Importe iva incluido, 69,31€
Páginas: 750
Fecha: Septiembre 2019
Autores: ver relación
Herramienta completa para el análisis, la valoración y el planteamiento de las diferentes casuísticas en las que puede encontrarse una persona jurídica en el momento de implantar y dar continuidad a su modelo de organización y gestión.
Revisión y estudio de las exigencias recogidas en la UNE 19601 así como en la ISO 37001
Coordinador
XABIER RIBAS ALEJANDRO / Socio Ribas y Asociados
Autores
– ÁLVARO DEL HOYO MANENE / Consultor de seguridad de la información
– ÁLVARO GÓMEZ / Socio Andersen Tax&Legal
– ANABEL CASAHUGA MONTSERRAT / Legal Compliance Manager Abertis Infraestructuras, S.A.
– CARLOS VICENTE / Head of Marketing & Sales Procurement Danone, S.A.
– CLAUDIO AGUILÓ CASANOVA / Asociado Andersen Tax&Legal
– ELEAZAR MARTÍNEZ ESPEJO / Corporate & Cluster Compliance Manager Danone, S.A.
– ELENA CAMPO / Abogada expert en Derecho Penal y Compliance Ribas y Asociados
– ELISABET ESCAYOLA MARANGES / Head of Compliance Spain Bank Degroof Petercam Spain S.A.U.
– ELOI FONT / Socio-directorFont Advocats
– GISELA SUBIRÀ AMORÓS / Directora Asesoría Jurídica y Compliance Allianz Compañía de Seguros y Reaseguros, S.A.
– JAVIER SÁNCHEZ MARQUIEGUI / Abogado
– JESÚS MARINETTO IGLESIAS / Abogado y Economista.
– JOSÉ LUIS PÉREZ GUILLAMÓN / Abogado experto en corporate compliance, IT& IP y Data Protection Ribas y Asociados
– JUAN JORGE GILI FLORENSA / Senior Corporate Risk Manager Novartis
– JUDITH ANTON TEIXIDÓ / Compliance Officer y Directora de RSC Suministros Eléctricos Industriales Anton Teixidó
– LAURA COLL/ Coordinadora de Healthcare Compliance Boehringer Ingelheim España
– MARC CASADO LÓPEZ / ConsultorRibas y Asociados
– MARC RIUS CALAVERAS / Abogado experto en Privacidad y Datos PersonalesRibas y Asociados
– MARÍA DEL MAR VERDET RÓDENAS / Directora Jurídica Empresa: Mecalux, S.A.
– MARÍA DÍAZ DÍEZ / Counsel and Chief Compliance Officer Equivalenza Retail SL
– Mª JOSÉ ADAMUZ PEÑA / Founding Partner and Senior Consultant MO&MA Crisis Management Consultants S.L.
– MONTSE MASSUET SOLER / Manager Legal Uriach
– ÓSCAR SERRANO ZARAGOZA / Fiscal de Delitos Económicos de la Fiscalía Provincial de Barcelona
– PATRICIA GARCÍA PÉREZ / Técnica en Compliance Abertis Infraestructuras, S.A.
