del excesivo agrado del político ni del burócrata, que siempre han preferido tener el control previo y continuo de todo lo que se mueve en su ámbito.

Así, su regulación en nuestro derecho administrativo es tardía y no se recoge, en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, hasta la reforma introducida en 2009 con motivo de la transposición de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior. Tarde, y por imposición de Europa, pero ya tenemos entre nosotros esta maravillosa figura que, utilizada convenientemente, puede librar al administrado, especialmente en el ámbito del emprendimiento,  de la losa que supone ajustar su ritmo de actuación al de la administración pública. Todos conocemos proyectos viables y prometedores que han muerto en los despachos públicos, debido al aburrimiento de sus promotores y financiadores ante los innumerables trámites, plazos y dilaciones padecidos, que lograban que pasara la oportunidad y pereciera la esperanza de sacarlos adelante.

Para solucionar dichas trabas existen diversas figuras, empleadas más frecuentemente de lo que sería deseable. Así, para los pequeños trámites, los pagos de facilitación» (facilitating payments), que son pagos o regalos de pequeña cuantía hechos a funcionarios (en el ámbito privado también se dan) para conseguir favores, acelerar un trámites administrativo u obtener permisos o licencias. Para los grandes expedientes, es más utilizado el sistema de la “comisión”, de la que existen todo tipo de modalidades, habiendo adquirido gran notoriedad la conocida como “3 per cent”. Estas figuras, con mayor o menor aceptación, según los países y territorios, constituyen una lacra para la democracia, a la que es necesario combatir sin descanso.

Pues bien, el mecanismo de la declaración responsable viene a solucionar, en gran medida, ambos problemas. Frente a la lentitud administrativa, se impone el ritmo del administrado, que se libera de los plazos y trámites previos, sujetándose simplemente a la revisión posterior de las actuaciones realizadas bajo la cobertura de dicha declaración. Por otra parte, se estimula a la administración a actuar de forma rápida y diligente, para supervisar, a posteriori, la actuación del administrado, garantizando su ajuste a Derecho y al contenido de la declaración, so pena de que prescriban los plazos de inspección y, eventualmente, de sanción.

Frente a la corrupción administrativa, la posibilidad de actuar sin intermediación previa de un político o funcionario, con la potestad para agilizar o paralizar un proyecto con contenido económico, priva a éstos de cualquier posibilidad de exigir “mordidas” y, al empresario o administrado, de todo interés en ofrecerlas.

Se puede objetar que, por vía de supervisión, son posibles las actuaciones deshonestas de los que forman parte del aparato burocrático. Y es cierto, pero dichas posibilidades se restringen extraordinariamente, en cuanto sólo van a poder ser realizadas por acción, no por mera omisión como sucedía sin ellas (el expediente se dejaba “descansar” en el cajón hasta que se “engrasara” al responsable de su tramitación). Además, los cauces de revisión de cualquier sanción administrativa, que pudiera ser utilizada como mecanismo de coerción del administrado de forma torticera, limitan la posibilidad de utilizarlos de forma corrupta.

Demos la bienvenida, pues, a la difusión de esta figura, y esperemos que su uso se generalice, en beneficio de la eficacia y corrección de la actuación administrativa.

Cambio en la presidencia de ASEBLAC

Juan Luis Martínez es el nuevo presidente de ASEBLAC, sustituyendo a Juan Carlos Galindo, quien la presidió por espacio de seis años ininterrumpidos, por lo que ha sido designado “Presidente de Honor”, además de Portavoz y presidente ASEBLAC Comunitat Valenciana.

El pasado 23 de abril del año en curso, se celebró la Asamblea General Extraordinaria de ASEBLAC, Asociación Española de Sujetos Obligados en Prevención del Blanqueo de Capitales. Destacando de la misma los siguientes puntos:

ASEBLAC potencia su presencia en más autonomías, incorporando a nuestra Junta Directiva a D. Javier Pascual Bermejo, como presidente de ASEBLAC Andalucía, D. Iván Martínez López, como presidente de ASEBLAC Principado de Asturias, D. Manuel del Palacio Anuarbe, como presidente ASEBLAC Comunidad de Madrid, D. Miguel Toledo Murcia, como presidente de ASEBLAC Murcia.

Con estas incorporaciones, ya estamos presentes en 11 comunidades Autónomas, desarrollando la expansión y potenciando el trabajo por la defensa de los intereses de los sujetos obligados y expertos externos en prevención del blanqueo de capitales y financiación del terrorismo.

ASEBLAC renueva su junta directiva, y su Presidencia, para dotarla de más peso específico. Potenciando así las áreas de sujetos obligados y expertos externos, con dos nuevas vicepresidencias. Una portavocía que gestionara la comunicación y las relaciones institucionales, así como una nueva presidencia, que sin duda dotara de otro carácter a la asociación, manteniendo ese “espíritu libre” que ha caracterizado a ASEBLAC durante estos años.

La junta directiva queda configurada de la siguiente forma:

Presidente nacional ejecutivo y presidente ASEBLAC Extremadura: Juan Luis Martínez-Carande- Vicepresidenta nacional ejecutiva y presidenta ASEBLAC Canarias: Elisa I. Hernández Vicepresidente 2º y presidente ASEBLAC Andalucía: Javier Pascual Secretario General y presidente ASEBLAC Comunidad de Madrid: Manuel del Palacio Tesorero y presidente ASEBLAC Castilla y León: David Díaz – Portavoz y presidente ASEBLAC Comunitat Valenciana: Juan Carlos Galindo Vocal y presidente ASEBLAC Aragón: María García Vocal y presidente ASEBLAC Principado de Asturias: Iván Martínez Vocal y presidente ASEBLAC Illes Balears: José María Calado Vocal y presidente ASEBLAC Región de Murcia: Miguel Toledo Vocal y presidente ASEBLAC La Rioja: Basilio Ramírez

Para Juan Luis Martinez-Carande “Esta nueva etapa la afrontamos con ilusiones renovadas, sabiendo que los retos a los que nos vamos a enfrentar van a ser muy exigentes” por otro lado, el nuevo presidente de ASEBLAC tuvo palabras de agradecimiento para su antecesor, Juan Carlos Galindo, al cual agradeció toda su gestión anterior, proponiéndole como presidente de honor; propuesta, que aceptó la junta directiva por unanimidad.

