• Shortcuts : 'n' next unread feed - 'p' previous unread feed • Styles : 1 2

» Publishers, Monetize your RSS feeds with FeedShow:  More infos  (Show/Hide Ads)


Date: Saturday, 05 Apr 2014 09:16

La nueva Ley de seguridad privada, publicada hoy en el BOE, y que entrará en vigor dentro de dos meses, contiene dos definiciones de seguridad informática.

En el artículo 6.6 se define la seguridad informática como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan.

En dicho artículo se establece que, a las empresas que se dediquen a las actividades de seguridad informática se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten. El legislador justifica esta regulación por la incidencia directa de estos servicios en la seguridad de las entidades públicas y privadas.

Las empresas que realicen actividades de seguridad informática deberán anotar sus datos en el Registro Nacional de Seguridad Privada y en los registros autonómicos, de acuerdo con lo que reglamentariamente se determine.

Por otro lado, el artículo 52.c establece que las medidas de seguridad informática tienen por objeto la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.

Dado que entre las dos definiciones se aprecian ciertas discrepancias, ya que la primera extiende la protección a los servicios, y la segunda no, mientras la segunda extiende la protección a los sistemas de comunicación y la primera no, entendemos que la definición legal de la seguridad informática debe ser la suma de las dos, y que, por lo tanto, quedará configurada de la siguiente manera:

  1. Conjunto de medidas
  2. Encaminadas a proteger y salvaguardar los sistemas de información y comunicación
  3. A fin de garantizar la confidencialidad, integridad y disponibilidad
  4. De la información en ellos contenida
  5. O del servicio que dichos sistemas prestan

Es importante reseñar que el artículo 57 establece como infracción muy grave, con sanciones de hasta 600.000 euros, la falta de comunicación por parte de las empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.

Los sistemas de seguridad y los elementos de seguridad física, electrónica e informática que se instalen a partir del 5 de junio de 2014 deberán cumplir todas las exigencias y requisitos establecidos en la Ley de seguridad privada y en su normativa de desarrollo.

Queda por lo tanto pendiente el desarrollo reglamentario, que deberá tener lugar antes de la fecha de entrada en vigor de la ley, para posibilitar el cumplimiento de los requisitos que serán obligatorios a partir de dicha fecha.

 

Author: "Xavier Ribas" Tags: "Seguridad"
Send by mail Print  Save  Delicious 
Date: Friday, 28 Mar 2014 08:15

El BOE de hoy publica la modificación del texto refundido de la LGDCU, que incluye las siguientes cambios más relevantes:

SERVICIOS DE ATENCIÓN AL CLIENTE

  • Los servicios de atención al cliente deberán entregar una clave identificativa y un justificante por escrito, en papel o en cualquier otro soporte duradero, para que el usuario tenga constancia de sus quejas y reclamaciones.
  • El uso de una línea telefónica de atención al consumidor no podrá suponer para éste un coste superior a la tarifa básica.
  • El plazo máximo de resolución de las reclamaciones recibidas será de un mes.

INFORMACIÓN PRECONTRACTUAL Y CONTRATOS

  • Se detalla y amplía la información que el consumidor o usuario deberá recibir con carácter previo a la formalización del contrato.
  • Se establecen los requisitos que deben cumplir los contratos a distancia.

PAGOS ADICIONALES

  • Antes de que el consumidor y usuario quede vinculado por cualquier contrato u oferta, el empresario deberá obtener su consentimiento expreso para todo pago adicional a la remuneración acordada para la obligación contractual principal del empresario.

CARGOS POR LA UTILIZACIÓN DE MEDIOS DE PAGO

  • Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios.
  • Corresponde al empresario probar el cumplimiento de esta obligación.

FACTURACIÓN ELECTRÓNICA

  • Los consumidores y usuarios tendrán derecho a recibir la factura en papel.
  • La expedición de la factura electrónica estará condicionada a que el empresario haya obtenido previamente el consentimiento expreso del consumidor.

ENTREGA DE LOS BIENES

  • El plazo máximo de entrega será de 30 días naturales, salvo que las partes acuerden otra cosa.

DERECHO DE DESISTIMIENTO

  • El plazo de desistimiento pasa a ser de 14 días naturales, salvo que concurran excepciones.
  • Se detalla el régimen aplicable al desistimiento.

COMUNICACIONES COMERCIALES

  • Se detallan los requisitos que deberán cumplir las comunicaciones comerciales a distancia.

EJECUCIÓN DEL CONTRATO A DISTANCIA

  • Se regulan los supuestos de falta de ejecución del contrato, la sustitución de un bien o servicio y el pago mediante tarjeta.

CONSECUENCIAS DEL INCUMPLIMIENTO

  • El contrato celebrado sin que se haya facilitado al consumidor y usuario la copia del contrato celebrado o la confirmación del mismo podrá ser anulado a instancia del consumidor y usuario por vía de acción o excepción.
  • El empresario asumirá la carga de la prueba del cumplimiento de sus obligaciones de entrega de una copia del contrato celebrado o de la confirmación del mismo.
  • El incumplimiento de las normas que regulan el comercio electrónico y los servicios financieros a distancia, entre otros, será considerado práctica desleal por engañosa.
Author: "Xavier Ribas" Tags: "Comercio electrónico"
Send by mail Print  Save  Delicious 
Date: Thursday, 20 Mar 2014 19:25

La polémica Ley Orgánica relativa a la justicia universal ha introducido la corrupción privada y pública en transacciones económicas internacionales en la lista de los delitos que, cometidos fuera del territorio nacional, son susceptibles de ser perseguidos por la jurisdicción española.

La incorporación al ordenamiento jurídico español de estos delitos se produjo en la reforma del Código Penal de 2010, pero quedaba pendiente la definición de los aspectos de jurisdicción. Esta norma se anticipa por lo tanto a la reforma del Código Penal que está discutiéndose en el Congreso de los Diputados, en la que estaba previsto incorporar estas previsiones a través del nuevo artículo 286 quinquies del proyecto.

Desde la entrada en vigor de esta ley el sábado pasado, la jurisdicción española será competente para conocer de los delitos de corrupción entre particulares o en las transacciones económicas internacionales, cuando el delito hubiera sido cometido por una persona jurídica, empresa, organización, grupos o cualquier otra clase de entidades o agrupaciones de personas que tengan su sede social o domicilio social en España.

También será competente la jurisdicción española cuando el delito hubiera sido cometido por el directivo, administrador empleado o colaborador de un a empresa mercantil, o de una sociedad, asociación, fundación u organización que tenga su sede o domicilio social en España.

Aunque la redacción no es muy acertada, y entra en una aparente contradicción con la exposición de motivos, se entiende que los delitos a los que hace referencia este cambio legislativo son, en el campo de la corrupción, los siguientes:

  1. La corrupción entre particulares, también llamada corrupción privada, que consiste en la promesa, ofrecimiento o concesión a directivos, administradores, empleados o colaboradores de una empresa mercantil o de una sociedad, asociación, fundación u organización, de un beneficio o ventaja de cualquier naturaleza no justificados para que le favorezca a él o a un tercero frente a otros, incumpliendo sus obligaciones.
  2. La corrupción en las transacciones económicas internacionales, que se refiere a los ilícitos previstos en el Convenio de la OCDE de lucha contra la corrupción de agentes públicos extranjeros en las transacciones comerciales internacionales, tal como indica la exposición de motivos.

Las empresas españolas deberán extremar los controles para evitar estas dos modalidades de corrupción, que pueden ser perseguidas en España a pesar de que el delito haya sido cometido en el extranjero.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Sunday, 16 Mar 2014 08:11

A través de la newsletter de Norberto Gallego he tenido conocimiento de un interesante artículo publicado en The Register en el que se menciona la respuesta dada por Salesforce.com al requerimiento de información hecho por la SEC norteamericana en relación a las cuentas anuales presentadas recientemente, en las que declaran unas pérdidas de 232 millones de dólares.

La empresa ha reconocido que no dispone de sistemas financieros ni de controles establecidos que les permitan cuantificar con exactitud qué porcentaje de los ingresos totales de la empresa, en un periodo fiscal determinado, provienen de las suscripciones a los servicios cloud o a cualquier otra oferta de servicios básicos.

Este tipo de carencias de control puede hacer que la información que suministra el negocio a los miembros del Consejo sea incompleta y que las decisiones adoptadas tengan un nivel de riesgo superior al permitido, o al menos, no sigan el protocolo establecido en el programa de corporate defense para la toma de decisiones de negocio.

En el proyecto de reforma del Código Penal, actualmente en el Congreso de los Diputados, se establecen, entre otros, dos requisitos que deben cumplir los modelos de organización y gestión:

  1. Deben establecer protocolos o procedimientos que concreten el proceso de formación de la voluntad de la empresa, de adopción de decisiones y de ejecución de las mismas.
  2. Deben disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

En ambos requisitos subyace la necesidad de incorporar una capa de información y de conocimiento, y una capa de control, en el proceso de toma de decisiones.

Norberto Gallego aporta datos específicos del cloud computing y especialmente del SaaS, que añaden una especial característica a la contabilización de las suscripciones a este tipo de servicios. Si se contabilizan como un ingreso diferido, a causa de la vigencia plurianual de la licencia del software, el dinero ya cobrado puede aparecer en los libros como pasivo. Y ello genera una fuente potencial de ingeniería financiera.

La falta de un control analítico adecuado de las finanzas de una empresa impide que los directivos dispongan de la información necesaria para completar adecuadamente el protocolo exigido para la toma de decisiones, pero también abre la opción de la llamada contabilidad creativa, con los consiguientes riesgos de delito.

De ahí el interés del legislador y del regulador de exigir este tipo de controles.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Wednesday, 12 Mar 2014 10:33

Nuestro despacho inicia hoy un estudio cuya finalidad es determinar el nivel de madurez de la empresa española en materia de corporate defense. Una vez finalizado el estudio se publicará el índice de madurez, general y por sectores, que será actualizado cada año.

El estudio va enfocado a conocer la capacidad de la empresa para demostrar que realmente dispone de un modelo eficaz de prevención y control de delitos, más allá del habitual esfuerzo cosmético del llamado "makeup compliance".

Para participar en el estudio sólo hay que descargar y cumplimentar este cuestionario:

Cuestionario Estudio IM2014

INSTRUCCIONES

1. Para cumplimentar este cuestionario sólo hay que introducir 1, 2 ó 3 en las casillas correpondiente de la columna G (señalada en amarillo)

2. Una vez cumplimentado el cuestionario rogamos que lo envíen a la dirección indicada en el cuestionario. Sólo se aceptarán los cuestionarios enviados desde direcciones de correo electrónico cuyo nombre de dominio contenga el nombre de la empresa que haya contestado el cuestionario.

