Descubre las píldoras post VI Encuentro CUMPLEN
MESA REDONDA:
GESTIÓN DE RIESGOS A TERCEROS:
MÁS ALLÁ DEL CONTROL DE PROVEEDORES
GESTIÓN DE RIESGOS A TERCEROS:
MÁS ALLÁ DEL CONTROL DE PROVEEDORES
Moderador: D. Carlos A. Sáiz Peña Presidente de CUMPLEN - Socio de Ecix Group
Ponentes:
Dª. Ana Belén Matellano - Compliance Expert Axesor Business Services
Dª. Sandra Llamera - Chief Global Compliance en Pharmamar
D. Ignacio Méndez de Vigo De Elorriaga - Chief Compliance Officer de El Corte Inglés S.A.
****
Durante el transcurso de la mesa se han puesto de manifiesto interesantes reflexiones:
- Resulta fundamental en un Sistema de Compliance realizar labores de diligencia debida a proveedores, no solo en los procesos de homologación inicial, sino de una manera continua. Es fundamental tener la flexibilidad y las capacidades para adaptarse a los diferentes que la compañía quiera mitigar, así como de nuevas materias o normas que debamos incluir en el alcance de ese control tales como protección de datos, ciberseguridad, continuidad de negocio, etc.
- Las compañías de un cierto tamaño manejan listados con miles de proveedores por lo que es vital implantar un sistema que permita automatizar parte de esta tarea gracias a las diferentes tecnologías que existen y priorizar en base a criterios de riesgos. De esta manera se podrá conseguir un sistema de control de riesgos de terceros manejable, escalable y adaptado a los riesgos reales de la organización.
- Las labores de diligencia debida y control de terceras partes no solo debe realizarse con el colectivo de proveedores, sino que resulta importante identificar otras categorías de “terceras partes” que son importantes para nuestra organización, tales como colaboradores, franquicias, compañías con las que se va a crear una UTE, operaciones de M&A, etc.
MESA REDONDA:
TRANSPARENCIA Y PROTECCIÓN DE DATOS PERSONALES
TRANSPARENCIA Y PROTECCIÓN DE DATOS PERSONALES
Moderadora: Dª. Berta Balanzategui - European Senior Privacy & Data Protection Counsel - Corporate Privacy Office General Electric. Vocal de la Junta Directiva CUMPLEN
Ponentes:
Dª. Concepción Campos Acuña - Doctora en Derecho, Directiva Pública Profesional y Académica Correspondiente
Dª. Patricia Muleiro Antón - Compliance Officer en Clínica Universitaria de Navarra
D. David Javier Santos Sánchez - Abogado del Estado. Jefe del Gabinete Jurídico de la AEPD
D. José Luis Rodríguez Álvarez - Presidente del Consejo de TRansparencia y Buen Gobierno
****
Hemos tenido ocasión de escuchar en detalle qué significa la transparencia dentro del marco de la Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno, así como dentro del RGPD y la LOPDGDD, y de oír de nuestros ponentes que esta no representa ningún obstáculo y que ambas coexisten sin prevalencia, aunque únicamente la protección de datos personales sea un derecho fundamental.
La aplicación de criterios de ponderación suficientemente razonados que se aplican caso por caso hace que, en la mayoría de los casos, se permita el acceso parcial a los datos solicitados a fin de que la conciliación de ambas normas sea posible. Además, se han publicado criterios conjuntos del Consejo de Transparencia y la AEPD que permiten una interpretación en este sentido.
En cuanto a la transparencia según lo establecido en el RGPD y la LOPDGDD, hay instrumentos dentro de las propias leyes que permiten hacer que la transparencia aparezca junto con la responsabilidad proactiva como elementos clave para asegurar el cumplimiento tanto del Reglamento como de la Ley Orgánica y ejemplo de ello son la intervención del delegado de protección de datos, la realización de evaluaciones de impacto, etc
Preguntas recibidas en la web de Cumplen con anterioridad al VI Encuentro:
Valoración de la AEPD del proyecto de ley reguladora del canal de denuncias en la Administración y, en particular, del papel q se da a la nueva autoridad de control propuesta en él con base en el limitado cuadro de infracciones q se ha definido.
Respuesta de la Mesa: La preparación de la futura ley se encuentra en un estadio temprano por lo que la AEPD aún no ha tenido ocasión de poder realizar ninguna valoración.