Y para terminar apostilló “vamos a continuar siendo el nexo de los sujetos obligados y los expertos externos, así como potenciaremos nuestras relaciones, todavía mas si cabe, con los organismos regulatorios “.

Con este nuevo equipo rector, manteniendo sus fines fundacionales más actuales y firmes que nunca, ASEBLAC encara este nuevo proyecto hasta el 2024 con el convencimiento de que nos esperan años de grandes cambios.

Postura de ASEBLAC en relación a los “Criterios específicos de acreditación para Entidades examinadoras para la Prevención del Blanqueo de Capitales y la Financiación del Terrorismo”.

Desde que, en la Asociación Española de Sujetos Obligados en Prevención del Blanqueo de Capitales (ASEBLAC), tuvimos conocimiento de la presentación y publicación de los “Criterios específicos de acreditación para Entidades examinadoras para la Prevención del Blanqueo de Capitales y la Financiación del Terrorismo” (CEA-ENAC-25_Rev. 1) hemos hecho un análisis y seguimiento en profundidad de los beneficios que aportaba a los sujetos obligados la citada acreditación.

La acreditación pretende garantizar la “competencia de las entidades examinadoras, que pueden ser personas físicas o jurídica,  cuando realizan el informe de experto externo sobre los procedimientos y órganos de control interno y comunicación establecidos para prevenir el blanqueo de capitales que deben realizar a los sujetos obligados”. Esto parece un fin loable, que va a introducir criterios de calidad en los informes que los sujetos obligados en PBC/FT están obligados a contratar, si superan los umbrales de activos o empleados que establece la Ley 10/2010 PBC/FT.

Sin embargo, cuando se examina la norma con detalle, se puede comprobar que no es oro todo lo que reluce, y que su aprobación y puesta en práctica puede dar lugar a efectos indeseables, al menos en su redacción actual.

Destaca, en primer lugar, que la acreditación recaiga, no sobre los expertos externos, que son aquellos a quienes la Ley otorga la capacidad y responsabilidad para realizar el examen externo, sino sobre las denominadas “entidades examinadoras”, a las que se atribuye la misión de controlar la correcta labor de los expertos, lo que no deja de ser llamativo. Sería como si, para controlar la capacitación de los taxistas, en lugar de supervisar su capacidad, honestidad y aptitud, nos dedicáramos a supervisar la actuación de las empresas del taxi, olvidándonos de los profesionales que conducen los vehículos. Porque Ley de prevención de blanqueo de capitales no contempla a esas supuestas “entidades examinadoras”, ni les permite realizar exámenes de sujetos obligados, reservados exclusivamente a los expertos externos personas físicas.

Así lo exige el artículo 28 de la Ley 10/2010 de Prevención del Blanqueo de capitales y de la financiación del terrorismo, que caracteriza al experto externo por los siguientes aspectos:

  • Se le encomienda directamente, como persona física, la función de examinar las medidas y órganos de control interno y comunicación de los sujetos obligados.
  • Se le exige que reúna las condiciones académicas y de experiencia profesional que les hagan idóneos para el desempeño de la función, requisitos de imposible cumplimiento por las personas jurídicas.
  • El registro previo ante el SEPBLAC, necesario para ejercer la actividad, está reservado exclusivamente a las personas físicas.

La confusión que introduce la norma de acreditación, al mezclar la figura del experto externo con la de las entidades examinadoras, da lugar a que, a lo largo del texto, se recojan otros criterios que igualmente chocan con lo dispuesto en la Ley 10/2010. Así, por ejemplo:

  • Se dice que la entidad examinadora “deberá mantener registros que demuestren que semestralmente comunica al Servicio Ejecutivo de la Comisión la relación de sujetos obligados cuyas medidas de control interno hayan examinado”, cuando, por Ley la comunicación debe realizarse directamente por el experto externo, de modo que la entidad examinadora no puede nunca tener registros de unas comunicaciones que no puede hacer por Ley.

Se pide que la entidad examinadora “demuestre su capacidad técnica para realizar el informe de experto externo”, cuestión imposible dado que, ni la ley permite a las personas jurídica hacer informes externos, ni éstas pueden demostrar su capacidad técnica, al no ser susceptibles de obtener cualificación académica ni profesional propia.

Con todo, casi lo más preocupante del texto, es el criterio relativo a imparcialidad e independencia al establecer que “las entidades examinadoras deberán adecuarse al régimen de independencia regulado en la legislación sobre prevención del blanqueo de capitales y la financiación del terrorismo”, sin introducir criterios adicionales.

La Ley 10/2010, en su artículo 28, contempla un régimen de incompatibilidades aplicable exclusivamente a las personas físicas, al ser las únicas que pueden realizar el examen externo. Pero, dado que los criterios CEA-ENAC-25_Rev. 1 no introducen directrices adicionales que, al menos, extiendan el régimen de incompatibilidad a las “entidades examinadoras” personas jurídicas, el resultado es que estas quedan eximidas de cualquier requisito de incompatibilidad.

