Els detalls de la conformitat de l’artista internacional Shakira
La defensa de Shakira va aconseguir un acord amb les acusacions particulars el passat 20 de novembre de 2023, posant punt i final al procediment penal seguit contra l’artista pels exercicis fiscals relatius a l’IRPF i a l’IP dels anys 2012 a 2014. L’acord, ratificat en la primera -i finalment l’única- sessió del Judici Oral, va suposar la condemna de l’artista per la comissió de sis delictes fiscals, concorrent la circumstància atenuant molt qualificada de reparació del dany, degut a que Shakira va pagar l’import de les quotes que se li reclamaven abans fins i tot de la interposició de la querella per Fiscalia.
Les penes de presó de sis mesos -que no de 3 anys- per cadascun dels sis delictes als quals va ser condemnada l’artista van ser substituïdes pel pagament d’una pena de multa, a raó de dues quotes de multa per import de 200 euros per cada dia de presó. A més, també va haver de fer front al pagament d’una pena de multa que ascendia fins als 7,3 milions d’euros. Tots dos imports van ser abonats abans fins i tot que li fossin requerits.
Malgrat que la defensa jurídica de la cantant, integrada pel nostre soci director Pau Molins i per la lletrada Miriam Company, confiava en demostrar la seva innocència al llarg del desenvolupament del judici, la decisió de l’artista va venir motivada pel desgast personal que va suposar per a ella trobar-se en el focus d’un procediment penal que ha durat pràcticament cinc anys, decantant-se finalment per la seva vida personal i professional.
Finalitzat el termini d’adaptació de l’ús de cookies
El termini per a implementar els canvis necessaris per a la utilització de cookies, segons els criteris previstos en la Guia sobre l’ús de cookies, ja ha finalitzat, després d’un període transitori de sis mesos.
El passat 11 de juliol de 2023 l’Agència Espanyola de Protecció de Dades (AEPD) va publicar una nova versió de la seva Guia sobre l’ús de cookies, amb la finalitat d’adaptar la mateixa a les Directrius 03/2022 del Comitè Europeu de Protecció de Dades (CEPD) sobre patrons de disseny enganyosos.
Les Directrius 03/2022 van establir les recomanacions de bones pràctiques tant per als titulars de pàgines web, aplicacions informàtiques o plataformes com per als usuaris de les mateixes sobre com detectar i evitar aquests patrons enganyosos que infringeixen els requisits del Reglament General de Protecció de Dades (RGPD).
Segons s’indiquen en aquestes Directrius 03/2022 “els patrons de disseny enganyosos pretenen influir en el comportament dels usuaris i poden obstaculitzar la seva capacitat per a protegir eficaçment les seves dades personals i prendre decisions conscients. Les autoritats de protecció dades són els responsables de sancionar l’ús de patrons de disseny enganyosos si incompleixen els requisits del RGPD.
Per tal raó, l’AEPD va incorporar les recomanacions del CEDP en l’última versió de la seva Guia que, entre altres nous criteris, recull els següents:
- Les accions d’acceptar o rebutjar cookies han de presentar-se en un lloc i format destacats, i totes dues accions han d’estar al mateix nivell, sense que sigui més complicat rebutjar-les que acceptar-les. En aquest sentit, ja no són vàlids els banners que només disposin de les opcions de “ACCEPTAR” i “CONFIGURAR COOKIES”, així mateix, el botó de “REBUTJAR TOTES LES COOKIES” ha d’estar clarament visible i accessible, i no ha d’estar ocult o dificultar-se el seu ús.
- La política de cookies ha de ser clara i transparent sobre l’ús de cookies en la web, aplicacions informàtiques o plataformes. La informació que contingui ha de ser clara i concisa, utilitzant un llenguatge senzill i comprensible per als usuaris.
- Respecte de les cookies de personalització, quan és el propi usuari qui decideix sobre l’ús d’aquestes cookies no és necessari obtenir el consentiment, sempre que aquestes dades no s’utilitzin per a altres finalitats (per exemple, quan l’usuari selecciona l’idioma del lloc web en clicar en l’opció corresponent).
En cas de voler utilitzar aquestes cookies per a altres finalitats com personalitzar continguts publicitaris, o elaborar perfils d’usuari, s’ha de requerir el consentiment.