3. La finalidad y los resultados del estudio son meramente estadísticos y se publicarán sin mencionar el nombre de las empresas participantes en el mismo.

4. El índice de madurez en relación a cada delito será adaptado utilizando la variable sector como factor de corrección.

Agradecemos de antemano la participación en el estudio.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Thursday, 06 Mar 2014 10:36

Los modelos de prevención de la responsabilidad penal norteamericanos, y los anglosajones en general, están basados en auditorías, investigaciones, documentos e informes realizados internamente por la empresa o por auditores externos.

En caso de querella, las pruebas que se utilizarán en la defensa de la empresa y de sus directivos han sido creadas bajo su control y han permanecido en un estado que permite su modificación, lo cual podría afectar su fiabilidad o credibilidad y, por ello, su fuerza probatoria.

Sin embargo, los modelos de prevención y control, y las normas que inspiran el compliance en EEUU, se basan en ellas porque normalmente se presume que no han sido modificadas.

Podríamos decir que los sistemas jurídicos anglosajones están basados en la confianza en la persona y en que dice la verdad. La mentira constituye por lo tanto una circunstancia agravante o cualificadora del dolo. Por eso al viajar a EEUU tenemos que responder a preguntas como "¿Planea usted asesinar al Presidente?", que serían impensables en la Europa continental.

Nuestro Derecho, en cambio, está basado en la desconfianza, en que las personas mentimos y ello se traduce en una mayor carga probatoria y burocrática en nuestras relaciones con las administraciones públicas, ante las que tenemos que demostrar constantemente que decimos la verdad. Por eso no podemos constituir una sociedad plenamente operativa en unas horas.

En mi primer empleo en un despacho de abogados me ofrecí, para ganar puntos, a pasar las actas de los clientes a los libros de actas, que estaban todos vacíos. Mi jefe me explicó que estaban vacíos a propósito ya que el cliente podía tener que inventarse un acuerdo o una Junta y si las actas ya estaban pasadas a los libros esa manipulación del pasado a favor de los intereses del cliente no sería posible. Incluso se comentaba entonces que los notarios guardaban habitualmente números de protocolo sin utilizar para clientes especiales. Como los hoteles hacen con algunas habitaciones.

Esta ligereza moral contrastaba con la rectitud, casi autista a los ojos de esa época, de los clientes norteamericanos del despacho, que nunca aceptaron firmar actas o contratos predatados. Estamos hablando de los años ochenta, pero también de dos culturas distintas, cuyas diferencias se van difuminando, pero todavía persisten en la actualidad.

No me extraña por lo tanto la desconfianza de nuestro legislador. Somos mediterráneos. Tanto nosotros como él.

También será mediterráneo el abogado que interpondrá la querella que obligará a la empresa y a sus directivos a defenderse de una posible responsabilidad penal. Como experto depredador de pruebas, este abogado pondrá en duda la credibilidad y la fecha de las pruebas utilizadas por la defensa porque muy probablemente él mismo habrá preparado en otros casos la defensa de sus clientes sobre los débiles cimientos de unas pruebas creadas tras la notificación de la querella.

Perdón por la crudeza, pero lamentablemente estamos en un país en el que no hay cultura de preconstitución de prueba y nos enfrentamos a los procesos judiciales como el mal estudiante, que sólo estudia los días anteriores al examen.

La metodología anglosajona de compliance es buena como base, pero hay que adaptarla a nuestra cultura y a las características de la estrategia procesal penal de nuestro probable adversario. Dado que en sede penal se produce un nivel de impugnación de la prueba superior al de otras jurisdicciones, tenemos que blindar la prueba, cronológicamente y en cuanto a su contenido.

Nuestros modelos de corporate defense tienen que estar orientados irremediablemente a la querella. Tenemos que aplicar un esquema de "litigation readiness" pero defensivo, y basado en la certeza de que nuestras pruebas van a ser impugnadas, o al menos, puestas en duda.

Por ello, un proyecto de corporate defense no estará acabado hasta que se hayan creado las evidencias del cumplimiento y de la eficacia de los controles, y hasta que cada una de esas pruebas tenga una garantía de integridad y una fecha indubitada.

Author: "Xavier Ribas" Tags: "Corporate compliance, Corporate defense"
Send by mail Print  Save  Delicious 
Date: Thursday, 13 Feb 2014 19:09

Una vez comentado el marco que va a regular la figura del Compliance Officer en la primera entrega de este artículo, toca ahora entrar en la incómoda tarea de analizar los supuestos en los que la persona que asume esta función omite, deliberadamente o no, su deber jurídico de control. Excluyo por lo tanto, en este caso, los supuestos en los que la función asignada es de asesoramiento, coordinación o acompañamiento a las áreas del negocio en las que recae la decisión final y la verdadera obligación de control.

Este deber específico de vigilancia y control puede haber sido asignado al Compliance Officer de varias maneras:

  1. Por ley, al estar asociada la función de control con un mandato legal específico.
  2. Por contrato
  3. A través de la descripción de las funciones del puesto de trabajo
  4. Por asignación directa

Esta asignación actúa como una delegación del deber de control que corresponde al Consejo de Administración y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito.

Esta posible responsabilidad penal es la causa de que las grandes empresas encuentren dificultades para asignar la función de Compliance Officer a una sola persona y se tienda más a la figura de un órgano colegiado. Una vez asumido el cargo, es evidente que la persona (o personas) que tenga esta responsabilidad y sea consciente de ella, estará altamente motivada para que no se produzcan delitos en la empresa y ocupada en dejar un rastro de su actividad de control, generando pruebas que acrediten que en ningún momento se ha producido una omisión del deber de control.

Ello puede generar un conflicto de interés cuando el área de negocio o la propia dirección de la compañía planteen decisiones que puedan ser constitutivas de delito. En estos casos, el responsable de la función de control tiene pocas opciones:

  1. Acatar la decisión y dejar una prueba de su desacuerdo con ella y de sus advertencias sobre el riesgo legal que implica seguir adelante.
  2. Dimitir.
  3. No hacer nada.
  4. Apoyar la decisión.

Mientras las dos primeras opciones pueden llevar aparejada la salida de la empresa, la tercera puede suponer una omisión punible y la cuarta una posición de complicidad, que justificaría el título de este artículo.

No es nada fácil enfrentarse a este dilema, especialmente en el caso de que la persona que tiene asignada la función de control esté ya en una edad en la que no se contemple otra salida de la empresa que la jubilación.

Desconozco los detalles y el alcance de una supuesta imputación de auditores internos en los procedimientos abiertos en relación a los casos Bankia y Pescanova, ya que los datos aparecidos en los medios de comunicación son escasos. Imagino que se trata de supuestos en los que este dilema pudo haberse planteado y probablemente, la instrucción judicial arrojará mucha información sobre los niveles de la pirámide de control en los que hay que dejar muy clara la sincronización de la cultura de control escrita y la real.

En el caso Olympus Japón, cuando este dilema se le planteó a Michael Woodford, el directivo pidió al Consejo que asumiera su responsabilidad en varias ocasiones y, tras ser despedido denunció los hechos públicamente.

El conflicto de intereses se materializa claramente en el momento de crear pruebas de la diligencia del responsable del control. En los casos de discrepancia sobre la legalidad o el nivel de riesgo de la actividad sujeta a control, todas las pruebas que el responsable del control genere a su favor pueden inculpar a la empresa si ésta no hace nada.

Imaginemos el caso de un Compliance Officer que en un control rutinario detecta una discrepancia entre el número de programas instalados y el número de licencias contratadas. Acto seguido lo pone en conocimiento del CIO a través de un correo electrónico interno y éste le contesta que ha pedido más presupuesto para regularizar la situación y no se lo han concedido. El CIO envía entonces un recordatorio a la Dirección General y recibe como respuesta que, en estos momentos, no hay presupuesto para esa inversión. En ambos casos el responsable del control está dejando evidencias de que no ha omitido su deber de vigilancia y control y que ha alertado sobre la existencia de un riesgo, pero al mismo tiempo ha generado una prueba inculpatoria para otros directivos o para la propia empresa.

Un ejemplo real de esta posibilidad es el mensaje de correo electrónico que, según las noticias publicadas, un maquinista jefe de Renfe envió a un superior alertando de la peligrosidad de la curva de Angrois antes de producirse el accidente.

Un Compliance Officer diligente y preocupado por su responsabilidad irá acumulando evidencias de su esfuerzo de control en un "defense file" que muy probablemente entrará en colisión con el de la empresa y el del Consejo.

El riesgo de acumulación de más pruebas inculpatorias que exculpatorias en el correo electrónico está haciendo que los plazos de conservación del mismo sean cada vez menores en los sectores hiperregulados. En otros, en cambio, se llega a contratar a proveedores que custodian todo el correo electrónico durante años y facilitan el acceso remoto para posibles consultas.

Para evitar las situaciones de riesgo y de conflicto de interés comentadas, existen varias soluciones:

  1. Protocolo de gestión de advertencias de riesgo
  2. Defense file o repositorio de evidencias de cumplimiento común y acordado con los interesados
  3. Política de conservación de documentos
  4. Protocolo de gestión de conflictos de interés

Estas soluciones son fáciles de explicar en el plano teórico, pero difíciles de aplicar en la práctica sin una buena dosis de autodisciplina y sin la ayuda de un experto externo que aporte independencia al proceso y actúe como impulsor del proyecto, evitando que las prioridades del negocio eclipsen la actividad de control. Que es lo habitual.

Author: "Xavier Ribas" Tags: "Compliance, Compliance officer, Corporat..."
Send by mail Print  Save  Delicious 
Date: Saturday, 23 Nov 2013 12:16

El proyecto de reforma del Código Penal, que parece haber cobrado un nuevo impulso con el fin de la doctrina Parot y la lucha contra la corrupción, incluye tres menciones expresas al órgano de vigilancia y control orientado a prevenir la comisión de delitos.

  • La primera, en el artículo 31bis, al incluir en la lista de condiciones necesarias para la exención de la responsabilidad penal corporativa, la supervisión del funcionamiento y del cumplimiento del modelo de prevención por parte de un órgano de la persona jurídica con poderes autónomos de iniciativa y control.
  • La segunda, en el mismo artículo, al incluir como uno de los requisitos del modelo de organización y gestión, la obligación de informar de posibles riesgos e incumplimientos al órgano encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  • La tercera, en el nuevo artículo 286 seis, al incluir la contratación, selección cuidadosa y responsable (culpa in eligendo), así como la vigilancia (culpa in vigilando) del personal de inspección y control, como una de las medidas de vigilancia y control cuya omisión puede generar responsabilidad penal para el directivo responsable de su aplicación.

