• Shortcuts : 'n' next unread feed - 'p' previous unread feed • Styles : 1 2

» Publishers, Monetize your RSS feeds with FeedShow:  More infos  (Show/Hide Ads)


Date: Saturday, 04 Oct 2014 05:58

El Consejo de Ministros de ayer aprobó la remisión a las Cortes Generales del Proyecto de Ley de Fomento de la Financiación Empresarial cuyo objetivo es mejorar los canales de financiación de las empresas, en especial, las pymes. Entre las novedades destaca la regulación de los instrumentos de financiación no bancarios como el denominado "crowdfunding".

Alcance de la nueva regulación

El Proyecto de Ley establece un régimen jurídico para las plataformas de Internet que promueven la financiación participativa mediante préstamos o la emisión de acciones, obligaciones o participaciones de responsabilidad limitada. El objetivo es proporcionar un marco adecuado para el denominado "crowdfunding" con el objetivo de garantizar, de manera equilibrada, la correcta protección de los inversores y de impulsar, al mismo tiempo, esta nueva herramienta de financiación directa de proyectos empresariales en sus fases iniciales (startups).

Esta norma regula exclusivamente las operaciones de financiación participativa que busquen un rendimiento dinerario derivado de la financiación empresarial o de consumo, a diferencia de otros tipos de "crowdfunding" como son los vinculados al mecenazgo o la compraventa.

Supervisión y transparencia

La supervisión correrá a cargo de la Comisión Nacional del Mercado de Valores, con la implicación del Banco de España, cuando la actividad consista en la intermediación de préstamos. La transparencia es otra de las exigencias de la nueva regulación al garantizar que todos los inversores tengan acceso a información suficiente sobre aspectos como la propia plataforma, el promotor y las características del vehículo utilizado para captar la financiación, así como sobre todos los riesgos que implica la inversión en este tipo de proyectos.

Inversores acreditados y no acreditados

El Proyecto distingue entre inversores acreditados e inversores no acreditados. Los primeros son los institucionales, las empresas que superen determinados niveles de activo (un millón de euros), cifra de negocio (dos millones) o recursos propios (trescientos mil euros) y todas las personas físicas o jurídicas cuyos niveles de renta superen los cincuenta mil euros al año o tengan un patrimonio superior a cien mil euros y soliciten expresamente este tratamiento.

Los inversores acreditados podrán invertir sin límite mientras que los no acreditados (todos los demás), por su carácter minorista, tendrán límites anuales a la inversión (tres mil euros por proyecto y diez mil euros en el conjunto de plataformas) y deberán requerir la firma manuscrita por la que manifiestan, antes de adquirir ningún compromiso de pago, haber sido advertidos de los riesgos de este tipo de inversiones.

Author: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Tuesday, 30 Sep 2014 08:35

El Código de Conducta para usuarios de equipos y sistemas informáticos al servicio de la Administración de Justicia, vigente en la actualidad, siempre ha sido una referencia a seguir en la redacción de este tipo de normas, dado el justo equilibrio que establece entre las exigencias de control del propietario de los recursos TIC y los derechos de los usuarios.

Este equilibrio es el que muchas empresas han introducido en sus normas internas, ya que coincide con la doctrina unificada y consolidada por el Tribunal Supremo y por el Tribunal Constitucional.

Sin embargo, la Sentencia del Tribunal Supremo de 16/06/14 ha introducido un nuevo criterio en relación al control e intervención del correo electrónico "no leído" de los trabajadores para su uso como prueba en un procedimiento penal.

Este nuevo criterio y los cambios que implica en las actividades de control de la empresa, puede entrar en conflicto con el Código de Conducta comentado, que, paradójicamente regula el uso del correo electrónico que utilizan los Magistrados, incluidos los del órgano que dictó la sentencia comentada.

Reproduzco los puntos principales de este Código de Conducta para que se pueda valorar si existe o no un conflicto y si deben confirmarse o no las tesis defendidas en mi anterior artículo a favor de mantener el criterio hasta ahora vigente, que es justamente el que aplica este Código de Conducta.

1. El primer apartado de esta Instrucción, dictada por el Pleno del Consejo General del Poder Judicial de 26 de febrero de 20013, establece que el Código de Conducta se aplicará a todos los profesionales que prestan sus servicios en los órganos judiciales, incluidos los Jueces, Magistrados y Secretarios Judiciales.

2. Los apartados 2.3 y 4.1 extienden la aplicación de esta norma al correo electrónico y a todas las comunicaciones realizadas a través de la red interna o Intranet, o de la red externa o Internet.

3. El apartado 9.1.1 establece que es facultad de la Administración Pública competente exigir un buen uso del correo electrónico, y añade que el correo electrónico, por ser un instrumento básico de trabajo y colaboración, propiedad de la Administración, debe ser utilizado con fines profesionales.

4. Apartado 9.1.2: Queda prohibida la utilización del correo electrónico para "actividades personales restringidas", en las que pueda haber alguna expectativa de privacidad o secreto en las comunicaciones.

5. Apartado 9.1.3: En los casos en los que la Administración competente permita utilizar el correo electrónico puesto a disposición de cada usuario para "actividades personales no reservadas", en las que no exista expectativa alguna de privacidad, tales como usos sociales individualizados, esta utilización deberá restringirse al máximo.

6. En el apartado 6.8.3 se establece que, en aquellos órganos judiciales donde se hubiere instaurado la figura del "monitor judicial" y sin perjuicio de lo dispuesto en el párrafo anterior, a aquél le corresponderá comprobar y supervisar el correcto funcionamiento de las aplicaciones informáticas, poniendo en conocimiento del Secretario Judicial las deficiencias que observare, proponiendo, en su caso, la adopción de las medidas que estime pertinentes.

7.Apartado 6.11.2: Si un usuario finaliza su relación con la Administración o se traslada de puesto, deberá dejar intactos todos los archivos y documentos que hayan tenido un fin profesional. En el supuesto de que existan archivos de carácter personal, él mismo deberá eliminarlos, bajo la supervisión del Servicio de Soporte competente.

8. Apartado 9.3: En el momento de la extinción de la relación funcionarial o laboral, se interrumpirá el acceso a su buzón de correo. Los servicios técnicos podrán acceder al buzón para reenviar los mensajes profesionales a los usuarios que se determinen por el administrador o responsable del Sistema. (Se entiende que los destinatarios del reenvío accederán a los mensajes leídos y no leídos y que la selección de los mensajes profesionales, descartando los mensajes personales, la realizarán los servicios técnicos sin intervención judicial).

Conclusiones

En mi opinión, el criterio establecido en esta Instrucción del Pleno del Consejo General del Poder Judicial, que coincide con la doctrina unificada y consolidada del Tribunal Supremo y del Tribunal Constitucional, debe prevalecer.

Los usos actuales de los sistemas informáticos en el seno de las empresas y de las Administraciones Públicas exigen la reinterpretación o la modificación del artículo 18.3 de la Constitución, estableciendo la posibilidad de que:

  • o bien el secreto de las comunicaciones no sea de aplicación a las comunicaciones estrictamente corporativas o profesionales en las que no haya expectativa de privacidad, por la prohibición de su uso personal,
  • o bien se incluya el consentimiento del usuario y la ley como circunstancias habilitantes para la injerencia en dicho derecho.

Pensemos que la Constitución data de 1978 y que los avances tecnológicos, sociales, laborales, e incluso penales nos han llevado a un escenario que nada tiene que ver con el de entonces.

Author: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Saturday, 27 Sep 2014 09:50

Con un título similar publiqué hace años un breve artículo en v-Lex (premium) en el que me preguntaba si algún día sería necesario solicitar una autorización judicial para que una empresa pudiese inspeccionar el correo electrónico corporativo utilizado por sus trabajadores. Parece que ese momento ha llegado, aunque la intervención judicial sea sólo exigible para los correos no abiertos por el trabajador que tengan que ser utilizados como prueba en un procedimiento penal.

Aunque pensábamos que la doctrina jurisprudencial en esta materia estaba unificada y consolidada, una reciente sentencia de la Sala II del Tribunal Supremo ha establecido que el criterio existente hasta la fecha es aplicable a la jurisdicción laboral, pero no a la penal.

Esta sentencia se refiere a un delito continuado de falsedad en documento mercantil y de estafa que la empresa perjudicada acreditó mediante mensajes de correo electrónico del trabajador presunto autor de los delitos.

Adelanto que una de mis conclusiones va a ser que es irrelevante la forma en que las pruebas relativas al correo electrónico corporativo lleguen a un proceso penal, ya que, al ser un instrumento que está en la mayoría de los casos bajo el control de la empresa, las garantías que ofrece la intervención judicial pierden toda su eficacia.

Afirmaciones más relevantes de la Sentencia del Tribunal Supremo de 16/06/14

1. Los criterios establecidos en las sentencias previas del Tribunal Supremo y del Tribunal Constitucional han de quedar restringidos al ámbito de la Jurisdicción Laboral y no procede, en modo alguno, que se extiendan al enjuiciamiento penal.

2. El artículo 18.3 de la Constitución Española es claro y tajante cuando afirma que se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

3. No contempla, por tanto, ninguna posibilidad ni supuesto que permita la injerencia en el contenido secreto de las comunicaciones sin la necesaria e imprescindible autorización judicial.

4. No son una excepción los argumentos relativos a la propiedad o titularidad del ordenador y la cuenta de correo electrónico, ni el uso de dichos recursos durante la jornada laboral, ni la naturaleza corporativa del cauce empleado.

5. Tampoco una supuesta renuncia tácita del derecho puede convalidar la ausencia de autorización judicial. En primer lugar porque esta renuncia al secreto de las comunicaciones no se produce en el caso concreto. En segundo lugar porque aunque se hubiese producido una renuncia-autorización, la Constitución no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante de la intervención del correo.

6. La protección reforzada del derecho al secreto de las comunicaciones se justifica porque este tipo de injerencias revelan aspectos de la privacidad del comunicante que son ajenos al legítimo interés de una investigación.

7. Además se produce una situación de absoluta indefensión, por no saber la persona investigada que sus comunicaciones están siendo intervenidas.

8. Finalmente, el secreto de las comunicaciones beneficia también a los terceros que comunican con el trabajador, que son ajenos a la relación de éste con el titular del recurso y de sus condiciones de uso.

9. Por consiguiente, para que pueda otorgarse valor y eficacia probatoria en sede penal al resultado de una intervención del correo electrónico de un trabajador, resultará siempre necesaria la autorización e intervención judicial.

10. Quedan excluidos del secreto de las comunicaciones los mensajes que, una vez recibidos y abiertos por su destinatario, no forman ya parte de la comunicación propiamente dicha.

11. A los mensajes abiertos le son aplicables las normas relativas a la protección de datos personales y a la intimidad en sentido genérico, por lo que en este caso no es necesaria la autorización judicial.

12. También quedan excluidos los datos de tráfico y el uso del ordenador para acceder a páginas web y a otros servicios de Internet.

Ausencia de contenido privado y confidencial

1. Las alegaciones del trabajador recurrente acerca de las dudas sobre la integridad y validez de la prueba informática aportada por la empresa no son tenidas en cuenta en la sentencia, ya que se considera que no se ha producido injerencia en el secreto de las comunicaciones en este caso concreto.

2. En la sentencia recurrida se dice que no consta que se haya examinado correo electrónico privado ni cualquier otro tipo de programa o archivos temporales que haya supuesto intervenir o desvelar algún tipo de de comunicación privada y confidencial del trabajador.

3. Pensemos que los mensajes intervenidos estaban relacionados con las funciones administrativas desarrolladas por el trabajador y los destinatarios o remitentes de los mensajes eran sus interlocutores en las entidades financieras y los clientes con los que la empresa operaba.

4. Los criterios establecidos en la sentencia se plantean, por lo tanto, con la finalidad de fijar una clara doctrina sobre la validez probatoria de este tipo de intervenciones en sede penal.

¿Comete un delito la empresa que abre un mensaje cerrado de un trabajador?

1. En la sentencia se habla de la invalidez en sede penal de los mensajes cerrados intervenidos a un trabajador sin autorización judicial, pero no habla de las consecuencias penales de esta intervención.