Aquests nous criteris suposen un avanç més en l’àmbit de la protecció de dades personals i la privacitat, assegurant una major transparència en les obligacions que han de complir els titulars de les pàgines web, aplicacions informàtiques o plataformes que empren l’ús de cookies. Per tant, la finalització del termini donat per l’AEPD per a l’adaptació a aquests criteris deixa oberta la porta, a partir d’ara, a l’aplicació de sancions i multes econòmiques en cas d’incompliment.
Autora: Melanie Díaz
Departament de Compliance de Molins Defensa Penal.
Compliance i protecció de dades: integració i governança
Gestionar adequadament la protecció de les dades personals dins d’una organització és avui dia una qüestió de vital importància. Constantment som testimonis de sancions administratives i judicis reputacionals a les quals es veuen exposades aquelles organitzacions que no compleixen amb la regulació en aquesta matèria i/o no han adequat les seves activitats als estàndards mínims que preveu la normativa.
Per això, incardinar dins del nostre Sistema de Compliance el que es preveu en el Reglament (UE) 2016/679 de 27 d’abril de 2016, la Llei orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals, així com les guies elaborades per l’Agència Espanyola de Protecció de dades i les directrius emeses pel Comitè Europeu de Protecció de Dades, és assumir una postura proactiva en l’adopció del que tal normativa preveu i denomina com a privacitat des del disseny (“Privacy by design”) i privacitat per defecte (“Privacy by default”).
Partint del que coneixem com a Sistema de Compliance, tenir present des del disseny del mateix o incorporar en el nostre sistema ja desenvolupat la regulació sobre protecció de dades, ens permetrà integrar les obligacions, requisits i recomanacions que la regulació, guies i directrius en aquesta matèria ens afectin, amb la finalitat última d’enfortir la nostra cultura ètica i de compliment, ampliant-la a aquells àmbits en els quals també ens puguem veure afectats per riscos de compliance no previstos.
Reprenent els conceptes assenyalats de privacitat des del disseny i privacitat per defecte, d’una banda, sempre que tinguem previst realitzar una nova activitat en la nostra organització, una de les primeres qüestions que hauríem de plantejar-nos és si en tal activitat tractarem dades personals, amb la finalitat de tenir en compte els requisits i recomanacions mínims i adequar i implementar les mesures tècniques i organitzatives necessàries, i així evitar riscos de compliance i reputacionals des d’un principi, des del disseny de l’activitat.
D’altra banda, si tenim en compte en el desenvolupament de la nostra activitat, en la qual tinguem previst tractar dades personals, la privacitat per defecte, això ens portarà a aplicar des d’un inici els principis de minimització de dades i limitació de la finalitat, assegurant-nos així que podem garantir el compliment en aquesta matèria.
En tal sentit, no sols ens és prou amb disposar d’una Política de privacitat, una Política de cookies, un registre d’activitats i diverses polítiques que moltes vegades desconeixem que tenim o com ens poden ajudar a gestionar la nostra activitat, sinó que és necessari realitzar una revisió interna de les activitats que realitzem per a conèixer en quines d’elles tractem efectivament dades personals i sota quines premisses i amb quines mesures de seguretat ho estem fent. Sobre la base de tal avaluació, podrem determinar aquells aspectes que hem d’adaptar, adequar i/o actualitzar per a assegurar un efectiu compliment que ens garanteixi que estem aplicant les mesures tècniques i organitzatives que ens exigeix la regulació.
En incloure dins del nostre Sistema de Compliance la regulació en matèria de protecció de dades, podrem realitzar una valoració dels riscos als quals es pot veure exposada la nostra organització seguint el model de governança emprat per a la incorporació de les altres regulacions normatives que ens afecten, i elaborar les respostes proactives, preventives i reactives mitjançant polítiques, protocols i procediments que serveixin de guia i referència en la manera de desenvolupar la cultura ètica i de compliment que els membres de l’organització han d’observar respecte també de la privacitat i la protecció de dades personals.
El desenvolupament constant de les activitats que pot realitzar una organització, així com l’ús de les dades personals i les activitats de tractament que es realitzen sobre aquests, han fet que la regulació sobre la protecció de les dades personals resulti d’aplicació transversal a l’organització i per tant, això està lligat amb la funció de compliance, sent per tant una normativa més com s’ha indicat abans – tan rellevant com les altres- a tenir en compte dins del nostre Sistema de Compliance.