En la práctica, este órgano suscita una serie de cuestiones que analizamos a continuación y entre las que destaca la que inspira el título a este artículo, es decir la responsabilidad de este órgano en caso de delito.

Nuevo departamento vs. departamento ya existente

Las funciones que el proyecto asigna al órgano de vigilancia y control están repartidas en la actualidad en diversos departamentos o comités:

  1. Comité de Ética
  2. Auditoría Interna
  3. Control Interno
  4. Asesoría Jurídica
  5. Cumplimiento Normativo

Estas funciones de vigilancia y control se dividen en tres grupos:

  1. Control anterior a la infracción (control preventivo)
  2. Control posterior a la infracción (control detectivo)
  3. Función sancionadora, complemento necesario para la eficacia del control

Sin embargo, en el momento de la distribución de estas funciones, estos tres grupos no quedan bien definidos y pueden ser asignados a varios departamentos a la vez o quedar sin asignar.

El Comité de Ética es el destinatario habitual de las denuncias relativas a posibles incumplimientos del código ético a través del correspondiente canal de denuncias, y es también el que investiga, delibera y sanciona dicho incumplimiento. En realidad propone la sanción y RRHH la impone. Pero la función del Comité de Ética es predominantemente reactiva, es decir, acostumbra a actuar cuando llega la denuncia, sin perjuicio de las campañas de sensibilización que pueda organizar. En cambio, el proyecto exige una labor más proactiva, más cercana a la función de control interno o de auditoría interna, pero mucho más intensa, y no limitada a los delitos estrictamente económicos. Ello hace pensar que el proyecto habla de dos órganos distintos uno proactivo y emisor de denuncias y otro reactivo y receptor de denuncias. Por otro lado, el objetivo de los departamentos con funciones de control ha sido hasta ahora proteger a la empresa del fraude interno y de las amenazas en las que la empresa es la víctima, mientras que la finalidad de los programas de corporate defense es prevenir la responsabilidad penal de la empresa en los delitos en los que la víctima es un tercero. Lo mismo sucede con los programas de D&O defense en relación a los cargos directivos.

Por otro lado está la función de los departamentos de Asesoría Jurídica y de Cumplimiento Normativo, este último muy próximo en su nomenclatura  al Compliance Officer, pero no tanto en su encaje en la taxonomía que parece proponer la doctrina al comparar el modelo anglosajón con el propuesto en la reforma.

Por otra parte, tanto las funciones como las denominaciones de los departamentos no son uniformes en todas las empresas y sectores, por lo que, si queremos realizar un análisis comparativo entre varias empresas, más que hablar de departamentos tendremos que hablar de funciones.

Entiendo que el camino lógico a seguir en una empresa tras la aprobación de la reforma del Código Penal sería:

  1. Identificar las funciones de supervisión y control establecidas en el texto que finalmente se apruebe, integrándolas en el modelo de organización y gestión.
  2. Analizar cómo están repartidas en ese momento estas funciones en los diversos departamentos y comisiones de la empresa.
  3. Decidir si debe crearse un nuevo cargo, un nuevo departamento o una comisión que incorpore a las personas que actualmente realizan las funciones identificadas en distintos departamentos.

Lejos del debate científico sobre si la función origina el órgano o el órgano crea la función, que en el mundo de la gran empresa puede llegar a cobrar matices kafkianos, es evidente que en este caso la función de vigilancia y control viene determinada y exigida por una Ley Orgánica y que de ella deriva la creación del órgano que debe desarrollar esta función.

Cargo unipersonal vs. órgano colegiado

En función de las decisiones adoptadas por la empresa en relación al punto anterior, podrán asignarse las funciones a una sola persona o a un equipo. Aunque el proyecto habla de órgano, nada impide que se trate de un cargo unipersonal, aunque, en mi opinión, lo más aconsejable es que sea un órgano colegiado, ya que los requisitos que tiene que cumplir no acostumbran a estar reunidos en una sola persona. También puede tratarse de una única persona que se apoye en los expertos internos y externos de cada materia, con los que la empresa ya cuenta habitualmente.

Entre los factores que aconsejan una puesta clara por un órgano colectivo destacan las siguientes:

  1. La gran carga de trabajo a realizar.
  2. El enfoque multidisciplinar.
  3. La gran variedad de conocimientos exigidos.
  4. La capacidad para actuar, contar con aliados y conseguir la ejecución de las decisiones y las medidas adoptadas en los departamentos afectados.

Parece evidente que el legislador no piensa en un hombre orquesta con múltiples tentáculos e inteligencias, saber enciclopédico y don de la ubicuidad. Aunque la función de dirección y coordinación del equipo debe recaer en una sola persona, parece recomendable que se apoye en un grupo de expertos con capacidad de actuación en los departamentos afectados.

Pensemos que la labor de este órgano debe estar apoyada en un procedimiento sancionador, por lo que será conveniente que las deliberaciones vayan revestidas de las garantías que ofrece un órgano plural. Por ello habrá que decidir si la función de valoración y sanción de infracciones (control posterior a la infracción) debe permanecer en un comité de ética y las de prevención y vigilancia (control anterior a la infracción) en un órgano de control que sería el compliance officer. Esta opción se ajustaría más al principio de segregación de tareas y preservaría la independencia entre el órgano que coordina las medidas de control y el que sanciona su incumplimiento.

Otra posibilidad sería enlazar los protocolos de vigilancia y control con las normas de buen gobierno corporativo, asignando la máxima responsabilidad del control a un consejero independiente que coordinaría la labor de una comisión interdepartamental  que a su vez asumiría todas las funciones de vigilancia y control.

Responsable penal vs. simple coordinador del control

El artículo 11 del Código Penal establece que los delitos que consistan en la producción de un resultado sólo se entenderán cometidos por omisión cuando la no evitación del mismo, al infringir un especial deber jurídico del autor, equivalga, según el sentido del texto de la Ley, a su causación. A tal efecto, se equiparará la omisión a la acción cuando exista una específica obligación legal o contractual de actuar o cuando el omitente haya creado una ocasión de riesgo para el bien jurídicamente protegido mediante una acción u omisión precedente.

El artículo 316 del Código Penal establece un supuesto específico de responsabilidad penal para los que, con infracción de las normas de prevención de riegos laborales y estando legalmente obligados, no establezcan las medidas preventivas necesarias para evitar accidentes laborales. Y el artículo 318 impone la pena señalada para los delitos atribuidos a personas jurídicas a los administradores o encargados del servicio. Estos dos artículos, ampliamente analizados en la Circular 4/2011 de la Fiscalía General del Estado, contemplan un supuesto específico en el que la responsabilidad penal derivada de la omisión del deber de control puede recaer en una persona física.

Todo parece indicar que la clave está en la delegación del control y en la asignación legal o contractual de un deber de control. Esta delegación se produce en la línea del negocio, es decir, desde el Consejo de Administración al responsable del departamento o la unidad de negocio en la que puede originarse el riesgo, y en la que debe establecerse por lo tanto el control. El control debe estar cerca de riesgo, y debe ser un control experto. Me refiero a que no puede pretenderse que el compliance officer tenga un conocimiento omnicomprensivo que le permita realizar un control realmente experto del cumplimiento de las medidas de prevención.

Es importante por lo tanto analizar la línea de delegación, ya que el deber jurídico del control, como establece el artículo 11 del Código Penal, puede provenir de una obligación legal o de una obligación contractual. Y es justamente la delegación de la función de control a un directivo concreto, en el marco de la relación contractual que lo une a la empresa, la que puede hacer atribuible el deber jurídico de control y la responsabilidad penal a un cargo que no ostente la representación legal de la empresa. Por tanto, cabría la posibilidad de que al compliance officer se le asignasen obligaciones de control suficientes para atribuirle, conscientemente o no, las responsabilidad penal de la omisión del control o de un control deficiente, y esa delegación de obligaciones es la que habrá que analizar con detalle tanto en el momento del nombramiento como en el momento de la depuración de las responsabilidades.

En mi opinión, el deber de control debería residir en la línea de negocio, distribuido entre los distintos directivos con funciones de control, y el compliance officer, como órgano unipersonal o colegiado, debería realizar una supervisión transversal de dicho control, como así se establece en el proyecto.

El nuevo artículo 286 seis previsto en el proyecto atribuye la responsabilidad penal de la omisión de las medidas de vigilancia y control al representante legal o administrador de hecho o de derecho de la empresa.  Dentro de estas medidas de vigilancia se incluye la contratación, la selección cuidadosa y responsable y la vigilancia del personal de inspección y control. Ello significa que la responsabilidad penal derivada de la omisión de las medidas de prevención y control corresponde al representante legal y que el compliance officer forma parte del personal de inspección y control que el representante legal debe contratar. Pero, como decía antes, podría darse el caso de que el representante legal delegase este deber de control en el compliance officer y éste asumiese la responsabilidad penal derivada de la omisión del control. Por eso habrá que ver qué posición ocupa exactamente este órgano en la línea jerárquica y en la estructura de control de la empresa, ya que si el compliance officer no está integrado en la cadena de mando, sino en una posición colateral de supervisión, no debería atribuírsele responsabilidad alguna, salvo en los casos que más adelante comentaré.

Estructura de capas

Las reflexiones del punto anterior me llevan a pensar en una estructura de capas en las que se distribuyen las distintas funciones y responsabilidades asociadas al control. Estas capas son independientes de la estructura jerárquica, en el sentido que el beneficio de su existencia se obtiene del efecto acumulativo de todas ellas.

