La necesidad de implementar un programa de cumplimiento normativo sólido no debería ser percibido por una empresa como una carga, sino como una oportunidad de negocio con la que lograr tanto eliminar los riesgos penales por la comisión de delitos en el seno de la compañía, como consolidar su buena reputación en el mercado y obtener ventajas competitivas frente a otros. Creo que todos los empresarios, administradores o consejeros deberían tener cubierta la responsabilidad penal en la empresa en el supuesto que se produzca alguna actuación ilícita, tanto por miembros del órgano de administración como por empleados: ser socialmente responsable no sólo mejorará la percepción de terceros sobre su empresa, sino que le permitirá acceder a la eximente de responsabilidad penal de la persona jurídica del Código Penal, siempre y cuando tenga correctamente implementado un buen sistema de prevención de delitos.

Los corporate compliance o cumplimientos normativos nacieron en Estados Unidos como mecanismo de defensa de la empresa frente a empleados o colaboradores desleales cuyas conductas, delictivas o no, ocasionasen graves perjuicios a terceros, generando un cierto beneficio para la compañía sin que ésta lo hubiese consentido ni tuviese un conocimiento directo de tales prácticas. España no se podía quedar atrás: tras la reforma operada en el Código Penal por la LO 1/2015 de 30 de marzo, se introduce en nuestra legislación la figura del “Legal Compliance”. Se rompe, así, con la antigua posición que ostentaban las mismas en el derecho español, pues carecían de responsabilidad penal.

Asimismo, dentro del vasto compendio que supone el conjunto de todos los textos de carácter internacional, estos pueden diferenciarse en dos grupos: por un lado, nos encontramos con los textos de carácter vinculante o de hard law y aquellos que carecen de dicho carácter vinculante englobados dentro del grupo de soft law. Así, dentro de la primera tipología de textos de hard law, formarían parte de la misma todos aquellos instrumentos, ya sea en forma de Tratados, Pactos, Convenciones o Acuerdos, cuyo reconocimiento lleve aparejada una obligación de observancia y cumplimento de los mismos. Por su parte, dentro de la segunda tipología de textos de soft law, y por tanto como textos desprovistos de carácter vinculante, querían recogidos aquellos materializados en forma de Declaración, Recomendaciones, Directrices o Principios en los que, si bien pueden formar parte de un marco jurídico-normativo, no existe una fuerza coactiva que, como tal, imponga su obligación de cumplimiento, sino que únicamente esa fuerza se configura como una obligación de carácter moral.

Las nuevas tecnologías, en especial la LOPD, se apoyan en normas de derecho blando. Es por esto que en los últimos años somos testigos de un impulso del soft law o Derecho no vinculante, especialmente por lo que respecta a la protección de los consumidores y/o usuarios en Internet en general y en materia de privacidad en el ámbito del comercio electrónico en particular. El Derecho no vinculante o voluntario es el conjunto de instrumentos que, aunque no ostentan el carácter imperativo que caracteriza a las normas jurídicas, pueden afectar de manera significativa al panorama legislativo, promoviendo la estandarización de determinadas prácticas.

Tal aspecto resulta posible gracias al fenómeno de la autorregulación. Las ventajas de este sistema radican en su carácter voluntario, lo que facilita considerablemente su aplicación práctica y su cumplimiento sin necesidad de intervención e imposición de los poderes públicos, flexibilidad y especialización, desarrollo de estándares que garantizan elevados niveles de corrección, y cubrir eventuales lagunas de carácter legal. Asimismo, es preciso tener en cuenta las ventajas de ahorro de tiempo y de recursos jurídicos y económicos para los poderes públicos que puede conllevar la potenciación de estas técnicas de autorregulación. En definitiva, la presencia de tales aspectos constituye un sistema verdaderamente eficaz y aconsejable para la tutela de la privacidad en Internet.

La aparición de normas tan relevantes como el RGPD y la LOPDGDD han obligado a todo tipo de organizaciones a revisar su modelo de control interno de datos y configurarlo conforme a nuevos principios como enfoque a riesgos, privacidad en el diseño y responsabilidad proactiva. Compliance y protección de datos personales son dos términos estrechamente relacionados: La nueva legislación lo que busca es que haya una "protección efectiva" real, que funcione, y obliga al sujeto propietario o tratante de datos a poner en marcha aquello que sea necesario para lograr esta protección. Este es un concepto propio del cumplimiento normativo.

De conformidad a los artículos 24 y 32 del Reglamento Europeo de Protección de datos (RGPD), el responsable del tratamiento, en este caso la empresa o la organización, tiene la obligación de garantizar la seguridad de los datos de carácter personal que haya recabado, aplicando en cada momento las medidas necesarias para evitar cualquier daño y respondiendo por todos daños que sufran esos datos. En definitiva, para cumplir con las obligaciones impuestas en materia de protección de datos, es necesario dotar a esos datos de unas medidas de seguridad adecuadas, y crear un procedimiento o protocolo que permita minimizar el riesgo, genere una cultura de cumplimiento y dote a la organización de un sistema de alertas e incidencias (compliance). Uno de los objetivos de una estrategia de cumplimiento normativo es prevenir los posibles incumplimientos de ley y los riesgos que conllevan. La lucha contra el fraude interno, casos de corrupción y cualquier acción que genere responsabilidades jurídicas es contemplada; también el uso fraudulento de bases de datos con información personal de usuarios y clientes.

En definitiva, la clave para lograr que un programa de cumplimiento normativo sea eficiente es la creación de un buen mapa de riesgos, ajustado a las realidades de la empresa y localizando los verdaderos fallos o las posibilidades de fallas inherentes en una actividad, o que se pueda cometer un posible delito.