El significado del Compliance Officer (o Agente de Seguridad) en las empresas

A la hora de definir la figura del Compliance Officer o Agente de Seguridad (como prefieren denominarlo instituciones que velan por el significado en español como la Fundéu del BBVA) es mucho más fácil empezar por sus funciones. Este nuevo encargado de la protección de datos de una organización, nace y tiene su auge con el Reglamento General de Protección de Datos de la Unión Europea (RGPD), del 2016.

Según la nueva legislación, que se ampliaría con la entrada en vigor en diciembre de 2018 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), en cada organización, por pequeña o grande que sea la empresa, deberá haber un encargado de la seguridad. Abarcando materias como la confidencialidad o la misma destrucción de documentos sensibles.

Las funciones del Compliance Office o Agente de Seguridad

Así la normativa vigente, las funciones del Compliance Officer, que si la empresa tiene un gran número de empleados o volumen de negocio, se puede convertir en un departamento entero, se podrían resumir en las siguientes:

  • Identificar los posibles riesgos de comisión de delitos en la organización.
  • Integrar las obligaciones contenidas en el sistema de gestión para la prevención de delitos, con las políticas, procedimientos y procesos ya existentes.
  • Proporcionar apoyo formativo e informativo a toda la plantilla, de forma regular.
  • Identificar, evaluar y controlar, los riegos de comisión de delitos en la organización de empleados.
  • Identificar, evaluar y controlar, los riegos de comisión de delitos en la organización de terceras partes tales como proveedores, agentes, contratistas, distribuidores,…
  • Asegurar el acceso a un asesoramiento profesional y adecuado para el establecimiento, implementación y mantenimiento del sistema.
  • Asegurar la revisión y auditoria regulares del sistema.
  • Gestión de las posibles denuncias.
  • Asegurar la independencia y la ausencia de conflicto de intereses.
  • Análisis preliminar de la información.
  • Determinación de la necesidad de investigación.
  • Instrucción del expediente y elaboración de una propuesta de resolución.

El Compliance en las fugas de seguridad

Aún con la posibilidad que otorga la ley de contar con un agente personalizado, puede que haya casos en los que sea más aconsejable para la pequeña y mediana empresa que la función de Compliance Officer esté ostentada por un órgano colegiado para poder dividir tanto las funciones como la toma de decisiones y responsabilidades. Esto es algo clave, ya no solo en cuanto al Compliance Officer, sino en referencia a todo el programa de Compliance en sí, ya que una de las medidas más importantes de disminución de riesgos penales es que exista una disgregación en las funciones a desempeñar.

Empresas como Rapinformes, que lleva más de dos décadas en el sector y ha organizado las funciones de más de un centenar de empresas desde la entrada en vigor de la nueva ley, ofrecen esta último posibilidad. Por ello, estaremos encantados de atenderte escribiendo un correo electrónico a rapinformes@rapinformes.es o llamando al 91 555 45 55.

El Compliance Penal ante la comisión de delitos en la empresa

Autores materiales y responsabilidades

La importancia del Compliance, más allá de cumplir con la legislación vigente y estar al día en caso de inspección, viene justificada por su actuación en el hipotético caso de actividad delictiva en la organización. Por ello, es importante aclarar que solo podrán ser declaradas como punibles aquellas acciones públicas que hayan llevado a cabo los representantes legales o personas autorizadas para la toma de decisiones en nombre de la persona jurídica. Se aquí también incluyen aquellos empleados que tengan facultades de organización y control dentro de ésta.

Además, también podrán ser acusados y castigados aquellos empleados sometidos a la autoridad de los representantes legales o administradores. De la misma manera, cabe aclarar que el delito (o presunto delito) debe haber sido cometido en el ejercicio de actividades sociales o en nombre o por cuenta de la persona jurídica y en su beneficio directo o indirecto.

¿Cuándo es exigible responsabilidad penal?

La responsabilidad, por la que tendrá que velar el delegado de seguridad, será exigible siempre que:

  • Se constate la comisión de un delito.
  • El delito haya sido cometido por: representantes legales, administradores o empleados.

De esta manera, no afectarán a la responsabilidad penal de la persona jurídica los siguientes hechos relativos a la persona que cometió el hecho delictivo ni su fallecimiento, ni su desaparición (encontrarse en paradero desconocido) o en el hipotético de que oncurriese alguna circunstancia modificativa relativa a la culpabilidad.

¿Cuándo NO es exigible la responsabilidad penal?

Un buen Compliance Officer, ocupe el rango que ocupe en la jerarquía de la empresa, debe tener claro que la responsabilidad penal no es exigible cuando se hable de delitos cometidos por el administrador o representante legal, existieran antes de la comisión del delito medidas de vigilancia y control idóneas para su prevención, el delito hubiera sido cometido eludiendo fraudulentamente los modelos de organización y prevención, o siempre que las tareas de vigilancia, estructuración y salvaguardado de la información sensible hayan sido adecuadas a la misma, velando por una correcta protección de datos.

Tampoco será exigible la responsabilidad cuando se trate de delitos cometidos por empleados o en el caso de que, antes de la comisión del delito, se hubieran adoptado y ejecutado de manera eficaz un modelo de prevención de delitos penales.

Riesgos a los que debe hacer frente el Compliance Officer penal

Es importante que el agente de seguridad esté atento a las siguientes materias punibles por ley:

  • Estafas y fraudes.
  • Delito de blanqueo de capitales y contra la Protección de Datos
  • Coacciones.
  • Delitos contra los trabajadores cometidos mediante engaño o abuso de su situación de necesidad.
  • Delitos contra la intimidad y allanamiento informático.
  • Falsedad en medios de pago.
  • Delitos contra los derechos de los ciudadanos extranjeros.
  • Delitos contra los derechos fundamentales y las libertades públicas.
  • Delitos contra el medio ambiente.
  • Cohecho.
  • Delitos de construcción, edificación o urbanización ilegal.
  • Insolvencia punible.
  • Cohecho, tráfico de influencias y corrupción.
  • Delitos contra la salud pública (drogas/alcohol)

Recomendaciones de seguridad derivadas para el Compliance

Además de las recomendaciones de cara a la protección legal de la empresa, que sí gozan de un carácter más imperativo, existen una serie de recomendaciones de uso diario que conviene tener en cuenta para velar por el cumplimiento de la nueva ley y, además, evitar fugas de información:

  • Protocolos de acceso a la información mediante registro, usuario único o rastro digital.
  • Copias de seguridad, preferiblemente con ubicación fuera de la empresa o en red (nube), para protegerlas de accidentes o robos.
  • Sincronización de servidores en red con subida a la nube.
  • Establecimiento de un sistema de respaldo informático inmediato, además del servicio técnico.
  • Archivos encriptados, preferiblemente a través de tecnología blockchain de punta a punta.
  • Destrucción de documentos (a través de trituradora o empresa homologada).
  • Limitar el uso de aplicaciones no corporativas (correo personal, almacenamiento en la nube) y controlar el uso de los dispositivos externos. Por ejemplo, un empleado puede subir un contenido a una red social personal que comprometa los datos personales de un cliente de manera no intencionada.
  • Controlar el período de vida de los soportes y equipos, vigilando su obsolescencia y su desgaste. Es importante borrar toda la información que tenían, de forma que no quede rastro de su uso previo.