  1. CAPA DE RESPONSABILIDAD.- Está formada por la representación legal de la empresa, es decir, el Consejo de Administración o los Administradores de hecho o de derecho. De ella emanan las normas y protocolos que el personal deberá cumplir.
  2. CAPA DE RESPONSABILIDAD DELEGADA.- Está formada por los directivos de la línea de negocio y la cadena de mando que por ley o por delegación contractual asumen obligaciones de control. Es el máximo exponente del control en la actividad cotidiana de la empresa.
  3. CAPA DE COORDINACIÓN Y SUPERVISIÓN.- Está formada por el compliance officer, como órgano unipersonal o colegiado encargado de comprobar que los controles son eficaces a través de tareas rutinarias y de investigaciones internas. Incluye también la labor de formación y sensibilización.
  4. CAPA DE EXPERTOS.- Está formada por los distintos expertos internos y externos que la empresa utiliza habitualmente para obtener asesoramiento en las distintas materias que requieren una especialización. Por ejemplo: medioambiente, seguridad informática, riesgos laborales, etc. La supervisión del control deberá basarse en la capa de conocimiento de estos expertos para poder analizar y valorar los riesgos y para identificar, seleccionar, aplicar y contrastar la eficacia de los controles. Entre los expertos se incluirán los abogados penalistas, que aportarán su conocimiento y experiencia sobre la dinámica comisiva del delito, los elementos del tipo penal, el tratamiento jurisprudencial y los argumentos de defensa, con el objetivo de dotar de contenido y eficacia a la labor de preconstitución de la prueba.
  5. CAPA DE PRUEBA.- Está formada por los expertos que apoyan al compliance officer en la obtención y custodia de las evidencias que acreditan la existencia y la eficacia del control.
  6. CAPA SANCIONADORA.- Está formada por el Comité de Ética, que recibe las denuncias del canal y del compliance officer, delibera y propone las sanciones, así como por el departamento de RRHH, que las impone. Es posible que en algunas empresas la función del Comité de Ética se integre en el órgano de supervisión, es decir en el compliance officer. De hecho, este órgano aparece en el proyecto como receptor de denuncias y no como emisor de las mismas. Por ello debe contemplarse la posibilidad de mantener estas funciones repartidas en dos órganos o unificarlas en uno solo, con las correspondientes cautelas en materia de independencia y segregación de funciones que he comentado antes.

Función interna vs. función externalizada

Un problema común a todas las empresas en la actualidad es la escasez de recursos, derivada de un estricto control presupuestario. Ello hace pensar en la posibilidad de que algunas de las funciones correspondientes al compliance officer puedan ser externalizadas. También puede hablarse de un "implant", como sucede en el caso de Data Privacy Officer (DPO).

Teniendo en cuenta que en el proyecto actual la existencia de este órgano de supervisión y control es una de las medidas exigidas para evitar la responsabilidad personal de los representantes legales de la empresa, la externalización puede ser una alternativa a considerar.

Las ventajas de la externalización son claras:

  1. Mayor objetividad en el control.
  2. Independencia.
  3. Mayor respeto (menos confianzas) a un profesional externo que a un interno.
  4. Mayor aceptación de un control externo que de un control interno.
  5. Nivel de especialización más alto.
  6. Supervisión del trabajo por el socio responsable (política de cuatro ojos).
  7. Aprovechamiento de la experiencia obtenida en otros clientes.
  8. Secreto profesional y acuerdos de confidencialidad.
  9. Seguro de Responsabilidad Civil profesional.
  10. Sustitución en caso de baja.
  11. Ahorro de costes.

En el caso de no apostar por la externalización, lo menos recomendable sería crear un departamento sobredimensionado, ya que, como he dicho antes, el compliance officer puede apoyarse perfectamente en los distintos expertos internos y externos que habitualmente asesoran a la empresa en las materias de fondo.

Finalmente, cabe decir que, en mi opinión, la responsabilidad penal no es externalizable. Al menos en términos generales. El control es inherente a la representación legal y debe estar cerca de la fuente que origina el riesgo, revestido de una capa de conocimiento de la empresa que difícilmente puede llegar a tener un profesional externo. No obstante, cabe la posibilidad de que un profesional externo asuma responsabilidad penal por la vía de la delegación contractual del deber de control y por la vía de la representación legal, asumiendo poderes de la empresa o participando en el Consejo como consejero. Todo ello siempre que no se produzca una delegación instrumental de la función de control a un "responsable penal profesional", es decir, a alguien que cobre por asumir las consecuencias de la omisión del control.

Finalmente, el conocimiento de la empresa puede llegar a adquirirse con los años y con el apoyo de los expertos internos y de los responsables de cada control.

Funciones del compliance officer

Entre las funciones del compliance officer como órgano de supervisión y control destacaría las siguientes:

  1. Evaluación continua de riesgos basada en los expertos internos y externos.
  2. Evaluación periódica del código ético y del modelo de prevención y control.
  3. Evaluación continua de los controles y de su eficacia.
  4. Identificación de carencias.
  5. Propuestas de mejora y actualización del modelo.
  6. Alerta sobre posibles riesgos.
  7. Denuncia de infracciones al Comité de Ética, en su caso.
  8. Propuesta de sanciones a RRHH en el caso de asumir las funciones del Comité.

Compliance officer o cómplice officer

Como conclusión de las reflexiones sobre las principales cuestiones que la figura del compliance officer suscita en el proyecto de reforma del Código Penal, y de forma independiente a las decisiones que cada empresa adopte en relación a los puntos comentados, en mi opinión, el nivel de responsabilidad penal del compliance officer dependerá principalmente de los siguientes factores:

  1. El nivel de delegación al compliance officer por parte del Consejo o de la representación legal de la empresa en cualquiera de sus formas, de la función de control.
  2. El traspaso o no de poderes.
  3. La existencia de un deber contractual de control.
  4. La existencia de una ley que le asigne un deber de control.
  5. El alcance de la actividad de control encomendada.
  6. El carácter previo o posterior a la infracción de la función de control asignada.
  7. El nivel de independencia con el que desarrolle su función.
  8. La diligencia demostrada en la prevención.
  9. La pruebas acumuladas a lo largo de su actividad que acrediten el control efectivo.
  10. El nivel de complicidad o implicación en los actos delictivos.
  11. La concurrencia de una tolerancia dolosa.
  12. La actividad desarrollada tras el descubrimiento del delito.
  13. El nivel de reparto o distribución de las funciones de control entre los distintos directivos y departamentos de la empresa.

Téngase en cuenta que, aunque el compliance officer es el especialista del control, su función es transversal y que las obligaciones de control están repartidas entre los distintos directivos de la empresa. Por ejemplo: al CIO corresponderán los controles tecnológicos, al CISO los controles en materia de seguridad, al CFO los controles financieros, al DPO los controles en materia de privacidad y protección de datos, y así sucesivamente hasta completar todo el organigrama de control.

En conclusión, cada directivo tendrá sus obligaciones de control y el compliance officer será el que verifique el cumplimiento de dichas obligaciones y la eficacia del control en todos los niveles de la empresa, limitándose su responsabilidad a la esfera laboral, salvo que concurran circunstancias que modifiquen su nivel de implicación en el control o en el delito.

Este artículo es especialmente extenso porque es la base de un manual del compliance officer que estamos preparando en el despacho, por lo que agradeceré cualquier aportación que contribuya a completar el rol de este órgano.

Author: "Xavier Ribas" Tags: "Compliance officer, Corporate compliance..."
Send by mail Print  Save  Delicious 
Date: Saturday, 09 Nov 2013 13:25

A partir del próximo 1 de febrero de 2014 las empresas que cobran sus servicios a través de recibos domiciliados deberán cumplir las obligaciones de obtención y custodia del mandato que establece la normativa SEPA. Los adeudos directos mediante recibo domiciliado correspondientes a clientes nuevos que se practiquen sin autorización, es decir, si el requerido mandato, podrán ser objeto de devolución y reembolso durante los 13 meses siguientes al cargo no autorizado.

Estas obligaciones harán que el esfuerzo de las empresas se centre en acreditar la obtención del consentimiento del cliente para realizar el adeudo del recibo en su cuenta corriente.

Normativa actual

En la sección 4.1 del Core SDD Rulebook se establece que el mandato es una expresión de consentimiento y autorización del deudor al acreedor y menciona únicamente dos formatos: el mandato en papel con firma manuscrita y el e-mandato con firma electrónica. Esta lista tasada se confirma en las FAQ del portal SEPA del Banco de España  en las que se afirma que el mandato telefónico no es válido y sólo se contempla la firma manuscrita y la firma electrónica que equivalga a firma manuscrita según la ley. De ello se deduce que un e-mandato sólo sería válido si estuviese firmado por el cliente con firma electrónica reconocida.

Recientemente, el EPC (European Payments Council) ha emitido una nota aclaratoria en la que explica que los métodos de firma descritos en la sección 4.1 del Core SDD Rulebook no son exhaustivos y que se puede considerar el uso de otros métodos de firma que sean legalmente vinculantes, incluyendo los utilizados en las normas locales vigentes hasta ahora.

En una declaración posterior del SEPA Council se ha valorado positivamente la intención del EPC de dar un mensaje claro a favor de la tesis de que los SDD Rulebooks no son un obstáculo para el uso continuado, después del 1 de febrero de 2014, de métodos válidos de mandatos electrónicos ya existentes , que son utilizados actualmente en algunas comunidades nacionales para iniciar transacciones de adeudo directo.

Métodos de firma

En España, la famosa sentencia del Tribunal Supremo de 3 de noviembre de 1997 establece que el requisito de la firma autógrafa puede ser sustituido, por el lado de la criptografía, por medio de cifras, claves y otros atributos alfanuméricos que permitan asegurar la procedencia y la veracidad de su autoría y la autenticidad de su contenido.

Más recientemente, en un Auto de 21 de marzo de 2013, el Tribunal Supremo ha aceptado como prueba los mensajes de correo electrónico certificados y de los SMS certificados. La validez probatoria de los SMS certificados ha sido reforzada desde la entrada en vigor de la exigencia de identificación en la contratación de una cuenta de telefonía móvil, incluidas las de prepago. El artículo 25 de las LSSI establece que las partes de un contrato pueden pactar la intervención de un tercero de confianza para que consigne la fecha y la participación de las partes y archive las declaraciones de voluntad. Se entiende que tiene que ser un tercero de confianza de las dos partes, es decir, aceptado libremente por ellas, ya que la imposición del tercero en una transacción de consumo podría llegar ser considerada como una cláusula abusiva.

La Ley de firma electrónica establece que la firma electrónica reconocida tendrá, respecto de los datos consignados de forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel. Pero también establece que no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que está asociada por el mero hecho de presentarse de forma electrónica. Y añade que, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas. Cabe decir en este punto que es altamente improbable que una empresa adopte la estrategia suicida de requerir el DNI electrónico para obtener los mandatos de sus clientes en la contratación de servicios recurrentes.

En el campo de la firma manuscrita en tableta ha habido importantes avances, al capturarse datos biométricos como, por ejemplo, el nivel de presión y la velocidad del trazo durante la ejecución de la firma. Los algoritmos aplicados a la autentificación en este formato de firma explotan el hecho de que el ser humano nunca firma exactamente igual, lo cual permite repudiar un documento que reproduzca la misma firma biométrica que otro anterior. Por otro lado, esta modalidad permite asegurar que el firmante estaba presente en el acto de la firma, algo que no es posible en otros sistemas de firma electrónica.

