¿Cuál es la responsabilidad real del encargado de cumplimiento normativo si se detecta un delito?
|
30/4/2018 06:02
|
Actualizado: 30/4/2018 01:34
|
Las VIII Jornadas Internacionales de Compliance sirvieron para analizar el estado del cumplimiento normativo en las empresas y, al mismo tiempo, como las empresas se adaptan al nuevo Reglamento Europeo de Protección de Datos, dos cuestiones que preocupan a las empresas y que suponen extremar medidas de control de los riesgos de cada entidad.
El presidente de Hispajuris, Javier López y García de la Serrana, defendió que el compliance officer o responsable de cumplimiento “no está obligado a prevenir la comisión de cualquier actividad delictiva que pudiera generar a la empresa responsabilidad penal, sino a actuar con la debida diligencia en el desempeño de su función”, acorde a una “obligación de medios” y no de resultado.
El abogado y presidente de Hispajuris Javier López y García de la Serrana participó como experto en las VIII Jornadas Internacionales de Compliance celebradas en Madrid con unaponencia sobre “La Responsabilidad del Compliance Officer”. Uno de los temas claves del cumplimiento normativo junto con el estatuto, hoy por hoy inexistente pero necesario que debería regular a este profesional y su labor que realiza en la empresa.
Hispajuris constituye la firma de servicios jurídicos con mayor implantación territorial en España (35 sedes) y la única con abogados locales experimentados en todas las ciudades que conocen la realidad en la que opera la empresa, lo que permite prestar un servicio de proximidad y con un nivel de calidad homogéneo en todas las ciudades, en todas las áreas del derecho.
En su intervención, López y García de la Serrana abordó el alcance de la responsabilidad del compliance officer frente a la empresa a la que preste servicios, a consecuencia de la negligencia en el ejercicio de sus funciones. Realmente este es el único supuesto en el que puede tener responsabilidad en su empresa, incluso cuando se cometiera delito. Este responsable de cumplimiento no tiene, por tanto responsabilidad alguna, si en su empresa se cometiera un delito, pese a la política de cumplimiento normativo en marcha
A este respecto, este jurista, experto en temas de responsabilidad civil, señaló dos supuestos, a efectos de valorar la responsabilidad del Compliance Officer y el daño susceptible de ser indemnizado, según la conducta negligente se deba a un deficiente diseño del programa de cumplimiento, o bien una defectuosa vigilancia y aplicación del programa.
A su juicio, la exigencia de responsabilidad civil contractual por parte de la empresa al oficial requiere acreditar el incumplimiento de sus deberes (por acción u omisión culposa), el daño efectivo derivado de ello (la disminución de las posibilidades de defensa de la empresa ante el hecho delictivo, así como la pérdida de oportunidades derivada de su conducta, daños patrimoniales y/o reputacionales), y el nexo causal entre su negligencia y el daño.
El plazo para reclamarle es de 5 años. Entre las obligaciones del compliance officer se encuentran el velar por el cumplimiento de la cultura de compliance; la identificación de las obligaciones y riesgos sectoriales; coordinar las acciones de cumplimiento y comprender los procedimientos de la empresa, así como denunciar incumplimientos.
Cambio de modelo de privacidad
En las VIII Jornadas Internacionales de Compliance también ha intervenido el abogado y presidente de honor de Hispajuris, Fernando Escura, que alertó de los efectos que tendrá la nueva normativa sobre protección de datos (RGPD) que entrará en vigor el próximo 25 de mayo tras dos años de carencia, “una de las de mayor impacto económico para las empresas”, al prever sanciones de hasta el 4 % de la facturación, en casos de infracciones graves, lo cual obligará a éstas a provisionar fondos para cubrir este riesgo.
De hecho esta nueva normativa europea, que ahora se implantará dentro de uno días, no deja de ser un modelo de cumplimiento normativo centrado en la privacidad. En su intervención, Escura recalcó que este tipo de sanciones “habría de ser moderado por la Agencia de Protección de Datos”, organismo al que ha solicitado que apruebe un baremo interno que aporte con criterios de proporcionalidad en la graduación de las multas, según la gravedad de las infracciones.
El presidente de honor de Hispajuris puso el énfasis en la actividad de prevención que con tal fin han de adoptar las empresas, recogiéndolas y acreditándolas en la Memoria interna, no sujeta a modelos o pautas estrictas según la nueva norma, y en la que se han de prever los riesgos posibles y sus efectos, con una metodología interna de tratamiento, adaptada a cada empresa.
Escura apeló a la proactividad de las empresas, en esta materia, a través de la figura del Delegado de Protección de Datos (DPO) que aunque no es obligatorio en todas las empresas, sí ayuda a gestionar la política de privacidad de las empresas. Bajo su dirección se realizarán los análisis de riesgos, la evaluación del impacto de esos datos, si hablamos de datos sensibles y se gestionarán los tratamientos de datos desde el principio de la proactividad, accountability.
Sobre la necesidad de contar con el consentimiento expreso del titular de los datos, una de las novedades de este nuevo RGPD, Escura enfatizó la práctica que están utilizando grandes empresas, de solicitar de los titulares de los datos, “la validación global” de la política de protección de datos, como medio para poder seguir enviando correos. “Los que no lo hayan consentido, habrá que eliminarlos de las bases de datos”, destacó.
Noticias Relacionadas: