Por José Enrique Pérez Palaci
Abogado – Colegiado 2453 Ilustre Colegio de Abogados de Girona
Especialista en protección de datos y Compliance por AENOR. Socio ASCOM
El éxito o fracaso del sistema de gestión de Compliance penal no depende solo de que la empresa haya identificado, analizado y evaluado los riesgos de comisión de infracciones penales, ni de la cumplimentación, redactado y aprobación de la documentación, sino de que se adopten, implementen, mantengan y mejoren continuamente las directrices, las políticas y el resto de elementos que integran el sistema de gestión de Compliance.
En esa mejora, hoy, tenemos que tener en cuenta las prerrogativas en cuanto a la protección de datos personales que recoge tanto el Reglamento General de Protección de datos (RGPD) como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales publicada en le BOE el 6 de diciembre de 2018 (LOPDGDD).
Y ello en cuanto que la persona jurídica será penalmente responsable, entre otros, de los delitos contra la intimidad y allanamiento informático “cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma”, o por los que “estando sometidos a la autoridad de las personas físicas” señaladas anteriormente.
Pero es que, además, para el caso de que vulneración de la normativa de protección de datos tanto los responsables como los encargados del tratamiento están sujetos al régimen sancionador que establece el RGPD y la LOPDGDD, de modo que la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.
Se trata de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento, se considera una infracción grave (Artículo 73, letra d) de la LOPDGDD), siendo sancionada, sin perjuicio de que responda por los daños y perjuicios causados al interesado, con multas administrativas, que tratándose de una empresa, la cuantía equivale al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Por tanto, la persona jurídica debe de adoptar, implementar, mantener y mejorar, no sólo el sistema de gestión de Compliance, sino también el sistema de gestión de protección de datos, puesto que a partir de la realización de una evaluación de impacto relativa a la protección de datos, la empresa conocerá aquellas operaciones de tratamiento entrañan un alto riesgo, y valorar la gravedad y probabilidad de que se materialice el riesgo, para, así, adoptar las medidas, garantías y mecanismos adecuados para garantizar la protección de los datos personales y demostrar la conformidad de su sistema de gestión con la normativa aplicable.