riesgos inherentes a la actividad empresarial: compliance

MÁSTER UNIVERSITARIO DE ACCESO A LA PROFESIÓN DE ABOGADO

DIPLOMA EN FISCALIDAD

BILBAO, 3 DE FEBRERO 2021

“RIESGOS INHERENTES A LA ACTIVIDAD EMPRESARIAL: COMPLIANCE PENAL Y

MECANISMOS DE CONTROL EN RELACIÓN CON LA PROTECCIÓN DE DATOS”

Dª. GABRIELA VILLANUEVA SENRA

ÍNDICE

1. INTRODUCCIÓN .................................................................................................................... 1

2. SUPUESTO PRÁCTICO ........................................................................................................... 2

2.1. PLANTEAMIENTO INICIAL: DESCRIPCIÓN DEL CASO ..................................................... 2

2.2. LA RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA: art. 31 bis CP. ..................... 3

3. INTRODUCCIÓN DEL COMPLIANCE COMO HERRAMIENTA PARA LA PREVENCIÓN DE

DELITOS ......................................................................................................................................... 7

3.1. ANTECEDENTES: CÓMO SURGE EL COMPLIANCE ......................................................... 7

3.2. LA IMPERIOSA NECESIDAD DE IMPLEMENTAR UN EFECTIVO MODELO DE

COMPLIANCE ............................................................................................................................. 8

3.3. DELITOS EN QUE PUEDE INCURRIR UNA PERSONA JURÍDICA ..................................... 10

4. COMPLIANCE PENAL ........................................................................................................... 13

4.1. MEDIDAS A ADOPTAR PARA LA PREVENCIÓN DE DELITOS ......................................... 13

4.2. CÓDIGO ÉTICO DE CONDUCTA .................................................................................... 18

4.3. EL COMPLIANCE OFFICER COMO EJE CENTRAL DE LOS MECANISMOS DE CONTROL 20

4.4. CAUSAS DE EXENCIÓN DE LA RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA . 23

5. EXCURSO: LA RELACIÓN CON LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL ..... 24

5.1. REGULACIÓN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES ............................. 24

5.2. RIESGOS: ESPECIAL ATENCIÓN A LA IMPORTANCIA DE LA PROTECCIÓN JURÍDICO-

PENAL DE LAS COMUNICACIONES TELEMÁTICAS. .................................................................. 26

5.3. DELITO DE DESCUBRIMIENTO Y REVELACIÓN DE SECRETOS ...................................... 28

6. CONCLUSIONES ................................................................................................................... 34

ABREVIATURAS

Art. Artículo

CE Constitución Española

CFGE Circular de la Fiscalía General del Estado

CP Código Penal

DPO Delegado de Protección de Datos

Ed. Editorial

Etc. Etcétera

IRPF Impuesto sobre la Renta de las Personas Físicas

LO Ley Orgánica

LOPDGDD Ley Orgánica de Protección de Datos

Núm. Número

Pág. Página

RGPD Reglamento General de Protección de Datos

SAP Sentencia de la Audiencia Provincial

STC Sentencia del Tribunal Constitucional

STS Sentencia del Tribunal Supremo

SSTC Sentencias del Tribunal Constitucional

SSTS Sentencias del Tribunal Supremo

TS Tribunal Supremo

UE Unión Europea

RIESGOS INHERENTES A LA ACTIVIDAD EMPRESARIAL: COMPLIANCE PENAL Y MECANISMOS DE CONTROL EN RELACIÓN CON LA PROTECCIÓN DE DATOS

1

1. INTRODUCCIÓN

Las estructuras empresariales han constituido desde siempre un foco favorecedor de la actividad criminal. A pesar de ello, no ha sido hasta hace apenas una década cuando se ha reconocido la capacidad de delinquir de la persona jurídica, dejándose atrás el aforismo latino en virtud del cual societas delinquere non potest.

Este cambio de paradigma no ha tenido como único efecto la posibilidad de sancionar a las empresas, sino que lo que ha logrado principalmente es promover una verdadera concienciación de actuar con la mayor diligencia posible y con el mayor grado de cumplimiento con la normativa vigente aplicable. Además, las consecuencias de un mal funcionamiento o de una empresa en la cual se cometen delitos no se reducen únicamente a las sanciones penales, sino que afectan al crecimiento económico y causan perjuicios sociales y reputacionales a la sociedad.

Por todo ello, y con el fin de conseguir un ambiente empresarial transparente y legal, se reclamaba con urgencia el establecimiento de la obligación del cumplimiento legal por parte de las personas jurídicas, al igual que se exige la misma obligación a las personas físicas, bajo la amenaza de sanciones que no supongan únicamente una responsabilidad civil. Las últimas reformas del Código Penal, referentes a la responsabilidad penal de la persona jurídica, han sido consecuencia de lo que se acaba de explicar, de ahí el nacimiento del Corporate Compliance, como forma de autorregulación de las empresas para poder cumplir con las normativas. No es este cambio en el Ordenamiento lo que nos interesa en el presente trabajo, sino la trascendencia de los efectos derivados de esta reforma, lo que va a ser objeto de este trabajo.

El Compliance es, en palabras del profesor JAVIER PUYOL MONTERO, “aquel conjunto de procedimientos y de buenas prácticas adoptados por las compañías, organizaciones, y demás personas jurídicas, a los efectos de poder identificar y clasificar los riesgos operativos y los de carácter legal a los que se enfrentan, y, así poder establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos1.”

Paralelamente, vivimos en la era digital, donde internet se presenta como una herramienta que se ha convertido en algo muy frecuentemente utilizado por todos, tanto para trabajar como para realizar cualquier tipo de actividad profesional, de investigación, de ocio, de cultura, etc. En ese aspecto, los sistemas informáticos de tratamiento de datos han ido adquiriendo cada vez más importancia en la sociedad de la información en la que vivimos, y han cobrado una gran importancia en nuestra vida privada como colectiva. Diariamente son tratados millones de datos a través de internet, datos que las empresas ostentan sobre clientes, proveedores, trabajadores etc. El riesgo que existe de una mala utilización de todos esos datos es muy alto, por lo que urgía una regulación legal al respecto. Así surgió la necesidad de crear una normativa que regule

1 Puyol Montero, J. (2020) “Compliance y protección de datos, dos caras de una misma moneda”, Confilegal. [en línea] Disponible en: https://confilegal.com/20200227-compliance-y-proteccion-de-datos-dos-caras-de-la-misma-moneda/

https://confilegal.com/20200227-compliance-y-proteccion-de-datos-dos-caras-de-la-misma-moneda/


2

la forma en que tienen que realizarse estos tratamientos de datos personales (Reglamento (UE) 2016/679 y LOPDGDD) para que no se hagan de forma arbitraria y para que los titulares de los datos tengan plena disposición sobre ellos. En esta línea, adquiere relevancia el delito de descubrimiento y revelación de secretos, que afecta directamente al derecho a la intimidad personal de los titulares de los datos (en algunos casos secretos) y que será analizado al final del trabajo. En cualquier caso, sean secretos o no los datos, debe respetarse, por todos, el principio de confidencialidad, y los datos y secretos que obtiene una empresa acerca de cualquier persona o entidad deben mantenerse inaccesibles para terceras personas que no estén autorizadas a conocer esa información. De lo contrario, aquel que vulnere la confidencialidad, puede incurrir en el delito de descubrimiento y revelación de secretos del art. 197 quinquies CP, pudiendo incluso extender la responsabilidad penal a la empresa.

El tema sobre el que versa el presente trabajo ha sido escogido en base a un interés personal en el mundo de la empresa, y, más concretamente, en la prevención de los delitos que pueden cometerse en su seno, y se expondrá a partir de un caso práctico que ilustrará la materia.

Es por ello por lo que se ha puesto el foco de atención en el análisis de aquellos delitos que pueden suponer una responsabilidad penal para la empresa, de manera que pueda ser comprendido el contexto en el que operan los mecanismos para la prevención de estos delitos siendo estos últimos lo que puede considerarse materia de Compliance penal. Además, dado que los riesgos legales a los que pueden estar expuestas las organizaciones trascienden el orden penal, ha sido deseo de esta parte introducir algunos aspectos de la prevención de infracciones de tipo civil o administrativo, como puede ser la materia de protección de datos personales, cuyos mecanismos de prevención son, además, idóneos para gestionar eficazmente el riesgo de la comisión de delitos como el delito de revelación de secretos, estableciendo un sistema de gestión del riesgo en entornos digitales.

2. SUPUESTO PRÁCTICO

2.1. PLANTEAMIENTO INICIAL: DESCRIPCIÓN DEL CASO

El señor Francisco Martínez Álava acude a mi despacho de abogados en busca de asesoría jurídica acerca de la situación de su negocio: Francisco ha creado una empresa de juego, dedicada a la actividad del juego y apuestas. Lleva tres años con el negocio y hasta el momento está obteniendo grandes beneficios.

La empresa cuenta con una gran cantidad de datos personales de los clientes como correos, direcciones, datos identificativos, incluso cuenta con un registro que contiene información sobre la cantidad de dinero que invierte en juego cada cliente, diferenciando los clientes normales de los clientes premium. Estos últimos son aquellos que, por el análisis de su perfil personal a través de sus datos, se conoce que tienen más tendencia a gastar y a ser más activos en la plataforma de apuestas. Esta información es absolutamente confidencial, ya que puede ser muy valiosa para otras empresas, y debe ser salvaguardada con la máxima diligencia con el fin de evitar filtraciones o usos


3

indebidos de estos datos. Un mal uso de la información personal de los clientes podría causar graves consecuencias para el titular de los datos lesionando su intimidad.

Francisco quiere saber cuáles son los riesgos para la empresa, sobre todo en relación con la protección de estos datos y a la posible mala utilización de estos, pero también quiere saber cuáles son los riesgos a los que se enfrenta su empresa, la responsabilidad penal que puede llegar a tener ésta y cuáles son las medidas idóneas para prevenir las posibles conductas ilícitas, sobre todo en relación con los datos personales que posee la empresa.

Como abogado, debo comenzar explicando a Francisco que la persona jurídica puede llegar a tener responsabilidad penal, según lo establecido en el art. 31 bis CP. Consiguientemente, será necesario explicar lo que es el Compliance penal, cómo se aplica éste en las empresas, cuáles son los delitos en los que puede incurrir con actuaciones ilegítimas, así como el resto del personal, y la forma de prevenir y evitar -en la medida de lo posible- que se cometan. Con lo cual, habrá que explicar al Sr. Francisco cuales son las medidas que la empresa debe adoptar en relación con los posibles riesgos, para mantener una legalidad estable y un ideal espíritu corporativo.

2.2. LA RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA: art. 31 bis CP.

Para explicar al Sr. Francisco la responsabilidad penal que puede asumir su empresa, es preciso comentar cómo se produjo la introducción de la responsabilidad penal de la persona jurídica en el Ordenamiento jurídico, ya que ésta no fue introducida en el Código Penal hasta el año 2010, y su regulación penal ha sufrido reformas hasta su consolidación. El cambio que ha sufrido nuestro Ordenamiento en materia de responsabilidad penal de las personas jurídicas tiene una enorme cabida, y el proceso de armonización en esta materia ha sido largo para llegar a la situación actual. El principio tradicional romano “societas delinquere non potest”, que protegía a las sociedades y defendía que estas no podían sufrir penas sino que sólo podían ser susceptibles de responsabilidad civil, se mantuvo hasta la reforma del Código Penal de 2010.

La responsabilidad penal de las personas jurídicas es una materia que ha creado mucha polémica en el Derecho español y su regulación legal ha estado en constante evolución desde hace décadas. La relevancia de que esta materia haya sido finalmente incluida en el Código Penal es la razón por la que debe estudiarse esta evolución desde su comienzo. La creciente importancia de las empresas y su complejidad hace que muchos delitos económicos que se cometen tengan que ver con éstas y con sus actividades. Esto tiene un evidente impacto negativo, ya que, además de dificultar la transparencia en los mercados, lesionan tanto a la competencia, con sus actividades ilícitas, como al consumidor, que puede llegar a verse perjudicado por los actos lesivos de la entidad2.

2 Jaén Vallejo, M. Perrino, A.L. (2015) “La Reforma Penal de 2015, Análisis de las principales reformas introducidas en el Código Penal por las leyes orgánicas 1 y 2 / 2015, de 30 de marzo”. Madrid. Ed. Dykinson, pág. 46.


4

Lo cierto es que la responsabilidad penal de la persona jurídica constituye uno de los temas centrales de discusión en la dogmática penal y la doctrina se ha dividido entre acérrimos detractores y fervientes defensores de esta figura. Entre los primeros destaca el profesor LUIS GRACIA MARTÍN, catedrático de derecho penal en la Universidad de Zaragoza, recientemente fallecido, que sostenía que “toda responsabilidad que pueda ser imputada a la persona jurídica, únicamente puede tener lugar en los campos del Derecho civil y del Derecho administrativo no sancionador en sentido estricto”3. Entre los segundos encontramos, por ejemplo, a SILVINA BACIGALUPO, que afirma que “la argumentación tradicional para negar la responsabilidad de la persona jurídica se fundamenta en su supuesta falta de capacidad de acción y culpabilidad”4.

De este modo, hasta 2010 la persona jurídica sólo podía ser responsable subsidiaria o solidariamente. Hasta entonces, la ley preveía una serie de “consecuencias accesorias” para la persona jurídica, cuyo administrador fuese, en tal condición, autor del delito (art. 129 CP). Además, no se requería que la entidad u organización tenga personalidad jurídica. Quien respondía ante estos delitos era la persona física que había actuado a través de la sociedad. La inclusión en el Ordenamiento de la responsabilidad penal de la persona jurídica era necesaria para tratar de hacer frente a lo quegra la doctrina ha denominado “irresponsabilidad organizada”, un concepto que DE URBANO CASTRILLO, magistrado de la Audiencia Provincial de Madrid, define como “un modo con el cual se dificultaba la investigación y se proporcionaba oportunidades adicionales de lograr la impunidad o el deslizamiento de la responsabilidad hacia los niveles más bajos de la estructura jerárquica empresarial” 5.

