Compliance – Gestión de riegos

8.1. Marco normativo e introducción al Compliance.
8.2. Metodología para la gestión del cumplimiento normativo (ISO 19600 – Compliance Management Systems (CMS).
8.3. Implantaciones y casos prácticos.

Responsabilitat civil en l’era digital: el Suprem confirma la condemna a Gamboa Automoción per una estafa informàtica

per
La sentència del Tribunal Suprem nº136/2025 resol un recurs de cassació presentat per GAMBOA AUTOMOCIÓN S.A., condemnat com a responsable civil subsidiari per una estafa informàtica que va afectar l’empresa CYASA (Comerç i Assistència S.A.).
L’estafa es va produir a l’abril de 2018 quan tercers van suplantar el correu d’un empleat de Gamboa per a induir a CYASA a realitzar una transferència per més de 32.000 euros a un compte fraudulent. El Tribunal confirma la responsabilitat subsidiària de Gamboa per ometre mesures de prevenció després d’una bretxa de seguretat detectada el dia anterior als fets.
La qüestió clau que analitza el Suprem gira entorn de si els requisits de l’article 120.3 del Codi Penal es compleixen per a imposar aquesta responsabilitat civil. Aquest article exigeix que: el delicte es cometi en un «establiment» de l’entitat; existeixi infracció de normes reglamentàries o disposicions de l’autoritat atribuïble als seus administradors o empleats; i que aquesta infracció estigui relacionada causalment amb el delicte.
El Tribunal assenyala que el sistema informàtic—com mitjà habitual i necessari—forma part de l’entorn funcional del negoci, per la qual cosa, malgrat que el delicte no va ocórrer físicament en un local, sí que va ocórrer en un «entorn operatiu» de l’empresa.
Així mateix, l’empresa va incórrer en una omissió rellevant, doncs, malgrat a haver detectat un incident similar amb una altra empresa (Romauto Motion S.A.) el matí del 10 d’abril de 2018, Gamboa no va avisar als seus altres socis comercials ni va prendre mesures per a prevenir un nou atac.
Per tot l’exposat, el Tribunal va considerar provat que va haver-hi una bretxa de seguretat en el seu sistema informàtic i que la falta de comunicació i inacció de l’empresa va ser clau perquè el frau a CYASA es consumés.

Lliçons clau per a les empreses

Aquesta sentència marca un precedent important:
  • No actuar davant una bretxa de seguretat equival a assumir riscos legals.
  • Les empreses tenen un deure proactiu de protecció i de comunicació quan detecten vulnerabilitats que poden afectar tercers.
  • No és necessari identificar a l’empleat culpable perquè s’imposi responsabilitat civil a l’empresa.
  • Les mesures preventives no són opcionals. Són una obligació legal i operativa.

Conclusió

Aquesta sentència és un advertiment clar per a totes les empreses: si una empresa detecta una incidència de seguretat i no informa ni actua amb rapidesa, pot acabar condemnada, encara que no hagi participat en el delicte.
Avui més que mai, la gestió de riscos digitals és part essencial del compliment legal i del deure de diligència empresarial. I quan aquest deure s’incompleix, els costos van molt més allà del tecnològic: impacten en la reputació, les finances i la responsabilitat jurídica de l’empresa.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Confidencialitat Vulnerada: La Importància del Deure de Confidencialitat en Canals de Denúncies

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a SERVICIOS ESPECIALES, S. A. amb 200.000€ per no complir amb el deure de confidencialitat en les denúncies realitzades en l’àmbit laboral.

La resolució es fonamenta en dues reclamacions presentades per treballadors que van denunciar la vulneració de la confidencialitat en el tractament de dades personals durant un protocol d’assetjament laboral. L’empresa va divulgar informació sensible, incloent-hi noms i cognoms dels denunciants i denunciats, la qual cosa va generar conseqüències negatives per als afectats, com a atacs d’ansietat i exposició pública en l’entorn laboral.

