Ayuda |
Mi cuenta (Identifíquese)
Acceder:
Registrarse:
¿Aún no tienes una cuenta? Crea una ahora y accede a tus listas favoritas, tu histórico de cuentas y muchas más cosas...
O BIEN
Continuar con Google
Continuar con Facebook
¿Aún no tienes una cuenta? Crea una ahora y accede a tus listas favoritas, tu histórico de cuentas y muchas más cosas...
La palabra Compliance o su traducción al castellano Cumplimiento Normativo adquirieron más importancia dentro de la vida de las organizaciones empresariales en España desde la reforma del Código Penal que se produjo a finales de 2010, por la que, por primera vez en nuestro país, se introducía la regulación de la responsabilidad penal de la persona jurídica. Además, la prensa diaria está salpicada de escándalos corporativos por fraudes, malas praxis o falta de control, por lo que los empresarios sienten realmente una preocupación por entender qué es esto del Compliance y si realmente les afecta. Y es que los asuntos relacionados con el Compliance tienen un gran impacto reputacional para las organizaciones, ya que está muy vinculado al cumplimiento de normas, pero también a la manera de operar en los mercados conforme a criterios éticos y de responsabilidad social corporativa. Por otro lado, vivimos un momento de auténtico frenesí normativo y a la vez de confusión en cuanto a los asuntos de Compliance, ya que se trata de una materia que surgió hace varios años en algunos sectores regulados como la banca, pero que se ha extendido a otros ámbitos, siendo tan necesaria como nueva en todo tipo de compañías, con independencia de su volumen y sector de actividad. Y es que todas las compañías necesitan identificar y gestionar sus riesgos normativos, mitigándolos en la medida de lo posible, a través de criterios de priorización y proporcionalidad. Pero además, en la función de Compliance no sólo se suelen englobar las leyes y directrices de derecho positivo, obligatorias de cumplir por los sujetos afectados (conocidos como hard law), sino que también se suelen englobar recomendaciones y estándares de voluntaria adopción (conocidos como soft law). En la presente obra, por un lado, se analizan las distintas normativas cuya gestión suele estar bajo competencias del área de Compliance (prevención de delitos, prevención de blanqueo de capitales, protección de datos, etc.) y por otro lado, se desarrollan las claves para gestionar los riesgos normativos en la empresa a través del diseño e implantación de un programa de Compliance. Página Sumario BLOQUE I COMPLIANCE, CONCEPTOS E INTRODUCCIÓN CAPÍTULO 1 INTRODUCCIÓN. ¿QUÉ ES EL COMPLIANCE? CLAVES PARA LA COMPRENSIÓN DE ESTA OBRA. GRANDES CONFUSIONES SOBRE COMPLIANCE. FUTURO DEL COMPLIANCE. LA ISO 19600 DE COMPLIANCE ............................................................................................ 33 CARLOS ALBERTO SÁIZ PEÑA 1. ¿Por qué una obra de Compliance ahora? Estructura de la obra y objetivos ....................................................................................................... 34 2. Historia del Compliance, dónde nace y cómo llega a las organizaciones en nuestros días .............................................................................. 37 3. Cinco grandes confusiones sobre Compliance ..................................... 39 3.1. Confusión núm. 1: «La función de Compliance en la Empresa debe dedicarse exclusivamente a la prevención de delitos del código penal para evitar la responsabilidad penal de persona jurídica» ........................................... 40 3.2. Confusión núm. 2: «En el Corporate Compliance de lo que se trata es de que la empresa establezca controles para evitar que se cometa cualquier delito dentro de la misma» ...................................................................... 41 3.3. Confusión núm. 3: «Basta con enviar el Código Ético que la empresa ha elaborado a todos los empleados para cumplir con las obligaciones de Compliance» .... 42 3.4. Confusión núm. 4: «El Compliance es lo mismo que la Asesoría Jurídica de una empresa, al final se trata de cumplir Leyes» ................................... 43 3.5. Confusión núm. 5: «Esto del Compliance es un invento, y aquí no funcionará» ..... 44 4. ¿Cuáles son las materias incluidas en Compliance? ............................. 45 14 Página Compliance____________________________________________________________ 4.1. Factores que influyen en el alcance de la función de Compliance en la empresa: sector, volumen, accionariado, Autoridades de Control y Regulador, empresas cotizada, etc. ............................................................................. 45 4.2. Compliance para evitar que la empresa cometa delitos y Compliance para evitar que la empresa sea víctima de delitos ............................................... 47 4.3. Materias incluidas en las competencias del Compliance Officer .................. 48 5. El futuro del Compliance y del Compliance Officer ................................ 49 5.1. Situación actual y previsiones .................................................................. 49 5.2. El futuro Compliance Officer .................................................................... 50 5.3. La ISO 19600 de Compliance y la Guía de AENOR de Prevención de Delitos ..................................................................................................... 52 CAPÍTULO 2 EL COMPLIANCE EN LAS ORGANIZACIONES. RELACIÓN ENTRE COMPLIANCE Y OTRAS ÁREAS DE LA EMPRESA. COMPLIANCE Y GOBIERNO CORPORATIVO ........................................................................ 55 FRANCISCO JAVIER RAMÍREZ ARBUÉS / ALFONSO DÍEZ DE REVENGA RUIZ 1. El Compliance en las organizaciones ...................................................... 55 1.1. A modo de introducción: la necesidad de cumplimiento normativo en las organizaciones ......................................................................................... 55 1.2. La función Compliance ........................................................................... 58 1.3. Ventajas y beneficios del Compliance en las organizaciones ........................ 