Tras la reforma de 2010, con la entrada en vigor de la LO 5/2010 de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, 23 de noviembre, del Código Penal, se modificó la regulación de esta materia, lo que supuso uno de los cambios más sustanciales en el Derecho penal empresarial español. Ya en el preámbulo de esta ley por la que se modifica el Código Penal, se anunciaba la inclusión de la responsabilidad penal de las personas jurídicas. Esta Ley presentaba, en su art. 31 bis CP: la forma que deben revestir los delitos cometidos por una persona jurídica para que ésta responda penalmente, las penas correspondientes en el art. 33.7 CP, y las reglas de aplicación de estas penas en el art. 66 bis CP. Además, esta Ley preveía una serie de consecuencias accesorias en el art. 129.1 CP, aplicables a las personas jurídicas.

A partir de ese momento el Ordenamiento admite a la persona jurídica como sujeto de responsabilidad penal de determinados delitos cometidos por sus administradores de hecho y de derecho en el ejercicio de su cargo, y por aquellos que hayan estado sometidos a su autoridad. Lo cierto es que esta ley presentaba amplias

3 Gracia Martín, L. (2016). “Crítica de las modernas construcciones de una mal llamada responsabilidad penal de la persona jurídica” Revista electrónica de ciencia penal y criminología, RECPC 18-05. 4 Dª Bacigalupo Sagesse, S. (1997) “La Responsabilidad Penal de las Personas Jurídicas, un estudio sobre el sujeto penal”. Tesis doctoral no publicada. Universidad Autónoma de Madrid, Facultad de Derecho, Departamento de Derecho Público. 5 De Urbano Castrillo, E. (2017) ‘La responsabilidad penal de las personas jurídicas’. En: Puyol Montero, J. Guía para la implantación del Compliance en la empresa. Ed. Wolters Kluwer, pág. 87.


5

lagunas de índole procesal y sustantiva6. Las de naturaleza procesal fueron cubiertas en lo posible por la Ley 37/2011 de 10 de octubre, de medidas de agilización procesal, y las de orden sustancial son las que cinco años más tarde se intentaron cubrir con la LO 1/2015 de la que hablaremos a continuación.

El 1 de julio de 2015 entró en vigor la Ley Orgánica 1/2015 por la que se modificó de nuevo el Código Penal. Esta ley introdujo una serie de cambios en la redacción del art. 66 bis y 31 bis CP. En este último se concreta perfectamente en qué situaciones responderá penalmente la persona jurídica, dependiendo de la persona física que haya cometido el delito a través de la empresa, y en qué situaciones ésta estará exenta de responsabilidad por haber adoptado y ejecutado programas de prevención de delitos eficaces. Sin embargo, se plantea el problema de determinar la relación que existe entre la responsabilidad penal de la persona jurídica con la de las personas físicas que han cometido el delito o tomado las decisiones7. La LO 1/2015 añade tres nuevos artículos, 31 ter, 31 quater y 31 quinquies CP que reproducen el contenido de los apartados 2º, 3º, 4º y 5º del art. 31 bis CP original, extendiéndose en el régimen de responsabilidad a las sociedades mercantiles públicas8. Del mismo modo, se amplía el abanico de delitos respecto a los cuales las personas jurídicas pueden tener responsabilidad penal.

Se aprecian, por lo tanto, en el actual art. 31 bis CP, dos modelos fundamentales que sustentan la responsabilidad penal de las personas jurídicas. De un lado, el Ordenamiento atribuye la responsabilidad penal a la persona jurídica entendiendo que la actuación siempre viene precedida por la actuación de una persona física, que ha actuado a través o en beneficio de la persona jurídica; siempre que haya una conexión entre el delito y la sociedad, le es atribuible a esta última la responsabilidad penal, lo que se conoce como responsabilidad por transferencia, indirecta, o derivada. De otro lado, el Ordenamiento establece un sistema de imputación propio de la persona jurídica, entendiendo que, de acuerdo con los conceptos de acción, culpabilidad, punibilidad etc., es la persona jurídica propiamente quien comete el delito ya sea por una acción o por una omisión de la obligación de establecer mecanismos de vigilancia y control. Se habla de la responsabilidad directa o autónoma de la persona jurídica9.

Carece de lógica pensar que cualquier persona, ya sea física o jurídica puede desobedecer la ley sin ser sancionado por ello de la forma que corresponda, ya que la Constitución establece que un Estado de Derecho se basa en el respeto a la ley por todos los destinatarios de la norma (9.1 CE). Este principio constitucional en el que se basa la seguridad jurídica deja margen al legislador para regular en materia penal lo que considere digno de reproche penal. La persona jurídica, a pesar de no tener conciencia

6 Jaén Vallejo, M., Perrino, A.L. La Reforma penal… Op. Cit. Pág. 49. 7Quintero Olivares, G. (2016). “Los delitos económicos”. Barcelona. Ed. UOC. [en línea] Disponible en https://elibro.net/es/ereader/universidadcomplutense/57739?page=49 8 Fiscalía General del Estado Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. 9 CFGE 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015.

https://elibro.net/es/ereader/universidadcomplutense/57739?page=49


6

propia, puede y debe establecer mecanismos de control que prevean y sobre todo eviten la comisión de delitos para no responder penalmente.

Lo cierto es que el Código Penal no solo prevé la posible atenuación de la responsabilidad penal de la persona jurídica en los casos en que, con posterioridad a la comisión del delito, ésta haya ayudado -por medio de alguna de las actuaciones recogidas en el artículo- de forma proactiva a mitigar el problema (art. 31 quater CP); sino que también prevé la posibilidad de que la persona jurídica quede exenta de responsabilidad penal en algunos casos (31 bis.2 y 31 bis.4 CP).

Así, los artículos 31 bis.2 y 31 bis.4 CP hablan la exención de la responsabilidad penal cuando se hayan adoptado, antes de la comisión del delito, “modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión”. Estos modelos deben ser efectivos para que la persona jurídica quede exenta de responsabilidad penal, y es importante que estos hayan sido implementados en la organización antes de la comisión del delito. Estos modelos de organización y gestión son los que hoy en día constituyen el Compliance. El hecho de que los modelos de organización a los que se refiere el art. 31 bis.2 CP sean adoptados y ejecutados previamente a la comisión del delito es fundamental para que la persona jurídica quede exenta de responsabilidad penal, de forma que, si son adoptados con posterioridad al hecho delictivo, ésta regla de exención no podrá aplicarse.

Por último, debe hacerse una pequeña mención al requisito de actuar en “beneficio directo o indirecto” de la persona jurídica, exigido por el art. 31 bis CP para atribuir la responsabilidad penal a ésta. La LO 1/2020 hablaba de “provecho”, pero con la reforma de 2015 y la nueva redacción del artículo que dice literalmente “en beneficio directo o indirecto”, se abre el elenco de posibilidades, pudiendo incluirse ahora daños y perjuicios de orden reputacional10. Así lo confirmó el Tribunal Supremo en la STS núm. 154/2016, que, a pesar de aclarar que debe interpretarse de forma casuística, el término “beneficio” que emplea el legislador en este artículo hace referencia a: “cualquier tipo de ventaja, incluso de simple expectativa o referida a aspectos tales como la mejora de posición respecto de otros competidores, etc., provechosa para el lucro o para la mera subsistencia de la persona jurídica en cuyo seno el delito de su representante, administrador o subordinado jerárquico se comete.” 11.

Una vez establecida la premisa de que la persona jurídica puede ser titular de responsabilidad penal en caso de no haberse adoptado las medidas de prevención, es conveniente realizar una introducción al Compliance penal, esto es, el cumplimiento de la normativa aplicable. El Compliance será la herramienta clave para prevenir y evitar las posibles conductas delictivas dentro de la empresa del Sr. Francisco.

10 De Urbano Castrillo, E. ‘La responsabilidad penal de la persona jurídica’. En: Puyol Montero, J. (2017). Guía para la implementación de Compliance en la empresa. Págs. 86-106. 11 STS, Sala de lo Penal, núm. 154/2016, de 29 de febrero 2016, FJ 13.


7

3. INTRODUCCIÓN DEL COMPLIANCE COMO HERRAMIENTA PARA LA PREVENCIÓN DE DELITOS

3.1. ANTECEDENTES: CÓMO SURGE EL COMPLIANCE

El Compliance tiene su origen en el Derecho de los Estados Unidos, donde en 1909 se reconoció por primera vez la responsabilidad penal de la persona jurídica. Fue la Sentencia del 23 de febrero de 1909 de la Corte Suprema de los Estados Unidos12 la que impuso por primera vez sanciones a las empresas para que estas adopten una verdadera concienciación e implementen códigos de conducta a seguir. Más tarde, en los años 70, se destaparon numerosos casos de corrupción, en los que empresas estadounidenses habían sobornado a las autoridades extranjeras. El escándalo fue muy polémico y el Departamento de Justicia de Estados Unidos lo publicó en el Foreign Corrupt Practices Act (FCPA), la Ley de prácticas corruptas en el extranjero. Esta ley fue la que por primera vez estableció la obligatoriedad de adoptar programas de prevención de la corrupción y de responsabilidad social corporativa.

En 1991 entraron en vigor las United States Sentencing Guidelines for Organizations, se trata de una guía que contiene una serie de directrices y orientaciones para ser seguidas por los Jueces y Tribunales a la hora de juzgar a las personas jurídicas, y que preveía el establecimiento de “programas eficaces para prevenir y detectar violaciones de la ley” por las organizaciones empresariales13. Estas directrices han estado vigentes hasta la actualidad con algunas modificaciones realizadas a partir del año 2002.

Sirva esto de introducción para establecer la premisa de que el Compliance solamente es plenamente efectivo si es eficaz, es decir, si los programas y protocolos que se implementan tienen como finalidad promover una conducta corporativa basada en la ética y en el cumplimiento de la legalidad, y cerciorarse de que todos los trabajadores la adoptan.

Por último, la OCDE juega un papel importante en este escenario, ya que la Convención de la OCDE aparece tras promulgarse la “Recomendación Revisada para combatir el cohecho en las transacciones comerciales internacionales”, de 23 de mayo de 1997, en la cual ya se contemplaba la necesidad de adopción de medidas eficaces para disuadir, prevenir y combatir la corrupción de autoridades extranjeras.

La primera sentencia que reconoció la responsabilidad penal de las personas jurídicas en España, tras las mencionadas reformas del Código Penal, y la entrada en vigor de las Leyes Orgánicas 5/2010 y 1/2015, fue la Sentencia de la Sala Penal del Tribunal Supremo núm. 154/2016, por la que se confirma la condena impuesta por la Audiencia Nacional a tres empresas por un delito contra la salud pública. En ella, el tribunal reconoce y atribuye la responsabilidad penal de la persona jurídica basando su

12 New York Central R.R v. United States. https://casetext.com/case/new-york-central-rr-v-united-states . 13Extracto de United States Sentencing Guidelines for organizations, SECCIÓN 8A1.2 INSTRUCCIONES DE APLICACIÓN—ORGANIZACIONES. [en línea] Disponible en https://legacy.trade.gov/goodgovernance/adobe/Bus_Ethics_sp/apendices/apendices_h_extractos.pdf.

https://casetext.com/case/new-york-central-rr-v-united-states

https://legacy.trade.gov/goodgovernance/adobe/Bus_Ethics_sp/apendices/apendices_h_extractos.pdf


8

argumentación en que, en primer lugar, el delito se ha cometido por una persona jurídica, y, en segundo lugar, ha habido un incumplimiento por falta de vigilancia (culpa invigilando) o prevención para evitar la comisión del delito14.

Surge un inconveniente y es que muchas veces, las grandes empresas, y por tanto con grandes riesgos, operan en varios territorios, tanto nacionales como internacionales, estando sometidos al mismo tiempo a varios Ordenamientos jurídicos con legislaciones diferentes, por lo que es necesario el establecimiento de un sistema de responsabilidad penal armonizado y sencillo15.

3.2. LA IMPERIOSA NECESIDAD DE IMPLEMENTAR UN EFECTIVO MODELO DE COMPLIANCE

En relación con los riesgos por los que preguntaba el Sr. Francisco, en Compliance, los riesgos son aquellos que dan pie a que una organización pueda sufrir sanciones, multas, pérdidas financieras o incluso la pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad16. Esta es una definición muy completa de lo que son los riesgos de Compliance, ya que no se refiere únicamente al incumplimiento de las normas legales, sino también a códigos de conducta guiados por los principios y valores que lideran la empresa, cuyo incumplimiento puede traer consecuencias como pérdidas o sanciones. Más allá de la definición del término Compliance, cabe añadir que una función de Compliance independiente es un elemento esencial de la segunda línea de defensa de la organización. Esta función debe asegurar, junto con otras obligaciones, que la organización actúa con integridad y coherencia, y cumple con las leyes, normativas y políticas internas que le sean de aplicación17. (Comité de Supervisión Bancaria de Basilea, 2015).

Con todo esto se puede concluir que el Compliance va un paso más allá del cumplimiento de las normas dentro del marco legal. El enfoque ético, los principios, valores, códigos de conducta y normativa interna de la empresa son también límites que se tienen en cuenta a la hora de gestionar la organización y evaluar los riesgos.

Para asegurar el cumplimiento normativo y velar por el buen funcionamiento de la empresa dentro del marco legal y ético, resulta necesario implementar un efectivo modelo o sistema de control interno de vigilancia, como ya prevé el art. 31 bis. Todas las sociedades que quieran operar en el mercado deben ser capaces de implementar estos modelos de control para la prevención de delitos. La introducción de estos modelos de control no solo son una ventaja para garantizar la buena conducta de la empresa y de todos los que la componen, sino que, además, el Código Penal permite, en algunos casos, que las personas jurídicas estén exentas de responsabilidad, como establece el art. 31 bis CP. Esta exención de responsabilidad penal, como se verá más

14 STS núm. 514/2016 de 2 de septiembre 2016. Rec. 111/2015. 15 Aguilar Sáenz, J. L., Jiménez Rodríguez, J.A., De Blas Herrero, C. (2018). ‘Corporate compliance’. En: Compliance: Responsabilidad penal de la persona jurídica y la mediación organizacional. Formularios y norma UNE 19601. Madrid. Ed. Tébar Flores. Pág. 72. 16 Definición dada por Compliance and the Compliance function in Banks publicado por el Comité de Supervisión Bancaria de Basilea en el año 2005. [en línea] Disponible en: https://www.bis.org/publ/bcbs113.pdf. 17 Comité de Supervisión Bancaria de Basilea, 2015, Principio 9, Cumplimiento, pág. 33.

https://www.bis.org/publ/bcbs113.pdf


9

adelante, solo tiene lugar en aquellos casos en que la sociedad haya implementado “modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión” 18.