Preguntas recibidas durante la mesa redonda:
RS:
Para la AEPD: cuando se conecta por tfno con cualquier organización y se escucha la alocución relativa a que los datos personales/la conversación "pueden" ser grabados, por su experiencia ¿Son realmente grabados? ¿qué criterios son los que se emplean para o bien permitir esa grabación o hacerla necesaria? Muchas gracias
Respuesta de la Mesa: los criterios a emplear para que una conversación pueda ser grabadas sería aquellos recogidos en el RGPD y en la LOPDGDD como, por ejemplo, privacidad en el diseño o la evaluación de impacto. Si son realmente grabados o no, es algo sobre lo que la mesa no se puede manifestar al ser una decisión que incumbiría al responsable del tratamiento.
YC:
Respecto a la LOPD, ¿no estamos normalizando sin embargo los fallos para los que sí está prevista la norma? tenemos un aumento del comercio de datos personales pescados a través de administraciones en transacciones y fallos de seguridad en espacio de ciber seguridad
Respuesta de la Mesa: no entendemos muy bien la pregunta. Es difícil visualizar una situación donde se pueda normalizar un fallo en el cumplimiento de lo establecido en las leyes objeto de la mesa redonda de hoy.
YC:
Respecto a la transparencia, que no consta expresamente, ¿no estaríamos vulnerando derechos fundamentales cuando la falta de transparencia se convierte en un mecanismo que permite la violación de derechos fundamentales? Por ejemplo, el 14 en materia de igualdad
Respuesta de la Mesa: cuando se dice en la pregunta que la transparencia no consta entendemos que se refiere a que no consta como un derecho fundamental. Habría que valorar el supuesto concreto a fin de determinar si existe tal vulneración de derechos fundamentales y con ellos poder aplicar los criterios de ponderación según se ha explicado durante el desarrollo de la mesa redonda.
YC:
Pregunta: Dirigida a David Santos, ponencia transparencia y LOP. ¿no estaríamos en el artículo 18 excediendo la interpretación de un derecho al honor y privacidad en los términos de la LOPD? es habitual que se nos argumente la protección de datos para el encubrimiento de conductas delictivas y obstruir la investigación.
Respuesta de la Mesa: animamos a la persona que realizó la pregunta a que recupere el audio disponible ya que José Luis Rodríguez Álvarez explicó detalladamente este punto.
MESA REDONDA:
CIBERRIESGOS VS COMPLIANCE
CIBERRIESGOS VS COMPLIANCE
Moderadora: Dª. Elena Bascones de la Torre Compliance Officer - Seguros RGA . Vicepresidenta de CUMPLEN
Ponentes:
Dª. Arantxa Sánchez Rodrigo - Directora de Riesgos en Rural Servicios Informáticos S.L.
D. Francisco Pérez Bes - Partner of Digital Law en Ecix Group
D. Ignacio González Ubierna - Subdirector de Tecnologías de Ciberseguridad en Incibe
****
En esta mesa hemos tratado una de las grandes preocupaciones actuales de las empresas como son los ciberriesgos y cómo están abordando las empresas, el reto de la ciberseguridad desde diferentes frentes.
Por un lado, se ha producido un cambio importante en las exigencias normativas para las empresas en este ámbito. Desde la UE se está reforzando este marco normativo y en la actualidad tenemos tres grandes normativas que irán aterrizando en este 2021: la actualización de la Directiva NIS a través de la llamada Directiva NIS2, cuya aprobación se espera en los próximos meses, la propuesta de la Comisión Europea del Reglamento para la Resiliencia operativa digital del sector financiero (DORA) y la propuesta de Directiva sobre la Resiliencia de las Infraestructuras Críticas (CIR). DORA y NIS2 suponen una “vuelta de tuerca” que refuerza ámbitos como el control y la responsabilidad de la alta dirección.
Por otro lado, los retos que se les plantean a las empresas que no sólo están externalizando servicios tecnológicos, sino que además lo están haciendo en entornos cloud. Y, por último, la importancia que tiene en estos momentos la gestión de los riesgos en materia de ciberseguridad (inversión, modelo de gobierno, gestión de incidentes de seguridad, formación), en el entorno actual del teletrabajo y ante la crisis económica que afecta a todas las partidas presupuestarias.