2. Se entiende que no, ya que en el caso de que esta intervención fuese subsumible en el tipo penal del artículo 197 del Código Penal, algunas de las actividades rutinarias que se realizan cada día en muchas empresas podrían llegar a constituir un delito.

3. Imaginemos a la secretaria que, siguiendo las instrucciones de su jefe, abre sus mensajes cuando está en una reunión, para avisarle de cualquier asunto urgente. O el supervisor de un call center que escucha una muestra de llamadas cada día para controlar la calidad ofrecida por los operadores del servicio de atención al cliente. O las líneas de banca telefónica cuyas conversaciones son grabadas como prueba del consentimiento dado a las operaciones realizadas. ¿Se está cometiendo un delito en todos estos casos? Entiendo que no. ¿Son válidas estas pruebas en un proceso penal? Entiendo que sí.

4. También ha que hablar en este punto del consentimiento que dan los trabajadores que causan baja en una empresa para que sus sucesores puedan acceder a sus documentos y mensajes con el fin de continuar su trabajo. ¿Qué pasa si la persona que recibe los pedidos causa baja en la empresa? Los clientes seguirán enviando sus pedidos a esa dirección durante un tiempo, aunque se les avise puntualmente. En estos casos se utilizan direcciones genéricas de departamento, pero según la doctrina del Tribunal Supremo de 2007, cualquier usuario podría utilizar la cuenta genérica para un uso personal, con la consiguiente "expectativa de privacidad".

5. El artículo 197 del Código Penal describe un tipo penal en el que el consentimiento del interesado elimina la posibilidad de que se cometa un delito.

6. De ello se deduce a mi entender que un consentimiento expreso debería ser también suficiente para habilitar una intervención del correo electrónico con la finalidad de causar prueba en un proceso penal, siempre que se aplicase un protocolo con las debidas garantías, se utilizase un fedatario público y se respetase la cadena de custodia.

7. La tecnología actual permite realizar varias copias de un disco duro sin acceder a su contenido y con herramientas que aseguran su integridad.

8. No obstante, todas estas garantías se refieren al momento de la obtención de la prueba y a su ciclo de vida posterior, pero no permiten asegurar que la prueba haya sido manipulada con carácter previo a la intervención, como diré más adelante.

Titular real del derecho al secreto de las comunicaciones

1. Siguiendo con mis opiniones personales cabe decir que llevo muchos años defendiendo la tesis de que en el correo electrónico corporativo el titular del derecho al secreto de las comunicaciones es la empresa. Insistiré poco en ello ya que doy por consolidada la doctrina jurisprudencial que exige una sospecha razonable y la aplicación del principio de proporcionalidad a la intervención del correo electrónico del trabajador para causar prueba en sede laboral. El único límite que establece el artículo 20.3 del Estatuto de los Trabajadores es el respecto a la dignidad del trabajador.

2. Plantémonos las siguientes preguntas: si un competidor interceptase un mensaje de correo electrónico entre nuestra empresa y un cliente, ¿quién pondría la querella por vulneración del secreto de las comunicaciones contra el competidor? ¿el trabajador que ha enviado el mensaje o la empresa? ¿Y en el caso de una llamada telefónica entre la empresa y un cliente?

3. La doctrina ha sido restrictiva y poco uniforme a la hora de extender los derechos fundamentales reconocidos en el artículo 18 de la Constitución a la persona jurídica. Se considera que la empresa puede tener derecho al honor y reputación, pero hay reparos para reconocer su derecho a la intimidad. En cambio hay que disponer de un consentimiento expreso para enviar una comunicación comercial electrónica a una empresa y de un mandamiento judicial para entrar en sus oficinas.

4. El Tribunal Europeo de Derechos Humanos (TEDH) reconoce el derecho al secreto de las comunicaciones a las personas jurídicas y declara que las nociones "vida privada" y "correspondencia" del art. 8 del convenio incluyen tanto locales privados como profesionales (Sentencia TEDH de 16 de febrero de 2000, caso Amann). También reconoció este derecho a favor de las empresas el Tribunal de Justicia de las Comunidades Europeas (en su anterior denominación) en la sentencia de 18 de mayo de 1982, A.M.S. v. Comisión.

5. El artículo 200 del Código Penal establece que lo dispuesto para las personas físicas en el mismo capítulo será aplicable también al que descubriere, revelare o cediere datos reservados de personas jurídicas sin el consentimiento de sus representantes.

6. Si se reconoce que una empresa puede ser titular del derecho al secreto de las comunicaciones deberá concluirse que la interceptación de un mensaje entre dos empresas supondrá una vulneración de este derecho. El derecho de la persona física que envió o recibió el mensaje pasaría en este caso a un segundo plano.

7. En mi opinión, la empresa es parte en las comunicaciones que se generan entre ella y cualquier otra persona física o jurídica y de ello debería deducirse que no precisa una autorización judicial para conocer su contenido cuando ha prohibido expresamente el uso privado de dichas comunicaciones y ha advertido de su monitorización.

8. La prueba podrá ponerse en duda, como toda prueba aportada por una de las partes, pero no debería decirse que ha sido obtenida de forma ilegítima, ya que, como he dicho, la empresa es parte en la comunicación.

¿Qué pasa actualmente con el correo postal corporativo?

1. Las cartas que llegan todavía a las empresas en formato papel conteniendo pedidos, facturas, publicidad, y otros contenidos de índole empresarial, van dirigidas generalmente a una persona física.

2. Hay diversas fórmulas para identificar al destinatario de una carta. Puede aparecer directamente su nombre o bien el cargo o departamento. La carta también puede ir dirigida a la empresa, a la atención de una persona concreta.

3. Aunque la carta vaya dirigida al Presidente de la compañía, es muy probable que su secretaria la abra, ya que los altos cargos acostumbran a optimizar su tiempo delegando en sus secretarias la apertura de la correspondencia.

4. Lo mismo sucederá en el departamento de contabilidad. Si una carta va dirigida a una persona que ya no está en la empresa, se presumirá que su contenido tiene que ver con la función que desempeñaba y será abierta.

5. En estos supuestos nadie habla de violación del secreto de las comunicaciones porque se entiende que se trata de comunicaciones en las que la empresa es parte, como remitente o como destinataria.

6. En el correo electrónico sucede lo mismo. Los mensajes van dirigidos a la empresa, a la atención de una persona concreta. De hecho, la arroba significa "at", lo que indica que el mensaje va dirigido a a la atención de una persona concreta en (at) la empresa indicada en el nombre de dominio.

El derecho al secreto de las comunicaciones en el puesto de trabajo

1. La cultura del "buen rollo" desarrollada en las grandes empresas durante los años de bonanza llevó a buscar un equilibrio entre la vida laboral y la personal. Se entendió que no podía pedirse a un trabajador la conducta heroica de no utilizar los recursos tecnológicos corporativos para fines privados o personales durante las ocho largas horas de la jornada laboral. Ello generó un clima de permisividad que en muchas empresas derogó de facto las prohibiciones que pudiesen existir en relación a ese uso privado.

2. Pero las circunstancias han cambiado. Por un lado han surgido los smartphones, que han concentrado en ellos las comunicaciones privadas de los trabajadores. Ello permite presumir que el correo electrónico corporativo está dejando de ser utilizado para asuntos personales, justamente por el riesgo conocido de su lectura por la empresa. La tendencia del BYOD, para mi equivocada por cuestiones de seguridad, establece una diferencia clara entre las aplicaciones corporativas

3. Por otro lado, la crisis ha hecho que las empresas exijan una mayor productividad a sus trabajadores, por lo que un uso personal de los recursos TIC de la empresa puede ser mal visto y tratado como un supuesto de absentismo presencial.

4. Ello no impide que los trabajadores más jóvenes pasen su jornada laboral con el smartphone al lado del teclado del ordenador. Con este gesto le están diciendo a la empresa que seguirán trabajando en sus funciones hasta el momento en que reciban un mensaje de Whatsapp o de correo electrónico en el smartphone, momento en que su lectura tendrá prioridad absoluta sobre cualquier otra tarea de su famoso "multitasking". La cuestión es que la frecuencia de las interrupciones que provoca la multitarea es tan alta que un reciente estudio afirma que esta práctica provoca una reducción de 10 puntos en el coeficiente intelectual de la persona. Si la mayoría de los trabajadores no aceptarían una injerencia de la empresa en el sagrado episodio del fin de semana o las vacaciones, no parece justo que la empresa tenga que aceptar la injerencia de los mensajes personales y las constantes interrupciones del Whatsapp durante la jornada laboral. Ninguno de nosotros tendría que aceptarlo, por su inevitable impacto acumulado en el PIB de nuestro país.

5. ¿Qué expectativa de intimidad tiene el trabajador cuando utiliza el correo electrónico corporativo? No todas las formas de comunicación tienen el mismo tratamiento. Las postales que enviamos cuando ejercemos de turista van abiertas y la expectativa de intimidad es nula. El correo electrónico corporativo también va abierto para la empresa. No es necesario que el trabajador lo abra para que la empresa tenga la oportunidad de leer su contenido.

6. En la sentencia analizada se habla de que una renuncia del trabajador al derecho es inviable. Pero la cuestión es si al hablar del correo electrónico corporativo debemos dejar que este derecho llegue a nacer. El cauce no es la renuncia al derecho sino el convencimiento de que no hay espacio para la intimidad en el correo electrónico corporativo.

6. Entiendo que las empresas deben hacer un esfuerzo para definir de forma más clara que los recursos TIC corporativos están reservados para un uso empresarial y que el uso personal debe quedar prohibido. Ello no sería exigir una conducta heroica al trabajador, ya que pueden aprovecharse las pausas y los momentos de descanso para consultar el smartphone personal.

El correo corporativo está bajo el control constante de la empresa

1. Como adelantaba al principio, considero que las garantías que ofrece la intervención judicial van a llegar siempre tarde cuando se trata de obtener y utilizar el correo electrónico corporativo como prueba.

2. Pensemos que un mensaje de correo electrónico no cifrado es texto plano, que entra y sale de la empresa por un conducto que está enteramente bajo su control. Salvo en los casos en que el servicio está en manos de un tercero, y a veces incluso así, nada impide al departamento de sistemas de la empresa leer el correo e incluso modificar su contenido. Incluso se puede decir que el ISP es un proveedor pagado por la empresa que carece de neutralidad.

3. Una intervención judicial sería el procedimiento ideal para "blanquear" una prueba previamente asegurada desde el punto de vista técnico.

4. También existe la posibilidad de que la empresa marque como "leído"el mensaje que desea intervenir antes de aplicar el protocolo de intervención. Al igual que existe la posibilidad de que el trabajador marque como "no leído" los mensajes ya leídos que desea proteger de una eventual intervención de la empresa. Aunque en este caso sería mejor borrarlos.

5. En estas condiciones, las garantías de integridad, fe pública y continuidad de la cadena de custodia decaen de manera absoluta. ¿De qué sirve que un Secretario Judicial de fe de una realidad que ha podido ser alterada previamente? ¿Por qué preocuparnos de la cadena de custodia de algo que puede haber sido modificado con anterioridad a la diligencia judicial?

6. En cualquier caso, existen herramientas de "forensic readiness" que permiten acreditar que un mensaje no ha sido manipulado.

7. Es evidente que las empresas no están manipulando el correo para imputar a sus trabajadores. Estamos hablando de que existe la posibilidad técnica para hacerlo y ello puede desvirtuar las garantías de una intervención judicial posterior.

8. Por lo tanto, la validez de esta prueba se basa más en la credibilidad de su contenido y en las restantes pruebas anteriores, coetáneas y posteriores a los mensajes intervenidos que en la forma en que han sido obtenidos. De hecho esto es lo que ocurre exactamente en el caso analizado.

El secreto de las comunicaciones como subconjunto del derecho a la intimidad

1. En la sentencia comentada se dice que el derecho al secreto de las comunicaciones está dentro del genérico derecho a la intimidad que se contempla en el artículo 18 de la Constitución.

2. El artículo 2.2 de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen establece que no se apreciará la existencia de intromisión ilegítima en el ámbito protegido cuando estuviere expresamente autorizada por Ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso.

3. Aunque el preámbulo de esta ley se refiere exclusivamente al desarrollo del articulo 18.1 de la Constitución, lo cierto es que en el articulado se habla de todo el artículo 18.