Este precepto contempla la posibilidad de excluir la responsabilidad de la persona jurídica si ésta ha adoptado programas de prevención de delitos. Y más allá del programa de prevención de actos ilícitos, el fundamento de esta necesidad es la adecuación de las prácticas de la empresa y de todos sus trabajadores, en todos los ámbitos, al marco jurídico legal y a los códigos internos y éticos que le son de aplicación.

Además, en el apartado quinto de este mismo art. 31 bis CP, párrafo segundo, se especifica el concepto de “medidas de vigilancia y control” y aclara que “Establecerán -los modelos de organización y gestión- protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos”.

La Fiscalía del Estado se ha pronunciado sobre este precepto e interpreta que: “La obligación de establecer un sistema disciplinario adecuado que sancione el incumplimiento de las medidas adoptadas en el modelo, recogida en el quinto requisito, presupone la existencia de un código de conducta en el que se establezcan claramente las obligaciones de directivos y empleados” 19.

En conclusión, existe la posibilidad de que la persona jurídica no tenga que responder penalmente por algunos delitos que se cometan, siempre y cuando se hayan adoptado las medidas necesarias y efectivas para tratar de evitarlos. El Código Penal permite la exención de responsabilidad penal a las personas jurídicas en los casos en que las organizaciones hayan adoptado procedimientos y protocolos que supervisen el funcionamiento y las actuaciones de la persona jurídica. Pero no hay que perder de vista que la razón de ser del Compliance no es únicamente evitar la posible sanción penal, sino que el objetivo fundamental es el correcto funcionamiento de una sociedad que cumple con todos los aspectos legales y éticos que le son de aplicación.

Estos modelos de prevención deben ser adoptados e interiorizados por todo el personal de la empresa, sobre todo por los cargos de alta dirección, quienes deben implicarse especialmente, llevando a cabo en todo momento conductas encaminadas a evitar la comisión de un delito. Además, la alta dirección debe promover una “cultura de cumplimiento”, de la que deben dar ejemplo en el seno de la empresa20. Deben inculcar los valores como unión, implicación y compromiso, de forma que el crecimiento de la empresa se produzca en un ambiente corporativo y que cumpla todas las normativas aplicables. Esta implicación de la alta dirección es conocida por las normas internacionales de estandarización como “Tone at the Top”.

18 Artículo 31 bis, apartado segundo, del Código Penal. 19 Circular de la Fiscalía del Estado Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. 20 Gómez Berruezo, I. (2017) ‘Diseño de un modelo de Compliance’. En: Puyol Montero, J. Guia para la implementación… Op. Cit. Págs. 212-213.


10

Así, estos modelos de control se definen como el conjunto de sistemático de esfuerzos llevado a cabo por todos los integrantes de una empresa con la finalidad de evitar que las actividades de ésta vulneren la legislación aplicable. Existe una verdadera necesidad de controlar los riesgos que surgen en una empresa de forma eficaz, en primer lugar, para mejorar el desempeño en lo referente al cumplimiento normativo, pero también para cumplir más eficazmente todos los objetivos de la empresa, y para crearse una buena imagen corporativa21.

3.3. DELITOS EN QUE PUEDE INCURRIR UNA PERSONA JURÍDICA

Para resolver la duda del Sr. Francisco acerca de los delitos que pueden ser cometidos por la persona jurídica, es preciso señalar que las personas jurídicas no responden penalmente ante cualquier conducta delictiva, sino que la lista de posibles delitos atribuibles a una empresa sigue un sistema de “numerus clausus”, de forma que se puede extraer del Código Penal un listado de delitos que el legislador ha calificado como atribuibles a las personas jurídicas.

Los delitos que pueden ser cometidos por una persona jurídica son aquellos que se exponen a continuación, el listado ha sido ampliado desde 2010 y es el siguiente:

Delitos Artículo

CP

Regulación propia

Tráfico ilegal de

órganos humanos

156 bis. 3 Ley 30/1979, de 27 de octubre, sobre extracción

y trasplante de órganos y se desarrolla en el Real

Decreto 1723/2012, de 28 de diciembre.

Trata de seres

humanos

177 bis. 7 L.O. 4/2000, de 11 de enero, sobre derechos y

libertades de los extranjeros en España y su

integración social.

Prostitución,

explotación sexual y

corrupción de

menores

189 bis

Descubrimiento y

revelación de secretos

/ allanamiento

informático

197

quinquies

L.O. 3/2018, de 5 de diciembre, de Protección

de Datos Personales y garantía de los derechos

digitales.

Estafas 251 bis

Frustración de la

ejecución

258 ter

Insolvencias punibles 261 bis Ley 22/2003, de 9 de julio, Concursal (arts. 164-

21 López Rodríguez, O. (2017), ‘Gestión del riesgo de Compliance y su control’. En: Puyol Montero, J. Et. Al. Guia para la implementación…. Op. Cit. Págs. 235-240.


11

165).

Daños informáticos 264

quater

Contra la propiedad

intelectual e

industrial, el mercado

y los consumidores

288 Entre otras, la Ley 24/2015, de 24 de julio, de

Patentes.

Ley 17/2001, de 7 de diciembre, de Marcas.

Ley 3/1991, de 10 de enero de Competencia

Desleal.

Real Decreto Legislativo 1/2007, de 16 de

noviembre, por el que se aprueba el texto

refundido de la Ley General para la Defensa de

los Consumidores y Usuarios y otras leyes

complementarias, así como la Ley 34/1988, de

11 de noviembre, General de Publicidad.

Ley 15/2007, de 3 de julio, de Defensa de la

Competencia.


octubre, por el que se aprueba el texto

refundido de la Ley del Mercado de Valores.

Blanqueo de capitales 302.2 Ley 10/2010 de 28 de abril, de prevención del

blanqueo de capitales y de la financiación del

terrorismo Real Decreto 304/2014 de 5 de mayo

por el que se aprueba el Reglamento de la Ley

10/2010, de 28 de abril, de prevención del

blanqueo de capitales y la financiación del

terrorismo.

Financiación ilegal de

los partidos políticos

304 bis. 5 Ley Orgánica 8/2007, de 4 de julio, sobre

financiación de los partidos políticos.

Contra Hacienda

Pública y la Seguridad

Social

310 bis Ley 58/2003, de 17 de diciembre, General

Tributaria, etc.

Contra los derechos

de los ciudadanos

extranjeros

318 bis.5

Urbanización,

construcción y

edificación no

319.4 Real Decreto 1346/1976, de 9 de abril, por el

que se aprueba el texto refundido de la Ley

sobre Régimen del Suelo y Ordenación Urbana


12

autorizada Real Decreto 2187/1978, de 23 de junio, por el

que se establece el Reglamento de disciplina

urbanística (desarrolla la anterior ley).

Contra los recursos

naturales y medio

ambiente

328 Ley 26/2007, de 23 de octubre, de

Responsabilidad Medioambiental.


diciembre, por el que se aprueba el texto

refundido de la Ley de prevención y control

integrados de la contaminación.

Relativos a las

radiaciones ionizantes

343.3 Real Decreto 783/2001, de 6 de julio, por el que

se aprueba el Reglamento sobre protección

sanitaria contra radiaciones ionizantes.

Riesgos provocados

por explosivos y otros

348.3

Contra la salud pública 366

Tráfico de drogas 369 bis

Falsificación de

moneda

386.5

Falsificación de

tarjetas de crédito y

débito y cheques de

viaje

399 bis

Cohecho 427 bis

Tráfico de influencias 430

Delitos de odio y

enaltecimiento

510 bis Ley Orgánica 1/1982, de 5 de mayo, sobre

protección civil del derecho al honor, a la

intimidad personal y familiar y a la propia

imagen.

Financiación del

terrorismo

576 Ley 10/2010, de 28 de abril, de prevención del

blanqueo de capitales y de la financiación del

terrorismo y Real Decreto 304/2014, de 5 de

mayo, por el que se aprueba el Reglamento.

La Circular de la Fiscalía General del Estado 1/2016 señala que, respecto a la LO 1/2010, se han incorporado al régimen del art. 31 bis CP algunos delitos que hasta 2015 se contemplaba que les era de aplicación el art. 129 CP. Tales delitos son: frustración de la ejecución, financiación ilegal de los partidos políticos, delitos contra la salud pública


13

no relacionados con el tráfico de drogas y falsificación de la moneda22.

Se ha criticado mucho por parte de la doctrina el hecho de que muchos de los delitos del listado, además de ser castigados por la regulación propia extrapenal que el Ordenamiento les ha dedicado, puedan ser castigados de nuevo por el Código Penal. Lo que se cuestiona es si existe un incumplimiento del principio non bis in idem, ya que un solo delito cometido por una persona jurídica puede ser doblemente sancionado.

Estos delitos pueden ser clasificados de la siguiente manera:

a) Por la naturaleza del delito, podemos distinguir los delitos económicos, aquellos que tienen por finalidad un ánimo de lucro, como pueden ser la estafa o el blanqueo de capitales, y los delitos no económicos, que lesionan otros bienes jurídicos y que no necesariamente implican un interés económico, aunque en la mayoría de situaciones se hallan vinculados de alguna forma al factor económico, estos pueden ser los delitos de tráfico de órganos humanos, delitos ecológicos, delitos informáticos y un largo etcétera.

b) Por los intereses que tutelan, se pueden dividir los delitos que atentan contra intereses privados, frente a aquellos que lesionan intereses públicos. Así, un delito contra intereses privados podría ser un delito de revelación de secretos, y delitos contra intereses públicos podrían ser los delitos contra Hacienda y Seguridad Social, falsificación de la moneda…

c) El último criterio es el de la culpabilidad. Respecto a este criterio, las personas jurídicas responden penalmente cuando concurra dolo, pero también por imprudencia en estos casos:

• Las insolvencias punibles.

• Los delitos de financiación del terrorismo.

• El delito de blanqueo de capitales.

• Los delitos contra los recursos naturales y el medio ambiente.

4. COMPLIANCE PENAL

4.1. MEDIDAS A ADOPTAR PARA LA PREVENCIÓN DE DELITOS

Con el fin de evitar que se cometa cualquiera de los delitos contenidos en el anterior listado, y de que, en caso de que se cometan a través de la empresa, la persona jurídica pueda reducir su responsabilidad penal al máximo, la empresa debe implementar una serie de medidas de control, que son las que prevé el art. 31 bis CP, y que deben, en todo caso, respetar los requisitos que exige el apartado 5 de este artículo. Estas medidas y sistemas de prevención de delitos deberán estar basadas en un Código de cumplimiento o de Compliance, en el que figurarán las conductas adecuadas que

22 CFGE 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015.


14

deben promover y respetar la empresa y todos sus integrantes. Una vez que el Sr. Francisco ha entendido cómo se configura la responsabilidad penal de la persona jurídica y lo que es el Compliance penal, procede describirle cuales son aquellas medidas y programas de prevención de delitos que debe incluir en su empresa de juego, atendiendo a las circunstancias concretas de su empresa.

Para ello, es fundamental conocer y entender la organización del Sr. Francisco en su contexto, esto es, debe conocer los riesgos que va a asumir y a los que está directa o indirectamente expuesta por sus circunstancias. Es imprescindible conocer qué hace la empresa, cual es la actividad principal de esta, para localizar el foco de riesgo al que está expuesta. Asimismo, para comprender de una forma completa a lo que se enfrenta la organización, es necesaria una valoración periódica de los riesgos asumidos por el negocio, adaptada a las circunstancias de la empresa y dirigida a evitar la comisión de delitos y promover una verdadera cultura de integridad en ella. Es fundamental tener en cuenta las circunstancias y el contexto de la empresa para adoptar las medidas de prevención, dado que éstas se configuran en función de los riesgos, y estos no son los mismos, por ejemplo, para una pequeña empresa y para una grande, y lo mismo ocurre para dos empresas que operan en sectores distintos del mercado.

Antes de abordar las medidas para la prevención de delitos o para reducir el riesgo de su comisión a las que hace referencia el art. 31 bis CP y en relación con la consulta del Sr. Francisco, debe hacerse hincapié en el compromiso de la alta dirección. Es necesaria una verdadera implicación de la alta dirección en promover la cultura de Compliance y en adoptar medidas para el respeto del Derecho y la lucha contra los delitos cometidos en el seno de la empresa. El art. 31 bis CP en su apartado b) manifiesta la imprescindibilidad del compromiso de los altos cargos, al atribuir responsabilidad penal a la persona jurídica en los casos en que se hayan incumplido los deberes de vigilancia y control.

En rasgos generales, existen algunas medidas universales utilizadas para la prevención de delitos penales en general, sin estar específicamente orientadas a un delito en concreto. Son medidas que se incluyen en todo plan de Compliance con el que debe contar una empresa. De este modo, lo que se pretende es, a través de la implementación de unas medidas eficaces de control en la organización, detectar y prevenir la comisión no solo de delitos penales en sentido estricto, sino también de cualquier irregularidad que, siendo perfectamente legal, incumpla las normas internas de la empresa contenidas en el Código ético.