Si bé tot va iniciar amb l’activació del protocol d’assetjament laboral, l’Empresa va finalitzar el procés adjuntant la resolució a cadascun dels denunciants—5 en total—, la qual cosa destapava la identitat de cadascun dels ells (perquè s’exposaven tant els seus noms i cognoms com els seus llocs de treball) i dels denunciats—10 en total—als quals també es va reexpedir la resolució.

Com a conseqüència, un dels denunciats, a través d’un grup de WhatsApp del treball i el mateix dia del coneixement de la resolució, va enviar un emoji d’un petó i la frase: «Gràcies per la denúncia». Aquest fet li va generar a una de les denunciants un atac d’ansietat, pel qual es va acollir a la baixa mèdica.

Per part seva, l’empresa va al·legar que «tots sabien ja qui eren», per la qual cosa l’anonimat no va ser sol·licitat expressament i que, a més, el Comitè d’Empresa que va dur a terme el protocol tampoc el va demanar.

És necessari recordar que l’article 5.1.f) del Reglament General de Protecció de Dades (RGPD) estableix el principi d’integritat i confidencialitat i indica que les dades personals han de ser tractats de manera que es garanteixi una seguretat adequada, per la qual cosa ha d’evitar-se l’accés no autoritzat o il·lícit i protegir-se contra la seva pèrdua o mal accidental.

En aquest cas, l’empresa va vulnerar aquest principi en permetre l’accés a dades personals sensibles (identitats de denunciants i denunciats) per part de múltiples persones—15—, sense garantir mesures tècniques o organitzatives apropiades.

Per tot l’exposat, l’AEPD va imposar una sanció de 200.000€, la qual quedaria reduïda a 120.000€ en cas que l’empresa reconegués la seva responsabilitat i procedís al pagament voluntari.

Conclusió

La resolució evidencia una vulneració significativa del principi de confidencialitat establert en el RGPD, la qual va afectar directament els drets fonamentals dels denunciants, donat que les seves identitats van quedar desprotegides. Aquest cas ressalta la necessitat d’implementar mesures estrictes per a garantir la seguretat i privacitat en el tractament de dades personals en entorns laborals.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Secrets al descobert: La batalla legal contra empleats que s’en porten el know-how

per

La protecció de la informació confidencial i el know-how és essencial per a l’èxit i la supervivència de les petites i mitjanes empreses (pimes) en el competitiu entorn empresarial actual. En aquest context, la implementació d’ acords de confidencialitat i mesures de seguretat adequades juga un paper fonamental.

Importància dels acords de confidencialitat

Els Acords de Confidencialitat són eines legals essencials que estableixen una relació de confiança entre l’empresa i els seus empleats. Aquests acords defineixen clarament quina informació es considera confidencial i estableixen les obligacions dels empleats per protegir-la. En signar aquests acords, els treballadors es comprometen legalment a no divulgar ni utilitzar indegudament la informació sensible de l’ empresa.

Per a les pimes, aquests acords són especialment importants per diverses raons:

  1. Protecció de secrets comercials: Els acords de confidencialitat salvaguarden fórmules, algoritmes, estratègies empresarials i altres actius intangibles que són fonamentals per a l’avantatge competitiu de l’empresa.
  2. Prevenció de fuites d’ informació: Estableixen expectatives clares sobre el maneig de la informació confidencial, reduint el risc de divulgació accidental o intencionada.
  3. Base legal per a accions legals: En cas d’ incompliment, proporcionen una base sòlida per prendre mesures legals contra l’ empleat infractor.
  4. Foment de la cultura de seguretat: La signatura d’ aquests acords sensibilitza els empleats sobre la importància de la confidencialitat i promou una cultura de seguretat a l’empresa.