60 1.4. Problemática de implantación del Compliance en las organizaciones .......... 63 1.5. La externalización de la función Compliance ........................................... 66 2. Relación entre Compliance y otras áreas de la empresa ........................... 69 2.1. Función Compliance vs. Compliance Officer ............................................. 69 2.2. Relación específica con otras áreas de la empresa ....................................... 70 2.3. Compliance en los grupos de empresa ........................................................ 76 3. Compliance y Gobierno Corporativo ...................................................... 78 4. Bibliografía .................................................................................................. 84 15 Página _____________________________________________________________ Sumario CAPÍTULO 3 LA FIGURA DEL COMPLIANCE OFFICER: CARACTERÍSTICAS Y RESPONSABILIDADES ................................................................................... 89 JAVIER PUYOL MONTERO 1. Introducción ................................................................................................ 89 2. Organización estructural del desempeño de la función de Compliance Officer ............................................................................................. 100 2.1. El Compliance en el organigrama ........................................................... 100 2.2. La externalización del Compliance ......................................................... 108 3. Las funciones, los derechos y las responsabilidades del Compliance Officer ...................................................................................................... 110 BLOQUE II MATERIAS DE COMPLIANCE CAPÍTULO 1 CORPORATE COMPLIANCE ..................................................................... 121 JAVIER PUYOL MONTERO 1. Responsabilidad penal de las personas jurídicas .............................. 121 1.1. Introducción .......................................................................................... 121 1.2. Algunas consideraciones sobre la responsabilidad penal las personas jurídicas ..... 131 2. Políticas anticorrupción ......................................................................... 153 MARÍA HERNÁNDEZ 2.1. Introducción .......................................................................................... 153 2.2. Marco legislativo ................................................................................... 155 2.2.1. The Foreign Corrupt Practices Act («FCPA») 1977 .............. 155 A) Disposiciones anticorrupción del FCPA ........................... 155 B) Disposiciones contables de la FCPA ................................. 159 C) Sanciones y penas establecidas en el FCPA ...................... 161 2.2.2. The UK bribery act 2010 («UKBA») ...................................... 162 2.3. Creación de políticas corporativas anticorrupción. Protocolos ................... 165 2.3.1. La Guía de Buenas Prácticas de la OCDE ............................ 168 2.4. Caso Morgan Stanley ............................................................................. 174 16 Página Compliance____________________________________________________________ 3. Prevención del blanqueo de capitales .................................................. 176 LUIS DANIEL OTERO SALGADO 3.1. Introducción .......................................................................................... 177 3.2. Conceptos básicos ................................................................................... 178 3.3. Principales Organismos ......................................................................... 183 3.3.1. Internacionales ...................................................................... 184 A) Organización de las Naciones Unidas (ONU) ................. 184 B) Grupo de Acción Financiera Internacional (GAFI-FATF) .... 185 3.3.2. Europeos ................................................................................. 186 3.3.3. Nacionales .............................................................................. 186 A) Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias .................................................... 186 B) Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias .................... 187 C) Secretaría de la Comisión ............................................... 188 D) Comité de Inteligencia Financiera ................................... 189 E) Otros Organismos e instituciones .................................... 190 3.4. Cuerpo Normativo ................................................................................. 191 3.4.1. Internacional .......................................................................... 191 3.4.2. Comunitario ........................................................................... 193 3.4.3. Nacional .................................................................................. 194 A) Código Penal ................................................................. 194 B) Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo (LPBC-FT) .............................................................. 195 C) Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo ................................................................ 196 D) Otras normas de interés .................................................. 197 3.5. Características del Sistema Preventivo Español ....................................... 197 3.5.1. Sujetos Obligados ................................................................... 198 3.5.2. Diligencia Debida ................................................................... 201 A) Obligaciones de Comunicación ....................................... 202 B) Medidas de control interno ............................................. 203 C) Régimen sancionador ..................................................... 206 17 Página _____________________________________________________________ Sumario CAPÍTULO 2 IT COMPLIANCE ........................................................................................... 209 1. Privacidad y protección de datos .......................................................... 