Una de las medidas de Compliance más populares es el canal de denuncias. Es precisa la creación un sistema de comunicación para recabar todas las sospechas de posibles conductas delictivas, que pueden realizarse de forma anónima o personal, de modo que puedan ser investigadas por el delegado de Compliance, para que éste evite, en la medida de lo posible, su comisión. Este sistema de denuncias internas es conocido con el término anglosajón whistleblowing, y es una medida fundamental en un programa de Compliance. Esta medida responde a lo establecido en el Código Penal “Impondrán la obligación de informar de posibles riesgos e incumplimientos…”. Por lo


15

tanto, todos los integrantes que componen la empresa tienen la obligación de informar de posibles incumplimientos, aunque sea de forma anónima. El buzón de denuncias, que debe adaptarse al tamaño y estructura de la empresa, debe reunir las siguientes características para alcanzar su máxima eficacia:

• La existencia del canal y la obligatoriedad de su utilización deben ser puestos en conocimiento de todos los empleados. Debe señalarse que todo el personal tiene la obligación de denunciar el incumplimiento normativo o la sospecha de un posible delito, incluso cuando el denunciante esté comprometido o haya participado en él.

• Todos los empleados deben tener acceso al buzón de forma sencilla, y deben utilizarlo sin que exista ningún obstáculo u impedimento para ello.

• Toda la información recabada por el buzón de denuncias será confidencial, y deberá ser investigada por el Compliance Officer y en su caso por el órgano de administración de la empresa.

• La vía más adecuada para establecer estos canales de información es el correo electrónico, ya que no supone un esfuerzo de desplazamiento ni se requiere la presencia del denunciante, lo cual puede ser ventajoso para éste.

La empresa debe asegurar a los empleados que no habrá represalias por parte de esta, para que puedan ejercer el derecho y la obligación de denunciar de forma libre y segura. Del mismo modo, deben ser informados de que las denuncias falsas conllevarán sanciones.

Es conveniente abrir el buzón a terceros, que tengan una relación con la empresa, como proveedores o subcontratistas. Del mismo modo, estos deberían ser informados eficazmente y tener una fácil disponibilidad de acceso.

La formación y concienciación de los empleados de la empresa constituye la segunda medida recomendada al Sr. Francisco, a través de la cual se implemente una verdadera cultura de respeto y sometimiento al Derecho y se haga a los empleados tomar conciencia de los posibles riesgos y consecuencias. Los empleados deben tener la capacidad para prevenir y evitar las conductas inadecuadas, así como tener capacidad de liderazgo para influenciar a los demás integrantes, promoviendo las buenas conductas. Puede ser conveniente un canal de comunicación e información constante acerca de la protección de datos, de forma que los empleados estén siempre informados de la normativa vigente y de las actuaciones que deben o no deben realizar para no incurrir en un delito.

La tercera medida consiste en mantener una planificación, supervisión y control de los procesos establecidos por los modelos de organización y gestión. Es decir, en relación con los modelos de gestión que exige el art. 31 bis CP para la exención de la responsabilidad penal de la persona jurídica, éstos deben mantener un seguimiento por alguien que supervise los protocolos internos, de forma que los modelos de organización y gestión permitan, de un lado identificar aquellas actividades en cuyo ejercicio se cometan los delitos, y de otro, establecer procedimientos en los que se concrete el


16

proceso de formación de la voluntad de la persona jurídica para la adopción y ejecución de decisiones. El encargado de supervisar los modelos de prevención debe ser informado en todo momento de los posibles riesgos e incumplimientos, y debe velar en todo momento por que se cumpla el Código de Compliance. Según JAVIER PUYOL MONTERO es necesario un Comité de Ética que evalúe el nivel de cumplimiento del Código de Compliance, en base a las recomendaciones emitidas23.

El órgano de control que se ocupará de estas funciones debe de estar dotado de autonomía e independencia suficiente para el desempeño de sus funciones, y podrá pertenecer a la empresa o bien tratarse de profesionales externos.

Una de las más actuales medidas de prevención adoptadas por las organizaciones es la designación de un delegado de Compliance, en inglés Compliance Officer, al que se dedicará un apartado más adelante para concretar el alcance de sus funciones y responsabilidades. En grandes rasgos, se trata de la persona encargada de garantizar el cumplimiento de la normativa aplicable, y del mismo modo aquella que vela por el cumplimiento del programa de prevención de delitos. Se trata de un pilar fundamental de la empresa, dotado de grandes responsabilidades, entre ellas evitar que se cometan delitos dentro o a través de la empresa.

En el caso que nos ocupa, dado que la preocupación del Sr. Francisco se vuelca en la protección de los datos de carácter personal, le aconsejaré las medidas que en mi opinión son las más adecuadas para prevenir en concreto el delito de descubrimiento y revelación de secretos, ya que este es el único delito relacionado con la protección de datos por el que puede responder penalmente la persona jurídica. Lo que se busca es fundamentalmente proteger la información de un uso inadecuado. Existen otras medidas a implementar para evitar el uso ilegítimo de datos personales, derivadas de la normativa europea de protección de datos, y concretamente del RGDPD 2016/67924, pero estas infracciones no son reprochables penalmente.

En primer lugar, la creación de registros que contengan todos los datos, acceso a ellos y procedimientos de tratamiento de datos es una medida de gran utilidad para mantener un efectivo control sobre los datos personales. Esto se debe a que es habitual que las bases de datos sean consultadas constantemente por los empleados o por cualquier trabajador para desempeñar sus funciones profesionales, de modo que los datos son accesibles para una pluralidad de personas en muchas ocasiones, lo cual supone un riesgo que debe ser asumido. Es importante señalar que los datos que vayan a ser recabados, tratados o almacenados por la empresa, y plasmados en el registro, deben ser veraces, es decir, deben corresponderse con la realidad. Guardar un registro de los accesos a los datos, así como de las extracciones de información y copias de seguridad, es una buena medida para mantener los datos a salvo y bajo un mayor control. Será preciso reforzar la seguridad del acceso de aquellos registros que

23 Puyol Montero, J. (2016). Criterios prácticos para la elaboración de un Código de Compliance. Valencia. Ed. Tirant lo Blanch. Pág. 211. 24 Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.


17

contengan datos de carácter más confidencial, sobre todo cuando la revelación de estos datos pueda suponer un perjuicio para el titular y/o lesionar su intimidad. Esta medida facilita la disponibilidad y confidencialidad de los datos personales, tratando de evitar los accesos ilegítimos y las cesiones de datos no consentidas.

La ventaja que proporciona esta medida, además de la organización de los datos y la seguridad de su almacenamiento, es que permite facilitar la identificación del sujeto que ha cometido del delito, ya que en estos casos pueden presentarse dificultades a la hora de identificar la persona que ha actuado negligentemente.

Junto a los registros que permiten llevar un seguimiento de la actividad de la empresa, y con el fin de proteger la confidencialidad de la información personal, se puede adoptar una medida de doble vertiente: de un lado, la reorganización de las tareas y la determinación de un numerus clausus de personas que deban tener acceso a los datos, y de otro lado, la implementación de una herramienta adaptada a la base de datos, que limite el acceso a ese pequeño círculo de personas. Incluso cuando el departamento se componga de varias personas, es conveniente que se reduzca el número de personas que tengan acceso a los datos personales.

Otra de las medidas que la empresa puede adoptar es la de limitar la información requerida en los procesos de diligencia debida, lo que en inglés es conocido como due diligence. Hay que tener presente que estos procesos, en los que se evalúa la profesionalidad de los empleados, implican un intercambio de información, cuyo alcance se ve limitado por la protección de datos de carácter personal. Con lo cual, debe tenerse en cuenta para las due diligence:

• Que los datos de carácter personal no pueden ser expuestos ni utilizados sin consentimiento, ya que pueden afectar directamente a la intimidad del titular.

• En caso de ser necesarios los datos personales, para la utilización de estos será preceptivo el consentimiento expreso de los titulares. Es conveniente establecer una cláusula de consentimiento de utilización de estos datos en los contratos laborales.

• Insistir en la implicación de los trabajadores que tengan acceso a los datos personales, de llevar una estricta confidencialidad respecto a estos.

• Una vez hayan finalizado los procesos de diligencia debida, toda la información que contenga datos de carácter personal debe ser eliminada.

El Sr. Francisco debe adoptar en su empresa estas medidas de prevención de delitos con respecto a la protección de los datos personales y confidenciales para evitar que una mala utilización de estos pueda derivar en la comisión de un delito de descubrimiento y revelación de secretos del art. 197 quinquies CP. Estas medidas deben ser periódicamente actualizadas y revisadas, atendiendo a posibles infracciones graves de éstas y a eventuales cambios en la organización, estructura o actividad de la empresa. Así lo establece el Código Penal en el punto sexto del art. 31 bis. 5.

Además de estas medidas, la regulación propia de la protección de datos, es decir la Ley Orgánica de protección de datos LOPDGDD y el Reglamento Europeo RGPD que enmarcan esta materia, prevén otras medidas para la protección de los datos de


18

carácter personal. Sin perjuicio de que todas estas otras medidas son dirigidas a evitar una responsabilidad civil, administrativa o de otra naturaleza distinta a la penal, también son de gran importancia, ya que toda la materia de protección de datos constituye en sí misma un sistema de prevención de infracciones, al igual que el Compliance.

Así, el Reglamento Europeo, a pesar de conceder a los Estados miembros la potestad de establecer normas en materia de sanciones penales por infracciones de éste25, contempla una serie de medidas para proteger los datos de carácter personal, como por ejemplo llevar un registro de actividades de tratamiento (art. 30 RGPD), en el que figurarán los datos identificativos del responsable de tratamiento de datos, y, en su caso, del corresponsable y del DPO, los fines del tratamiento, así como todas las comunicaciones y destinatarios de los datos personales.

Al margen de estas medidas, orientadas exclusivamente a la preocupación que el Sr. Francisco había manifestado acerca de los datos personales, existen, como se ha visto, otros delitos que pueden derivar en una responsabilidad penal de la persona jurídica y que precisan de medidas propias para su prevención. Por ejemplo, para el delito de corrupción, es preciso implementar controles internos, promover políticas anti-corrupción y anti-fraude con el fin de prevenir y detectar el cohecho, someter la empresa a mecanismos de auditoría y seguimiento, etc26.

Otro ejemplo son las medidas específicas de Compliance para la prevención del delito de blanqueo de capitales (art. 301 CP), que también pueden interesar al Sr. Francisco, dado que el sector del juego al cual pertenece su empresa es un canal frecuentemente utilizado para la práctica del blanqueo de capitales. Debe constituirse por escrito el plan de Compliance, un documento adaptado a los riesgos inherentes de la empresa por su actividad y que servirá en el futuro de esqueleto del negocio de cara al blanqueo de capitales y a la financiación del terrorismo27. La primera medida que deberá constar en el plan de Compliance es la obligatoriedad de la identificación de la actividad del cliente, obligación plasmada en el art. 5 de la Ley 5/2010, es preciso recabar toda la información precisa acerca de los clientes y su actividad con el fin de adoptar medidas adecuadas para comprobar la veracidad de la información28. Otra importante medida en relación con la prevención de este delito es la sensibilización de todos los trabajadores. Esta es fundamental en toda la unidad de negocio, y no únicamente en el área de prevención de delitos29. El seguimiento de la relación de negocios y medidas de diligencia reforzadas pueden ser otras medidas que contribuyan al plan de Compliance.

4.2. CÓDIGO ÉTICO DE CONDUCTA

Con el fin de evitar que se cometan actuaciones delictivas dentro de la empresa del Sr. Francisco, es fundamental que se constituya una guía, un Código Ético de

25 Considerando 149 del RGPD. 26 Bruñén Barberá, F. M. (2017) ‘La prevención del fraude y la corrupción’. En: Guía para la implementación… Op. Cit. Pág. 175. 27 Gallego Soler, G. Et. Al. (2014). ‘Criminal Compliance y proceso penal: reflexiones iniciales’. En: Responsabilidad de la empresa y Compliance. Madrid. Ed. Edisofer. Pág. 196. 28 Bautista Samaniego, C. M. (2017). ‘Compliance y blanqueo de capitales’. En: Guía para la implementación del Compliance en la empresa. Op. Cit. Pág. 141. 29 Recomendación SEBLAC. Principios generales. Sensibilización. Punto 2.2. Pág. 5.


19

Compliance o Buenas Prácticas Empresariales, que recoja las buenas prácticas de la empresa, junto con los principios y valores que deben ser, junto al resto de la normativa aplicable, interiorizados y respetados por todos los integrantes de la sociedad. El Código Ético debe igualmente velar por el cumplimiento de las medidas de Compliance y se implementa tanto en organizaciones grandes como en PYMES de cualquier sector del mercado.

Para garantizar la efectividad del Código Ético es necesario que previamente a su creación, se elabore un estudio pormenorizado del sector al que pertenezca la empresa, así como de las características de la propia empresa, dimensiones, número de trabajadores, normativa sectorial aplicable y todo lo que delimite la estructura externa e interna de la empresa. Esta información permitirá, a partir de un mapa de riesgos, establecer una correlación entre los principios éticos que identifican a la empresa con los incumplimientos que pretenden evitarse30.

Este Código es la principal fuente normativa de la organización, y es de aplicación para todos los trabajadores de la empresa, incluyendo becarios, empleados, subcontratados y proveedores. Se configura teniendo en cuenta el entorno de la empresa, los cargos desempeñados por los empleados y los recursos necesarios. Recoge, por lo tanto, todos aquellos valores de la empresa y principios de conducta ética que enmarcan las relaciones interpersonales con compañeros, directivos, proveedores, clientes o cualquier persona con un interés directo o indirecto en la empresa.

Debe establecerse en el Código Ético un régimen disciplinario, con sanciones previstas para el caso de que se acredite un verdadero incumplimiento de éste. El art. 31 bis CP establece acerca de los modelos de Compliance “establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo”. El comportamiento ético que debe seguir la sociedad del Sr. Francisco debe de estar en todo momento orientado a la buena fe, honestidad, respeto de las normas y confidencialidad, ya que éstos son principios básicos que deben regir todas las actuaciones para mantener la integridad ética de la empresa.

El Código deberá contener las indicaciones necesarias para la correcta utilización del buzón de denuncias, y para que todos los empleados tengan conocimiento de la existencia y obligatoriedad de éste. Además, todo el personal debe saber que no habrá represalias por las denuncias reportadas en el buzón. Las denuncias podrán ser anónimas, siempre y cuando estén fundadas en algún argumento de peso.

