Finalizado el plazo de adaptación del uso de cookies
El plazo para implementar los cambios necesarios para la utilización de cookies, según los criterios previstos en la Guía sobre el uso de cookies, ya ha finalizado, tras un período transitorio de seis meses.
El pasado 11 de julio de 2023 la Agencia Española de Protección de Datos (AEPD) publicó una nueva versión de su Guía sobre el uso de cookies, con la finalidad de adaptar la misma a las Directrices 03/2022 del Comité Europeo de Protección de Datos (CEPD) sobre patrones de diseño engañosos.
Las Directrices 03/2022 establecieron las recomendaciones de buenas prácticas tanto para los titulares de páginas web, aplicaciones informáticas o plataformas como para los usuarios de las mismas sobre cómo detectar y evitar esos patrones engañosos que infringen los requisitos del Reglamento General de Protección de Datos (RGPD).
Según se indican en estas Directrices 03/2022 “los patrones de diseño engañosos pretenden influir en el comportamiento de los usuarios y pueden obstaculizar su capacidad para proteger eficazmente sus datos personales y tomar decisiones conscientes. Las autoridades de protección datos son los responsables de sancionar el uso de patrones de diseño engañosos si incumplen los requisitos del RGPD.
Por tal razón, la AEPD incorporó las recomendaciones del CEDP en la última versión de su Guía que, entre otros nuevos criterios, recoge los siguientes:
- Las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. En este sentido, ya no son válidos los banners que sólo dispongan de las opciones de “ACEPTAR” y “CONFIGURAR COOKIES”, asimismo, el botón de “RECHAZAR TODAS LAS COOKIES” debe estar claramente visible y accesible, y no debe estar oculto o dificultarse su uso.
- La política de cookies ha de ser clara y transparente sobre el uso de cookies en la web o aplicación. La información que contenga debe ser clara y concisa, utilizando un lenguaje sencillo y comprensible para los usuarios.
- Respecto de las cookies de personalización, cuando es el propio usuario quien decide sobre el uso de estas cookies no es necesario obtener el consentimiento, siempre que esos datos no se utilicen para otras finalidades (por ejemplo, cuando el usuario selecciona el idioma del sitio web al clicar en la opción correspondiente).
En caso de querer utilizar estas cookies para otros fines como personalizar contenidos publicitarios, o elaborar perfiles de usuario, se ha de requerir el consentimiento.
Estos nuevos criterios suponen un avance más en el ámbito de la protección de datos personales y la privacidad, asegurando una mayor transparencia en las obligaciones que han de cumplir los titulares de los páginas web, aplicaciones informáticas o plataformas que emplean el uso de cookies. Por tanto, la finalización del plazo dado por la AEPD para la adaptación a estos criterios deja abierta la puerta, a partir de ahora, a la aplicación de sanciones y multas económicas en caso de incumplimiento.
Autora: Melanie Díaz
Departamento de Compliance de Molins Defensa Penal.
Control empresarial del WhatsApp y secreto de las comunicaciones
Comentario a la STSJ Madrid n.º 405/2023, de 8 de junio, ponente Maria del Carmen Prieto Fernández.
Temática: control empresarial de las conversaciones de Whatsapp mantenidas por un trabajador a través del móvil corporativo. Alcance del derecho fundamental al secreto de las comunicaciones.
En fecha 6 de junio de 2023, la Sección 4ª de lo Social del Tribunal Superior de Justicia de Madrid se ha pronunciado acerca del secreto de las comunicaciones en el uso de redes sociales de comunicación como la conocida aplicación de WhatsApp a través de un dispositivo corporativo.
En la resolución se resuelve un recurso de suplicación interpuesto por la empresa demandada – junto a la impugnación de la adversa- contra la Sentencia dictada por el Juzgado de lo Social núm. 2 de Móstoles.
La trabajadora demandante fue despedida después de que su empleadora detectara, mediante herramientas informáticas, irregularidades en la gestión de cobro de pedidos de clientes. En concreto, la empresa demandada justificó el despido en base a conversaciones de WhatsApp mantenidas por la trabajadora a través del teléfono corporativo con un tercero no identificado, probablemente un cliente o un intermediario, relativas al cobro de comisiones, así como a los precios de compra y venta de productos.
La Sentencia de 1ª instancia estimó parcialmente la demanda de despido interpuesta por la trabajadora por considerar nulo el despido, dada la vulneración del derecho fundamental al secreto de las comunicaciones propio del artículo 18 de la Constitución Española. En particular, consideró que las conversaciones de WhatsApp motivadoras del despido, pese a ser efectuadas en el ámbito laboral, tenían carácter privado y, por ende, el empleador no debía de acceder al contenido de las mismas. La principal razón esgrimida por el Juzgado de Móstoles fue que la empresa no había establecido con carácter previo los criterios de utilización de los dispositivos informáticos puestos a disposición de los trabajadores, ni había advertido de las medidas de control a las que recurriría para fiscalizar el uso conferido por los trabajadores a tales dispositivos. El juzgador de instancia estimó insuficiente la cláusula contractual que preveía la capacidad del empleador de controlar y supervisar la actividad del trabajador mediante medios telemáticos e informáticos, en la medida en que la trabajadora fue contratada para desempeñar sus funciones en la modalidad de teletrabajo.
Por el contrario, la Sección 4ª de lo Social del Tribunal Superior de Justicia de Madrid estimó parcialmente el recurso de suplicación interpuesto por la empresa demandada. Considera que el registro de las conversaciones de Whatsapp no debe considerarse vulnerador de los derechos fundamentales a la intimidad y al secreto de las comunicaciones.
