Protección de Datos Personales: Crear Conciencia

 Para cualquier Delegado de Protección de datos dentro de una organización es sumamente importante generar conciencia de la importancia del respeto a los derechos y libertades de los interesados. Cuando en una empresa se designa un delegado de protección de datos o se crea un nuevo proyecto aprobado por el organo de gobierno y está listo para su lanzamiento, es fundamental crear conciencia de la importancia sobre el cumplimiento de la normativa de Protección de Datos personales.

Un buen DPO (Data Protection Officer) tiene que tomar las riendas para concientizar a todas las partes interesadas dentro de una organización con el fin de mitigar riesgos de incumplimiento cuando datos personales son tratados. También es importante designar responsabilidades y roles para todas los stakeholders, todo en concordancia con el artículo 39 (1) (b) del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, "GDPR").

Entonces, ¿cuál es el mejor enfoque para llevar a cabo esta concientización? Lo primero es asegurarse de que tu nombre y tu rol son bien conocidos en la organización. Debes hacerte conocer y hacerle sentir a las partes interesadas que eres contactable y cercano. Debes ser un líder en protección de datos personales y no dudar en enaltecer la importancia del cumplimiento de las normativas de privacidad para proteger las libertades y derechos fundamentales para los individuos. A esto es fundamental agregarle también la importancia que esto tiene para el éxito, progreso y sustentabilidad de la organización o cualquier proyecto. 

La asignación de responsabilidades a los empleados debe ser de forma muy clara y de facil entendimiento. Por ejemplo, es interesante tener una reunión con las personas involucradas en actividades de tratamiento de datos personales para crearles conciencia de esa responsabilidad proactiva tan importante mediante una guía de buenas prácticas. Puedes brindarles documentos de apoyo y de consulta como unas directrices y borradores para hacer que las personas entiendan los principios de la protección de datos personales que empoderará al equipo y amplificará la productividad de tu trabajo.

Pero esto no solo se queda al comienzo de tu actividad como DPO, sino que debes monitorizar esta concienciación periódicamente y continuar con esa mejora continua que caracteriza a cualquier sistema de gestión estandarizado. Debes ser un DPO presente con los grupos de interés y con los interesados, cuanto más los conoces y te conocen más podrás tener la percepción completa de cómo funciona el negocio y cómo se protegen a los interesados. 

Compliance como forma de vida

 Para introducirse en el mundo del Compliance es necesario como punto de partida entender su etimología. Es bien sabido que Compliance es una palabra del idioma inglés que su traducción al español es "Cumplimiento" o "Conformidad". De ahí se puede inferir que su espíritu es la expectativa de cumplir con ciertos preceptos o normas. 

Este cumplimiento se da meramente por el hecho de existir la norma o precepto que nos obliga o nos compromete. Asímismo, se puede adquirir como una forma de entender la vida misma. Si bien, a la hora de bajar a tierra esta funcíón empresarial, debemos explicar a los directivos de una empresa qué beneficios obtendrán si se invierten recursos en ella, no debiera ser motivo prioritario los resultados que se obtendran por el hecho de cumplir con normas obligatorias, sean de índole legal o moral, asumidas voluntariamente o impuestas coercitivamente. Algo así como plantea la ética Kantiana, el Compliance debe existir simplemente por el famoso "deber ser".

Pero más allá de está idealización, existen también los resultados o fines que se pueden obtener mediante el cumplimiento del deber ser. Es esto lo que da valor cuando intentamos vender su importancia. 

Compliance en el mundo empresarial se podría denominar como una función que pretende que una organización cumpla con normativas tanto internas como externas. Pero también se puede entender como una forma de vivir la vida.

Excepciones del artículo 49 del RGPD

Aplicación restrictiva de las excepciones

Las transferencias internacionales de datos están reguladas en el capítulo V del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo - de 27 de abril de 2016, en adelante "RGPD".

El artículo 49 regula las excepciones de situaciones específicas en donde no existen decisiones de adecuación ni garantías adecuadas para la transferencia internacional de datos.

Es importante destacar que para la aplicación del artículo 49, el exportador de datos que transfiere a terceros países deberá cumplir con las demás disposiciones del RGPD. Es decir, que cada tratamiento de datos tiene que estar en conformidad con el RGPD, en particular con los artículos 5 y 6 que establecen los principios y licitud del tratamiento.

Debe fundamentarse en una base jurídica junto con la conformidad con las disposiciones del Capítulo V sobre transferencias internacionales de datos.

El artículo 49 establece que en ausencia de una decisión de adecuación o de garantías adecuadas, una transferencia o una serie de transferencias de datos personales a un tercer país o a una organización internacional solo se permitirá con ciertas condiciones. Asimismo, el artículo 44 expresa la necesidad de garantizar el nivel de protección que ofrece el RGPD, por ello, las excepciones no pueden menoscabar los derechos fundamentales.