Otras modalidades de firma biométrica pueden ser, además de la firma dactilar, la firma vocal y la firma mediante vídeo, que algunas empresas están aplicando en ciertas modalidades de contratación, por ejemplo en ferias. Esta alternativa consistiría en aceptar el contrato leyendo el texto de aceptación en el que se reproducen los elementos clave del contrato mientras se graba la voz o la imagen y la voz del firmante y previa manifestación de consentimiento en relación al tratamiento de dichos datos. El fichero de audio o de vídeo quedaría unido al contrato con las correspondientes garantías técnicas de integridad. Hay que tener en cuenta, tanto en este punto como en los anteriores, las garantías adicionales que, en relación al consentimiento, exigirá la nueva Ley general para la defensa de los consumidores y usuarios en el caso de la contratación telefónica y online.

Posibles estrategias

El obstáculo que supone el requisito del mandato para la actividad comercial de las empresas que dirigen su oferta al consumidor final, el desconocimiento que todavía existe sobre SEPA a pesar de la proximidad del 1 de febrero de 2014 y el retraso experimentado en su implantación están haciendo que muchas empresas todavía no tengan una estrategia clara a seguir.

Entre las estrategias que se están analizando en la actualidad destacan las siguientes:

  1. Asumir el riesgo de repudio, tras haber cuantificado dicho riesgo y haber asignado una partida presupuestaria a las posibles devoluciones que puedan producirse. Los recortes en las administraciones públicas pueden hacer que no haya campañas informativas y es posible que el día 1 de febrero los consumidores no conozcan sus derechos, pero no hay que despreciar el poder de las redes sociales, por lo que asumir el riesgo de devolución del recibo no resulta aconsejable.
  2. Asumir el riesgo de rechazo de cliente, con el consiguiente descenso en las ventas al pedir el DNI electrónico o cualquier otro sistema de firma reconocida en la transacción y en la obtención del mandato.
  3. Esperar a que las entidades financieras ofrezcan el servicio de obtención del mandato, que se formalizaría a través de una petición XML de la entidad del acreedor a la entidad del deudor y una confirmación por el mismo conducto una vez obtenida la aceptación del deudor mediante la clave de firma de banca electrónica. Esta solución supone un importante coste para las entidades y no se espera que se ofrezca a corto plazo.
  4. Utilizar los servicios de terceros de confianza en la obtención del mandato y sistemas de gestión y custodia de los mandatos aceptados, en conexión con el ERP corporativo.
  5. Obtener el consentimiento online o por vía telefónica con la posterior verificación del consentimiento mediante alguna de las modalidades de firma comentadas en este artículo que ofrezca las garantías exigidas por la ley.
  6. Analizar la viabilidad jurídica de la firma biométrica en la obtención del mandato.
Author: "Xavier Ribas" Tags: "Comercio electrónico"
Send by mail Print  Save  Delicious 
Date: Saturday, 02 Nov 2013 16:10

Muchas gracias de nuevo a todos los que, con vuestro apoyo y confianza, habéis conseguido que Expansión me haya seleccionado como uno de los 25 abogados que han sido referentes en sus respectivas áreas.

abogados2013

La selección se ha realizado sobre los 82 abogados que el directorio Best Lawyers ha nombrado como abogados del año en su especialidad. En mi caso, protección de datos en Barcelona.

bestlawyers2014

Author: "Xavier Ribas" Tags: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Saturday, 02 Nov 2013 16:06

La lectura del artículo Algunos hombres malos de Manuel Conthe en Expansión, a principios de agosto, fue doblemente inspirador. En primer lugar, porque sus argumentos coincidían con mis repetitivas recomendaciones sobre el riesgo de la tolerancia, la presión comercial y las restricciones presupuestarias en relación a la eficacia de un proyecto de corporate defense. Y en segundo lugar, porque el artículo me descubrió a Max H. Bazerman y a Ann E. Tenbrunsel y su libro Blind Spots, cuya lectura me aportó argumentos adicionales para demostrar la inutilidad de los códigos éticos y los programas de corporate defense si las empresas crean paralelamente una cultura de incumplimiento de los principios teóricos que defienden o dan instrucciones que contradicen en la práctica dichos principios.

 

Tolerancia dolosa

El informe anual de responsabilidad social corporativa es prácticamente un repositorio de evidencias de cumplimiento normativo, que puede ser muy útil para acreditar el constante esfuerzo de la empresa para actuar de forma ética y prevenir el incumplimiento de la ley. En la práctica, sin embargo, una política de RSC impoluta puede estar ocultando una cultura paralela que entra en contradicción con los principios éticos que la empresa defiende.

Imaginemos una entidad financiera que da mucha importancia a sus departamentos de auditoría interna, control interno y cumplimiento normativo, pero que después tolera que el departamento comercial de banca patrimonial valore mucho más a los candidatos que acrediten que pueden aportar clientes con grandes patrimonios, o datos financieros sobre los mismos, que en la actualidad están gestionando en otra entidad.

Manuel Conthe explica el caso de un hedge fund que disponía de una unidad de cumplimiento normativo de 38 profesionales pero, en la práctica, toleraba la contratación de gestores de cartera y analistas que tuvieran fuentes de información privilegiada. La SEC acusó a esta entidad de indiferencia corporativa ante la conducta ilegal de sus empleados y de tolerar que la constante búsqueda de oportunidades crease una cultura corporativa paralela que no rechazaba el uso de información privilegiada.

En la práctica puede darse el caso de que haber aplicado un control sea peor que no haberlo aplicado. Y me refiero con ello al siguiente esquema:

  1. Si el riesgo no está identificado y el control todavía no ha sido aplicado, podemos estar ante un supuesto de falta de diligencia, que podría ser tratado como conducta imprudente en caso de delito.
  2. Si el riesgo está identificado y el control se ha aplicado, pero después ha sido retirado de forma expresa o ignorado a través de la permisividad y la existencia de infracciones no sancionadas, podríamos estar ante un supuesto de tolerancia dolosa.


Presión comercial

De forma inconsciente una empresa puede estar promoviendo esta cultura paralela y generar riesgos de incumplimiento. Los códigos éticos pueden pasar a un segundo plano cuando el negocio debe cumplir unos objetivos mensuales de los que depende la continuidad en la empresa de un rango determinado de directivos. Si estos directivos pueden alterar o solicitar a un superior la modificación de sus privilegios informáticos o de sus límites de contratación, y esta conducta se tolera, se estarán desvirtuando los controles que prevenían la comisión de delitos. La tolerancia habrá derogado el control.

Igualmente, un exceso de presión comercial puede inspirar a un directivo que ya ha agotado todos los recursos para vender más, a intentar que la competencia venda menos. En el Digital Attack Map, el mapa gestionado por Google en el que se reflejan los ataques de denegación de servicio que se están produciendo en el mundo en tiempo real, se puede ver el flujo de datos con los que los servidores de unos estados bombardean los servidores de otros estados. Algo parecido sucede durante las campañas navideñas entre algunas plataformas de comercio electrónico que compiten entre si. El objetivo no es tumbar el servidor, sino ralentizar su funcionamiento para que los clientes se impacienten y vayan a la competencia. La existencia de estos ataques está comprobada. La cuestión es saber si las empresas en las que se originan los han ordenado, los toleran o desconocen su existencia.


Restricciones presupuestarias

Los esfuerzos de las empresas por reducir gastos también pueden influir en la creación de culturas paralelas de incumplimiento. Por ejemplo, si a un departamento de informática se le exige más capacidad de reporting y con mayor frecuencia,  pero al mismo tiempo se le recorta el presupuesto, se puede producir una situación de tolerancia a la instalación de software sin licencia. Ello puede generar una tormenta perfecta, ya que las empresas de software tienen sus propias dificultades para crecer con clientes nuevos y por lo tanto están incrementado las auditorías de sus clientes históricos.

El mismo riesgo puede surgir en los departamentos de I+D+i, donde la presión por innovar y crear nuevos productos, sin el consiguiente refuerzo económico, puede provocar situaciones de espionaje industrial o infracciones de la propiedad intelectual e industrial de otras empresas.


Los nuevos requisitos del corporate defense

El nuevo proyecto de reforma del Código Penal establece los requisitos que deben cumplir los programas de corporate defense para que la empresa consiga la exención de la responsabilidad penal derivada de los delitos cometidos por sus empleados.

Sus criterios, que coinciden con los manifestados por la Fiscalía General del Estado, exigen una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica y la eliminación de situaciones de tolerancia que produzcan la derogación de dichas medidas.

Como los autores de Blind Spots defienden en su libro, la evaluación de los empleados no puede depender de criterios y objetivos estrictamente cuantitativos, sino también éticos. Y la ética no es un papel, ni un código, ni un informe anual. La ética, al igual que el cumplimiento normativo, es algo que hay que practicar cada día, compatibilizándola con los objetivos de facturación y las prioridades del negocio, sin culturas paralelas ni conductas toleradas. Y además de practicarla, hay que ser capaz de demostrarlo.

Author: "Xavier Ribas" Tags: "Compliance, Corporate compliance, Corpor..."
Send by mail Print  Save  Delicious 
Date: Sunday, 27 Oct 2013 18:17

 

OBJETIVO

El objetivo de este ciclo de seminarios es analizar en profundidad el impacto de los cambios legislativos previstos para 2014 en la responsabilidad de aquellas personas que ocupan cargos directivos, con especial atención al nuevo delito de omisión de medidas de prevención y control.

 

ESTRUCTURA COMÚN DE TODOS LOS SEMINARIOS

Todos los seminarios se estructurarán en tres bloques:

1. Introducción: en este bloque se analizarán los principales cambios legislativos previstos para 2014 y el impacto en la responsabilidad legal de cada tipo de directivo.

2. Funciones de control: en este bloque se analizarán las medidas de prevención y control dirigidas a evitar la responsabilidad de los Directivos.

3. Caso práctico: en este bloque se analizará un caso práctico de una empresa. La exposición correrá a cargo de una persona que ostente el cargo analizado en el seminario.

 

DURACIÓN

La duración del seminario será de tres horas, incluyendo una pausa-café.
Todos los seminarios se iniciarán a las 18:00 h. y finalizarán a las 21:00 h.

 

LUGAR DE CELEBRACIÓN

Los seminarios se celebrarán en la sede de Ribas y Asociados:
Avenida Diagonal 640 1C de Barcelona.

 

SESIONES IN COMPANY

Estos seminarios pueden también realizarse en formato “in company” con el número de asistentes y la estructura que el cliente determine.
En caso de estar interesado en esta modalidad, puede enviar un mensaje a montse.otalora@ribastic.com

 

NÚMERO MÁXIMO DE ASISTENTES

Con el objetivo de conseguir el máximo aprovechamiento de las reuniones de trabajo, éstas tendrán un número máximo de diez asistentes. Si alguna de ellas superara el aforo indicado, se propondrá una nueva fecha para repetir la sesión.