Así, nos encontraremos con que, mientras a los expertos externos se les prohíbe que presten cualquier otra clase de servicios retribuidos durante los tres años anteriores o posteriores a la emisión del informe, dicha prohibición no será aplicable a las entidades examinadoras personas jurídicas cuando, por tamaño, tendrán generalmente un mayor riesgo de incurrir en conflicto de intereses.

Este aspecto es sumamente grave y contrario a cualquier principio de objetividad y buen gobierno hasta el punto que podría, de facto,  impugnar la validez de los informes externos acreditados por entidades examinadoras que hubieran prestado servicios anteriormente a los sujetos obligados objeto de examen.

No menos importante es que la acreditación puede incurrir en un supuesto de competencia desleal o publicidad ilícita, contemplado en la Ley 3/1991, de 10 de enero, de Competencia Desleal. La citada Ley, considera engañosa por confusión la “promoción de un bien o servicio similar al comercializado por un determinado empresario o profesional para inducir de manera deliberada al consumidor o usuario a creer que el bien o servicio procede de este empresario o profesional, no siendo cierto.” Así, en el caso de que se acreditara un informe como realizado por una persona jurídica, que no pueden legalmente hacerlo, el servicio no procedería de la persona jurídica acreditada, sino del experto externo que lo realizara en la práctica, lo que daría lugar a una conducta prohibida expresamente por la Ley.

Todo lo anterior no es un obstáculo para que se utilicen mecanismos de acreditación y certificación, para evaluar las competencias profesionales de las personas físicas que realizan la función de experto externo. Para ello, hay un mecanismos específico, como la acreditación de competencias profesionales bajo criterios de ISO 17014 (al igual que se ha hecho con la figura del DPD, por ejemplo). Pero el mecanismo elegido para la acreditación de los informes externos, bajo la norma ISO 17020, supone una aplicación totalmente forzada y anti natura de la misma.

Consideramos que las consecuencias de esta norma pueden ser perjudiciales para el mercado, introduciendo confusión en el mismo y dando lugar a la alteración de precios, sin que ello suponga mejoras de la calidad de los informes e, incluso, pudiendo viciar los mismos por causa de incompatibilidad. Si se pretende garantizar la seriedad y solvencia de los informes hay prioridades, como la actualización de la Orden o el establecimiento de responsabilidades para el caso de que dichos informes no cumplan, al menos formalmente, los requisitos normativamente establecidos.

En suma, desde ASEBLAC estamos completamente a favor de garantizar la capacitación de los expertos externos y la responsabilidad por su actuación, en cuanto colaboradores del SEPBLAC, en la aplicación de la normativa de prevención de blanqueo de capitales. Pero nos parece innecesaria, e incluso nociva, la introducción de figuras ajenas al ordenamiento, que suponen la introducción de costes accesorios, al alcance exclusivamente de las grandes firmas, que van a ser repercutidos sobre los sujetos obligados sin beneficios apreciables e, incluso con efectos perjudiciales.

La ley de Secretos Empresariales y el Compliance.

El pasado miércoles entró en vigor la Ley 1/2019, de 20 de febrero, de Secretos Empresariales, transposición de la Directiva UE 2016/943 de Secretos Comerciales.

La nueva Ley es relevante, en materia de Compliance, en relación con los tipos penales recogidos en los artículos 278 y 279 del Código Penal, relativos al apoderamiento y revelación de secretos de empresa, dentro de los delitos contra el mercado y los consumidores. El alcance de dichos preceptos, con un contenido difuso y de elaboración jurisprudencial,  queda ahora delimitado por el concepto de secreto empresarial regulado en la Ley.

La Ley define el secreto empresarial por la concurrencia de tres condiciones:

  • Que la información sea secreta, es decir, no generalmente conocida en el sector.
  • Que tenga un valor empresarial, real o potencial, precisamente por ser secreta.
  • Que su carácter secreto haya sido protegido por su titular.

Es importante no confundir el secreto empresarial con los derechos de propiedad intelectual o industrial, que recaen sobre creaciones que son públicas y están dotados de mecanismos de protección específicos.

Así, el concepto de secreto de empresa comprenderá aquellos secretos de naturaleza técnica o industrial no patentables, los relativos a la actividad comercial (fondo de comercio, precios y condiciones de servicio, planes de marketing y expansión…) y los relativos al Know-How (como la organización productiva y laboral). Estos elementos, fundamentales para la competitividad de las empresas, son especialmente vulnerables por diversos motivos.

En primer lugar, por ser especialmente codiciados por la competencia. Pero, además, por la dificultad que entraña su protección. La organización, procesos y planes de producción y ventas de la empresa  no sirven de nada si se guardan en una caja fuerte, y su implementación implica necesariamente su conocimiento por un número elevado de personas de la organización. Lo anterior, unido a la necesidad, en muchos casos, de hacer partícipes de los secretos a terceros y al alto grado de movilidad del personal de las empresas, convierte la seguridad en un auténtico quebradero de cabeza.

Desde el punto de vista del Compliance penal, se nos plantean dos cuestiones relevantes:

  • Evitar cualquier conducta que pudiera ser constitutiva de obtención de secretos empresariales de terceros.
  • Proteger nuestra información, evitando que pueda ser revelada a terceros y, en el caso de que esto sucediera, haciéndola susceptible de protección en el ámbito penal.

Respecto a lo primero, va a ser fundamental el compromiso ético de directivos y gerentes en el respeto de los pactos de confidencialidad respecto a la información de terceros, así como en el uso de información de procedencia dudosa, que pudiera suponer una ventaja competitiva. Y ello, porque dicho uso implica el riesgo de incurrir de lleno en los tipos penales relativos al descubrimiento de secretos.