Los objetivos del Código Ético son informar a los trabajadores de la existencia y obligatoriedad del respeto a éste, la prevención contra el fraude y las malas prácticas, concienciar a los trabajadores de los valores éticos que lideran la empresa y promover una cultura corporativa dentro de la organización31.

30 Mandrí Zárate, J. (2017). ‘El Código Ético de Conducta’. En: Guía para la implementación del Compliance en la empresa. Op. Cit. Pág. 273. 31 Mandrí Zárate, J. (2017) ‘El Código Ético de Conducta’. En: Guía para la implementación... Op. Cit. Pág. 98.


20

Dado que el objetivo último del Código Ético -y de todo el Compliance- es evitar que la responsabilidad penal por la comisión de un delito -por un miembro de la alta dirección o de algún subordinado- se extienda a la persona jurídica, para ello deberá acreditarse la existencia de una cultura ejemplificadora que rige la organización, quedando el sujeto activo del delito totalmente desvinculado de la organización. Es fundamental que la cultura corporativa no consienta incumplimientos, que los sancione adecuadamente en caso de producirse, y que tales circunstancias puedan ser acreditadas. Para que la persona jurídica quede exenta de responsabilidad habrá de demostrar igualmente que el Código Ético era conocido y respetado por todos los trabajadores de todos los niveles jerárquicos y por todos aquellos trabajadores externos cuya actuación también pueda derivar responsabilidad penal hacia la persona jurídica.

4.3. EL COMPLIANCE OFFICER COMO EJE CENTRAL DE LOS MECANISMOS DE CONTROL

El Sr. Francisco debe saber que debe designar en su empresa a alguien que desempeñe la función del llamado Compliance Officer. Se trata de la persona encargada de asegurar el cumplimiento de la normativa que se aplica a la empresa en la que vaya a trabajar. La creciente importancia de esta figura se debe a la mayor influencia que tiene la toma de decisiones de este.

El Compliance se basa en el principio de la responsabilidad proactiva de las empresas, las empresas conocen la obligación que impone el Código Penal de implantar un modelo de prevención de delitos y, ellas mismas, a través de sus propios mecanismos de Compliance, gestionan y evitan las conductas delictivas. No obstante, la norma ISO 19600 contiene algunas pautas que debe cumplir el Compliance Officer, aunque no establece una regulación específica de este.

Así, lo que se ha extraído por parte de la doctrina del art. 31 bis y de lo que propone la norma ISO 19600, es que el Compliance Officer debe tener la capacidad y poder necesarios para adoptar decisiones orientadas a asegurar el cumplimiento normativo, esto es, la autonomía del profesional para recabar la información que le sea necesaria e identificar los riesgos penales que puedan plantearse32. Además, debe contar con la formación necesaria requerida para el desempeño de sus funciones.

De un lado, como garante del cumplimiento normativo y de la adecuación de la empresa a las buenas conductas, éste tiene una serie de derechos, de los que hará uso para el desempeño de su función. En primer lugar, le corresponde la potestad de solicitar cualquier informe, reporte o documentación a todo el personal afectado por un foco de riesgo. También podrá diseñar y hacer que se sigan programas de formación para la prevención de riesgos penales y para la adecuación de todo el personal a los principios y valores de la empresa. Del mismo modo, para el desempeño de sus

32 ISOtools Excellence, Blog de Calidad y excelencia, Funciones y responsabilidades del Compliance Officer, 12 de junio 2018, Disponible en https://www.isotools.org/2018/06/12/funciones-responsabilidades-compliance-officer/ .

https://www.isotools.org/2018/06/12/funciones-responsabilidades-compliance-officer/


21

actividades, debe contar con el derecho a solicitar la colaboración del resto del personal de la empresa.

De otro lado, el cargo del Compliance Officer conlleva igualmente una serie de responsabilidades y deberes que conllevan una responsabilidad penal para este en caso de ser incumplidos33.

Estos deberes suelen ser habitualmente los siguientes:

• Velar constantemente a través de comprobaciones periódicas por que el programa de prevención de delitos sea adecuado, respetado y eficaz, y en caso de no ser así, debe proponer las medidas pertinentes.

• Emitir informes, también de manera periódica, para reportar al órgano de administración el -supuesto correcto- funcionamiento y cumplimiento de los programas de prevención de delitos.

• Investigar, en caso de tener conocimiento de que puede haber una actuación ilícita o antijurídica dentro de la empresa, junto con el deber de reportarlo al órgano de administración en caso de que éste descubra que las conductas delictivas se han producido en el ámbito empresarial.

Las funciones básicas del Compliance Officer son, en rasgos generales, la de vigilancia, asesoramiento, advertencia y evaluación de riesgos de gestión, tanto aquellos que se refieren a la vulneración de normas legales como aquellos que tengan que ver con el código de conducta, principios y valores de la empresa. La doctrina alemana incorporó a la interpretación de las competencias del Compliance Officer la obligación de impedir la comisión de los delitos. Esto se debe a que el administrador ha trasladado el deber de vigilancia de los focos de riesgo al Compliance Officer, que desde ese momento es el responsable de que no se cometan actos ilícitos en la empresa y tiene el deber de reportarlo al órgano de administración cuando el peligro se extralimite de la esfera permitida de riesgo34.

A esto debe añadirse, que no cabe duda de que recibir denuncias y comunicaciones internas e investigar acerca de posibles conductas ilícitas es otro de los deberes del Compliance Officer, para el que podrá solicitar cualquier informe o documentación al resto del personal. Tras la investigación, si éste llega a la conclusión de que existe un verdadero peligro de que se cometa un delito, debe proponer las medidas necesarias, llegando incluso a ejecutarlas, dependiendo el poder de ejecución que se le haya atribuido. Respecto a esto último, se debe aclarar que con el término “poder de ejecución” se hace referencia a potestades como la firma de un contrato, la paralización de un pago etc, y no a las facultades indelegables del art. 528 ter de la LSC. Si este no ha recibido facultades ejecutivas, éste debe limitarse a informar al órgano de administración y proponer medidas.

Se desprende de esto una duda: si al Compliance Officer no se le han delegado las funciones de toma de algunas decisiones, o no cuenta con los medios para impedir

33 Liñán, A. (2019). La Responsabilidad Penal del Compliance Officer. Ed. Thomson Reuters, pág. 58. 34 Liñán, A., La Responsabilidad penal… Op. Cit. Pág. 60.


22

que se cometa el delito, ¿cabe atribuirle la responsabilidad de no haber evitado el delito? En Alemania, en el año 2009, un Compliance Officer fue condenado por un delito de comisión por omisión. El Tribunal Federal Alemán consideró que éste era culpable por no haber prevenido un fraude en la aplicación de tarifas. La condena se basaba en el incumplimiento de la obligación del Compliance Officer de evitar el delito cometido, dada su posición de garante en ese tipo de fraude. Además, añadía el Tribunal que las funciones del Compliance Officer iban más allá de evitar simplemente los incumplimientos legales, ya que éste también debe evitar los daños reputacionales de la empresa, íntimamente vinculados a las buenas praxis de la organización. Esta concepción ampliada del Compliance permite dejar de lado el enfoque puramente legal y abarcar conductas que, siendo perfectamente legales, puedan ser reprochadas desde un punto de vista ético. En España, se discute si el Compliance Officer se encuentra, conforme al art. 11 CP, en situación de garante, si verdaderamente tiene la obligación de impedir que el delito se cometa.

Como persona que debe asegurar y velar por el cumplimiento de la legislación que le sea de aplicación a la empresa, éste tiene el deber jurídico de actuar para evitar la comisión del delito. La jurisprudencia35 ha admitido la equivalencia de la comisión por omisión para aplicar el art. 11 CP, en la mayoría de los casos, cuando el delito tipificado requiera unas características específicas para su comisión, en palabras de BACIGALUPO “considerando que la equivalencia se debe apreciar cuando la omisión se corresponda valorativamente con el hecho positivo y posea un sentido social equivalente a la comisión activa del tipo”36. Sin embargo, otro sector de la doctrina mantiene una teoría más restrictiva respecto a la aplicación del art. 11 CP, basada en que el concepto “resultado” empleado en este artículo por el legislador hace referencia a la afectación del bien jurídico, y que, en todos los delitos tipificados, incluidos los de mera actividad, se puede identificar un resultado diferenciado de la acción37.

Se deduce de todo ello que el Compliance Officer solo será considerado plenamente garante cuando cuente con poder ejecutivo suficiente para evitar que se produzca el resultado, esto es, que tenga la capacidad material y real para impedirlo38, y además éste se haya comprometido a controlar y mitigar los focos de peligro.

Como se ha visto hasta ahora, el Compliance nace para mitigar los riesgos penales que puedan darse en las organizaciones, tales como fraude, blanqueo de capitales, corrupción, y otras. No obstante, el Compliance ha ampliado su esfera hasta convertirse en un mecanismo para las empresas para evitar que estas incurran en infracciones susceptibles de sanciones. Hoy en día el Compliance también abarca materias que, aunque no conlleven necesariamente sanciones penales, pueden suponer infracciones sancionables en otras ramas del Derecho, como puede ser en el ámbito laboral, administrativo, civil… La protección de datos es algo que está dentro de esta

35 STS 37/2006 de 25 de enero de 2006. Rec. 2072/2004. 36 Bacigalupo Zapater, E. (2019) “Omisiones Punibles en el ámbito de administración empresarial”. En: Diario La Ley nº 9348. [en línea] https://dialnet.unirioja.es/servlet/autor?codigo=501944 37 Liñán, A. (2019). La Responsabilidad penal... Op. Cit. Pág. 71. 38 Liñán, A. (2019). La Responsabilidad penal… Op. Cit. Pág. 76.

https://dialnet.unirioja.es/servlet/autor?codigo=501944


23

concepcion amplia del Compliance, de hecho, la protección de datos en sí misma, como ya se ha dicho anteriormente, constituye una materia propia del Compliance, ya que su función es garantizar el cumplimiento de lo establecido en la regulación europea y estatal. La adaptación de las organizaciones a esta regulación es estrictamente necesaria dados los grandes cambios que esta ha sufrido en los ultimos tiempos, y dado que ésta prevé cuantiosas sanciones por su incumplimiento.

4.4. CAUSAS DE EXENCIÓN DE LA RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA

Todos los modelos de prevención de delitos que se han visto hasta ahora responden a lo establecido en el Código Penal para la exención de la responsabilidad penal de las personas jurídicas .

El Código Penal, junto con la responsabilidad penal de la persona jurídica, prevé unas causas de exención tanto para el supuesto del apartado a) del art. 31 bis CP como para el supuesto del apartado b) de este mismo artículo. Así, el precepto penal establece que la persona jurídica quedará exenta de responsabilidad penal cuando se cumplan unos requisitos.

El apartado a) del art. 31 bis CP abarca los delitos que se cometen por sus representantes legales o personas autorizados para tomar decisiones en nombre de la persona jurídica que ostentan facultades de organización y control dentro de la misma. Respecto a los delitos cometidos por estos sujetos, el Código Penal establece unos requisitos para la exención de la responsabilidad penal de la persona jurídica, relacionados con la implementación de modelos de organización y gestión.

Cuando el delito se haya cometido por alguno de los sujetos contemplados en el apartado a) del art. 31 bis CP, para la exención de la responsabilidad penal de la persona jurídica, es necesaria la efectiva adopción y ejecución, por el órgano de administración, en la empresa y antes de la comisión del delito, de modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión. Además, el funcionamiento y cumplimiento de estos modelos deben ser supervisados por un órgano de la persona jurídica con autonomía suficiente o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.

Una vez creados los modelos de prevención, el Código Penal exige para evitar la responsabilidad penal de la persona jurídica, que el autor del delito haya eludido estos modelos fraudulentamente, y que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de vigilancia y control por parte del órgano que tenía encomendada la supervisión de estos modelos.

Para que la persona jurídica quede exenta de responsabilidad penal es preciso que se cumplan todas las circunstancias que acaban de ser mencionadas. El propio artículo señala que en caso de no poder acreditarse alguna de estas circunstancias, la responsabilidad de la persona jurídica únicamente podrá ser atenuada.


24

En los casos en los que el delito sea cometido por alguno de los sujetos del art. 31 bis b), es decir, por los empleados y trabajadores sometidos a la autoridad de los sujetos del apartado a), es igualmente necesaria la implementación -previa a la comisión del delito- de modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión. De la misma manera que para el caso anterior, un órgano con poderes autónomos de iniciativa y de control suficientes será el encargado de la supervisión vigilancia y control de estos modelos.

5. EXCURSO: LA RELACIÓN CON LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Conviene mencionar brevemente la protección de datos de carácter personal y su marco legal actual, ya que este campo mantiene un estrecho vínculo con el derecho a la intimidad, elemento que coincide con el bien jurídico protegido por el delito de descubrimiento y revelación de secretos y que goza de protección constitucional.

5.1. REGULACIÓN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES

Así, todo lo relacionado con la recogida y tratamiento de datos personales está vinculado al derecho fundamental a la intimidad personal y familiar de los titulares de los datos, protegido por el art. 18.4 de la Constitución. Este artículo habla de limitar el “uso de la informática” para garantizar el honor y la intimidad personal y familiar, lo cual, con la rápida evolución de las tecnologías implica que el campo tecnológico abarcado es, hoy en día, enorme. Se incluye, desde una simple telecomunicación hasta un mensaje de texto a través del teléfono móvil. La protección de datos es una materia que ha estado en constante actualización tanto por diversas normas de ámbito supranacional como por nuestro Derecho interno.

De este modo, dentro del Derecho interno español, esta materia está protegida por la propia Constitución, incluyendo este derecho en el Título I, Capítulo Segundo, de los derechos fundamentales. Como se ha dicho, el art. 18 de la Carta Magna vela por la protección de la intimidad personal y familiar de los ciudadanos. El apartado cuarto de este artículo contiene el siguiente mandato: “se limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. El problema que plantea este artículo es que, a pesar de que en el momento de su redacción se preveía que el llamado “uso de la informática” podía incidir de forma negativa en los derechos y por ello tener consecuencias de gravedad, lo que no se podía predecir, según el profesor FERNANDEZ LÓPEZ, es “las posibilidades que ofrece la informática para acumular gran volumen de datos, cruzarlos y tratarlos de forma que se posibilite la obtención de perfiles del individuo e incluso el poder predecir sus pautas de comportamiento”39.

