Arrástranos en España una baja sensibilidad con la custodia de la información. No hay mas que coger un AVE y escuchar como compañeros de viaje comentan a voz en grito asuntos profesionales, propios y ajenos, cómo se tratan estrategias de precios o cómo se comentan errores y supuestas meteduras de pata de personas y empresas.
Esa baja sensibilización no es en sí delictiva (aunque en ocasiones lo roce) pero es un ejemplo de la poca importancia que, en muchos casos, damos a la discreción y a la necesidad de conservar a buen recaudo lo que sabemos. Y cuando minusvaloramos un peligro se puede convertir en un riesgo (véase lo ocurrido con las descargas ilegales y la circulación de música, cine o SW pirata en España en donde alcanzamos un récord mundial de desprecio por la propiedad intelectual ajena)
Bajo el epígrafe de “revelación de secretos”, se mezclan a veces una serie de términos como: confidencialidad, derecho a la intimidad, derecho a la propia imagen, espionaje industrial, piratería, falsificación de marca, etc., de forma que se pueden generar dudas en el tratamiento de las diferentes situaciones.
Está claro que las empresas están siempre obligadas a proteger la información que gestionan, tanto si se trata de información confidencial propia, como si se trata de información de terceros (clientes, proveedores, empleados, colaboradores, etc.) y la falta de diligencia en este cometido puede suponer graves perjuicios para la persona jurídica, tanto desde el punto de vista legal como reputacional.
En este artículo se trata de diferenciar los aspectos legales asociados a los términos indicados anteriormente, con el fin de ayudar a identificar los casos en que la persona jurídica podría ser acusada penalmente, así como de sugerir algunas medidas para la prevención de los posibles riesgos penales.
En el ámbito legal nos encontramos con diferentes tipos delictivos y vamos a intentar aclarar en qué situaciones puede existir un riesgo penal para la persona jurídica.
Los delitos del código penal relacionados con los términos indicados son los siguientes:
- Delitos contra la intimidad personal (Art. 197-201 del CP)
- Delitos contra la propiedad intelectual (Art.270-272 del CP)
- Delitos contra la propiedad industrial (Art.273-277 del CP)
- Delitos contra el secreto de empresa (Art. 278 del CP)
Recordemos que para que una persona jurídica pueda ser acusada penalmente por la conducta delictiva cometida por una persona física, es necesario que se cumplan una serie de condiciones entre las cuales se encuentra que la persona física que comete el delito actúe como representante legal o autorizado de la organización y que el delito genere algún tipo de beneficio directo o indirecto para ésta última.
A continuación, haremos un breve repaso de cada una de las principales conductas delictivas que pueden darse en los delitos indicados y pondremos ejemplos de situaciones en las que dichas conductas podrían tener repercusión penal para la empresa. Véase en todos los ejemplos el beneficio directo o indirecto para la persona jurídica.
Delitos contra la intimidad personal
Principales conductas delictivas:
- Descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, apoderarse de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, interceptar sus telecomunicaciones o utilizar artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación.
- Apoderarse, utilizar o modificar, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro, sin su consentimiento, que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.
- Revelar o ceder a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los puntos anteriores
Ejemplos de situaciones en los que la persona jurídica podría ser acusada penalmente:
- Si se accediera a datos personales de un cliente o proveedor, en el marco de las relaciones profesionales entre las partes, y se utilizaran para chantajear a la otra parte y conseguir nuevos proyectos o mejores precios.
- Si se instalaran micrófonos o cámaras para grabar conversaciones personales de empleados sin su consentimiento, utilizando la información para un despido, un ajuste salarial, un cambio de destino, etc.
Ejemplos de medidas de prevención de riesgo penales asociadas a la revelación de datos o secretos personales:
- Implantación de un sistema de protección de datos personales, conforme a lo establecido en la legislación vigente.
- Implantación y certificación de un sistema de gestión de seguridad de la información de acuerdo con la norma UNE ISO 27001.
- Establecimiento de políticas de compliance, de confidencialidad y de seguridad de la información
- Comunicación de normativa en pack de bienvenida a personas de nueva incorporación.
- Cláusulas de confidencialidad en contratos con empleados, proveedores y clientes.
- Cláusulas específicas en los Códigos de Conducta para empleados y para proveedores.
- Cursos de formación presenciales o píldoras formativas online sobre la materia.
- Cancelación de uso de puertos USB.
- Régimen disciplinar.
