7 junio, 2011

La reforma del Código Penal y los profesionales del control interno

Antonio Ramos, presidente de ISACA Madrid Chapter y socio director de n+1 Intelligence & Research. CISA, CISM, CRISC.

antonio_ramosHan pasado ya más de tres meses desde la entrada en vigor de la reforma del Código Penal y, por el momento, parece que poco ha cambiado o, al menos, que nos hayamos podido enterar a través de los medios; no hemos tenido noticia de ninguna empresa acusada penalmente por sus actuaciones o alguna persona siendo imputada por uno de los nuevos delitos tipificados gracias a la reforma. Pero, qué duda cabe, que es pronto y no tardaremos en presenciar cómo esta reforma da pie a más de uno (y más de dos) titulares en relación a los aspectos documentados.

Aunque la norma suponga una evolución, no resuelve los principales problemas existentes

Por este motivo, cuando nos planteamos en el seno del Capítulo de Madrid de ISACA qué temática podríamos dar al desayuno que se cubre en este número de la revista, la reforma del Código Penal apareció rápidamente sobre la mesa. ¿Por qué? Esencialmente por dos motivos relacionados con dos grandes modificaciones que introduce la reforma: a saber, la tipificación como delito penal de algunos ataques y la responsabilidad penal de las organizaciones:

1. La primera, porque abre una nueva vía para responder a los ataques que sufren las organizaciones por la vía penal.
2. Y, la segunda, (y a mi juicio más importante), porque los profesionales que forman parte de la asociación (ya sea como auditores internos o externos, como responsables de Seguridad, como consultores o como asesores legales) van a verse afectados, de una forma u otra por dicha reforma.

Empezando por la primera, aunque la reforma es indudable que ha supuesto una evolución, no es suficiente para cubrir todas las casuísticas existentes. Esto, con el Código Penal, siempre es así: Los delincuentes ‘evolucionan’ los delitos más rápido de lo que los legisladores son capaces de tipificarlos en las leyes. Pero, por otra parte, quizás podría haberse adoptado otro modelo para considerar los delitos “telemáticos” puesto que, al final, no dejan de ser nuevas modalidades de delitos ya existentes en el ‘mundo real’ pero variando las herramientas y los medios utilizados.

En cualquier caso, sigue subsistiendo el problema esencial que no va a resolver ningún Código Penal; me refiero a que se trata de luchar contra un problema global (ataques y fraudes en Internet) con medios locales (leyes y procedimientos de aplicación local). Por tanto, como digo, aunque la reforma supone una evolución, tampoco puede considerarse que sea una revolución o que haya resuelto los principales problemas existentes.

Responsabilidad penal

Respecto a la segunda modificación comentada (la responsabilidad penal de las organizaciones), sí creemos que va a tener un impacto considerable en el entorno empresarial y, por tanto, en los profesionales del control y del gobierno de TI que desempeñamos nuestra función en este campo. En resumen, el nuevo sistema funcionaría de la siguiente manera:

  • La persona jurídica responderá siempre, si los hechos hubieran sido cometidos por sus representantes o administradores (conocida como culpa in eligendo).
  • También responderá la persona jurídica cuando los hechos hubieran sido cometidos por las personas que se encuentran al servicio de los anteriores o bajo su autoridad y, aquí viene lo interesante: si no hubiera existido el ‘debido control’ (es decir, una due dilligence relativa al control puede ser un atenuante), conocida como culpa in vigilando.

Por otra parte, la persona jurídica debe colaborar en la prevención de los hechos delictivos que se pudieran cometer en su seno (de nuevo, el control interno) y, en el caso de que el delito ya se hubiera producido, debe implantar medidas correctoras para evitar que se repita (este aspecto, tiene la consideración de atenuante). También hay que saber que, aunque suene raro, si la persona jurídica aporta pruebas que refuerzan su propia culpabilidad, también se consideraría atenuante. Finalmente, apuntar que, aunque exista responsabilidad de la persona jurídica, no excluye la personal de los autores directos de los hechos.

