Paula Hernández CoboPor Paula Hernández Cobo, Asociada Senior del Área de Governance, Risks & Compliance de ECIX

Cuando el dios Samash entregó las leyes al rey Hammurabi de Babilonia allá por el 1760 a. C. no hacía otra cosa que facilitar medidas para mitigar los principales riesgos de la época. Es decir, el sistema de riesgos y medidas ha estado ahí desde siempre, lo que está variando es quién identifica esos riesgos con el carácter vinculante que exige el cumplimiento normativo.

Recientes reformas jurídicas como la Penal, en la que la correcta identificación de los riesgos penales empresariales adquiere una relevancia casi determinante respecto de la responsabilidad de la persona jurídica ante la comisión de delitos en provecho de ésta, van marcando un camino en el que el papel del legislador comparte protagonismo con el Compliance Officer, o análogos.

En la misma línea se avecinan normativas como el futuro Reglamento europeo en materia de protección de datos, que prevé la obligación de que los responsables y encargados del tratamiento lleven a cabo una evaluación de los riesgos para los derechos de los interesados antes de efectuar operaciones de tratamiento arriesgadas, o lo que es lo mismo, una Evaluación de Impacto de Privacidad o Privacy Impact Assessment. El resultado de esta evaluación determinará las medidas, no solo aplicables sino exigibles.

Se busca un cumplimiento efectivo y no meramente formal. Si nuestro negocio se encuentra claramente amenazado, aun habiendo cumplido con la normativa aplicable, no podemos cruzarnos de brazos, ya que pueden derivarse responsabilidades si nos quedamos impasibles ante vulnerabilidades y amenazas, que como mínimo requerirán una valoración del impacto y un análisis de la viabilidad respecto de su implementación y mantenimiento.

Esto lo apunta un juez de la Audiencia Provincial de Barcelona1, que en sentencia de 7 de marzo de 2013 estima un recurso de apelación condenando a una conocida entidad bancaria a abonar a su cliente las cantidades perdidas tras haber sufrido un phishing.

En este caso, el contrato suscrito entre la entidad y el cliente recogía la autorización para el uso de los datos con el fin de realizar estudios y analizar comportamientos de riesgo. Sin embargo, a pesar de ello, no se habían adoptado medidas concretas para el fraude conocido como phishing. El juez valora, en este caso, el hecho de que no constasen filtros adicionales de seguridad en ese sentido, “ni se aportasen estudios sobre dicho riesgo”. Considerando que el phishing, era conocido, o debía serlo, por una entidad como la demandada.

En la sentencia se establece que “por más recomendaciones que se hagan al usuario o cliente, la entidad bancaria no puede ofrecer un sistema «online» sin adoptar las medidas de seguridad necesarias». Dichas medidas, como puede concluirse, no derivan exclusivamente de las normas jurídicas aplicables sino que la entidad debe conocer sus propios riesgos e implementar las medidas oportunas.

La adopción de medidas no garantiza la extinción del riesgo, pero sí puede derivar en una atenuación de la responsabilidad, llegando, en según qué casos, a constituir un eximente. Además, lógicamente serán más que relevantes en la valoración de una hipotética responsabilidad civil.

Con todo esto, parece que el cumplimiento normativo pasa por disponer de un Samash propio que determine qué riesgos acechan a la empresa para conformar un cuerpo normativo interno, que combinado con la legislación aplicable, aporte no solo seguridad jurídica, sino también financiera, reputacional u operacional.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.