entrevista a: joel · entrevista a: joel ... los profesionistas a conocerlas a través de la...

REVISTA COMPLIANCE OFFICER

ENERO - FEBRERO 2020/ EDICIÓN 3

1

Entrevista a:

J O E L

www.complianceofficer.mx /complianceofficer_mx EDICIÓN 3, ENERO- FEBRERO 2020

“Ciberataques en Despacho de Abogados”

Alejandra Pineda

“Ley 9699 en Costa Rica: Introducción de la responsabilidad penal de personas jurídicas y compliance anticorrupción en el ordenamiento costarricense.”

Sergio Herra

“El compliance es como la vida misma”

Alberto Piñeyro

Compliance Digital

Nahanny Canal“Compliance Propiedad Intelectual”

GOMEZ TREVIÑO

revistacomplianceofficer



3

En esta edición integramos temas tecnológicos, los cuales, cada día toman mayor fuerza en nuestra vida personal y profesional, haciendo de las tecnologías de la información herramientas que además de facilitar, mejoran y obligan a los profesionistas a conocerlas a través de la capacitación, logrando actualizarse y evitando quedar en la era análoga legal; ofertando un mejor servicio profesional.

Tuvimos la oportunidad de conocer y platicar con una especialista en el área de patentes, área en la que pocos se han adentrado por desconocimiento y falta de praxis, y muchos ofrecen esta especialidad por el simple hecho de obtener un título de registro de marca, se dicen especialistas y ofrecen el servicio de patentes, seamos honestos, este tema desde mi óptica, es la parte técnica de la propiedad intelectual, en la cual, la mayoría de quienes son especialistas no son Licenciados en Derechos, si no Ingenieros, como es el caso de nuestra invitada, quien nos comparte un poco acerca de la figura del cumplimiento normativo en su especialidad.

Las reformas en materia penal que traen consigo la inclusión en el código la responsabilidad penal de las personas jurídicas como un procedimiento especial, -caso de nuestra legislación- es sin duda un referente, para quienes nos especializamos, defendemos o imputamos responsabilidad a través de esta figura, Costa Rica con la publicación de su Ley 9699 es el más reciente en estos temas, y nos da un gran referente de esta nueva figura de reciente inclusión en su país.

Un tema que nos merece mayor seriedad y conocimiento, no solo como profesionistas, si no desde la Óptica de personas, es la protección de datos personales, y más si nos desempeñamos como asesores jurídicos de empresa, las cuales consideran como activos su información que va desde la lista de su personal, clientes, proveedores, y aún más sensible desde una óptica industrial-comercial,

sus proyectos que pudieran generar grandes ingresos o perdidas, si estos no fueran debidamente protegidos, el especialista nos aporta en su artículo un par de preguntas ¿Cuántas organizaciones tienen la falsa sensación de cumplimiento por tener únicamente el Aviso de Privacidad pensando que con ello cumplen con la legislación en la materia? o ¿cuántas organizaciones ven como un gasto la gestión de privacidad y no como una inversión?

Y como parte principal, y no por ello esta al final de esta editorial, el Compliance digital, muchos empresarios o directores de empresa siguen creyendo que la figura del cumplimiento normativo es un gasto innecesario por se un figura que solo es utilizada y valorada en países de primer mundo, pero, la falta de un debido mapeo de riesgos en temas de ciberseguridad, entorno digital o ecommerce pueden prevenir, o detectar ciberataques o perdida de información, entonces ¿Debemos ser reactivos y no preventivos? La entrevista principal nos da información importante, que debemos tomar en cuenta y del papel que juega el derecho de las tecnologías de la información en el Compliance digital.

Rogelio García Bermúdez Director GeneralREVISTA DIGITAL

COMPLIANCE OFFICER, ESTRATEGAS EN CUMPLIMIENTO

EDITORIALEstimadas y estimados lectores:

Total

P r o g r a m a d e C o n f e r e n c i a s | M a t e r i a l d e t r a b a j o | S e r v i c i o d e c a f é

c o n t i n ú o | D e s a y u n o s | C o m i d a s | C ó c t e l | F o t o g r a f í a d i g i t a l

R e c o n o c i m i e n t o d e p a r t i c i p a c i ó n | S a l ó n d e e x p o s i c i ó n

Más Información

Directores generales, ejecutivos de prevención de pérdidas,capital humano, auditoria, seguridad, protección de activos,operaciones, mandos medios, de áreas legales, y a toda personarelacionada con el área de prevención de pérdidas y seguridad.

Te invitan al

SIMPOSIO DE SEGURIDAD SIMPOSIO DE SEGURIDAD

Ofrecer los ejecutivos del área de Seguridad de las cadenasdetallistas, la oportunidad de actualizarse y conocer los temasde vanguardia.

ANTAD y el COMITÉ DE SEGURIDAD

Del 20 al 22 de OctubreEn el Hotel Marquis Reforma

Objetivo:

Dirigido a:

Asociado ANTAD No Asociado

INCLUYE:

Cuota de recuperación

Blanca Breña Rodríguez

Jefe de relaciones con gobierno

55 4188 7543

[email protected]

$9,850 + IVA Una persona$9,420 c/u +IVA Dos personas$8,920 c/u +IVA Tres personas

$8,520 c/u + IVA Más de cuatro personas

Una persona $10,850 + IVADos personas $10,420 c/u +IVATres personas $9,920 c/u +IVAMás de cuatro personas $9,520 c/u + IVA

REVISTA COMPLIANCE OFFICER REVISTA COMPLIANCE OFFICER

ENERO - FEBRERO 2020/ EDICIÓN 3ENERO - FEBRERO 2020/ EDICIÓN 3

4 5

DIRECTORIORevista Digital Compliance Officer

DIRECTOR GENERALRogelio García Bermú[email protected]

ASISTENTE EJECUTIVAErika Morales Martí[email protected]

ADMINISTRACIÓNLic. Ivonne Hernández Ramí[email protected]

FOTOGRAFÍARogelio García Bermúdez [email protected]

DISEÑO Y CORRECIÓN DE ESTILOMariana Trejo Juárez [email protected]

SUSCRIPCIONES Y [email protected] CONTACTO7045-5990 55 1951 0403www.complianceofficer.mx

ALFREDO RENE URIBE MANRÍQUEZ, ROGELIO GARCIA BERMÚDEZ , DARIO ZABAL CORTES, ANDREA GENOVEVA SOLANO RENDÓN.

COMPLIANCE OFFICER ESTRATEGAS EN CUMPLIMIENTO, ES UNA REVISTA DIGITAL ACTUAL, DERECHOS DE AUTOR Y DERECHOS CONEXOS, AÑO 2019, NÚMERO TRES, FEBRERO 2020, ES UNA PUBLICACIÓN BIMESTRAL, EDITADA POR MARIANA TREJO JUÁREZ DIRECCIÓN ALBAHACA 45 COL. TLATILCO ALCALDIA AZCAPOTZALCO, TELÉFONO 41687498, www.complianceofficer.mx EDITOR RESPONSABLE . MARIANA TREJO JUÁREZ. RESERVA DE DERECHOS 04-2018-100313574700-203, OTORGADO POR EL INSTITUTO NACIONAL DEL DERECHO DE AUTOR. RESPONSABLE DE LA ULTIMA ACTUALIZACIÓN DE ESTE ULTIMO NÚMERO MARIANA TREJO JUÁREZ, ALBAHACA 45 COL. TLATILCO ALCALDÍA AZCAPOTZALCO. FECHA DE LA ULTIMA MODIFICACIÓN 26 DE MARZO DEL 2020. COMPLIANCE OFFICER ESTRATEGAS EN CUMPLIMIENTO, ES UNA REVISTA DIGITAL. LAS OPINIONES EXPRESADAS POR LOS AUTORES NO NECESARIAMENTE REFLEJAN LA POSTURA DEL EDITOR DE LA PUBLICACIÓN. QUEDA ESTRICTAMENTE PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL DE LOS CONTENIDOS E IMÁGENES DE LA PUBLICACIÓN SIN PREVIA AUTORIZACIÓN DE LA EDITORIAL.QUEDA ESTRICTAMENTE PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL DE LOS CONTENIDOS E IMÁGENES DE LA PUBLICACIÓN SIN PREVIA AUTORIZACIÓN DE LA EDITORIAL.

ÍNDICERevista Digital Compliance Officer

7 Ley 9699 en Costa Rica: introducción de la responsabilidad penal de personas jurídicas y compliance anticorrupción en el ordenamiento costarricense. - Sergio Herra.

16 Entrevista a

Joel Gomez TreviñoCompliance Digital

27 El compliance es como la vida misma. - Alberto Piñeyro.

24 El derecho de acceso a la información sobre la salud del presidente.

- Ana Julia Jerónimo.

32 Entrevista a Nahanny Canal

Compliance Propiedad Intelectual.

38 Publicidad, el núcleo de los negocios . - Carlos Argumedo Calderón

42 Las providencias precautorias, y la utilidad del compliance en la responsabilidad penal de las personas jurídicas. -Edamir Juárez Arroyo

45 Ciberataques en Despacho de Abogados - Alejandra Pineda Villegas

49 Risk Management in Compliance -Pablo Sánchez Cordero

52 Doctrina

54 La importancia de nuestra imagen. - Jesús de Herrera

3 EditorialCONSEJO EDITORIAL:


ENERO - FEBERERO / EDICIÓN 3

7

Ley 9699 en Costa Rica: Introducción de la

responsabilidad penal

de personas jurídicas y

compliance anticorrupción

en el ordenamiento

costarricense.

Desde hace ya varias décadas varios Estados latinoamericanos, con influencia del derecho europeo continental, han ido adoptando la responsabilidad penal de las personas jurídicas y por ende abandonando el principio societas delinqueren non potest. En primer término la incorporación de la responsabilidad penal de las personas jurídicas ha sido contemplada para delitos de corrupción pública, especialmente cohecho y cohecho transnacional; sin embargo, varios son los países que han incluido un catálogo amplio de delitos, que puede incluir delitos como: delitos ambientales (difíciles de imputar debido a la dificultada de identificar al autor concreto del delito), delitos fiscales, delitos asociados al crimen organizado, delitos económicos e incluso delitos como el dopaje deportivo y amaño de competiciones deportivas.1

Costa Rica ha sido el último país de la región en adoptar la

POR SERGIO HERRA

responsabilidad penal de las personas jurídicas por medio de la ley 9699 sobre Responsabilidad De Las Personas Jurídicas Sobre Cohechos Domésticos, Soborno Transnacional Y Otros Delitos.

Esta ley fue aprobada en junio de 2019, como parte de los requerimientos para el ingreso de Costa Rica a la OCDE. Cabe destacar que el legislador costarricense utilizó como inspiración la legislación española vigente en la materia. 2 Esta nueva ley introdujo dos importantes cambios en el ordenamiento costarricense, en primer lugar, desde el punto de vista represivo se incorporó la responsabilidad penal de las empresas por delitos de corrupción; siendo posible la imputación de la empresa por todos los delitos de corrupción incluidos en la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública y en el Código Penal, incluso el legislador costarricense incluyó en ese catálogo, algunos delitos especiales propios, es



9REVISTA COMPLIANCE OFFICER


8

decir aquellos que solo pueden ser imputados a funcionarios públicos y que desde el punto de vista práctico pareciera no ser posible imputárseles a las personas jurídicas.

En segundo lugar, la ley introduce un nuevo deber legal para las empresas desde el punto de vista de la prevención, el deber de prevenir la comisión de hechos delictivos, lo cual se logra mediante la adopción de los programas de compliance anticorrupción. Respecto a la responsabilidad penal de las personas jurídicas, cabe destacar que aplica para todas las empresas inscritas en Costa Rica y aquellas extranjeras con actividad en el país (residentes o domiciliadas), incluidas asociaciones, fundaciones, fideicomisos, ONG`s, empresas públicas e instituciones autónomas del gobierno. Como aspecto positivo de la ley se prevén escenarios de absorciones, adquisiciones y fusiones de empresas, siendo que si una empresa absorbe a otra y está última había cometido un delito previo a la absorción, la empresa adquiriente hará frente a la eventual responsabilidad penal de personas jurídicas; siendo por lo tanto importante que las empresas realicen procesos de due diligence anticorrupción a la hora de escenarios de mergers & acquisitions.

La persona jurídica responderá penalmente por los delitos cometidos en beneficio directo e indirecto cuando sean cometidos por los representantes legales o quienes toman las decisiones en la empresa, intermediarios ajenos que actúen en representación de la persona jurídica, y empleados

en los que no es posible identificar la responsabilidad penal de una persona física en concreto, se podrá imputar a la persona jurídica.

Las posibles sanciones a imponer en contra de la persona jurídica son de dos tipos: en primer lugar, la multa económica, que puede ser desde $770,000 dólares hasta los $7,700,000 dólares aproximadamente, o el 10% del contrato de licitación pública que se obtuvo gracias al delito de corrupción.

Cabe destacar que la ley hace distinción para las llamadas Pequeñas y Medianas Empresas (Pymes) debidamente inscritas como tales, para las cuales la multa máxima será de $160,000 dólares aproximadamente. En segundo lugar, y como segundo tipo de sanción es la sanción de ivntervención, que abarca varias posibilidades a imponer a criterio del juez: prohibición de contratar con la administración pública, perdida de incentivos fiscales, perdida de permisos, cierre de locales, publicación de un extracto de la sentencia y la disolución de la persona jurídica.

Desde el punto de vista de prevención de delitos y concretamente de los programas de compliance la ley establece el deber legal de que las empresas prevengan la comisión de delitos por medio de programas de compliance; pero además la ley establece varios escenarios de atenuante de la responsabilidad penal de las personas jurídicas, con un posible reducción de hasta el 40% de la posible multa a imponer, y aquí hace una diferenciación entre dos escenarios, cuando el delito de la persona jurídica sea menos grave, cometido por subordinados o colaboradores, se aplicará la atenuante cuando la empresa se auto denuncie, colabore durante la investigación o haya adoptado un programa de compliance antes del inicio del juicio.