La consideración como atenuante de las medidas de control que tuviera implementadas la organización para la determinación de las penas (culpa in vigilando) tendrá efecto sobre la profesión, aunque con matices muy diferentes según el rol, ya que este asunto (el entorno de control establecido) va a pasar a ser, si no lo era ya, un tema de debate en los Consejos de Administración y en los Comités de Dirección. Seguramente, muchas organizaciones comenzarán por dotarse o por adaptar sus códigos de Gobierno Corporativo y los de conducta internos (lo que en el ámbito anglosajón se denomina normalmente compliance programs) aunque no exista ningún tipo de reconocimiento u homologación de que lo que se haya creado sea suficiente o no.

A los responsables de Seguridad se les va a pedir que implementen las medidas de ‘debido control’

En cualquier caso, como decíamos, los profesionales del control van a tener que considerar esta reforma del Código Penal en su día a día:

  • A los auditores internos se les va a preguntar si el entorno de control definido e implementado es adecuado o no, si habría que mejorarlo, los riesgos en los que está incurriendo la organización con la situación existente, etc. Por este motivo, las unidades de Auditoría Interna tendrán que, posiblemente, ampliar o profundizar su repertorio de revisiones para dar cobertura a este requerimiento de sus Consejos / Comités de Auditoría.
  • En el caso de los auditores externos, tenemos una doble vertiente. La interna de sus propias organizaciones, es decir, donde podría actuarse por la vía penal contra las firmas de auditoría por lo que hubieran hecho sus auditores. Y la externa, muy similar a la de los auditores internos, puesto que, probablemente, recibirán encargos de sus clientes para evaluar y mejorar los entornos de control existentes.
  • A los responsables de Seguridad se les va a pedir que implementen las medidas de control interno que correspondan, lo que, en muchos casos, podría suponer una ampliación de recursos en su departamento para la implantación de nuevas medidas. Pero, sobre todo, va a requerir de una mejora de los mecanismos de monitorización para poder demostrar, en caso de necesidad, que las medidas de control estaban establecidas y no se pudo evitar el hecho que se esté investigando (incluso cuando hablemos de usuarios de sus sistemas de información que no fueran empleados de la organización y siempre respetando, claro está, los principios de idoneidad, necesidad y proporcionalidad conforme a lo recogido por la jurisprudencia actual en materia de control de la actividad laboral del empresario).
  • En cuanto a los consultores externos, además de la ya comentada vertiente interna de sus propias organizaciones, pueden encontrarse con peticiones de clientes para que diseñen y operen sus medidas de control en un intento por traspasar las posibles responsabilidades penales en caso de incidentes. En estas situaciones será muy importante el soporte contractual de la relación para analizar el reparto de responsabilidades (si ha lugar), en caso de que fuera necesario. Este asunto está lleno de matices y daría pie, él solo, para una reflexión que no podemos abordar por limitaciones de espacio: ¿Quién decide los controles? ¿Es lo mismo un error de definición del control que uno de ejecución? ¿Cómo se gestionan las excepciones?…
  • Finalmente, aunque no menos importante, ni mucho menos, tenemos el caso de los asesores legales. Con independencia de que lideren este tema, lo que está claro es que van a tener que trabajar codo con codo con los roles más técnicos para identificar, evaluar, diseñar y mejorar el entorno de control interno de forma que tengan argumentos suficientes para defender si fuera preciso que el entorno de control establecido era adecuado y puedan utilizarlo como atenuante (¿eximente?) en un juicio.

Al igual que ocurrió cuando se publicó la Ley Orgánica 5/1992 de Regulación del Tratamiento de los Datos de Carácter Personal que provocó un auge de todo lo relacionado con la privacidad y los controles asociados, quizás esta reforma del Código Penal y el hecho de que las personas jurídicas puedan ser imputadas penalmente suponga el respaldo necesario para que un tema como el gobierno de TI ocupe, de una vez por todas, el hueco que debiera estar ocupando en la agenda de la Alta Dirección de nuestras organizaciones.

En definitiva, un tema apasionante que sólo el paso del tiempo y la actuación de los juzgados nos permitirá evaluar en cuanto a su dimensión e impacto, pero que, adoptando una actitud precavida deberíamos considerar desde ya mismo y, como diría un abogado, preconstituir prueba, documentando y demostrando que nuestro entorno de control interno ha sido definido, implementado y supervisado de manera responsable. Veremos lo que nos depara el futuro. factorsWeb practiceDuke Ellington