El Tribunal destaca que en el contrato de trabajo se especificaban los aparatos informáticos y telemáticos puestos a disposición de la trabajadora, entre los que se contaba el teléfono móvil, indicándose expresamente que tales “equipo[s] de trabajo” se ponían a su disposición para el uso “determinado por el contrato de trabajo”. En consecuencia, el Tribunal Superior de Justicia de Madrid subraya que, “partiendo de esta premisa, podemos afirmar que existe una previsión de exclusivo uso profesional”.
Ergo, previo juicio de proporcionalidad y atendiendo a reiterada doctrina jurisprudencial, la Sala concluye que, con el control efectuado por la empresa recurrente sobre las comunicaciones ejercitadas por la empleada, el despido podría considerarse improcedente –debido a la falta de prueba de las supuestas infracciones laborales, a pesar de admitir los mensajes de Whatsapp como fuente de prueba válida-, pero en ningún caso nulo, puesto que de ninguna forma se quebrantó la expectativa razonable de privacidad o confidencialidad de la trabajadora, dado que la empresa se limitó a revisar conversaciones de WhatsApp entre la empleada y clientes o intermediarios, siendo que estas no pueden considerarse de carácter estrictamente privado, así como tampoco puede afirmarse que la compañía haya lesionado o comprometido los derechos a la intimidad o al secreto de las comunicaciones de la actora.
En la Sentencia comentada no se aclara si las conversaciones de Whatsapp mantenidas por la trabajadora con terceros deben analizarse como objeto de protección del derecho al secreto de las comunicaciones (art. 18.3 CE) o si, más bien, tan solo merecen protección a través del derecho a la intimidad (art. 18.1 CE).
La cuestión es relevante puesto que los estándares de protección son sustancialmente distintos en función del derecho fundamental considerado aplicable. En este sentido constan precedentes en los que las conversaciones mantenidas por Whatsapp se consideran abarcadas por el secreto de las comunicaciones (así, por ejemplo, la Sentencia del Tribunal Superior de Justicia de Galicia n.º 3570/2019, 17/9/2019, p. Rey Eibe).
Ahora bien, si se considera que efectivamente el derecho fundamental aplicable en relación con las conversaciones de Whatsapp es el relativo al secreto de las comunicaciones (art. 18.3 CE), el razonamiento seguido por el Tribunal Superior de Justicia de Madrid se compadece mal con la doctrina sentada por el Tribunal Europeo de Derechos Humanos en la conocida Sentencia firmada por la Gran Sala en el asunto Barbulescu.
Esperemos que la Sala de lo social del Tribunal Supremo o el Tribunal Constitucional sienten pronto doctrina al respecto a fin de gozar de seguridad jurídica en un ámbito de indudable trascendencia práctica.
Compliance y protección de datos: integración y gobernanza
Gestionar adecuadamente la protección de los datos personales dentro de una organización es hoy en día una cuestión de vital importancia. Constantemente somos testigos de sanciones administrativas y juicios reputacionales a las que se ven expuestas aquellas organizaciones que no cumplen con la regulación en esta materia y/o no han adecuado sus actividades a los estándares mínimos que prevé la normativa.
Por ello, incardinar dentro de nuestro Sistema de Compliance lo previsto en el Reglamento (UE) 2016/679 de 27 de abril de 2016, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, así como las guías elaboradas por la Agencia Española de Protección de datos y las directrices emitidas por el Comité Europeo de Protección de Datos, es asumir una postura proactiva en la adopción de lo que tal normativa prevé y denomina como privacidad desde el diseño (“Privacy by design”) y privacidad por defecto (“Privacy by default”).
Partiendo de lo que conocemos como Sistema de Compliance, tener presente desde el diseño del mismo o incorporar en nuestro sistema ya desarrollado la regulación sobre protección de datos, nos permitirá integrar las obligaciones, requisitos y recomendaciones que la regulación, guías y directrices en esta materia nos afecten, con la finalidad última de fortalecer nuestra cultura ética y de cumplimiento, ampliándola a aquellos ámbitos en los que también nos podamos ver afectados por riesgos de compliance no previstos.
Retomando los conceptos señalados de privacidad desde el diseño y privacidad por defecto, por un lado, siempre que tengamos previsto realizar una nueva actividad en nuestra organización, una de las primeras cuestiones que deberíamos plantearnos es si en tal actividad vamos a tratar datos personales, con la finalidad de tener en cuenta los requisitos y recomendaciones mínimos y adecuar e implementar las medidas técnicas y organizativas necesarias, y así evitar riesgos de compliance y reputacionales desde un principio, desde el diseño de la actividad.
Por otro lado, si tenemos en cuenta en el desarrollo de nuestra actividad, en la que tengamos previsto tratar datos personales, la privacidad por defecto, ello nos llevará a aplicar desde un inicio los principios de minimización de datos y limitación de la finalidad, asegurándonos así que podemos garantizar el cumplimiento en esta materia.
En tal sentido, no sólo nos basta con disponer de una Política de privacidad, una Política de cookies, un registro de actividades y diversas políticas que muchas veces desconocemos que tenemos o cómo nos pueden ayudar a gestionar nuestra actividad, sino que es necesario realizar una revisión interna de las actividades que realizamos para conocer en cuales de ellas tratamos efectivamente datos personales y bajo qué premisas y con qué medidas de seguridad lo estamos haciendo. En base a tal evaluación, podremos determinar aquellos aspectos que tenemos que adaptar, adecuar y/o actualizar para asegurar un efectivo cumplimiento que nos garantice que estamos aplicando las medidas técnicas y organizativas que nos exige la regulación.
