Código Penal y control interno empresarial
El 23 de diciembre entró en vigor el nuevo Código Penal, caracterizado por una creciente criminalización de las conductas cometidas en el ámbito empresarial. A partir de ahora, una empresa puede ser penalmente responsable, no solo de los delitos cometidos por sus representantes legales o administradores de hecho o de derecho, sino también por sus empleados como consecuencia de no haberse ejercido sobre ellos el debido control.
Nuestro ordenamiento jurídico ha seguido la tendencia de los países de ámbito anglosajón -Inglaterra y Estados Unidos-, y de algunos países europeos como Holanda, Francia, Italia o Bélgica, en los que ya se prevé la posibilidad de que una persona jurídica sea responsable de determinados delitos.
La imputación de responsabilidad a las empresas podrá tener lugar por una doble vía, por "delitos cometidos por personas que ostenten su representación legal y administradores de hecho o de derecho"; o "por delitos cometidos por personal sometido a la autoridad de los anteriores, propiciados por no haber ejercido el adecuado control". Esta última vía expande la culpa in vigilando, propia del ámbito civil, al ámbito penal.
Por otra parte, hay que tener en cuenta que solo se podrá condenar a la empresa en aquellos delitos en los que se contemple esta posibilidad de manera expresa. En concreto, el catálogo de delitos abarca más de treinta formas delictivas. Se trataría, entre otros, de delitos contra el patrimonio y el orden socioeconómico, -estafa, insolvencias punibles, delitos contra la propiedad intelectual e industrial etc.-; delitos contra la Hacienda Pública y la Seguridad Social; delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio, -descubrimiento y revelación de secretos-; delitos contra los trabajadores; delitos relativos a la protección del medio ambiente, etc.
La principal duda que nos planteamos es cómo dotar de contenido al concepto jurídico indeterminado debido control. Para ello, las empresas deberán diseñar un plan de prevención, que en los ordenamientos jurídicos de ámbito anglosajón se denomina corporate compliance.
Estos mecanismos de control interno no son una novedad, muchas empresas y entidades de manera voluntaria han desarrollado e implantado sistemas de control y gestión de su información, basados en estándares internacionales como puede ser la norma ISO 27001. Esta norma contempla una serie de controles, -desarrollados en el Código de Buenas Prácticas para la Gestión de la Seguridad, la ISO 27002-, relativos a la organización interna; a las relaciones con terceros; a la gestión de sus activos de información; a los recursos humanos; a la seguridad física y ambiental; a la gestión de sus comunicaciones; al control de los accesos a su red; a la gestión de sus incidentes; a la gestión de la continuidad del negocio y al cumplimiento de los requisitos legales.
Los controles serán implantados una vez que previamente se haya realizado un análisis de riesgos, mediante el cual, entre otros muchos aspectos detectaríamos los posibles ilícitos penales que podrían cometerse. Tras el análisis de riesgos, llevaríamos a cabo un plan de tratamiento de riesgos basado en los controles de la norma ISO 27002. Esto, junto con acciones de formación para directivos y administradores y acciones de concienciación y sensibilización para empleados. Este proceso podría verse culminado por una certificación externa por organismos acreditados como puede ser Aenor o Applus.
Los mecanismos de control y gestión de la información de una empresa son necesarios no solo por las responsabilidades penales en las que pueda incurrir, sino por su propio beneficio. A título de ejemplo, una empresa debería establecer controles de acceso a la red de sus empleados en función de la regla del mínimo privilegio y necesidad de conocer. No es de recibo que toda la organización pueda acceder a toda la información.
Antes de la entrada en vigor del nuevo Código Penal, las consecuencias derivadas, de una política de control de accesos, -siguiendo el ejemplo anterior-, podía ser que la información corporativa fuese conocida por la competencia, o perder un cliente por la revelación de información. Ahora podría traducirse en responsabilidad penal para la empresa en base al artículo 197. 3 del nuevo Código Penal: "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo será castigado con ".
En consecuencia, a partir de ahora, ya sea por necesidades de negocio o responsabilidades penales cualquier empresa, grande o pequeña deberá establecer un marco de control y gestión de sus activos de información.
Olga María Martínez. Gerente de Applicalia