Compliance en procesos de contratación pública

Tras la lectura de la siguiente nota de prensa (https://goo.gl/dKQ6OX) , me viene a la cabeza, la de problemas que nos hubiéramos ahorrado si se implementaran procesos de cumplimiento normativo en la administración, no sólo para transparencia, como indican en la nota, si no para poder identificar los posibles casos de corrupción, aumento de costes y similares.

Esto sería ideal, si funcionara. La actualidad nos ha mostrado como en todos esos procesos dados a mano, con incumplimientos flagrantes, se han realizado con pleno conocimiento de los responsables funcionariales y políticos, por lo que la figura del Compliance Officer sería un cargo bastante comprometido, y responsable penal de todo lo que la entidad pública / ministerio/ dirección general hubiera incumplido.

Sigo pensando que en países latinos, estamos lejos de poder contar con un proceso fiable de cumplimiento, en tanto en cuanto, no hay procesos limpios de revisión de cumplimiento de manera autónoma con poder coercitivo para personas y directivos.

Ojalá me equivoque y en poco tiempo veamos revisiones de cumplimiento “reales” en procesos de selección de proveedores, concursos públicos y similares. Tanto en el momento de la selección, como en el seguimiento de la relación negocial entre la empresa y la Administración.

Sobre la ética de las empresas, mi pensamiento está en que las empresas tienen la ética que tienen sus empleados. Sin más. 

Afiliados...what else?

Si no estás metido en el mundo de los emailers y el alquiler de banners, este término te sonará a seguridad social o similar, pero dentro de este mundillo, se entiende como afiliado aquel que cede un espacio en su web (banner) para que vean tu publicidad o aquel que “usa” o  “cede” su base de dato de contacto para hacer acciones de email marketing.

Ahora te sonará algo más, puedes recordar todos esos correos que te llegan al buzón en el que se indica que “le llega este correo puesto que está dado de alta en el fichero….” Pues esos son los afiliados.

Hasta ahora, las entidades que solicitaban los servicios de estos e mailers, repercutían toda la responsabilidad de la licitud del tratamiento en estos emailers, en tanto, en cuanto, el dato de contacto, era obtenido por ellos. En este sentido, la Agencia ha indicado en varios PS :

“De acuerdo con lo expuesto en el presente Fundamento de Derecho y el que precede, no pueden estimarse las alegaciones planteadas por…., que pretenden ser eximida de responsabilidad por el solo hecho de haber contratado con otra entidad la materialización de la campaña promocional o por no ser responsables del fichero utilizado para la misma.”

Hasta ahora esto era así, pero la Agencia lleva una serie de procesos sancionadores en las que “re interpreta” esta cadena de responsabilidades para aquellos supuestos en los que un cliente, o ex cliente, haya solicitado que se le excluya de envíos publicitarios de la entidad que ha encargado la publicidad.

Así lo hace en el PS/00487/2015 y en PS/00290/2015 en el que sanciona a las entidades que habían solicitado la publicidad al no haber excluido de ese envío (que realiza un tercero, desde su base de datos) los datos de aquellas personas que hubieran solicitado la exclusión de este tipo de envíos comerciales.

Esto, amigos, lo que está obligando a las entidades es a tener un fichero propio de exclusión publicitaria que habrá que compartir con aquellos proveedores que realicen este tipo de acciones comerciales para las empresas que así lo soliciten.

La Agencia, en estos supuestos, entiende que la comunicación a estos terceros estaría incluida en la excepción del artículo 11.2 c):

“...toda vez que en este caso existe una relación jurídica en virtud de la cual obran en poder de LA ENTIDAD, responsable del fichero y tratamiento, datos personales del afectado que no pueden ser tratados con finalidades publicitarias. Por lo que la comunicación de estos datos responde a una relación libre y legítimamente aceptada por el interesado que manifestó su oposición al uso publicitario de los mismos, comportando que tales datos salgan del círculo de dicha relación jurídica dado que el desarrollo, cumplimiento y control de la misma requiere la necesaria conexión de dicho tratamiento con los ficheros de los terceros que realizan las campañas publicitarias encargadas por ella. Es decir, se produce una comunicación de dicha información a terceros para impedirles que traten los datos del denunciante que ha ejercitado el derecho de oposición al tratamiento publicitario de los mismos, negativa que justifica el acceso a dichos datos con esa exclusiva finalidad por los terceros que intervienen en la acción publicitaria. Interpretación que, por otra parte, resulta acorde con lo dispuesto en el citado artículo 51.4 del RDLOPD.”