– PAULA GÓMEZ DOÑATE / Abogada experta en corporate compliance, IT& IP y Data Protection Ribas y Asociados
– RAMÓN FAUS SANTASUSANA / Socio Andersen Tax&Legal
– REBECA VELASCO GUTIÉRREZ / Abogada experta en Privacidad y Datos Personales Ribas y Asociados
Incluye
- Planteamiento práctico de las diferentes exigencias y casuísticas
- Planteamiento de casos prácticos de los principales de delitos que pueden suponer responsabilidad penal para las personas jurídicas
- Propuesta de estructuras y herramientas para una correcta implantación de un modelo de prevención y control adecuado en función de las necesidades de las personas jurídicas
- Inclusión de mapas de riesgos sectoriales
- Análisis detallado de los sectores con mayor riesgo
CONTENIDOS
1. 25 argumentos a favor del Compliance
I. ¿Cómo convencer a un directivo sobre la necesidad de establecer un modelo de cumplimiento en su empresa?. 34
1. 25 argumentos para directivos que no creen en el compliance. 34
2. Argumento 01 – Reducción de la vulnerabilidad de la empresa derivada de la progresiva precariedad de los círculos de confianza. 34
3. Argumento 02 – Reducción de la vulnerabilidad de la empresa derivada del progresivo incremento de los programas de clemencia y de recompensa a confidentes. 35
4. Argumento 03 – Mayor conocimiento de la empresa y de las actividades y riesgos de cada departamento. 36
5. Argumento 04 – Eficiencia operativa derivada de la mejora de procesos y de la menor dedicación a la reparación de incumplimientos. 37
6. Argumento 05 – Ahorro de costes derivados de pleitos, sanciones, indemnizaciones, pérdida de facturación y contratos públicos. 38
7. Argumento 06 – Reducción de las sanciones en materia de competencia, protección de datos y otras infracciones administrativas. 38
8. Argumento 07 – Efecto disuasorio de la percepción del control, de acuerdo con la teoría de las ventanas rotas. 39
9. Argumento 08 – Mayor descentralización y eficacia del control. 39
10. Argumento 09 – Distribución de responsabilidades coherente con el criterio de proximidad del riesgo. 40
11. Argumento 10 – Incremento de la coordinación entre departamentos eliminando controles solapados y esfuerzos antagónicos. 40
12. Argumento 11 – Ampliación del perímetro de control y mejora del control de proveedores y socios de negocio. 41
13. Argumento 12 – Aseguramiento de que ningún control quede sin asignar a un responsable. 42
14. Argumento 13 – Creación de cortafuegos que ayuden a aislar la responsabilidad en los verdaderos autores del incumplimiento. 42
15. Argumento 14 – Estrategia de defensa basada en pruebas preconstituidas, ordenadas, centralizadas y con sello de tiempo (defense file). 42
16. Argumento 15 – Prevención del riesgo reputacional derivado de la implicación de la empresa en tramas de corrupción y otros delitos. 43
17. Argumento 16 – Exigencia de inversores, accionistas y fondos activistas. 44
18. Argumento 17– Continuidad del negocio y sostenibilidad basada en el cumplimiento. 45
19. Argumento 18 – Prevención de responsabilidad heredada en fusiones y absorciones. 45
20. Argumento 19 – Mejora de la posición en concursos públicos y privados. 46
21. Argumento 20 – Mejora de la posición en operaciones de financiación y refinanciación. 46
22. Argumento 21 – Reducción del riesgo de exclusión del mercado ante la progresiva vigilancia entre empresas y la exigencia recíproca de compliance. 47
23. Argumento 22 – Mejora de los resultados al plantear el cumplimiento como un factor diferencial frente a los competidores. 47
24. Argumento 23 – Incremento de la confianza del mercado en la empresa a través de los indicadores de cumplimiento en la memoria de RSC o en su portal ético. 47
25. Argumento 24 – Mejora de la posición negociadora al contratar o renovar un seguro de responsabilidad civil (D&O y RC). 48
26. Argumento 25 – Exención o atenuación de la responsabilidad penal. 48
2. Modelo de Prevención y Control
I. Introducción. 51
II. Antecedentes. 52
III. Diseño del modelo: contenido y estructura. 53
1. Contenido del modelo de prevención y control. 53
2. Estructura del modelo de prevención y control. 53