Tal és així que, l’evolució normativa en matèria de protecció de dades personals de la qual hem estat testimonis aquests últims anys, sorgeix de la necessitat de comptar amb una regulació tecnològicament resistent que ens permeti salvaguardar els drets i llibertats de les persones dels tractaments de dades personals que es realitzen en la nova societat digital, a conseqüència del desenvolupament i evolució de la tecnologia.
Per això, resulta necessari conèixer com estem gestionant les nostres activitats de tractament sobre les dades personals, en funció de les mesures tècniques i organitzatives que hem aplicat, així com verificar l’ocupació que realitzem de la tecnologia de conformitat amb el que la regulació preveu i en particular, poder demostrar que les mesures que hem adoptat en determinat moment, continuen sent prou robustes per a garantir com a mínim la confidencialitat, integritat i disponibilitat de les dades personals que tractem.
No podem perdre de vista que, per a la gran majoria d’organitzacions, el tractament de dades personals constitueix un actiu essencial, i el fet de poder garantir que realitzen una ocupació segura i correcta dels mateixos reforça la seva reputació i confiança per part de la ciutadania i dels seus socis de negoci.
En definitiva, com a tasques a realitzar per a assegurar el compliment en matèria de protecció de dades i la implicació de tota l’organització amb la finalitat d’interioritzar aquesta cultura ètica i de compliment, podem llistar les següents, sense ànim d’exhaustivitat:
- Determinar la governança i el nomenament del Delegat de Protecció de Dades (en els supòsits previstos per la regulació, i/o de manera voluntària).
- Avaluació de riscos de les activitats de tractament de dades personals.
- Inventari de tractaments i anàlisis de bases de licitud.
- Anàlisi de riscos i avaluacions d’impacte.
- Registre d’activitats de tractament.
- Política de privacitat i Política corporativa de privacitat.
- Revisió de clàusules informatives i de Contractes d’encarregats de tractament.
- Procediments per a l’exercici de drets, bretxes de seguretat, conservació de dades, etc.
- Gestionar les mesures de seguretat pertinents, involucrant a tots els membres de l’organització.
- Formació i conscienciació dels membres de l’organització.
- Seguiment i monitoratge continu.
Departament de Compliance de Molins Defensa Penal.
Jurisprudència recent del Tribunal Suprem sobre Compliance – Compliance Keys #24
#Compliancekeys24
Després de més de (10) deu anys des de la introducció de la responsabilitat penal de les persones jurídiques en el Codi Penal espanyol, el Tribunal Suprem ha tingut l’oportunitat de pronunciar-se respecte qüestions amb afectació en matèria de Compliance en nombroses i diverses ocasions.
Així, en el present ComplianceKeys24 s’oferirà un llistat de les sentències més rellevants del Tribunal Suprem en matèria de Compliance dels últims dos (2) anys:
| Jurisprudència del Tribunal Suprem en matèria de Compliance | ||
| Any | Sentència | Qüestions destacades |
| 2022 | STS 36/2022, de 20 de gener | El Tribunal Suprem condemna a la persona jurídica i al seu administrador per un delicte d’estafa. Entén el Tribunal que no existeix doble condemna pel mateix fet (bis in idem) en tant l’administrador no és el soci propietari del capital social de la persona jurídica. En conseqüència, la condemna no suposa una doble penalitat. |
| STS 56/2022, de 24 de gener | El Tribunal Suprem analitza les facultats d’accés de l’empresari al correu corporatiu dels treballadors. En particular, l’Alt Tribunal desestima el recurs de cassació presentat per a entendre que el registre sobre el correu electrònic corporatiu dels treballadors que presumptament havien comès irregularitats vulnera els seus drets de privacitat, en tant la mesura de control empresarial s’havia realitzat obviant les garanties necessàries. | |
| STS 264/2022, de 18 de març |
Desestima la possibilitat de fer penalment responsable a una societat unipersonal en atenció al seu caràcter plenament instrumental. Concretament, el Tribunal entén que, atès que la societat compta amb un únic soci i administrador, el patrimoni del qual es confon i es dilueix amb el de la persona jurídica, no pot condemnar-se a aquesta. S’al·lega que la persona jurídica manca d’un desenvolupament organitzatiu suficient que la diferenciï de la persona física. En conseqüència, no pot aplicar-se l’article 31 bis del Codi Penal donada la impossibilitat de diferenciar entre la persona física (soci i administrador) de la persona jurídica i la inviabilitat d’implantar en aquesta un programa de compliment normatiu. |
|