Delitos contra la propiedad intelectual
Principales conductas delictivas:
- Reproducir, plagiar, distribuir, comunicar públicamente, transformar, interpretar, ejecutar artísticamente o de cualquier otro modo explotar económicamente, en todo o en parte, una obra literaria, artística o científica, sin autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios, con ánimo de obtener un beneficio económico directo o indirecto, en perjuicio de un tercero.
Ejemplos de situaciones en los que la persona jurídica podría ser acusada penalmente:
- Si se instalaran programas informáticos para los que no se ha adquirido la correspondiente licencia.
- Si se utilizara metodologías, productos o técnicas de terceros (clientes, proveedores, etc.) como si hubiesen sido desarrolladas por ella misma, sin la correspondiente autorización.
- Si se utilizaran imágenes, logos, o sonidos sobre los que no se tiene derecho de disposición, sin autorización del propietario.
Delitos contra la propiedad industrial
Principales conductas delictivas:
- Fabricar, importar, poseer, utilizar, ofrecer o introducir en el comercio, objetos amparados por patentes, modelos de utilidad, marcas, nombres comerciales, rótulos de establecimientos, o denominaciones de origen, con fines industriales o comerciales, sin el consentimiento del titular de los derechos.
Ejemplos de situaciones en los que la persona jurídica podría ser acusada penalmente:
- Si se fabricaran o comercializaran productos o equipos protegidos con un registro de marca, sin consentimiento de su titular, tratándose en realidad de un producto imitado, utilizando un signo distintivo idéntico a la marca.
Ejemplos de medidas de prevención de riesgo penales asociadas a la propiedad intelectual e industrial:
- Medidas de control de software instalado
- Cancelación de uso de puertos USB
- Prohibición expresa de descarga no autorizada de programas informáticos o archivos (música, películas, etc.)
- Promover un uso legítimo de los programas utilizados para el ejercicio de las operaciones, solicitando siempre la correspondiente licencia.
- Prohibición expresa de supuestos de imitaciones o cualesquiera otras prácticas que puedan generar confusión en el mercado.
- Cláusulas específicas en los Códigos de Conducta de empleados y de proveedores.
- Cláusulas específicas en contratos con empleados.
- Normativa interna para la elaboración de documentos y presentaciones al exterior.
- Control de publicaciones realizadas a través de la web o de las redes sociales.
- Comunicación de normas en pack de bienvenida a personas de nueva incorporación.
- Cursos de formación presenciales o píldoras formativas online sobre la materia.
- Políticas de compliance, de confidencialidad y de seguridad de la información.
- Régimen disciplinar.
Delitos contra el secreto de empresa
Principales conductas delictivas:
- Emplear cualquier medio para apoderarse de datos, documentos escritos o electrónicos, soportes informáticos u otros que se refieran al mismo, para descubrir un secreto de empresa.
- Difundir, revelar o ceder a terceros los secretos descubiertos
Ejemplos de situaciones en los que la persona jurídica podría ser acusada penalmente:
- Si la persona jurídica contratara a un profesional de un tercero con la finalidad de que éste le facilitara un secreto de la empresa de la que proviene.
- Si un profesional causara baja en la persona jurídica para incorporarse a la plantilla de una empresa competidora, con la finalidad de descubrir secretos de ésta última y reincorporarse posteriormente a la persona jurídica.
- Si se hackeara o se apoderara de un ordenador de un tercero (cliente, proveedor, competidor, etc.), con la finalidad de obtener secretos de la empresa (precios, costes, márgenes, escandallos de productos, fórmulas, etc.
Ejemplos de medidas de prevención de riesgo penales asociados a la revelación de secretos de empresa:
- Inclusión de cláusulas específicas en los Códigos de Conducta de empleados y de proveedores.
- Formación específica en la materia a personal directivo, técnicos o comerciales cualificados, y a profesionales responsables de los procesos de selección y contratación de empleados.
- Cláusulas específicas en contratos con empleados.
- Cláusulas específicas en los Códigos de Conducta de empleados y de proveedores.
- Cancelación de uso de puertos USB.
- Políticas de compliance, de confidencialidad y de seguridad de la información.
- Régimen disciplinar.
Conclusiones
Como hemos podido ver a partir de los ejemplos aportados en cada caso, la lista de conductas delictivas que podrían llevar asociado un riesgo penal para la persona jurídica es bastante amplia en el conjunto de los supuestos analizados.
Por otro lado, es importante observar y tener en cuenta que una buena parte de las medidas que sirven para prevenir la comisión de los delitos analizados, son comunes, con matizaciones, a todos ellos, lo cual facilita el desarrollo e implantación de las mismas.
Jose Luis Villa es Gerente de Compliance y Riesgos en Prysma