2.1. Estructura básica del modelo de prevención y control de acuerdo a las exigencias del Código Penal. 53
2.2. Estructura recomendada del Modelo de Prevención y Control. 54
IV. Estándares internacionales. 55
1. Introducción. 55
2. Principales ámbitos de cumplimiento. 55
2.1. Benchmarking a través de estándares internacionales. 56
V. Contenido exigido en la reforma del código penal de 2015. 56
VI. Gestión del compliance de acuerdo a UNE 19601. 57
1. Introducción. 57
2. Objeto y ámbito de aplicación. 59
2.1. Objeto. 59
3. Contexto de la organización. 59
4. Controles establecidos por la UNE 19601. 60
4.1. Responsabilidades del órgano de gobierno. 60
4.2. Órgano de compliance penal. 61
4.3. Alta Dirección. 62
4.4. Política de compliance penal. 62
4.5. Evaluación de los riesgos penales. 63
VII. Requisitos de idoneidad y eficacia. 64
1. Requisito de idoneidad. 64
1.1. Circular 1/2016 de la Fiscalía General del Estado. 64
2. Requisito de eficacia. 65
2.1. Circular 1/2016 de la Fiscalía General del Estado. 66
VIII. Make-up compliance, fake compliance y coartadas corporativas. 68
IX. Protocolo de formación de la voluntad societaria
1. Protocolo de toma de decisiones. 69
2. Información previa necesaria a la toma de decisiones. 71
X. Modelo de gestión de los recursos económicos. 71
XI. Apoyo del consejo y de la alta dirección. 71
XII. Proceso de aprobación. 72
XIII. Compliance en la empresa familiar. 72
3 Estructura documental
I. Introducción. 75
1. Reglas para desarrollar normativa interna. 76
1.1. Tipos de la normativa interna. 77
1.2. Aplicabilidad de la normativa. 87
1.3. Estructura de la normativa interna. 87
2. Requisitos exigibles en la estructura documental. 88
3. Ciclo de vida de la documentación. 90
3.1. Promoción y redacción del contenido. 90
3.2. Revisión del contenido. 90
3.3. Aprobación. 91
3.4. Publicación y comunicación de la normativa. 91
3.5. Resumen del proceso de elaboración de normativa. 91
3.6. Actualización de una normativa existente. 92
3.7. Normativa obsoleta. 92
4. Normativa mínima que se debe disponer. 93
5. Control de la aplicación de la normativa. 95
4 Código ético
I. Estructura y contenido. 97
II. Principios éticos. 102
III. Tabla de correspondencia entre principios éticos y delitos. 104
IV. Niveles de madurez en el contenido de un código ético. 105
V. Aceptación interna del código ético. 107
VI. Aceptación externa del código ético: proveedores y clientes. 108
VII. Conflicto ente código ético de matriz extranjera y filial española. 109
VIII. Conflicto entre código ético de matriz española y filial extranjera. 113
IX. Conflicto entre código ético de proveedor y cliente. 113
X. Nivel de coincidencia entre cultura escrita y cultura real. 115
XI. Bibliografía. 117
5 Estructura de control en un grupo de empresas internacional
I. Introducción. 120
II. ¿El porqué del Compliance?. 120
1. ¿Necesidad de Compliance?. 120
III. ¿Quién controla?. 121
1. ¿Quién es el primer órgano controlador de la estructura de Compliance?. 121
2. ¿El órgano de administración puede delegar su función de control?. 122
3. ¿De quién dependerá organizativamente el Chief Compliance Officer?. 124
4. ¿Compliance centralizado o descentralizado?. 127
5. ¿Más órganos de control?. 127
IV. ¿Qué materias quiero controlar?. 129
1. ¿Cuáles son los aspectos clave para identificar las materias prioritarias de Compliance?. 129
2. ¿Exigencias legales de obligatoriedad de Compliance?. 130
3. ¿Riesgo de imputación penal para las empresas del grupo?. 132
4. ¿Riesgo grupo empresas?. 133
5. ¿Riesgo cuantía de las sanciones?. 134
6. ¿Política de control y gestión de riesgos?. 134
7. ¿Política de responsabilidad social corporativa?. 135
8. ¿Cuáles son las materias prioritarias en un programa de Compliance internacional?. 136
9. ¿A quién controlamos?. 139
V. ¿Tipos de control?. 139
1. Preventivos. 139
1.1. Controles transversales a toda la estructura de Compliance de grupo. 139
1.2. Controles sectoriales para cada Compliance sectoriales. 147
2. Proactivos. 147
3. Reactivos. 151
3.1. Planes de mitigación. 151
3.2. Régimen de incentivos. 151