Mesures de seguretat per prevenir bretxes

A més dels acords de confidencialitat, les pimes han d’implementar mesures de seguretat robustes per protegir la seva informació sensible i prevenir bretxes de seguretat. Algunes estratègies clau inclouen:

  1. Formació contínua: Educar els empleats sobre les millors pràctiques de seguretat, com la detecció de phishing i el maneig segur de dades confidencials.
  2. Protocols de seguretat actualitzats: Establir i mantenir protocols clars sobre el maneig d’ informació confidencial i actualitzar-los regularment.
  3. Control d’ accés: Limitar l’accés a la informació sensible només als empleats que realment ho necessitin per realitzar les seves funcions.
  4. Actualització de programari: Mantenir tots els sistemes i programari actualitzats amb els últims parquets de seguretat per prevenir vulnerabilitats conegudes.
  5. Xifrat de dades: Implementar tècniques de xifrat per protegir la informació confidencial tant en repòs com en trànsit.
  6. Còpies de seguretat: Realitzar còpies de seguretat regulars de la informació crítica per garantir la seva recuperació en cas d’ incidents.
  7. Pla de resposta a incidents: Desenvolupar un pla clar per respondre ràpidament i eficaçment a possibles bretxes de seguretat.

Conseqüències de no implementar aquestes mesures

La manca d’ acords de confidencialitat i mesures de seguretat adequades pot tenir greus conseqüències per a les pimes:

  1. Pèrdua d’ avantatge competitiu: La divulgació de secrets comercials pot erosionar ràpidament la posició de l’ empresa en el mercat.
  2. Dany reputacional: Les bretxes de seguretat poden danyar greument la confiança dels clients i socis comercials.
  3. Sancions legals: L’incompliment de les normatives de protecció de dades pot resultar en multes significatives.
  4. Interrupció del negoci: Una bretxa de seguretat greu pot portar a la interrupció de les operacions i, en casos extrems, al tancament de l’ empresa.

En conclusió, per a les pimes, la implementació d’ acords de confidencialitat i mesures de seguretat robustes no és només una bona pràctica, sinó una necessitat crítica per a la seva supervivència i creixement. Aquestes mesures no només protegeixen els actius intangibles de l’empresa, sinó que també fomenten una cultura de seguretat, augmenten la confiança dels clients i socis, i proporcionen una base sòlida per al creixement sostenible en un entorn empresarial cada vegada més digitalitzat i competitiu.

Com sempre, cuideu les dades i cuideu-vos!

 

Nota tècnica (resum)

El Tribunal Superior de Justícia de València va confirmar l’acomiadament procedent d’una treballadora per descarregar, sense autorització, informació confidencial (know-how) de la seva empresa, Honeygreen SAU, mentre estava de baixa mèdica. Cal recordar que el know-how engloba coneixements tècnics i estratègics clau per a la competitivitat d’una empresa, per la qual cosa sol estar protegit per estrictes clàusules de confidencialitat que, en aquest cas, la treballadora no va respectar.  

El TSJ de València va subratllar que les clàusules addicionals i annexes signades de confidencialitat i sobre ús de mitjans informàtics i tecnològics, que recollien les normes, codis i protocols a seguir, impedien a la treballadora «no només l’ús fora de l’empresa d’arxius, documents, treballs, sinó, per suposat, la reproducció, còpia i enviament, precisament el que va incomplir».  

Per això, es va concloure que la conducta duta a terme per la treballadora suposava una transgressió de la bona fe contractual.

Podeu llegir la sentència aquí.

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

Canal de Denúncies?

per

Aquest mes de maig hem celebrat els cinc anys des de que va entrar en aplicació el Reglament General de Protecció de Dades. Amb les seves llums i les seves ombres, sembla clar que ha estat un pas molt important per la defensa de la nostra privacitat.

Doncs bé, el proper dia 13 de juny entra en aplicació una nova Llei, important per el compliment normatiu de les empreses: el conegut com “Canal de Denúncies”.

Antecedents

Transposant una Directiva europea, el passat 16 de febrer, el Congrés va aprovar la Llei 2/2023 Reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció. La Llei obliga, doncs, a empreses i entitats a habilitar un Canal de denúncies o canal intern de informació.

Què pretén la norma?