5. Si pudiésemos aplicar a este caso el principio de quien puede lo más puede lo menos, sería natural concluir que una persona que puede dar su consentimiento para entrar en su casa también puede dar su consentimiento para entrar en su correo electrónico, por muy enérgica que sea su protección en el artículo 18.3 de la Constitución exigiendo la intervención judicial.

6. También hay que tener en cuenta que en la redacción del artículo 18.3 no se incluyó la posibilidad de que la injerencia en el secreto de las comunicaciones estuviese autorizada en ciertos casos por una ley. Y ello podría ser un error.

7. Lo natural sería que la ley y el consentimiento fuesen también instrumentos habilitadores de una injerencia legítima en el secreto de las comunicaciones. Pensemos que en la actualidad, tras los escándalos de la NSA, cualquier persona puede pensar que la probabilidad de que alguien lea sus mensajes de correo electrónico es más alta que la probabilidad de que alguien entre en su domicilio sin autorización. Los mensajes están ahí fuera y en abierto. Mis efectos personales, mi verdadera intimidad, están en casa y cerrados con llave.

8. Por otro lado, entiendo que las obligaciones de control establecidas en el artículo 31bis del Código Penal exigen a las empresas poder realizar inspecciones que alcancen a contenidos presuntamente protegidos por el derecho a la intimidad y por el secreto de las comunicaciones, como subconjunto del mismo.

Impacto en las obligaciones de control derivadas de un programa de compliance

1. Muchos programas de corporate compliance, destinados a establecer un modelo de prevención y control de delitos, basan su fuerza en la posibilidad de realizar investigaciones en el correo electrónico corporativo.

2. La sentencia comentada puede poner en peligro estas investigaciones, ya que no permitiría realizarlas sin la existencia de una autorización judicial. Al menos el caso de mensajes cerrados destinados a causar prueba en un proceso penal.

3. Entiendo que debería contemplarse como válido el protocolo de intervención del correo electrónico en el que el trabajador está presente en la diligencia y se observan todas las garantías en la obtención de la copia (hash) y en la cadena de custodia.

4. Pero yo me atrevería a ir más allá y a dar por válido el consentimiento expreso dado con carácter previo por el trabajador al firmar las normas de uso de los recursos TIC corporativos, asumir la prohibición de un uso personal de los mismos y aceptar una eventual inspección del correo electrónico.

5. Y también considero que las obligaciones de control establecidas en el artículo 31bis del Código Penal para las empresas habilitan a éstas a realizar investigaciones que pueden alcanzar a todos los recursos TIC que están bajo su control y son de su propiedad, como el correo electrónico corporativo.

 Precauciones a tener en cuenta a partir de ahora

A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por una cuestión de prudencia empresarial y para evitar que las pruebas pierdan su eficacia, la empresa tiene la opción de solicitar la intervención judicial en la obtención de los mensajes cerrados que vayan a ser utilizados como prueba en un proceso penal. En cualquier caso, también puede reforzar sus normas y protocolos de actuación mediante algunas de las siguientes acciones:

1. Prohibir el uso personal del correo electrónico
2. Informar claramente de los controles que la empresa puede aplicar
3. Solicitar el consentimiento expreso para el control del correo electrónico
4. Prohibir la conversión de los mensajes leídos en mensajes no leídos
5. Reforzar las garantías de los protocolos de intervención del correo electrónico
4. Limitar las investigaciones internas dirigidas a un proceso penal a los mensajes abiertos
5. Instalar herramientas de forensic que permitan acreditar que los mensajes no han sido
manipulados por la empresa

Conclusiones

Tras la lectura de la sentencia y el análisis realizado en este artículo, extraigo las siguientes conclusiones:

1. Las empresas están habilitadas por la ley (artículo 31bis del Código Penal y artículo 20.3 del Estatuto de los Trabajadores) para adoptar medidas de vigilancia y control sobre la actividad de los trabajadores.

2. Esta habilitación también puede surgir del consentimiento del trabajador.

3. La prohibición de un uso personal del correo electrónico corporativo y la migración del correo personal a los smartphones privados permite presumir cada vez más que el correo electrónico corporativo está desprovisto de intimidad para el trabajador.

4. La intervención de los mensajes de correo electrónico corporativo enviados o recibidos por el trabajador no supone un delito contra la intimidad, ya que existe una autorización legal y un consentimiento del trabajador.

5. Además, la empresa forma parte de la comunicación, ya que no presta un servicio al trabajador, sino que es jurídicamente el verdadero emisor y receptor de las comunicaciones y por lo tanto, el titular del derecho al secreto de las mismas.

6. Sin embargo, el nuevo criterio del Tribunal Supremo establece que las pruebas obtenidas de esta manera no serán validas en la jurisdicción penal sin la correspondiente autorización e intervención judicial que dote a la diligencia de las correspondientes garantías en el caso de mensajes cerrados.

7. En mi opinión, la tecnología actual de forensic que garantiza la integridad de una copia permite aplicar un protocolo de intervención en el que se apliquen las garantías de integridad, cadena de custodia y fe pública a través de la intervención de un fedatario público.

8. La intervención judicial no garantiza la integridad de la prueba en el caso del correo electrónico corporativo, ya que éste está desde el primer momento bajo el control de la empresa y puede haber sido manipulado antes de la diligencia judicial. Salvo en el caso de que se hayan utilizado previamente herramientas de forensic readiness.

9. A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por un principio de prudencia empresarial recomiendo adoptar las precauciones que resumo en este artículo.

Author: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Monday, 15 Sep 2014 06:16

Hoy empieza el barrido coordinado de cookies de las agencias europeas de protección de datos, de acuerdo con el comunicado de adigital de la semana pasada.

Este barrido, denominado "European cookie sweep", finalizará el 19 de septiembre y tiene la finalidad de monitorizar y evaluar el cumplimiento de la normativa europea que regula el uso de cookies en materia de consentimiento e información al usuario.

Los datos obtenidos podrían servir de base a las agencias nacionales para posteriores revisiones individualizadas de los sitios web evaluados en este barrido.

Comunicado de adigital:

http://www.adigital.org/noticias/european-cookie-sweep-las-agencias-de-la-ue-accederan-los-sites-para-comprobar-el

Author: "Xavier Ribas" Tags: "Cookies"
Send by mail Print  Save  Delicious 
Date: Monday, 30 Jun 2014 04:31

En la navegación a vela se llama viento aparente al resultado que se produce cuando al viento real se suma el generado por la propia velocidad de la embarcación. Se produce una discrepancia entre la realidad ambiental y la que el tripulante percibe, que en este caso es positiva, ya que el viento aparente hace que la embarcación alcance una velocidad muy superior a la del viento real. Gracias a ello, los superveleros de la Copa América pueden alcanzar velocidades superiores a los 20 nudos con vientos de 12 nudos.

En el mundo de la empresa se llama riesgo residual al resultado de restar al riesgo real el efecto de las medidas preventivas y los controles. En el plano teórico, el objetivo es que el riesgo residual tienda a ser cero, ya que el valor asignado al control debe ser cercano o igual al valor asignado al riesgo.

Digo en el plano teórico, porque en la práctica el riesgo real es difícil de medir, el control es relativo y su eficacia es meramente especulativa. Todo ello hace que no podamos hablar de riesgo residual, sino de riesgo aparente, ya que, al igual que en la navegación a vela, se produce una discrepancia entre la realidad ambiental y la que la empresa percibe. Pero en este caso el efecto es negativo, ya que trabajar con riesgos residuales cercanos a cero puede dar una sensación falsa de seguridad y tranquilidad que puede llegar a ser muy peligrosa.

En la prevención de la responsabilidad penal de las empresas y los directivos, ¿las empresas están trabajando con riesgos residuales o con riesgos aparentes?

La respuesta es muy fácil. Si en el análisis de riesgos se ha asignado un valor 5 al riesgo de corrupción, y un valor 4,5 a la existencia de un código ético que prohíbe la corrupción en la empresa, decir que el valor residual es 0,5 es una aberración.

Desgraciadamente, el riesgo es siempre aparente y la seguridad es pura percepción, por lo que una actividad preventiva eficaz no puede estar basada exclusivamente en un modelo teórico que arroje un riesgo residual bajo. Sería lo mismo que confiar en los buenos resultados de una startup fijándonos sólo en su plan de negocio.

Por otro lado, el valor residual de un mes no tiene nada que ver con el del mes siguiente, por lo que de nada sirve basar la actividad preventiva en un análisis hecho hace dos años.

El control debe ser por lo tanto continuado, adaptado, cercano a la fuente del riesgo, actualizado, desconfiado, experto, comprobado, auditado, acreditado y basado en evidencias.

El riesgo nunca es residual, ya que el control nunca es constante, y su eficacia tampoco.

Author: "Xavier Ribas" Tags: "Corporate compliance, Responsabilidad pe..."
Send by mail Print  Save  Delicious 
Date: Saturday, 28 Jun 2014 10:57

Durante este mes de junio nuestro despacho ha organizado un ciclo de desayunos de trabajo en los que RAMÓN MIRALLES, Coordinador de Auditoría y Seguridad de la Información en la Autoridad Catalana de Protección de Datos, ha expuesto las principales novedades de la propuesta de Reglamento UE de Protección de Datos tras las últimas enmiendas aprobadas y ha anticipado los puntos que probablemente formarán parte de la nueva norma.

Agradecemos a Ramón Miralles su participación como ponente en este ciclo de reuniones de trabajo y sus aportaciones en el posterior debate, que ha sido muy enriquecedor para los asistentes.

En este documento se resumen los principales puntos de su ponencia:

Novedades del Reglamento UE sobre Protección de Datos

Author: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Thursday, 12 Jun 2014 07:30

PASAJERO 1: Ayer no había ni un taxi en toda la ciudad. ¿Cuál era exactamente el motivo de la protesta?

TAXISTA: Nos manifestamos en contra de estas aplicaciones que permiten a los particulares ponerse de acuerdo a través de Internet para realizar desplazamientos en las ciudades. El resultado final es que cualquier coche particular puede convertirse en taxi y nosotros nos quedaremos sin trabajo.

PASAJERO 1: Lo comprendo. En nuestra empresa desarrollamos un programa de ordenador muy popular que fue de los más compartidos en Internet. Primero con el P2P y ahora con las descargas directas. Ello nos obligó a transformarnos y ahora lo hemos convertido en un servicio.

TAXISTA: Pero en nuestro caso el particular necesita una licencia.

PASAJERO 1: En nuestro caso también. Aunque es el usuario final el que la necesita.

TAXISTA: Pero yo no puedo saber si un conductor particular lleva pasajeros en el coche o es su familia, porque no los conozco.

PASAJERO 1: Yo tampoco conozco a los que comparten mis programas gratuitamente por Internet, ni sé siquiera cuántos son.

TAXISTA: Pero no compare. Nosotros vivimos de esto. Bueno ustedes también. Pero hay muchos otros componentes, como la seguridad. Y nuestra actividad ya es un servicio actualmente. Podemos mejorarlo, pero no podemos servir cafés a los pasajeros al mismo tiempo que conducimos.

PASAJERO 1: Un programa bajado de Internet de una fuente desconocida también puede generar problemas de seguridad, pero tiene usted razón en que en el caso de un taxi la seguridad afecta mucho más al pasajero. En un taxi puedes tener una mayor certeza de que ha pasado inspecciones técnicas más exigentes que las de un coche particular, pero ello no impide que el taxista cometa imprudencias de vez en cuando. Y en cuanto al servicio he visto casos que son un modelo a seguir, en cuando a limpieza, temperatura, volumen de la música, elección de la ruta y muchos otros factores que influyen en la comodidad del pasajero. Lo que nosotros llamamos la experiencia de usuario.

PASAJERO 2: Yo trabajo en un hotel y estamos muy preocupados con las aplicaciones que permiten encontrar a particulares que alquilan pisos por días a través de Internet. Nuestro servicio está valorado con una media de 7,5 puntos por nuestros clientes, pero el que sólo se fija en el precio preferirá un piso particular.

PASAJERO 3: Yo trabajo en una empresa de transportes y mensajería y ya están empezando a salir aplicaciones como las que afectan a los taxis, que permiten localizar a particulares dispuestos a hacer de transportista o de mensajero.