3.3. Régimen sancionatorio. 152
6 Comité de Compliance y Comité ético
6.1 Comité de Compliance. Compliance Officer
I. Base jurídica de la función de Compliance. 155
II. Alcance de la función de Compliance. 157
III. Independencia de la función de Compliance. 158
IV. Protección frente a represalias. 159
V. Ubicación en el organigrama de la empresa. 160
VI. Perfil de los profesionales que asumen la función de Compliance. 161
VII. Órgano unipersonal vs. órgano colegiado. 163
1. Órgano con funciones exclusiva. 165
2. Vigilancia y supervisión de este órgano por el comité de auditoría. 165
VIII. Composición del Comité de Compliance. 166
IX. Función de control vs. función de coordinación. 168
X. Función interna vs. función externalizada. 170
XI. Responsabilidad civil y penal de la función de Compliance. 170
XII. Bibliografía. 175
6.2 Comité Ético
I. Funciones del comité ético. 179
II. Composición del comité ético. 186
III. Ubicación en el organigrama de la empresa. 189
IV. Protocolo de gestión de una comunicación de riesgo. 191
V. Obligaciones de confidencialidad. 195
VI. Responsabilidad civil y penal del comité ético. 196
7 Responsabilidad de los directivos
I. Introducción. 200
II. Responsabilidad de los administradores y del consejo de administración. 201
1. Actuaciones en nombre de otro. Artículo 31 CP/1995. 202
2. Comisión por omisión. Artículo 11 CP/1995. 208
3. Delitos comunes realizados por los administradores. 214
4. Responsabilidad de los administradores como presupuesto de la responsabilidad penal de la persona jurídica. 216
5. Colegialidad y responsabilidad. 217
III. Responsabilidad del secretario del consejo y del letrado asesor del consejo. 219
1. Responsabilidad del secretario del consejo. 219
2. Responsabilidad del letrado asesor. 221
IV. Responsabilidad del asesor jurídico interno. 223
V. Responsabilidad del compliance officer. 224
VI. Responsabilidad del director financiero y auditor interno. 228
1. Responsabilidad del director financiero. 228
2. Responsabilidad del auditor interno. 229
VII. Responsabilidad de los restantes directivos. 229
VIII. Defense file individual del directivo. Conflictos entre el defense file individual y el defense file corporativo. Defense file individual y discovery. 231
IX. Responsabilidad civil y seguros de administradores y directivos (D&O). 232
1. Responsabilidad civil. 232
2. Seguros D&O. 233
X. Conclusiones. Acciones a desarrollar por el compliance officer. 235
XI. Bibliografía. 236
8 Formación y sensibilización
I. Introducción. 239
II. Sistematizar y estandarizar el cumplimiento normativo. 250
III. El estándar UNE 19601 como sistema de gestión. 251
IV. Formación presencial. 252
V. E-learning. 256
VI. Coaching de cargos específicos. Liderazgo responsable. 257
VII. Trazabilidad y seguimiento de la formación. 257
VIII. Sellado de tiempo de las evidencias. 257
IX. Mensajes recordatorios. 258
X. Folletos. 258
XI. Avisos, pop-ups y salvapantallas. 258
XII. Bases de datos con campos forzosos. 259
9 Elaboración y gestión de mapas de riesgos mediante Excel y mediante una aplicación informática
I. Introducción. 261
II. Diferencias entre la gestión de mapas de riesgos mediante una hoja de cálculo y una aplicación informática. 262
III. Representación de mapas de riesgos. 264
IV. Caso práctico: elaboración y gestión de mapas de riesgos mediante hojas de cálculo. 265
1. Entrada de datos y cálculos realizados. 266
2. Interpretación y gestión de los datos de salida. 273
V. Caso práctico: elaboración y gestión de mapas de riesgos mediante una aplicación informática. 276
1. Entrada de datos y cálculos realizados. 276
2. Interpretación y gestión de los datos de salida. 281
10 Investigaciones internas y canales de denuncia
10.1 Investigaciones internas
I. Introducción. 287
II. Proceso de investigación. 289
1. Planificar la investigación. 289
2. Buscar y recopilar información. 290
2.1. ¿Qué, cuándo, quién, dónde, por qué y cómo?. 290
2.2. Entrevista de la persona denunciante (a menos que se investigue una denuncia anónima o sobre la base de meros indicios o fundadas sospechas). 291
2.3. Entrevista de los testigos. 291
