Compliance, Seguridad y CiberSeguridad
Mucho se habla de Compliance en este país en los últimos tiempos, sobre todo desde que la última reforma del Código Penal -LO 1/2015, de 30 de marzo- introdujera en el artículo 31 bis, los modelos de cumplimiento normativo penal -Compliance Management Systems- como requisito esencial para la exención de la responsabilidad criminal de las personas jurídicas: y es que, desde el año 2010, asociaciones, partidos políticos, equipos de fútbol, y empresas en general pueden ser condenadas por la comisión de hechos delictivos con penas que además de gravísimas multas, pueden suponer la suspensión de actividades o la disolución del ente; y tener antecedentes penales claro, con los efectos reputacionales -la llamada pena de banquillo- que ello conlleva. Ahora bien, estos sistemas de prevención penal se incardinan en una tendencia global actual mucho más vasta de general, y no solo penal, cumplimiento normativo, de ética, de cooperación, de salud y calidad laboral: en definitiva, de excelencia, en el seno de las organizaciones.
Ninguna empresa está exenta de cumplir con las obligaciones de control y de cumplimiento de normas a los que legal y éticamente vienen obligadas, y es a estos fines a los que sirven los modelos de Compliance, que han de suponer una efectiva, transversal, continua y proactiva política general de la empresa en el marco de una cultura de cumplimiento. Modelos que han de mostrarse eficaces, razonables, adecuados y proporcionales a las circunstancias internas y externas de la organización, sin que el tamaño de la misma pueda servir a eludir la diligencia debida en la realización de sus actividades y ante situaciones de incumplimiento.
La seguridad ha sido y es un tema recurrente en cualquier conversación; ahora bien, la “calidad” de los contenidos ha cambiado notablemente: no ya robo, no ya agresiones, terrorismo yihadista, “lobos solitarios”, síndrome de Amok,… son los términos que se han introducido en el lenguaje común. La sensación de riesgo permanente, de inseguridad, de cuál es el lugar y el día inadecuados, de miedo se han hecho presentes. Acontecimientos en espacios abiertos o cerrados, empresas, colegios, organismos públicos, todos son potenciales escenarios de violencia extrema y por ello las concepciones tradicionales sobre seguridad general y seguridad intraempresarial necesariamente se han visto revisadas para adaptarse a los riesgos actuales.
Más allá de los riesgos relacionados con violencia extrema contra las personas, la globalización, la digitalización y la interconexión han hecho que surja un nuevo concepto: la ciberseguridad, de la que mucho se habla en los últimos tiempos, y ello sobre todo desde que los virus Wannacry en el mes de mayo y NotPetya en el mes de junio de este año pusieran en jaque a empresas y organismos públicos y privados; pero éstos solo son los últimos y son los más conocidos sencillamente por el volumen de personas afectadas. Y es que los ataques informáticos suponen la mayor amenaza actual tanto para empresas como para entidades públicas: solo en el año 2016, por citar los más conocidos ataques externos a gran escala, como consecuencias de ciberataques, fueron publicados datos e información personal de 154 millones de electores estadounidenses, de 93 millones de mexicanos, fueron robados mil millones de cuentas de Yahoo conteniendo toda clase de datos personales así como preguntas y respuestas de seguridad sin cifrar, fueron robados 400 millones de cuentas de Friend Finder Network Inc -empresa que gestiona diversas páginas de citas-, fallaron los procesadores Qualcomm, hecho que afectó a más de la mitad de los móviles Android del mercado y posibilitó el acceso a información cifrada, el robo de 81 millones al Banco Central de Bangladesh, el de 64 millones de bitcoins a Bitfinex… Cada empresa, cada organismo, cada persona es un potencial objetivo. Son las consecuencias de la globalización, de la interconexión.
Ahora bien, aunque los más conocidos son estos ataques externos a gran escala, muchos, la mayoría, de los ciberriesgos se generan intraempresa, ya sean de forma intencional o de forma imprudente. Más allá de hackers, virus, ataques de denegación de servicios (DDoS), phishing, pharming, las revelaciones o filtraciones por parte de empleados de contraseñas, de datos personales, de información sensible, las descargas ilegales de software.
¿Cómo prevenir estos riesgos? ¿Cómo actuar cuando se han materializado? ¿Qué relación tienen con todo ello los programas de cumplimiento normativo?
Un adecuado programa de Compliance empresarial ha de responder a un modelo proactivo, basado esencialmente, en la prevención y detección, sin minusvalorar por ello la necesidad de reacción ante los incumplimientos detectados-; un programa que ha de venir propuesto y promocionado desde su cúpula directiva y que se inserta en una voluntad general de cumplimiento tanto de las normas de hard law como de soft law. Este modelo de ética y buen hacer se extiende a todos aquellos stakeholders que se relacionan con la empresa, a los que se ha de exigir la misma transparencia, gestión diligente, y cumplimiento normativo.