39 Fernández López, J.M. (2003) ‘El derecho fundamental a la Protección de Datos personales. Obligaciones que derivan para el personal sanitario.’ Revista DS: Derecho y Salud. Ejemplar dedicado al XI Congreso Derecho y Salud, pág. 38.


25

El Tribunal Constitucional se pronunció firmemente40 acerca del derecho fundamental a la protección de datos en la trascendental Sentencia núm. 292 / 2000, de 30 de noviembre de 2000, afirmando que “el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimos, cuyo conocimiento o empleo por tercero pueda afectar a sus derechos sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 de la Constitución española otorga, sino los datos de carácter personal” ( F.J.6 tercer párrafo).

Una interpretación extensiva de este artículo de la CE permitió comprender que la protección de datos de carácter personal era un verdadero derecho fundamental41 y que era necesaria una Ley Orgánica que regulara esta materia propiamente.

Respecto a la regulación legal vigente acerca de esta materia, la ley actual en España en materia de protección de datos es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, de ahora en adelante LOPDGDD. Esta ley sustituyó a la anterior (LO 1/2015), completando el Reglamento Europeo 2016/679 que entró en vigor en mayo de 2016, pero que no fue de aplicación hasta 2018, dados los grandes cambios que conllevaba.

Por lo general, el incumplimiento de la normativa, tanto estatal como europea de protección de datos, sólo puede dar lugar a responsabilidad civil y/o administrativa, ya que las sanciones previstas por la LOPDGDD y el Reglamento (UE) 2016/679 (de protección de las personas físicas en lo que respecta al tratamiento de datos personales) son cuantiosas multas e indemnizaciones, pero no implican responsabilidad penal, en la mayoría de los casos. Por lo tanto, la responsabilidad penal de la persona jurídica no se aprecia en cualquier caso que se haya dado un incumplimiento de la normativa de protección de datos, sino que además debe ser un delito tipificado como tal en el Código Penal. Como se ha visto, los delitos que pueden ser cometidos por una persona jurídica, y en relación con sistemas informáticos y la protección de datos, son el delito de descubrimiento y revelación de secretos, junto con el allanamiento informático (art. 197 quinquies CP), y el delito de daños informáticos (art. 264 quater CP).

En esta línea, a modo de ejemplo ilustrativo, el Tribunal Supremo ha establecido en una reciente sentencia de diciembre de 2020 la prohibición, al Banco de España, de exigir a los trabajadores incluir la declaración del IRPF en el Código de Conducta, ya que la información que contiene es estrictamente personal y colisiona con el derecho a la intimidad y a la protección de datos de carácter personal. Así, el Tribunal ha declarado la nulidad de un párrafo del artículo 8.2 de la Ordenanza 9/2017, que desarrolla el Código de Conducta al considerar que vulnera el derecho a la protección de datos, confirmando así la decisión de la Audiencia Provincial. La sentencia del TS afirma que la documentación que el Banco de España exige a sus trabajadores en procesos de verificación de operaciones financieras privadas pone en riesgo “no únicamente los datos económicos del afectado, sino todo un haz de datos que aparecen en la misma

40 STC núm. 292/2000, de 30 de noviembre de 2000. Rec. de inconstitucionalidad n.º 1463/2000. 41 SSTC al núm. 254/1993, de 20 de julio y núm. 254/2000, de 30 de noviembre, entre otras.


26

como pueden ser los referentes a su religión, pertenencia o no a un sindicato, ideas, datos que, a tenor de la LOPDP 15/1999, de 13 de diciembre, aplicable por razones cronológicas, son datos especialmente protegidos42”.

El Tribunal considera que la información que se contiene en el IRPF puede afectar directamente a la intimidad de la persona por contener datos especialmente protegidos, y se remite a la STC núm. 233/2005 de 26 de septiembre, aclarando que “en relación con la inclusión de los datos con trascendencia económica (…) es doctrina consolidada de este Tribunal la de que los datos económicos, en principio, se incluyen en el ámbito de la intimidad.43”

Con todo ello, se puede concluir que el derecho a la protección de datos de carácter personal y el derecho a la intimidad personal son dos derechos íntimamente relacionados, ya que los datos de carácter personal afectan directamente a la intimidad de la persona, y un uso o tratamiento incorrecto de estos podría tener graves consecuencias para el titular de ellos.

5.2. RIESGOS: ESPECIAL ATENCIÓN A LA IMPORTANCIA DE LA PROTECCIÓN JURÍDICO-PENAL DE LAS COMUNICACIONES TELEMÁTICAS.

Parece necesario realizar una pequeña mención a la importancia de la protección jurídico penal de las comunicaciones telemáticas, ya que la creciente circulación de la información a través de internet nos sitúa en un escenario de creación, difusión y acceso a la información, en el cual surgen riesgos y se pone constantemente en peligro la intimidad de las personas.

Es evidente que la sociedad va cambiando a una velocidad vertiginosa, y con ella las tecnologías y medios para la comunicación, creando nuevas necesidades y exigencias que hasta hace poco eran inimaginables. En la sociedad globalizada en la que vivimos actualmente, el “uso de las tecnologías” ha permitido que muchas situaciones que no hubiesen podido ni si quiera ser contempladas años atrás, tengan lugar hoy en día de forma casi inmediata. A modo de ejemplo, un suceso que se produce en algún lugar de España puede, en cuestión de muy poco tiempo, ser conocido y tener incidencia en el otro extremo del país, o incluso del mundo.44 Esa información, como cualquier otra, puede ser transmitida de una punta del mundo a la otra en cuestión de segundos, dado que en eso se caracterizan las comunicaciones telemáticas actuales. La facilidad de la transmisión de la información es verdaderamente preocupante, puesto que cualquier información confidencial puede ser revelada o divulgada por cualquiera sin dejar rastro a través de herramientas de uso común como por ejemplo el correo electrónico.

42 STS núm. 1134/2020 de 21 de diciembre 2020. Rec. 63/2019. FJ 6. 43 STS núm. 1134/2020 de 21 de diciembre 2020. Rec. 63/2019. FJ 11. 44 Mendo Estrella, A. (2015) ‘DELITOS DE DESCUBRIMIENTO Y REVELACIÓN DE SECRETOS’, Revista Electrónica de Ciencia Penal y Criminología, ISSN 1695-0194. [en línea] Disponible en: http://criminet.ugr.es/recpc/18/recpc18-16.pdf .

http://criminet.ugr.es/recpc/18/recpc18-16.pdf


27

La situación ideal a la que debe aspirar la sociedad es lo que ROMEO CASABONA denomina “comunicación pacífica a través de las redes telemáticas”, esto es, la comunicación libre de intromisiones y accesos ilegítimos45.

Respecto a estas comunicaciones, conviene recordar, que la protección que concede la Constitución Española en su art. 18.3 al secreto de las comunicaciones salvo resolución judicial, -entendiendo por comunicaciones las postales, telegráficas y telefónicas- debe extenderse igualmente al acceso a aplicaciones informáticas, páginas web, sitios dentro de estas, la obtención a través de ellas de documentos, datos, imágenes, sonidos, conversaciones escritas u orales instantáneas (chat), etc. El Tribunal Constitucional ya ha manifestado una aproximación acerca de esto en reiteradas ocasiones, admitiendo la necesidad del nuevo entendimiento del término “comunicación” -dados los avances tecnológicos que han tenido lugar en estos últimos tiempos- y extendiendo la protección del derecho fundamental a estos nuevos ámbitos tecnológicos.

Lo cierto es que, ante estas nuevas herramientas de comunicación a través de internet, se presentan formas de vulnerabilidad para la intimidad, la protección de datos y las telecomunicaciones, ya que muchas veces las comunicaciones privadas son interceptadas o interrumpidas. Con todo ello, y teniendo en cuenta la cantidad de datos personales que circulan a través de internet cada día o cada hora, no cabe duda de la relevante peligrosidad que tiene frente a la intimidad de los titulares de esos datos.

Internet contiene cientos de herramientas que posibilitan la libre circulación de la información, entre ellas las redes sociales y comunicaciones privadas como el correo electrónico, que constituyen a su vez un vehículo idóneo para el tráfico de la información, lo cual pone especialmente en peligro la intimidad de las personas. El uso del correo electrónico supone per se un riesgo de fuga de información, ya que la información se contiene en archivos informáticos que pueden ser accesibles por terceros no autorizados. CABARIQUE, SALAZAR Y QUINTERO definen la fuga de información como un incidente que abre paso a que una persona externa a la sociedad y no autorizada pueda tener acceso a información confidencial que solo debería conocer el personal corporativo46. El incidente puede darse o bien desde dentro de la empresa, o puede ser un ataque externo a ésta. Los medios más comunes a través de los cuales se dan las fugas de información son: dispositivos USB, discos duros, correo electrónico de la empresa, cuentas de correo gratuitas (internet), redes inalámbricas… Ante estas fugas de información inminentes, es obligación de la organización implementar o adoptar todas las medidas necesarias para reducir el riesgo al máximo.

45 Romeo Casabona, C. M. (2002) ‘La protección penal de los mensajes de correo electrónico y de otras comunicaciones de carácter personal a través de internet’, Derecho y conocimiento, vol. 2, Facultad de Derecho, Universidad de Huelva, ISSN 1578-8202, 2002, págs. 123-149. [en línea] Disponible en web http://perso.unifr.ch/derechopenal/assets/files/obrasportales/op_20080612_17.pdf 46 Cabarique, W., Salazar, C. y Quintero, Y. (2015). ‘Factores y causas de la fuga de información sensibles en el sector empresarial’. Cuaderno Activa, 7, págs. 67-73.

http://perso.unifr.ch/derechopenal/assets/files/obrasportales/op_20080612_17.pdf


28

5.3. DELITO DE DESCUBRIMIENTO Y REVELACIÓN DE SECRETOS

Una vez presentados los mecanismos de control y prevención de delitos, es preciso analizar el delito de descubrimiento y revelación de secretos, ya que es aquel que mantiene una relación directa con la protección de datos personales y dado que estos mecanismos se configuran precisamente para la prevención de este delito. El tipo básico de este delito contempla la comisión por una persona física. Sin embargo, el Código Penal contiene un artículo en el que se prevé la comisión de este delito por una persona jurídica.

El delito de descubrimiento y revelación de secretos por una persona jurídica se encuentra en art. 197 quinquies CP, Título X, delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio, Capítulo Primero del Código Penal.

“Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los artículos 197, 197 bis y 197 ter, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.”

Procede comenzar señalando que el delito de descubrimiento y revelación de secretos es un delito vinculado a la intimidad, puesto que esta constituye el bien jurídico que se pretende proteger. Este bien jurídico merece especial trascendencia dada su fundamental importancia en la vida de cualquier persona, y que, como no podía ser de otra manera, está protegido por la Constitución Española en su artículo 18.4, donde se establece que el uso de la informática debe ser limitado para garantizar el honor y la intimidad personal y familiar. No obstante, la intimidad no es un concepto que se pueda interpretar de forma estática, sino que dependiendo del contexto que se trate, ésta puede revestir una forma u otra, y podrá ser vulnerada en mayor o menor medida, dependiendo del caso. La jurisprudencia describe la intimidad en las Sentencias del Tribunal Constitucional núm. 231/1988; núm. 207/1996; núm. 98/2000; y núm. 156/200147 -entre otras-, como la “existencia de un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario – según las pautas de nuestra cultura – para mantener una calidad mínima de la vida humana”. Esta debe ser entendida como un concepto amplio, pues abarca desde la propia imagen hasta cualquier información personal que no deba ser revelada. BATLLE SALES define la intimidad como el ámbito privado dentro del cual la persona tiene derecho a desenvolverse sin que la indiscreción ajena pueda acceder. Es decir, dentro de su esfera privada, es la persona la que decide hasta donde y en qué medida quiere entrar en contacto con la sociedad48. GROIZARD considera, al igual que una gran parte de la doctrina, que el descubrimiento y revelación de secretos puede llegar a causar graves perjuicios “al crédito y buen nombre de la persona y la familia”, y apoya la teoría que califica este delito como un delito que atenta directamente contra la intimidad de la persona. Además, concluye que la gran mayoría

47 SSTC núm. 207/1988, de 2 de diciembre, núm. 207/1996, de 16 de diciembre, FJ 3; núm. 98/2000, de 10 de abril, FJ 5; y núm. 156/2001, de 2 de julio, FJ 4. 48 Batlle Salles, G. (1972) El derecho a la intimidad privada y su regulación. Ed. Marfil. Pág. 13.


29

de veces, el descubrimiento de los secretos no se consigue sin el uso de elementos “astutos e insidiosos”, lo cual confirma la naturaleza fraudulenta de la acción49. Otra parte de la doctrina se inclina por la teoría de que se trata de un delito pluriofensivo, que atenta contra el honor y la dignidad de la persona, amenguando su individualidad50.

Respecto al objeto material de este tipo delictivo, se define como aquella cosa o persona sobre la cual recae la acción delictiva. El objeto material del delito puede ser, o bien el propio secreto, en los delitos de mero apoderamiento -aquella información que no debe ser revelada ni publicada-, o bien, en caso de que el descubrimiento se haga a través de artificios técnicos, cualquier documento o soporte en el cual se contenga información que el titular no quiera hacer pública. Ciertamente, se incluyen todos los ficheros o soportes informáticos, electrónicos o telemáticos y cualquier otro tipo de archivo o registro público o privado que pueda contener información confidencial51.

Toda aquella información confidencial, independientemente del soporte en que se halle, que no deba ser revelada por poder poner en peligro la esfera de intimidad de la persona se considera “secreto”. El artículo 197 CP exige que el “secreto”, en cualquiera de los soportes en que se encuentre, afecte a la intimidad de la víctima, pero no es necesario que los datos sean íntimos, sino que basta con que contengan información reservada para estar comprendidos en el ámbito material del tipo. Según el Tribunal Constitucional, el precepto se refiere al “secreto” como: “todos aquellos datos personales cuyo empleo por terceros pueda afectar negativamente a los derechos de su titular”52. En este sentido, afirma el Tribunal Supremo que “secreto será lo desconocido u oculto, refiriéndose a todo conocimiento reservado que el sujeto activo no conozca o no esté seguro de conocer y que el sujeto pasivo no desea que se conozca"53.