 

PRECIO

Cada seminario tendrá un coste de 300 euros + IVA 21%
En el caso de seminarios “in company”, se preparará una propuesta a medida.

 

FORMA DE PAGO

Mediante transferencia bancaria previa a la celebración del seminario.

 

DIPLOMA

Se entregará a los asistentes un diploma acreditativo de la asistencia al seminario.

 

FECHAS

Los seminarios se celebrarán durante los meses de noviembre y diciembre de 2013, de acuerdo con el siguiente calendario.

07-11-13  Funciones de control y responsabilidad legal del DPO
14-11-13  Funciones de control y responsabilidad legal del CIO
21-11-13  Funciones de control y responsabilidad legal del Director Financiero
28-11-13  Funciones de control y responsabilidad legal del In House Lawyer
04-12-13  Funciones de control y responsabilidad legal del Auditor Interno
12-12-13  Funciones de control y responsabilidad legal del Director de RRHH
19-12-13  Funciones de control y responsabilidad legal del Director General o CEO

 

INSCRIPCIONES

Para formalizar la inscripción rogamos envíen un mensaje a Montse Otalora (montse.otalora@ribastic.com) acompañando copia de la transferencia a la cuenta corriente que ella les facilitará. Su teléfono es el 934940748. Muchas gracias.

Author: "Xavier Ribas" Tags: "Compliance, Corporate compliance, Corpor..."
Send by mail Print  Save  Delicious 
Date: Sunday, 27 Oct 2013 16:17

Resumen realizado por Ricard Boned sobre la reciente sentencia del Tribunal Europeo de Derechos Humanos, en la que se considera responsable al titular de un portal de noticias por los comentarios ofensivos colgados por sus lectores.

Antecedentes

Delfi AS, es una sociedad registrada en Estonia que posee uno de los mayores portales de noticias del país. En 2006 publicó un artículo sobre una compañía de ferris criticando su decisión de cambiar la ruta de sus embarcaciones. Esta desviación había provocado que se pospusiera varias semanas la construcción de carreteras que llegaban a los mismos destinos que los ferris, pero de forma más rápida y económica.

A raíz del artículo varios usuarios indignados publicaron mensajes ofensivos contra la Compañía y su propietario. Éste demandó a Delfi en 2006 y obtuvo una sentencia condenatoria en junio de 2008. El Tribunal estonio encontró que los comentarios eran difamatorios y que Delfi era responsable de ellos. En 2009 Delfi apeló la sentencia pero su apelación fue desestimada. En particular, los tribunales nacionales rechazaron el argumento del Portal que en base a la Directiva de la UE 2000/31/CE sobre Comercio Electrónico, consideraba que su papel era meramente técnico, pasivo y neutral. Al rechazar este argumento, se consideró que el Portal tenía control sobre los comentarios y que por tanto, era responsable.

Delfi acudió al Tribunal Europeo de Derechos Humanos por violación del artículo 10 (libertad de expresión). No obstante, el Tribunal señaló que el artículo 10 permite que se interfiera la libertad de expresión cuando su finalidad sea proteger la reputación de una persona, y siempre que exista una proporcionalidad con las circunstancias que la justifiquen. La cuestión esencial era analizar si existía dicha proporcionalidad.

Valoración del TEDH

Al evaluar esta cuestión, el Tribunal tuvo en cuenta cuatro factores:

1. El contexto de los mensajes. Los comentarios fueron insultantes, amenazantes y difamatorios. Dada la naturaleza del artículo, Delfi debería haber esperado mensajes ofensivos, y además estableció abiertamente un grado extra de precaución a fin de evitar ser considerado responsable por los daños reputacionales causados a una persona.

2. Las medidas adoptadas por Delfi para impedir la publicación de comentarios difamatorios. El Portal establecía expresamente que los autores de los comentarios se harían responsables de su contenido, y advertía que los comentarios ofensivos no estaban permitidos. Asimismo, el Portal podía eliminar automáticamente insultos o palabras inadecuadas y, además, disponía de un sistema a través del que los usuarios podían denunciar este tipo de comentarios. Sin embargo, las advertencias no pudieron evitar que se publicaran un gran número de comentarios inapropiados, y los sistemas de filtrado y denuncia no fueron eficaces para evitarlos.

3. Análisis de si los autores de los comentarios realmente podrían haberse considerado responsables. Muchos de los autores de los comentarios los publicaron sin identificarse. Por lo tanto, hacer a Delfi legalmente responsable por los comentarios era, según el Tribunal, razonable, ya que permitió su publicación y recibió beneficios comerciales por esos comentarios.

4. La sanción impuesta por los tribunales estonios contra la empresa había sido mínima. Delfi estaba obligado a pagar una multa de 320 euros, pero no se exigieron medidas adicionales que pudieran vulnerar su libertad de expresión.

Resultado

El Tribunal sostuvo que la responsabilidad estaba justificada debido a que los comentarios fueron especialmente ofensivos, el Portal no evitó que se hicieran públicos, éste se benefició de su publicación, permitió que sus autores permaneciesen en el anonimato, la multa impuesta por los Tribunales de Estonia no fue excesiva, y no se exigieron medidas a futuro que pudieran vulnerar su derecho de expresión. Por tanto, al tratarse de una injerencia justificada y proporcionada se considera que no hay violación del artículo 10 (libertad de expresión) del Convenio Europeo de Derechos Humanos. La Sentencia aún es recurrible ante la Gran Sala del Tribunal.

Cabe añadir al resumen que el artículo 15 de la Directiva 2000/31/CE establece que los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas. Sin embargo esta exención se refiere solamente a las actividades de mera transmisión, caching y alojamiento de datos.

También se ha mencionado cierto paralelismo con la doctrina del reportaje neutral, pero ello exigiría que el medio de comunicación se limitase a reproducir las manifestaciones del tercero en un artículo periodístico y que el medio conociese la identidad del autor del comentario.

Los foros disponen habitualmente de moderadores que realizan un control de los comentarios antes o después de su publicación. Los administradores de estos foros tendrán de decidir si el protocolo a aplicar por los moderadores se basa en una aprobación previa o en un control posterior. En cualquier caso, parece evidente que un foro no puede quedar abandonado, y que, como mínimo tienen que establecerse unas normas de uso y unas consecuencias para el incumplimiento de las mismas.

El momento de la verdad llegará cuando el moderador, siguiendo la línea editorial del medio, decida aprobar y mantener el comentario, con todas sus consecuencias.

Author: "Xavier Ribas" Tags: "Responsabilidad civil, Responsabilidad I..."
Send by mail Print  Save  Delicious 
Date: Saturday, 05 Oct 2013 12:47

En el Boletín Oficial del Congreso de los Diputados del pasado 4 de octubre se publicó el Proyecto de Ley Orgánica de reforma del Código Penal (PDF), que confirma la importancia que tiene la prueba de la actividad de prevención y control previa a la comisión del delito e introduce el nuevo delito de omisión de medidas de control por parte de los directivos.

Nuestro despacho inicia hoy la publicación de una colección de mapas de controles y evidencias del control con el fin de ayudar a las empresas a cumplir los requisitos de prueba previstos en el proyecto para conseguir la exención de la responsabilidad penal por parte de las empresas y los directivos.

Este documento consiste en una hoja Excel con la lista de controles destinados a prevenir y detectar un delito concreto. Incluye la lista de evidencias a obtener para acreditar la existencia de cada control antes de la eventual comisión de un delito, así como la eficacia de dicho control.

El mapa de controles y evidencias publicado hoy corresponde a los delitos asociados a la corrupción pública, privada e internacional así como al tráfico de influencias.

El documento persigue los siguientes objetivos:

  • Identificar y seleccionar los controles que la empresa debe aplicar para prevenir y detectar este delito.
  • Identificar y seleccionar las pruebas que acrediten que los controles existen y son eficaces.
  • Identificar las posibles carencias de la empresa en materia de prevención y control.
  • Identificar riesgos no previstos por la empresa en su proyecto de corporate defense.
  • Conocer los controles que la empresa no está aplicando y que debería aplicar.
  • Ahorrar costes en un proyecto de corporate defense, al orientarlo directamente a las evidencias.
  • Dotar de un instrumento de gestión eficaz a las empresas que han decidido desarrollar internamente su proyecto de corporate defense.
  • Ayudar a la empresa a la preparación del "defense file" y el repositorio de evidencias del debido control.
  • Cumplir los requisitos establecidos para la exención de responsabilidad penal de las empresas.
  • Cumplir los requisitos establecidos para la exención de responsabilidad penal de los directivos en relación al nuevo delito de omisión de medidas de prevención y control previsto en el proyecto.

El mapa de controles y evidencias puede ir acompañado de los siguientes servicios:

  • Bolsa de horas de asesoramiento jurídico.
  • Sellado de tiempo de las evidencias para acreditar el momento de su creación.
  • Repositorio de evidencias online y offline.

Puede solicitar más información sobre el contenido y el precio de este documento a xavier.ribas@ribastic.com

Author: "Xavier Ribas" Tags: "Corporate compliance, Corporate defense"
Send by mail Print  Save  Delicious 
Date: Friday, 13 Sep 2013 17:40

El Consejo de Ministros ha aprobado esta mañana la remisión a las Cortes Generales del Proyecto de Ley General de Telecomunicaciones que modifica otros textos legales como la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio de 2002, introduciendo, entre otros los siguientes cambios:

1. Se clarifican las obligaciones y los responsables de la correcta gestión de las cookies, como, por ejemplo, las redes publicitarias o agencias que no hubieran adoptado medidas para exigir del editor o prestador del servicio el cumplimiento de los deberes de información y la obtención del consentimiento del usuario. Sería muy interesante que en el debate del proyecto se clarificase la responsabilidad de las empresas con página corporativa en redes sociales como Facebook por el uso de cookies por parte de los propietarios de dichas plataformas.

2. Desaparece la exigencia de que el usuario realice una "acción expresa", en el momento de instalar o actualizar el navegador, para manifestar su consentimiento al uso de cookies. En este caso sería muy recomendable que en el debate parlamentario se clarificase si es posible informar y obtener el consentimiento sobre el uso de cookies de manera simultánea o posterior a la instalación de la cookie. Especialmente en el caso de cookies estadísticas y analíticas, cuya mera instalación no puede considerarse como uso real.

3. Se subsana el lapsus de la inexistencia de régimen sancionador para el uso de cookies sin consentimiento, sancionando el hecho de ignorar la voluntad del usuario de no consentir el uso de cookies o seguir tratando sus datos tras la revocación del consentimiento.