Respecto a lo segundo, se requiere un cambio importante en la forma de tratar la información propia. Porque, como dice la Ley, la información empresarial secreta solo tiene tal carácter si es protegida por la empresa. Eso supone la adopción de medidas que van más allá de la firma de compromisos de confidencialidad y la aplicación de medidas de seguridad informática.

Será necesario, fundamentalmente, clasificar nuestra información, distinguiendo entre la que tiene carácter confidencial y la que carece de él. También habrá que establecer los protocolos de acceso y uso de la información que previamente hayamos calificado como secreta. Así, para la efectividad de las leyes que protegen  los secretos empresariales, es inexcusable una actuación proactiva de los sujetos titulares del bien jurídico protegido. La propia Ley excluye del ámbito de su protección aquella información que las empresas no se molesten en proteger.

En conclusión, la Ley parece oportuna y necesaria, y ofrece una protección que puede desplegar sus efectos.  Pero solo en tanto en cuanto se genere en las empresas un cambio de cultura respecto a la importancia de nuestros activos inmateriales, y de los ajenos, y la necesidad de esforzarse en su salvaguarda. Para ello deberemos integrar esta tarea entre los planes de seguridad y, por supuesto, los de Compliance.

La implantación de los modelos de compliance: resistencias.

 

En la actualidad, nadie duda de la conveniencia y eficacia de la implantación de modelos de compliance penal en las empresas y organizaciones. ¿Nadie? En teoría puede parecer así, pero a la hora de llevarlos a la práctica, nos encontramos con que nunca falta alguien dispuesto a poner palos en la rueda del sistema. Las causas de esto son variadas. Además de la resistencia al cambio presente en muchas organizaciones, podemos señalar algunas.

En primer lugar, el desconocimiento de las implicaciones de un modelo de compliance verdaderamente eficaz. En ocasiones, la dirección de la empresa, al conocer que el plan va más allá de una cobertura formal destinada a dar una imagen ética de cara al exterior, y supone una verdadera transformación en la operativa, sujeta a una supervisión independiente, se plantea si está dispuesta a admitirlo.

En otras ocasiones, el plan se ve frustrado u obstaculizado en el momento en que el análisis de riesgo pone de manifiesto conductas o procedimientos generadores de riesgo, de los que la propia empresa no es consciente y que requieren acciones correctoras que pueden, a corto plazo, atacar la cuenta de resultados. Y ello bien por la necesidad de hacer inversiones o bien por la necesidad de establecer restricciones en la operativa, fundamentalmente comercial. Nos referimos a los supuestos en que se revela la inconveniencia ética de contratar con determinados clientes, proveedores o áreas geográficas, o las limitaciones a políticas comerciales agresivas, de utilización de datos, etc.

Si las resistencias anteriormente mencionadas surgen, normalmente, de los niveles directivos de la organización, no hay que olvidar las que nacen en los escalones jerárquicos inferiores. Nuestra experiencia nos ha enseñado que, a veces, los empleados de la organización, al conocer el plan, recelan del mismo. Creen que se establece en salvaguarda y beneficio de la organización y en perjuicio propio, con restricciones y medidas de control que soporta, sin ninguna ventaja apreciable, el empleado cumplidor.

Los obstáculos mencionados no pueden ser desconocidos al desarrollar las actuaciones de implantación. De hacerlo podemos fracasar estrepitosamente en el objetivo final: un modelo de compliance que disminuya significativamente el riesgo de la comisión de conductas ilícitas en la organización. Y que, en caso de que éstas se produzcan, exima a ésta, y a sus directivos honestos, de responsabilidad.

En cuanto a las resistencias al más alto nivel, hay casos en que la empresa no es ética, lo sabe, y no está dispuesta a cambiar su rumbo. aquí hay poco que hacer. En el resto de los casos no es difícil convencer a la alta dirección de las ventajas del plan, tanto a largo como a corto plazo. Para ello es fundamental que se adapte a las características de la organización y se implemente sin suponer unas cargas que la empresa no está en condiciones de abordar de forma inmediata. No hace falta pasar de cero a cien en un instante. Los planes pueden y deben madurar a lo largo del tiempo, adaptándose a las características de la empresa, al tiempo que proporcionan a la misma herramientas de transformación.

En cuanto a las resistencias que se manifiestan en los niveles subordinados, es importante convertirlos en aliados. Puede lograrse mediante acciones de formación, puesto que nadie participará activamente en algo que no conoce. Y mediante acciones de concienciación, poniendo de manifiesto que el plan no solo es garantía de continuidad de la empresa que les emplea, sino la mejor garantía que el empleado ético no se verá perjudicado a título individual por las conductas del que no lo es.

Podemos concluir que los obstáculos descritos se presentarán, sin duda, en la ejecución de los planes de compliance, pero estamos firmemente convencidos de que pueden ser sorteados. Conocimiento, flexibilidad, combinada con rigor  y mano izquierda, serán las herramientas que debe utilizar el consultor para hacerles frente.

Adaptación de la Ley 10/2010 a la IV Directiva Europea: novedades.

 

El Real Decreto-ley 11/2018, de 31 de agosto, de transposición de directivas en materia de protección de los compromisos por pensiones con los trabajadores, prevención del blanqueo de capitales y requisitos de entrada y residencia de nacionales de países terceros y por el que se modifica la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, ha sido publicado el pasado 4 de agosto y entrado en vigor el mismo día.

Dicho Decreto ha venido a subsanar las deficiencias en la transposición de la Cuarta Directiva europea sobre blanqueo de capitales, que habían dado lugar a la apertura de un expediente sancionador por parte de la Comisión Europea.