Hasta la fecha, que yo conozca, las empresas son reacias a comunicar estos datos para el cruce contra las listas de los emailers, pero ya son dos sanciones por el mismo hecho. Veremos que ocurre. 

Reforma del Código Penal, el manido art 31 bis.

Estoy intentando elaborar un post sobre lo que los modernos llaman “Corporate Compliance”  que no es más que el cumplimiento del código penal por tu empresa, que dicho así suena menos glamuroso, pero chico, es lo que hay.

Desde el año 2010 que la reforma del código penal introdujo la responsabilidad penal de las empresas, el famoso artículo 31 bis, mucho se ha escrito, comentado, expuesto, sobre el tema.

No voy a entrar en la discusión sobre la fundamentación del Societas delinquere non potest tan hablado y comentado por profesionales del derecho penal que de esto saben mucho más que yo. Si bien, mi opinión es que los principios sobre los que se base el derecho penal, en la imposición de penas, no son de fácil encaje para los supuestos de personas jurídicas, y ahí lo dejo.

El texto inicial de éste artículo, está siendo modificado actualmente y la aprobación parece inminente ( en un concepto amplio de inminente puesto que se está aprobando desde hace un año y medio.) siendo esta la razón de la proliferación de comentarios, cursos y seminarios sobre este tema, cual temporada de setas.

La verdad es que si tu empresa se dedica a algún tipo de actividad delictiva, pues sí,  échate a temblar, pero si lo suyo es una empresa de tornillería industrial o similar,  tiene cosas que hacer, sí, pero caramba, no es como para que se eche a llorar o a temblar.

El último borrador de texto incluye elementos objetivos sobre requisitos para lograr eximentes y /o atenuantes si su empresa, se diera a delinquir, que serán objeto de otro post, que si no este se iba a eternizar.

Centrándonos en el texto actual, encontramos una doble tipología sobre los que sería penalmente responsable la sociedad. Pero antes de todo habría que dejar claro los elementos que deben darse para poder imputar a una sociedad penalmente sobre el número cerrado de delitos que así se tipifican a lo largo del Código Penal.

Desde mi punto de vista hay dos elementos básicos para poder imputar a una persona jurídica como resposanble penal de un delito, y son, y así lo recoge el texto, que el delito se haga en nombre o por cuenta de la Persona jurídica y que se realice en su beneficio directo  o indirecto.   Estos requisitos son comunes para los dos tipos de delitos que se enuncian en este artículo por orden de redacción, delitos cometidos por personas con poder de decisión en las empresas y delitos que pudieran hacer el resto de los trabajadores de la empresa. 

Si bien para que en este último supuesto sea imputable la empresa ésta deberá haber incumplido gravemente los deberes de supervisión, vigilancia y control de su actividad.

Sobre los posibles delitos que pudiera cometer una empresa, os dejo el listado para que comprobéis de un vistazo cuales sí y cuales no podría cometer tu empresa (verás como no es para tanto, salvo que te dé por innovar y abrir "nuevas líneas de negocios").

• Tráfico ilegal de órganos (art. 156 bis); 
• Trata de seres humanos (art. 177 bis) 
• Delitos relativos a la prostitución y corrupción de menores (art. 189 bis); 
• Delitos contra la intimidad y allanamiento informático (art. 197); 
• Estafas (art. 251 bis);  
• Insolvencias punibles (art. 261 bis); 
• Daños informáticos (art. 264); 
• Delitos contra propiedad intelectual e industrial, mercado y consumidores (art. 288); 
• Blanqueo de capitales (art. 302); 
• Delito contra Hacienda Pública y Seguridad Social (art. 310bis); 
• Delitos contra los derechos de los ciudadanos extranjeros (art. 318bis); 
• Delitos de construcción, edificación y urbanización (319); 
• Delitos contra el medioambiente (arts. 327 y 328); 
• Delitos relativos a la energía nuclear (art. 343); 
• Delitos de riesgo provocados por explosivos (art. 348); 
• Delitos contra la salud pública (art. 369bis); 
• Falsedad de medios de pago (art. 399 bis); 
• Cohecho (art. 427); 
• Tráfico de influencias (art. 430); 
• Corrupción de funcionario público extranjero (art. 445); 
• Delitos de organización (art. 570 quarter); 
• Financiación del terrorismo (art. 576 bis).