Durante el desarrollo de la mesa, se han ofrecido muchas recomendaciones para mejorar la gestión de los riesgos tecnológicos, tomando como “palanca” el cumplimiento de la regulación y las buenas practicas:
Las empresas no tienen que esperar que las normativas que van a entrar en vigor este año lo hagan, es necesario comenzar de forma inmediata a implantar buenas prácticas en materia de ciberseguridad y las empresas que ya lo están haciendo deber seguir trabajando en la mejora continua. Son normas que exigen políticas y procedimientos que deben ser revisados y testados, es decir, que sirvan para evidenciar la diligencia como prueba preventiva de todas estas normativas, enfocadas a la gestión del riesgo. Es importante por ello, el rol de auditoria y los procesos de auditoria y revisión, tanto en nuestros sistemas internos como a los terceros y a los terceros de los terceros. Las empresas no deben contratar con proveedores, que no cumplan con la regulación, “cumplir no es una opción”.
Es necesario para optimizar los esfuerzos, aunar el trabajo de los equipos de asesoría jurídica, auditoría, sistemas de información, cumplimiento…sobre todo para dar respuesta a la mayor parte de los riesgos tecnológicos y de seguridad, al ritmo que los clientes requieren. No todos los proveedores tecnológicos serán capaces de atender las necesidades de cumplimiento que las empresas requieran.
Las empresas tienen que analizar las exigencias de los reguladores en la gestión de los riesgos tecnológicos y tienen que plantearse si tienen los recursos y la estrategia necesaria para acometerlos.
El CISO en las empresas se está convirtiendo es un “superhéroe” que tiene que coordinar esfuerzos y conocimientos técnicos, legales, organizativos, de formación, pero al cual la normativa ofrece la posibilidad de apoyarse externamente, sin transferir en ningún momento responsabilidad.
La ciberseguridad debe ser vista por las empresas como una inversión y no como un coste, debemos seleccionar y optimizar los costes y su gestión, es momento de invertir para ser más efectivos, integrando en todos los procesos de la compañía la gestión de estos riesgos. Una de las grandes conclusiones que se ha puesto de manifiesto en la mesa, es la reflexión que deben hacer las empresas al valorar sus inversiones, dado que, si la ciberseguridad se considera cara, puede salir más caro a las empresas no tenerla. Un ciberriesgo puede llegar a afectar no sólo a la reputación de una empresa sino a la continuidad de la misma.
Las empresas tienen que ser capaces de gestionar no sólo los riesgos financieros, fiscales, operacionales, penales; sino también los riesgos tecnológicos y de seguridad, cumpliendo con una normativa cada vez más exigente.
En definitiva, las empresas deben adoptar los beneficios de implantar estas regulaciones y aprovechar para implementar sistemas de gestión de riesgos que permitan anticiparnos a cualquier incidente, minimizando los costes para ello. Se deben fomentar medidas de bajo coste y alto impacto, como por ejemplo, el desarrollo de una cultura organizativa en estas materias a través de acciones de formación, concienciación y sensibilización.
MESA REDONDA:
UNA DÉCADA DE COMPLIANCE PENAL:
RESUMEN DE TENDENCIAS Y REPASO DE SENTENCIAS
UNA DÉCADA DE COMPLIANCE PENAL:
RESUMEN DE TENDENCIAS Y REPASO DE SENTENCIAS
Moderador:
D. Miquel Fortuny - Socio Director de Fortuny Legal. Vocal de la Junta Directiva y Delegado CUMPLEN Cataluña
Ponentes:
D. Eloy Velasco Nuñez - Magistrado de la Sala de lo Penal de la Audiencia Nacional
D. Óscar Serrano Zaragoza - Fiscal de Delitos Económicos de la Fiscalía Provincial de Barcelona
D. Miquel Fortuny - Socio Director de Fortuny Legal. Vocal de la Junta Directiva y Delegado CUMPLEN Cataluña
Ponentes:
D. Eloy Velasco Nuñez - Magistrado de la Sala de lo Penal de la Audiencia Nacional
D. Óscar Serrano Zaragoza - Fiscal de Delitos Económicos de la Fiscalía Provincial de Barcelona
****
Durante el transcurso de la mesa se puso de manifiesto la importante y constante evolución que ha tenido el compliance en España, de la mano de la reforma del Código Penal en 2010, alcanzando un grado de desarrollo e integración en las empresas muy relevante.
D. Eloy Velasco destacó la existencia de un cuerpo de 300-400 sentencias en materia de compliance, de diversas instancias penales, dictadas a lo largo de esta década. Dentro del ránking el mayor número han sido impuestas por delito fiscal y blanqueo de capitales. Puso de manifiesto que, pese a existir judicialmente una línea mayoritaria que ya ha clarificado que el régimen de responsabilidad penal corporativa es de autorresponsabilidad, existen todavía aspectos pendientes de maduración judicial. Por ejemplo, aspectos relacionados con la inimputabilidad de la persona jurídica, sociedades unipersonales, así como la ausencia de pronunciamientos que valoren la eficacia de los modelos de cumplimiento normativo implantado antes de la comisión del delito. También expuso la necesidad de que en los próximos años se clarifiquen a nivel judicial los criterios a seguir para determinar la eficacia de un modelo de prevención penal.
