Los profesionales de la privacidad están protegidos del despido por ejercer sus funciones y no pueden recibir instrucciones.
En el encuentro, de Ascom y la CNMC, también se plantearon las dudas en torno a la responsabilidad penal del oficial.
Los expertos reclaman que se regule la figura del responsable de cumplimiento o compliance officer -figura encargada de la vigilancia y control de los programas de cumplimiento normativo y la prevención de delitos en las empresas e instituciones- y ponen como modelo de la protección que se le debe brindar, dado su papel dentro de las organizaciones, la normativa del delegado de protección de datos -DPO, por sus siglas en inglés, data protection officer-.
“El DPO tiene un estatuto jurídico propio, tiene unas garantías frente al despido y se ha regulado su papel y su relación con la empresa. Sería necesario que, a grandes rasgos, la legislación hiciera algunas indicaciones sobre el compliance officer”, aseveró Jesús Mercader, catedrático de Derecho del Trabajo de la Universidad Carlos III y ‘of counsel’ de Sagardoy Abogados, durante la octava edición de la jornada ‘Diálogos de Compliance’ organizada por la Comisión Nacional de los Mercados y la Competencia (CNMC) y la Asociación Española de Compliance (Ascom).
Una opinión que suscribió Sylvia Enseñat, presidenta de Ascom, que manifestó que, a su juicio, “no está cerrado el círculo en la protección o el blindaje” del profesional de cumplimiento. “La independencia total no existe porque su puesto o condiciones de trabajo dependen de unas personas que pueden tener los intereses enfrentados con la función de compliance y que ejercerán una presión indebida”, relató.
Reglamento General de Protección de Datos
Efectivamente, los artículos 37, 38 y 39 del Reglamento General de Protección de Datos (RGPD), que será de plena aplicación en mayo de 2018, regulan la designación, funciones y posición del delegado en la organización. Preceptos que desarrolla el Anteproyecto de Ley Orgánica de Protección de Datos (LOPD), actualmente en tramitación. Entre otras prerrogativas, el artículo 38.3 del RGPD determina que el DPO no podrá ser destituido ni sancionado por el desempeño de sus funciones y tampoco recibirá instrucción alguna en su actividad.
Así, frente al marco que la normativa brinda a los profesionales de la privacidad, el compliance officer “no está suficientemente regulado”, incide Mercader, porque “no se definen sus derechos y obligaciones en el marco laboral y, tratándose de persona especialmente sensible y expuesto, su carrera puede verse condicionada por ello”. De entre todos los aspectos, el jurista, que ve fundamental garantizarle un alto de grado de protección frente al despido, propone como alternativa tomar como referencia la regulación de los representantes de los trabajadores.
Ignacio García-Miguel, director de cumplimiento de Robert Bosch España, razonó que la “falta de definición” de la figura de estos profesionales es el origen de los problemas. “La mayoría, cuando fuimos designados, o no teníamos una descripción de su puesto de trabajo o nuestro jefe nos pidió que definiéramos el puesto. Si está regulado, es público y todos conocen mis funciones, podré defender qué hago, por qué lo hago y cómo lo hago”, expuso.
Separado del área legal
Otro de los conflictos que se planteó durante el debate, celebrado en la sede de la CNMC, fue la necesidad de que la función de compliance y el departamento legal estén separadas en el seno de las organizaciones. En este sentido, José Zamarriego, vicepresidente primero de Ascom consideró que un mismo profesional no debe aunar ambas tareas puesto que es una circunstancia que, además de dar lugar a confusión, existe conflicto de interés entre ambas funciones.
En relación con la posible responsabilidad penal del compliance officer, una de las asistentes -que se identificó como abogada-, manifestó que, más allá de los problemas que puedan plantearse en el ámbito laboral, los profesionales están especialmente preocupados por la posibilidad de verse envueltos en un proceso penal por los delitos cometidos por su empresa u organización.
“La judicatura no tiene claro que es el compliance officer. En el contrato debería especificarse que no pertenece al órgano de dirección”, razonó la letrada. Mercader, ante esta valoración, subrayó que muchos penalistas han señalado que este profesional no cumple tareas de garante y, en consecuencia, su responsabilidad debe estar limitada.
Por su parte, José María Marcos, director general de entidades de la Comisión Nacional del Mercado de Valores (CNMV), apuntó que en las entidades sujetas a la supervisión de su organismo “la regulación europea y nacional es bastante exhaustiva”. La normativa comunitaria ha sido transpuesta en leyes, decretos y circulares, exigiéndose, incluso, para obtener la autorización para poder operar el hecho de que se garantice una función independiente de cumplimiento normativo. “No sé si suficientemente regulada, pero sí me atrevería a decir que está sólidamente regulada. La normativa exige que el responsable de cumplimiento tenga autoridad, medios y recursos suficientes y que no tenga limitaciones en el acceso a cualquier documentación relevante”, razonó, “además, la normativa de entidades supervisadas dice que la función de cumplimiento no puede participar en servicios que luego controla”.