Las modificaciones introducidas por el Real Decreto son numerosas, hasta treinta y tres, por lo que destacaremos las más importantes.

En matera de sujetos obligados se incluye en al apartado o) del artículo 2.1 a las personas que, con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable, presten por cuenta de terceros funciones de asesoría externa de una sociedad.

En la identificación del titular real se precisan los criterios de determinación del control, por remisión al artículo 42 del Código de Comercio y a las Directivas Europeas sobre estados financieros. Asimismo, se establecen los criterios de determinación del titular real en los fideicomisos y trust.

En materia de juego hay importantes añadidos, incluyendo las distintas modalidades de juego on line y estableciendo las cuantías de las operaciones para aplicar las distintas medidas de diligencia debida.

Se permite externalizar determinadas obligaciones en materia de diligencia debida en organizaciones o federaciones de sujetos obligados.

Se obliga a aplicar diligencia reforzada en relación con los países que presenten deficiencias estratégicas en sus sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo.

Se define expresamente la corresponsalía bancaria transfronteriza y se regulan las medidas y obligaciones a adoptar en relación con las operaciones con corresponsales.

Se introducen modificaciones en la definición de los PEPs, para una mejor precisión del concepto de altos cargos. Destaca, como novedad, la introducción entre los mismos de los cargos de alta dirección de partidos políticos con representación parlamentaria. Por su parte, se extiende la obligación de aplicar medidas de diligencia debida en relación con los mismos, transcurrido el plazo de dos años desde el cese, salvo que el sujeto obligado determine que ya no representa un riesgo específico derivado de su antigua condición.

En materia de conservación de documentación en materia de PBC, se establece la obligación de destrucción de la misma, transcurrido el plazo de conservación de diez años, y restricciones de acceso en el plazo de cinco.

Se extiende la obligación de aplicar las políticas y procedimientos de PBC a las sucursales y filiales en terceros países.

Se establece la obligación de crear un canal confidencial de denuncias por incumplimiento, que debe permitir las denuncias anónimas. Y ello sin perjuicio de mantener el resto de obligaciones de comunicación interna.

El representante ante el SEPBLAC deberá ser una persona residente en España, que ejerza cargo de administración o dirección de la sociedad.

En materia comercio de bienes el límite en el uso de medios de pago anónimos se reduce de 15.000 a 10.000 euros.

Las facultades de supervisión e inspección del SEPBLAC se ven reforzadas, pudiendo extenderse a los sujetos que han sido objeto de una exención de conformidad con lo previsto en la ley, y a las políticas y procedimientos aplicados por la matriz a sus filiales y sucursales en el extranjero. Asimismo se orientan las actuaciones de supervisión a un enfoque basado en el riesgo supervisor.

Se intensifica la cooperación internacional en materia de prevención mediante el refuerzo de las actuaciones de intercambio de información, tanto con países UE como con terceros, en este caso en función de convenios o del principio de reciprocidad. Se faculta al SEPBLAC a la suspensión de transacciones en curso a requerimiento de la Unidad de Inteligencia Financiera de otro Estado miembro de la Unión Europea,

En materia de sanciones, se incrementa notablemente la cuantía de las mismas que quedan de la siguiente forma:

  • El importe máximo de las multas por infracciones muy graves ascenderá hasta la mayor de las siguientes cifras: el 10 por ciento del volumen de negocios anual total del sujeto obligado, el duplo del contenido económico de la operación, el quíntuplo del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan determinarse o 10.000.000 euros.

Para los administradores o directivos el importe máximo se fija en 10.000.000 euros.

  • El importe máximo de las multas por infracciones graves ascenderá hasta la mayor de las siguientes cifras: el 10 por ciento del volumen de negocios anual total del sujeto obligado, el tanto del contenido económico de la operación, más un 50 por ciento, el triple del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan determinarse, o 5.000.000 euros.

Para los administradores o directivos el importe máximo se fija en 5.000.000 euros. Además de la sanción que corresponda imponer al sujeto obligado por la comisión de

Se introducen nuevos criterios de graduación de las sanciones como la cuantía de las operaciones afectadas por el incumplimiento, las pérdidas para terceros causadas por el incumplimiento o el nivel de cooperación del inculpado con las autoridades competentes.

Otra importante novedad es la regulación del canal para la comunicación de infracciones al SEPBLAC, canal cuya existencia deberá ser difundida en los programes de formación de los sujetos obligados. Dicho canal será confidencial y se establecen los mecanismos de protección del denunciante.

Por último, y con especial relevancia, se introduce la obligación de inscripción en el Registro Mercantil  de las personas físicas o jurídicas que de forma empresarial o profesional presten todos o alguno de los servicios descritos en el artículo 2.1.o) de la ley, inscripción que debe hacerse con carácter previo al inicio de dichas actividades o, en el caso de quienes ya las estén realizando, en el plazo de un año.

Dicha inscripción, cuya omisión es considerada infracción leve, va acompañada de la obligación de presentar cuentas anuales aunque no lo estuvieran los sujetos obligados, salvo que se trate de prestadores de servicios a sociedades que sean personas físicas profesionales.

Además, junto a las cuentas anuales deberá depositarse un documento en el que se consignen los servicios de esta índole que se prestan, ámbito territorial de actuación, operaciones con no residentes o volumen facturado, entre otras cuestiones.

Como podemos observar, las modificaciones de la normativa en materia de prevención del blanqueo de capitales no son pocas y algunas son bastante relevantes. Destacan la definición de grupo empresarial, el refuerzo de las sanciones, el registro de profesionales de prestación de servicios financieros, la definición de tercer país equivalente, las medidas de diligencia debida o el establecimiento de los canales de denuncia internos y externos.