Mientras que, para los escenarios de mayor gravedad, es decir cuando el delito sea cometido por la cúpula directiva o por un intermediario en representación de la persona jurídica, para poder aplicar una atenuante la persona jurídica deberá de: haber adoptado un programa de compliance antes de que el delito fuese cometido, que el delito se haya eludido los controles

y subordinados. Siendo los dos primeros escenarios los más graves desde el punto de reprochabilidad de la conducta de acuerdo con el derecho penal, mientras que el tercer escenario conlleva una reprochabilidad penal menor, lo anterior tendrá incidencia desde el punto de vista de posibles atenuantes de la persona jurídica, como se analizará más adelante.

La responsabilidad penal de la persona jurídica obedece a un llamado modelo de autorresponsabilidad penal de la persona jurídica, lo anterior fundamentado en varios aspectos: la responsabilidad penal objetiva por hechos ajenos esta prohibida en el ordenamiento costarricense de acuerdo con el principio de personalidad de las penas5, mientras que la ley 9699 establece que las personas jurídicas tienen el deber legal de evitar la comisión de los delitos que pueden generar responsabilidad penal de las personas jurídicas, y en caso de no hacerlo responderán de acuerdo con lo establecido en el artículo 18 del Código Penal, es decir comisión por omisión, “responderá quien no lo impida si podía hacerlo, de acuerdo con las circunstancias, y si debía jurídicamente evitarlo”. Es decir, a la persona jurídica no se le imputa el delito de la persona física, sino, la no prevención de ese delito.

Cabe destacar que la responsabilidad penal de la persona jurídica no excluye de ninguna forma la responsabilidad penal individual, siendo posible, e incluso lo adecuado, imputar a ambos sujetos en el proceso penal; sin embargo, la responsabilidad penal de la persona jurídica es independiente, es decir, aún en los escenarios




ENERO - FEBRERO 2020 / EDICIÓN 3

10

y que las labores de supervisión vigilancia y control hayan sido adecuadas. Cabe destacar que se echa de menos en la ley, una eximente penal para la empresa tal y como lo prevén otros ordenamientos, como el español. La ley 9699 también establece los requisitos mínimos de un programa de compliance, estos elementos son:

1. Análisis de riesgos, el cual debe de ser específico para las actividades la empresa en Costa Rica,

2. establecer código ético, políticas, procesos para disminuir el riesgo y prevenir la comisión de delitos, 3. adecuados controles financieros, que además pueden prevenir los fraudes internos,

4. controles para evitar delitos en procesos licitatorio y en cualquier interacción con la administración pública,

5. Determinar la aplicación del código de ética y demás políticas para terceros o socios comerciales, la empresa debe de establecer el alcance de sus políticas,

6. Programa de capacitación periódico en materia de ética y anticorrupción,

7. Análisis periódico del modelo,

8. Acordar un sistema disciplinario, sin embargo, un sistema disciplinario debe de contar también con un canal de denuncias y un sistema de investigaciones internas para resultar eficaz, elementos que la ley no prevé, 9. Realizar una auditoria externa,

10. Implementar la figura del Compliance officer,

11. Compromiso real con la ética empresarial (partiendo del tone from the top).

Si bien, muchas empresas multinacionales cuentan con programas de compliance otorgados por la casa matriz, lo cierto es que estos deben de ser tropicalizados y adaptados a los riesgos y normativas vigentes en cada país.

La ley 9699 introdujo importantes cambios en la legislación costarricense; estos cambios conllevan retos prácticos a futuro, en primer lugar que el Ministerio Público establezca la primera imputación penal de una persona jurídica por delitos de corrupción pública, a mediano plazo un aumento en el catálogo de delitos por los qué responde la persona jurídica y sobre todo una exigencia entre socios comerciales para contar con programas de compliance anticorrupción, este último aspecto conlleva como requisito un cambio de mentalidad en las empresas, que se logra solo mediante la formación y concientización en el tema.

NOTAS DE PIE DE PÁGINA.

1 Por ejemplo el ordenamiento español castiga a las personas jurídicas por los delitos de dopaje y amaño de competiciones deportivas, además de otras conductas: Tráfico ilegal de órganos (CP art. 156 bis), Trata de seres humanos (CP art. 177 bis), Delitos relativos a la prostitución y corrupción de menores (CP art. 189 bis), Delitos contra la intimidad y allanamiento informático (CP art. 197), Estafas (CP art. 251 bis), Frustración de la ejecución (CP art. 258 ter), Insolvencias punibles (CP art. 261 bis), Daños informáticos (CP art. 264), Delitos contra propiedad intelectual e industrial, mercado y consumidores (CP art. 288), Blanqueo de capitales (CP art. 302), Delito contra Hacienda Pública y Seguridad Social (CP art. 310 bis), Delitos contra los derechos de los ciudadanos extranjeros (CP art. 318 bis), Delitos de construcción, edificación y urbanización (CP art. 319), Delitos contra el medioambiente (CP arts. 327 y 328), Delitos relativos a la energía nuclear (CP art. 343), Delitos de riesgo provocados por explosivos (CP art. 348), Delitos contra la salud pública (CP art. 369 bis), Falsedad de medios de pago (CP art. 399 bis), Cohecho (CP art. 427), Tráfico de influencias (CP art. 430), Corrupción de funcionario público extranjero (CP art. 445), Delitos de organización criminal (CP art. 570 quarter), Financiación del terrorismo (CP art. 576 bis), Contrabando (LO 6/2011, de 30 de junio, por la que se modifica la LO 12/1995, de 12 de diciembre, de represión del contrabando), adicionalmente en 2019 se adicionaron los siguientes delitos: abuso de información privilegiada en el mercado cuando ponga en peligro la integridad del mercado o la confianza de los inversores (CP art. 285 bis, incluido en los delitos contra el mercado), delitos de administración desleal o apropiación indebida del patrimonio público (CP art. 432), falseamiento de la contabilidad de entidades públicas (CP art. 433) y malversación impropia (CP art. 434) y por ultimo todos los delitos de terrorismo como: colaboración, adoctrinamiento, exaltación, enaltecimiento o incitación al terrorismo (CP arts. 573 a 580).

2 La legislación española regula el tema de la responsabilidad penal de las personas jurídicas en el artículo 31 bis del Código Penal.

3 En el ordenamiento costarricense el principio de personalidad de las penas se desprende del El artículo 5.3 de la Convención Americana Sobre Derechos Humanos que establece que: “La pena no puede trascender de la persona del delincuente”; y del artículo 39 de la Constitución Política de Costa Rica establece: “a nadie se hará sufrir pena sino por delito, cuasidelito o falta, sancionados por ley anterior y en virtud de sentencia firme dictada por autoridad competente, previa oportunidad concedida al indiciado para ejercitar su defensa y mediante la necesaria demostración de culpabilidad”.

Postgrado en Compliance Anticorrupción por la Universidad de Barcelona, España, donde también es candidato a doctor en derecho penal con una tesis sobre: “Responsabilidad penal de las personas jurídicas y programas de compliance para entidades deportivas profesionales”. Tiene un postgrado en Derecho Penal Económico por la Universidad de Castilla-La Mancha. Sergio fue Visiting Scholar en la Facultad de Derecho de la Universidad de Pensilvania (U Penn Law) e investigador invitado en el Instituto Max Planck de Derecho Penal de Friburgo, Alemania. Además, se desempeña como profesor universitario.

SERGIO HERRA.

Sergio se especializa en Derecho Penal y Compliance Anticorrupción en la firma Nassar Abogados Centroamérica, en la oficina de San José, Costa Rica. Anteriormente trabajó en firmas legales en España y Costa Rica. Sergio cuenta con una Maestría en Derecho Penal y un


ENERO - FEBERERO / EDICIÓN 3ENERO - FEBERERO 2020 / EDICIÓN 3

12 13

Ciudad de México, diciembre de 2019.- Cuenta la leyenda que en 1834 dos banqueros corruptos de Francia realizaron acciones para hackear el sistema de codificación del telégrafo y sacar provecho del mercado de bonos de la nación gala.

De esta manera estamos hablando de que el primer ataque corruptor de datos a distancia ocurrió hace casi 200 años. Entones, no debe sorprendernos que la avaricia por obtener dinero, poder o reconocimiento es algo nuevo y que además, evoluciona al mismo ritmo que el avance de las tecnologías. Seguramente entre 1834 y 2019 han ocurrido muchos más ataques de los que tenemos conocimiento, pero es un hecho que, en los últimos 20 años se han multiplicado las pérdidas multimillonarias a empresas, sector gobierno y sociedad civil.

Frente a esta realidad y reconociendo que la transformación digital presenta brechas que permiten que los ciberdelincuentes realicen sus ataques, surge un perfil encargado de salvaguardar el acervo informativo de las organizaciones: el CISO, (Chief Information Security Officer). “Como tal, esta figura empieza a surgir con el problema de seguridad en la información del sistema SPEI, y en la Circular Única Bancaria se crea una nueva normatividad y se establece como obligatorio que exista la figura del CISO, y que además le reporte a la alta gerencia”, informa Andrés Falcón García, Consultor de riesgos y cumplimiento de Optimiti Network.

¿Cómo y dónde surge este importante puesto?

El ejecutivo de Optimiti, comenta: “La función de ejecutivo surge por ahí de 1994 cuando un banco norteamericano empieza a tener muchos ataques de hackers rusos y se le ocurre la idea de incluir en su estrategia de negocio un plan de defensa creando una figura a nivel de los ejecutivos de nivel “C” (Chief ), entendiendo al CISO como un rol ejecutivo de alto nivel encargado de establecer la estrategia de seguridad de la información, para proteger de los constantes riesgos y a la vez que estén alineados a los objetivos de negocio siempre garantizando la protección de la información”.

Desafortunadamente a nivel global hay una importante carencia de este perfil, dado que la oferta educativa es baja y por ello hay pocos egresados orientados a cubrir este perfil, por lo tanto, su proceso de selección puede ser largo y honeroso ya que el costo promedio de uno de estos profesionales oscila entre los 80 mil y los 120 mil pesos mensuales para las organizaciones, y en la mayoría de los casos el tiempo de contratación supera en promedio los seis meses.Frente a esta realidad Optimiti Network presenta una poderosa solución: el CISO Virtual.

Andrés Falcón asevera: “nosotros ofrecemos un servicio en el que desarrollamos las funciones ejecutivas de un CISO con amplio expertise y dedicado 100% a la estrategia de seguridad de su organización. Gracias a esto podemos reducir los costos entre un 40 y 50% de lo que costaría contratar un CISO de tiempo completo.

Además, por la dinámica de las organizaciones, el 80% del tiempo los CISOs tradicionales, desarrollan actividades

Comunicado de prensa

Optimiti Network, presenta al CISO Virtual Se trata de un innovador servicio que apoyará en forma inmediata y efectiva a las organizacione

México ocupa el tercer lugar en ciberataques y pierde cada año $7.7 mil millones de dólares.

un tanto más operativas que poco tienen que ver con las funciones estratégicas” Se trata de un servicio sumamente ventajoso para las empresas ya que cuentan con un experto en la materia que además tienen en sus manos el respaldo del portafolio de soluciones tecnológicas de Optimiti, al respecto el ejecutivo, abunda: “Es un consultor senior con toda la experiencia en implementación de modelos y estrategias de seguridad, pero que además se puede apoyar de otros expertos de Optimiti que lo apoyan y decimos que es virtual porque no necesariamente es una sola persona que se contrata por una cantidad de horas.

En este sentido aprovechamos todas las capacidades de Optimiti para apoyar al CISO que estamos poniendo como figura virtual en las organizaciones”.

De esta forma las organizaciones que contraten un servicio de CISO Virtual de Optimiti, estarán contando con un equipo de especialistas que agnósticamente formarán parte de la empresa para ofrecer las soluciones específicas a la necesidad de dicha organización.

Para concluir, Andrés Falcón, afirma: “Las empresas, grandes, medianas o chicas, que contraten un CISO Virtual, estarán contando con un trusted advisor, que de entrada, les ahorrará decenas y decenas de horas de acoplamiento y entendimiento de las necesidades de la empresa; además, en el modelo virtual, la inversión inicial que se hace es muy razonable y puede crecer o ajustarse a la situación de cada empresa”.



14 15

¿Qué aspectos debe proteger un CISO?

Un CISO debe de cubrir la parte operativa pero también la estrategia. Debe estar enfocado en prevenir, detectar y responder a los riesgos o

incidentes de seguridad en la información en una organización.

Otra función de los CISOs es que debe tener

pleno conocimiento de la parte normativa, y los temas de cumplimiento de privacidad como la Ley

de Protección de Datos Personales que hay en México.

Deben tener habilidades de negociación y de

comunicación, además de tener la capacidad para obtener su propio presupuesto, para desarrollar sus proyectos, así como negociar para alcanzar

las mejores inversiones que generen los mayores beneficios en protección de la información.

Fuente:https://www.nobbot.com/general/el-primer-

ciberataque/

Sobre Optimiti Network

Compañía mexicana con más de 8 años de experiencia en la venta de servicios de consultoría en materia de ciberseguridad, ofreciendo servicios de valor a sus clientes. Como compañía consultiva, se basa en un modelo de seguridad en profundidad, donde aporta experiencia en la implementación de controles tecnológicos en diferentes capas de seguridad de la información: nube, perimetral, red, aplicación y seguridad en el punto final. Trabaja alineada a diferentes normas y marcos de referencia relacionados a ciberseguridad como NIST Cybersecurity Framework, Cyber Kill Chain y MITRE ATT&CK. Cuenta con un área especializada en servicios de consultoría relacionados con Gobierno, Riesgo y Cumplimiento, con fortalezas en la Implementación de Estrategias para la Seguridad de Datos Personales que involucra tecnología, procesos, consultoría legal y comprobado expertise. Optimiti Network, como especialista en consultoría en seguridad de la información, cuenta con tres importantes CERTIFICACIONES INTERNACIONALES ISO: ISO 9001:2015; ISO 27001 e ISO 20000-1.