Al incluir dentro de nuestro Sistema de Compliance la regulación en materia de protección de datos, podremos realizar una valoración de los riesgos a los que se puede ver expuesta nuestra organización siguiendo el modelo de gobernanza empleado para la incorporación de las demás regulaciones normativas que nos afectan, y elaborar las respuestas proactivas, preventivas y reactivas mediante políticas, protocolos y procedimientos que sirvan de guía y referencia en el modo de desarrollar la cultura ética y de cumplimiento que los miembros de la organización han de observar respecto también de la privacidad y la protección de datos personales.
El desarrollo constante de las actividades que puede realizar una organización, así como el empleo de los datos personales y las actividades de tratamiento que se realizan sobre los mismos, han hecho que la regulación sobre la protección de los datos personales resulte de aplicación transversal a la organización y por ende, ello está ligado con la función de compliance, siendo por tanto una normativa más como se ha indicado antes – tan relevante como las otras- a tener en cuenta dentro de nuestro Sistema de Compliance.
Tal es así que, la evolución normativa en materia de protección de datos personales de la que hemos sido testigos estos últimos años, surge de la necesidad de contar con una regulación tecnológicamente resistente que nos permita salvaguardar los derechos y libertades de las personas de los tratamientos de datos personales que se realizan en la nueva sociedad digital, como consecuencia del desarrollo y evolución de la tecnología.
Por ello, resulta necesario conocer cómo estamos gestionando nuestras actividades de tratamiento sobre los datos personales, en función de las medidas técnicas y organizativas que hemos aplicado, así como verificar el empleo que realizamos de la tecnología de conformidad con lo que la regulación prevé y en particular, poder demostrar que las medidas que hemos adoptado en determinado momento, continúan siendo lo suficientemente robustas para garantizar como mínimo la confidencialidad, integridad y disponibilidad de los datos personales que tratamos.
No podemos perder de vista que, para la gran mayoría de organizaciones, el tratamiento de datos personales constituye un activo esencial, y el hecho de poder garantizar que realizan un empleo seguro y correcto de los mismos refuerza su reputación y confianza por parte de la ciudadanía y de sus socios de negocio.
En definitiva, como tareas a realizar para asegurar el cumplimiento en materia de protección de datos y la implicación de toda la organización con la finalidad de interiorizar esta cultura ética y de cumplimiento, podemos listar las siguientes, sin ánimo de exhaustividad:
- Determinar la gobernanza y el nombramiento del Delegado de Protección de Datos (en los supuestos previstos por la regulación, y/o de forma voluntaria).
- Evaluación de riesgos de las actividades de tratamiento de datos personales.
- Inventario de tratamientos y análisis de bases de licitud.
- Análisis de riesgos y evaluaciones de impacto.
- Registro de actividades de tratamiento.
- Política de privacidad y Política corporativa de privacidad.
- Revisión de cláusulas informativas y de Contratos de encargados de tratamiento.
- Procedimientos para el ejercicio de derechos, brechas de seguridad, conservación de datos, etc.
- Gestionar las medidas de seguridad pertinentes, involucrando a todos los miembros de la organización.
- Formación y concienciación de los miembros de la organización.
- Seguimiento y monitorización continua.
Departamento de Compliance de Molins Defensa Penal.
Nueva convocatoria pública para la concesión de subvenciones destinadas a la financiación de programas de Compliance
El día 18 de septiembre de 2023, fue publicada en el Diario Oficial de la Generalitat de Cataluña (en adelante, DOGC), la Resolución de 14 de septiembre de 2023, en virtud de la cual, la Autoridad Catalana de la Competencia (en adelante, ACCO) abre una convocatoria pública para conceder subvenciones destinadas a financiar programas de Compliance para la prevención de irregularidades relacionadas con la libre competencia en los mercados.
Las subvenciones que contempla esta convocatoria son regidas por la Resolución de 28 de abril de 2022, publicada en el DOGC. El plazo de presentación de solicitudes se inició el día 19 de septiembre y finaliza el día 18 de octubre de 2023.
A continuación, se ofrece un breve resumen de las cuestiones más relevantes respecto la presente convocatoria:
- El objeto de la presente subvención es la adopción e implementación de programas o subprogramas de Compliance en materia de defensa de la libre competencia.
- La posible subvención puede alcanzar hasta un 70% del presupuesto para la adopción de dichos programas, con un límite de 10.000 €.
- La ACCO dispone de un presupuesto de 200.000 € para otorgar las presentes subvenciones.
- La distribución de las presentes subvenciones se llevará a cabo mediante un procedimiento de concurrencia competitiva, parecida a una licitación (en este sentido, la propuesta que se presente a la ACCO será crucial).
La ACCO celebra la favorable recepción de la primera convocatoria de subvenciones para los programas de Compliance relacionados con la competencia, siendo esta pionera a nivel nacional. Estos programas de Compliance son considerados instrumentos de gran valor que permiten a las empresas prevenir, detectar y responder de manera rápida a conductas prohibidas por la Ley 15/2007, de 3 de julio, de Defensa de la Competencia.
Finalmente, debe destacarse que, entre los servicios ofrecidos por el Departamento de Compliance de Molins Defensa Penal se incluye el diseño, desarrollo e implementación de Sistemas de Compliance en materia de Derecho de competencia, ya sean estos sistemas independientes o integrados en un sistema de cumplimiento normativo de mayor alcance.
Departamento de Compliance de Molins Defensa Penal.