Hay alguna cuestión imprecisa y que dará lugar a problemas interpretativos como la inclusión entre los sujetos obligados de las personas que presten servicios de asesoría externa de una sociedad, término especialmente difuso que nos obliga a estar a la interpretación de que del mismo se haga por la administración.

En todo caso, la norma está ya en vigor y obligará a hacer adaptaciones a todos los sujetos obligados, puntuales en algunos casos y significativas en otros.

Alegaciones a la modificación de la Ley 10/2010 de Prevención del Blanqueo.

El pasado 16 de enero se cerró el trámite de información pública de las modificaciones para adaptar la Ley 10/2010 de Prevención del Blanqueo de Capitales y su Reglamento a la IV Directiva Europea en la Materia

ASEBLAC ha participado en dicho trámite, formulando algunas propuestas que consideramos pueden ayudar a una mejor aplicación de la norma.

Antes de entrar en materia, no está de más resaltar que no parece muy adecuado simultanear la aprobación de la reforma de la Ley con la del Reglamento. Y ello porque los trámites son distintos y se sustancian en sedes distintas, la primera en vía parlamentaria y la segunda en vía gubernativa. Si consideramos la jerarquía normativa, hay que prever la posibilidad de que el Parlamento introduzca modificaciones en la Ley que contravinieran las modificaciones propuestas en el Reglamento, con lo que éste adolecería de una causa de nulidad, al ser “contra legem”, o tendría que ser modificado, lo que implicaría volver al principio. Pero las prisas priman y parece que se da por hecho que las reformas propuestas salgan del Parlamento tal como entraron, lo que no deja de ser un síntoma del poco respeto que se le tiene en nuestro país al órgano depositario de nuestra soberanía.

Al margen de lo anterior, consideramos que las reformas parecen relevantes y, en muchos aspectos, acertadas. En cualquier caso, había que adecuar nuestra norma a la Cuarta Directiva por lo que el margen de maniobra es pequeño.

No obstante, algunas de las propuestas son llamativas, y revelan una cierta tendencia a trasladar obligaciones a los sujetos que participan en el terreno de juego de la Prevención sin pensar en las consecuencias y costes que pueden suponer.

En el tema de las franquicias, no parece que el legislador haya entendido la naturaleza del contrato y las relaciones franquiciador-franquiciado, imponiendo al primero una serie de obligaciones que no le competen, dada su falta de relación con el cliente final.

En materia de PEPs, al margen de la exclusión de los ayuntamiento de menos de 50.000 habitantes, muchos de los cuales son mayores que algunas capitales de provincia, se echa en falta que se aborde, de una vez, una lista de PEPs con libre acceso para los sujetos obligados. Y ello porque los nombramientos son públicos y publicados, con lo que no se plantearían problemas de privacidad y, por el contrario, se facilitaría y abarataría el cumplimiento por los sujetos obligados. Además se fomentaría la seguridad jurídica y la transparencia.

El canal de denuncias, va a haber dos a falta de uno, es una mejora que parece necesaria. No obstante, no se entiende la insistencia en que dicho canal sea anónimo, cuando el debate, en otros supuestos similares, era precisamente si eran admisibles las denuncias anónimas. Además, no tiene mucho sentido establecer mecanismos de protección del denunciante si éste necesariamente ha de estar en el anonimato. Con esta salvedad, parece adecuado el establecimiento de los derechos y facultades del denunciante, que no se contempla en la normativa vigente. Pero consideramos que se debería aprobar una regulación de protección del denunciante de carácter general y transversal, que establezca unos mínimos tanto en los canales de denuncia privados como en el público.

Respecto al experto externo, se han regulado cuestiones acerca de sus incompatibilidades,  idoneidad y calidad de los informes que parecen bastante acertados. Pero se plantean dudas en cuanto a sus responsabilidades y las de los sujetos obligados que merecen una revisión en detalle para evitar que se haga recaer las consecuencias de posibles incumplimientos en quien no tiene capacidad para evitarlos.

En cuanto a las referencias a protección de datos, hechas todas a la LOPD en vigor, parece necesario tener en cuenta que dicha normativa ha sido modificada por el nuevo Reglamento General de Protección de Datos, que la sustituirá a partir del 25 de mayo. Por ello sería conveniente ajustar las referencias para evitar su obsolescencia casi “ab initio”.

Por último, y de gran trascendencia, reseñar la obligación de inscripción en el Registro mercantil de las personas físicas empresarios o profesionales que tengan la condición de sujetos obligados por prestación de determinados servicios a empresas.  Este precepto parece, en su conjunto, fuera de lugar, en cuanto que el objeto del Registro Mercantil es la inscripción de actos mercantiles con el objeto de dotar de seguridad el tráfico entre empresarios, mientras que la naturaleza de las inscripciones que se pretenden introducir en este artículo es puramente administrativa.

La regulación propuesta introduce unas restricciones de publicidad y costes que podían evitarse, abordando la cuestión mediante un registro administrativo público de sujetos obligados.

Podemos concluir que la modificación de la normativa era necesaria y la reforma va en buen camino, pero es importante tener en cuenta las inquietudes de los profesionales y sujetos obligados, que están en el día a día de la prevención, para conseguir mayores niveles de eficacia en la lucha contra el blanqueo, sin imponer obligaciones desproporcionadas que minen la eficiencia.

El experto externo ante la modificación de la Ley de Prevención del Blanqueo de Capitales

El proyecto de modificación de la Ley 10/2010 de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo introduce algunas referencias a la figura del experto externo que merecen un estudio específico.