Si desea conocer más de Optimiti Network, por favor pónganse en contacto con:

Diálogo Visual Mónica Muñoz [email protected] Tel. 5255 76526272 Mov. 55 2444 6340

@dialogovisualpr

https://www.nobbot.com/general/el-primer-ciberataque/

https://www.nobbot.com/general/el-primer-ciberataque/





16 REVISTA COMPLIANCE OFFICER16

Entrevista a:

J O E LGOMEZ TREVIÑO

¿Qué es compliance?

Desde un punto de vista meramente gramático, el Diccionario de Cambridge define a compliance como “el acto de obedecer una orden, regla o solicitud”. Para el Diccionario Merriam-Webster significa “el acto o proceso de cumplir un deseo, demanda, propuesta, régimen o coacción. Conformidad en el cumplimiento de los requisitos oficiales”.Pasando a definiciones más precisas para el mundo de los negocios, la Asociación Mundial de Cumplimiento establece que “el Corporate Compliance es un conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos”.

¿Es el compliance una moda o un dogma de fe?

El compliance es una moda por varias razones, principalmente por la gran oferta de capacitación y publicaciones que abordan esta materia. Tan es un tema de moda, que nos empeñamos en seguirle llamando compliance, cuando técnicamente podríamos traducirlo como cumplimiento.Además, no podemos ignorar que hasta hace 5 años o un poco más, los abogados dominábamos el ámbito legal en las empresas bajo el nombre de “Departamento Jurídico” o “Dirección Legal”.

Hoy en día, existe una bifurcación de funciones, pues muchas empresas, además de tener el departamento jurídico tienen otro, al que suelen llamar “gerencia regulatoria” o incluso “departamento -u oficial- de cumplimiento”. En ocasiones esta área depende de la dirección jurídica, pero cada vez vemos con mayor frecuencia que esta posición ya ha adquirido una posición tan dominante en algunas empresas, que incluso crean una dirección o departamento independiente de cumplimiento.

Por otro lado, muchas personas están acostumbradas a que, si escuchan lo mismo muchas veces, lo toman como

dogma de fe, aceptando y creyendo en ello de manera irrevocable.

De acuerdo con Henry Vargas Holguín, en la Iglesia católica un dogma es una verdad de fe infalible, incuestionable, absoluta, definitiva, inmutable y segura, sobre la cual no puede subsistir ninguna duda.¿Por qué afirmo que el compliance es un dogma de fe? Porque todos los consultores, libros, artículos y en todas la conferencias y cursos sobre este tema, siempre te dicen lo mismo: tu programa de compliance debe incluir: anticorrupción, responsabilidad penal de las empresas, prevención de operaciones con recursos de procedencia ilícita y competencia económica. Y de postre, todos terminan con la (misma) cereza del pastel: cómo desarrollar el código de conducta y programa de integridad de tu empresa.

¿Qué es el compliance digital?

Para un servidor, el compliance digital es una función en las empresas que identifica, asesora, monitorea y reporta los riesgos derivados de incumplimientos a leyes, reglas y estándares en el ámbito digital y de los negocios electrónicos, que busca mitigar las consecuencias de dichos riesgos, tales como sanciones, pérdidas financieras, pérdidas reputacionales, estableciendo mecanismos internos de prevención, gestión, control y reacción frente a los mismos.

Bajo este contexto, entendemos por:Leyes, los códigos y normas (disposiciones legales del orden federal).Reglas, los reglamentos y disposiciones secundarias o de carácter general.

Estándares, los códigos de ética, códigos de conducta, códigos de buenas prácticas, etc.Los pilares del compliance tradicional, mientras no cambien las leyes respectivas, seguirán siendo los mismos durante años. Sin embargo, los detonadores que motivan el compliance digital no solo derivan de leyes o regulaciones, sino también de buenas prácticas que surgen ante la imperante necesidad de asegurar a la empresa en el siempre dinámico entorno



18 19

omisos en tomar ciertas precauciones en estas materias -que se traducen en buenas prácticas-, puede generar riesgos operativos y legales para las organizaciones, que las pueden llevar a sufrir pérdidas financieras o pérdidas de reputación.

Protección de datos personales.- En esta materia es imposible negar la amplia carga regulatoria para todas las empresas. Cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares va mucho más allá de redactar y publicar un aviso de privacidad.

Seguridad de la información.- En nuestro país existe una amplia variedad de leyes que establecen obligaciones específicas en materia de seguridad de la información, que usualmente se traducen en dotar a la información de tres atributos o principios: disponibilidad, integridad y confidencialidad. Otras leyes van más allá, y contienen obligaciones relacionadas con la prevención de fraudes y ataques cibernéticos, así como la obligación de contar con un soporte tecnológico seguro, confiable y preciso para sus clientes.

Entorno digital.- La regulación de diversos aspectos del entorno digital en el que nos desenvolvemos, como empresas y como personas, es cada vez más frecuente. Buena parte de la carga normativa en el ámbito digital tiene que ver precisamente con obligaciones en materia de protección de datos personales, protección de información confidencial y seguridad de la información.

Dado que las primeras tres áreas ignoradas en programas de cumplimiento tienen un fuerte componente o incidencia tecnológica, englobaré el enfoque principal de este artículo bajo el concepto de “compliance digital”.

Si una empresa realiza actividades de comercio

tecnológico en el que vivimos. Y, de hecho, por la misma naturaleza evolutiva del entorno digital, las leyes que lo regulan suelen cambiar con más frecuencia que el resto de la normatividad.

¿Cuáles los son los pilares tradicionales que deberían conformar un programa de compliance digital?

Dado que las siguientes áreas tienen un fuerte componente o incidencia tecnológica, las contemplo como parte del concepto de “compliance digital”.

Propiedad intelectual.- Si bien no existen como tal un conjunto de “obligaciones” emanadas de la Ley de la Propiedad Industrial o de la Ley Federal del Derecho de Autor que deban cumplimentar las empresas, lo cierto es que ser

características generales de dichos elementos;

III. El proveedor deberá proporcionar al consumidor, antes de celebrar la transacción, su domicilio físico, números telefónicos y demás medios a los que pueda acudir el propio consumidor para presentarle sus reclamaciones o solicitarle aclaraciones;

IV. El proveedor evitará las prácticas comerciales engañosas respecto de las características de los productos;

V. El consumidor tendrá derecho a conocer toda la información sobre los términos, condiciones, costos, cargos adicionales, en su caso, formas de pago de los bienes y servicios ofrecidos por el proveedor;

VI. El proveedor respetará la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos comerciales, y

VII. El proveedor deberá abstenerse de utilizar estrategias de venta o publicitarias que no proporcionen al consumidor información clara y suficiente sobre los servicios ofrecidos, en especial tratándose de prácticas de mercadotecnia dirigidas a la población vulnerable, como los niños, ancianos y enfermos, incorporando mecanismos que adviertan cuando la información no sea apta para esa población.

El incumplimiento a cualesquiera de las anteriores obligaciones podrá generar multas de PROFECO de hasta $3’066,155.98 por cada concepto de violación.

Como podemos apreciar, estas obligaciones se dividen en:

Obligaciones de informar al consumidor (proporcionar domicilio, teléfono, costos, cargos, formas de pago, características de seguridad), las cuales se materializan con la publicación del documento ampliamente conocido como “términos y condiciones” en la página web de las empresas.

electrónico ¿en qué debería enfocarse un programa de compliance?

En lo que respecta al entorno digital, lo mínimo que toda empresa debe cumplir son las obligaciones emanadas de la Ley Federal de Protección al Consumidor (LFPC) en materia de comercio electrónico.

En la celebración de transacciones efectuadas a través del uso de medios electrónicos se cumplirá con lo siguiente:

I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción;

II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las


ENERO - FEBRERO 2020 / EDICIÓN 3ENERO - FEBRERO 2020 / EDICIÓN 3

20 21

noviembre de 2018 a la LFPC, ahora el proveedor que ofrezca, comercialice o venda bienes, productos o servicios utilizando medios electrónicos, ópticos o de cualquier otra tecnología, se guiará por las disposiciones de la Norma Mexicana expedida por la Secretaría de Economía, la cual contendrá, por lo menos, la siguiente información:

Las especificaciones, características, condiciones y/o términos aplicables a los bienes, productos o servicios que se ofrecen;

Mecanismos para que el consumidor pueda verificar que la operación

Obligaciones de tratar confidencialmente la información del consumidor y brindar seguridad a dicha información.Obligaciones de abstenerse de usar prácticas comerciales engañosas y estrategias publicitarias que no proporcionen al consumidor información suficiente y clara sobre los servicios ofrecidos. Obligaciones de respetar la cantidad y calidad de los productos que el consumidor desea recibir.

En virtud de una reforma de

refleja su intención de adquisición de los bienes, productos o servicios ofrecidos y las demás condiciones;

Mecanismos para que el consumidor pueda aceptar la transacción; Mecanismos de soporte de la prueba de la transacción;

Mecanismos técnicos de seguridad apropiados y confiables que garanticen la protección y confidencialidad de la información personal del consumidor y de la transacción misma;

Mecanismos para presentar peticiones, quejas o reclamos, y Mecanismos de identidad, de pago y de entrega.

Esta Norma Mexicana es la NMX-COE-001-SCFI-2018, la cual establece las disposiciones a las que se sujetarán todas aquellas personas físicas o morales que en forma habitual o profesional ofrezcan, comercialicen o vendan bienes, productos o servicios, mediante el uso de medios electrónicos, ópticos o de cualquier otra tecnología, con la finalidad de garantizar los derechos de los consumidores que realicen transacciones a través de dichos medios, procurando un marco legal equitativo, que facilite la realización de transacciones comerciales, otorgando certeza y seguridad jurídica a las mismas. Se declaró la vigencia de esta norma en el DOF el 30 de abril de 2019.

Y en lo que respecta a activos digitales de la empresa, ¿hay algo importante que debería considerarse en un programa de compliance digital?

Otro punto básico en un programa de compliance en el entorno digital se agrupa bajo la pregunta:

¿Qué podría suceder en tu organización si el gerente o director de sistemas sale abruptamente de la empresa?

Usualmente, ante cualquier problema relacionado con computadoras, redes o información en la empresa,

acudimos ante el director o área de sistemas, pero ¿quién vigila al vigilante? Si un problema se gesta al interior de este departamento, ¿cómo lo vamos a detectar y controlar? ¿cómo mitigamos el riesgo de una salida abrupta de un directivo o funcionario clave del área de sistemas? No solo es necesario tener un sólido respaldo contractual y esquema de políticas informáticas en la empresa, sino también destinar un apartado del BCP (business continuity plan) para atender este riesgo.

¿Quién controla los nombres de dominio de tu empresa?

Este suele ser uno de los puntos más sensibles -y a la vez más ignorados- en las empresas. Perder tu nombre de dominio no solo implica dejar de existir (aunque sea emporalmente) en Internet, sino que tu empresa se quede sin correo electrónico, ya que el mismo suele estar ligado a tu nombre de dominio.

Resulta indispensable revisar las bases de datos “WhoIs” para verificar primeramente quién es el legítimo dueño (contacto registrante) de los nombres de dominio que presumiblemente pertenecen a la empresa. Es común que terceros e incluso el propio personal de sistemas registre a su nombre los dominios de la empresa. Ante una salida abrupta o imprevista del personal

que tenga la administración y control (técnico y jurídico) de los nombres de dominio de la empresa, es necesario contar con el respaldo legal apropiado para poder recuperar dichos nombres de dominio a la brevedad posible.

¿Quién controla las cuentas de redes sociales de tu empresa? De manera similar a los escenarios anteriores, es necesario reconocer la importancia que tienen las redes sociales en todas las empresas. Sin ellas, el contacto con el público, clientes potenciales, proveedores y otras partes interesadas (stakeholders) se reduce a su mínima expresión.

Por comodidad, muchas veces las empresas contratan a community managers o a agencias de marketing digital para que les administren sus cuentas de redes sociales. Es muy común que se generen problemas con quien tiene a cargo esta importante labor.

En Estados Unidos cada vez son más comunes las “demandas por robo de followers” y demandas por daños y perjuicios en contra de ex-community



22 23

JOEL GÓMEZ TREVIÑO

Joel Gómez Treviño es Abogado egresado del Tecnológico de Monterrey y tiene una Maestría en Derecho Internacional por la Universidad de Arizona. Es Doctor Honoris Causa. Cuenta con 24 años de trayectoria como especialista en derecho de las tecnologías de la información, privacidad y propiedad intelectual.

Es Presidente Fundador de la Academia Mexicana de Derecho Informático y Coordinador del Comité de Derecho de las Tecnologías de la Información y Protección de Datos Personales de la Asociación Nacional de Abogados de Empresa, Colegio de Abogados. Coordinador del Comité de Compliance Digital, Ciberseguridad y Protección de Datos Personales, en la Comisión Nacional de Compliance AC.

Es Socio Fundador y Director de Lex Informática Abogados. Es miembro honorario de Phi Delta Phi, la Sociedad Legal Internacional de Honores más grande del mundo. Es Perito Forense Digital honorario de la Red Latinoamericana de Informática Forense.

Ha recibido 19 reconocimientos provenientes de organizaciones de Argentina, España, Francia, Gran Bretaña y México, entre ellos el Premio por Trayectoria Meritoria de la Asociación de Internet, debido a su desempeño profesional y su contribución al crecimiento de la industria de Internet en México, y el Premio al Mérito Jurídico de la Asociación Interdisciplinaria de Juristas de México y el Claustro Nacional De Doctores Honoris Causa por su trayectoria de excelencia en el ejercicio de la Abogacía. En los últimos 21 años ha sido profesor de licenciatura y posgrado en el Tec de Monterrey, en la Universidad Panamericana, en la UDLAP Jenkins Graduate School, en La Salle y en INFOTEC, entre otras universidades. Ha sido invitado a impartir más de 450 conferencias y cursos en programas académicos y profesionales de Brasil, Canadá, Colombia, Costa Rica, Ecuador, España, Estados Unidos, Guatemala, Italia, Panamá, México y Asia.

managers, quienes por una mala administración o por actos dolosos o negligentes suelen meter en problemas a sus clientes. Un control contractual adecuado, aunado a revisiones periódicas, son necesarios para mitigar cualquier escenario adverso derivado de la tercerización de la administración de redes sociales.