211 ESMERALDA SARACÍBAR / CARLOS GONZÁLEZ 1.1. Introducción .......................................................................................... 211 1.2. Disposiciones analizadas ....................................................................... 213 1.3. Objeto y ámbito de aplicación ................................................................. 214 1.4. Análisis del ciclo de vida del tratamiento del dato personal y el cumplimiento de obligaciones asociadas ............................................................ 217 1.4.1. Notificación e inscripción registral de los Ficheros ............. 219 1.4.2. Calidad de los Datos .............................................................. 221 A) Finalidad ...................................................................... 221 B) Utilización no abusiva ................................................... 222 C) Exactitud ....................................................................... 222 D) Lealtad .......................................................................... 224 1.4.3. Deber de Información ........................................................... 224 1.4.4. Consentimiento del Afectado ............................................... 226 1.4.5. Deber de Secreto .................................................................... 228 1.4.6. Cesiones de Datos Personales ................................................ 228 1.4.7. Encargados del Tratamiento ................................................. 230 1.4.8. Prestaciones de Servicios sin acceso a datos ........................ 232 1.4.9. Tutela efectiva de los Derechos de los Interesados .............. 233 A) Derecho de Acceso ........................................................... 234 B) Derecho de Cancelación y Rectificación ............................ 236 C) Derecho de Oposición ...................................................... 237 1.4.10. Transferencia Internacional de Datos Personales ................ 238 1.4.11. Binding Corporate Rules (BCR´S) ....................................... 241 1.4.12. Seguridad de los Datos .......................................................... 241 A) Niveles de Seguridad ...................................................... 242 a) Nivel Básico ......................................................... 242 b) Nivel Medio ......................................................... 242 c) Nivel Alto ............................................................. 243 d) Supuestos Especiales .......................................... 243 B) Medidas de Seguridad .................................................... 243 a) Medidas de Seguridad comunes a todos los Ficheros ............................................................... 244 C) Medidas de Seguridad Aplicables a Ficheros Automatizados ....................................................................... 248 a) Medidas de Seguridad de Nivel Básico ............. 248 18 Página Compliance____________________________________________________________ b) Medidas de Seguridad de Nivel Medio ............. 253 c) Medidas de Seguridad de Nivel Alto ................. 256 D) Medidas de Seguridad Aplicables a Ficheros No Automatizados ............................................................................. 257 a) Medidas de Seguridad Nivel Básico .................. 257 b) Medidas de Seguridad Nivel Medio .................. 258 c) Medidas de Seguridad Nivel Alto ...................... 258 1.4.13. Aspectos prácticos .................................................................. 259 1.4.14. Los Códigos Tipo ................................................................... 261 1.4.15. Autoridades de Control ......................................................... 263 A) La Agencia Española de Protección de Datos ................... 264 1.4.16. Régimen Sancionador ........................................................... 266 A) Procedimiento sancionador ............................................. 269 B) Inmovilización de ficheros ............................................... 270 C) Aplicación de la potestad sancionadora ........................... 271 1.4.17. Estado de situación e implicaciones de la aprobación de la Propuesta de Reglamento Europeo de Protección de Datos Personales ............................................................................... 271 2. Seguridad de la información ................................................................. 277 GIANLUCA D´ANTONIO 2.1. La protección de activos de información corporativa ............................... 277 2.1.1. La función de Seguridad de la Información ....................... 278 2.1.2. Organigrama y estructura de la Función ............................. 278 2.2. Cómo diseñar una política de seguridad y sus normas internas .............. 279 2.3. Prevención en seguridad: concienciación y awareness .............................. 280 2.4. La implantación de servicios fundamentales de detección y reacción: correlación, monitorización, tracking y forensic .............................................. 280 2.5. Reporte hacia la dirección en base a riesgos, alineación con el negocio ...... 281 2.5.1. Gestión Estrategia de la Seguridad de la Información ....... 282 2.5.2. Coordinación de las Políticas de Seguridad de la Información ......................................................................................... 283 2.5.3. Seguridad de la Información, Outsourcing e implicaciones para la cadena de suministros ............................................... 284 2.5.4. Colaboración público privada ............................................... 284 3. Sociedad de la información: LSSI, cookies, redes sociales, retención de datos .............................................................................................. 285 HENRY VELÁSQUEZ YÁNEZ 3.1. Requisitos normativos en los servicios de la sociedad de la información .... 285 19 Página _____________________________________________________________ Sumario 3.1.1. Introducción, objeto y ámbito de aplicación ........................ 