Durante estos meses de pandemia, hemos estado sumidos en una especie de letargo, en el que muchas empresas han ido adaptando su actividad a las necesidades que el COVID marcaba, adoptando medidas, decisiones y cambios en sus formas de trabajar, muchas veces no sometidas a procedimientos o protocolos concretos y en algunas ocasiones sin valorar adecuadamente los riesgos que dichas medidas podían implicar. En esos momentos era mejor seguir adelante que parar.
Podemos pensar que estamos empezando a despertar y salir de ese letargo y que estamos empezando a retomar nuestra actividad empresarial y laboral; y lo estamos haciendo en muchos casos de una manera distinta a la que teníamos antes de que el COVID irrumpiera en nuestras vidas y en nuestra forma de trabajar.
Ahora, muchas empresas han empezado a rodar con empleados que siguen teletrabajando, o que trabajan a turnos, con despachos y oficinas en las que hay que aplicar una serie de medidas sanitarias y de prevención de riesgos laborales, con trabajadores que tienen que cumplir determinados protocolos al llegar al trabajo, formas de trabajar que antes dábamos como totalmente implantadas ahora se han visto modificadas, y muchas de las medidas que adoptamos durante el estado de alarma van a perdurar durante meses en las empresas.
Si no lo hicimos antes, ahora es el momento de valorar como implantar adecuadamente esa nueva forma de trabajo para que ésta no derive en incumplimientos normativos sometidos a sanciones tanto económicas como penales, o a daños reputacionales difícilmente reparables.
Medidas, procedimientos y protocolos que deberíamos adoptar para que nuestra empresa cumpla con la normativa que nos es de aplicación
¿Qué podemos hacer para no incurrir en un incumplimiento normativo? Lo primero que deberíamos aclarar es el alcance que tiene lo que se conoce como “Cumplimiento Normativo” o “Compliance”. En nuestro país el cumplimiento normativo entra en escena con la reforma del Código Penal de 2010 y 2015, es en este momento cuando las personas jurídicas pasan a ser responsables penales de determinados delitos recogidos en el Código Penal, ya sean cometidos por sus representantes o administradores como por quienes estando subordinados a ellos hayan cometido un ilícito penal y no se hubiera ejercido sobre dichos administradores o empleados el debido control. Y la forma de evitar que estos ilícitos deriven en una sanción penal, es contando con sistemas de Cumplimiento Normativo o Compliance, tal y como establece el artículo 31 bis del Código Penal.
Ante este escenario normativo nuestros clientes nos plantean diversas preguntas, tales como, ¿y esto a mí como me afecta? ¿En qué delitos penales puede incurrir mi empresa ante esta nueva forma de trabajar o ante la vuelta al trabajo?
Pues entre todos los que hay, 26 concretamente, hay 3 tipos de delitos a los que deberíamos prestar especial atención en estos momentos, y que implican un alto riesgo de incumplimiento si no estamos debidamente protegidos. Son los siguientes:
- Delito contra la intimidad y allanamiento informático (art. 197 quinquies CP) – Apoderarse/ utilizar/ modificar/ revelar datos personales de otros contenidos en documentos en papel, electrónicos, o cualquier otro documento o efecto personal; acceso no consentido a datos contenidos en sistemas informáticos.
- Daños informáticos (Art. 264 quater CP) – Borrar, dañar, deteriorar, suprimir, o hacer inaccesibles datos, programas informáticos o documentos electrónicos ajenos; obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno.
- Contra el secreto de empresa (art. 278 CP) – Descubrir un secreto de empresa o cualquier otra información de carácter confidencial, apoderarse por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo
Podemos creer que nuestra empresa ya ha adoptado las medidas necesarias para evitar un delito contra la intimidad o allanamiento informático, o un daño informático o podemos pensar que nosotros no tenemos riesgo de sufrir un delito penal contra el secreto de empresa, “en mi empresa estas cosas no pasan”, es lo que en muchas ocasiones pensamos.
Pero nada mas lejos de la realidad, como dato solo hacer referencia al informe de mayo de la AEPD sobre brechas de seguridad, donde se incluye una relación de los medios de materialización de las brechas de seguridad comunicadas a la agencia, habiéndose producido la mayoría de ellas por Malware, Hacking, Datos personales mostrados, o dispositivos perdidos o robados, es decir, técnicas que pueden tener como consecuencia causar un daño informático en nuestros sistemas, un delito contra la intimidad si se accede a datos sensibles, un allanamiento informático al haber accedido a nuestros sistemas sin autorización, o a un delito en contra de los secretos de empresa.
Estos métodos, que podemos pensar no van a ocurrir en nuestra empresa, ocurren, y más en estos momentos en los cuales el teletrabajo se ha convertido en algo que por ahora, en mayor o menor medida, va a seguir implantado en muchas empresas, teletrabajo que implica el uso de redes que no son las de la empresa, pensemos en empleados que teletrabajan desde una segunda residencia, en muchas ocasiones usando dispositivos que no son los corporativos, y llevando de un lado a otro dispositivos con medidas de protección débiles y que pueden ser objeto de pérdida, robo o acceso mal intencionado. Situaciones y circunstancias que ponen en riesgo tanto a nuestros sistemas y nuestra información como a la de terceros con los que nos comuniquemos, y en las que, aunque nosotros seamos los perjudicados, el Código Penal nos puede sancionar por no haber adoptado las medidas y procedimientos adecuados para impedir dichos ilícitos penales.
Artículo escrito por Mª José García Pedreño y Sonia López García. Socias Fundadoras SCL Consultores.