2.4. Buscar y recopilar todos los datos relevantes. 292
2.5. Entrevista de la persona denunciada. 293
2.6. Confidencialidad. 294
2.7. Reseña de las entrevistas. 294
2.8. Cumplimiento de la ley y del convenio colectivo. 294
3. Evaluar los hechos. 295
4. El informe de la investigación. 295
III. Adopción de medidas. 296
IV. Comunicación a las partes. 297
V. Interposición de una denuncia con mala fe. 297
VI. Anexo 1 – Entrevista con un testigo. 297
VII. Anexo 2 – Entrevista con la persona investigada. 298
10.2 Canales de denuncia de irregularidades en la empresa
I. Antecedentes y marco legal. 299
II. ¿Por qué implementar un canal de denuncias?. 303
III. Consulta de los representantes legales de los trabajadores. 305
IV. Gestión del canal de denuncias. 306
V. Operativa. 307
VI. Admisibilidad de las denuncias anónimas. 309
11 Sistema disciplinario
I. Procedimiento exigido en la reforma del Código Penal de 2015. 313
1. Integración en el sistema sancionador laboral. 314
2. Límites a la potestad sancionadora. 315
2.1. Límites materiales. 315
2.2. Límites formales. 316
2.3. Límite temporal. 316
3. Existencia de normas y protocolos internos de actuación claros. 318
4. Otras medidas. 319
II. Remisión al sistema disciplinario del convenio colectivo. 320
1. Remisión de los códigos éticos al sistema disciplinario laboral. 320
2. Clasificación de las infracciones en los Convenios Colectivos. 321
3. Graduación de las sanciones. 323
4. Medidas cautelares. 323
III. Proporcionalidad de las sanciones. 324
IV. Coordinación con el departamento de Recursos Humanos. 325
1. El papel del departamento de Recursos Humanos. 325
2. Participación en el proceso de investigación. 327
3. Tramitación del procedimiento sancionador. 327
V. La sanción como prueba de la eficacia del modelo. 328
VI. Sanción de directivos. 329
1. Concepto de directivo. 329
2. ¿Quién supervisa al directivo?. 330
3. Sanciones aplicables a los directivos. 331
3.1. Régimen especial de alta dirección. 331
3.2. Régimen mercantil. 332
4. Compatibilidad entre las sanciones de distintos órdenes. 333
5. Especialidades del procedimiento sancionador del directivo. 334
VII. Bonus por buenas prácticas en materia de compliance. 335
12 Indicadores y reporting
I. Principales indicadores a tener en cuenta. 338
1. Indicadores relacionados con el riesgo. 339
1.1. Nivel de riesgo. 339
1.2. Fichas de delitos. 339
1.3. Nivel de prioridad de delitos. 339
1.4. Mapa de riesgos. 340
1.5. Riesgo de denuncia. 340
2. Indicadores relacionados con el debido control. 341
2.1. Nivel de evidencia del debido control. 341
3. Indicadores del modelo de Cumplimiento normativo. 342
3.1. Modelo de prevención y control. 342
3.2. Estructura de control. 344
3.3. Comité de Compliance. 345
3.4. Canal ético. 345
4. Indicadores relacionados con los controles establecidos por el programa. 345
4.1. Código ético. 345
4.2. Políticas, normas y procedimientos. 348
4.3. Responsabilidad social corporativa. 352
4.4. Protección de los datos personales (LOPD). 352
4.5. Programa de formación y sensibilización. 352
4.6. Control de proveedores. 354
5. Indicadores relacionados con los riesgos producidos. 355
5.1. Establecimiento de medidas disciplinarias. 355
5.2. Repositorio de evidencias. 358
5.3. Revisiones e informes. 359
II. Indicadores cuantitativos. 359
1. Indicadores relacionados con el medio ambiente. 359
2. Indicadores referentes al control sobre los proveedores. 359
3. Indicadores referentes a la mejora continua. 360
4. Indicadores sobre la formación. 361
5. Indicadores referentes a la protección de datos personales. 361
6. Indicadores sobre la política de regalos y el control de la corrupción. 362
7. Indicadores sobre incumplimientos. 363
8. Indicadores sobre la comprensión del programa. 363
9. Indicadores sobre el análisis de riesgos. 363
10. Indicadores sobre los controles. 363
11. Indicadores de la difusión del programa. 363
12. Indicadores sobre transparencia. 364
13. Indicadores en las gestiones comerciales. 364
14. Indicadores relativos a los accionistas. 364
15. Indicadores relacionados con el control de los clientes. 364