Dependiendo de la industria de la cual tu empresa sea parte, es posible que existan otras obligaciones específicas en cuanto al entorno digital se refiere.

Tal es el caso de las instituciones de tecnología financiera, que deberán cumplir con un amplio catálogo de obligaciones digitales, especialmente en materia de seguridad de la información e infraestructura tecnológica, que establece la “Ley Fintech”.

¿Desde cuándo existe el Compliance Digital?

No existe una fecha cierta, pero esta metodología la he desarrollado en México desde hace aproximadamente 15 años. A nadie se le había ocurrido el tema, pero lo considero de vital importancia para todas las empresas que llevan a cabo transacciones por Internet, o aquellas que tienen activos digitales intangibles.



24 25

Una de las preguntas que han surgido actualmente en la sociedad mexicana es si la información relativa al estado de salud de la persona que ocupa el cargo de presidente de la República, debe ser público o no.

Como ejemplo, en el año 2019 un solicitante preguntó a la Presidencia de la República los resultados —a través de constancias— de diversos estudios médicos sobre su estado de salud física y mental.

Y, ¿realmente debería darse a conocer esa información? Desde mi punto de vista sí, con sus límites;

En principio se sabe que el estado de salud de una persona es información confidencial y que incluso, es de tipo sensible porque su utilización indebida puede dar origen a discriminación, o poner en riesgo grave al titular de esos datos, pero también, existen manifestaciones que hacen patente el interés público del ciudadano de saber si quien toma las decisiones que dan dirección a su país, realmente está en las condiciones racionales para hacerlas, sobre todo cuando se dan a conocer inconsistencias en la ejecución de las mismas.

Si bien, el derecho a la salud está por encima del derecho de acceso a la información, me parece que en este tipo de condiciones médicas del ejecutivo, su

intimidad no tiene el carácter de absoluta, sino que se encuentra sometida a unos límites establecidos por otros derechos fundamentales y bienes jurídicos (economía o gasto público, seguridad pública, entre otros que repercuten a la población).

Así, considero que cuando la condición de salud sea psíquicas o físicas que generen cambios de mentalidad (me enfoco en las de tipo mental) correspondientes al cargo de presidente de la

El derecho de acceso a la información sobre la salud del

Presidente.Ana Julia Jerónimo

Republica, la misma debe hacerse pública. Ello me parece que es una forma responsable —de guardar y hacer guardar la Constitución y mirando en todo por el bien del país— lo cual constituye un límite a la intimidad constitucionalmente legítimo.

Ferrando Mantovani (1993) declara que la intimidad del individuo puede ser sobrepasada por razón de un interés público, directo o indirecto. El derecho de información debe prevalecer cuando ella es veras y responde al interés público, sobre el derecho del particular.

Por su parte, la Corte Interamericana de Derechos Humanos señaló en los casos Kimel vs. Argentina y Herrera Ulloa Vs. Costa Rica que el umbral diferente de protección no se asienta en la calidad del sujeto, sino en el carácter de interés público que conllevan las actividades o actuaciones de una persona determinada. Aquellas personas que influyen en

cuestiones de interés público se han expuesto voluntariamente a un escrutinio público más exigente y, consecuentemente, se ven expuestos a un mayor riesgo de sufrir críticas, ya que sus actividades salen del dominio de la esfera privada para insertarse en la esfera del debate público.Así, si bien la secrecía del estado de salud se trata del ejercicio del principio de autodeterminación informativa que tiene toda persona sobre sus datos, es decir, el control o administración que ejerce sobre su información al decidir a quién, cuándo y cómo se da a conocer; pero lo cierto es que en el caso del estado de salud del ejecutivo federal cobra relevancia e interés público pues ello permite que los ciudadanos tengan certeza jurídica en el ejercicio de la función pública a su cargo.

Incluso algunos países pueden considerar al estado de salud de los presidentes como un asunto de seguridad nacional por los efectos económicos,


ENERO - FEBERERO 2020 / EDICIÓN 3

26

políticos y sociales que conlleva en caso de darse su divulgación; sin embargo, en el caso de México, tal supuesto no se contempla por la Ley de Seguridad Nacional.

Por tanto, para que exista un límite al derecho fundamental de la salud es necesario que se garantice que la divulgación de la información de ese tipo, se apegue al principio de proporcionalidad, esto es, que la medida adoptada sea idónea para alcanzar el fin constitucionalmente legítimo perseguido con ella, que sea necesaria al efecto que se busca y que sea proporcionada es decir, que implique más beneficios para el interés general que perjuicios sobre otros bienes en conflicto.

La importancia de hacer una ponderación que permita garantizar la protección del derecho a la intimidad de los servidores públicos y a la vez, mantener informada a la ciudadanía en los aspectos de su salud, en razón a que a la misma le interesa conocer aspectos del desempeño del ejercicio de sus representantes en los cargos públicos.

Así, considero que, atendiendo a la gravedad en el estado de salud psíquica o mental del primer mandatario, debería darse a conocer únicamente en los casos en que dicha condición le impida ejercer el cargo de manera plena y responsable.

En México, donde el diseño constitucional da gran peso a la figura del jefe del Ejecutivo, debería generarse una discusión que lleve al diseño de estándares mínimos que permitan crear un equilibrio entre el derecho a la vida privada del gobernante y el derecho a saber de la sociedad sobre el impacto que

un problema de salud puede tener en su gestión.

Cada vez se llega más al límite de estos dos derechos ante la demanda social cuando se trata de servidores públicos en funciones, que invocan un derecho a la intimidad que no les corresponde en un cien por ciento por la embestidura que poseen y limitan el ejercicio del derecho de acceso a la información pública de los ciudadanos de manera general para conocer aspectos que les conciernen.

Sin embargo, de la misma forma que el individuo muestra su interés hacia la privacidad, también demanda transparencia cuando la misma interactúa con los entes públicos; es decir, el derecho a saber y el derecho a la privacidad se encuentran.

Ana Julia Jerónimo

Licenciada y Maestra en Derecho por la UNAM.

Área de investigación: Protección de datos persona-

les, acceso a la información y archivos públicos.

Experiencia laboral:

1. Instituto Nacional De Transparencia, Acceso A

La Información y Protección De Datos Personales

(INAI) 2011-2018

2. Agencia Nacional De Seguridad, Energia Y Am-

biente (ASEA) 2018-A La Fecha.



27

Robé la frase que da nombre a este artículo al profesor Alain Casanovas1, en una de sus conferencias magistrales sobre sistemas de gestión de Compliance. Con este título no pretendo invitarles a que me “acompañen a ver esta triste historia”, como si se tratara de un melodrama de Mujer: casos de la vida real, programa aclamado por la familia latina.

Más bien, intentaré compartir algunos datos y reflexiones sobre elementos básicos del compliance que, a mi juicio, se relacionan con la vida misma. Con la intención de acercarnos a esta materia de novedosa aplicación en Latinoamérica y consciente de la diversidad de profesionales a los que reúne el interés por esta especialidad, por lo tanto, mi más profundo deseo va encaminado a hacerme entender por todos, obviando tecnicismos innecesarios y términos que nos aturdan.

El compliance es como la vida misma

Alberto Piñeyro Cuevas

Antes de señalar las ideas subsiguientes, conviene señalar que el compliance, tal como lo veo yo, es un conjunto de elementos aplicados para prevenir los riesgos (penales, fiscales, de competencia, de protección de datos, etc.) que enfrentan las empresas, dada su actividad económica.

Asimismo, sirven para detectar y reaccionar ante la concreción de tales riesgos.

Compliance y cuerpo humano

Considero que es común el uso de los términos: programa2 o sistema de gestión3 para referirse al compliance, inclusive, tienden a emplearse y entenderse como sinónimos. No obstante, Casanovas (2018: 79) refiere que la idea de programa: “(…) aglutina una serie de elementos que considera idóneos para alcanzar determinada finalidad.Mientras que un «sistema de gestión», sin embargo, no solo determina estos elementos indispensables, sino que pone énfasis en la

interrelación que debe existir entre ellos y en la lógica que inviste al conjunto”.

Después de esta distinción, no he podido evitar la tentación de enlazar la idea de «sistema de gestión» con el funcionamiento y composición del cuerpo humano. Este me parece, sin temor a equivocarme, un ejemplo apropiado para ilustrar un sistema de gestión eficaz, característica hacia la que debe avanzar la implantación y desarrollo de un sistema de gestión de compliance.

Por citar un ejemplo, no pocos estudios han abordado la probable relación entre la enfermedad periodontal y las cardiopatías, o sea, ¿cómo es posible que algo que ocurre en las encías pueda afectar al corazón? ¿es necesario prevenir y cuidar las encías para evitar problemas del corazón? Desde luego, es más probable que alguien que no ha estudiado medicina, como es mi caso, piense que lo que



28 29

acontece en la cavidad bucal repercutirá, principalmente, en las amígdalas, faringe, esófago o estómago y no en el sistema cardíaco.

Sucede lo mismo en un sistema de gestión de compliance, es decir, sus partes se conectan inclusive cuando no parecen tener relación de consecuencia. Por ejemplo, la evaluación de riesgos, definida por Salvador (2018: 94) como la actividad consistente en: “analizar y evaluar todos los riesgos identificados desde una doble perspectiva impacto económico/ reputacional y probabilidad de ocurrencia”, influye en el presupuesto o los recursos económicos destinados a las actividades de compliance.

Esta relación podrá parecer ausente, sin embargo, si el presupuesto para las actividades de compliance está basado en los riesgos previamente identificados, los

recursos serán suficientes para ejecutar la prevención adecuadamente, mitigar los riesgos y permitir que el sistema de gestión cumpla con su cometido y con la nota de eficacia – no es lo mismo que eficiencia4-.

En definitiva, la visión del compliance como un programa o únicamente como el código ético colgado en la página web de la compañía, probablemente, no salvará a la empresa de un proceso penal. De hecho, algunas sociedades mercantiles podrían ser condenadas a la multa más cuantiosa y podrían pagarlas sin que ello represente un daño importante a su patrimonio.

Sin embargo, eso no lo es todo, puesto que el riesgo reputacional que implica la imputación se asemeja a una hemorragia indetenible en la vena femoral, que produce la muerte del paciente en pocos minutos. En el caso de la empresa, la muerte puede llegar aún sin finalizar el proceso penal, por ejemplo, Arthur Andersen, absuelta, sí, pero desaparecida mucho antes de haber finalizado su viacrucis procesal.

Compliance y la imprudencia5

En una conferencia sobre Psicología aplicada a la empresa, el ponente Ramón Pueyo6 preguntó a la audiencia, en qué porcentaje la ambición al dinero o el deseo de poder era factor causante del mayor número de altos directivos de empresas condenados a prisión.

La mayoría concedió un porcentaje del 70% al interés por el dinero y un 30% a la codicia del poder, en cambio, para sorpresa del foro, el conferenciante reveló que ambos factores ocupan tan solo un 10% y concluyó que las decisiones imprudentes [o las que se toman como “mensos”], en un 90% de los casos, son las causantes de la mayor cantidad de directivos condenados a prisión.

El economista puso de ejemplo el caso de Peanut Corportation of America, cuyo CEO, Stwart Parnell,

fue condenado a 28 años de prisión por haber fabricado mantequilla de maní que causó la muerte a nueve personas y problemas de salud a decenas, por haber empleado materia prima contaminada con salmonela. Parnell decidió trabajar con los cacahuates movido por la presión que recibió, sin prever las consecuencias de esa decisión.

En la cotidianidad del compliance, las imprudencias están a la orden del día, cometidas tanto por empleados como por ejecutivos. Por lo tanto, restar importancia a la manifestación de determinadas conductas o detalles que no consideramos como llamados de atención, solo por el

hecho de no dar la impresión de ser fatalistas o alarmistas o por considerarlos irrelevantes, resultará catastrófico en determinados casos, tanto para la responsabilidad penal de la empresa como para la responsabilidad penal individual del compliance officer.

Al respecto, recuerdo una anécdota que mi abuela solía contar. Un niño encontró un juego de llaves y lo llevó a su casa, para su madre esto era un objeto insignificante y no puso reparos en ello. Con el tiempo, el niño fue creciendo y seguía encontrado cosas y llevándolas a casa, siempre ante la actitud despreocupada de la madre. Aquel niño se hizo un hombre y fue condenado a 20 años por robo; su madre, moribunda le preguntaba: - ¿En qué momento te volviste un despreciable ladrón? - y él contestó: Desde el momento en que no me dijiste nada por el juego de llaves-.

Por otra parte, al mencionar el término responsabilidad penal de la empresa o del Compliance Officer, no quiero contagiarlos del pesimismo y la fatalidad que caracterizan a un abogado penalista. Si bien es cierto, el compliance convive con la amenaza penal dirigida a la organización, a directivos, a empleados y al Compliance Officer, sin embargo, pienso que la importancia de un sistema de gestión debe valorarse por la necesidad de implementar una verdadera cultura de cumplimiento en el seno de la

empresa, desde la cúspide hasta la base.

Compliance, el síndrome de la ventana rota y el efecto lucifer

Es muy frecuente pensar que ciertos riesgos, penales, por ejemplo, tienen bajas probabilidades de concretarse con respecto a nosotros o en nuestro entorno. Se debe a que consideramos que la actividad económica de la empresa no está lo suficientemente expuesta al peligro como para preocuparnos o porque nos sentimos tan seguros en el hábitat de la organización que restamos importancia a ciertos detalles.

Reitero, no quiero contagiarlos de la paranoia y desconfianza natural de un abogado penalista, tampoco quiero contar una triste historia al estilo Silvia Pinal, sin embargo, resulta determinante echar un vistazo, no solo a las normas UNE, ISO o a la normativa penal y sectorial, sino también a bibliografía relacionada con la psicología social y la criminología, como lo es el libro Why good people sometimes do bad things?