TAXISTA: Pues si todos estos particulares no declaran estos ingresos la economía del país se va a resentir.

PASAJERO 1: Y si contamos el IVA que deja de recaudarse con las descargas de Internet también. Pero hay que tener en cuenta que no todas las descargas sustituyen a una compra. Muchos usuarios descargan porque es gratis. Si tuviesen que pagar no lo comprarían. Es posible que el usuario de un taxi particular sea distinto del usuario de un taxi profesional.

PASAJERO 2: Es cierto que el precio influye. En los comparadores online puedes escoger el hotel más barato.

PASAJERO 3: Y el viaje más económico.

PASAJERO 2: Y nada impide que, gracias a Internet, cientos de usuarios se pongan de acuerdo para comprar cualquier producto a precio de mayorista. Si el precio es lo que al final importa seguro que encuentran masa crítica para conseguir grandes descuentos.

PASAJERO 1: Es la llamada economía colaborativa y va a obligar a muchos negocios a adaptarse o desaparecer, como ha pasado con múltiples intermediarios: videoclubs, tiendas de discos, agencias de viajes. También hay aplicaciones que facilitan los préstamos entre particulares y sitios donde puedes obtener aportaciones voluntarias para financiar tu proyecto a cambio de ciertos privilegios en el producto final.

TAXISTA: Por suerte, en muchos sitios se han prohibido las aplicaciones que amenazan a nuestro sector.

PASAJERO 1: Es cierto, la cuestión es plantearse si el Estado tiene que intervenir para proteger a un sector o si, al contrario, tiene que dejar que los cambios se produzcan, aunque los efectos sean negativos. Al final, el dinero no se crea ni se destruye, sólo cambia de manos y, en este caso, de sector. Internet ha influido decisivamente en este cambio.

TAXISTA: Espero que no dejen morir este sector, del que viven muchas familias. Igual que no dejaron que el sector financiero se hundiese. Ya hemos llegado. Son 17,20.

PASAJERO 2: Tenga. Cobre 18.

TAXISTA: No tengo cambio de 50. No estamos obligados. Por cuestiones de seguridad.

PASAJERO 2: ¿Acepta tarjetas?

TAXISTA: No. Pero ahí tiene usted un bar. Y al lado un cajero.

PASAJERO 1: ¿Ahí no había un videoclub?

TAXISTA: No abra la puerta todavía que viene una moto.

PASAJERO 1: Esto también entra en el concepto seguridad.

TAXISTA: Ríase usted si quiere, pero es un reflejo que todavía no han adquirido los taxistas particulares.

Author: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Monday, 09 Jun 2014 18:06

El Consejo de Justicia de la UE, formado por los ministros de Justicia e Interior de la Unión Europea, llegó ayer en Luxemburgo a un acuerdo en ciertas materias que acercan las posiciones y permiten mantener la planificación inicial de aprobar el Reglamento a finales de año.

Las materias en las que hubo acuerdo son las siguientes:

1. Régimen de la transferencia de datos a terceros países o en el seno de organizaciones internacionales.

2. Aspectos relativos al ámbito territorial, que incluyen la aplicación de las obligaciones del Reglamento a todas las empresas que operen en el Mercado Único Europeo, aunque no sean europeas.

3. Definición del concepto Binding Corporate Rules.

4. Definición del concepto organizaciones internacionales.

Se debatieron también aspectos relativos al principio one-stop-shop, que incluye la posibilidad de que una empresa se dirija a una única autoridad nacional de protección de datos para negociar cuestiones relativas a su actuación en todo el Mercado Único Europeo. Este punto no está exento de polémica, ya que las empresas podrían dirigirse sistemáticamente a las autoridades nacionales menos exigentes en detrimento de las "Rottweiler authorities". Este debate ha quedado aplazado para próximas reuniones.

En la actualidad hay tres puntos que actúan como aceleradores del proceso y que permiten pronosticar nuevos avances en la reunión del Consejo de la UE prevista para los días 26 y 27 de este mes.

Estos tres puntos son:

1. El caso Snowden y los escándalos de espionaje de EEUU
2. La sentencia del TJUE relativa al derecho al olvido
3. El mercado único digital

La comisaria europea de Justicia, Viviane Reding, principal impulsora de esta iniciativa legislativa, hizo ayer especial énfasis en la necesidad de que la UE apruebe el Reglamento lo antes posible y afirmó que, con los acuerdos alcanzados, esta aprobación estaba más próxima.

La reunión del Consejo de la UE de finales de este mes también permitirá ver la posición de Inglaterra y la influencia en ella de EEUU. Está previsto que la normativa norteamericana vaya alineándose progresivamente a la europea en materia de protección de datos y alejándose de la amenaza de suspensión de los acuerdos Safe Harbor originada tras los escándalos de espionaje.

Author: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Sunday, 01 Jun 2014 19:19

El proyecto de reforma del Código Penal y la certificación Iuriscert de AENOR en relación a los sistemas de prevención de delitos en las empresas dan mucha importancia al proceso de análisis de riesgos. Desde la reforma de 2010 muchas empresas han basado el diseño de su modelo de prevención y control de delitos en un mapa de riesgos elaborado internamente o a través de un consultor externo. En este artículo resumo mi opinión personal sobre los informes que he revisado y en especial, sobre los errores que, a mi modo de ver, se repetían en ellos, y que podían distorsionar los resultados.

1. Basar el análisis exclusivamente en fórmulas matemáticas

Los cálculos relativos a la probabilidad y al impacto de los riesgos analizados pueden realizarse manualmente o con el apoyo de aplicaciones y hojas de cálculo. Estas herramientas son de gran ayuda, pero no pueden ser el único soporte del análisis de los riesgos. Las fórmulas deben contener factores de ponderación que permitan ajustar los cálculos a la realidad, a través de multiplicadores y divisores que tengan en cuenta el contexto. Pero lo más importante es que el análisis lo realice un profesional especializado, que tenga conocimientos de las dinámicas comisivas, del sector al que pertenece la empresa y del factor humano, que hace que cada empresa sea distinta. Una vez obtenidos los resultados, debe aplicarse el filtro del sentido común, basado en este caso en la experiencia del profesional que firma el informe y en una visión en conjunto del análisis, que compare la valoración de cada riesgo con todos los demás, asegurando que se cumple el principio de proporcionalidad.

2. Aplicar un factor multiplicador excesivo a la existencia de un precedente

En uno de los informes revisados, que correspondía a una empresa industrial, el delito de pornografía infantil apareció en el grupo de los delitos con mayor probabilidad de comisión. Ello se debía a que el consultor había utilizado un algoritmo que aplicaba un factor multiplicador a la existencia de un precedente relativo a ese delito en la empresa. Incluso en el caso de no utilizar herramientas informáticas, la existencia de un precedente se valora excesivamente en los informes analizados. El profesional que realiza el análisis debería tener en cuenta todos los factores, y realizar un juicio de proporcionalidad, teniendo en cuenta el contexto, los restantes riesgos y la probabilidad de que el delito vuelva a cometerse. También debe tenerse en cuenta la antigüedad y las circunstancias del precedente, ya que pueden haberse producido cambios en la empresa y en las personas que participaron en él. En el caso concreto analizado, la persona que cometió el delito ya no estaba en la empresa.

3. Basar el análisis de la probabilidad exclusivamente en la opinión del cliente

Sería pecar de frivolidad aplicar a este caso la frase "los pacientes siempre mienten"del Dr. House, porque no es cierto que los clientes siempre mientan. El problema es que no son objetivos. No pueden serlo. Podríamos decir que el cliente está contaminado por las prácticas de la empresa y del sector al que pertenece y le cuesta tener una visión que se sitúe por encima de lo que está acostumbrado a ver. Tampoco conoce las dinámicas comisivas ni los factores de riesgo. Además, puede estar afectado por la "niebla de la batalla", es decir, la dificultad para sacar conclusiones a largo plazo o de tener una visión completa de todo el escenario a causa de la constante atención que requieren los asuntos a resolver diariamente y las urgencias del negocio. En este caso incluyo en el concepto cliente al conjunto de personas entrevistadas durante el proceso de análisis de riesgos. El cliente es un gran experto en su empresa y nos va ayudar mucho a conocer sus puntos débiles, pero no puede convertirse en absoluto en la única fuente de información. El profesional debe documentarse y tener en cuenta el conocimiento que él mismo puede aportar al análisis a través de otras fuentes de información y de su propia experiencia.

4. Basar el análisis del impacto exclusivamente en la opinión del cliente

En mi opinión es un error partir exclusivamente de las respuestas del cliente para calcular el impacto económico y reputacional de la comisión de un delito en el seno de la empresa. Un área en la que los profesionales podemos aportar conocimiento es justamente en la valoración económica de las consecuencias de un delito. Los abogados, por ejemplo, podemos analizar la jurisprudencia y conocer el rango en el que se mueven las indemnizaciones por responsabilidad civil derivada de un delito. Podemos también cuantificar las multas aplicables a cada tipo penal y los distintos supuestos agravados. Asimismo, podemos apoyarnos en expertos para cuantificar el impacto de cada delito en la marcha del negocio y para analizar los posibles daños en la reputación de la empresa en el mercado, la presumible reacción de los clientes y su comportamiento en materia de pedidos. A pesar de la importancia de este trabajo casi todos los informes que he revisado basan el análisis del impacto exclusivamente en la opinión del cliente. Y después incluyen un disclaimer exonerándose de cualquier tipo de responsabilidad por los errores de valoración, ya que el análisis lo ha hecho el cliente y no ellos. Supongo que por eso se dice que se paga a los consultores para que te digan lo que ya sabes, pero lo que encuentro excesivo es que encima te lo pregunten a ti y no lo averigüen por otros canales para confirmar que las conclusiones son acertadas.

5. Utilizar al cliente como única fuente de información sin aportar valor al análisis

Este punto es una conclusión de los dos anteriores. Considero que el profesional al que se le encomienda la valoración del riesgo penal debe tener experiencia en el sector, conocimiento de las dinámicas comisivas y de los riesgos, así como fuentes de información suficientes para que su intervención en el proyecto sea valiosa y no se limite a transcribir lo que opinan los interlocutores entrevistados.

6. No tener en cuenta el factor humano y el instinto defensivo del interlocutor

Los interlocutores entrevistados tienen habitualmente escasa práctica en materia de autodianóstico y autocrítica. Además de los factores culturales, es inevitable que el entrevistado se sienta de alguna manera investigado y adopte una posición defensiva, como si de un interrogatorio se tratara. Esta reacción es muy humana y obliga a un trabajo previo de distensión y de información sobre el objetivo final del proyecto. A pesar de esta preparación previa, las repuestas del entrevistado pueden estar contaminadas por el miedo y ocultar situaciones de riesgo. También pueden centrase excesivamente en la labor preventiva realizada para justificar su trabajo. Este esfuerzo de justificación dilata mucho las entrevistas, ya que cada pregunta tiene como respuesta un arsenal de argumentos defensivos que además distorsionan los resultados. Esta es una razón más que obliga a ponderar los resultados con otras fuentes de información y con la habilidad de identificar los riesgos que han quedado ocultos a causa de las estrategias de autodefensa.

7. No apreciar el traspaso de responsabilidades entre departamentos

El efecto inmediato de la estrategia de autodefensa del entrevistado es un truco de prestidigitación que consiste en que, al acabar la entrevista, el consultor está convencido de que el riesgo se concentra en otro departamento. Esta habilidad, innata o adquirida, consciente o inconsciente, se potencia en las empresas en las que se producen duplicidades organizativas, se asignan competencias similares a distintos departamentos o bien las funciones de control no están correctamente establecidas. Un error habitual es dejarse llevar por acusaciones interdepartamentales, aunque éstas no sean evidentes. Esta maniobra de distracción hace que no se profundice en el análisis de riesgos del departamento entrevistado y que se sobrevaloren los riesgos de otros departamentos.