Jurisprudencia reciente del Tribunal Supremo sobre Compliance – Compliance Keys #24
#Compliancekeys24
Tras más de (10) diez años desde la introducción de la responsabilidad penal de las personas jurídicas en el Código Penal español, el Tribunal Supremo ha tenido la oportunidad de pronunciarse respecto cuestiones con afectación en materia de Compliance en numerosas y diversas ocasiones.
Así, en el presente ComplianceKeys24 se ofrecerá un listado de las sentencias más relevantes del Tribunal Supremo en materia de Compliance de los últimos dos (2) años:
Jurisprudencia del Tribunal Supremo en materia de Compliance | ||
Año | Sentencia | Cuestiones destacadas |
2022 | STS 36/2022, de 20 de enero |
El Tribunal Supremo condena a la persona jurídica y a su administrador por un delito de estafa. Entiende el Tribunal que no existe doble condena por el mismo hecho (bis in idem) en tanto el administrador no es el socio propietario del capital social de la persona jurídica. En consecuencia, la condena no supone una doble penalidad. |
STS 56/2022, de 24 de enero |
El Tribunal Supremo analiza las facultades de acceso del empresario al correo corporativo de los trabajadores. En particular, el Alto Tribunal desestima el recurso de casación presentado para entender que el registro sobre el correo electrónico corporativo de los trabajadores que presuntamente habían cometido irregularidades vulnera sus derechos de privacidad, en tanto la medida de control empresarial se había realizado obviando las garantías necesarias. |
|
STS 264/2022, de 18 de marzo |
Desestima la posibilidad de hacer penalmente responsable a una sociedad unipersonal en atención a su carácter plenamente instrumental . Concretamente, el Tribunal entiende que, dado que la sociedad cuenta con un único socio y administrador, el patrimonio del cual se confunde y se diluye con el de la persona jurídica, no puede condenarse a esta.Se alega que la persona jurídica carece de un desarrollo organizativo suficiente que la diferencie de la persona física. En consecuencia, no puede aplicarse el artículo 31 bis del Código Penal dada la imposibilidad de diferenciar entre la persona física (socio y administrador) de la persona jurídica y la inviabilidad de implantar en esta un programa de cumplimiento normativo. |
|
STS 747/2022, de 27 de julio |
El Tribunal Supremo excluye la condena de la persona jurídica en virtud del principio del non bis in idem en tanto se trata de una sociedad unipersonal que corresponde al cien por cien (100%) a la persona física condenada. En particular, el Alto tribunal entiende que cuando el condenado penalmente como persona física es titular exclusivo de la sociedad, no resulta posible sancionar también a la persona jurídica. |
|
STS 792/2022, de 29 de septiembre |
Aborda y mantiene, principalmente por aspectos procesales, la imposición de la suspensión de actividades a una empresa por un plazo de dos (2) años por la comisión de un delito contra los derechos de los trabajadores al amparo de los artículos 129.3 y 33.7.c) del Código Penal. |
|
STS 813/2022, de 14 de octubre |
Aboga por la necesidad de implementar programas de cumplimiento normativo / Sistemas de Compliance en las empresas también para evitar y prevenir el fraude interno y el perjuicio económico para las empresas. |
|
2023 | STS 1014/2022, de 13 de enero de 2023 |
El Tribunal Supremo, a modo de apunte, se pronuncia en la presente resolución respecto la eficacia de los Sistemas de Compliance para evitar aquellas conductas delictivas de las que las compañías pueden ser víctimas. En este sentido, los Sistemas de Compliance no solamente mitigarían las conductas que pueden generar una posible responsabilidad penal corporativa, sino que dificultan lo que el Alto Tribunal denomina “autopuesta en peligro”. Así pues, el Tribunal Supremo considera que, si bien, las conductas enjuiciadas no pueden suponer la responsabilidad penal de la persona jurídica (se trata de delitos de apropiación indebida, los cuales no son susceptibles de generar la atribución de responsabilidad penal de la persona jurídica conforme el artículo 31 bis del Código Penal), de los que además habría sido víctima la propia persona jurídica (un club deportivo), estas podrían haberse evitado con medidas de control destinadas a evitar el abuso de relaciones personales (mediante controles relativos a apoderamientos, por ejemplo). En este sentido, también, Sentencia de la Audiencia Provincial de Madrid 90/2023, de 22 de febrero de 2023. |
STS 89/2023, de 10 de febrero |
En la presente resolución el Tribunal Supremo resuelve en casación respecto el famoso “Caso Pescanova”. Entre otras cuestiones en materia de responsabilidad penal de las personas jurídicas, destaca el análisis que en la presente sentencia se lleva a cabo respecto el elemento del “beneficio directo o indirecto”, exigido tanto en los supuestos de la letra a) (delitos cometidos por directivos) como en los propios de la letra b) (delitos cometidos por trabajadores) del artículo 31 bis del Código Penal, para atribuir responsabilidad penal a las personas jurídicas. Señala el Tribunal Supremo que, en realidad, lo que el artículo 31 bis del Código Penal exige, como elemento indispensable para que pueda asentarse la responsabilidad penal de la persona jurídica, no es que la misma haya obtenido como consecuencia de los delitos cometidos en su nombre o por su cuenta un beneficio real, directo o indirecto, sino que aquellos hechos delictivos se hubieran cometido “en beneficio” de la misma. Así pues, las personas jurídicas pueden resultar condenadas por conductas delictivas que, incluso, les hayan causado algún tipo de perjuicio, cuando originalmente se hubieran llevado a cabo con el fin de reportarle alguna clase de beneficio, directo o indirecto. |
|
STS 321/2023, de 9 de mayo |
El Tribunal Supremo, en la presente decisión, estima el recurso del Ministerio Fiscal en el sentido que la responsabilidad penal de la persona jurídica no excluye la responsabilidad penal individual, esto es, de los autores materiales de las conductas delictivas. En este sentido, el Ministerio Fiscal y el Alto Tribunal convienen que el sistema de responsabilidad penal de las personas jurídicas complementa al de las personas físicas, pero no lo sustituye. No se trata de decidir si las consecuencias penales han de ser asumidas por la persona natural o por la jurídica, sino si, además de la persona física, debe sancionarse penalmente a la entidad por cuya cuenta actuó. Procederá esa doble sanción cuando se den las condiciones establecidas en el artículo 31 bis del Código Penal. Finalmente, establece que solamente si se pudiera identificar a la persona jurídica con el responsable penal (supuestos de entidades de muy reducidas dimensiones, por ejemplo) cabría renunciar a una de las condenas (la de la persona jurídica) para no lesionar la prohibición de ne bis in idem (castigar dos veces a una misma persona, por los mismos hechos, con el mismo fundamento). |
Departamento de Compliance de Molins Defensa Penal.