Para transferir internacionalmente datos fuera de la UE primero hay que hallar la posibilidad de utilizar los mecanismos de los artículos 45 y 46 del RGPD, y solo en su defecto, utilizar las excepciones del artículo 49.

Se tratan de una excepción al principio general de que los datos personales solo podrán transferirse a terceros estados cuando se garantice un nivel de protección adecuado en el tercer país o cuando hayan garantías apropiadas y los interesados estén protegidos con derechos efectivos y exigibles. Deben interpretarse restrictivamente de forma que la excepción no se convierta en regla, por ello el artículo 49 establece que estas excepciones están previstas para "situaciones específicas".

El Tribunal de Justicia de la Unión Europea ha sostenido en diferentes ocasiones que la protección del derecho fundamental al respeto de la vida privada e intimidad exige que las excepciones y limitaciones de la protección de datos personales deben aplicarse exclusivamente si es estrictamente necesario.

Estas excepciones generan un aumento de riesgo para los derechos y libertades de los interesados, por lo que los exportadores de datos deberán ofrecer soluciones a los interesados que sirvan para dar seguridad de que sus derechos y garantías fundamentales se respeten. Además, los exportadores deben saber que, como establece el artículo 49.5, en ausencia de dedición de adecuación el Derecho de la Unión o de los Estados miembros podrá, por razones de interés público, limitar expresamente las transferencias de categorías espécificas de datos personales a un tercer país o a una organización internacional.

Es importante destacar que el artículo 48 establece que las decisiones de autoridades u órganos jurisdiccionales de terceros países no constituyen motivos legítimos para las transferencias internacionales de datos, ya que estas deben ser conforme al capítulo V del RGPD.

Finalmente es necesario destacar la limitación a autoridades públicas en ampararse en las excepciones a) a c) debido al desequilibrio de poder entre las partes (artículo 49.3).

Transferencias ocasionales y no repetitivas

El artículo 41 (1), párrafo segundo del RGPD establece que "Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si:

1. No es repetitiva.

2. Afecta solo a un número limitado de interesados.

3. Es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado.

4. El responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales."

Este artículo se relaciona con el considerando 111 del RGPD que se refiere a la posibilidad de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores.

El Comité en lo relativo a lo "ocasional" o "no repetitivo" considera que tales transferencias pueden producirse más de una vez, pero no de forma regular y se producen por fuera del desarrollo normal de las operaciones, en intervalos de tiempo arbitrarios y en circunstancias aleatorias y desconocidas.

Pero esta interpretación ha generado controversias, como máximo exponente en la Misión de Estados Unidos ante la Unión Europea. Se sostiene que puede generar dificultades en la transferencia desde estados miembros de la UE con fines de protección al público como los siguientes ejemplos:

a) Aquellas que rastrean enfermedades contagiosas y ayudan a garantizar que los medicamentos están debidamente respaldados por ensayos clínicos.

b) Las que garantizan que los productos de consumo cumplen con los estándares de seguridad.

c) Transferencias que supervisan a los participantes del mercado financiero y mantener la estabilidad de los mercados.

d) Aquellas que regulan a profesionales y empresas.

e) Las que protegen a las personas contra fraude y del abuso o prácticas engañosas.

f) Las que facilitan la aplicación de las leyes de competencia.

g) Transferencias que facilitan la aplicación de las leyes que protegen la propia privacidad.

Además, la Secretaría General de las Naciones Unidas citó ejemplos prácticos de transferencias que se podrían ver inadecuadas con la interpretación del Comité, como por ejemplo las transferencias relativas a refugiados, a las migraciones, a la investigación del Cáncer y a la celebración de contratos relativos a servicios tecnológicos para la misma Secretaría.

Para los Estados Unidos el último párrafo del artículo 49 contiene el término "no repetitivo", este solo se aplica a dicho párrafo. En cuanto al considerando 111 no se considera que sea una base suficiente concluyente de que todas las transferencias del artículo 49 deban ser ocasionales.

El Comité ante la polémica reconoció que el considerando 111 aplica a la distinción entre las excepciones, aquellas que se basan en la ejecución de un contrato o la defensa de las reclamaciones, es decir las letras b), c), y e) deben ser transferencias ocasionales. En cambio, las letras a), d), f) y g) no aplica la característica de transferencias ocasionales, son aquellas excepciones que se basan en un consentimiento explícito, razones importantes de interés público, interés vital y en la realización a partir de un registro público.

Finalmente, se argumenta por parte del Comité que estas disposiciones no contradigan a la propia naturaleza de las excepciones a la norma de que las transferencias internacionales de datos a un tercer país deben ser basadas en un nivel adecuado de protección de datos de dicho país, u ofrezcan garantías adecuadas para los interesados.