8. No comparar los resultados del análisis con el mapa de riesgos sectorial

Para evitar que la subjetividad en las respuestas del entrevistado nos contamine, tenemos que haber hecho antes los deberes. Lo ideal es haber elaborado un mapa de riesgos sectorial que nos sirva de referencia para comprobar si la empresa se ajusta o no al patrón y, en caso negativo, conocer las causas. Es posible que el interlocutor esté hablando constantemente en términos de riesgo residual, es decir el que permanece tras la aplicación de los controles. Valorar el riesgo en estas condiciones sería como medir el viento desde un coche en marcha. En los informes revisados no he encontrado referencia alguna a la situación de la empresa en relación al mapa de riesgos del sector.

9. Presentar los resultados sin haber aplicado el filtro del sentido común

El informe en que se consideraba altamente probable el delito de pornografía infantil en una empresa industrial no se habría llegado a presentar si se hubiese realizado un juicio previo de proporcionalidad. No es lógico que en el sector industrial la probabilidad de que este riesgo se materialice esté por encima del relativo al delito medioambiental, por ejemplo. Antes de presentar el informe a un Consejo de Administración hay que realizar una comprobación tan simple como la de someter las conclusiones finales a los principios básicos del sentido común.

10. Atribuir al cliente los errores que se produzcan en la valoración del riesgo

Y lo que considero fuera de lugar, aunque el socio que firma el informe esté atormentado por su departamento de Risk Management, es incluir un disclaimer que reconozca literalmente que no se ha hecho un análisis de riesgos sino que la labor del consultor se ha limitado a solicitar la opinión del cliente y a transcribirla en el informe, por lo que si el cliente está equivocado, la firma consultora no tiene la culpa. Considero que el cliente espera algo más de la firma a la que ha solicitado que valore sus riesgos. Cuando vamos a un centro médico de reconocido prestigio para realizar un chequeo lo último que esperamos es que el médico se limite a preguntarnos cómo nos encontramos. Nuestro cuerpo, los instrumentos de medición y los análisis clínicos son fuentes de información mucho más fiables que nuestra simple opinión no experta. Aunque nos conozcamos muy bien. El cliente confía en nuestro criterio y en un cierto nivel de implicación en la valoración de sus riesgos. Implicación que debería extenderse a la propuesta de soluciones. Pero es de suponer que el propio disclaimer habrá dejado bien claro que eso no forma parte del alcance del trabajo contratado y que hay que pedir otro informe en el que habrá otro disclaimer que exonerará de responsabilidad a la firma consultora, porque las soluciones propuestas también se basan en la información suministrada por el cliente, y no en la creatividad y el talento que cabría esperar a la vista de las facturas suministradas por la consultora.

Author: "Xavier Ribas" Tags: "Corporate compliance, Corporate defense"
Send by mail Print  Save  Delicious 
Date: Saturday, 17 May 2014 07:54

El próximo mes de octubre se iniciará el nuevo Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual de ESADE (IT+IP) en cuya dirección tengo el honor de participar.

Esta nueva responsabilidad es doblemente satisfactoria. En primer lugar porque supone una gran oportunidad para transmitir el conocimiento adquirido en los 27 años de especialización en esta materia, actualizado con el apasionante estudio de las redes sociales.

En segundo lugar porque dirigí la primera edición de este máster en 1998 y poder impartirlo de nuevo con el nivel actual de interés, experiencia, herramientas tecnológicas y salidas profesionales supone un gran reto.

Mi principal compromiso va a ser transmitir la experiencia práctica adquirida por dos despachos como el de Mario Sol Muntañola y el mío al plan de estudios, con una metodología basada en el estudio del caso, sin olvidar el rigor académico que sirva de fundamento teórico a los escenarios reales que los alumnos del máster van a estudiar.

Invito a conocer el contenido del máster en la página web de ESADE.

Author: "Xavier Ribas" Tags: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Saturday, 05 Apr 2014 09:16

La nueva Ley de seguridad privada, publicada hoy en el BOE, y que entrará en vigor dentro de dos meses, contiene dos definiciones de seguridad informática.

En el artículo 6.6 se define la seguridad informática como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan.

En dicho artículo se establece que, a las empresas que se dediquen a las actividades de seguridad informática se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten. El legislador justifica esta regulación por la incidencia directa de estos servicios en la seguridad de las entidades públicas y privadas.

Las empresas que realicen actividades de seguridad informática deberán anotar sus datos en el Registro Nacional de Seguridad Privada y en los registros autonómicos, de acuerdo con lo que reglamentariamente se determine.

Por otro lado, el artículo 52.c establece que las medidas de seguridad informática tienen por objeto la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.

Dado que entre las dos definiciones se aprecian ciertas discrepancias, ya que la primera extiende la protección a los servicios, y la segunda no, mientras la segunda extiende la protección a los sistemas de comunicación y la primera no, entendemos que la definición legal de la seguridad informática debe ser la suma de las dos, y que, por lo tanto, quedará configurada de la siguiente manera:

  1. Conjunto de medidas
  2. Encaminadas a proteger y salvaguardar los sistemas de información y comunicación
  3. A fin de garantizar la confidencialidad, integridad y disponibilidad
  4. De la información en ellos contenida
  5. O del servicio que dichos sistemas prestan

Es importante reseñar que el artículo 57 establece como infracción muy grave, con sanciones de hasta 600.000 euros, la falta de comunicación por parte de las empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.

Los sistemas de seguridad y los elementos de seguridad física, electrónica e informática que se instalen a partir del 5 de junio de 2014 deberán cumplir todas las exigencias y requisitos establecidos en la Ley de seguridad privada y en su normativa de desarrollo.

Queda por lo tanto pendiente el desarrollo reglamentario, que deberá tener lugar antes de la fecha de entrada en vigor de la ley, para posibilitar el cumplimiento de los requisitos que serán obligatorios a partir de dicha fecha.

 

Author: "Xavier Ribas" Tags: "Seguridad"
Send by mail Print  Save  Delicious 
Date: Friday, 28 Mar 2014 08:15

El BOE de hoy publica la modificación del texto refundido de la LGDCU, que incluye las siguientes cambios más relevantes:

SERVICIOS DE ATENCIÓN AL CLIENTE

  • Los servicios de atención al cliente deberán entregar una clave identificativa y un justificante por escrito, en papel o en cualquier otro soporte duradero, para que el usuario tenga constancia de sus quejas y reclamaciones.
  • El uso de una línea telefónica de atención al consumidor no podrá suponer para éste un coste superior a la tarifa básica.
  • El plazo máximo de resolución de las reclamaciones recibidas será de un mes.

INFORMACIÓN PRECONTRACTUAL Y CONTRATOS

  • Se detalla y amplía la información que el consumidor o usuario deberá recibir con carácter previo a la formalización del contrato.
  • Se establecen los requisitos que deben cumplir los contratos a distancia.

PAGOS ADICIONALES

  • Antes de que el consumidor y usuario quede vinculado por cualquier contrato u oferta, el empresario deberá obtener su consentimiento expreso para todo pago adicional a la remuneración acordada para la obligación contractual principal del empresario.

CARGOS POR LA UTILIZACIÓN DE MEDIOS DE PAGO

  • Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios.
  • Corresponde al empresario probar el cumplimiento de esta obligación.

FACTURACIÓN ELECTRÓNICA

  • Los consumidores y usuarios tendrán derecho a recibir la factura en papel.
  • La expedición de la factura electrónica estará condicionada a que el empresario haya obtenido previamente el consentimiento expreso del consumidor.

ENTREGA DE LOS BIENES

  • El plazo máximo de entrega será de 30 días naturales, salvo que las partes acuerden otra cosa.

DERECHO DE DESISTIMIENTO

  • El plazo de desistimiento pasa a ser de 14 días naturales, salvo que concurran excepciones.
  • Se detalla el régimen aplicable al desistimiento.

COMUNICACIONES COMERCIALES

  • Se detallan los requisitos que deberán cumplir las comunicaciones comerciales a distancia.

EJECUCIÓN DEL CONTRATO A DISTANCIA

  • Se regulan los supuestos de falta de ejecución del contrato, la sustitución de un bien o servicio y el pago mediante tarjeta.

CONSECUENCIAS DEL INCUMPLIMIENTO

  • El contrato celebrado sin que se haya facilitado al consumidor y usuario la copia del contrato celebrado o la confirmación del mismo podrá ser anulado a instancia del consumidor y usuario por vía de acción o excepción.
  • El empresario asumirá la carga de la prueba del cumplimiento de sus obligaciones de entrega de una copia del contrato celebrado o de la confirmación del mismo.
  • El incumplimiento de las normas que regulan el comercio electrónico y los servicios financieros a distancia, entre otros, será considerado práctica desleal por engañosa.
Author: "Xavier Ribas" Tags: "Comercio electrónico"
Send by mail Print  Save  Delicious 
Date: Thursday, 20 Mar 2014 19:25

La polémica Ley Orgánica relativa a la justicia universal ha introducido la corrupción privada y pública en transacciones económicas internacionales en la lista de los delitos que, cometidos fuera del territorio nacional, son susceptibles de ser perseguidos por la jurisdicción española.

La incorporación al ordenamiento jurídico español de estos delitos se produjo en la reforma del Código Penal de 2010, pero quedaba pendiente la definición de los aspectos de jurisdicción. Esta norma se anticipa por lo tanto a la reforma del Código Penal que está discutiéndose en el Congreso de los Diputados, en la que estaba previsto incorporar estas previsiones a través del nuevo artículo 286 quinquies del proyecto.

Desde la entrada en vigor de esta ley el sábado pasado, la jurisdicción española será competente para conocer de los delitos de corrupción entre particulares o en las transacciones económicas internacionales, cuando el delito hubiera sido cometido por una persona jurídica, empresa, organización, grupos o cualquier otra clase de entidades o agrupaciones de personas que tengan su sede social o domicilio social en España.

También será competente la jurisdicción española cuando el delito hubiera sido cometido por el directivo, administrador empleado o colaborador de un a empresa mercantil, o de una sociedad, asociación, fundación u organización que tenga su sede o domicilio social en España.

Aunque la redacción no es muy acertada, y entra en una aparente contradicción con la exposición de motivos, se entiende que los delitos a los que hace referencia este cambio legislativo son, en el campo de la corrupción, los siguientes:

  1. La corrupción entre particulares, también llamada corrupción privada, que consiste en la promesa, ofrecimiento o concesión a directivos, administradores, empleados o colaboradores de una empresa mercantil o de una sociedad, asociación, fundación u organización, de un beneficio o ventaja de cualquier naturaleza no justificados para que le favorezca a él o a un tercero frente a otros, incumpliendo sus obligaciones.
  2. La corrupción en las transacciones económicas internacionales, que se refiere a los ilícitos previstos en el Convenio de la OCDE de lucha contra la corrupción de agentes públicos extranjeros en las transacciones comerciales internacionales, tal como indica la exposición de motivos.

Las empresas españolas deberán extremar los controles para evitar estas dos modalidades de corrupción, que pueden ser perseguidas en España a pesar de que el delito haya sido cometido en el extranjero.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Sunday, 16 Mar 2014 08:11

A través de la newsletter de Norberto Gallego he tenido conocimiento de un interesante artículo publicado en The Register en el que se menciona la respuesta dada por Salesforce.com al requerimiento de información hecho por la SEC norteamericana en relación a las cuentas anuales presentadas recientemente, en las que declaran unas pérdidas de 232 millones de dólares.

La empresa ha reconocido que no dispone de sistemas financieros ni de controles establecidos que les permitan cuantificar con exactitud qué porcentaje de los ingresos totales de la empresa, en un periodo fiscal determinado, provienen de las suscripciones a los servicios cloud o a cualquier otra oferta de servicios básicos.

Este tipo de carencias de control puede hacer que la información que suministra el negocio a los miembros del Consejo sea incompleta y que las decisiones adoptadas tengan un nivel de riesgo superior al permitido, o al menos, no sigan el protocolo establecido en el programa de corporate defense para la toma de decisiones de negocio.

En el proyecto de reforma del Código Penal, actualmente en el Congreso de los Diputados, se establecen, entre otros, dos requisitos que deben cumplir los modelos de organización y gestión:

  1. Deben establecer protocolos o procedimientos que concreten el proceso de formación de la voluntad de la empresa, de adopción de decisiones y de ejecución de las mismas.
  2. Deben disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

En ambos requisitos subyace la necesidad de incorporar una capa de información y de conocimiento, y una capa de control, en el proceso de toma de decisiones.