¿Qué es el canal ético?
Los canales éticos, han adquirido una gran relevancia desde la reciente y novedosa publicación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante Ley 2/2023).
Si bien la Ley 2/2023 ha impulsado que todas las empresas españolas de más de cincuenta (50) empleados/as cuenten con un sistema de información de forma obligada, el canal ético ya era una herramienta indispensable y clave para cualquier Sistema de Compliance, en tanto es un requisito del artículo 31 bis 5.2 del Código Penal español para los “modelos de organización y gestión”. Asimismo, también se trata de un elemento esencial de cualquier norma técnica en Compliance a nivel nacional e internacional. Es más, existe incluso la norma ISO 37002:2021 relativa a sistemas de gestión de canales de denuncias (whistleblowing management systems).
En este sentido, el canal ético podría definirse como el medio por el cual las organizaciones permiten canalizar consultas o denuncias que guarden relación con sospechas de comportamientos infractores o malas praxis dentro de las mismas. Asimismo, el canal posibilita que la organización sea conocedora, respetando el anonimato, de irregularidades, incumplimientos, infracciones, o, vulneraciones de la legislación vigente o la normativa interna de la organización (como el Código Ético y demás políticas y protocolos) por parte de los empleados/as, o incluso por terceros que con ella se relacionan.
Uno de los objetivos principales del canal ético es el fortalecimiento de la cultura de la información e integridad en las organizaciones, como mecanismo para prevenir y detectar amenazas al interés público y privado. De esta forma, se muestra el compromiso con los empleados/as y partes interesadas, generando confianza y demostrando que los asuntos y preocupaciones que se comuniquen serán procesados apropiadamente.
El canal ético puede tener diferentes formatos, siempre cumpliendo con los requisitos establecidos en la Ley 2/2023, de 20 de febrero, por ejemplo:
- Un software creado y habilitado para tal uso. Es la opción más popular.
- Un formulario en la web.
- Una dirección de correo postal.
- Una línea de teléfono.
Además de las mencionadas modalidades, la citada Ley 2/2023, de 20 de febrero, prevé distintas configuraciones, como puede ser, la reunión presencial a solicitud del comunicante.
Más allá de la obligación legal, la implantación de un canal ético significa también una ventaja competitiva ante el público interno o externo de la organización, puesto que, a grandes rasgos, y entre otros:
- Determina una imagen de transparencia, en tanto que se permite una comunicación libre y confidencial, entre las bajas y altas esferas de la organización, proyectándose la capacidad de la misma de hacer frente adecuadamente a los conflictos que se susciten.
- Representa una muestra de compromiso, poniendo en alce los valores éticos de la organización y estableciendo mecanismos efectivos para evitar posibles irregularidades.
- Reduce los costes reputaciones y económicos, puesto que detectar anticipadamente los incumplimientos reduce considerablemente su impacto.
- Mantiene un crecimiento sólido y equilibrado en la organización.
- Fomenta un clima laboral basado en el respeto y la ética.
En conclusión, el canal ético es un elemento vital de prevención en las organizaciones, puesto que nadie conoce mejor las irregularidades que se cometen en las mismas que quienes están dentro, de manera que contar con un instrumento que permita comunicar estos hechos se presenta como un gran beneficio para cualquier organización, que deberá esforzarse en fomentar su uso y llevar a cabo un procedimiento de gestión adecuado.
Departamento de Compliance de Molins Defensa Penal.
Ampliación de los delitos por los que puede responder la persona jurídica y su afectación a los sistemas de compliance
En fecha de 7 de septiembre de 2022 se ha publicado al Boletín Oficial del Estado (BOE) la nueva Ley Orgánica 10/2022, de 6 de septiembre, de garantía integral de la libertad sexual con el objetivo de adoptar medidas efectivas, global y coordinadas entre las diferentes administraciones públicas para garantizar una protección integral frente cualquier forma de violencia sexual.
En concreto, se establecen diferentes acciones de prevención y sensibilización y, entre ellas, se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Así, la nueva Ley Orgánica 10/2022 y, consecuentemente, la reforma al Código Penal, entrará en vigor a los treinta (30) días de su publicación en el BOE.