285 3.1.2. Principios aplicables a los Servicios de la Sociedad de la Información ........................................................................... 287 A) Deber de información general .......................................... 287 B) Deber de colaboración ..................................................... 289 C) Obligaciones de información sobre seguridad .................. 290 D) Responsabilidades aplicables a los prestadores de servicios .... 290 E) Compliance en las comunicaciones comerciales por vía electrónica ...................................................................... 293 a) Identificación del carácter comercial de la comunicación electrónica ...................................... 293 b) Prohibición de realizar comunicaciones comerciales no consentidas ................................... 295 F) Uso de Cookies ............................................................... 297 G) Contratación por vía electrónica ..................................... 304 a) Deber de información previa ............................. 305 b) El Deber de información posterior .................. 306 H) Colaboración de los registros de nombres de dominio ........ 307 I) Gestión de incidentes de ciberseguridad ........................... 307 J) Régimen de infracciones y sanciones .............................. 308 3.1.3. Obligaciones derivadas de la normativa de defensa de consumidores y usuarios .............................................................. 312 3.1.4. Aspectos de Compliance ante el uso de las redes sociales ..... 314 A) Protección del honor, la intimidad personal y familiar y la propia imagen ............................................................... 317 B) Protección de datos de carácter personal .......................... 318 C) Protección de la propiedad intelectual e industrial de los contenidos ..................................................................... 323 D) Protección de consumidores y usuarios ............................ 324 E) Riesgos asociados al uso de redes sociales en el entorno corporativo ................................................................. 324 3.2. Normativa de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones ........................................ 328 3.2.1. Introducción, objeto y ámbito de aplicación ........................ 328 3.2.2. Tipología de datos objeto de la conservación ...................... 329 3.2.3. Plazo de conservación ............................................................ 332 3.2.4. Cesión de datos ...................................................................... 332 3.2.5. Medidas de seguridad ............................................................ 333 3.2.6. Régimen de infracciones y sanciones ................................... 334 3.2.7. Servicios de telefonía mediante tarjetas de prepago ........... 334 20 Página Compliance____________________________________________________________ 4. Control empresarial del uso de los recursos tecnológicos corporativos ......................................................................................................... 336 ESMERALDA SARACÍBAR 4.1. Introducción .......................................................................................... 336 4.2. Control empresarial de los recursos tecnológicos corporativos .................... 338 4.3. Respeto de derechos fundamentales ........................................................ 344 4.3.1. Derecho a la Intimidad .......................................................... 345 4.3.2. Derecho a la Protección de Datos Personales ..................... 346 4.3.3. Derecho al Secreto de las Comunicaciones ........................ 348 4.3.4. Posibles consecuencias derivadas de la vulneración de estos derechos ............................................................................ 349 4.4. Análisis de requerimientos jurídicos jurisprudenciales ............................. 350 4.4.1. Legitimación .......................................................................... 350 4.4.2. Proporcionalidad ................................................................... 352 4.4.3. Transparencia y deber de información ................................ 353 4.5. Gestión del uso de los recursos tecnológicos corporativos (prevención, detección y reacción) y la evidencia electrónica ................................................ 357 4.6. Normativa interna reguladora del uso de los recursos tecnológicos corporativos .............................................................................................. 360 5. El fenómeno del BYOD. El uso de dispositivos personales con fines profesionales ................................................................................... 361 MARÍA LÓPEZ MUÑOZ 5.1. Antecedentes .......................................................................................... 361 5.2. Presente y futuro del uso profesional de dispositivos personales ................. 362 5.3. Ventajas y riesgos ................................................................................... 363 5.4. Obligaciones legales ............................................................................... 365 5.4.1. Consentimiento para la integración .................................... 366 5.4.2. Garantías en la monitorización ............................................ 366 A) Control de medios propiedad de la empresa ...................... 367 B) Control de medios propiedad del empleado ....................... 367 5.4.3. Seguridad de la información ................................................ 369 A) Medidas establecidas en la normativa de protección de datos ... 370 5.4.4. Deber de secreto y confidencialidad ..................................... 374 5.4.5. Responsabilidad penal de la persona jurídica ..................... 374 5.5. Implantación del modelo BYOD .............................................................. 375 5.5.1. Estrategia ................................................................................ 376 5.5.2. Marco de control .................................................................... 