4. El envío insistente de comunicaciones comerciales no solicitadas será una infracción grave. Se suaviza el régimen sancionador para el envío de comunicaciones comerciales no solicitadas, pues el envío de más de tres comunicaciones de esta clase en el plazo de un año constituye infracción grave, lo cual no es proporcionado por el número tan bajo que marca el umbral entre la infracción grave y la leve (artículos 38.3 c) y 38.4 d) de la Ley 34/2002, de 11 de julio). Dado que el envío masivo puede asociarse con el envío simultáneo de comunicaciones comerciales a múltiples destinatarios, se añade otra infracción grave consistente en el envío insistente de comunicaciones comerciales al correo del destinatario, para cubrir los supuestos de envío repetido a unos pocos destinatarios.

5. Se podrá apercibir al infractor en lugar de imponerle una sanción económica en el caso de infracciones graves y leves y cuando concurran ciertas circunstancias atenuantes como no haber cometido infracciones en el pasado.

6. Se suprime la obligación de identificar los e-mails o sms publicitarios con la palabra "publi" o "publicidad".

7. En el caso de comunicaciones comerciales se aclara que los usuarios pueden utilizar el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento para la recepción de comunicaciones comerciales. Con ello se mejora una redacción que generaba dudas sobre el significado de "dirección electrónica".

El texto cambia, a su vez, la Ley de firma electrónica, del 19 de diciembre de 2003, de forma que los certificados reconocidos utilizados en el DNI electrónico pasan a tener una duración de cinco años y no de dos años como hasta ahora.

La asociación adigital ha publicado una lista muy completa de las 10 principales modificaciones de la LSSI que puede ser consultada en esta dirección.

Author: "Xavier Ribas" Tags: "Cookies, LSSI"
Send by mail Print  Save  Delicious 
Date: Wednesday, 11 Sep 2013 07:42

En mi opinión, la idea clave del debate suscitado a raíz de la noticia aparecida este verano sobre el inicio del primer procedimiento sancionador relacionado con cookies, es que el artículo 22.2 LSSI habla de consentimiento previo a la UTILIZACIÓN de cookies no exentas y no habla en momento alguno de consentimiento previo a la INSTALACIÓN.

La diferencia es importante en términos de interpretación, ya que él término "utilización" puede incluir tanto la instalación de la cookie como la posterior recogida de datos a través de la misma, que es lo que realmente tiene trascendencia jurídica.

Algo parecido ocurre en el caso de las direcciones IP de los visitantes de una página web.   En el aviso legal se informa sobre la recogida de este dato y la navegación se interpreta como una manifestación del consentimiento sobre su tratamiento, pero lo cierto es que la IP ha quedado registrada en el log del servidor desde el primer momento.

En cualquier caso, cabe resaltar, en relación a este debate, que tanto en el comunicado de IAB como en el de adigital se aclara que el procedimiento se refiere a un posible incumplimiento de las obligaciones de información y no de la obligación de obtener consentimiento.

Independientemente de lo que se substancie en este procedimiento, lo cierto es que la principal preocupación de las empresas es que puedan surgir de nuevo dudas sobre la forma y el momento en que se tiene que recabar el consentimiento. Algo que ya se consideraba resuelto tras la publicación de la Guía Y en este sentido considero que los dos comunicados son clarificadores.

A mi modo de ver, la secuencia cronológica es la siguiente:

1. El artículo 22.2 de la LSSI tiene una redacción confusa que impide saber de forma categórica si el consentimiento de una cookie (de Google Analytics, por ejemplo, que asocia los datos obtenidos a una dirección IP estática o dinámica), se refiere a la utilización (considerada en este caso como la captura acumulativa de datos útiles para el análisis estadístico) o afecta también la primera instalación de la cookie. Las dudas se extienden a otros puntos de la norma y surgen distintas interpretaciones.

2. Dada la incertidumbre, se produce una situación de espera en el mercado. Nadie quiere ser el primero, pero tampoco el último.

3. IAB, Autocontrol y aDigital acuerdan con la AEPD unos criterios de interpretación del artículo 22.2 que quedan plasmados en la "Guía sobre el uso de las Cookies", dejando cierto margen de interpretación sobre las diferentes formas de prestar el consentimiento y el momento de instalación de las cookies.

4. La Agencia aclara que esta Guía contiene una interpretación de la ley, y que por lo tanto, puede haber otras. Con ello advierte en cierta forma que la Guía no es vinculante y que tanto la Agencia como la Audiencia Nacional, pueden aplicar un criterio distinto si en un caso concreto se fundamenta legalmente una interpretación que merece prevalecer sobre la de la Guía.

5. Si una empresa sigue la interpretación de la Guía y la Agencia o la Audiencia Nacional considera que ha cometido una infracción, podría esgrimir en su defensa el principio de confianza legítima mantenido por adigital en su comunicado, ya que la empresa habría actuado con la debida diligencia al seguir las indicaciones de una Guía avalada por la propia Agencia. Entiendo que ello tendría como consecuencia que no habría sanción, o ésta se aplicaría en su grado mínimo en el peor de los casos.

Como decía un cliente: "Se nota que estamos en el primer mundo", ya que este debate está muy arriba en la pirámide de Maslow.

Author: "Xavier Ribas" Tags: "Cookies"
Send by mail Print  Save  Delicious 
Date: Tuesday, 16 Jul 2013 05:57

"En el pasado, si el Gobierno quería violar la intimidad de los ciudadanos corrientes, tenía que gastar sus recursos en interceptar, abrir al vapor y leer el correo y escuchar, grabar y transcribir las conversaciones telefónicas. Eso era como pescar con caña, de uno en uno. Por el contrario, los mensajes de e-mail son más fáciles de interceptar y se pueden escanear a gran escala, buscando palabras interesantes. Esto es como pescar con red, existiendo una diferencia orwelliana cuantitativa y cualitativa para la salud de la democracia".

Estas palabras forman parte de la declaración de Phil Zimmermann ante el Subcomité de Política Económica, Comercio y Medio Ambiente de la Cámara de Representantes de los EEUU, el 26 de junio de 1996. Este subcomité lo estaba investigando por un supuesto incumplimiento de la ley que prohibía exportar software de cifrado con una longitud de clave superior a lo que EEUU consideraba descifrable. Fue uno de los primeros casos en los que se evidenció el potencial de la red como soporte de información que podía ser obtenida fácilmente para cualquier interés estratégico del gobierno norteamericano.

Phil Zimmermann había desarrollado el programa Pretty Good Privacy (PGP) que frustraba  la opción del ciberespionaje en tres sentidos:

  1. Permitía ajustar la longitud de la clave hasta cifras de 1.024 bits, 2.048 bits y superiores, que en 1996 eran prácticamente indescrifrables.
  2. Utilizaba clave asimétrica, lo cual impedía utilizar técnicas de análisis criptográfico basado en la recuperación de la clave oculta en el propio mensaje cifrado.
  3. No tenía puertas traseras, lo que impedía descrifrar los mensajes si no se disponía de la clave privada.

La normativa que regula la exportación de tecnología de doble uso (civil y militar) establece en todos los países miembros del Acuerdo de Wassenaar un control sobre la exportación de algoritmos de cifrado y cualquier tecnología que los utilice. En España, la lista de productos y tecnologías de doble uso ha sido actualizada recientemente mediante la Orden ECC/705/2013, de 26 de abril (PDF), que incluye los procedimientos de cifrado en el apartado e) del subartículo 11.a.

En EEUU este control hizo que la versión internacional de programas tan populares en 1996 como Netscape, no pudiesen utilizar claves de más de 64 bits el protocolo SSL. Ello hacía que la visualización del candado en el navegador, que indicaba que estábamos visitando un servidor seguro (https) fuese una mera ilusión. De hecho, ya se decía por aquel entonces que la seguridad era un estado de la mente. Posteriormente se establecieron excepciones que permitieron, por ejemplo, utilizar claves de 128 bits en servidores de banca electrónica extranjeros.

En 1.999, aunque posiblemente fue antes, el control gubernamental llegó a los sistemas operativos. En el caso de Windows, existen evidencias de que en ese año se introdujo una puerta trasera en el sistema operativo que permitía el acceso al contenido de cualquier ordenador que lo tuviera instalado. El propio Phil Zimmerman tuvo que publicar un comunicado en el que desmentía los rumores de que su programa PGP tenía una puerta trasera.

Posteriormente se tendría conocimiento de la existencia de COFEE (Computer Online Forensic Evidence Extractor), una utilidad que supuestamente permitía el acceso a ordenadores con Windows a través de una puerta trasera. Aunque no lo he visto realmente en ningún concurso público, hace años que existe la tesis de que los gobiernos que adquieren sistemas operativos norteamericanos reciben una versión diferente a la que utilizan las empresas. La versión gubernamental estaría desprovista de puertas traseras. Un ejemplo a analizar es el de Google Apps for Government, destinado a la administración pública norteamericana. En el apartado relativo a la seguridad establece como principal garantía, y en negrita: "Your data belongs to you", de lo que podría interpretarse que, si no eres un organismo público norteamericano, los datos no te pertenecen, en el sentido de que pueden ser espiados ;-).

La distribución de software de base y de cifrado con puertas traseras, unido al desarrollo de sistemas avanzados de interceptación de comunicaciones es uno de los fundamentos de la llamada red Echelon, siempre asociada a la teoría de la conspiración y claro antecedente de PRISM.

Con este historial de espionaje, no entiendo la sorpresa causada por la constatación de unos hechos que eran de dominio público. Me imagino que la novedad reside en el carácter irrefutable de las pruebas actuales y en el alcance y la intensidad del espionaje.

Baudelaire decía que la astucia más perfecta del diablo consiste en convencernos de que no existe, pero es mucho más astuto el que abiertamente, sin ocultar su existencia:

  1. te vende una casa que tiene una puerta trasera abierta para que pueda entrar cuando quiera (sistema operativo),
  2. te vende cerraduras avanzadas para que tengas una falsa sensación de seguridad y se queda una copia de la llave (sistemas de cifrado),
  3. te vende un sistema de comunicaciones que está bajo su control (Internet), y, para completar la operación,
  4. te deja un estante en su caja fuerte para que guardes en ella todos tus datos, (cloud computing), de manera que ya no necesita la puerta trasera ni la copia de la llave para acceder a los datos.

Y todos seguimos religiosamente los pasos 1, 2, 3 y 4, porque cada uno fue una moda en su tiempo que había que seguir para no quedarse fuera del primer mundo, hasta conseguir que la astucia descrita por Baudelaire quedase en un juego de niños. Y encima pagando.