La conducta típica de este delito está establecida por los artículos 197 y 197 bis CP, a los que se remite el artículo 197 quinquies CP, ya que el artículo 197 ter CP también mencionado en el precepto no establece por sí mismo otra conducta.

El artículo 197.1 CP reza: “El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.”

Debe establecerse la premisa de que no se castiga cualquier descubrimiento de secretos o vulneración de la intimidad, sino solo aquel en el que haya mediado previamente un apoderamiento ilegítimo de información, sin el consentimiento del

49 Groizard, A. (1983). “El Código Penal de 1980, concordado y comentado”, Tomo III, Salamanca, pág. 718. 50 Olmo Fernández-Delgado, L. (2009). El descubrimiento y revelación de secretos documentales y de las telecomunicaciones: estudio del artículo 197.1 del Código Penal. Madrid. Ed. Dykinson. Pág. 45. [en línea] Disponible en: https://elibro.net/es/ereader/universidadcomplutense/34296?page=80 . 51 STS Sala de lo Penal, núm. 557/2017 de 13 de julio de 2017. Rec. 56/2017. 52 STC núm. 292/2000. y STS núm. 557/2017, de 13 de julio de 2017. FJ 1. Rec. 56/2017. 53 STS núm. 2028/2019, de 17 de junio de 2019. FJ 1. Rec. 831/2018.



30

propietario. Si además esa información es divulgada, la pena se agrava según lo establecido en el párrafo tercero del mismo artículo. Parece que el artículo hace alusión a aquellas formas de apoderamiento que precisan de accesorios o elementos tecnológicos -ya que no cabe duda de que estos constituyen un límite a la tutela de la intimidad- y no menciona aquellas actuaciones sencillas y que, siendo igualmente fraudulentas, pueden afectar a este derecho en menor medida, como la aprehensión de un documento o simplemente la escucha de una conversación tras una puerta54. Se trata de un delito que requiere una determinada forma de actuación para su comisión.

Cabe mencionar un elemento normativo que incluye este precepto, y es que se requiere que el apoderamiento de la información se realice “sin el consentimiento” del titular. Lo cual suma otro requisito al tipo delictivo para ser cometido, y excluye aquellas actuaciones consentidas.

Los verbos que determinan la conducta típica en el artículo 197.1 CP son “apoderarse” “interceptar” y “utilizar artificios”. Consiguientemente, el descubrimiento de secretos que se realice de cualquier otro modo, sin previo apoderamiento, o sin que medie interceptación o utilización de artificios descritos en el tipo, no será castigado por ser atípico. 55 El apoderamiento ilícito al que se refiere el tipo hace referencia tanto al apoderamiento físico como al virtual, de forma que puede revestir distintas modalidades: en primer lugar, se puede asimilar el apoderamiento a la actuación de la sustracción en el delito de robo o en el hurto, incluyendo los casos en que se extraen documentos o información de cualquier ámbito privado sin hacer uso de la violencia. En segundo lugar, también se consideran apoderamiento ilegítimo los hallazgos con comportamiento indebido. Por último, se incluyen en la concepción de apoderamiento aquellas actuaciones en las que haya mediado engaño para lograr el acceso a la información confidencial. Esta modalidad se asimila al delito de estafa, ya que el engaño es utilizado como una herramienta clave para acceder a la documentación, por ejemplo, X finge estar legitimada por la madre de un menor en una clínica infantil para acceder a un informe médico de este, en este caso, la Audiencia Provincial de Madrid ha aclarado que se trata de un claro apoderamiento, ya que “valiéndose de dicho ardid, la acusada obtuvo el informe de autos”56.

En cualquier caso, la jurisprudencia exige para que se pueda calificar de apoderamiento, una actuación por parte del sujeto activo, es decir, una conducta activa, encaminada a tener en su poder papeles, cartas, documentos, o cualquier información que no deba ser revelada, ya que la mera pasividad o no actuación no da lugar a la conducta típica del apoderamiento. No obstante, se considera apoderamiento el supuesto de pasividad en el que el sujeto activo recibe reiteradamente y por error comunicaciones que no van dirigidas a él, y, a sabiendas de ello, no actúa para cesar la situación. De este modo, el Tribunal Supremo en la STS 412/2020 señala que se incluyen en el término apoderamiento “las conductas de desplazamiento o traslación física de la

54 Olmo Fernández Delgado, L. (2009). El descubrimiento y revelación... Op Cit, pág. 72. 55 Morales Prats, F. (2009) La tutela penal de la intimidad: “privacy e informática”. Barcelona. Ed. Destino. Pág. 140. 56 SAP M. núm. 10113/2000, de 3 de julio de 2000. Rec. 61/2000.


31

cosa -del soporte en el que se encuentra la información o el hecho reservado-; la retención de lo recibido por error; el copiado, fotografiado o reproducción del objeto; e incluso la sola captación intelectual del soporte, siempre que no fuere involuntaria y muy especialmente, si media remoción previa de algún obstáculo de acceso -romper el sobre, por ejemplo-.57”

La “interceptación”, como segundo verbo mencionado en el tipo penal del art. 197.1 CP, puede entenderse de manera amplia, de forma que esta puede revestir dos aspectos, esto es, una comunicación puede ser interferida o bien con el fin de obtener conocimiento de algo, o con el fin de impedirla o interrumpirla58. Así, estamos ante dos conductas que responden al verbo “interceptar”: la primera, con el fin de acceder a las telecomunicaciones y obtener conocimiento de algo que contienen, lo que la doctrina llama “interceptación de indiscreción”, y la segunda con el fin de interrumpirlas, lo que se conoce como “interceptación de obstrucción” 59. Sin embargo, el artículo 197 CP exige, para el delito de descubrimiento de secretos, que la intercepción se haga “para descubrir los secretos o la intimidad de otras personas”, por lo que parece obvio que se excluye la segunda concepción de interceptación, la interceptación por obstrucción. Con todo ello, se puede concluir que la interceptación a la que hace alusión el artículo 197 es cualquier intromisión no consentida en las comunicaciones privadas de alguien.

Por último, el Derecho penal sanciona las conductas que, empleando medios insidiosos para acceder a la esfera privada de una persona, lesiona la intimidad de ésta, el artículo contiene la expresión “utilizar artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación” haciendo referencia a la pluralidad de instrumentos que son utilizados por las personas y entidades para comunicarse (teléfono, fax, correo…), pero también a los instrumentos de grabación o cualquier aparato de control visual o auditivo, que pueda penetrar en los espacios reservados y privados de una persona, vulnerando así su intimidad. En este sentido, el Tribunal Constitucional ha declarado que el término “comunicaciones” debe entenderse en un sentido amplio, en atención a la evolución de la tecnología. Así, dice la STC 70/2002: “los avances tecnológicos que en los últimos tiempos se han producido en el ámbito de las telecomunicaciones, especialmente en conexión con el uso de la informática, hacen necesario un nuevo entendimiento del concepto de comunicación y del objeto de protección del derecho fundamental, que extienda la protección a esos nuevos ámbitos, como se deriva necesariamente del tenor literal del art. 18.3 CE”60.

57 STS Sala de lo Penal, núm. 412/2020 de 20 de julio de 2020. Rec. 2736/2020. 58 Grevi, V. “Appunti in tema di intercettazioni telefoniehe operate dalla policía giudi- Zaria" en Rivisia italiana di Dirilm e Procedumpemiles, Aprilc-Giugno, 1967, fase. 2, pág. 724. En: Fernández Delgado, L. O. (2009). El descubrimiento y la revelación de secretos documentales y de las telecomunicaciones: estudio del artículo 197.1° del Código Penal. Madrid. Ed. Dykinson. Disponible en: https://elibro.net/es/ereader/universidadcomplutense/34296?page=80 . 59 Polaino Navarrete, M. (2009). “Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio (1)” pág. 408. En: Fernández Delgado, L. O. El descubrimiento y la revelación de secretos documentales y de las telecomunicaciones: estudio del artículo 197.1° del Código Penal. Madrid. Ed Dykinson. Disponible en: https://elibro.net/es/ereader/universidadcomplutense/34296?page=80 . 60 STC núm. 70/2002 de 3 de abril. Recurso de amparo 3787/2001.




32

No debe perderse de vista el elemento normativo que incluye este artículo: “sin su consentimiento”, lo cual constituye otro requisito fundamental para completar la tipicidad de la acción, ya que, si hay consentimiento, la acción deja de ser típica y por tanto se deja de hablar de delito.

La doctrina ha criticado en varias ocasiones el hecho de que aquellos delitos cometidos a través de esta modalidad sean sancionados con la misma pena que aquellos cometidos por el tipo anterior, puesto que aquellos que utilizan artificios y medios de control visual y/o auditivo presentan un mayor riesgo objetivo de lesionar gravemente la intimidad, por ejemplo, cuando el sujeto ni si quiera se haya percatado61.

En esta línea, art. 197 bis CP al que también hace referencia el art. 197 quinquies CP, dice:

1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses.

La conducta típica del artículo 197 bis CP, al que también se remite el artículo 197 quinquies CP, es similar a la del artículo 197 CP, y se concreta en el hecho de acceder a una información confidencial o facilitar el acceso a otra persona, a lo que se añaden dos nuevos matices: “sin estar autorizado” y “vulnerando las medidas de seguridad establecidas”.

El segundo apartado menciona los artificios técnicos, estos son aquellos medios que faciliten la escucha, o que permitan la grabación transmisión o reproducción de la información, y establece como conducta típica hacer uso de estos accesorios para interceptar transmisiones privadas de datos informáticos. Así, la captación de información que se haga a través de conductas naturales atípicas, como la simple escucha tras una puerta, se excluyen del ámbito de aplicación de este precepto.

Estas conductas no precisan que el autor alcance la finalidad perseguida para ser típicas, sino que basta con que se consume la acción62.

A continuación, conviene determinar cuáles son los sujetos que intervienen en el delito. En cuanto al sujeto activo, las conductas típicas de los artículos 197 y 197 bis CP, a los que se remite el artículo 197 quinquies CP, sólo son realizables por personas

61 Gonzalez Collantes, T. (2015). ‘Los delitos contra la intimidad tras la reforma del 2015: Luces y sombras’. Revista de Derecho Penal y Criminología Universidad Nacional de Educación a Distancia, núm. 13, pág. 52. [en línea] Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=5736356 62 STS núm. 358/2007 de 30 de abril de 2007. Rec. 1805/2006.

https://dialnet.unirioja.es/servlet/articulo?codigo=5736356


33

físicas, si bien también cabe atribuir responsabilidad penal a las personas jurídicas en los casos en los que el delito se haya cometido en nombre o por cuenta de ésta y en su beneficio directo o indirecto. Consiguientemente, las conductas analizadas a continuación son previstas para las personas físicas, sin perjuicio de que también responderán penalmente las personas jurídicas de acuerdo con los artículos 197 quinquies y 31 bis CP. Esto se debe a que, aunque el sujeto activo del delito sea una persona jurídica, éste siempre viene precedido por la actuación de una persona física, que será, a su vez, responsable. La responsabilidad penal de la persona jurídica será atribuida según lo establecido en el artículo 31 bis CP.

El sujeto pasivo parece claro que será el titular del bien jurídico protegido, aquel que vea vulnerada o lesionada su intimidad por la actuación del sujeto activo. Además, será quien ostente el objeto material sobre el que recaiga el delito, es decir, será la persona -física o jurídica- propietaria de los documentos o comunicaciones privadas que contengan datos de carácter reservado e información confidencial.

Respecto a la consumación de este delito, ha señalado el Tribunal Supremo que “el artículo 197 del Código Penal, contiene varias conductas en una compleja redacción. (…) Se trata de conductas distintas que no precisan que el autor llegue a alcanzar la finalidad perseguida. En los dos primeros casos requiere sin embargo un acto de apoderamiento o de interceptación efectivos, mientras que en el supuesto de utilización de artificios basta con la creación del peligro que supone su empleo con las finalidades expresadas para la consumación de la infracción penal63.”

La pregunta que ha sido objeto de debate por parte de la doctrina es ¿cuáles son las circunstancias necesarias para la consumación del delito? No cabe duda de que la mera instalación de sistemas de control no supone la consumación del delito, sino que debe de haber una captación, aunque sea mínima, de sonido, imagen o cualquier clase de información contenida en una comunicación que pueda suponer un peligro al derecho a la intimidad de alguien. Algunos autores han criticado esta teoría, considerando que la propia instalación de medios de control y el hecho de que estos sean puestos en funcionamiento ya supone un riesgo, no siendo necesaria la captación de información alguna64.

La jurisprudencia se ha pronunciado acerca de esto, y la Sentencia del Tribunal Supremo núm. 1045/2011, 14 de octubre señala que este delito, en cualquiera de sus versiones, no precisa para su consumación que efectivamente se descubra el secreto, sino que basta que el sistema de grabación o reproducción de sonido o imagen haya sido utilizado, siempre y cuando la finalidad de esta utilización haya sido la que se describe en el tipo, es decir, vulnerar la intimidad de la persona. La sentencia califica este tipo penal como “delito intencional de resultado cortado, cuyo agotamiento daría lugar a un tipo compuesto, si dichas imágenes se difunden, revelan o ceden a terceros, supuesto

63 STS 358/2007, 30 de abril de 2007, FJ 1º. Rec. 1805/2006. 64 Muñoz Conde, F. (2015) Derecho Penal. Parte Especial. Ed. Tirant lo Blanch. pág. 236.


34

agravado previsto en el apartado 3º.1 del mismo precepto, lo que conlleva la realización previa del tipo básico65.”