376 21 Página _____________________________________________________________ Sumario A) Análisis de riesgos .......................................................... 376 B) Política de uso y Acuerdo con el empleado ........................ 377 C) Formación .................................................................... 380 5.5.3. Implementación técnica ........................................................ 381 5.6. Conclusiones ......................................................................................... 383 6. Propiedad intelectual y protección de activos intangibles ........... 383 JAVIER PINILLOS 6.1. Entorno básico de Propiedad Intelectual .................................................. 384 6.1.1. Protección de Intangibles vs. protección de Tangibles ...... 385 6.1.2. Registrar y proteger la Propiedad Intelectual ...................... 386 A) Patentes ......................................................................... 387 B) Marcas .......................................................................... 387 C) Diseño Industrial .......................................................... 388 D) Indicación Geográfica .................................................... 389 E) Derechos de Autor y Derechos Conexos ............................. 389 F) Obtenciones Vegetales .................................................... 390 G) Competencia Desleal ....................................................... 391 a) Caso Práctico de Competencia Desleal ............. 393 b) La importancia del etiquetado para evitar la Competencia desleal .......................................... 394 H) Secretos Industriales ....................................................... 395 6.1.3. Organismos Nacionales y Supranacionales de Propiedad Intelectual ............................................................................... 396 6.1.4. Observancia de los Derechos de Propiedad Intelectual ...... 396 6.1.5. Vías de reclamo ...................................................................... 397 A) La figura del Escrow en la defensa de la Propiedad Intelectual ............................................................................... 398 6.2. Claves de Compliance para proteger la Propiedad Intelectual en la empresa ..... 398 6.2.1. Delitos contra la Propiedad Intelectual en el ámbito físico y virtual. Responsabilidad penal de la empresa ................... 398 6.2.2. Descargas ilegales dentro de la empresa ............................ 400 6.2.3. Medidas de seguridad del fabricante (Cracks, números de serie, Jailbreaking) ................................................................. 403 6.2.4. Auditoría Informática. Software Asset Management ......... 405 A) Auditoría Informática ................................................... 405 B) Procedimiento SAM ....................................................... 406 a) Caso práctico: Procedimiento SAM de una empresa ............................................................ 406 6.2.5. Robo de información. Benchmarking vs. copia. Periciales forenses ................................................................................... 419 22 Página Compliance____________________________________________________________ A) Introducción al robo de información ................................ 419 B) Benchmarking vs. Copia ................................................ 420 C) Robo de información y divulgación de secretos ................ 421 6.2.6. Periciales informáticas ........................................................... 426 A) Objeto de las Periciales Informáticas ............................... 426 B) Contexto legal del perito ................................................. 426 C) Áreas de actuación de los peritos informáticos dentro del ámbito de la propiedad intelectual .................................. 427 D) Designación del perito .................................................... 427 E) Valoración ..................................................................... 428 F) Dictamen (secciones) ....................................................... 429 G) Caso práctico: robo de Propiedad Intelectual .................... 429 a) Enunciado Caso Práctico ................................... 430 b) Aspectos legales .................................................. 430 c) Procedimiento de recopilación de pruebas ...... 431 d) Análisis forense ................................................... 433 7. Firma electrónica ..................................................................................... 434 MANUEL ROJAS GUERRERO 7.1. Introducción y conceptos sobre firma electrónica ....................................... 434 7.1.1. Definición de conceptos ........................................................ 434 7.1.2. La infraestructura de clave pública (PKI) y su implantación en España ....................................................................... 439 7.2. Reflejo normativo actual y proyectos futuros ........................................... 443 7.2.1. Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica ..................... 443 7.2.2. Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial ...... 443 7.2.3. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal ............................................. 444 7.2.4. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos ...................................... 444 7.2.5. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico ........................... 444 7.2.6. Ley 59/2003, de 19 de diciembre, de firma electrónica ..... 445 7.2.7. Reglamento núm. 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, para la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior ..................................... 446 7.2.8. Buenas prácticas y estándares ............................................... 447 7.3. Análisis de aplicaciones de la firma electrónica ...................................... 449 23 Página _____________________________________________________________ Sumario 7.3.1. Uso de mensajería segura ..................................................... 449 7.3.2. Contratos electrónicos ........................................................... 