En primer lugar, el artículo 16 del Proyecto modifica el apartado 2 del artículo 28 introduciendo la novedad de que “los sujetos obligados no podrán encomendar la práctica del examen externo a aquellas personas físicas o jurídicas que les hayan prestado o presten otros servicios retribuidos en materia de prevención del blanqueo de capitales y de la financiación del terrorismo durante los tres años anteriores o posteriores a la emisión del informe.” Así, se extiende la incompatibilidad que antes, de forma poco justificable, era aplicable solamente a las personas físicas, a las personas jurídicas, cuestión que parece muy acertada en orden a evitar los conflictos de interés.

Una cuestión de especial trascendencia es la regulada en el artículo 52.1.q), relativo al régimen sancionador, que actualmente se limita a tipificar como infracción grave “el incumplimiento de la obligación de examen externo”.

La modificación propuesta añade como infracción “su falta de idoneidad o la insuficiencia o irregularidad del informe del experto externo; así como, en relación con el experto externo, la falta de comunicación al Servicio Ejecutivo de la Comisión antes del inicio de la actividad o de remisión de la relación semestral de sujetos obligados cuyas medidas de control hayan examinado, en los términos del artículo 28.”

Aquí se plantean una serie de dudas que deben ser despejadas, especialmente dada la cuantía de las infracciones y las consecuencias que conllevan para los expertos externos y los sujetos obligados.

En primer lugar, cabe plantearse sobre quién recaen las responsabilidades de las conductas tipificadas como infracción. En el supuesto de falta de comunicación al Servicio Ejecutivo de la condición de experto o de las relaciones semestrales, no cabe duda de que el sujeto infractor será el experto. Pero la cuestión no es tan clara en el caso de las conductas consistentes en falta de idoneidad, insuficiencia o irregularidad del informe.

En principio, no queda claro a qué se refiere la norma cuando habla de “la idoneidad del examen”. Poniendo este precepto en relación con el artículo 27, parece referirse a la idoneidad del experto externo. Pues bien, el problema es que los requisitos de idoneidad no están regulados en ninguna parte, al no estar la condición de experto  sujeta a titulación, mérito o experiencia concretos. Y no nos parece mal, porque probablemente no es cometido de la Comisión entrar en la regulación de la profesión. Pero lo que no puede considerarse razonable es que se traslade la carga de valorar la idoneidad al sujeto obligado. En este sentido, el sujeto no tendrá otro medio para realizar dicha valoración que el currículum del experto, de obligatoria incorporación a sus informes, según la Orden EHA  2444/2007. El problema es que el informe es al último acto del experto, por lo que la valoración de la idoneidad solo podría realizarse una vez terminada su tarea.

Puede alegarse que el sujeto obligado tiene la posibilidad de examinar dicho currículum antes de contratarlo. Pero, por esa misma regla, podría exigirse a las empresas que valoraran la idoneidad de sus auditores contables, asesores fiscales, servicios de prevención de riesgos laborales, de protección de datos, etc. bajo pena de incurrir en negligencia. Esto es, pedir que los neófitos de la materia valoren la competencia de aquellos a quienes han contratado precisamente por sus conocimientos. La cosa es más descabellada en el momento en que el SEPBLAC lleva su registro de expertos. Con qué fundamento puede exigirle el SEPBLAC a un sujeto obligado que cuestione la idoneidad de un experto externo al que el propio SEPBLAC le ha reconocido, al menos formalmente, dicha condición.

En cuanto a la insuficiencia o irregularidad del informe, tampoco queda muy claro qué conductas están comprendidas dentro del precepto. Si bien la irregularidad puede referirse a la falsedad del informe o la omisión en el mismo de evidencias relevantes descubiertas en el examen, aspectos absolutamente reprobables y sancionables, la prueba de tales circunstancias plantea muchos interrogantes.

En cuanto a la insuficiencia, parece que el legislador trata de garantizar la calidad de los informes. El problema es que, actualmente, no hay ninguna norma o criterio válido que permita enjuiciar la calidad de los mismos. Baste decir que la instrucción que actualmente regula la materia es la Orden EHA  2444/2007, de 31 de julio de 2007, es decir, anterior a la normativa actualmente vigente (Ley 10/2010, las instrucciones del SEPBLAC y, por supuesto el Reglamento). La citada Orden, como botón de muestra, todavía se refiere a “los sujetos obligados de régimen especial”, que ya no existen desde la reforma de 2010. Así que lo único cierto, a día de hoy, es que el experto externo que se ajuste estrictamente a la Orden vigente redactará informes manifiestamente insuficientes por obsolescencia de la norma de referencia, sin disponer de otra.

Nos parece más que loable la intención de dotar de solvencia profesional los informes de experto externo. Pero debería haberse optado tanto por establecer los requisitos que deben cumplir los expertos, valorando su idoneidad por parte del SEPBLAC, que al fin y al cabo es quien los registra, como por apoyarlos en su tarea, dándoles los medios necesarios para que puedan cumplirla con solvencia. No está de más recordar que, hasta hace muy poco tiempo, para conseguir los catálogos de operaciones de riesgo aprobados por la Comisión, fundamentales para realizar su trabajo, los expertos externos debían conseguirlos a través de colegas o clientes porque la Comisión se los denegaba alegando “que no eran sujetos obligados”.

Por último, un aspecto muy relevante del proyecto es la introducción, en el artículo 54, de la responsabilidad de los expertos externos por las infracciones en materia de PBC. Dicho artículo coloca a los expertos externos en la misma posición que los administradores o directivos de la empresa por las infracciones que se cometan, incluso a título de simple inobservancia, cuando sean imputables a culpa o negligencia.