| STS 747/2022, de 27 de juliol |
El Tribunal Suprem exclou la condemna de la persona jurídica en virtut del principi del non bis in idem en tant es tracta d’una societat unipersonal que correspon al cent per cent (100%) a la persona física condemnada. En particular, l’Alt tribunal entén que quan el condemnat penalment com a persona física és titular exclusiu de la societat, no resulta possible sancionar també a la persona jurídica. |
|
| STS 792/2022, de 29 de setembre | Aborda i manté, principalment per aspectes processals, la imposició de la suspensió d’activitats a una empresa per un termini de dos (2) anys per la comissió d’un delicte contra els drets dels treballadors a l’empara dels articles 129.3 i 33.7.c) del Codi Penal. | |
| STS 813/2022, de 14 d’octubre | Advoca per la necessitat d’implementar programes de compliment normatiu / Sistemes de Compliance en les empreses també per a evitar i prevenir el frau intern i el perjudici econòmic per a les empreses. | |
| 2023 | STS 1014/2022, de 13 de gener de 2023 |
El Tribunal Suprem, a mode d’apunt, es pronuncia en la present resolució respecte l’eficàcia dels Sistemes de Compliance per a evitar aquelles conductes delictives de les quals les companyies poden ser víctimes. En aquest sentit, els Sistemes de Compliance no solament mitigarien les conductes que poden generar una possible responsabilitat penal corporativa, sinó que dificulten el que l’Alt Tribunal denomina “autoposada en perill”. Així doncs, el Tribunal Suprem considera que, si bé, les conductes jutjades no poden suposar la responsabilitat penal de la persona jurídica (es tracta de delictes d’apropiació indeguda, els quals no són susceptibles de generar l’atribució de responsabilitat penal de la persona jurídica conforme l’article 31 bis del Codi Penal), dels quals a més hauria estat víctima la pròpia persona jurídica (un club esportiu), aquestes podrien haver-se evitat amb mesures de control destinades a evitar l’abús de relacions personals (mitjançant controls relatius a apoderaments, per exemple). En aquest sentit, també, Sentència de l’Audiència Provincial de Madrid 90/2023, de 22 de febrer de 2023. |
| STS 89/2023, de 10 de febrer |
En la present resolució el Tribunal Suprem resol en cassació respecte el famós “Cas Pescanova”. Entre altres qüestions en matèria de responsabilitat penal de les persones jurídiques, destaca l’anàlisi que en la present sentència es duu a terme respecte l’element del “benefici directe o indirecte”, exigit tant en els supòsits de la lletra a) (delictes comesos per directius) com en els propis de la lletra b) (delictes comesos per treballadors) de l’article 31 bis del Codi Penal, per a atribuir responsabilitat penal a les persones jurídiques. Assenyala el Tribunal Suprem que, en realitat, allò que l’article 31 bis del Codi Penal exigeix, com a element indispensable perquè pugui assentar-se la responsabilitat penal de la persona jurídica, no és que la mateixa hagi obtingut a conseqüència dels delictes comesos en el seu nom o pel seu compte un benefici real, directe o indirecte, sinó que aquells fets delictius s’haguessin comès “en benefici” d’aquesta. Així doncs, les persones jurídiques poden resultar condemnades per conductes delictives que, fins i tot, els hagin causat algun tipus de perjudici, quan originalment s’haguessin dut a terme amb la finalitat de reportar-li alguna classe de benefici, directe o indirecte. |
|
| STS 321/2023, de 9 de maig |
El Tribunal Suprem, en la present decisió, estima el recurs del Ministeri Fiscal en el sentit que la responsabilitat penal de la persona jurídica no exclou la responsabilitat penal individual, això és, dels autors materials de les conductes delictives. En aquest sentit, el Ministeri Fiscal i l’Alt Tribunal convenen que el sistema de responsabilitat penal de les persones jurídiques complementa al de les persones físiques, però no el substitueix. No es tracta de decidir si les conseqüències penals han de ser assumides per la persona natural o per la jurídica, sinó si, a més de la persona física, ha de sancionar-se penalment a l’entitat pel compte de la qual va actuar. Procedirà aquesta doble sanció quan es donin les condicions establertes en l’article 31 bis del Codi Penal. Finalment, estableix que solament si es pogués identificar a la persona jurídica amb el responsable penal (supòsits d’entitats de molt reduïdes dimensions, per exemple) caldria renunciar a una de les condemnes (la de la persona jurídica) per a no lesionar la prohibició de ne bis in idem (castigar dues vegades a una mateixa persona, pels mateixos fets, amb el mateix fonament). |
|
Departament de Compliance de Molins Defensa Penal.