El elemento subjetivo de este delito es, evidentemente, el dolo, pues el tipo penal requiere que el apoderamiento o interceptación de comunicaciones debe hacerse con la intención de “descubrir los secretos o vulnerar la intimidad” de la persona, con el elemento normativo añadido “sin su consentimiento”. La jurisprudencia ha declarado que se trata de un delito de intención, que requiere un elemento subjetivo específico: apoderarse de efectos personales, interceptar las comunicaciones o utilizar artificios técnicos con la expresa finalidad de descubrir secretos o vulnerar la intimidad del otro. Es imprescindible esa intencionalidad para que la acción sea típica, se requiere el ánimo de lesionar la intimidad de la víctima. Este delito se consuma con el simple apoderamiento, interceptación o utilización del artificio técnico, siempre y cuando esté presente la mencionada intencionalidad, no siendo necesario, que en consecuencia se descubran información privada y/o secreta de la víctima. En definitiva, si no concurre dolo no existe delito, puesto que la modalidad imprudente es impune66.

6. CONCLUSIONES

I. - La polémica acerca de la introducción en el Ordenamiento de la responsabilidad penal de la persona jurídica ha tenido una gran trascendencia en nuestra doctrina, estableciendo una clara disconformidad entre aquellos que mantienen una posición crítica frente a la reforma, y aquellos que apoyan y defienden esta nueva figura.

II. – La empresa debe garantizar su correcto funcionamiento, demostrando, además de la legalidad en todas sus actuaciones, el cumplimiento de determinados principios y reglas de conducta orientadas a la transparencia en la gestión, con el objetivo de garantizar el interés de la sociedad. Para ello, la organización debe adoptar las medidas de control adecuadas, tratando de evitar, en la medida de lo posible, la responsabilidad penal de la persona jurídica. Esta función se conoce como Compliance penal, y es una materia que trasciende el ámbito jurídico y puede considerarse integrada en el ámbito de la ética, ya que no se trata únicamente del cumplimiento legal, sino que implica integridad y buen gobierno de las organizaciones.

III. El Compliance penal implica el cumplimiento de las normas, pero también la aplicación de los principios y valores que guíen la organización y de los códigos de conducta que se hayan establecido en ella.

IV. - Junto a las nuevas herramientas de comunicación a través de internet, se presentan formas de vulnerabilidad para la intimidad, la protección de datos y las telecomunicaciones, ya que muchas veces las comunicaciones privadas son interceptadas o interrumpidas. Con todo ello, y teniendo en cuenta la cantidad de datos

65 STS núm. 1045/2011, 14 de octubre de 2011, FJ 9. Rec. 10365/2011. 66 De Verda y Beamonte, J.R. (2015) Delito de apoderamiento y revelación de secretos en el ámbito de las relaciones conyugales. [en línea] Valencia. Disponible en https://studylib.es/doc/5785009/99-i.-delito-de-apoderamiento-y-revelaci%C3%B3n-de-secretos-en.

https://studylib.es/doc/5785009/99-i.-delito-de-apoderamiento-y-revelaci%C3%B3n-de-secretos-en


35

personales que circulan a través de internet cada día o cada hora, no cabe duda de la relevante peligrosidad que tiene frente a la intimidad de los titulares de esos datos.

V. - Además de los modelos de responsabilidad penal que establece el artículo 31 bis CP, la regulación propia de la protección de datos, es decir la Ley Orgánica de protección de datos LOPDGDD y el Reglamento Europeo RGPD que enmarcan esta materia, prevén otras medidas para la protección de los datos de carácter personal. Sin perjuicio de que todas estas otras medidas son dirigidas a evitar una responsabilidad civil, administrativa o de otra naturaleza distinta a la penal, también son de gran importancia, ya que toda la materia de protección de datos constituye en sí misma un sistema de prevención de infracciones, al igual que el Compliance.

VI. – Todos estos modelos de control se definen como el conjunto de sistemático de esfuerzos llevado a cabo por todos los integrantes de una empresa con la finalidad de evitar que las actividades de ésta vulneren la legislación aplicable. Existe una verdadera necesidad de controlar los riesgos que surgen en una empresa de forma eficaz, en primer lugar, para mejorar el desempeño en lo referente al cumplimiento normativo, pero también para cumplir más eficazmente todos los objetivos de la empresa, proyectando una buena imagen corporativa.


36

BIBLIOGRAFÍA.

MANUALES

Aguilar Sáenz, Jesús Lorenzo., Jiménez Rodríguez, Francisco Antonio. De Blas Herrero, Carolina. (2018) Compliance: Responsabilidad penal de la persona jurídica y la mediación organizacional. Formularios y norma UNE 19601. Madrid. Ed. Tébar Flores.

Batlle Salles, Georgina. (1972) El derecho a la intimidad privada y su regulación. Ed. Marfil.

Gallego Soler, José Ignacio. Hortal Ibarra, Juan Carlos. Mir Puig, Santiago. Corcoy Bidasolo, Mirentxu. Gómez Martín, Víctor. (2014) Responsabilidad de la empresa y Compliance. Madrid. Ed. Edisofer.

Groizard, Alejandro. (1983). El Código Penal de 1980, concordado y comentado, Tomo III, Salamanca.

Jaén Vallejo, Manuel. Perrino, Ángel Luis, (2015) La Reforma Penal de 2015, Análisis de las principales reformas introducidas en el Código Penal por las leyes orgánicas 1 y 2 / 2015, de 30 de marzo. Madrid. Ed. Dykinson.

Liñán, Alfredo. (2019). La Responsabilidad Penal del Compliance Officer. Ed. Thomson Reuters.

Muñoz Conde, Francisco. (2015) Derecho Penal. Parte Especial. Ed. Tirant lo Blanch.

Morales Prats, Fermín. (1984) La tutela penal de la intimidad: “privacy e informática”. Barcelona. Ed. Destino.

MORALES PRATS, Fermín. (2005) Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio. Comentarios a la Parte Especial del Derecho Penal. Pamplona. Ed. Thomson-Aranzadi.

Puyol Montero, Francisco Javier. (2016). Criterios prácticos para la elaboración de un Código de Compliance. Valencia. Ed. Tirant lo Blanch.

LIBROS ELECTRÓNICOS

De Verda y Beamonte, José Ramón., (2015) Delito de apoderamiento y revelación de secretos en el ámbito de las relaciones conyugales. [en línea] Valencia. Disponible en https://studylib.es/doc/5785009/99-i.-delito-de-apoderamiento-y-revelaci%C3%B3n-de-secretos-en

Olmo Fernández-Delgado, Leopoldo. (2009). El descubrimiento y la revelación de secretos documentales y de las telecomunicaciones: estudio del artículo 197.1° del Código Penal. [en línea] Madrid. Ed. Dykinson. Disponible en: https://elibro.net/es/ereader/universidadcomplutense/34296?page=80 .





37

Quintero Olivares, Gonzalo. (2016). Los delitos económicos. [en línea] Barcelona. Ed. UOC.

Disponible en https://elibro.net/es/ereader/universidadcomplutense/57739?page=49

REVISTAS ELECTRÓNICAS

Aguinaga Barrilero, Berta. (2019) ‘El Compliance Officer es necesario para que el Modelo de Prevención de Riesgos Penales sea implementado de manera idónea’. Revista El Derecho. [en línea]. Disponible en: https://elderecho.com/berta-aguinaga-barrilero-compliance-officer-necesario-modelo-prevencion-riesgos-penales-sea-implementado-manera-idonea

Bacigalupo Zapater, Enrique. (2019) ‘Omisiones Punibles en el ámbito de administración empresarial’. Diario La Ley (nº 9348). [en línea] https://dialnet.unirioja.es/servlet/autor?codigo=501944

Cabarique, Wilmar. Salazar, César. y Quintero, Yeiler. (2015). ‘Factores y causas de la fuga de información sensibles en el sector empresarial’. Cuaderno Activa, núm. 7.

Fernández López, Juan Manuel. (2003) ‘El derecho fundamental a la Protección de Datos personales. Obligaciones que derivan para el personal sanitario.’ Revista DS: Derecho y Salud. Ejemplar dedicado a: XI Congreso de Derecho y Salud: "Nuevos retos del Sistema Nacional de Salud". (ISSN 1133-7400) [en línea] Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=500300

González Collantes, Tàlia. (2015). ‘Los delitos contra la intimidad tras la reforma del 2015: Luces y sombras’. Revista de Derecho Penal y Criminología Universidad Nacional de Educación a Distancia. (núm. 13). [en línea] Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=5736356

Gracia Martín, Luis., (2016). ‘Crítica de las modernas construcciones de una mal llamada responsabilidad penal de la persona jurídica’. Revista electrónica de ciencia penal y criminología (RECPC 18-05). [en línea] Disponible en: http://criminet.ugr.es/recpc/18/recpc18-05.pdf .

Mendo Estrella, Álvaro. (2015) ‘DELITOS DE DESCUBRIMIENTO Y REVELACIÓN DE SECRETOS’, Revista Electrónica de Ciencia Penal y Criminología, (ISSN 1695-0194). [en línea] Disponible en: http://criminet.ugr.es/recpc/18/recpc18-16.pdf .

Romeo Casabona, Carlos María. (2002) ‘La protección penal de los mensajes de correo electrónico y de otras comunicaciones de carácter personal a través de internet’, Derecho y conocimiento, vol. 2, Facultad de Derecho, Universidad de Huelva, (ISSN 1578-8202). [en línea] Disponible en http://perso.unifr.ch/derechopenal/assets/files/obrasportales/op_20080612_17.pdf

TESIS


https://elderecho.com/berta-aguinaga-barrilero-compliance-officer-necesario-modelo-prevencion-riesgos-penales-sea-implementado-manera-idonea



https://dialnet.unirioja.es/servlet/autor?codigo=501944





http://perso.unifr.ch/derechopenal/assets/files/obrasportales/op_20080612_17.pdf


38

Dª BACIGALUPO SAGESSE, SILVINA. (1997) La Responsabilidad Penal de las Personas Jurídicas, un estudio sobre el sujeto penal. Tesis doctoral no publicada. Universidad Autónoma de Madrid, Facultad de Derecho, Departamento de Derecho Público.

FUENTES

LEGISLACIÓN

Constitución Española.

Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. B.O.E. 31 marzo). Vigencia: 1 julio 2015

Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

JURISPRUDENCIA

AUDIENCIA PROVINCIAL

SAP de Madrid, Sección 2, núm. 10113/2000, de 3 de julio de 2000. Rec. 61/2000.

TRIBUNAL SUPREMO

STS Sala de lo Penal, Sala Segunda, núm. 37/2006 de 25 de enero de 2006. Rec. 2072/2004.

STS, Sala de lo Penal, Sala Segunda, núm. 358/2007, de 30 de abril de 2007. Rec. 1805/2006.

STS, Sala de lo Penal, Sala Segunda, núm. 1045/2011, 14 de octubre de 2011. Rec. 10365/2011.

STS, Sala de lo Penal, Sala Segunda, núm. 154/2016, de 29 de febrero 2016. Rec. 10011/2015.

STS, Sala de lo Penal, núm. 221/2016, de 16 de marzo de 2016. Rec. 1535/2015.

STS Sala de lo Penal, Sala Segunda, núm. 514/2016 de 2 de septiembre 2016. Rec. 111/2015.

STS Sala de lo Penal, Sección 1ª, núm. 557/2017, de 13 de julio de 2017. Rec. 56/2017.

STS, Sala de lo Penal, núm. 2028/2019, de 17 de junio de 2019. Rec. 831/2018.

STS Sala de lo Penal, núm. 412/2020, de 20 de julio de 2020. Rec. 2736/2020.

STS, Sala Cuarta, de lo Social, núm. 1134/2020 de 21 de diciembre 2020. Rec. 63/2019.

TRIBUNAL CONSTITUCIONAL


39

STC núm. 207/1988, de 2 de diciembre. Recurso de amparo 990/1988.

STC núm. 254/1993, de 20 de julio, Recurso de amparo 1827/1990.

STC núm. 207/1996, de 16 de diciembre. Recurso de amparo 1789/1996.

STC núm. 98/2000, de 10 de abril. Recurso de amparo 4015/1996.

STC núm. 292/2000, de 30 de noviembre. Recurso de inconstitucionalidad 1463/2000.

STC núm. 156/2001, de 2 de julio. Recurso de amparo 4641/1998.

STC núm. 70/2002 de 3 de abril. Recurso de amparo 3787/2001.

JURISPRUDENCIA INTERNACIONAL

New York Central R.R v. United States. https://casetext.com/case/new-york-central-rr-v-united-states .

WEBGRAFÍA

Compliance and the Compliance function in Banks publicado por el Comité de Supervisión Bancaria de Basilea en el año 2005. Disponible en: https://www.bis.org/publ/bcbs113.pdf.

Comunicación del Poder Judicial. (2021) ‘El Tribunal Supremo confirma la prohibición del Banco de España de exigir a sus trabajadores entregar su declaración del IRPF en el Código de Conducta’. Noticias Judiciales. [en línea] Disponible en: C.G.P.J - Noticias Judiciales (poderjudicial.es)

Extracto de United States Sentencing Guidelines for organizations, SECCIÓN 8A1.2 INSTRUCCIONES DE APLICACIÓN—ORGANIZACIONES. Disponible en https://legacy.trade.gov/goodgovernance/adobe/Bus_Ethics_sp/apendices/apendices_h_extractos.pdf.

ISOtools Excellence, Blog de Calidad y excelencia, Funciones y responsabilidades del Compliance Officer, 12 de junio 2018, Disponible en https://www.isotools.org/2018/06/12/funciones-responsabilidades-compliance-officer/ .

SEPBLAC. Recomendaciones de control interno | Sepblac



https://www.bis.org/publ/bcbs113.pdf

https://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunal-Supremo/Noticias-Judiciales/El-Tribunal-Supremo-confirma-la-prohibicion-del-Banco-de-Espana-de-exigir-a-sus-trabajadores-entregar-su-declaracion-del-IRPF-en-el-Codigo-de-Conducta

https://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunal-Supremo/Noticias-Judiciales/El-Tribunal-Supremo-confirma-la-prohibicion-del-Banco-de-Espana-de-exigir-a-sus-trabajadores-entregar-su-declaracion-del-IRPF-en-el-Codigo-de-Conducta





https://www.sepblac.es/es/publicaciones/recomendaciones-de-control-interno/

riesgos inherentes a la actividad empresarial: compliance

Documents