Norberto Gallego aporta datos específicos del cloud computing y especialmente del SaaS, que añaden una especial característica a la contabilización de las suscripciones a este tipo de servicios. Si se contabilizan como un ingreso diferido, a causa de la vigencia plurianual de la licencia del software, el dinero ya cobrado puede aparecer en los libros como pasivo. Y ello genera una fuente potencial de ingeniería financiera.

La falta de un control analítico adecuado de las finanzas de una empresa impide que los directivos dispongan de la información necesaria para completar adecuadamente el protocolo exigido para la toma de decisiones, pero también abre la opción de la llamada contabilidad creativa, con los consiguientes riesgos de delito.

De ahí el interés del legislador y del regulador de exigir este tipo de controles.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Wednesday, 12 Mar 2014 10:33

Nuestro despacho inicia hoy un estudio cuya finalidad es determinar el nivel de madurez de la empresa española en materia de corporate defense. Una vez finalizado el estudio se publicará el índice de madurez, general y por sectores, que será actualizado cada año.

El estudio va enfocado a conocer la capacidad de la empresa para demostrar que realmente dispone de un modelo eficaz de prevención y control de delitos, más allá del habitual esfuerzo cosmético del llamado "makeup compliance".

Para participar en el estudio sólo hay que descargar y cumplimentar este cuestionario:

Cuestionario Estudio IM2014

INSTRUCCIONES

1. Para cumplimentar este cuestionario sólo hay que introducir 1, 2 ó 3 en las casillas correpondiente de la columna G (señalada en amarillo)

2. Una vez cumplimentado el cuestionario rogamos que lo envíen a la dirección indicada en el cuestionario. Sólo se aceptarán los cuestionarios enviados desde direcciones de correo electrónico cuyo nombre de dominio contenga el nombre de la empresa que haya contestado el cuestionario.

3. La finalidad y los resultados del estudio son meramente estadísticos y se publicarán sin mencionar el nombre de las empresas participantes en el mismo.

4. El índice de madurez en relación a cada delito será adaptado utilizando la variable sector como factor de corrección.

Agradecemos de antemano la participación en el estudio.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Thursday, 06 Mar 2014 10:36

Los modelos de prevención de la responsabilidad penal norteamericanos, y los anglosajones en general, están basados en auditorías, investigaciones, documentos e informes realizados internamente por la empresa o por auditores externos.

En caso de querella, las pruebas que se utilizarán en la defensa de la empresa y de sus directivos han sido creadas bajo su control y han permanecido en un estado que permite su modificación, lo cual podría afectar su fiabilidad o credibilidad y, por ello, su fuerza probatoria.

Sin embargo, los modelos de prevención y control, y las normas que inspiran el compliance en EEUU, se basan en ellas porque normalmente se presume que no han sido modificadas.

Podríamos decir que los sistemas jurídicos anglosajones están basados en la confianza en la persona y en que dice la verdad. La mentira constituye por lo tanto una circunstancia agravante o cualificadora del dolo. Por eso al viajar a EEUU tenemos que responder a preguntas como "¿Planea usted asesinar al Presidente?", que serían impensables en la Europa continental.

Nuestro Derecho, en cambio, está basado en la desconfianza, en que las personas mentimos y ello se traduce en una mayor carga probatoria y burocrática en nuestras relaciones con las administraciones públicas, ante las que tenemos que demostrar constantemente que decimos la verdad. Por eso no podemos constituir una sociedad plenamente operativa en unas horas.

En mi primer empleo en un despacho de abogados me ofrecí, para ganar puntos, a pasar las actas de los clientes a los libros de actas, que estaban todos vacíos. Mi jefe me explicó que estaban vacíos a propósito ya que el cliente podía tener que inventarse un acuerdo o una Junta y si las actas ya estaban pasadas a los libros esa manipulación del pasado a favor de los intereses del cliente no sería posible. Incluso se comentaba entonces que los notarios guardaban habitualmente números de protocolo sin utilizar para clientes especiales. Como los hoteles hacen con algunas habitaciones.

Esta ligereza moral contrastaba con la rectitud, casi autista a los ojos de esa época, de los clientes norteamericanos del despacho, que nunca aceptaron firmar actas o contratos predatados. Estamos hablando de los años ochenta, pero también de dos culturas distintas, cuyas diferencias se van difuminando, pero todavía persisten en la actualidad.

No me extraña por lo tanto la desconfianza de nuestro legislador. Somos mediterráneos. Tanto nosotros como él.

También será mediterráneo el abogado que interpondrá la querella que obligará a la empresa y a sus directivos a defenderse de una posible responsabilidad penal. Como experto depredador de pruebas, este abogado pondrá en duda la credibilidad y la fecha de las pruebas utilizadas por la defensa porque muy probablemente él mismo habrá preparado en otros casos la defensa de sus clientes sobre los débiles cimientos de unas pruebas creadas tras la notificación de la querella.

Perdón por la crudeza, pero lamentablemente estamos en un país en el que no hay cultura de preconstitución de prueba y nos enfrentamos a los procesos judiciales como el mal estudiante, que sólo estudia los días anteriores al examen.

La metodología anglosajona de compliance es buena como base, pero hay que adaptarla a nuestra cultura y a las características de la estrategia procesal penal de nuestro probable adversario. Dado que en sede penal se produce un nivel de impugnación de la prueba superior al de otras jurisdicciones, tenemos que blindar la prueba, cronológicamente y en cuanto a su contenido.

Nuestros modelos de corporate defense tienen que estar orientados irremediablemente a la querella. Tenemos que aplicar un esquema de "litigation readiness" pero defensivo, y basado en la certeza de que nuestras pruebas van a ser impugnadas, o al menos, puestas en duda.

Por ello, un proyecto de corporate defense no estará acabado hasta que se hayan creado las evidencias del cumplimiento y de la eficacia de los controles, y hasta que cada una de esas pruebas tenga una garantía de integridad y una fecha indubitada.

Author: "Xavier Ribas" Tags: "Corporate compliance, Corporate defense"
Send by mail Print  Save  Delicious 
Date: Thursday, 13 Feb 2014 19:09

Una vez comentado el marco que va a regular la figura del Compliance Officer en la primera entrega de este artículo, toca ahora entrar en la incómoda tarea de analizar los supuestos en los que la persona que asume esta función omite, deliberadamente o no, su deber jurídico de control. Excluyo por lo tanto, en este caso, los supuestos en los que la función asignada es de asesoramiento, coordinación o acompañamiento a las áreas del negocio en las que recae la decisión final y la verdadera obligación de control.

Este deber específico de vigilancia y control puede haber sido asignado al Compliance Officer de varias maneras:

  1. Por ley, al estar asociada la función de control con un mandato legal específico.
  2. Por contrato
  3. A través de la descripción de las funciones del puesto de trabajo
  4. Por asignación directa

Esta asignación actúa como una delegación del deber de control que corresponde al Consejo de Administración y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito.

Esta posible responsabilidad penal es la causa de que las grandes empresas encuentren dificultades para asignar la función de Compliance Officer a una sola persona y se tienda más a la figura de un órgano colegiado. Una vez asumido el cargo, es evidente que la persona (o personas) que tenga esta responsabilidad y sea consciente de ella, estará altamente motivada para que no se produzcan delitos en la empresa y ocupada en dejar un rastro de su actividad de control, generando pruebas que acrediten que en ningún momento se ha producido una omisión del deber de control.

Ello puede generar un conflicto de interés cuando el área de negocio o la propia dirección de la compañía planteen decisiones que puedan ser constitutivas de delito. En estos casos, el responsable de la función de control tiene pocas opciones:

  1. Acatar la decisión y dejar una prueba de su desacuerdo con ella y de sus advertencias sobre el riesgo legal que implica seguir adelante.
  2. Dimitir.
  3. No hacer nada.
  4. Apoyar la decisión.

Mientras las dos primeras opciones pueden llevar aparejada la salida de la empresa, la tercera puede suponer una omisión punible y la cuarta una posición de complicidad, que justificaría el título de este artículo.

No es nada fácil enfrentarse a este dilema, especialmente en el caso de que la persona que tiene asignada la función de control esté ya en una edad en la que no se contemple otra salida de la empresa que la jubilación.

Desconozco los detalles y el alcance de una supuesta imputación de auditores internos en los procedimientos abiertos en relación a los casos Bankia y Pescanova, ya que los datos aparecidos en los medios de comunicación son escasos. Imagino que se trata de supuestos en los que este dilema pudo haberse planteado y probablemente, la instrucción judicial arrojará mucha información sobre los niveles de la pirámide de control en los que hay que dejar muy clara la sincronización de la cultura de control escrita y la real.

En el caso Olympus Japón, cuando este dilema se le planteó a Michael Woodford, el directivo pidió al Consejo que asumiera su responsabilidad en varias ocasiones y, tras ser despedido denunció los hechos públicamente.

El conflicto de intereses se materializa claramente en el momento de crear pruebas de la diligencia del responsable del control. En los casos de discrepancia sobre la legalidad o el nivel de riesgo de la actividad sujeta a control, todas las pruebas que el responsable del control genere a su favor pueden inculpar a la empresa si ésta no hace nada.

Imaginemos el caso de un Compliance Officer que en un control rutinario detecta una discrepancia entre el número de programas instalados y el número de licencias contratadas. Acto seguido lo pone en conocimiento del CIO a través de un correo electrónico interno y éste le contesta que ha pedido más presupuesto para regularizar la situación y no se lo han concedido. El CIO envía entonces un recordatorio a la Dirección General y recibe como respuesta que, en estos momentos, no hay presupuesto para esa inversión. En ambos casos el responsable del control está dejando evidencias de que no ha omitido su deber de vigilancia y control y que ha alertado sobre la existencia de un riesgo, pero al mismo tiempo ha generado una prueba inculpatoria para otros directivos o para la propia empresa.

Un ejemplo real de esta posibilidad es el mensaje de correo electrónico que, según las noticias publicadas, un maquinista jefe de Renfe envió a un superior alertando de la peligrosidad de la curva de Angrois antes de producirse el accidente.

Un Compliance Officer diligente y preocupado por su responsabilidad irá acumulando evidencias de su esfuerzo de control en un "defense file" que muy probablemente entrará en colisión con el de la empresa y el del Consejo.

El riesgo de acumulación de más pruebas inculpatorias que exculpatorias en el correo electrónico está haciendo que los plazos de conservación del mismo sean cada vez menores en los sectores hiperregulados. En otros, en cambio, se llega a contratar a proveedores que custodian todo el correo electrónico durante años y facilitan el acceso remoto para posibles consultas.

Para evitar las situaciones de riesgo y de conflicto de interés comentadas, existen varias soluciones:

  1. Protocolo de gestión de advertencias de riesgo
  2. Defense file o repositorio de evidencias de cumplimiento común y acordado con los interesados
  3. Política de conservación de documentos
  4. Protocolo de gestión de conflictos de interés

Estas soluciones son fáciles de explicar en el plano teórico, pero difíciles de aplicar en la práctica sin una buena dosis de autodisciplina y sin la ayuda de un experto externo que aporte independencia al proceso y actúe como impulsor del proyecto, evitando que las prioridades del negocio eclipsen la actividad de control. Que es lo habitual.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Saturday, 23 Nov 2013 12:16

El proyecto de reforma del Código Penal, que parece haber cobrado un nuevo impulso con el fin de la doctrina Parot y la lucha contra la corrupción, incluye tres menciones expresas al órgano de vigilancia y control orientado a prevenir la comisión de delitos.

  • La primera, en el artículo 31bis, al incluir en la lista de condiciones necesarias para la exención de la responsabilidad penal corporativa, la supervisión del funcionamiento y del cumplimiento del modelo de prevención por parte de un órgano de la persona jurídica con poderes autónomos de iniciativa y control.
  • La segunda, en el mismo artículo, al incluir como uno de los requisitos del modelo de organización y gestión, la obligación de informar de posibles riesgos e incumplimientos al órgano encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  • La tercera, en el nuevo artículo 286 seis, al incluir la contratación, selección cuidadosa y responsable (culpa in eligendo), así como la vigilancia (culpa in vigilando) del personal de inspección y control, como una de las medidas de vigilancia y control cuya omisión puede generar responsabilidad penal para el directivo responsable de su aplicación.