Dejo para otro día, porque esto del derecho penal es un poco plasta, las eximentes y / o atenuantes que indica el texto, o para los no profanos en la materia, qué tengo que hacer para que no me metan en la cárcel y no cierren mi empresa tanto para los supuestos de que el delito lo comentan personas facultades de control y decisión (aquí os plantearé una duda sobre quién debe controlar) como para los supuestos de delitos por los trabajadores por incumplimiento de los deberes de vigilancia.

Buenas tardes a todos.

Receta para tener un Mapa y Plan de Compliance ajustado, bueno, bonito y barato.

Receta para tener un Mapa y Plan de Compliance ajustado, bueno, bonito y barato.

Hola amigos y amigas, buenas y bienvenidos a este vuestro espacio.

Hoy, para deleite del personal vamos a exponeros cómo hacer un plan de cumplimiento rico, rico, y sin gastar mucho. ¿Qué cómo lo vamos a hacer?, pues ahora lo veréis.

Ingredientes: 

.- Conocimiento de tú compañía

.- Conocimiento de las normas de tú sector (si es un sector regulado)

.- Interlocución con las personas responsables de procesos

.- Una hoja de Excel (pueden ser dos)

.- Un PPT para usarlo como levadura del resto, si no ya se sabe que no sube.

.- Recursos a la medida de la empresa. Se recomienda añadir lo que sea oportuno

.- Sentido común (de esto echar todo lo que tengáis a mano)

Preparación.

Primer paso. Lo primero que tenemos que hacer, es saber  a qué se dedica tu empresa, ojo que no es un tema baladí, puesto que hay empresas que tienen más implicación en los servicios que presta que en lo que realmente vende.  Sabiendo esto, es más fácil cumplir con el paso dos.

Paso dos: Conocer las normas que te son de aplicación por tu actividad. Ahora sí, aquí hay que mezclar el conocimiento uno y dos de los ingredientes para que pueda salir una buena base. Cuanto más concreto y puntualizado sea ese conocimiento de leyes y compañía, más sencillo será de rellenar el bol (Excel) para tener el Mapa / plan adecuado.

Paso tres. Revisa el paso dos, para comprobar que has chequeado todas las normas de aplicación. Si lo has hecho, discrimina aquellas que no se puedan “controlar” y/o “auditar” puesto que no podrás saber si se cumple o no. Aunque un “abogado” te podrá decir que todo es posible de controlarse y auditarse.

Paso cuatro. Contrasta las obligaciones principales de esas normas con tú actividad y procesos para ver si lo cumples o no. Para poder hacer este paso correctamente, utilizaremos a nuestro gran amigo el Excel, separa por columnas la ley, lo que pide, el riesgo y si lo cumples. Si la respuesta es sí, ponle una carita sonriente : ), si la respuesta es no, pues una cara triste, : (.

Paso quinto. Con las caras tristes que te hayas encontrado... ya tienes plan. Analízalos y ponderalos con sentido común para saber cuáles son más críticos y cuáles no, como consejillo, cuanto más daño haga a la empresa, en dinero o en imagen, más criticidad (...de nada).

Hagamos un repaso, ahora ya tienes un documento en el que has recogido los mayores riesgos legales de incumplimiento de tu empresa, los has validado para que sean reales y se ajusten a tu negocio, los has ponderado, evaluado y cribado según importancia, y en base a ese resultado te han salido riesgos a mitigar, o acciones para el plan de cumplimiento.

Habéis visto como con un poco de sentido común, trabajo y conocimiento se puede hacer un mapa / plan de cumplimiento.

Pero esto no es todo, como a un buen hijo, hay que cuidarlo, seguirlo y corregirlo si hay algo mal. Y así se deberá controlar de manera periódica si hay nuevos riesgos, o si alguno ha cambiado de cara sonriente a carita triste, etc.