Por su parte, D. Óscar Serrano, destacó en su ponencia que el régimen de responsabilidad de la persona jurídica es de autorresponsabilidad por defecto de organización, y que la eficacia del modelo de prevención penal debe predicarse respecto de las concretas medidas de control preexistentes para mitigar el riesgo de comisión del delito cometido. Asimismo, expuso que la pericial económica de compliance es fundamental para la exoneración, debiendo probarse la implementación de medidas de control y de reacción por la empresa, centrándose en un análisis económico de dónde se encontraba el mayor riesgo. Las medidas concretas a adoptar por una empresa para superar sus defectos organizacionales podrían materializarse, en la práctica, en el establecimiento de roles competenciales, el sistema contributivo, los canales de denuncia, entre otras.
¿COMO SON LOS PROYECTOS DED LEY PARA TRANSPONER LA DIRECTIVA DE ALERTADORES?
Moderador: D. Eduardo Navarro - Vicepresidente de Cumplen. Consejero Ejecutivo de Becompliance e ideólogo de CanalDenuncia.app
Ponentes:
D. José Luis Piñar: Catedrático de Derecho Administrativo de la Universidad CEU San Pablo, Presidente de la Sección de Derecho Público de la Comisión General de Codificación y Of Counsel en CMS Albiñana & Suárez de Lezo
Dª. Cristina Fabre: Directora auditoría interna, cumplimiento y riesgos | Presidenta Comité cumplimiento y ética | Enlace Comisión Consejo de Auditoría, Cumplimiento y Riesgos
D. Enrique Benítez - Consejero en Cámara de Cuentas de Andalucía
****
Citaba Eduardo Navarro como había evolucionado los canales de denuncia desde el siglo pasado hasta ahora y como sigue profesionalizándose, pasando del teléfono para denunciar acoso hasta la fecha actual con soluciones integradas que se verán reforzadas y ampliamente extendidas con la transposición de la directiva. Directiva, que D. José Luis Piñar consideró necesaria e informó del estado de situación actual donde, con la fase de consulta pública concluida, había tenido que pedir un mes para gestionar la cantidad de opiniones que se han recibido, remarcando esto el interés que ha despertado esta iniciativa legal. Iniciativa que entidades como Cepsa llevan trabajando muchos años, como remarcó Dª Cristina Fabre, que tuvo orígenes igual en la auditoría interna y recursos humanos pero que aún este año 2021, la mejora del canal de denuncia, seguirá estando entre los puntos a impulsar en la organización. La situación es parecida en el sector público quienes, como remarcó D. Enrique Benítez, disponen de modelos más evolucionados de lo que la sociedad cree, argumentándolo en el reciente estudio donde se podía evidenciar que las grandes entidades públicas ya disponían de modelos de compliance, con todos los elementos mínimos, entre ellos el canal.
Continuó la mesa con las recomendaciones para la implantación y éxito de la transposición de la directiva. Al respecto se recalcó la importancia de que el regulador se dote de un organismo con la responsabilidad de vigilar el cumplimiento legislativo por parte de las organizaciones con un régimen sancionador adecuado. Internamente se hizo especial hincapié en la importancia de comunicar las bondades del canal, de eliminar los sesgos negativos que tradicionalmente han existido de quienes delatan comportamientos y de asegurar todas las garantías para todas las personas afectadas durante el proceso. Desde el punto de vista externó se entendió que convivirán los canales de las propias organizaciones según indica la directiva con canales externos que surgirán de entidades que igualmente recabarán esa información para su gestión, ya sea tipo oficinas antifraude o mediante los medios de comunicación.
Concluyó la mesa, casi sin darnos cuenta, con los mensajes de que la función de gestor de canales acabará siendo una profesión en sí misma, barajando la posibilidad de que el regulador pueda premiar la comunicación de incidencias a través del canal, las necesidades técnicas en las que deben invertir las organizaciones porque los canales actuales no son válidos conforme la directiva y los beneficios que genera en canal en las organizaciones.