Criterio de necesidad

Este criterio de necesidad significa que la transferencia de datos debe ser necesaria para un fin determinado. Este aplica a las excepciones b) a f), salvo a aquellas con el consentimiento expreso o desde un registro público. Esto se relaciona con el principio de limitación de la finalidad que exige una relación estrecha y sustancial entre los datos y el fin. Para las letras b) y c) se requiere una relación estrecha y sustancial entre los datos y el objeto del contrato.

Introducción al Compliance

Las empresas de nuestra contemporaneidad se ven inmiscuidas en un control mucho más áspero que décadas atrás. Por ello es necesario establecer un mecanismo de cumplimiento normativo para evitar sanciones y/o daños a la reputación. De este modo nace el Compliance, que es la función de cumplimiento de normas externas e internas de una empresa. 

Pero no se trata solo de cumplir con las normas que se le imponen a la entidad, sino cumplir aquellas que se autoimpone como un conjunto de valores y principios elegidos voluntariamente. Es que en estos nuevos tiempos las empresas comienzan a tener la llamada cultura ética corporativa. 

Esta cultura ética empresarial nace debido a los escándalos que han habido en el transcurso del siglo pasado y principios de este. Frente a la mayor presión regulatoria estatal, grupos empresariales han quedado al descubierto por malas prácticas o ilegalidades y ha sido su ruina en muchos casos o simplemente un costo muy importante. Sin embargo, la esencia de esta nueva cultura no se basa en las consecuencias negativas que puede tener el incumplimiento de presiones normativas estatales, sino que se trata de que una empresa tiene un compromiso social además de generar utilidades. Son nuevos agentes de cambio que se preocupan no solo por su beneficio propio sino por el de los stakeholders o grupos de interés. 

Si bien el gasto económico que genera un sistema de gestión de cumplimiento puede parecer desafortunado en el corto plazo, a cartas vistas se trata de una inversión a largo plazo porque evita y previene posibles sanciones económicas y daños a la reputación de la empresa. Además, la cultura de compliance es necesaria para el bienestar de la economía de un país. Estudios han demostrado que comportamientos ilegales como por ejemplo, la corrupción genera una pérdida muy importante en la economía. 

El compliance ha surgido para quedarse, no fue una mera tendencia de un momento de reflexión sobre las vicisitudes que genera un mal accionar de las personas jurídicas, sino que se trata de un instrumento para concienciar a los órganos directivos, accionistas, empleados y otros grupos de interés que la ética corporativa resulta en un beneficio para la empresa y la sociedad en su conjunto. 

Es importante destacar que parte importante del compliance va a variar según el país que esté actuando la empresa y el rubro de la misma. Existen jurisdicciones muy fuertes en cuanto a la presión legislativa de cumplimiento por parte de las entidades, y otras donde las normas son más débiles o solo ciertos ámbitos están controlados. Sin embargo, el espíritu del compliance es autoimponerse normas, mediante la adoptación de un código de ética y conducta que plasma los principios y valores de la empresa en pro de un bienestar más social. Abarca distintos ámbitos o ramas legales y va a depender el objeto social de la empresa cual rama de cumplimiento va a ser predominante. Se trata de una gestión de riesgos de cumplimiento basado en el rubro empresarial.

Grupo de Acción Financiera Internacional - GAFI

Es el organismo intergubernamental más importante e influyente sobre la lucha contra el blanqueo de capitales y financiación del terrorismo mediante la promulgación de normas internacionales y la promoción de políticas.

Fue fundada en el año 1989 por el G8 referente a ese año. Establecen varias reuniones anuales para promover la ejecución de leyes en más de 30 países y varios organismos internacionales.

Se formularon las 40 recomendaciones en el año 1990 que fueron modificadas en 3 ocasiones, en los años 1996, 2003, y en 2012.

Luego de los ataques terroristes del 11 de setiembre en EEUU se amplió su objeto a la prevención de financiación del terrorismo, por lo que se crearon nueve recomendaciones especiales adicionales.

El régimen sancionador del Blanqueo de Capitales

Tipología de infracciones y sanciones

La ley 10/2010 clasifica en muy graves, graves y leves las infracciones. El artículo 51 de la ley 10/2020 establece que las infracciones muy graves derivan del incumplimiento en la obligación de colaborar con los organismos instaurados para luchar contra el blanqueo de capitales como lo es el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias).

Enumera las siguientes acciones:

1) El incumplimiento del deber de comunicar por parte de un empleado o directivo del sujeto obligado lo establecido en el artículo 18, indicios o certeza de un caso de blanqueo de capitales.

2) Cuando la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias requiera colaboración y se incumple dicha obligación indicada en el artículo 21.

3) Incumplir la prohibición de revelación o el deber de reserva. (arts. 24, 46.2 y 49.2.e)

4) Obstruir o resistir las inspecciones requeridas expresamente y por escrito del personal actuante.