Las modificaciones del Código Penal en relación a la responsabilidad penal de la persona jurídica y con implicación en materia de Compliance son las siguientes:
- Modificación del artículo 173.1, introduciendo la responsabilidad penal para la persona jurídica:
“1. El que infligiera a otra persona un trato degradante, menoscabando gravemente su integridad moral, será castigado con la pena de prisión de seis meses a dos años.
Con la misma pena serán castigados los que, en el ámbito de cualquier relación laboral o funcionarial y prevaliéndose de su relación de superioridad, realicen contra otro de forma reiterada actos hostiles o humillantes que, sin llegar a constituir trato degradante, supongan grave acoso contra la víctima.
Se impondrá también la misma pena al que de forma reiterada lleve a cabo actos hostiles o humillantes que, sin llegar a constituir trato degradante, tengan por objeto impedir el legítimo disfrute de la vivienda.
Cuando de acuerdo con lo establecido en el artículo 31 bis, una persona jurídica sea responsable de los delitos comprendidos en los tres párrafos anteriores, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los Jueces y Tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.”
- Modificación del artículo 184.5, introduciendo la responsabilidad penal para la persona jurídica:
“1. El que solicitare favores de naturaleza sexual, para sí o para un tercero, en el ámbito de una relación laboral, docente, de prestación de servicios o análoga, continuada o habitual, y con tal comportamiento provocare a la víctima una situación objetiva y gravemente intimidatoria, hostil o humillante, será castigado, como autor de acoso sexual, con la pena de prisión de seis a doce meses o multa de diez a quince meses e inhabilitación especial para el ejercicio de la profesión, oficio o actividad de doce a quince meses.
2. Si el culpable de acoso sexual hubiera cometido el hecho prevaliéndose de una situación de superioridad laboral, docente o jerárquica, o sobre persona sujeta a su guarda o custodia, o con el anuncio expreso o tácito de causar a la víctima un mal relacionado con las legítimas expectativas que aquella pueda tener en el ámbito de la indicada relación, la pena será de prisión de uno a dos años e inhabilitación especial para el ejercicio de la profesión, oficio o actividad de dieciocho a veinticuatro meses.
3. Asimismo, si el culpable de acoso sexual lo hubiera cometido en centros de protección o reforma de menores, centro de internamiento de personas extranjeras, o cualquier otro centro de detención, custodia o acogida, incluso de estancia temporal, la pena será de prisión de uno a dos años e inhabilitación especial para el ejercicio de la profesión, oficio o actividad de dieciocho a veinticuatro meses, sin perjuicio de lo establecido en el artículo 443.2.
4. Cuando la víctima se halle en una situación de especial vulnerabilidad por razón de su edad, enfermedad o discapacidad, la pena se impondrá en su mitad superior.
5. Cuando de acuerdo con lo establecido en el artículo 31 bis, una persona jurídica sea responsable de este delito, se le impondrá la pena de multa de seis meses a dos años. Atenidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.”
Las modificaciones anteriores suponen una ampliación del catálogo de delitos numerus clausus establecidos en el Código Penal que pueden conllevar responsabilidad penal para la persona jurídica y tiene una afectación directa en materia de Compliance.
- Modificación del artículo 189 ter, sobre los delitos relativos a la prostitución y a la explotación sexual y corrupción de menores, introduciendo la pena de disolución como sanción imperativa.
- Modificación del artículo 197, relativo a los delitos de descubrimiento y revelación de secretos. Concretamente, se añade la siguiente conducta típica: «Se impondrá la pena de multa de uno a tres meses a quien habiendo recibido las imágenes o grabaciones audiovisuales a las que se refiere el párrafo anterior las difunda, revele o ceda a terceros sin el consentimiento de la persona afectada».
Con todo, la reforma del Código Penal introducida por la Ley Orgánica 10/2022 afecta directamente a los Sistemas de Compliance de las entidades españolas, que deberán adecuarlos para asegurar el cumplimiento de estas nuevas disposiciones.
Departamento de Compliance de Molins Defensa Penal.
Nota sobre la Resolución de la Autoridad Catalana de la Competencia (ACCO), de 28 de abril de 2022, por la que se aprueban las bases reguladoras del procedimiento para la concesión de subvenciones a empresas destinadas a la financiación de Programas de Compliance en materia de competencia.
La Autoridad Catalana de la Competencia (en adelante, la ACCO) pretende fomentar el desarrollo de Programas de Compliance en materia de competencia en las empresas, a través de la concesión de subvenciones que financien los gastos de contratación de expertos externos para la elaboración e implantación de estos programas.
Las subvenciones que la ACCO pretende conceder van dirigidas a empresas que tengan el domicilio social o una delegación u oficina en el territorio de Cataluña y que tengan la consideración de pyme. Esto es, a empresas con menos de 250 trabajadores, con un volumen de negocios anual no superior a 50 millones de euros y un balance general anual que no exceda los 43 millones de euros.
Concretamente, en la Resolución de 28 de abril de 2022, la ACCO establece las bases reguladoras para el procedimiento de concesión de estas subvenciones, entre las cuales destacan los criterios mínimos que debe contener el Programa de Compliance para que este pueda ser subvencionable:
- Integrar el cumplimiento de la normativa de defensa de la competencia en la cultura corporativa de la empresa. – Debe subscribirse una declaración del personal directivo de la empresa ratificando su compromiso con el cumplimiento de las normas de defensa de la competencia, y hacerse constar en el Código Ético o de Conducta de la empresa.
- Contar con un responsable del diseño y el control del Programa de Compliance (Compliance Officer). – Debe encargarse de (i) identificar los riesgos de posibles conductas restrictivas de la competencia en la empresa; (ii) establecer los protocolos de prevención, detección y reacción de incumplimientos; (iii) gestionar el canal de denuncias; y (iv) reportar a la alta dirección, entre otras funciones.