Ponentes:
D. José Luis Piñar: Catedrático de Derecho Administrativo de la Universidad CEU San Pablo, Presidente de la Sección de Derecho Público de la Comisión General de Codificación y Of Counsel en CMS Albiñana & Suárez de Lezo
Dª. Cristina Fabre: Directora auditoría interna, cumplimiento y riesgos | Presidenta Comité cumplimiento y ética | Enlace Comisión Consejo de Auditoría, Cumplimiento y Riesgos
D. Enrique Benítez - Consejero en Cámara de Cuentas de Andalucía
****
Citaba Eduardo Navarro como había evolucionado los canales de denuncia desde el siglo pasado hasta ahora y como sigue profesionalizándose, pasando del teléfono para denunciar acoso hasta la fecha actual con soluciones integradas que se verán reforzadas y ampliamente extendidas con la transposición de la directiva. Directiva, que D. José Luis Piñar consideró necesaria e informó del estado de situación actual donde, con la fase de consulta pública concluida, había tenido que pedir un mes para gestionar la cantidad de opiniones que se han recibido, remarcando esto el interés que ha despertado esta iniciativa legal. Iniciativa que entidades como Cepsa llevan trabajando muchos años, como remarcó Dª Cristina Fabre, que tuvo orígenes igual en la auditoría interna y recursos humanos pero que aún este año 2021, la mejora del canal de denuncia, seguirá estando entre los puntos a impulsar en la organización. La situación es parecida en el sector público quienes, como remarcó D. Enrique Benítez, disponen de modelos más evolucionados de lo que la sociedad cree, argumentándolo en el reciente estudio donde se podía evidenciar que las grandes entidades públicas ya disponían de modelos de compliance, con todos los elementos mínimos, entre ellos el canal.
Continuó la mesa con las recomendaciones para la implantación y éxito de la transposición de la directiva. Al respecto se recalcó la importancia de que el regulador se dote de un organismo con la responsabilidad de vigilar el cumplimiento legislativo por parte de las organizaciones con un régimen sancionador adecuado. Internamente se hizo especial hincapié en la importancia de comunicar las bondades del canal, de eliminar los sesgos negativos que tradicionalmente han existido de quienes delatan comportamientos y de asegurar todas las garantías para todas las personas afectadas durante el proceso. Desde el punto de vista externó se entendió que convivirán los canales de las propias organizaciones según indica la directiva con canales externos que surgirán de entidades que igualmente recabarán esa información para su gestión, ya sea tipo oficinas antifraude o mediante los medios de comunicación.
Concluyó la mesa, casi sin darnos cuenta, con los mensajes de que la función de gestor de canales acabará siendo una profesión en sí misma, barajando la posibilidad de que el regulador pueda premiar la comunicación de incidencias a través del canal, las necesidades técnicas en las que deben invertir las organizaciones porque los canales actuales no son válidos conforme la directiva y los beneficios que genera en canal en las organizaciones.
MESA REDONDA:
FUTUROS PROFESIONALES DEL COMPLIANCE
Moderador: D. Carlos A. Sáiz Peña Presidente de CUMPLEN - Socio de Ecix Gropu
Ponentes:
D. Manuel Velasco Carretero - Director de Compliance Cumplimiento Normativo
D. Hernan Huwyler - IT Risk and Control Governance Sr. Leader
Durante el transcurso de la mesa se han puesto de manifiesto interesantes reflexiones:
- La preparación técnica de los profesionales del Compliance es fundamental, pero también la pasión por el ejercicio de esta profesión y el desarrollo de habilidades directivas y “soft skills” entre las que destacan la capacidad de comunicación, conocer el lenguaje del negocio, la evangelización en las diferentes capas de una organización, y el enfoque de riesgos.
- Algunos de los principales retos a los que se van a enfrentar los profesionales del Compliance en los próximos años son: formar parte del proceso decisorio en las compañías, aplicar métodos matemáticos o científicos en los análisis de riesgos para depender menos de opiniones y subjetividades, trabajar en modelos eficientes en un próximo contexto de restricciones presupuestarias, así como la necesidad de realizar una actualización y preparación constante de forma dinámica a la evolución normativa, de riesgos y de la dinámica de los negocios.
- En España tenemos buenas formaciones, cursos y másters en materia de Compliance, y debemos seguir trabajando y evolucionando para formar a futuros profesionales bien cualificados para hacer frente a las labores de generar una cultura de cumplimiento en todo tipo de organizaciones, sabiendo que no estamos ante una moda pasajera, sino ante una nueva profesión de requiere de un nivel de especialización importante tanto en la parte sustantiva de los bloques normativos, como en las habilidades de gestión y dirección.