En esta guía, Muel Kaptein pregunta y procura responder a cuestiones como: ¿por qué incluso los empleados más honestos y concienzudos a veces se descarrilan? ¿qué lleva a los gerentes honestos e inteligentes al límite? ¿qué



30 31

causa que las organizaciones benévolas conduzcan a sus clientes, empleados y accionistas por la puerta de atrás?

Insisto que un Compliance Officer debe conocer, al menos, aspectos básicos de estas disciplinas y teorías, pues le permitirán realizar una mejor labor, tomando en cuenta que los destinatarios de su función son personas que están en un ambiente complejo como una empresa y debe tener, además de técnicas de comunicación efectiva, plena conciencia de los elementos con los que interactúa y el entorno hacia el que se expande su función.

Algunas de estas teorías han sido concebidas gracias a los experimentos llevados a cabo por Philip Zimbardo, psicólogo de la Universidad de Stanford, cuyos resultados han traído consigo la posibilidad de entender el modo de actuar de los individuos dentro de una organización empresarial.

Entre estos estudios se desatacan los dos siguientes: A) Experimento de la Ventana Rota7: en el año 1969, el Profesor Zimbardo y su equipo dejaron dos automóviles idénticos en buen estado abandonados en dos barrios muy diferentes, el Bronx, Nueva York (pobre y conflictivo) y Palo Alto, California (rico y seguro).

En poco tiempo el coche del Bronx fue desmantelado y destrozado, mientras que en Palo Alto se mantuvo intacto. Es más probable que se atribuya este resultado a la pobreza de uno y la riqueza del otro. Sin embargo, los investigadores dieron un segundo paso y rompieron uno de los vidrios del coche de Palo Alto, lo que desencadenó el mismo resultado que en el caso del Bronx, incluso, en el mismo espacio de tiempo y con la misma mordacidad.

Para los especialistas, el vidrio roto transmite una idea de dejadez y desinterés que, poco a poco, destruye códigos de convivencia y civismo. Con cada nuevo ataque aumenta de forma exponencial la propia idea de desidia que acaba dando paso a un patrón repetitivo. Por ello, es importante que la cultura de cumplimiento y el apego a hacer bien las cosas provengan del ejemplo de los altos directivos de la empresa, es decir, que el cumplimiento y la ética sea el “tone from the top”.

B) Dinámica de presos y carceleros8. Con esta el profesor

dividió a sus alumnos en dos grupos: presos y carceleros. Este juego de roles permitió observar cómo estudiantes “buenos”, actuando como carceleros, se comportaban cuando se les asignaba una cuota poder sobre sus compañeros.

Este experimento inspiró la idea del Efecto Lucifer, con el que Zimbardo detalla cómo interactúan las fuerzas situacionales y la dinámica de grupo para convertir individuos decentes en monstruos. Los estudiantes carceleros se ensañaron negativamente contra sus compañeros, en una clara similitud con el caso real de unos soldados estadounidenses, considerados íntegros y que acabaron torturando a prisioneros iraquíes en una cárcel de Abu Ghraib.

En definitiva, con esta reflexión hago un llamado, no a la desconfianza, si a mantener los ojos abiertos con la debida prudencia y cautela, que permita actuar con la objetividad necesaria y que aparte los sesgos que puedan entorpecer la imparcialidad y el discernimiento.

A modo de conclusión: compliance es verbo, no sustantivo

Si bien es cierto, el compliance es como la vida misma, sus partes deben interactuar como lo hacen los órganos del cuerpo humano, tan relacionado a la cotidianidad y al comportamiento del individuo, sin embargo, se puede decir que tiene vida propia.

Su razón de ser es estratégica, no es un papel estático, ni un código de ética colgado en una página web, es más que eso, es un ecosistema donde conviven no sólo normas jurídicas o estándares internacionales, también se nutre de disciplinas que permiten a un compliance offcier hacer un mejor trabajo.

El compliance es verbo, acción y movimiento… no un nombre estático o simple sustantivo.

El compliance es verbo, acción y movimiento… no un nombre estático o

simple sustantivo.

NOTAS DE PIE DE PÁGINA.

1 Socio responsable de Servicios de Compliance de KPMG España.

2 Introducido por la Australian Standard on Compliance Programs 3806-2006.

3 Concepto extraído de las normas ISO 19600, ISO 19601 e ISO 37001.

4 El profesor Casanovas apunta que la eficiencia implica lograr un objetivo abaratando costes. Ello,

en el ámbito de Compliance, es cuestionable, porque escatimar en recursos económicos implica

que no hay una verdadera intención de asumir una cultura de cumplimiento.

5 No se refiere a la imprudencia en el ámbito penal o delictivo.

6 Socio responsable de Sostenibilidad y Buen Gobierno de KPMG España.

7 Cfr. Wilson & Kelling (1982).

8 Cfr. Zimbardo (2012).

Alberto Piñeyro Cuevas

Fiscal de República Dominicana, adscrito a la Dirección General de Persecución, egresado de la Universidad Autónoma de Santo Domingo y de la Escuela Nacional del Ministerio Público. Actual doctorando en Derecho Penal y Procesal en la Universidad Carlos III de Madrid y con título de Postgrado en Compliance por la Universidad Carlos III, Universidad Pompeu Fabra y KPMG.





32

Compliance Propiedad Intelectual.

¿Cuál es la importancia de la propiedad intelectual para una organización?

La propiedad intelectual se refiere a las creaciones del intelecto como son las invenciones, los modelos de utilidad, los diseños industriales, las marcas, las obras artísticas y literarias, los secretos industriales y otros activos intangibles que son producto de la originalidad y esfuerzo creativo de las personas.

Históricamente, el valor de una organización estaba dado por los bienes tangibles que poseía,

considerando elementos como el valor económico de sus instalaciones, de la maquinaria y el activo circulante de la empresa; sin embargo en la actualidad, el 80% del valor de una empresa está dado por sus activos intangibles.

Esto es, lo que mayor valor da a una empresa actualmente es la propiedad intelectual que posee, el prestigio empresarial adquirido, sus recursos humanos, y la forma en que estos intangibles se relacionan en favor de la organización. La propiedad intelectual puede ser el elemento más importante de las organizaciones y es sin duda el elemento más importante en las industrias y en sectores específicos

Entrevista a Nahanny Canal Reyes

como son las telecomunicaciones y el farmacéutico.

¿Cuáles consideras que podrían ser los beneficios del compliance en materia de propiedad intelectual?

Más allá de que, uno de los principales objetivos de todo sistema o programa de compliance, es evitar que las organizaciones sean sujetas a sanciones derivadas del incumplimiento de normas, ya sean las que emanan del poder público o las que se han impuesto las propias organizaciones (como son los códigos de conducta), y que en materia de propiedad intelectual, la infracción de derechos de propiedad intelectual puede dar lugar a sanciones administrativas y penales, además de la correspondiente responsabilidad en el pago de daños y perjuicios causados; la prevención, detección y gestión de riesgos en la materia permite, no solo

evitar sanciones, sino además alinear las actividades de la organización y sus miembros, para salvaguardar la propiedad intelectual de la empresa, el prestigio de la misma y generar valor agregado.

Algunos ejemplos en materia de invenciones, los derechos que confiere una patente están sujetos a pagos para mantener su vigencia, por lo

que es importante que si se cuenta con una patente exista la responsabilidad de dar seguimiento a su conservación; el uso de una invención patentada por un tercero debe ser autorizado mediante una licencia, por lo que si previo a la comercialización de un producto se realizan búsquedas para identificar patentes existentes, se pueden generar alianzas y celebrar contratos de licencia con otros competidores; o bien, de existir mecanismos adecuados se puede advertir que en las actividades que se están realizando, existe una potencial invención o información que de mantenerse confidencial proporcionará una ventaja competitiva o económica, y de esa forma instrumentar acciones que impidan la divulgación, pues esto afecta la novedad de la invención o la confidencialidad de un secreto industrial, requisitos indispensables para su protección.

¿Cuáles consideras que deberían ser las principales áreas de interés en el compliance de propiedad



34 35

intelectual?

El compliance debe permitir administrar los riesgos asociados a infracciones y delitos, cumplir con las normas de propiedad intelectual, promover los procesos creativos y de innovación en la empresa, administrar y gestionar los derechos de propiedad intelectual existentes y prevenir y desalentar entre los miembros de la empresa actividades como la piratería y la falsificación.

El diseño de un programa de compliance en materia de propiedad intelectual debe dar seguimiento y apoyar las estrategias tecnológicas y de propiedad intelectual de la empresa, considerando tendencias y el comportamiento en el mercado de los competidores.

¿Cuáles consideras son los principales riesgos que deben contemplarse en el compliance de propiedad intelectual?

El principal riesgo que se debe evitar es infringir intencionalmente o inadvertidamente la propiedad intelectual de un tercero, para lo cual se deben incorporar procedimientos específicos como son el monitoreo de las actividades de patentamiento de competidores y el análisis de las características tanto técnicas, como ornamentales y como comerciales de cada producto antes de su lanzamiento (incluso durante su desarrollo), realizando búsquedas del estado de la técnica para advertir o descartar la existencia de derechos de terceros que pudieran ser afectados.

Sin embargo, las empresas no solo deben preocuparse por no infringir derechos de terceros, sino también por evitar el menoscabo de los propios y su uso eficiente, en congruencia con los buenos usos y costumbres comerciales, evitando así prácticas anticompetitivas que pudieran ser sancionables e ir en demérito del prestigio de la empresa.

Adicionalmente debe considerarse que los activos de propiedad intelectual pueden ser disruptivos, por lo que en la implementación en el mercado o en la propia empresa de estas nuevas creaciones requiere de un análisis diligente, que debe involucrar otras áreas de cumplimiento.

Esto último es importante, si se toma en consideración que el uso de nuevas tecnologías presenta sus propios riesgos, por ejemplo el uso de una nueva máquina en un proceso de producción puede requerir analizar nuevamente los riesgos de trabajo, el uso de tecnologías de la información puede implicar un tratamiento excesivo de datos personales y la inteligencia artificial generar riesgos para la seguridad de la información corporativa.

¿Qué elementos consideras que debe comprender el compliance en la materia?

En primer lugar, debe contarse con el compromiso de actuar de conformidad con las normas de propiedad intelectual y deseablemente con las mejores practicas, para lo cual deben establecerse procedimientos y actividades específicas encaminadas a la observancia: debe preveerse el uso, adquisición y comercialización, únicamente de productos o procesos con la autorización de los titulares de los registros y patentes o de sus licenciatarios autorizados; debe protegerse la propiedad intelectual de la empresa, identificando la existente y tomando acciones para proteger la futura; deben asignarse responsabilidades especificas a la persona o personas encargadas de implementar las políticas que se establezcan, idealmente al compliance officer; deben establecerse directrices de actuación para el personal o quienes por su particular relación con la empresa tengan acceso a información de la misma, independientes de las clausulas contractuales (por ejemplo, manuales de procedimientos); debe contarse con actividades de capacitación, de difusión y concientización al interior de la organización; debe difundirse con los consumidores y socios comerciales la visión, valores y principios de la

empresa y la congruencia de los procedimientos y políticas adoptados; deben revisarse y en su caso crear las obligaciones contractuales con clausulas sobre propiedad i n t e l e c t u a l e s p e c í f i c a s ; debe contarse con políticas de actuación particulares ante la posible adquisición o uso de productos i n f r a c t o r e s ; debe contarse con medidas tecnológicas para evitar la divulgación, pérdida o uso no autorizado de información no confidencial de la empresa y contar con medios para detectar desviaciones y, en su caso, corregir y sancionar.

Es importante que los instrumentos que se diseñen no tengan un mera existencia formal, sino que se incorporen realmente como parte de los procesos de la empresa y generen una cultura de ética. Los procedimientos deberán considerar las principales áreas de actuación de la empresa.

En tu opinión, en materia de invenciones ¿cuáles considerarías que serían actividades particulares de compliance?

En primer lugar, es importante recordar que las invenciones para ser protegibles por una patente deben ser nuevas (nunca divulgadas por ningún

medio, en ninguna parte del mundo), ser resultado de una actividad inventiva (que no sean evidentes para un técnico en la materia) y que tengan aplicación industrial, y una vez obtenida una patente, deben realizarse pagos para mantener su vigencia hasta por un periodo de 20 años contados a partir de la presentación de la solicitud de patente.

La patente confiere el derecho para impedir a terceros que realicen la explotación de la invención.

Habría por lo menos cinco actividades

específicas que realizar, determinar el estado de protección de las invenciones que posee la empresa; revisar y en su caso, modificar o establecer controles para evitar la pérdida de invenciones; establecer medidas para evitar la infracción de invenciones de terceros; establecer políticas que impidan el uso indebido de las invenciones protegidas y, en su caso, iniciar acciones para evitar el uso no autorizado de invenciones protegidas.

Debe identificarse el estado de las invenciones que ya posee la empresa, si éstas se encuentran protegidas, en caso de que no, determinar si es posible aun



36 37

protegerlas, pues si fueron divulgadas habrán perdido su novedad.

Para las invenciones protegidas habrá que revisar el estado del pago para su conservación.Las actividades de investigación y desarrollo propios de la empresa pueden generar nuevas invenciones, por lo que es importante que existan directrices que por un lado eviten la divulgación y posible perdida de novedad de la invención y que por el otro permitan que el área competente pueda conocer su existencia y determinar si conviene a los intereses de la empresa proteger esa invención.

Una empresa puede infringir derechos de terceros al comercializar productos o prestar servicios protegidos por patentes o bien, al emplear en sus actividades invenciones patentadas, por lo que es importante hacer un análisis de estos productos y servicios, para determinar la existencia de posibles derechos y en su caso, cesar su uso o no realizar actos comerciales.

El uso no autorizado de derechos de terceros no es la única actividad sancionable relacionada con las invenciones, también es posible que se sancione su

uso abusivo o contrario a las prácticas comerciales, por ejemplo, por lo que se debe contar con políticas que informen acerca de este tipo de prácticas y las prevengan.