- Mapa de riesgos / Matriz de controles. – Debe identificarse los riesgos relacionados con la competencia, su nivel de riesgo, probabilidad e impacto. Asimismo, debe desarrollarse un conjunto de protocolos y mecanismos para su prevención, detección y reacción.
- Formación y sensibilización. – Debe llevarse a cabo un conjunto de acciones de información/sensibilización, mediante la elaboración de un manual o guía informativa, así como un plan de formación y un registro de las acciones formativas.
- Canal de denuncias. – Debe facilitarse un canal para comunicar posibles infracciones, de modo que sea accesible a todos los trabajadores, confidencial y protector ante posibles represalias. Asimismo, deberá cumplir con los requisitos exigidos en la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
- Medidas disciplinarias e incentivadoras. – Deben preverse y adoptarse medidas disciplinarias en caso de incumplimiento, así como medidas incentivadoras dirigidas al cumplimiento o la colaboración.
- Monitorización, actualización y mejora continua. – Debe llevarse a cabo una monitorización periódica de la implementación del Programa, así como la actualización de sus principales elementos.
Departamento de Compliance de Molins Defensa Penal.
Orden del Ministerio de Hacienda y Función Pública: nuevas obligaciones de cumplimiento en el sector público
La reciente orden ministerial publicada por el Ministerio de Hacienda y Función Pública ha abierto nuevamente el debate acerca de la necesidad de que las entidades públicas sigan el mismo curso que el sector privado e incorporen medidas de control y gestión que garanticen un cumplimiento ético y normativo en el desarrollo de sus competencias (programas de cumplimiento).
A pesar de que las disposiciones en materia de responsabilidad penal de las personas jurídicas no son aplicables a la Administración Pública (artículo 31 quinquies 1º del Código Penal), a excepción de las sociedades mercantiles públicas que ejecuten políticas públicas o presten servicios de interés económico general (artículo 31 quinquies 2º del Código Penal), son varios ya los textos legales que, en mayor o menor medida, imponen una serie de deberes de control y buena gestión en las entidades públicas.
En este sentido, el pasado 29 de septiembre se dictaminó la Orden HFP/1030/2021 por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia por parte del Ministerio de Hacienda y Función Pública. Entre otros aspectos, esta Orden establece una serie de obligaciones para las entidades públicas con capacidad de decisión o ejecución sobre fondos relativos al Plan de Recuperación Transformación y Resiliencia, instrumento promovido por la Unión Europea orientado a mitigar los impactos de la COVID-19, entre otros objetivos.
Concretamente, en su artículo 6º, se determina la necesidad de que estas entidades públicas refuercen sus mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses. Concretamente, obliga a disponer de un «Plan de medidas antifraude», que debe ser aprobado en un plazo inferior a 90 días desde la entrada en vigor de la Orden, esto es, el 1 de octubre de 2021.
Asimismo, se imponen también una serie de deberes de identificación de los beneficiarios de ayudas, contratistas y subcontratistas, esto es, una suerte de medidas de diligencia debida con estos terceros, así como medidas para asegurar la compatibilidad con el régimen de ayudas del Estado y para prevenir la doble financiación.
Estas obligaciones se suman a otras ya existentes en materia anticorrupción. Por ejemplo, en el artículo 64 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, relativo a la lucha contra la corrupción y prevención de los conflictos de intereses, se insta a los órganos de contratación públicos a tomar medidas contra el fraude, el favoritismo y la corrupción y, en especial, a prevenir, detectar y solucionar los conflictos de intereses que puedan surgir en los procedimientos de licitación.
Finalmente, cabe recordar que las disposiciones sobre canales de denuncia y protección a los informantes recogidas en la Directiva de la Unión Europea 2019/1937 de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, también conocida como Directiva Whistleblowing, resultan igualmente aplicables a las entidades públicas, tal y como señala el propio artículo 4º de la Directiva.
Por tanto, todos estos requisitos legales refuerzan la idea de que las entidades públicas, en tanto sujetos sometidos a derecho público y agentes relevantes en el tráfico jurídico-mercantil, deben adoptar programas de cumplimiento que incorporen mecanismos de control y correcta gestión de sus recursos y competencias.
Jordi Buxó, Abogado del Departamento de Compliance de Molins Defensa Penal.
Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia
La citada Ley Orgánica introduce importantes modificaciones de la Ley de Enjuiciamiento Criminal y del Código Penal, cuya entrada en vigor es el próximo 24 de junio. Como señala el preámbulo de la misma:
1.- La disposición final primera está dedicada a la modificación de la Ley de Enjuiciamiento Criminal.
En los apartados primero y segundo se otorga una mayor seguridad jurídica tanto a las víctimas como a las personas perjudicadas por un delito. Así, se modifican los artículos 109 bis y 110 reflejando la actual jurisprudencia que permite la personación de las mismas, una vez haya transcurrido el término para formular el escrito de acusación, siempre que se adhieran al escrito de acusación formulado por el Ministerio Fiscal o por el resto de las acusaciones personadas. De esta forma, se garantiza el derecho a la tutela judicial efectiva de las víctimas del delito a la vez que se respeta el derecho de defensa de las personas investigadas.