451 7.3.3. Factura electrónica ................................................................ 452 7.3.4. Contratación pública ............................................................. 453 7.3.5. Otras aplicaciones .................................................................. 454 A) Gestión centralizada de certificados digitales ................... 455 B) Notificaciones fehacientes ................................................ 455 C) Propiedad intelectual ..................................................... 455 D) Registro de eventos seguros o logging seguro .................... 456 7.4. Conclusiones ......................................................................................... 456 8. Controles para cumplir con Estándares (PCI, ISO, etc.) y SLA en contratos .................................................................................................... 457 JULIANA HEITOR 8.1. Introducción .......................................................................................... 457 8.2. Estándares ............................................................................................ 458 8.2.1. Estándares: concepto y clasificación .................................... 458 8.2.2. Organismos de Normalización: quien desarrolla los Estándares ........................................................................................ 462 8.2.3. Implantación y Cumplimiento de los Estándares ................ 463 A) Valoración previa e implantación del estándar ................ 463 B) Cumplimiento continuado ............................................. 463 8.2.4. Evaluación de Conformidad con Estándares ...................... 465 8.2.5. Los Beneficios de los Estándares .......................................... 467 8.3. Service Level Agreement (SLA) ............................................................... 471 8.3.1. SLA: definición ..................................................................... 471 8.3.2. Contenido básico de un SLA ................................................. 471 8.3.3. La importancia de las SLAs ................................................... 474 8.3.4. Cumplimiento y consecuencias del no cumplimiento con el SLA ...................................................................................... 474 8.3.5. La función de Compliance frente a los SLAs .......................... 476 CAPÍTULO 3 COMPLIANCE EN LA NORMATIVA SECTORIAL ................................... 481 JUAN CALDERÓN MARTÍN 1. Introducción .............................................................................................. 481 1.1. La importancia del Compliance en los sectores regulados ......................... 481 1.2. Un Compliance globalizado: la necesidad de un estudio transversal ......... 482 24 Página Compliance____________________________________________________________ 2. Normativa del Sector Financiero ........................................................... 483 2.1. FACTA: Reportando información crediticia sobre nacionales norteamericanos .................................................................................................... 483 2.2. Ley Sarbanes-Oxley: El control de las empresas que cotizan en Estados Unidos .............................................................................................. 484 2.3. MIFID: Regulación europea de mercados de instrumentos financieros ..... 485 2.4. SCIIF: Las pautas para el establecimiento de un sistema de control de la información financiera .......................................................................... 487 2.5. Los acuerdos de Basilea: La propuesta de regulación bancaria del G-20 ..... 488 2.6. El abuso de mercado: Una regulación para la protección del inversor ...... 490 3. Normativa del Sector Asegurador ......................................................... 492 3.1. Solvencia II: Garantías de Solvencia de las entidades aseguradoras ......... 492 3.2. Directiva de Mediación de Seguros: Reglas para los intermediarios del mercado asegurador .................................................................................... 493 4. Normativa del Sector Sanitario y Farmacéutico .................................. 495 4.1. HIPAA: Obligaciones en el mercado sanitario estadounidense ................. 495 4.2. Código de Buenas Prácticas de la industria Farmacéutica: el cumplimiento voluntario como valor añadido .............................................................. 496 4.3. FCPA: Controles frente a prácticas de corrupción en el seno del sector sanitario. .......................................................................................... 497 4.4. Directiva de regulación de los ensayos clínicos: buenas prácticas en la realización de ensayos clínicos de medicamentos de uso humano ................... 498 4.5. La normativa de etiquetado de medicamentos de uso humano ................. 500 CAPÍTULO 4 LA SITUACIÓN DEL COMPLIANCE EN CHILE. LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS EN CHILE ...................... 503 ANDRÉS PUMARINO MENDOZA 1. Introducción .............................................................................................. 503 2. Breve Análisis de la Ley de Responsabilidad Penal de las Personas Jurídicas en Chile (Ley 20.393) ....................................................... 505 3. Comentarios finales ................................................................................. 517 25 Página _____________________________________________________________ Sumario BLOQUE III FASES DE IMPLANTACIÓN DE UN PROGRAMA DE COMPLIANCE CAPÍTULO 1 DEFINICIÓN DEL ÁMBITO, MATERIAS INCLUIDAS Y ALCANCE DEL COMPLIANCE PROGRAMA ................................................................ 525 JAVIER GÓMEZ GÓMEZ CAPÍTULO 2 DIAGNÓSTICO Y MAPA DE RIESGOS DE COMPLIANCE .................... 533 MARTA ESCUDERO 1. Corporate Defense. Matriz de aplicabilidad ............................................ 536 1.1. Identificación de los riesgos ................................................................... 536 1.2. Análisis de riesgos .................................................................................. 