La patente de una invención, es un impedimento jurídico para que terceros realicen la explotación de la invención patentada, sin embargo, pueden existir empresas que en incumplimiento de las normas comercialicen la misma, en detrimento de la inversión realizada por su titular para su creación, por lo que será necesario contar con directrices para detectar estás prácticas, como es el monitoreo de los competidores, y en su caso, iniciar acciones legales para hacer cesar la infracción de derechos y recuperar los posibles daños y perjuicios causados.

¿Qué consejos darías a una empresa que está considerando implementar el compliance en está materia?

Además de la voluntad y compromiso de

implementar el compliance en la empresa, lo más importante es conocer el estado de la misma, por lo que se aconsejaría identificar si ésta cuenta con políticas para la protección de creaciones y para evitar la divulgación de nuevos desarrollos; si se han implementado clausulas contractuales con los socios comerciales sobre confidencialidad de la información que se comparte y sobre los usos que se autorizan de esa información; así como de marcas y otros derechos de propiedad intelectual; si existen lineamientos u obligaciones que rijan el actuar de los propios trabajadores, y si existe la obligación de realizar un análisis sobre la existencia de derechos de propiedad intelectual de terceros antes de iniciar una nueva actividad.

Esto requiere que se involucren los líderes de la organización, que se conozca claramente el funcionamiento de la misma, que se identifiquen los activos intangibles de la empresa, los productos que se comercializan y los servicios que se prestan, las áreas que pueden incidir en ellos y además que se cuente con el acompañamiento de un experto en la materia.

De acuerdo al tamaño de la empresa, una auditoría en materia de propiedad intelectual podría ser recomendable. Lo anterior, permitirá conocer los riesgos particulares de la empresa, prevenirlos y gestionarlos, por ejemplo, si existe la obligación de determinada área de analizar tendencias comerciales, se puede acompañar de búsquedas para identificar el estado de la técnica para conocer invenciones, marcas, diseños u otras creaciones existentes, con lo cual no solo se evita una posible infracción si no que se puede buscar añadir valor a los productos y servicios que posteriormente se comercializan, creando nuevos activos intangibles.

Nahanny Canal ReyesDirectora de Gestión de Expedientes en Clarke Modet México .

Nahanny Canal Reyes, es Química Farmacéutica Bióloga egresada de la Universidad Nacional Autónoma de México, ha participado en diversos cursos y seminarios en materia de propiedad intelectual a través de instituciones nacionales e internacionales tales como la Organización Mundial de la Propiedad Intelectual, la Oficina de Patentes y Marcas de los Estados Unidos de América, el Foro de Cooperación Económica Asia-Pacífico y el Instituto Mexicano de la Propiedad Industrial.

Inició su carrera profesional en el sector privado en 1999, ejerciendo como Ejecutiva para Asuntos Regulatorios en Centroamérica y el Caribe para Jenseen-Cilag.

En julio de 2000, fue nombrada Gerente de Patentes en Arochi, Marroquin & Linder, puesto que ejerció hasta 2008. A partir de 2009, laboró en Dumont Bergman Bider como Directora de Patentes, y en 2013, ingresó al sector público como Director Divisional de Patentes del Instituto Mexicano de la Propiedad Industrial.A lo largo de su carrera ha participado en múltiples foros nacionales e internacionales, tales como la Organización Mundial del Comercio, la Organización Mundial de la Salud y la Organización Mundial de la Propiedad Intelectual, en está última como Vicepresidenta del Comité Permanente sobre el Derecho de Patentes, además de brindar acompañamiento técnico y jurídico en negociaciones internacionales, que incluyen el CPTPP, el T-MEC y el TLCUEM.Asimismo, en el ámbito académico, ha impartido diversos cursos y seminarios en materia de innovación, propiedad intelectual e invenciones en instituciones como son la Universidad Nacional Autónoma de México, la Universidad Autónoma Metropolitana, la Universidad Panamericana, la Asociación Mexicana para la Protección de la Propiedad Intelectual, en la Organización Mundial de la Propiedad Intelectual, el Instituto Tecnológico Autónomo de México, en la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo, entre otras.Actualmente, es Directora de Gestión de Expedientes en Clarke Modet México.





38

La transformación digital y el impacto que tiene en los procesos de negocio de las compañías han obligado a reinventar la manera en la que desarrollamos estrategias de privacidad, y es que esta tendencia trae como consecuencia el riesgo de ser parte de un incidente de seguridad o que la brecha de datos sea mayor, al incrementar la superficie de ataque que los ciberactores ocupan en sus campañas y sumado a la gran capacidad técnica que tienen estos, ponen en evidencia que los modelos de protección de datos personales actuales ya no son suficientes, es por eso que debemos ir más allá del cumplimiento per se. En 2013, uno de los retailers más grande de Estados Unidos de América -Target-, se certificó con los requerimientos mínimos necesarios en el estándar PCI-DSS (Payment Card Industry – Data Security Standard), que es un conjunto de requerimientos que tienen como objetivo principal el proteger los datos de tarjetas de pago y el entorno donde se operan, tomando como pilares principales el almacenamiento, transmisión y/o procesamiento de la información del tarjetahabiente. Sin embargo, el 13 de diciembre de 2013, sufrió unos de los ciberataques más

conocidos de la última década, que tuvo un impacto en pérdidas alrededor del 46% de la compañía, 540 millones de dólares y su estrategia de expansión a Canadá se pospuso más de 5 meses, teniendo como resultado la pérdida de ingresos del 5.3%.

Posiblemente no sea la perfecta analogía, pero sucede exactamente lo mismo en materia de protección de datos personales. ¿Cuántas organizaciones tienen la falsa sensación de cumplimiento por tener únicamente el Aviso de Privacidad pensando que con ello cumplen con la legislación en la materia? o ¿cuántas organizaciones ven como un gasto la gestión de privacidad y no como una inversión? En el mundo en el que vivimos, los ciberataques que sufren las organizaciones forman parte relevante en las portadas de periódicos y en los noticieros en todo el mundo.

Tan es así que hoy es equiparable el robo de lingotes de oro de la reserva de algún país con el robo de datos personales. Una realidad a la que nos enfrentamos es que los cibercriminales van dos pasos más avanzados

“PRIVACIDAD: EL NÚCLEO DELOS NEGOCIOS”

Carlos Argumedo Calderón

que nosotros, incluso, son fondeados por naciones y cuentan con un alto expertise en materia informática.

En el reporte Data Breach Investigations Report (DBIR) de Verizon, se menciona que las tácticas, técnicas y procedimientos utilizados durante la mayoría de las campañas de brechas de datos han evolucionado al pasar de técnicas que buscan la explotación de una vulnerabilidad de código, a campañas más complejas que involucran tácticas como spearphishing y el robo de credenciales.

Ante está problemática, debemos comenzar a ver a la protección de datos personales como una de las mejores y necesarias inversiones dentro de las organizaciones, y no solamente por cumplir con los requisitos mínimos necesarios exigibles por la ley aplicable; sino porque estamos en una era en la que la privacidad rige la manera en la que hacemos negocios y como ejemplo tenemos el caso de Facebook y Cambridge Analytica, que días posteriores al anuncio de la multa a esta red social por parte de la Federal Trade Commission (FTC) por la cantidad de 5 billones de dólares, acto seguido, el CEO de Facebook convocó una rueda de prensa para decir que el modelo de negocio de su compañía iba a reinventarse con la finalidad de privilegiar la privacidad de los usuarios.

Retorno de inversión de la privacidad

El reporte The 2020 Data Privacy Benchmark Study and the ROI of Privacy de CISCO basado en 2800 organizaciones en 13 países, incluido México, que menciona lo siguiente:

1. Por cada dólar invertido en materia de privacidad, las organizaciones tendrán un retorno de inversión de 2.7 dólares.

2. El 70% de las organizaciones dicen que recibieron importantes beneficios comerciales de la privacidad más allá del cumplimiento. Esto es superior al 40% del año pasado e incluye una mayor agilidad e innovación, una ventaja competitiva, más atractivo para los inversores y un incremento en la confianza del cliente.

3. Una mejor rendición de cuentas se traduce en mayores beneficios: las empresas con puntajes de rendición de cuentas más altos experimentan menores costos de incumplimiento, demoras en las ventas más cortas y mayores retornos financieros.

4. El 82% de las organizaciones ven las certificaciones de privacidad como una motivación para comprar.

Ante los retos comentados en líneas anteriores y la tendencia acerca de que los ciudadanos comienzan a ver como valor agregado el que las organizaciones



40 41

materia es el primer paso, no un estado final. La motivación para realizar tales inversiones no es simplemente minimizar la amenaza de multas, sanciones o brechas de datos: la protección pragmática de la privacidad es una inversión en la confianza de la marca.

Debemos entender que la protección de la privacidad se extiende más allá de la letra de la ley, y que su responsabilidad se extiende más allá de los detalles de cualquier régimen legal.

Por supuesto, siempre existe un riesgo derivado del incumplimiento y por ley, las empresas están obligadas a elaborar políticas y procedimientos que garanticen un comportamiento ético y legal entre sus empleados y los procesos establecidos. Pero dado que la confianza de la marca se está convirtiendo en una preocupación mayor, tanto para los usuarios finales como para las empresas, el riesgo no se limita simplemente al fracaso de una empresa en seguir las leyes y estándares establecidos; en la era de las organizaciones basadas en datos, la información personal es un activo que puede usarse para generar ideas, identificar nuevas oportunidades y mejorar la experiencia del cliente.

Entonces, ¿cómo pueden las empresas hacer las

se ocupen más allá del mero cumplimiento de la protección de datos personales, debemos desarrollar un marco estratégico, táctico y operativo, aplicable a todas las líneas de negocio de las organizaciones tomando un enfoque holístico, es decir, procesos, personas y tecnología, para la correcta gestión de la protección de datos personales.

Como primera iniciativa habrá de considerarse el mapeo de todo el ciclo de vida de los datos personales.

El mapeo de datos personales es el conjunto de acciones, técnicas y procedimientos destinados a asegurar que los datos personales sean gestionados de la mejor manera en cada una de las fases de su ciclo de vida, teniendo como resultado la trazabilidad completa de los datos.

Partamos de un estado de conciencia, no podemos proteger lo que no podemos ver. Es por ello que resulta de suma importancia tener mapeados todos los datos personales que interactúan en las diferentes líneas de negocio de las organizaciones.

Conclusiones

Para las organizaciones, el cumplimiento es obviamente imperativo, pero el cumplimiento de la legislación en la

Carlos Argumedo Calderón

En Optimiti se ha desempeñado como consultor en cumplimiento legal, prestando servicios de consultoría y auditoria sobre protección de datos personales en México, con base en las leyes mexicanas de la materia, y en el Reglamento General de Protección de Datos de la Unión Europea.Licenciado en Derecho por la UNAM y egresado de los Diplomados de Ciberseguridad y Protección de Datos Personales por la UDLAP Jenkins Graduate School y Derecho de las Tecnologías de la Información y Comunicación de la Asociación Mexicana de Derecho Informático.

inversiones adecuadas para salvaguardar la privacidad como un medio para garantizar la confianza de la marca?A través de un compromiso con la privacidad como valor comercial central. Esa estrategia comienza con el cumplimiento, sin embargo, si se percibe que las empresas simplemente están prestando atención a la protección de la privacidad, o que se esconden detrás de los detalles de una regulación, corren el riesgo de agravar el daño a la confianza de la marca.

Nadie quiere ser el próximo Target, Equifax, Facebook, es por eso que una de las mejores maneras es diseñar el equilibrio correcto entre riesgo y recompensa, en aras de lograr la trazabilidad completa de los datos personales, su protección y con ello preservar el prestigio de la marca.



42 43

LAS PROVIDENCIAS PRECAUTORIAS, Y LA UTILIDAD DEL

COMPLIANCE EN LA RESPONSABILIDAD

PENAL DE LAS PERSONAS JURÍDICAS.

El Sistema Penal Acusatorio que rige actualmente, desde su concepción hasta su implementación a partir del año dos mil dieciséis (2016), abonó al Código Nacional de Procedimientos Penales, una adecuada instrumentación, para efectos de la reparación del daño, siendo este el eje motriz del sistema en que se pugna más por garantizar los derechos de la víctima, en igualdad, con las demás personas que intervienen en el procedimiento penal, con mismas oportunidades, es decir para el caso de la víctima pedir se le garantice la reparación del daño; y para el caso del imputado sostener la acusación o la defensa, en ejercicio ambos de su derecho de contradicción; lo anterior es también aplicable a las personas jurídicas que se ven inmersas en un procedimiento penal, y para lo cual la ley procesal cuenta con instrumentos y herramientas propios para ello, es decir con instituciones procesales de cautela,

y nos preguntamos ¿Cuáles son?; dependiendo el reclamo es como emerge cada institución, si nuestra construcción legal es garantizar el pago de la reparación del daño, al hablar de esto y en lo que aquí nos ocupa, emergen las providencias precautorias para la restitución

de los derechos de la víctima, así, definamos, ¿Qué

son las Providencias Precautorias en el Proceso Penal?; están son una figura o instrumento procesal para garantizar la reparación del daño, las cuales pueden ser solicitadas por la víctima, el ofendido o el Ministerio Público, las cuales son; el embargo de bienes, y la inmovilización de cuentas y demás valores que se encuentren dentro del sistema financiero, empero, esta narrativa legal no solo dialoga con las personas físicas como parte del proceso penal, ya sea en lo personal o por las facultades de su representación, el efecto de estas providencias es de mayor espectro su aplicabilidad, pues puede ser tanto para el ente físico como para una empresa como tal, esto a través de un reproche penal para el primero y como parte de una consecuencia jurídica para la segunda, así tenemos que las providencias precautorias, se constituyen como al pilar insoslayable, para garantizar la reparación del daño de la víctima u ofendido, sostenida la anterior premisa, surge la siguiente disyuntiva, cuándo el Ministerio Público inicia una investigación ante el conocimiento de la posible comisión de un delito en los que se encuentre involucrada alguna persona jurídica (empresa), a esta es posible que se le pueda imponer

