1. No category

Los riesgos de la era digital desde la óptica del compliance
Xavier Ribas
ribasyasociados
Tendencia 1
Ciberataques de competidores
ribasyasociados
Compliance
o
o
o
o
Ataques entrantes = RP por fuga de datos
Control insuficiente
Ataques salientes = RP por daños
Control insuficiente
Tendencia 2
e-­Discovery
ribasyasociados
ribasyasociados
Compliance
o Prohibición o protocolo de tratamiento de las advertencias
o Borrado periódico
o Defense file individual y defense file corporativo
Tendencia 3
Big data
ribasyasociados
Compliance
o
o
o
o
RP por delitos contra la intimidad
RP por discriminación
Control del big data en RRHH
Control del big data en Marketing
Tendencia 4
Nativos digitales
ribasyasociados
AL SALIR DE VACACIONES:
•
Compruebe puertas y ventanas
•
No divulgue sus planes de veraneo
•
No comunique dónde va
•
No diga cuánto tiempo va a estar fuera
Tweets
Jaime @jaime
Este mes de agosto me voy a Jamaica
4sq.com/AkdFdH
20d
Jaime @jaime 6d
Sólo faltan 5 días para ir a Jamaica
Retweet
Jaime @jaime 1h
Ya estoy en Jamaica. Mi primera foto de palmeras
pic.com/foto_palmeras
Riesgos del oversharing
Compliance
o Cesión de datos personales
o Cesión de información confidencial de clientes
o Entrada de datos en las nuevas contrataciones
Tendencia 5
Internet de las cosas
ribasyasociados
Internet de las cosas + IPv6
Nuevos tipos de ataque
Nuevos tipos de ataque
Compliance
o Seguridad insuficiente
o Delitos contra la salud y la seguridad colectiva
o Obligación de comunicar los ataques
Tendencia 6
Persistencia del error
Compliance
o Impacto reputacional
o Sanciones de la AEPD
Tendencia 7
Control de los proveedores
Pérdida del control
Acceso a información confidencial de competidores
a través de proveedores comunes
COMPETIDOR
PROVEEDOR
EMPRESA
I+D+i
Fabricación para
A empresa y para competidores
Fabricación para varios clientes
Compliance
o
o
o
o
El proveedor es el eslabón más débil -­ CASO TARGET
RP por la falta de control de los proveedores
Culpa in eligendo
Culpa in vigilando
Tendencia 8
Mayor protección de los datos Autoridades nacionales de protección de datos
Francia
Alemania
Inglaterra
Italia
España
Autoridades nacionales de protección de datos
Francia
Alemania
Inglaterra
Italia
España
Compliance
o La seguridad como obligación de resultado
o Privacy by design
o Obligación de comunicar las brechas de seguridad
Prueba del debido control
Modelo de organización y gestión
(Programa de Compliance)
Previo
43
Eficaz
Idóneo
Acreditado
Contenido del modelo de organización y gestión
44
Mapa de riesgos
Canal ético
Protocolo decisiones
Sistema disciplinario
Recursos financieros
Verificación periódica
ERROR 09 -­ Uso del Compliance Officer como chivo expiatorio
¿Función de chivo expiatorio o de Pepito Grillo?
45
Sentencia alemana de 17/07/2009
◻ Condena por estafa de un Compliance Officer
◻ Complicidad por omisión (No impidió la actuación de un directivo)
◻ Error en el cálculo de las tarifas de un servicio de limpieza de viales
◻ El error fue detectado pero no fue corregido
◻ Posición de garante del CO (Obligación de vigilancia asignada al cargo)
◻ Dependencia directa del Presidente de la Junta Directiva
◻ Tolerancia del error cometido por su antecesor
◻ La escasez de recursos no fue exculpatoria
◻ La función de compliance incluye impedir la comisión de delitos
46
Simulacro
¿Hasta dónde llegaría la responsabilidad de los directivos
en caso de querella?
Responsable
del control
Directivos
47
Tolerancia dolosa
PROHIBICIÓN
TOLERANCIA
DEL
INCUMPLIMIENTO
DOLO
Simulacro
¿Hasta dónde llegaría la responsabilidad de los directivos en caso de querella?