Compliance penal, què es? Compliance Keys #23
El terme Compliance pot ser definit com a compliment normatiu, o compliment d’allò que s’ha de complir. L’abast del compliment normatiu que una determinada entitat ha d’assegurar pot ser molt ampli, tant com la totalitat de normes i regulacions aplicables a la seva concreta activitat.
Ara bé, moltes vegades s’empra el terme Compliance penal per a fer referència a aquelles estructures de compliment que les entitats adopten per a evitar la comissió de delictes en el seu si, sota el terme “Sistemes de Compliance penal”. Això és, l’objectiu principal de Compliance es basa en la prevenció de delictes.
Els Sistemes de Compliance penal, també denominats “Programes o Models de Prevenció de Delictes o de Riscos Penals”, tenen el seu origen, principalment, en la reforma del Codi Penal produïda mitjançant la Llei orgànica 5/2010, de 22 de juny.
Aquesta reforma del Codi Penal va introduir, per primera vegada a Espanya, la responsabilitat penal de les persones jurídiques. De forma resumida, això implica que, en determinats casos, quan es comet un delicte en una determinada entitat, podrà respondre penalment tant la concreta persona física que duu a terme el delicte, com també l’entitat a la qual pertany o representa.
Atès que els Sistemes de Compliance penal tenen origen en aquesta reforma del Codi Penal, en general, estan dissenyats per a complir amb els requisits que l’article 31 bis del Codi Penal exigeix per a evitar la responsabilitat penal de les persones jurídiques. Això és:
- Adoptar i executar de manera eficaç del Sistema de Compliance penal abans de la comissió del delicte;
- Designar un òrgan de Compliance;
- Identificar les activitats que poden suposar un risc delictiu;
- Adoptar protocols i procediments per a evitar tals riscos;
- Gestionar els recursos financers de manera adequada per a impedir tals riscos;
- Establir mecanismes per a informar de possibles riscos i incompliments;
- Sancionar adequadament l’incompliment del Sistema de Compliance penal;
- Revisar i tenir actualitzat el Sistema de Compliance
D’aquesta manera, els Sistemes de Compliance penal busquen regular les activitats socials de l’entitat per a assegurar el compliment normatiu i, per extensió, complir amb els requisits de l’article 31 bis del Codi Penal per a així eludir l’eventual responsabilitat penal per a la persona jurídica que podria ocasionar la comissió de determinats delictes en les seves activitats (per exemple, delictes d’estafa; publicitat enganyosa; frau fiscal; delictes contra els recursos naturals i el medi ambient; suborn; etcètera).
No obstant això, delimitar el Sistema de Compliance al compliment estrictament penal pot comportar un greu problema de prevenció, detecció i correcció dels incompliments i conductes indesitjades. En aquest sentit, un Sistema de Compliance penal comporta endarrerir notablement les línies de defensa de la persona jurídica, la qual cosa resulta en un marge de reacció i correcció molt més reduït.
En canvi, els Sistemes de Compliance transversals o de compliment normatiu general tenen un abast molt més ampli que els Sistemes de Compliance estrictament penal. L’objectiu d’aquests sistemes és gestionar el compliment normatiu per a prevenir tota classe d’incompliments que, per descomptat, inclouen també els incompliments de la normativa penal, la qual cosa permet una millor gestió dels riscos d’incompliment normatiu i anticipar, d’una forma més primerenca, la materialització de delictes en el si d’una entitat.
Departament de Compliance de Molins Defensa Penal
Trasllat de despatx Molins Defensa Penal a Barcelona
Molins Defensa Penal comunica a tots els seus clients, proveïdors, col·laboradors i amics que des d’avui dilluns 6 de juliol la firma ha traslladat el seu despatx a l’Av. Diagonal nº 399, planta 1a de Barcelona.
El Compliance Officer ¿un professional en risc?
Una obra imprescindible perquè les empreses espanyoles adaptin amb eficàcia aquest nou càrrec o dinàmica general i a la dels seus diversos departaments.