5) No adoptar las medidas correctoras requeridas por el Comité Permanente cuando medie voluntad rebelde al cumplimiento. (arts. 26.3, 31.2, 44.2 y 47.3)

6) Cuando se comete una infracción grave pero en los cinco años anteriores se impuso una sanción firme por el mismo tipo de infracción.

El incumplimiento derivado del régimen de sanciones se puede considerar como delito grave.

En el régimen comunitario existen medidas restrictivas que constituyen infracciones muy graves establecidas en los artículos 60, 301 o 308 del Tratado Constitutivo de la Comunidad Europea. Se trata del incumplimiento doloso de la obligación de bloquear o poner fondos, activos o recursos económicos a determinada persona, entidad o grupo designado.

Las infracciones graves se expresan en el artículo 52 de la Ley 10/2010, se trata de una amplia lista de acciones que se puede consultar en la propia normativa.

Las infracciones leves son de carácter residual, si el sujeto obligado comete una infracción grave pero se considera que fue aislado o meramente ocasional.

La prescripción de las infracciones graves o muy graves es a los 5 años desde la fecha en que se cometieron, las leves prescriben a los 2 años. Si se trata de una actividad continuada el plazo se cuenta desde la finalización. En el caso de incumplimiento de debida diligencia se comienza a contar desde la terminación de la relación de negocio. En lo que tiene que ver con la conservación de documentos se inicia el plazo una vez que expiren los 10 años.


Importe de las Sanciones

Lo primero a considerar es que las sanciones se componen del importe económico, la limitación de la actividad empresarial y la publicidad. Esta última siempre es obligatoria y simultánea a la limitación de la vida empresarial de la empresa sancionada.

El importe de las sanciones va a depender de la calificación de las infracciones.

En las infracciones leves la sanción consta de una amonestación privada o una multa por un importe de hasta 60.000 euros.

Las graves se le suma una posible amonestación pública, una multa con un importe mínimo de 60.000 euros con posibilidad de ascender al 10% del volumen de negocio, el contenido económico de la operación más su 50%, el triple de los beneficios o 5.000.000 de euros. También para estas infracciones se coteja la posibilidad de la suspensión temporal tratándose de entidades sujetas a autorización administrativa.

Las infracciones muy graves su amonestación siempre va a ser pública, con una multa mínima de 150.000 euros. Asimismo, el importe máximo punible es mayor que en las graves, este puede ser de hasta el 10% del volumen del negocio anual, el duplo del contenido económico de la operación, quíntuplo de los beneficios derivados o 10.000.000 de euros. Tratándose de sujetos obligados subordinados a autorización administrativa para operar, se puede suspender temporalmente o revocarla directamente.

Siempre existe el requerimiento de que la entidad ponga fin a su conducta sumado a la sanción.

La amonestación puede no ser pública cuando esto genere una inestabilidad financiera o perjudique a la investigación.

El régimen de su prescripción es el siguiente:

a) Muy graves: 3 años.
b) Graves: 2 años.
c) Leves: 1 año.

Siempre se comienza el plazo desde la notificación de la resolución sancionadora.

Responsabilidad de administradores y directivos

Cuando la conducta de los administradores o directivos de los sujetos obligados sea negligente o dolosa pueden ser responsables por una infracción aún si es por simple inobservancia. Esta no cesa aunque medie disolución de la entidad y puede alcanzar a socios que responderían solidariamente hasta el total de su cuota de liquidación.

La tipología de la sanción que se le impone al sujeto obligado determina las sanciones a los administradores. Cuando se trata de una infracción leve los administradores no se ven afectados.

En infracciones graves los administradores pueden ser sancionados con una amostación pública o privada y/o una multa a cada administrador de un importe mínimo de 3.000 euros hasta un máximo de 5.000.000 euros. También, se le puede imponer la separación del cargo con inhabilitación para ejercer funciones de administración o dirección en cualquier sujeto obligado por un máximo de 5 años.

Con respecto a infracciones muy graves la ley establece una posible amonestación pública, multa entre 60.000 y 10.000.000 euros, relevo del cargo con imposibilidad de ejercerlo en entidades sujetas a la ley por un máximo de 10 años.

Para establecer la pena en concreto se tienen en cuenta diversos factores, como la cuantía de las operaciones afectadas por el incumplimiento, los beneficios obtenidos, el intento de subsanación por propia iniciativa, sanciones firmes previas en los últimos 5 años, el grado de intencionalidad, gravedad y duración, pérdidas de terceros, capacidad económica del inculpado y la cooperación con las autoridades.

Las sanciones no van a ser más beneficiosas que si no se hubiera cometido la infracción, se trata de desalentar su comisión.

Bienvenidos

Les damos la bienvenida a todos los estudiantes de este país.