Saliéndome del tono jocoso del resto del post, si os aconsejo que a lo largo del año se haga mucha labor de formación en estos temas, que la labor / función de Compliance sea conocida y valorada por la organización, aportando valor. Lo anterior es la base para poder tener un buen plan de cumplimiento dentro de la organización, está tratado en tono burlesco, pero es un tema a tomar en serio, sobre todo con la cantidad de normas que está por venir y el impacto que podrán tener en las empresas. Un buen mapa y plan te podrá dar herramientas para mejorar procesos y hacerlos “legales” (si, hay veces que por desconocimiento; o no; se hacen cosas que no cumplen la Ley).

Bueno, con esto me despido de vosotros corazones, en el próximo capítulo, intentaré haceros la receta para un plan de Corporate Compliance, basado en el sentido común, ya veréis que cosa más cuqui nos va a salir.

¿Es twitter un emplazamiento publicitario?

El otro día me topé con esta entrada en el blog de @AlexTourino,  http://goo.gl/58EQ, en el que comentaba las acciones comerciales que ciertos famosos están llevando a cabo dentro de Twitter.

La disertación de Alex, es muy legalista intentando ver estas comunicaciones como envíos comerciales del art. 21 de la LSSI y por tanto, necesarias de una serie de formalismos legales, como es el consentimiento.

Desde mi punto de vista, salvo que sea una comunicación clásica de publicidad, creo que no estaría obligado a cumplir con lo indicado en la citada norma. Me explico, las celebrities son famosas por salir en la tele, poner discos, jugar al fútbol y la gente la imita, eso es así, ya sea en el peinado, o en la ropa. Hasta aquí nada que no sepamos, pero la cosa se complica si, por ejemplo, Messi (seguro que más de alguno de mis lectores iba a creer que usaría un ejemplo más blanco) se hace unas fotos con unas nuevas zapatillas de la marca que le paga, o se le ve con una sudadera...En ese caso, este personaje está vendiendo imagen, pero no creo que se pueda identificar como comunicación comercial, es el caso de los emplazamientos publicitarios en las series de televisión, que salvo momentos puntuales en los que los protagonistas brindan por el futuro con coca cola, el resto es atrezzo que los seguidores pueden comprar o no, pero sirve como escaparate.

Lo bueno de este tipo de cosas es que se puede estratificar por sectores de una forma increíble puesto que puede ir desde ropa, peinados, etc, hasta la base de datos que usa cierto abogado, los gadgets que tiene cierto geek, etc....

Otro tema serían aquellos mensajes que se ven claramente que son publi, en cuyo caso, me uno a lo que alex comenta en su blog.

No sé qué pensarán, pero creo que tarde o temprano, alguien empezará a usar Twitter como escaparate de tendencias.

Buenas tardes.

Reflexiones sobre transferencias internacionales de datos.

No voy a entrar en lo que son y cómo se regulan, puesto que eso queda claramente definido en los artículos 33 y 34 de la LOPD y en los Títulos VI y IX (capítulo V) del RD 1720/2007. Vaya manera de comenzar un post, mi intención es aportar mi punto de vista sobre una noticia / opinión que he leído en un blog esta mañana sobre Tranferencias Internacionales.

Como resumen, para poder tener un pié de entrada más claro, una transferencia internacional de datos es, como su propio nombre indica, un movimiento de datos personales a un país fuera del perímetro de la unión europea (a grandes rasgos). Esos movimientos podrán llevarse a cabo con una mera comunicación ante Registro si el país destino de los datos tiene un nivel de seguridad similar al que se exige en el espacio europeo. Pero si el país no está incluido en ese listado de países que proporcionan un nivel de seguridad adecuado, se requerirá autorización del Director de la Agencia Española de Protección de Datos (Monsieur, como diría una Lopedista de Pro).