Protegir les persones que, en un context laboral o professional, detectin accions o omissions que puguin ser constitutives d’ infracció penal o administrativa greu o molt greu i les comuniquin mitjançant els mecanismes regulats en aquesta.

Què és un Canal de Denúncies?

És un sistema d’alertes que avisa la unitat responsable de compliment normatiu sobre presumptes males pràctiques en la gestió d’una empresa o organització. La prioritat d’ aquests canals és protegir les persones que denuncien, en especial, les que treballen en l’organització o estan relacionades amb aquesta i han de permetre realitzar la denúncia de forma completament confidencial i, si s’ escau, anònima.

És important per l’empresa?

És important per diverses raons. Aquí n’apuntem les principals que veurem en detall en un proper post.

  1. Detecció primerenca d’ irregularitats
  2. Prevenció de riscos i pèrdues financeres
  3. Foment de l’ètica i la transparència
  4. Compliment normatiu i legal
  5. Millora de la gestió de riscos
  6. Protecció de la reputació de l’empresa

En resum, proporciona als empleats i altres parts interessades una forma segura i confidencial d’informar sobre possibles problemes, la qual cosa beneficia tant l’organització com els seus stakeholders.

Qui està obligat?

Com a criteri general, a partir del 13 de juny totes les empreses públiques i privades de més de 250 treballadors i l’1 de desembre, les empreses de més de 50 treballadors.

Multes i sancions

No tenir Canal o incomplir les obligacions pot comportar una multa lleu fins a 25.000€. Les greus, per limitar drets i garanties, vulneració de la confidencialitat o no garantir el secret de les comunicacions, poden arribar als 50.000€. Les molt greus, bretxa de seguretat en el Canal, no comptar amb un sistema intern d’informació o adoptar represàlies, pot comportar multes molt importants. En el cas de la bretxa, s’aplicarien les sancions previstes en el RGPD (fins a 20M€ o el 4% de la facturació anual).

Què hem de fer?

Complir. Les normatives no són optatives. I no ja per les sancions, que no són plat de bon gust per a ningú, si no per les raons que hem detallat quan parlàvem de la importància que té per l’empresa.

I l’actiu intangible més important que té l’empresa és la salvaguarda de la seva reputació. No ho oblidem.

Cuideu-vos!

Nou Curs de Compliance Penal dissenyat per Molins Defensa Penal

per

Des de Tecnolawyer Academy ens satisfà anunciar el llançament d’una sèrie de Cursos de Formació online en matèria de Dret penal i de Compliance, desenvolupats conjuntament amb Molins Defensa Penal.

El primer és el Curs de Compliance per Empresaris, Professionals, Directius i Estudiants. El contingut ha estat dissenyat per advocats i doctors en Dret, penal especialistes en matèria de Compliance de Molins Defensa Penal i desenvolupat tècnicament per Tecnolawyer.

El Curs permet conèixer la situació actual a Espanya en matèria de responsabilitat penal de les persones jurídiques, així com els requisits que ha de contemplar tot Sistema de Compliance penal. D’aquesta manera, el destinatari podrà conèixer no només l’estat regulatori, sinó comprendre els fonaments bàsics d’un Sistema de Compliance penal i la seva posada en pràctica requisit per requisit.

S’orienta a empresaris, professionals, directius i estudiants que vulguin obtenir un coneixement transversal en matèria de Compliance penal per a la posterior posada en pràctica a l’empresa o desenvolupament professional.

Els nostres avantatges:

  • 3 hores de durada
  • Àudios de reforç
  • Situacions pràctiques
  • Jurisprudència
  • Materials descarregables
  • 30 dies per realitzar el Curs
  • Test final amb Acreditació
  • Garantia d’excel·lència acadèmica

Més informació

La ciberseguridad sigue siendo una materia suspendida y pendiente

per

La norma ISO 27001 establece las pautas para implementar y mantener un sistema de gestión de seguridad de la información efectivo según criterios aceptados internacionalmente. El seguimiento de este protocolo da derecho a la empresa u organismo a obtener una certificación temporal, se mantiene por tres años, que acredita la seguridad de los datos.