En el tercer apartado se modifica el artículo 261 y se establece una excepción al régimen general de dispensa de la obligación de denunciar, al determinar la obligación de denunciar del cónyuge y familiares cercanos de la persona que haya cometido un hecho delictivo cuando se trate de un delito grave cometido contra una persona menor de edad o con discapacidad necesitada de especial protección, adaptando nuestra legislación a las exigencias del Convenio de Lanzarote. Igualmente, en el apartado cuatro se modifica el artículo 416, de forma que se establecen una serie de excepciones a la dispensa de la obligación de declarar, con el fin de proteger en el proceso penal a las personas menores de edad o con discapacidad necesitadas de especial protección.
Los apartados quinto a decimocuarto regulan de forma completa y sistemática la prueba preconstituida, fijándose los requisitos necesarios para su validez. Además, se modifica la regulación de las medidas cautelares con carácter penal y de naturaleza civil que pueden adoptarse durante el proceso penal y que puedan afectar de cualquier modo a personas menores de edad o con discapacidad necesitadas de especial protección.
En relación con la prueba preconstituida es un instrumento adecuado para evitar la victimización secundaria, particularmente eficaz cuando las víctimas son personas menores de edad o personas con discapacidad necesitadas de especial protección. Atendiendo a su especial vulnerabilidad se establece su obligatoriedad cuando el testigo sea una persona menor de catorce años o una persona con discapacidad necesitada de especial protección. En estos supuestos la autoridad judicial, practicada la prueba preconstituida, solo podrá acordar motivadamente su declaración en el acto del juicio oral, cuando, interesada por una de las partes, se considere necesario.
Por tanto, se convierte en excepcional la declaración en juicio de los menores de catorce años o de las personas con discapacidad necesitadas de especial protección, estableciéndose como norma general la práctica de la prueba preconstituida en fase de instrucción y su reproducción en el acto del juicio evitando que el lapso temporal entre la primera declaración y la fecha de juicio oral afecten a la calidad del relato, así como la victimización secundaria de víctimas especialmente vulnerables.
2.- La disposición final sexta relativa a la modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, incorpora diferentes modificaciones de importante calado.
Se da una nueva regulación a los delitos de odio, comprendidos en los artículos 22.4, 314, 511, 512 y 515.4 del Código Penal. Para ello, la edad ha sido incorporada como una causa de discriminación, en una vertiente dual, pues no solo aplica a los niños, niñas y adolescentes, sino a otro colectivo sensible que requiere amparo, como son las personas de edad avanzada. Asimismo, dentro del espíritu de protección que impulsa este texto legislativo, se ha aprovechado la reforma para incluir la aporofobia y la exclusión social dentro de estos tipos penales, que responde a un fenómeno social en el que en la actuación delictiva subyace el rechazo, aversión o desprecio a las personas pobres, siendo un motivo expresamente mencionado en el artículo 21 de la Carta de Derechos Fundamentales de la Unión Europea.
Se extiende el tiempo de prescripción de los delitos más graves cometidos contra las personas menores de edad, modificando el día de comienzo de cómputo del plazo: el plazo de prescripción se contará a partir de que la víctima haya cumplido los treinta y cinco años de edad. Con ello se evita la existencia de espacios de impunidad en delitos que estadísticamente se han probado de lenta asimilación en las víctimas en el plano psicológico y, muchas veces, de tardía detección.
Se elimina el perdón de la persona ofendida como causa de extinción de la responsabilidad criminal, cuando la víctima del delito sea una persona menor de dieciocho años, completando de este modo la protección de los niños, niñas y adolescentes ante delitos perseguibles a instancia de parte.
Se configura como obligatoria la imposición de la pena de privación de la patria potestad a los penados por homicidio o por asesinato en dos situaciones: cuando el autor y la víctima tuvieran en común un hijo o una hija y cuando la víctima fuera hijo o hija del autor.
Se incrementa la edad a partir de la que se aplicará el subtipo agravado del delito de lesiones del artículo 148.3, de los doce a los catorce años, puesto que resulta una esfera de protección más apropiada en atención a la vulnerabilidad que se manifiesta en la señalada franja vital.
Se modifica la redacción del tipo agravado de agresión sexual, del tipo de abusos y agresiones sexuales a menores de dieciséis años y de los tipos de prostitución y explotación sexual y corrupción de menores (artículos 180, 183, 188 y 189) con el fin de adecuar su redacción a la realidad actual y a las previsiones de la presente ley. Además, se modifica el artículo 183 quater, para limitar el efecto de extinción de la responsabilidad criminal por el consentimiento libre del menor de dieciséis años, únicamente a los delitos previstos en los artículos 183, apartado 1, y 183 bis, párrafo primero, inciso segundo, cuando el autor sea una persona próxima a la persona menor por edad y grado de desarrollo o madurez física y psicológica, siempre que los actos no constituyan un atentado contra la libertad sexual de la persona menor de edad.
Se modifica el tipo penal de sustracción de personas menores de edad del artículo 225 bis, permitiendo que puedan ser sujeto activo del mismo tanto el progenitor que conviva habitualmente con la persona menor de edad como el progenitor que únicamente lo tenga en su compañía en un régimen de estancias.
Por último, se crean nuevos tipos delictivos para evitar la impunidad de conductas realizadas a través de medios tecnológicos y de la comunicación, que producen graves riesgos para la vida y la integridad de las personas menores edad, así como una gran alarma social. Se castiga a quienes, a través de estos medios, promuevan el suicidio, la autolesión o los trastornos alimenticios entre personas menores de edad, así como la comisión de delitos de naturaleza sexual contra estas. Además, se prevé expresamente que las autoridades judiciales retirarán estos contenidos de la red para evitar la persistencia delictiva.
Por Jorge Navarro, socio y abogado penalista del despacho Molins Defensa Penal.