En la práctica, este órgano suscita una serie de cuestiones que analizamos a continuación y entre las que destaca la que inspira el título a este artículo, es decir la responsabilidad de este órgano en caso de delito.

Nuevo departamento vs. departamento ya existente

Las funciones que el proyecto asigna al órgano de vigilancia y control están repartidas en la actualidad en diversos departamentos o comités:

  1. Comité de Ética
  2. Auditoría Interna
  3. Control Interno
  4. Asesoría Jurídica
  5. Cumplimiento Normativo

Estas funciones de vigilancia y control se dividen en tres grupos:

  1. Control anterior a la infracción (control preventivo)
  2. Control posterior a la infracción (control detectivo)
  3. Función sancionadora, complemento necesario para la eficacia del control

Sin embargo, en el momento de la distribución de estas funciones, estos tres grupos no quedan bien definidos y pueden ser asignados a varios departamentos a la vez o quedar sin asignar.

El Comité de Ética es el destinatario habitual de las denuncias relativas a posibles incumplimientos del código ético a través del correspondiente canal de denuncias, y es también el que investiga, delibera y sanciona dicho incumplimiento. En realidad propone la sanción y RRHH la impone. Pero la función del Comité de Ética es predominantemente reactiva, es decir, acostumbra a actuar cuando llega la denuncia, sin perjuicio de las campañas de sensibilización que pueda organizar. En cambio, el proyecto exige una labor más proactiva, más cercana a la función de control interno o de auditoría interna, pero mucho más intensa, y no limitada a los delitos estrictamente económicos. Ello hace pensar que el proyecto habla de dos órganos distintos uno proactivo y emisor de denuncias y otro reactivo y receptor de denuncias. Por otro lado, el objetivo de los departamentos con funciones de control ha sido hasta ahora proteger a la empresa del fraude interno y de las amenazas en las que la empresa es la víctima, mientras que la finalidad de los programas de corporate defense es prevenir la responsabilidad penal de la empresa en los delitos en los que la víctima es un tercero. Lo mismo sucede con los programas de D&O defense en relación a los cargos directivos.

Por otro lado está la función de los departamentos de Asesoría Jurídica y de Cumplimiento Normativo, este último muy próximo en su nomenclatura  al Compliance Officer, pero no tanto en su encaje en la taxonomía que parece proponer la doctrina al comparar el modelo anglosajón con el propuesto en la reforma.

Por otra parte, tanto las funciones como las denominaciones de los departamentos no son uniformes en todas las empresas y sectores, por lo que, si queremos realizar un análisis comparativo entre varias empresas, más que hablar de departamentos tendremos que hablar de funciones.

Entiendo que el camino lógico a seguir en una empresa tras la aprobación de la reforma del Código Penal sería:

  1. Identificar las funciones de supervisión y control establecidas en el texto que finalmente se apruebe, integrándolas en el modelo de organización y gestión.
  2. Analizar cómo están repartidas en ese momento estas funciones en los diversos departamentos y comisiones de la empresa.
  3. Decidir si debe crearse un nuevo cargo, un nuevo departamento o una comisión que incorpore a las personas que actualmente realizan las funciones identificadas en distintos departamentos.

Lejos del debate científico sobre si la función origina el órgano o el órgano crea la función, que en el mundo de la gran empresa puede llegar a cobrar matices kafkianos, es evidente que en este caso la función de vigilancia y control viene determinada y exigida por una Ley Orgánica y que de ella deriva la creación del órgano que debe desarrollar esta función.

Cargo unipersonal vs. órgano colegiado

En función de las decisiones adoptadas por la empresa en relación al punto anterior, podrán asignarse las funciones a una sola persona o a un equipo. Aunque el proyecto habla de órgano, nada impide que se trate de un cargo unipersonal, aunque, en mi opinión, lo más aconsejable es que sea un órgano colegiado, ya que los requisitos que tiene que cumplir no acostumbran a estar reunidos en una sola persona. También puede tratarse de una única persona que se apoye en los expertos internos y externos de cada materia, con los que la empresa ya cuenta habitualmente.

Entre los factores que aconsejan una puesta clara por un órgano colectivo destacan las siguientes:

  1. La gran carga de trabajo a realizar.
  2. El enfoque multidisciplinar.
  3. La gran variedad de conocimientos exigidos.
  4. La capacidad para actuar, contar con aliados y conseguir la ejecución de las decisiones y las medidas adoptadas en los departamentos afectados.

Parece evidente que el legislador no piensa en un hombre orquesta con múltiples tentáculos e inteligencias, saber enciclopédico y don de la ubicuidad. Aunque la función de dirección y coordinación del equipo debe recaer en una sola persona, parece recomendable que se apoye en un grupo de expertos con capacidad de actuación en los departamentos afectados.

Pensemos que la labor de este órgano debe estar apoyada en un procedimiento sancionador, por lo que será conveniente que las deliberaciones vayan revestidas de las garantías que ofrece un órgano plural. Por ello habrá que decidir si la función de valoración y sanción de infracciones (control posterior a la infracción) debe permanecer en un comité de ética y las de prevención y vigilancia (control anterior a la infracción) en un órgano de control que sería el compliance officer. Esta opción se ajustaría más al principio de segregación de tareas y preservaría la independencia entre el órgano que coordina las medidas de control y el que sanciona su incumplimiento.

Otra posibilidad sería enlazar los protocolos de vigilancia y control con las normas de buen gobierno corporativo, asignando la máxima responsabilidad del control a un consejero independiente que coordinaría la labor de una comisión interdepartamental  que a su vez asumiría todas las funciones de vigilancia y control.

Responsable penal vs. simple coordinador del control

El artículo 11 del Código Penal establece que los delitos que consistan en la producción de un resultado sólo se entenderán cometidos por omisión cuando la no evitación del mismo, al infringir un especial deber jurídico del autor, equivalga, según el sentido del texto de la Ley, a su causación. A tal efecto, se equiparará la omisión a la acción cuando exista una específica obligación legal o contractual de actuar o cuando el omitente haya creado una ocasión de riesgo para el bien jurídicamente protegido mediante una acción u omisión precedente.

El artículo 316 del Código Penal establece un supuesto específico de responsabilidad penal para los que, con infracción de las normas de prevención de riegos laborales y estando legalmente obligados, no establezcan las medidas preventivas necesarias para evitar accidentes laborales. Y el artículo 318 impone la pena señalada para los delitos atribuidos a personas jurídicas a los administradores o encargados del servicio. Estos dos artículos, ampliamente analizados en la Circular 4/2011 de la Fiscalía General del Estado, contemplan un supuesto específico en el que la responsabilidad penal derivada de la omisión del deber de control puede recaer en una persona física.

Todo parece indicar que la clave está en la delegación del control y en la asignación legal o contractual de un deber de control. Esta delegación se produce en la línea del negocio, es decir, desde el Consejo de Administración al responsable del departamento o la unidad de negocio en la que puede originarse el riesgo, y en la que debe establecerse por lo tanto el control. El control debe estar cerca de riesgo, y debe ser un control experto. Me refiero a que no puede pretenderse que el compliance officer tenga un conocimiento omnicomprensivo que le permita realizar un control realmente experto del cumplimiento de las medidas de prevención.

Es importante por lo tanto analizar la línea de delegación, ya que el deber jurídico del control, como establece el artículo 11 del Código Penal, puede provenir de una obligación legal o de una obligación contractual. Y es justamente la delegación de la función de control a un directivo concreto, en el marco de la relación contractual que lo une a la empresa, la que puede hacer atribuible el deber jurídico de control y la responsabilidad penal a un cargo que no ostente la representación legal de la empresa. Por tanto, cabría la posibilidad de que al compliance officer se le asignasen obligaciones de control suficientes para atribuirle, conscientemente o no, las responsabilidad penal de la omisión del control o de un control deficiente, y esa delegación de obligaciones es la que habrá que analizar con detalle tanto en el momento del nombramiento como en el momento de la depuración de las responsabilidades.

En mi opinión, el deber de control debería residir en la línea de negocio, distribuido entre los distintos directivos con funciones de control, y el compliance officer, como órgano unipersonal o colegiado, debería realizar una supervisión transversal de dicho control, como así se establece en el proyecto.

El nuevo artículo 286 seis previsto en el proyecto atribuye la responsabilidad penal de la omisión de las medidas de vigilancia y control al representante legal o administrador de hecho o de derecho de la empresa.  Dentro de estas medidas de vigilancia se incluye la contratación, la selección cuidadosa y responsable y la vigilancia del personal de inspección y control. Ello significa que la responsabilidad penal derivada de la omisión de las medidas de prevención y control corresponde al representante legal y que el compliance officer forma parte del personal de inspección y control que el representante legal debe contratar. Pero, como decía antes, podría darse el caso de que el representante legal delegase este deber de control en el compliance officer y éste asumiese la responsabilidad penal derivada de la omisión del control. Por eso habrá que ver qué posición ocupa exactamente este órgano en la línea jerárquica y en la estructura de control de la empresa, ya que si el compliance officer no está integrado en la cadena de mando, sino en una posición colateral de supervisión, no debería atribuírsele responsabilidad alguna, salvo en los casos que más adelante comentaré.

Estructura de capas

Las reflexiones del punto anterior me llevan a pensar en una estructura de capas en las que se distribuyen las distintas funciones y responsabilidades asociadas al control. Estas capas son independientes de la estructura jerárquica, en el sentido que el beneficio de su existencia se obtiene del efecto acumulativo de todas ellas.

  1. CAPA DE RESPONSABILIDAD.- Está formada por la representación legal de la empresa, es decir, el Consejo de Administración o los Administradores de hecho o de derecho. De ella emanan las normas y protocolos que el personal deberá cumplir.
  2. CAPA DE RESPONSABILIDAD DELEGADA.- Está formada por los directivos de la línea de negocio y la cadena de mando que por ley o por delegación contractual asumen obligaciones de control. Es el máximo exponente del control en la actividad cotidiana de la empresa.
  3. CAPA DE COORDINACIÓN Y SUPERVISIÓN.- Está formada por el compliance officer, como órgano unipersonal o colegiado encargado de comprobar que los controles son eficaces a través de tareas rutinarias y de investigaciones internas. Incluye también la labor de formación y sensibilización.
  4. CAPA DE EXPERTOS.- Está formada por los distintos expertos internos y externos que la empresa utiliza habitualmente para obtener asesoramiento en las distintas materias que requieren una especialización. Por ejemplo: medioambiente, seguridad informática, riesgos laborales, etc. La supervisión del control deberá basarse en la capa de conocimiento de estos expertos para poder analizar y valorar los riesgos y para identificar, seleccionar, aplicar y contrastar la eficacia de los controles. Entre los expertos se incluirán los abogados penalistas, que aportarán su conocimiento y experiencia sobre la dinámica comisiva del delito, los elementos del tipo penal, el tratamiento jurisprudencial y los argumentos de defensa, con el objetivo de dotar de contenido y eficacia a la labor de preconstitución de la prueba.
  5. CAPA DE PRUEBA.- Está formada por los expertos que apoyan al compliance officer en la obtención y custodia de las evidencias que acreditan la existencia y la eficacia del control.
  6. CAPA SANCIONADORA.- Está formada por el Comité de Ética, que recibe las denuncias del canal y del compliance officer, delibera y propone las sanciones, así como por el departamento de RRHH, que las impone. Es posible que en algunas empresas la función del Comité de Ética se integre en el órgano de supervisión, es decir en el compliance officer. De hecho, este órgano aparece en el proyecto como receptor de denuncias y no como emisor de las mismas. Por ello debe contemplarse la posibilidad de mantener estas funciones repartidas en dos órganos o unificarlas en uno solo, con las correspondientes cautelas en materia de independencia y segregación de funciones que he comentado antes.

Función interna vs. función externalizada

Un problema común a todas las empresas en la actualidad es la escasez de recursos, derivada de un estricto control presupuestario. Ello hace pensar en la posibilidad de que algunas de las funciones correspondientes al compliance officer puedan ser externalizadas. También puede hablarse de un "implant", como sucede en el caso de Data Privacy Officer (DPO).