538 1.2.1. Factores a tener en cuenta en la valoración de la probabilidad .................................................................................... 538 1.2.2. Análisis de los impactos ......................................................... 542 1.3. Evaluación de riesgos ............................................................................. 548 2. Otras leyes ................................................................................................. 550 2.1. Normativa de protección de datos de carácter personal ............................. 551 2.1.1. Identificación de los riesgos .................................................. 552 2.1.2. Análisis de riesgos ................................................................... 552 2.1.3. Evaluación de los riesgos ....................................................... 555 2.2. Normativa de riesgos laborales ............................................................... 556 2.2.1. Identificación de los riesgos .................................................. 557 2.2.2. Análisis de riesgos .................................................................. 557 2.2.3. Evaluación de los riesgos ....................................................... 559 2.3. Normativa de blanqueo de capitales ........................................................ 559 2.3.1. Identificación de los riesgos .................................................. 560 2.3.2. Análisis de riesgos .................................................................. 560 2.3.3. Evaluación de los riesgos ....................................................... 562 3. Normativa interna y estándares ............................................................. 562 26 Página Compliance____________________________________________________________ CAPÍTULO 3 PLAN DE ACCIÓN E IMPLANTACIÓN DEL COMPLIANCE PROGRAM. PLAN DE PREVENCIÓN, DETECCIÓN Y REACCIÓN ........................... 565 PAULA HERNÁNDEZ COBO 1. Documentación ........................................................................................ 566 1.1. Código ético o código de conducta ........................................................... 567 1.1.1. Antecedentes .......................................................................... 567 1.1.2. Objetivo .................................................................................. 567 1.1.3. Contenidos ............................................................................. 568 1.2. Procedimientos ....................................................................................... 571 1.2.1. Objetivo .................................................................................. 572 1.2.2. Contenidos ............................................................................ 572 A) Protocolo de organización y gestión de la prevención de delitos ............................................................................ 573 B) Procedimientos en el ámbito de Protección de Datos y Tecnología ............................................................... 574 C) Procedimientos en el ámbito del Gobierno Corporativo ...... 575 D) Procedimientos en el ámbito de Recursos Humanos .......... 576 E) Procedimientos en el ámbito financiero ............................ 577 F) Procedimientos en el ámbito productivo ........................... 577 G) Procedimientos en el ámbito comercial ............................. 577 H) Procedimientos en el ámbito logístico ............................... 578 1.3. Comunicación efectiva y evidenciada a las partes implicadas: empleados, proveedores y clientes/consumidores/usuarios web .................................... 578 1.3.1. Objetivo .................................................................................. 578 1.3.2. Comunicación a empleados .................................................. 579 A) Especial referencia a la comunicación del Código de Conducta a empleados .......................................................... 580 1.3.3. Comunicación a proveedores ................................................ 582 1.3.4. Comunicación a clientes/consumidores/usuarios web ....... 583 2. Controles Técnicos en Sistemas: Monitorización, alertas, etc. ....... 584 LUIS POSADO 2.1. Introducción .......................................................................................... 584 2.2. Controles Técnicos de Sistemas ............................................................... 585 2.2.1. Inventario de Activos de Información .................................. 587 2.2.2. Data leak prevention. Mecanismos de prevención de fuga de información ............................................................................ 588 27 Página _____________________________________________________________ Sumario 2.2.3. Medidas de control de acceso físicas .................................... 590 A) Ubicación y protección física de los equipos y servidores .... 592 B) Sistemas biométricos de identificación .............................. 593 2.2.4. Medidas de control de acceso lógico .................................... 595 2.2.5. IDS/IPS.- Sistemas de Detección de Intrusiones ................. 597 2.2.6. e-Discovery/forensic readiness scheme .......................................... 598 2.2.7. Vigilancia Digital ................................................................... 602 2.2.8. Monitorización: Herramientas de correlación y gestión de logs ......................................................................................... 604 2.2.9. DRM/IRM .............................................................................. 607 2.2.10. Otras medidas de control ..................................................... 609 A) Tercero de confianza ...................................................... 609 B) Sistemas de detección de fraude sobre los sistemas informáticos de soporte a la información financiera .................... 609 C) Segregación de Funciones y control de accesos .................. 610 D) Soluciones de backup ...................................................... 610 3. Canal de Denuncias ................................................................................. 