Un adecuado programa de Compliance ha de determinar cuál es el risk assesment, es decir cuáles son las áreas de cumplimiento legal que afectan a cada empresa y los riesgos que derivan de ellas.
Un adecuado programa de Compliance ha de determinar controles de cumplimiento: no solo políticas de empresa, no solo patrones de conducta, también equilibrados controles que proporcionen una seguridad razonable al velar por el cumplimiento y desencadenar acciones correctoras proporcionales en caso de contravención. Es decir, ha de contemplar sistemas de control interno y planes de acción que incluyan tanto medidas para gestionar el riesgo como las consecuencias que se derivarán para los responsables del mismo.
Y un adecuado programa de Compliance ha de proporcionar un continuo feedback, un reporte de cumplimiento, que proporcione información objetiva y eficaz para la organización y para sus grupos de interés, estando el modelo sometido a permanente supervisión -monitoring- para que su eficacia, vigencia y utilidad no se vean mermadas.
Las áreas y departamentos de seguridad de las corporaciones -o, en su caso, los servicios externalizados- han tenido que velar tradicionalmente por el cumplimiento de una vasta normativa de seguridad de las personas -a saber y sin ánimo exhaustivo, la normativa de seguridad privada, la propia de prevención de incendios, de autoprotección, de gestión de emergencias-, a la que se ha visto añadida en la actualidad y como consecuencia de las citadas digitalización e interconexión, las normativas relacionadas con la seguridad física y lógica de los sistemas informáticos, con protección de datos de carácter personal, seguridad de la información y de los sistemas que la gestionan, procesan almacenan o transmiten.
Es más, si apreciamos cuáles son los delitos que pueden ser cometidos por las personas jurídicas según el numerus clausus de nuestro Código Penal, puede apreciarse que muchos de los riesgos que previenen están íntimamente relacionados con funciones de seguridad, y concretamente de seguridad de los sistemas de información -pensemos, por poner algunos ejemplos, en el delito de descubrimiento y revelación de secretos del artículo 197 quinquies del Código Penal, los daños informáticos del artículo 264 quáter, delitos contra la propiedad intelectual, industrial, mercado y consumidores y corrupción en los negocios del artículo 288, blanqueo de capitales del artículo 302.2, o la financiación ilegal de partidos del artículo 304 bis del Código Penal-. Consecuentemente, éstas áreas -concretamente las especializadas en seguridad cibernética- devienen de esencial importancia para la prevención, detección y reacción ante amenazas internas como externas tales como daños, accesos no permitidos a tales sistemas, ataques a los mismos o intentos de vulnerarlos, fugas y/o utilización de información, y, por lo tanto, devienen esenciales para la exención o atenuación de la responsabilidad penal de las empresas. Y, consecuentemente, tales áreas funcionales relacionadas con la seguridad han de trabajar en íntima conexión y bajo la supervisión del Compliance Officer, figura que, tal y como se regula en el artículo 31 bis del Código Penal -interpretado por las Sentencias del Tribunal Supremo de 29 de febrero y 16 de marzo de 2016 y según las exigencias de la Circular 1/2016 de la Fiscalía General del Estado- se erige como guardián máximo de cumplimiento normativo de la corporación, y que ha de servir a su función con pleno respeto a la legalidad vigente, transparencia, integridad, imparcialidad, independencia, confidencialidad, cooperación y coordinación con las restantes áreas funcionales de la empresa, con las que se fomentará una relación fluida y permanente a los fines de evitar la existencia de zonas ciegas o “cajas negras”, es decir, de evitar que sean desarrolladas por las mismas actividades con potencial impacto legal e insuficientemente conocidas.
Por lo tanto, en un mundo como el que nos rodea, las áreas funcionales relacionadas con la seguridad de las corporaciones participan de la función de Compliance en tanto responsables y garantes de cumplimiento normativo en las materias que tienen encomendadas, y han de actuar en coordinación con los responsables generales de cumplimiento normativo y bajo la supervisión del Compliance Officer, a los fines tanto de prevención como de reacción frente a eventuales incumplimientos normativos.
Y siendo así, difícilmente puede entenderse y puede pretenderse por las empresas una exención o una atenuación de responsabilidad penal sin disponer de profesionales responsables de las diferentes áreas relacionadas con la seguridad; áreas y funciones que lógicamente, dependerán de la actividad de cada corporación.