Teniendo en cuenta que en el proyecto actual la existencia de este órgano de supervisión y control es una de las medidas exigidas para evitar la responsabilidad personal de los representantes legales de la empresa, la externalización puede ser una alternativa a considerar.

Las ventajas de la externalización son claras:

  1. Mayor objetividad en el control.
  2. Independencia.
  3. Mayor respeto (menos confianzas) a un profesional externo que a un interno.
  4. Mayor aceptación de un control externo que de un control interno.
  5. Nivel de especialización más alto.
  6. Supervisión del trabajo por el socio responsable (política de cuatro ojos).
  7. Aprovechamiento de la experiencia obtenida en otros clientes.
  8. Secreto profesional y acuerdos de confidencialidad.
  9. Seguro de Responsabilidad Civil profesional.
  10. Sustitución en caso de baja.
  11. Ahorro de costes.

En el caso de no apostar por la externalización, lo menos recomendable sería crear un departamento sobredimensionado, ya que, como he dicho antes, el compliance officer puede apoyarse perfectamente en los distintos expertos internos y externos que habitualmente asesoran a la empresa en las materias de fondo.

Finalmente, cabe decir que, en mi opinión, la responsabilidad penal no es externalizable. Al menos en términos generales. El control es inherente a la representación legal y debe estar cerca de la fuente que origina el riesgo, revestido de una capa de conocimiento de la empresa que difícilmente puede llegar a tener un profesional externo. No obstante, cabe la posibilidad de que un profesional externo asuma responsabilidad penal por la vía de la delegación contractual del deber de control y por la vía de la representación legal, asumiendo poderes de la empresa o participando en el Consejo como consejero. Todo ello siempre que no se produzca una delegación instrumental de la función de control a un "responsable penal profesional", es decir, a alguien que cobre por asumir las consecuencias de la omisión del control.

Finalmente, el conocimiento de la empresa puede llegar a adquirirse con los años y con el apoyo de los expertos internos y de los responsables de cada control.

Funciones del compliance officer

Entre las funciones del compliance officer como órgano de supervisión y control destacaría las siguientes:

  1. Evaluación continua de riesgos basada en los expertos internos y externos.
  2. Evaluación periódica del código ético y del modelo de prevención y control.
  3. Evaluación continua de los controles y de su eficacia.
  4. Identificación de carencias.
  5. Propuestas de mejora y actualización del modelo.
  6. Alerta sobre posibles riesgos.
  7. Denuncia de infracciones al Comité de Ética, en su caso.
  8. Propuesta de sanciones a RRHH en el caso de asumir las funciones del Comité.

Compliance officer o cómplice officer

Como conclusión de las reflexiones sobre las principales cuestiones que la figura del compliance officer suscita en el proyecto de reforma del Código Penal, y de forma independiente a las decisiones que cada empresa adopte en relación a los puntos comentados, en mi opinión, el nivel de responsabilidad penal del compliance officer dependerá principalmente de los siguientes factores:

  1. El nivel de delegación al compliance officer por parte del Consejo o de la representación legal de la empresa en cualquiera de sus formas, de la función de control.
  2. El traspaso o no de poderes.
  3. La existencia de un deber contractual de control.
  4. La existencia de una ley que le asigne un deber de control.
  5. El alcance de la actividad de control encomendada.
  6. El carácter previo o posterior a la infracción de la función de control asignada.
  7. El nivel de independencia con el que desarrolle su función.
  8. La diligencia demostrada en la prevención.
  9. La pruebas acumuladas a lo largo de su actividad que acrediten el control efectivo.
  10. El nivel de complicidad o implicación en los actos delictivos.
  11. La concurrencia de una tolerancia dolosa.
  12. La actividad desarrollada tras el descubrimiento del delito.
  13. El nivel de reparto o distribución de las funciones de control entre los distintos directivos y departamentos de la empresa.

Téngase en cuenta que, aunque el compliance officer es el especialista del control, su función es transversal y que las obligaciones de control están repartidas entre los distintos directivos de la empresa. Por ejemplo: al CIO corresponderán los controles tecnológicos, al CISO los controles en materia de seguridad, al CFO los controles financieros, al DPO los controles en materia de privacidad y protección de datos, y así sucesivamente hasta completar todo el organigrama de control.

En conclusión, cada directivo tendrá sus obligaciones de control y el compliance officer será el que verifique el cumplimiento de dichas obligaciones y la eficacia del control en todos los niveles de la empresa, limitándose su responsabilidad a la esfera laboral, salvo que concurran circunstancias que modifiquen su nivel de implicación en el control o en el delito.

Este artículo es especialmente extenso porque es la base de un manual del compliance officer que estamos preparando en el despacho, por lo que agradeceré cualquier aportación que contribuya a completar el rol de este órgano.

Author: "Xavier Ribas" Tags: "Compliance officer, Corporate compliance..."
Send by mail Print  Save  Delicious 
Date: Saturday, 09 Nov 2013 13:25

A partir del próximo 1 de febrero de 2014 las empresas que cobran sus servicios a través de recibos domiciliados deberán cumplir las obligaciones de obtención y custodia del mandato que establece la normativa SEPA. Los adeudos directos mediante recibo domiciliado correspondientes a clientes nuevos que se practiquen sin autorización, es decir, si el requerido mandato, podrán ser objeto de devolución y reembolso durante los 13 meses siguientes al cargo no autorizado.

Estas obligaciones harán que el esfuerzo de las empresas se centre en acreditar la obtención del consentimiento del cliente para realizar el adeudo del recibo en su cuenta corriente.

Normativa actual

En la sección 4.1 del Core SDD Rulebook se establece que el mandato es una expresión de consentimiento y autorización del deudor al acreedor y menciona únicamente dos formatos: el mandato en papel con firma manuscrita y el e-mandato con firma electrónica. Esta lista tasada se confirma en las FAQ del portal SEPA del Banco de España  en las que se afirma que el mandato telefónico no es válido y sólo se contempla la firma manuscrita y la firma electrónica que equivalga a firma manuscrita según la ley. De ello se deduce que un e-mandato sólo sería válido si estuviese firmado por el cliente con firma electrónica reconocida.

Recientemente, el EPC (European Payments Council) ha emitido una nota aclaratoria en la que explica que los métodos de firma descritos en la sección 4.1 del Core SDD Rulebook no son exhaustivos y que se puede considerar el uso de otros métodos de firma que sean legalmente vinculantes, incluyendo los utilizados en las normas locales vigentes hasta ahora.

En una declaración posterior del SEPA Council se ha valorado positivamente la intención del EPC de dar un mensaje claro a favor de la tesis de que los SDD Rulebooks no son un obstáculo para el uso continuado, después del 1 de febrero de 2014, de métodos válidos de mandatos electrónicos ya existentes , que son utilizados actualmente en algunas comunidades nacionales para iniciar transacciones de adeudo directo.

Métodos de firma

En España, la famosa sentencia del Tribunal Supremo de 3 de noviembre de 1997 establece que el requisito de la firma autógrafa puede ser sustituido, por el lado de la criptografía, por medio de cifras, claves y otros atributos alfanuméricos que permitan asegurar la procedencia y la veracidad de su autoría y la autenticidad de su contenido.

Más recientemente, en un Auto de 21 de marzo de 2013, el Tribunal Supremo ha aceptado como prueba los mensajes de correo electrónico certificados y de los SMS certificados. La validez probatoria de los SMS certificados ha sido reforzada desde la entrada en vigor de la exigencia de identificación en la contratación de una cuenta de telefonía móvil, incluidas las de prepago. El artículo 25 de las LSSI establece que las partes de un contrato pueden pactar la intervención de un tercero de confianza para que consigne la fecha y la participación de las partes y archive las declaraciones de voluntad. Se entiende que tiene que ser un tercero de confianza de las dos partes, es decir, aceptado libremente por ellas, ya que la imposición del tercero en una transacción de consumo podría llegar ser considerada como una cláusula abusiva.

La Ley de firma electrónica establece que la firma electrónica reconocida tendrá, respecto de los datos consignados de forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel. Pero también establece que no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que está asociada por el mero hecho de presentarse de forma electrónica. Y añade que, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas. Cabe decir en este punto que es altamente improbable que una empresa adopte la estrategia suicida de requerir el DNI electrónico para obtener los mandatos de sus clientes en la contratación de servicios recurrentes.

En el campo de la firma manuscrita en tableta ha habido importantes avances, al capturarse datos biométricos como, por ejemplo, el nivel de presión y la velocidad del trazo durante la ejecución de la firma. Los algoritmos aplicados a la autentificación en este formato de firma explotan el hecho de que el ser humano nunca firma exactamente igual, lo cual permite repudiar un documento que reproduzca la misma firma biométrica que otro anterior. Por otro lado, esta modalidad permite asegurar que el firmante estaba presente en el acto de la firma, algo que no es posible en otros sistemas de firma electrónica.

Otras modalidades de firma biométrica pueden ser, además de la firma dactilar, la firma vocal y la firma mediante vídeo, que algunas empresas están aplicando en ciertas modalidades de contratación, por ejemplo en ferias. Esta alternativa consistiría en aceptar el contrato leyendo el texto de aceptación en el que se reproducen los elementos clave del contrato mientras se graba la voz o la imagen y la voz del firmante y previa manifestación de consentimiento en relación al tratamiento de dichos datos. El fichero de audio o de vídeo quedaría unido al contrato con las correspondientes garantías técnicas de integridad. Hay que tener en cuenta, tanto en este punto como en los anteriores, las garantías adicionales que, en relación al consentimiento, exigirá la nueva Ley general para la defensa de los consumidores y usuarios en el caso de la contratación telefónica y online.

Posibles estrategias

El obstáculo que supone el requisito del mandato para la actividad comercial de las empresas que dirigen su oferta al consumidor final, el desconocimiento que todavía existe sobre SEPA a pesar de la proximidad del 1 de febrero de 2014 y el retraso experimentado en su implantación están haciendo que muchas empresas todavía no tengan una estrategia clara a seguir.

Entre las estrategias que se están analizando en la actualidad destacan las siguientes:

  1. Asumir el riesgo de repudio, tras haber cuantificado dicho riesgo y haber asignado una partida presupuestaria a las posibles devoluciones que puedan producirse. Los recortes en las administraciones públicas pueden hacer que no haya campañas informativas y es posible que el día 1 de febrero los consumidores no conozcan sus derechos, pero no hay que despreciar el poder de las redes sociales, por lo que asumir el riesgo de devolución del recibo no resulta aconsejable.
  2. Asumir el riesgo de rechazo de cliente, con el consiguiente descenso en las ventas al pedir el DNI electrónico o cualquier otro sistema de firma reconocida en la transacción y en la obtención del mandato.
  3. Esperar a que las entidades financieras ofrezcan el servicio de obtención del mandato, que se formalizaría a través de una petición XML de la entidad del acreedor a la entidad del deudor y una confirmación por el mismo conducto una vez obtenida la aceptación del deudor mediante la clave de firma de banca electrónica. Esta solución supone un importante coste para las entidades y no se espera que se ofrezca a corto plazo.
  4. Utilizar los servicios de terceros de confianza en la obtención del mandato y sistemas de gestión y custodia de los mandatos aceptados, en conexión con el ERP corporativo.
  5. Obtener el consentimiento online o por vía telefónica con la posterior verificación del consentimiento mediante alguna de las modalidades de firma comentadas en este artículo que ofrezca las garantías exigidas por la ley.
  6. Analizar la viabilidad jurídica de la firma biométrica en la obtención del mandato.
Author: "Xavier Ribas" Tags: "Comercio electrónico"
Send by mail Print  Save  Delicious 
Date: Saturday, 02 Nov 2013 16:10

Muchas gracias de nuevo a todos los que, con vuestro apoyo y confianza, habéis conseguido que Expansión me haya seleccionado como uno de los 25 abogados que han sido referentes en sus respectivas áreas.

abogados2013

La selección se ha realizado sobre los 82 abogados que el directorio Best Lawyers ha nombrado como abogados del año en su especialidad. En mi caso, protección de datos en Barcelona.

bestlawyers2014

Author: "Xavier Ribas" Tags: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Next page
» You can also retrieve older items : Read
» © All content and copyrights belong to their respective authors.«
» © FeedShow - Online RSS Feeds Reader