Pues bien, en estas me encuentro un artículo de opinión publicado en un blog sobre la materia en la que se indican las trasferencias que ha llevado a cabo una empresa de telecomunicaciones desde el año 2009, arrojando unas cifras más que curiosas (36 empresas en 6 países). Lo malo del artículo en mi opinión, es centrar la queja o denuncia en que esa empresa haga un movimiento de datos de un país a otro, y de una a otra empresa

Yo, desde el punto de vista empresarial, no lo veo tan mal, dado que para cada movimiento, han tenido que solicitar la pertinente autorización a la AGPD, lo que si me llama la atención es la falta de control y seguimiento que hace la Agencia en un caso como este.

Por mi experiencia, creo que he conseguido obtener unas 18 autorizaciones para Transferencias Internacionales de datos (TI), esta figura es uno de tantos requisitos formales que no tienen impactos una vez conseguida la autorización. Cumplimentando la solicitud y los modelos, junto con las medidas de seguridad que dices vas a tener, la Agencia te da la autorización sin más, sin chequear nada de lo que aportas en el papel (si señores, el papel lo aguanta todo). En este caso, el de la empresa de telecomunicaciones, si yo fuera la Agencia le hubiera requerido que me informara del estado de las Transferencias, sobre si está en vigor o no, y si no lo está, qué han hecho con los datos de una forma fehaciente.

A día de hoy, y que yo sepa, no se hace nada de eso. Da lo mismo que pida 500 o 1000 solicitudes para mover los datos, que mientras en la solicitud y los papeles quede bonito, no van a pedir más. Esto no quita para que, si se diera una brecha de seguridad en alguno de esos países y circulan por Internet datos de tus clientes, la Agencia te abriera el preceptivo procedimiento sancionador por vía de inspección, en este caso dará lo mismo que hayas cumplido el contrato, las medidas de seguridad y tengas todas esas certificaciones de seguridad que tan de moda están, a la Agencia le dará lo mismo. Pero hasta que no surja un problema no va a mirar lo que estás haciendo.

Dentro de este mundo global, en el que se mueven datos para conseguir trabajos más baratos, creo que la Agencia debería de ser un poco más puntillosa a la hora de otorgar las autorizaciones y llevar a cabo un seguimiento de las mismas, para saber las que están en vigor, las que no, y qué se está haciendo allí donde se trate el dato, ya sea Sudamérica o la India.

De igual forma, creo que las empresas que tienen este tipo de movimientos, deberán de incluir en sus planes de control y seguimiento, como riesgo alto, el cumplimiento de esas medidas de seguridad indicadas en la TI.

Sobre listas robinson.

Poco más puedo decir sobre qué son y para qué se usan estas listas de exclusión comercial o listas robinsons. Siguiendo el post de @gongaru (http://gontzalgallo.wordpress.com/) y retomando su pregunta, desde mi humilde punto de vista, entiendo que:

Si los envíos publicitarios son sobre productos propios y del mismo ramo de actividad (ejemplo, que un banco te mande publicidad de productos bancarios) entiendo que se tendría el consentimiento expreso del cliente para poder realizar dichos envíos, por lo que este sería correcto. De manera simultaneas en interno, se deberá tener un control de mis clientes “Robinsons” que serían aquellos que me hayan indicado de manera expresa en la contratación que no quieren que se les remita ningún tipo de información comercial. Por lo que antes de realizar ese envío, debería chequear mis bases para no remitirles documentación a esos clientes.

Sirva como nota aclaratoria lo marcado en el artículo 21.2 de la LSSI para comunicaciones comerciales por medios electrónicos, en la que se indica que para aquellos casos en los que se tenga una relación contractual previa, siempre que se tengan datos de contacto del destinatario (consentimiento) los podrá emplear para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente sin necesidad de solicitud previa y expresa del solicitante. Eso si, manteniendo un método gratuito y sencillo para su exclusión.

Supongo que la creación de este tipo de listas, está más encaminada a supuestos de empresas que se dedican a recopilar datos de fuentes accesibles al público para crear listas de envíos. o para aquellos supuestos de envíos comerciales de empresas con las que no tienes relación comercial.

Por tanto, retomando el supuesto que @gongaru nos marcaba: - Voy a hacer una acción comercial a varios clientes. He obtenido el consentimiento para realizar estas acciones comerciales. ¿Debo consultar las Listas Robinson?

Mi respuesta, en este supuesto, es que no sería necesario, a la espera de sus comentarios.