La pregunta que cabe hacerse es a qué tipo de infracciones se refiere este artículo. ¿Se refiere exclusivamente a la infracción de la obligación de informe externo? ¿O el experto externo responderá de otro tipo de infracciones (inadecuación del manual, omisión de diligencia debida, omisión de comunicaciones, etc.) cometidas por el sujeto obligado si su informe es defectuoso? No debemos olvidar que el informe del experto externo debe evaluar los procedimientos del sujeto obligado, pero no tiene por objeto detectar operaciones susceptibles de estar relacionadas con el blanqueo de capitales y que no hubieran sido debidamente identificadas, analizadas o comunicadas, ni valorar la calidad de los análisis y decisiones internas realizadas por los sujetos obligados.

Por lo tanto debería precisarse de forma clara el alcance de la responsabilidad del experto. Porque una cosa es que éste deba responder por la negligencia de sus actuaciones y otra es que se le pueda hacer responsable de cualquier actuación dolosa o culposa del sujeto obligado, convirtiéndolo en chivo expiatorio de las infracciones cometidas en la materia.

En conclusión, podemos decir que nos parece razonable introducir medidas que garanticen la correcta actuación de los expertos, que van a ser colaboradores de los sujetos y del propio SEPBLAC en la correcta aplicación de la normativa. Pero el problema no se puede abordar desde la desconfianza en su trabajo, matando moscas a cañonazos y haciéndoles responsables potencialmente de cualquier infracción, sin proporcionarles la ayuda para que puedan desarrollar su tarea con rigor.

Por el contrario, pensamos que la cuestión debe abordarse desde un marco de confianza y colaboración, facilitando en lo posible las herramientas para que los expertos puedan trabajar con eficacia y haciéndoles, eso sí,  responsables del correcto desempeño de su trabajo. Pero no haciendo pender sobre ellos una espada de Damocles pronta a desplomarse sobre sus cabezas al menor fallo del sistema. De lo contrario lo único que conseguiremos, aparte de encarecer la tarea en perjuicio de los sujetos obligados (a mayor responsabilidad, mayor precio lógicamente), será expulsar de la profesión a muchos buenos profesionales que no querrán ver comprometida sus carreras por la posibilidad de incurrir en riesgos que escapan de su control.

La Norma UNE 19601, ¿guinda del pastel de compliance?

El pasado jueves se publicó la esperada norma UNE 19601 “Sistemas de gestión de compliance penal”. Sin perjuicio de su análisis en profundidad en post posteriores, llama poderosamente la atención el título con el que se presenta: “norma que establece los requisitos para implantar un sistema de gestión de compliance penal”.

Analicemos dicho aspecto bajo el prisma de las fuentes del Derecho de nuestro ordenamiento jurídico. Estas no son otras que la ley (en sus diversas manifestaciones), la costumbre y los principios generales del Derecho, como fuentes directas, y la jurisprudencia como fuente indirecta. Pues bien, no hace falta ser un experto en Derecho para ver que las normas de certificación aprobadas por organismos privados, nacionales o internacionales, no están recogidas en nuestro sistema de fuentes.

En consecuencia, podemos afirmar, sin temor a equivocarnos, que la UNE 19601 no puede establecer los requisitos para implantar un sistema de gestión de compliance penal, porque la facultad para establecerlos corresponde al legislador, que ya lo ha hecho en el artículo 31.bis 5. Del Código Penal. Y no solo eso, sino que carece de cualquier eficacia en orden a desarrollar, interpretar y, mucho menos, modificar o restringir, los requisitos exigibles a un modelo de gestión de compliance.

Dicho lo anterior, cabe preguntarse sobre los efectos que puede desplegar la certificación de un modelo de gestión de riesgos penales. La respuesta a esta pregunta ya la dio la Circular 1/2016 de la Fiscalía General del Estado, al señalar, en su apartado 5.6., que ”las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, en modo alguno acreditan la eficacia del programa”. Poco cabe añadir a tan rotunda manifestación, que expresa la posición del órgano que constitucionalmente tiene atribuida la misión  de “promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley”.

De lo expuesto no se deduce que la certificación de un sistema de gestión no sea conveniente o útil, sino que hay que ponerla en su justo sitio. Según la misma Circular 1/2016, las certificaciones “podrán apreciarse como un elemento adicional más” de la observancia de que el modelo cumple los requisitos necesarios para su eficacia. Es decir, la Fiscalía atribuye a la certificación del modelo el carácter de prueba, lo que no es poco, en principio. Pero hay que reseñar que dicha prueba no tiene un valor especial respecto a cualquier otro de los medios de prueba de nuestro Derecho. Y ello lo deja muy claro la Circular, al señalar que las certificaciones no sustituyen la valoración de la eficacia del programa, que “de manera exclusiva compete al órgano judicial”. Así, la opinión del juez no va a verse limitada, condicionada o predeterminada por la certificación, cuya hipotética validez puede ser destruida por cualquier otra prueba.

Y así, lo que deben tener claro los operadores jurídicos y los sujetos que implanten un sistema de compliance es que un sistema certificado conforme a la UNE 19601 puede no ser válido (aunque es menos probable) y, por el contrario, un modelo no certificado puede ser perfectamente válido y desplegar todos sus efectos. Esto es muy importante reseñarlo para evitar dos problemas que puede plantear la aprobación de la «Norma”. Por un lado, la sensación de falsa seguridad que podría generar, en una persona jurídica, el disponer de un sistema certificado. Y por otro, las trabas que puede suponer, a la hora de decidir la implantación de un sistema de compliance, pensar que la no certificación del mismo va en menoscabo de su validez.

En conclusión, las certificaciones pueden ser una buena guinda para un programa de compliance, pero si el pastel es malo, no habrá guinda que lo arregle.