El bajo nivel de ciberseguridad en España

En España son todavía muy pacas las empresas que cuentan con este tipo de certificación que en otros países es casi un requisito imprescindible. Esto nos puede arrojar una idea del deficitario nivel de ciberseguridad que mantenemos en el parque empresarial español y que afecta principalmente a las pequeñas y medianas empresas.

En 2016 el Ministerio del Interior estableció la cifra de ciberataques sufridoss en 105.000. A pesar de esto y de las constantes noticias sobre la penetración por una brecha de seguridad de sistemas de grandes compañías, la empresa española sigue cerrando los ojos ante este problema.

El 47 % de las pymes tiene problemas para adaptarse a la normativa. Sorprende ver un gran número de páginas webs que ni siquiera presentan el obligado aviso de privacidad y constatar como muchas de las empresas que recaban datos personales a través de landing pages no cumplen con los requisitos de registro y planes de seguridad establecidos por ley.

Pero ni siquiera las fuertes sanciones que ya se vienen produciendo parecen tener capacidad de sensibilizar al sector empresarial del grave problema al que se enfrentan. Y así, nuestro país se sitúa a la cola del mundo en este campo como ya se estableció en el informe del Índice Mundial de Ciberseguridad y Perfiles del Bienestar del año 2015.

Una imagen que se proyecta al usuario

Sin embargo, como usuarios cada día valoramos más la imagen que nos traslada la empresa a través de su presencia online. Empezamos a rechazar acceder a páginas que no presentan un certificado SSL o que, por cualquier circunstancia, puedan darnos la impresión de que nuestros datos no van a ser tratados con el rigor que precisan.

La ciberseguridad es la asignatura pendiente de la empresa española. Una cuestión que comienza a afectar seriamente a su reputación y que incide directamente en sus expectativas de negocio.

No solo es necesario ya emplear herramientas y recursos para contar con un perfecto SGSI, sino demostrarlo y exhibirlo como arma de reputación que exponga la responsabilidad y confiabilidad de la empresa. 

Certificados SSL, plataformas de pago seguras, cumplimiento de legalidad aparente y demostrable y certificaciones ISO 27001 son elementos de reputación que trasmiten valor a los clientes.

El 47 por ciento de las pymes admiten que les cuesta adaptarse a la política de cumplimiento normativo

per
El 47 por ciento de las pymes admiten que les cuesta adaptarse a la política de cumplimiento normativo

El 47 por ciento de los participantes en el Primer Diálogo de Compliance ASCOM, celebrado el pasado jueves en el Colegio de Abogados de Barcelona (ICAB) -todos representantes de las asociaciones empresariales PIMEC y Foment del Treball-, admitieron, en una encuesta, que les cuesta adaptarse a la política de cumplimiento normativo impuesta por el legislador. La pregunta que se les planteó era si las empresas están preparadas para afrontar esos retos. La respuesta fue […]

La llegada de IDD y su impacto en la privacidad

per
La llegada de IDD y su impacto en la privacidad

“La llegada de IDD y su impacto en la privacidad”, tribuna de Inmaculada Aller, abogada de ECIJA para The Law Clinic. Los principales cambios que se introducen con La Directiva 2016/97 del Parlamento Europeo y del Consejo del 20 de enero de 2016, sobre la distribución de seguros, (en adelante, IDD) y su impacto en la Privacidad y la normativa de Protección de Datos, la cual debería haber sido objeto de transposición con fecha […]

Peritos Judiciales, parte determinante y decisiva en cualquier proceso

per
Peritos Judiciales, parte determinante y decisiva en cualquier proceso

La labor de los peritos es fundamental a la vez que determinante en muchos casos en los que se precisa de valoraciones tan precisas como podría ser el valor de unos bienes para ser embargados, en el caso del reparto de bienes dentro del marco de una herencia así como en otros procesos en los que su papel resulta determinante para poder dictar una sentencia que precise de este tipo de valoraciones que en […]

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web