Edamir Juárez Arroyo

alguna providencia precautoria para garantizar la reparación del daño, la respuesta es sí; porque aunque en el capítulo III del Código Nacional de Procedimientos Penales, que regula el procedimiento para personas jurídicas, no da cuenta que se pueda generar esta medida de cautela, cierto es que en alcance a lo que se contiene en la parte in fine del artículo 425 del Código Nacional de Procedimientos Penales, este refiere que en lo no previsto por este capítulo, se aplicarán en lo que sea compatible, las reglas del procedimiento ordinario penal, compatibilidad esta última que encuentra oportunidad y procedencia para la imposición de providencias precautorias, en la investigación de hechos con apariencia de delito cometidos a nombre de la empresa, por su cuenta, en su beneficio o a través de los medios que ella proporcionó, cuando se haya determinado que además existió inobservancia del debido control en su organización, esto último, nos permite un replanteamiento de narrativa en cuanto al alcance de dichas providencias y las formas de evitarlas, así en el proceso ordinario a la luz de la responsabilidad de

las personas jurídicas enmarcamos la pregunta siguiente

¿La empresa tiene oportunidad de evitar la medida de cautela?, la respuesta en opinión de quien esto escribe es en sentido positivo, bastando para ello el razonamiento que este tipo de procedimiento autónomo en contra de la empresa, tiene como elemento principal, para dar vida jurídica a la consecuencia penal, que dentro de la empresa exista inobservancia del debido control, entendiendo esto como una inexactitud en la debida organización de

la empresa, provocado por la ausencia de programas o mecanismos que disuadan o prevengan, que quien tiene determinada relación laboral subordinada cometa delitos a través de la empresa y en beneficio de la misma, ahora bien esa respuesta positiva encuentra sustento en que tener programas de cumplimento, eficientes y efectivos (COMPLIANCE), evita, previene o mitiga la imposición providencias precautorias en el proceso penal, es oportuno decir que la solución para evitar esas medidas de cautela, se encuentra en contar con un programa de Compliance Criminal, dinámico y permanentemente actualizado, con suficiencia efectiva, para evitar la consecuencia procesal a que hemos hecho alusión en este artículo, como cuestionamiento final habrá que decir, ¿Qué tan útil es el Compliance para evitar la imposición de las providencias precautorias en el proceso penal?; en respuesta el Compliance, por antonomasia es el instrumento de mayor utilidad para evitar las consecuencias penales y sus resultas procesales, esto atendiendo a que sí, la empresa cuenta con un programa de cumplimiento normativo debidamente diseñado que previene y evita la comisión de delitos por su cuenta y evita beneficiarse de los mismos, con ello,

según la calificación que se haga del mismo, puede evitar, desvanecer o mitigar las providencias precautorias, lo que nos da pauta a establecer que lo que en apariencia es irrelevante, en estricto sentido de consecuencia penal sea el elemento fundamental para evitar esas medidas de cautela, así contar con un Compliance



44 45

efectivo, aumenta drásticamente la posibilidad de evitar esas sanciones penales de corte procesal, y así evitar que penda permanentemente la espada de Damocles en la cabeza visible de la empresa, lo anterior no afecta al debido proceso o los derechos de la víctima, pues atendiendo lo que regula el artículo 11 del Código Nacional de Procedimientos Penales, en sentido de que los derechos de la víctima como los del imputado en el proceso penal acusatorio tienen la misma relevancia, quedando sujetos así a los datos medios o pruebas que las partes aporten en vía de cargo o de descargo, para justificar la medida precautoria o bien para evitar la imposición de la misma, este diálogo sobre las citadas medidas de cautela con las audiencias comerciales (empresas), no se concibe como una cabeza de turco, si no como una oportunidad para que todas las empresas cuenten con mecanismos o programas internos, útiles y operativos que prevengan que las empresas sean penalmente responsables, de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización, según lo establece el propio artículo 421 del Código Nacional de Procedimientos Penales, y esto solo se logra con programas de Compliance, dinámicos, operativos, con vida corporativa, con los aciertos y desaciertos de una real implementación, que permeados de ética e integridad superen, un simple legajo de papeles lleno de impolutas notas legaloides, hasta aquí. … Es cuánto.

Edamir Juárez Arroyo Abogado en Derecho Corporativo, Maestría en Derecho Fiscal, por la Escuela Libre de Derecho de Puebla, Diplomado en Derecho Corporativo por la Universidad Popular Autónoma de Puebla, Especialidad en Derecho Penal por el Instituto de Estudios Judiciales del Poder Judicial del Estado de Puebla, Diplomado Especializado en el Sistema Penal Acusatorio Adversarial por la Universidad Autónoma de Tlaxcala, Diplomado de Actualización para el abogado de empresa por la Anade y la Universidad Iberoamericana Puebla, Maestrante en Derecho Penal Contradictorio y Adversarial, en el Centro de Investigaciones Jurídico Políticas de la Universidad Autónoma de Tlaxcala, miembro activo del Comité Penal Nacional y abogado certificado de la Asociación Nacional de Abogados de Empresa.

Partamos de conceptos esenciales, la seguridad de la información busca proteger la información de riesgos que puedan afectarla, en sus diferentes formas y estados.

La Ciberseguridad se enfoca principalmente en la información en formato digital y los sistemas interconectados que la capturan, procesan, almacenan o transmiten.

Situación en el mundo en temas de Ciberataques

¿Qué está pasando en el mundo en temas de Ciberataques? De acuerdo al Foro Económico Mundial celebrado en Davos, Suiza en Enero del 2020:Los CiberataquesEl Fraude y robo de DatosAdversidad en los avances tecnológicosLa caída de Infraestructuras CríticasSon 4 de los hitos que se identifican como Riesgos Globales.

Aunque este año se destaca el Cambio Climático, desastres naturales, desastres causados por el hombre, la escasez de agua, las pandemias; en su matriz de riesgos, el impacto por la probabilidad de que ocurran hace mantener alerta al mundo.

El tema es que ya estamos sintiendo y viviendo todo lo que pasa en el mundo en temas ambientales, crisis gubernamentales y aunque poco, ya empezamos a hacer cambios en nuestro día a día, pero y ¿este tema del Ciberespacio?¿por qué seguimos pensando que nosotros no lo vivimos? ¿por qué creemos que los datos que cuidamos de nuestros clientes y empleados no son atractivos para los delincuentes?¿por qué pensamos que los documentos que nos confían no serán sustraídos de nuestras gavetas?¿por qué pensamos que a nosotros no nos va a suceder?En en el mundo el costo total por delitos cibernéticos en el 2019 fue de 300 mil millones de dólares. Del 90% de las reclamaciones cibernéticas tiene que ver

con errores humanos: 66% es negligencia o actos malintencionados de empleados 18% amenazas externas 2% extorsión.

El problema se incrementa en la medida en que las organizaciones crecen sus bases de datos y el riesgo de perderla es más costoso.

CIBERATAQUES EN DESPACHO DE ABOGADOS

Alejandra Pineda Villegas





46

Se dice que un 59% de las empresas carecen de una estrategia en Ciberseguirdad y no hay una cultura de riesgo interna para que empleados y la empresa analicen los incidentes y se puedan tomar soluciones decisivas.

Situación de México en Ciberataques

Estamos viviendo una era digital que no se detendrá y México ocupa el primer lugar en América Latina de países con más ciberataques y es uno de los 10 países más atacados en el

mundo (3er. lugar) según un estudio que aplicó a nivel mundial la empresa Willis Tower Watson.

Comenta que entre 2017 y 2018, el 83% de las empresas mexicanas sufrieron al menos un ciberataque.Sus pérdidas en el 2019 por Ciberataques fue del 3,000 millones de Dólares.

De acuerdo a cifras que el Excelsior comparte el 29 de Febrero, 2020, en México el 95 % de las empresas son PYMES y el 70% ya fueron o serán víctimas de un ciberataque y no cuentan con planes de acción.Del Sector que más se vigila y se documenta es el sector financiero, existe un documento que elaboraron la OEA con el apoyo de la CNBV, llamado Estado de la Ciberseguridad

en el Sistema Financiero Mexicano en agosto del 2019 y para resumir le comparto pese a la presión de las autoridades, las inversiones que se destinan no son suficientes para detener la ola de ataques que reciben.

Podemos partir de romper la falsa idea de que estos temas que tienen que ver con la Tecnología, sólo le interesa a la gente de Sistemas y la realidad es que hoy en día cualquier empresa de cualquier giro, de cualquier profesión que se jacte de ser vanguardista, está

permeada de temas digitales.

Ciberataques en Despacho de Abogados

Las y los abogados navegan en el día a día, se actualizan, estudian, comparten conocimiento, compran en línea, utilizan aplicaciones móviles, manejan herramientas especializadas, se comunican con clientes, proveedores, empleados a través de correo electrónico o en Whatsapp en laptops, celulares o tabletas.

Por recordar algunos casos, en 2016 Panama Papers, tiene una filtración de 2.6 terabytes de información entregada a un periódico alemán en la cual el despacho de abogados llamado Mossack Fonseca era

el responsable de proteger esa información.

En 2017 Appleby y DLA Piper son impactadas por un ransomware llamado Petya. Este mes de febrero 2020 en Estados Unidos, ciberatacantes comprometieron 5 despachos de abogados y pidieron 2 rescates de 100 Bitcoin (más de $933,000 dls en el momento de la publicación).

Una era para restaurar el acceso a los datos y la otra para borrar su copia en lugar de venderla. Entonces díagnme ¿están realmente interesados los Ciberdelincuentes en Despachos de Abogados?

ABSOLUTAMENTE. Son ventanillas únicas para estos atacantes, ya que tienen información valiosa como secretos comerciales, propiedad industrial, datos personales.

Las empresas que realizan trabajos transaccionales enfrentan un mayor riesgo especialmente de piratería porque a menudo tienen aviso previo de fusiones y adqusiciones que podrían afectar al mercado. Al atacar a las firmas de abogados, los Ciberdelincuentes encontraron la puerta de atrás que necesitaban para obtener información valiosa que pueden utilizar para impactar los mercados financieros.

Dentro de los despachos de Abogados de acuerdo con el Informe de Tecnología Legal 2019 de la American Bar Association el 26% de las firmas experimentan una violación

de seguridad de algun tipo y más del 36% han tenido malware o algun otro virus.

En muchas de estas brechas no ha pasado de tener costos de reparación y pago de servicios consultivos, pero la historia no es la misma cuando se tienen que enfrentar a clientes, dar aviso a las autoridades y declarar que hay información confidencial comprometida del cliente. Las empresas más vulnerables son las pequeñas y medianas.

Los ciberdelincuentes aprovechan los hoyos que hay en el desarrollo de software inseguro por lo que hay que mantener al día la actualización de ello. Uno de los ataques mas jugosos es el secuestro de datos, donde a través de ransomware, un ciberatacante instala un programa, bloquea al abogado de sus archivos o de todo su sistema.

Otra forma en la que acceden los Ciberatacantes a la información es a través de aplicaciones inseguras, enlaces, de un correo electrónico con phishing, sitio web o incluso

una USB infectada.

El error humano...

Un número significativo de violaciones de datos proviene de simples errores que se cometen ya sea por no destruir incluso adecuadamente documentos escenciales o por enviar correos a personas equivocadas.

Lo más vulnerable es el ser humano y la falta de capacitación. En México los Despachos de abogados y algunas de las actvidades en el mundo Corporativo son: Contratos de Compra adelantada, Contratos de derivados, Transaccional, Fusiones, Adqusición de activos,



48 49

Participación en consorcios para lograr adjudicaciones, Propiedad Intelectual, Fiscal, Bursátil, Litigios, Inmobiliarias, Mercado de valores, Energía, Mercado de Capitales.

Todos estos, proyectos en su mayoría de gran impacto para la supervivencia, el prestigio, la reputación y el buen nombre de sus Clientes. Por qué no considerar en cada uno de esos valiosos documentos, hay riesgos adquiridos, En BTechC la Ciberseguridad y la Seguridad de la Información se considera desde un enfoque de riesgos y compromete 3 pilares:La Gente, el eslabón mas débil de la cadena y quien tiene, debe y asume el compromiso de cuidar los activos de la organización por lo que a través de Awareness le permiten vivir de manera conciente y responsable el compromiso que se adquiere con la organización. Los Procesos, a través de frameworks que se adoptan y se adaptan a las organizaciones por su tamaño, su cultura y sobre todo su madurez. La tecnología, como parte de las piezas clave de la mitigación de riesgos en una organización que quiere salvaguardar la integridad, disponibilidad y la confidencialidad de su informacion el riesgo operativo y tecnológico que tenemos cada que generamos un nuevo Contrato o mas aún desde que nuestro Cliente confía y genera una lealtad con nosotros.Aquí algunas cifras que se citan de acuerdo al The Armor 2019 Black Market Report al del costo de nuestra información en Dólares.

de Protección de Datos Personales en Posesión de Sujetos Obligados), GDPR (Reglamento General de Protección de Datos) CUB, PLD, HIPAA, entre otros. Es COBIT 5 por ISACA, ISO 27001, ISO 31000 e ISO 38500. Cuenta con Diplomado en Ciberseguridad y Protección de Datos Personales por la UDLAP JENKINS GRADUATE SCHOOL y Diplomado en Protección de Datos Personales por la ELD Escuela Libre de Derecho.

Tiene más de 25 años de experiencia y actualmente es Socia Fundadora y Directora General de BTechC (Business Technology & Consulting).

Mantiene alianzas estratégicas con Empresas de nicho en el medio de la Ciberseguridad.Impulsora de ventas Consultivas del Gobierno de Seguridad de la Información y de producto como ARCHER, Security Analytics, BIA, Detección y Caza de Amenazas, Concientización de Seguridad de la información y Sistemas de Gestión de Seguridad y Protección de Datos Personales y Content Management.