Por suerte, estamos hablando de big data, con todas sus consecuencias y dificultades, por lo que, en vez de ocultar la información con cifrado desarrollado por los mismos que nos espían, tal vez es mejor que aprendamos que la mejor forma de esconder una aguja es en un pajar. Pero EEUU también es uno de los países que más ha aprendido a gestionar grandes volúmenes de datos no estructurados.

Al final, si sabemos que el gran hermano pesca con red, como decía Phil Zimmermann, sólo nos quedará la opción de obligarle a desempolvar la caña. Pero como no se trata de volver a utilizar palomas mensajeras ni de escribir cartas a mano, supongo que tendremos que acostumbrarnos a que, en los concursos públicos multimillonarios que convocan algunos países emergentes, las empresas españolas tengan que competir con empresas norteamericanas que además de tecnología y producto, tendrán información, mucha información.

En cualquier caso, la lectura positiva de las noticias de las últimas semanas, es que si tengo que comentar algo confidencial con un cliente, voy a intentar mantener una reunión presencial con él. Así recuperaremos el contacto personal que se había distanciado con el correo electrónico.

Escribir a mano, verse cara a cara... suena raro que lo diga yo, apasionado "early adopter" de cualquier tecnología, pero ya hace tiempo que estamos hablando de volver a lo básico y esta es una buena excusa.

 

ACTUALIZACIÓN 16/07/2013: El Kremlin recupera la máquina de escribir como herramienta de inteligencia. Parece que la tendencia de evitar el uso de las nuevas tecnologías, y especialmente de Internet, para dificultar el ciberespionaje está calando. Las autoridades rusas han firmado ya la compra de máquinas de escribir eléctricas por valor de 15.000 dólares con el fin de utilizar el papel como soporte y medio de transmisión de información confidencial.

Author: "Xavier Ribas" Tags: "Big data, Ciberespionaje"
Send by mail Print  Save  Delicious 
Date: Saturday, 13 Jul 2013 08:19

Esta semana se ha hablado mucho del informe de auditoría forense de KPMG sobre el caso Pescanova y sus conclusiones invitan a analizar los hechos desde el punto de vista de un modelo teórico, como los casos que se estudian en las universidades y las escuelas de negocios, escapando a cualquier valoración que pueda comprometer la presunción de inocencia de los imputados.

Además de los sistemas de control clásicos y de los sucesivos códigos de buen gobierno, las empresas españolas llevan tres años intentando aplicar modelos de prevención y control de delitos que en muchos casos están inspirados en los sistemas de "corporate defense" anglosajones. Esta inspiración es debida a la falta de una descripción detallada del modelo de prevención y control en el artículo 31 bis del Código Penal creado en 2010, aunque este vacío será probablemente superado en la reforma propuesta en el anteproyecto de este año.

En estos tres años hemos comprobado las enormes dificultades de implantar un modelo de control en las grandes empresas y especialmente, conseguir que se implante una cultura de control permanente en todos los niveles de la organización.

Sin embargo, cuando uno lee las conclusiones del informe de KPMG se plantea si es más difícil y sostenible en la práctica aplicar un modelo de control o un modelo de elusión del control.

Nos hemos hartado de repetir que cualquier proyecto de compliance exige la implicación y el impulso de la alta dirección de la empresa, pero ¿qué pasa cuando la alta dirección tiene su propio proyecto de no compliance? Es evidente la inutilidad de unas medidas y un órgano de control cuya autoridad emana directamente de un órgano superior que niega ese control.

Siguiendo el análisis teórico, cabe identificar las medidas anticontrol que pueden extraerse del informe y valorar si son sostenibles en el tiempo. Las características que podrían incluirse en un modelo teórico de anticontrol son las siguientes:

  1. Planificación previa y continuada en el tiempo
  2. Implicación e impulso de la alta dirección de la empresa
  3. Acuerdo en la instrucción, ejecución y validación de las operaciones
  4. Neutralización de la segregación de tareas a través de operaciones concertadas
  5. Coordinación entre Presidencia, Dirección Financiera y Auditoría Interna
  6. Implicación del máximo responsable del órgano de control

Como era de suponer, los fundamentos de un modelo teórico de anticontrol son idénticos a los de un modelo de control, pero con una finalidad absolutamente distinta, que lo hace difícil de mantener en el tiempo, dada su fragilidad. Si difícil es la aplicación de un código ético, más difícil puede ser un código de silencio en una estructura sujeta a tensiones internas y externas.

Cualquier modelo teórico como el analizado tiene varios factores claros en contra: el mercado (puedes engañar a muchos durante poco tiempo) los accionistas, los auditores, y el regulador (puedes engañar a pocos durante mucho tiempo) y la tecnología, que registra toda la actividad de la empresa como si fuese la caja negra de un avión, almacena los mensajes de correo electrónico enviados con una creencia infundada de que se autodestruirán tras su lectura, detecta la inconsistencia de las operaciones contables y ayuda a que, a pesar de la complejidad del modelo, no se pueda engañar a muchos durante mucho tiempo.

Author: "Xavier Ribas" Tags: "Compliance, Corporate compliance, Corpor..."
Send by mail Print  Save  Delicious 
Date: Thursday, 04 Jul 2013 15:29

Son las 9:30 de la mañana. Rosa entra en la oficina con el iPhone en las manos y contestando a una pregunta que acaba de hacerle una amiga a través de Whatsapp. Rosa tiene 24 años, trabaja en una empresa de servicios y hace un uso intensivo de Whatsapp: 16 horas al día, 7 días a la semana, 365 días al año.

A Rosa le cuesta mucho concentrarse y su máximo nivel de rendimiento lo alcanza durante las cuatro primeras horas de la mañana, cuando todavía no acumula el cansancio del trabajo. Durante ese tiempo recibe una media de 70 mensajes de Whatsapp a la hora lo que produce un efecto de diente de sierra en su concentración y en su rendimiento.

Para que no se oiga el sonido de cada mensaje, Rosa tiene su iPhone en modo vibración, lo que produce un constante temblor en la mesa, a razón de unos 70 temblores a la hora. Cada temblor genera una curiosidad irrefrenable hacia el mensaje que acaba de llegar y ello hace que su nivel de concentración vuelva inmediatamente a cero.

Estas distracciones constantes influyen también en su tasa de error. Cada semana tiene algún incidente en las tareas repetitivas, sujetas a automatismos fatales. El error más habitual es enviar un presupuesto a un cliente con datos de otro cliente, lo cual molesta mucho a su jefe, que no entiende que se equivoque en algo tan importante.

En las reuniones con clientes Rosa pone el iPhone sobre la mesa y se aprovecha de que los mensajes de Whatsapp activan la pantalla, por lo que ha desarrollado la habilidad de leerlos de reojo mientras sigue la conversación. Por algo es una nativa digital, con multitarea de serie y full equip.

Sin embargo, de vez en cuando, hay un mensaje que tiene que responder. Ya que la interlocución con el cliente la lleva su jefe, no pasa nada si coge el iPhone y contesta. Hay cosas mucho más urgentes e importantes que el aburrido asunto que plantea el cliente. Comentar cotilleos, planificar el fin de semana, quedar para comer...

El único inconveniente son los temblores de la mesa. Rosa ya los ha incorporado a su umbral de consciencia y no los nota. Pero los clientes sí. Y cada vez que la mesa tiembla, a razón de 70 vibraciones por hora, miran su móvil por si acaban de recibir un mensaje.

Al acabar la reunión, el jefe de Rosa le pide un resumen de la reunión. Después recuerda que el último que le pidió tardó dos días en hacerlo y estaba incompleto debido a las constantes distracciones de Rosa. Rosa considera que su jefe es un poco cibergarrulo, porque teclea con dos dedos y no tiene Whatsapp, pero está encantada de que al final decida hacer él el resumen la reunión, porque en ese momento el iPhone le estaba quemando en las manos, con una pantalla llena de mensajes sin responder.

Rosa no es consciente de su adicción, ni del coste que su absentismo presencial supone para la empresa. Se trata de una empresa moderna, abierta a las redes sociales, con amplia experiencia en BYOD, satisfecha de las habilidades multitarea de sus jóvenes talentos y convencida de que cuando están en la empresa, están realmente en ella.

Author: "Xavier Ribas"
Send by mail Print  Save  Delicious 
Date: Saturday, 22 Jun 2013 07:35

Como complemento al artículo que publiqué la semana pasada sobre ciberespionaje, mi propuesta en este caso es relacionar algunos de los canales que podrían ser utilizados para acceder a nuestros datos y mensajes a través de Internet. Agradeceré cualquier aportación que ayude a ampliar la lista. El objetivo es que seamos todos conscientes de que la mayor parte de las herramientas que utilizamos para comunicarnos y para almacenar información pueden ser objeto de un acceso no autorizado.

  1. Interceptación de mensajes de correo electrónico en tránsito
  2. Software de rastreo y registro de mensajes
  3. Acceso a mensajes de correo electrónico tras petición al ISP
  4. Acuerdo con ISP para acceder directamente a los mensajes
  5. Puerta trasera en sistema operativo
  6. Puerta trasera en software de cifrado
  7. Software de cifrado con clave poco robusta por leyes de exportación
  8. Puerta trasera en firmware de router wifi
  9. Puerta trasera en firmware de centralita telefónica
  10. Puerta trasera en software de VoIP
  11. Puerta trasera en aplicaciones de ofimática y ERP
  12. Petición a proveedor de cloud computing o red social
  13. Acuerdo de acceso continuado con proveedor de cloud computing o red social
  14. Acceso directo al flujo de datos de la infraestructura nacional de fibra óptica

Adicionalmente cabe mencionar características técnicas actuales, futuras o presuntamente frustradas que pueden facilitar el acceso no autorizado:

  1. Protocolo IPv6
  2. Dirección MAC
  3. Número de serie del procesador
  4. Registro de redes y routers wifi
  5. Numero de serie de la aplicación utilizada oculto en el fichero enviado
  6. Geoetiquetado de contenidos
  7. Identificador único de usuario
  8. Publicidad basada en el comportamiento
  9. Madurez en la gestión de datos no estructurados (Big data)

ÚLTIMAS REFERENCIAS

Reino Unido almacena las comunicaciones de ciudadanos de todo el mundo tras pinchar los cables de fibra que recorren el país

Author: "Xavier Ribas" Tags: "Ciberespionaje"
Send by mail Print  Save  Delicious 
Next page
» You can also retrieve older items : Read
» © All content and copyrights belong to their respective authors.«
» © FeedShow - Online RSS Feeds Reader