610 PAULA ARMENTIA MORILLAS 3.1. Necesidad de implantar un Sistema de Denuncias Internas y los beneficios que reporta ........................................................................................... 610 3.2. Sistema de Denuncias Internas .............................................................. 613 3.2.1. Objeto y ámbito de aplicación .............................................. 613 A) Objeto ........................................................................... 613 B) Ámbito de aplicación ..................................................... 614 3.2.2. Características mínimas que debe cumplir el Sistema de Denuncias Internas ................................................................ 615 3.2.3. Figuras implicadas en un Canal de Denuncias Internas y principales funciones ............................................................ 620 3.2.4. Confidencialidad .................................................................. 622 A) Sistema anónimo de denuncias vs. sistema nominativo de denuncias ..................................................................... 623 B) Sistemas técnicos que ayudan a garantizar la confidencialidad de la información .................................................. 625 3.2.5. Procedimiento del Canal de Denuncias Internas ................ 627 3.2.6. Formas de Gestión del Canal de Denuncias: Interna o Externa ........................................................................................ 627 3.2.7. Deberes y Derechos de las Partes .......................................... 628 A) Deber de información ..................................................... 628 a) Al denunciante ................................................... 628 28 Página Compliance____________________________________________________________ b) Al denunciado y a terceras partes implicadas (afectados, testigos, etc.) .................................... 630 c) Excepción a la obligación de informar en el plazo máximo de tres meses .............................. 631 B) Deber de calidad de los datos. Plazos de conservación de la información relacionada con la denuncia ...................... 633 C) Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) ................................................................. 635 D) Medidas de seguridad a implantar en los Canales de Denuncia Interna .............................................................. 636 3.3. Gestión del Canal de Denuncias Internas en un Grupo de Empresas ...... 639 3.4. Posibles riesgos dependiendo del incumplimiento detectado ....................... 641 CAPÍTULO 4 MÉTRICAS, INDICADORES Y CUADRO DE MANDOS DEL COMPLIANCE .......................................................................................................... 643 ÁLVARO ECIJA BERNAL 1. Introducción ............................................................................................. 643 2. Definiciones .............................................................................................. 644 3. Objeto de las métricas y cuadro de mandos de Compliance ........... 644 4. Tipos de métricas e indicadores ........................................................... 645 5. Interpretación de los indicadores y métricas ..................................... 645 6. El cuadro de mandos .............................................................................. 646 7. La metodología de creación de indicadores ....................................... 647 8. Desarrollo científico de indicadores y métricas .................................. 647 9. Desarrollo no científico de indicadores y métricas ............................ 647 10. Las dimensiones a recoger en un sistema de Compliance ................... 647 11. Construcción del sistema de Compliance ........................................... 648 12. La importancia de probar o demostrar un sistema de Compliance ..... 653 29 Página _____________________________________________________________ Sumario BLOQUE IV COMPLIANCE REACTIVO: INVESTIGACIÓN Y DEFENSA JURÍDICA CAPÍTULO 1 RECEPCIÓN DE DENUNCIAS, INVESTIGACIÓN INTERNA Y OBTENCIÓN DE EVIDENCIAS ............................................................. 657 GUSTAVO RODRÍGUEZ 1. Introducción .............................................................................................. 657 2. Recepción y manejo de denuncias ......................................................... 658 3. Las características de autonomía e independencia ............................ 661 4. Métodos para la recepción de denuncias ............................................. 662 5. ¿Cómo se gestiona una denuncia? ........................................................ 664 6. La investigación de la denuncia y la obtención de evidencias ......... 669 CAPÍTULO 2 DEFENSA JURÍDICA DE LA COMPAÑÍA EN PROCEDIMIENTOS ADMINISTRATIVOS ANTE LAS AUTORIDADES DE CONTROL ........ 675 FRANCISCO JAVIER CARBAYO 1. El Procedimiento administrativo como riesgo de Compliance ........ 675 1.1. Elementos proactivos en la defensa jurídica ante procedimientos administrativos ... 675 1.2. Identificación del riesgo, en base al impacto posible y su probabilidad ....... 679 1.3. Las diligencias o actuaciones previas como factor crítico para elevar o disminuir el riesgo de resultado negativo ..................................................... 682 2. Defensa (y ataque) ante el Procedimiento administrativo ............... 684 2.1. Definición de la estrategia y previsión de la Vía Contenciosa ............ 684 2.2. Los pasos habituales según la Normativa, directrices para afrontarlas .... 688 2.3. Alegaciones, dos and don?ts ................................................................... 696 2.4. Estrategia de comunicación con la Autoridad de Control durante el Procedimiento ................................................................................ 698 3. ¿Y después del Procedimiento administrativo? .................................. 699 3.1. Oportunidad de recurrir desde diferentes puntos de vista ........................ 699 3.2. Revisión de lo ocurrido como tarea del Sistema de Compliance ................. 700