Consejo de Administración
TERCERA LÍNEA DE DEFENSA
Código Ético
Controles
Delegación
Directivos
SEGUNDA LÍNEA DE DEFENSA
Normas
Controles
Supervisión
Responsable del control
PRIMERA LÍNEA DE DEFENSA
49
Procedimientos
Controles
Supervisión
Simulacro
¿Hasta dónde llegaría la responsabilidad de los directivos en caso de querella?
Consejo de Administración
TERCERA LÍNEA DE DEFENSA
Código Ético
Controles
Delegación
Directivos
SEGUNDA LÍNEA DE DEFENSA
Normas
Controles
Supervisión
Responsable del control
PRIMERA LÍNEA DE DEFENSA
IMPUTACIÓN
50
Procedimientos
Controles
Supervisión
Simulacro
¿Hasta dónde llegaría la responsabilidad de los directivos en caso de querella?
Consejo de Administración
TERCERA LÍNEA DE DEFENSA
Código Ético
Controles
Delegación
Directivos
SEGUNDA LÍNEA DE DEFENSA
Normas
Controles
Supervisión
Responsable del control
PRIMERA LÍNEA DE DEFENSA
IMPUTACIÓN
51
Procedimientos
Controles
Supervisión
Simulacro
¿Hasta dónde llegaría la responsabilidad de los directivos en caso de querella?
Consejo de Administración
TERCERA LÍNEA DE DEFENSA
Código Ético
Controles
Delegación
Directivos
SEGUNDA LÍNEA DE DEFENSA
Normas
Controles
Supervisión
Responsable del control
PRIMERA LÍNEA DE DEFENSA
IMPUTACIÓN
52
Procedimientos
Controles
Supervisión
Defense file individual
◻ Práctica habitual de los directivos en Europa ◻ Contiene pruebas exculpatorias ◻ Ejemplo: advertencia de un riesgo ◻ Ejemplo: solicitud de presupuesto o recursos para reducir un riesgo ◻ Si el riesgo se materializa, el directivo puede acreditar su diligencia 53
Conflicto entre defense files
Empresa
Las pruebas que benefician a la empresa pueden perjudicar al directivo
54
Directivo
Las pruebas que benefician al directivo pueden perjudicar a la empresa
Módulo 0 7
Responsabilidad d e los d irectivos
09 Conflictos e ntre e l d efense file individual y e l d efense file corporativo
Ejemplo de advertencia de una situación de riesgo
La advertencia desatendida de un riesgo puede exonerar de responsabilidad al emisor de la advertencia y
traspasarla al destinatario de la misma y a la empresa
Página 5 5
Defense file y discovery
56
Documentos
Mails
Orden judicial
Discovery EEUU
Pruebas inculpatorias
En el seno de la empresa
Plazos de conservación
Pruebas obtenidas en el transcurso de una investigación
Elementos clave
RIESGOS
CONTROLES
EVIDENCIAS
CUSTODIA
FECHA DEL CONTROL
CONTROL
DELITO
CONTROL
ANTERIOR
INFRACCIÓN
POSTERIOR
QUERELLA
INSPECCIÓN
CONTROL ANTERIOR
CONTROL POSTERIOR
EN CASO DE DELITO
EN CASO DE DELITO
•
•
•
•
El tipo penal es aplicable
La empresa no tiene responsabilidad penal
Circunstancia atenuante
Disminuye la responsabilidad penal
EN CASO DE INFRACCIÓN ADMINISTRATIVA
EN CASO DE INFRACCIÓN ADMINISTRATIVA
•
•
•
•
Prueba de la diligencia de la empresa
Reducción sustancial de la sanción
Irrelevancia práctica del control posterior
Prueba de la voluntad de cumplimiento
Riesgo de impugnación de las pruebas
80
60
40
20
0
Administrativo
Civil
Penal
Acciones adicionales recomendadas
Identificación y evaluación de los escenarios de riesgo
Identificación y aplicación de los controles
Prueba de la existencia del control
Prueba de la eficacia del c ontrol
Recogida de evidencias y sellado de tiempo con s ello del Consejo General del Notariado
Repositorio de evidencias
Riesgo
Control
Existencia
Eficacia
Evidencia
Custodia
Hasta d onde llegan las e mpresas
Protocolo
EVIDENCIA
SELLADO DE TIEMPO
REPOSITORIO
Repositorio de evidencias de cumplimiento
ribasyasociados
T. 934940748
M. 639108413
[email protected]
http://ribasyasociados.com
ribasyasociados