Ha colaborado con Partners de Seguridad de la Información en posiciones como Directora de Gobierno Riesgo y Cumplimiento y ha diseñado, implementado y apuntalado áreas de GRC con los productos y servicios que ofrecen con marcas como RSA, IBM, MICROFOCUS, ARBOR y ATTIVO.Ha colaborado en el Sector Financiero, en proyectos de impacto al negocio con Controles Tecnológicos de Seguridad como Almacenamiento masivo robotizado, Disaster Recovery Planning, Auditoría de TI, Control de Cambios, Acuerdos de Niveles de Servicio con el Negocio generación de métricas e indicadores de desempeño (KPI´s), ha dado soporte a infraestructura de misión crítica, en centros de cómputo en CITI BANAMEX, SANTANDER y PROCESAR.Ha sido profesora en la UP y EDEM.

Alejandra Pineda Villegas

Es Licenciada en Informática por la UNAM, Consultora especializada en Ciberseguridad y Seguridad de la Información desde un enfoque de Riesgos y buenas prácticas alineado al Cumplimiento en: LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares, LGPDPPSO (Ley General

Referencias http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf www.oas.org/es/sms/cicte/documents/informes/Estado-de-la-Ciberseguridad-en-el-Sistema-Financiero-Mexicano.pdf2019-Q3-Report-BlackMarket-SinglePages-1Willis Tower Watson.

En los últimos 10 o 5 años nuestro cerebro ha tenido que aprender asimilar de manera abrupta la palabra riesgo, escuchándola cada vez más en nuestras reuniones, en la prensa, en los oficios de los Supervisores y no solo debemos entender su significado sino todo lo que esta envuelve, nos llevó de una gestión donde las auditorias basadas en un cumplimiento de “check list” cubrían nuestras necesidades y suponíamos no era necesario buscar una nueva forma de gestionar nuestros procesos claves, áreas de negocios y hasta nuestros Gobiernos Corporativos, que por cierto también este último vino a ser un término nuevo para nosotros.

Pero las ultimas crisis económicas vividas en los últimos años, escándalos en grandes compañías nos mostraron que debemos de aprender a actuar de manera preventiva y no reactiva. Lo que nos lleva a buscar como darle un término genérico a la palabra riesgo, entonces podemos acudir a la forma como ISO 31000:2018 lo define como el “Efecto de incertidumbre sobre los objetivos”, la cual

lo explica de una forma muy sencilla bajando el término del “olimpo” donde creemos que se encuentra a nuestra realidad y digo “nuestra” como una palabra inclusiva no especifica al sector en el que me desarrollo, ya que nos dimos cuenta que cualquier sector, área o tipo de negocio puede implementar una Gestión Basada en Riesgo, si cualquiera, hasta nuestras preciadas áreas de Cumplimiento anti lavado y financiamiento al terrorismo y las de Cumplimiento Normativo (Compliance). Es aquí donde viene la incógnita, como logramos implementar una Gestión de Riesgos en áreas donde históricamente y a la fecha en todo el mundo se rigen por cuerpos normativos con listas de tareas a realizar y cumplir, como logro implementar una herramienta o modelo de riesgo a mi Gobierno Corporativo, a mi Cumplimiento Normativo y como logro gestionar mediante una metodología de riesgo lo solicitado por GAFI (Grupo de Acción Financiera Internacional) en sus recomendaciones, es mas muchos nos hemos preguntado si será necesario, a los que les pregunto ¿se podrán presentar posibles escenarios que nos lleven a desviarnos de nuestros objetivos como departamentos?.

Evidentemente se pueden presentar posibles eventos de carácter interno o externo que nos lleven a no presentar un informe, a no cumplir con uno de los cinco reglamentos que debía acatar mi compañía, pueden ser fallos propios de los funcionarios, de los sistemas que nos ayudan a gestionar nuestras labores o provenientes de factores externos a nuestro control.

Y es aquí donde debemos iniciar a romper paradigmas,

“Risk Managementin Compliance” Pablo Sánchez Cordero

http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf

http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf

http://www.oas.org/es/sms/cicte/documents/informes/Estado-de-la-Ciberseguridad-en-el-Sistema-Financiero-Mexicano.pdf

http://www.oas.org/es/sms/cicte/documents/informes/Estado-de-la-Ciberseguridad-en-el-Sistema-Financiero-Mexicano.pdf



50 51

entendiendo que labor que no se puede medir o cuantificar su efectividad se convierte en una labor insostenible en el tiempo incluso obsoleta.

Es importante comprender que no debemos ser matemáticos, estadísticos o muy entendidos en la materia para con un acompañamiento y capacitación adecuada logremos desarrollar una gestión de riesgos que se adapte a mis necesidades, punto clave en la implementación de la misma, ya que nos ofrecerán sistemas sumamente robustos y complejos que posiblemente se conviertan en “trajes” muy grandes para nuestras necesidades, debemos convertirnos en esos sastres que tallemos el “traje” a nuestra medida.

Necesariamente debemos guiarnos por una buena práctica, podemos acudir a estándares de Riesgo Operativo, ISO 31000:2018, ISO 19600:2014 y con esto irle dando forma a nuestra gestión de riesgo, entendiendo que nuestras labores podrían estar vinculadas al riesgo operativo, el cual podemos definir como la posibilidad de ocurrencia de pérdidas financieras originadas por fallas o insuficiencia en los procesos, personas (falta de capacitación), sistemas y otros factores.

Desarrollando una herramienta sencilla que nos valore la probabilidad o frecuencia con la que se pueda presentar un evento negativo (en esta ocasión valoraremos solamente efectos negativos, pero pueden ser lo contrario) y el impacto que estos tendrán en nuestros objetivos, si el resultado de este análisis me indica que la probabilidad de que suceda tendrá un costo significativo en mi área, podemos implementar un control bajo, medio o alto y la frecuencia de este o no del todo no aplicar ninguno ya que no es factible que me vea afectado por este posible evento, entendiendo esto como el ejercicio que debemos seguir para iniciar con un cambio en como gestiono mis procesos, entonces definir el alcance que quiero en mi gestión de riesgos, hasta donde lo requiero, debemos identificar cuáles son nuestras actividades claves, esas en

las que no podemos fallar, analizarlas con el ejercicio de probabilidad o frecuencia e impacto y según el resultado de esto implementar una serie de controles.

Convirtiendo este ejercicio en una primera etapa de la implementación de una gestión de riesgo en mi área, es claro que todo esto lo debemos enmarcar en una herramienta de seguimiento o matriz de riesgo, de la cual podremos hablar como una segunda etapa en la próxima edición.

Pablo Sánchez CorderoLicenciado en administración de negocios, Técnico en riesgos, Cursando Master en Gestión de Riesgos en Seguros (Ealde Business School), siete años de experiencia como Oficial de Cumplimiento, tres en la implementación de Gestión de Riesgos, Gobierno Corporativo, Compliance y Control Interno. Doce años de experiencia en el sector asegurador, Facilitador de capacitaciones para empresas y congresos.

Si quieres obtener gratis uno de los ejemplares que nuestro patrocinador tirant lo blanch nos aporta, sigue la siguiente dinámica:

Participa en nuestra dinámica y gana

• Las respuestas las podrás encontrar en los artículos de esta edición.

• Deberas mandar, preguntas y respuestas al correo [email protected] con tus datos de contacto.

• Debes contestar correctamente todas las preguntas.

• Solo se entrega un ejemplar por cada participante que envíe las preguntas, con las respuestas correctas.

• La dinámica solo tiene vigencia cinco días naturales posteriores a la publicación de la revista.

• Contamos con cierto número de ejemplares

PREGUNTAS1.- ¿Cuáles son los principales riesgos que deben contemplarse en el compliance de propiedad intelectual?

2.-¿Qué es el mapeo de datos personales?

3.- ¿Qué son las Providencias Precautorias en el Proceso Penal?

4.- ¿Cuáles son los tres pilares que BTechC considera desde un enfoque de riesgos a la ciberseguridad y la seguridad de la información?

5.- ¿Cuáles los son los pilares tradicionales que deberían conformar un programa de compliance digital?

6.-Cual es el nombre de la ley que contempla la responsabilidad penal de las personas jurídicas en Costa Rica, y cuando se publicó?

mailto:[email protected]



52 53

La preocupación por los riesgos y la reparación de los daños causados por las máquinas inteligentes exige un nuevo análisis jurídico, a la vista de que la responsabilidad y el aseguramiento de las mismas que precisa delimitar el ámbito en el que nos encontramos y establecer el criterio jurídico de imputación de esa responsabilidad, objetivo que persiguen los autores de esta monografía. Para ello, en la primera parte

de la obra se analizan la responsabilidad civil y el aseguramiento de los robots, su posible personalidad electrónica y el estudio de tres sectores de especial relevancia: la utilización de los robots en el ámbito sanitario, la circulación de vehículos autónomos y el uso de los drones. En una segunda parte, relativa a la responsabilidad derivada de los riesgos cibernéticos, se analizan las distintas responsabilidades civiles, penales y administrativas que se pueden derivar, y el aseguramiento de tales riesgos. La siguiente sección se centra en la responsabilidad por seguridad en las redes y protección de datos, la evaluación de los riesgos en la ciberseguridad y la protección de datos personales, y los derechos de los particulares en el nuevo reglamento general de protección de datos, donde se cuestiona la necesidad de una mayor protección hacia los ciberriesgos.

A continuación, se analiza la responsabilidad laboral en plataformas digitales, a través de un interesante capítulo sobre el levantamiento del velo digital. Y por último, se concluye con una última parte relativa a las perspectivas de futuro de la inteligencia artificial. Se ha tratado, en definitiva, de contribuir, por un lado, al conocimiento de los efectos jurídicos que plantea la progresiva e inevitable incorporación de la inteligencia artificial a las reglas de imputación de la responsabilidad; y, por otro lado, a definir el marco de gestión de las responsabilidades derivadas de los riesgos cibernéticos.

Inteligencia Artificial y Riesgos Cibernéticos. Responsabilidades y

Aseguramiento

Desde la publicación del Código Nacional de Procedimientos Penales en México, la responsabilidad penal de las empresas (compliance) ha cobrado relevancia en el sistema jurídico nacional.

En este libro, diez autoras y autores ?destacados especialistas en la materia

a nivel internacional? exploran, desde diferentes perspectivas, este tema.

La intención es proponer respuestas a preguntas generadas desde el ámbito empresarial y jurídico, por ejemplo: ¿cómo y por qué una empresa puede ser sancionada penalmente?, ¿cuáles son los mecanismos legales para acreditar un debido control organizacional?, ¿qué hacer en caso de una

imputación legal hacia una persona jurídica?

Así, a lo largo de los nueve ensayos que integran esta obra, se plantea la ruta que debe seguirse para la correcta elaboración e implementación de un programade compliance. También, se explican los retos teóricos y prácticos enla materia.

Compliance



54 55

La Marca personal (en inglés Personal Branding) es un concepto de desarrollo personal consistente en considerarse uno mismo como una marca, que al igual que las marcas comerciales, debe ser elaborada, transmitida y protegida, con ánimo de diferenciarse y conseguir mayor éxito en la relaciones sociales y profesionales.

La marca personal persigue que la impresión causada sea duradera y sugiera el beneficio de la relación entre el titular de la marca y el observador. ¿El objetivo? Ser la primera opción entre varias posibilidades. El concepto de marca personal no trata de convertir a las personas en objetos materiales.

De otra forma trata de que la persona no sea catalogada

como un currículum vítae, igual a muchos, sino que la persona sea vista como diferente y capaz de aportar su valor único e irrepetible.

En los tiempos que corren, gestionar una marca personal es algo más que necesario, es ganar un activo que difícilmente se puede valorar.Al igual que las grandes marcas comerciales, aquellos que deseamos ser conocidos y respetados por nuestro trabajo, necesitamos una estrategia clara para desarrollar y posicionar nuestra

TE HAZ PREGUNTADO… ¡Qué es la marca

personal?

marca.

Quien no conoce a Carlos Slim, Steve Jobs, Elon Musk todos ellos son grandes marcas… Igual que los activos inmateriales de las empresas, la marca personal es un activo inmaterial que incluye, pero no se limita, a la apariencia externa y la impresión que se causa y permanece.

También incluye la manera en que la persona se diferencia de los demás. Igual que con las marcas comerciales, la marca personal persigue que la impresión causada sea duradera y sugiera el beneficio de la relación entre el titular de la marca y el observador.La gestión de marca personal no trata de la promoción de una persona, sino esencialmente de tres etapas clave, según la consultora especializada Soymimarca.

Autoconocimiento, Estrategia Personal y Visibilidad.

No es posible promocionar algo que no existe, por tanto se considera que los cimientos de la marca personal están en el mayor conocimiento de uno mismo.

La estrategia persigue la definición de objetivos, propósito, propuesta de valor, modelo de negocio y mensajes. Y finalmente, la visibilidad es el proceso de comunicación de la propuesta de valor para que llegue con claridad a los grupos de interés (clientes, colaboradores, accionistas, proveedores, socios...).

Por lo tanto, comineza desde la imagen, pero aquello que determina, el ser diferentes a los demás, es la suma de nuestro trabajo, conocimientos, aptitudes y sobre todo ¡Quien queremos ser!

LIC. JESÚS DE HERRERA HORTA.

Cursó la Licenciatura en Derecho por la Universidad AutEs Licenciado en Comercio Internacional, también tiene un posgrado en Relaciones Publicas, y Diplomados en el área de Imagen empresarial, e Imagen personal.Desde hace 10 años se desarrolla como Asesor de Imagen. Ha impartido cursos a empresas para mejorar la imagen de la empresa por medio de los colaboradores de la misma. Así mismo a impartido varias platicas en diferentes eventos empresariales. Al mismo tiempo cuenta con un show room de retail de Prendas nas para caballero.En el mes de marzo de este año, comenzó con un nuevo proyecto: La fabricación de las más nas Camisas a la Medida.Correo:[email protected] y [email protected]

http://es.wikipedia.org/wiki/Marca



56

55 1951 0403

[email protected]

www.conacom.org

/conacomx

/CONACOMX

entrevista a: joel · entrevista a: joel ... los profesionistas a conocerlas a través de la...

Documents