Cumplimiento normativo y protección de datos se han convertido en dos obligaciones específicas para las empresas tras la última reforma del Código Penal del 2015, en el primer caso, y la aprobación del Reglamento Europeo de Protección de Datos (RGPD) el pasado 25 de mayo para la segunda actividad normativa.
En este entorno las figuras del compliance officer o responsable de cumplimiento y la del delegado de Protección de Datos (DPO) han ganado peso en las organizaciones y su gestión de riesgos.
Desde CONFILEGAL han querido ver qué paralelismos existen entre estas nuevas actividades. La protección de datos obliga a toda Europa con la entrada del RGPD, sin embargo la problemática penal es particular en cada país.
El punto de partido es el estudio realizado por José Luis Colom, director de Auditoria y Cumplimiento Normativo de la consultora Audertis y vocal de Instituto de Expertos en Prevención del Blanqueo de Capitales (INBLAC).
La conversación mantenida con este experto en riesgos empresariales y que sintetizamos a continuación, se centra en los paralelismos existentes entre ambas actividades, cuestión que no deja de debatirse en muchos foros o jornadas sobre estas prácticas concretas.
A su juicio las Universidades deberían contar con programas o asignaturas sobre gestión de riesgos, tanto a nivel de cumplimiento normativo global como en lo relacionado con la propia protección de datos.
¿Puede ser un DPO un Compliance Officer?
A esta primera pregunta que le formulamos afirma que hay un debate abierto. “Muchos expertos en privacidad señalan que hay conflictos de intereses entre ambos expertos y no será posible”. A su juicio, son dos figuras clave de control interno de las organizaciones.
Para Colom,“lo que sí es cierto es que desde la entrada del RGPD, el papel del DPO ha subido a nivel jurídico de forma notable en las empresas. Es algo más que el jefe de seguridad que antiguamente existía. “Ahora son órganos colegiados de ciertas dimensiones y si se controla dicho conflicto de interés podría ser el mismo órgano quien gestionase los riesgos de la empresa y, a la vez, el tratamiento y gestión de protección de datos”.
Una de las ventajas de contar con este órgano colegiado global, con una parcela dedicada a la privacidad es que se controlan los costes, uno de los caballos de batalla de los empresarios, asfixiados por tanta regulación. “De esa forma con este organismo común se podría afrontar la problemática de riesgos de la empresa, tanto a nivel de cumplimiento normativo, como desde la protección de datos”.
¿Qué relación existen entre ambos profesionales en la empresa?
Desde esta perspectiva se puede analizar realmente qué relación jerárquica puede haber en una empresa que por su volumen y complejidad disponga de ambos organismos por separado. “En esta situación parece que hay una mayor influencia del compliance officer, si no se circunscribe solo al campo penal, respecto al delegado.
En cualquier caso, Colom recuerda que todo es cumplimiento y de alguna forma el DPO se vería integrado en este esquema.
Figuras independientes frente a la dirección de la compañía
“Poder contar con un responsable de cumplimiento normativo o un DPO implica que la empresa debe tener en cuenta que tiene un régimen especial dentro de la firma, lo que le preserva de su independencia para poder realizar su trabajo”, apunta Colom. También la normativa permite que ambas figuras se puedan externalizar a través de consultoras o terceros.
Al final, “se trata de garantizar una relación laboral especial en estos profesionales de cara a que puedan desempeñar su trabajo”. Nuestro experto constata que pese al desarrollo normativo del compliance y a la aprobación el pasado 25 de mayo del RGPD “no existe aún un estatuto jurídico que regule la actividad de ambas categorías profesionales”.
En este escenario “parece lógico contar con un contrato entre la empresa y los profesionales que asuman esas competencias para dejar claro por escrito cuáles van a ser las actividades de cada uno. Ni que decir tiene que ese contrato debe revisarlo un abogado experto en la materia para que quede claro en qué contexto trabajan estos profesionales”.
Para Colom, “no es lo mismo poner en marcha dicha actividad con el responsable adecuado en una empresa de nueva creación que en una compañía con años a sus espaldas de trabajo, y que, posiblemente, cuenta también con responsable de prevención de riesgos laborales”.
Delimitar de responsabilidad penal
Ese contrato “que se haya suscrito entre la empresa y los futuros responsables de cumplimiento normativo y protección de datos debe dejar claro que, como viene estipulado a nivel de cumplimiento normativo por los fallos del Tribunal Supremo y su Sala Segunda y a nivel de protección de datos por el propio RGPD, la responsabilidad penal de estos profesionales no existe salvo que se pruebe que su actuación fue negligente o dolosa”.
A este respecto la Circular 1/2016 de la FGE respecto a la posición del compliance officer en relación con su responsabilidad penal y la de la persona jurídica señala que : “al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la persona jurídica. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado”.
Al mismo tiempo se indica que “si el oficial de cumplimiento omite sus obligaciones de control, la persona jurídica en ningún caso quedará exenta de responsabilidad penal (condición 4ª del art. 31 bis 2). De conformidad con este planteamiento, la exposición personal al riesgo penal del oficial de cumplimiento no es superior a la de otros directivos de la persona jurídica”.
Fundamental con profesionales formados y expertos
Gestionar la protección de datos de una empresa o los riesgos internos de una firma no está al alcance de cualquier perfil. “Es fundamental que la compañía encuentre el profesional o profesionales capacitados”, aclara José Luis Colom.
En este tipo de situaciones es importante “sobre todo si tenemos alguna inspección o problema jurídico, que las autoridades sepan que además de tener un modelo de cumplimiento o de protección de datos adecuados, contamos con los profesionales que pueden gestionar con solvencia este tipo de situaciones”.
No contar con esos profesionales podría ser entendido por las autoridades como un engaño o intento de fraude.
El DPO que sirve de enlace entre la empresa y la AEPD y el responsable de cumplimiento normativo que también mantiene contacto directo con la dirección de compañía y las autoridades externas “deben contar con una formación de alto nivel, donde los conceptos jurídicos-técnicos se tengan claros”.