16. Indicadores relativos a los procedimientos. 364
17. Indicadores sobre el control de la informática y ordenadores. 364
III. Indicadores cualitativos. 365
1. Indicadores relativos a los proveedores. 365
2. Indicadores relativos al respeto de la diversidad y anti acoso. 365
3. Indicadores relativos a la política de regalos. 365
4. Indicadores relativos a la transparencia y anticorrupción. 366
5. Indicadores relativos a la efectividad del programa. 366
6. Indicadores relativos a los riesgos. 367
7. Indicadores relativos a incumplimientos. 367
8. Indicadores sobre los clientes. 367
IV. Indicadores relativos a los niveles de madurez. 367
1. Sistema de Compliance. 367
2. La cultura de cumplimiento de la empresa. 367
3. Difusión y sensibilización. 368
4. Indicadores sobre los controles. 369
5. Indicadores sobre la efectividad del programa. 369
6. Nivel de control de las filiales. 370
7. Nivel de control de los proveedores. 370
8. Nivel de control de los clientes. 370
9. Indicadores sobre la participación de la alta dirección. 370
10. Indicadores sobre la comunicación de irregularidades. 371
11. Indicadores sobre el control de los trabajadores o la «culpa in eligendo». 372
V. Seguimiento periódico de los indicadores. 372
1. Informe semestral. 373
2. Informe anual. 373
VI. Seguimiento de conflictos con los diferentes grupos de interés. 373
VII. Evaluación del riesgo de reclamación y canales de información. 374
VIII. Sistemas de reporting. 375
IX. Destinatarios del reporting. 376
13 Repositorio de evidencias
I. Ciclo de vida de la evidencia. 378
II. Obtención de las evidencias. 379
1. Identificación de las evidencias a obtener de un control. 379
2. Responsables de la recogida de evidencias. 380
3. Niveles de madurez. 380
III. Gestión de las evidencias. 381
1. Estructura del repositorio de evidencias. 381
2. Plazos de renovación de las evidencias. 382
3. Plazos de conservación de las evidencias. 382
4. Cargos con acceso al repositorio. 384
IV. Repositorio de evidencias digital. 385
1. Características de un repositorio de evidencias digital. 385
2. Caso práctico. 386
3. Valorar los requisitos de existencia, idoneidad y eficacia. 388
4. Adjuntar archivos como evidencia y sellarlos mediante protocolo de sellado de tiempo. 389
5. Asociar un control. 390
6. Asociar un responsable. 390
V. Sellado de tiempo de las evidencias. 391
1. La prueba digital. 392
2. Diversidad de formatos digitales. 392
3. Procedimiento de sellado de tiempo. 393
4. Custodia de las evidencias. 394
5. Protocolización de las evidencias seleccionadas ante notario. 394
VI. Prueba en juicio del debido control. 395
14 Control de las empresas del grupo, filiales y participadas
I. Introducción. 397
II. Definición del modelo de prevención y control de delitos de la empresa. 398
III. Aprobación por los respectivos Consejos de Administración de la Política de prevención y control. Creación del Comité de Compliance. 401
IV. Aceptación del Código de Ética por las empresas del grupo, filiales y participadas. 403
V. Control de las empresas del grupo, filiales y participadas. 404
1. Modelo centralizado. 404
2. Modelo descentralizado. 406
3. Modelo mixto. 408
VI. Extensión internacional del modelo de prevención y control. Certificaciones externas. 409
VII. Auditorías intragrup. 411
1. Auditorías intragrupo propiamente dichas o «Top down». 411
2. Auditorías locales o «Peer to peer». 412
2.1. Auditorías externas sorpresa u Outside-in:. 413
VIII. Revisión del modelo y redefinición. 413
15 Control de Terceros
15.1.1 Proveedores críticos: concepto, responsabilidad y control
I. Control de los proveedores asignatura pendiente. 417
II. Responsabilidad penal por actos de terceras partes y su alcance para la persona jurídica. 418
III. Aproximación al control de los proveedores. 422
15.1.2 Proveedores críticos. Visión práctica de su gestión
I. Introducción. 425
II. Contexto. 426
1. Factores externos e internos. 426
III. El proveedor: nace, crece (te la puede liar) y desaparece. 427
IV. Diagnóstico: qué tenemos y cómo lo tenemos. 428
V. Tipos de riesgos. 432
1. Riesgos intangibles. 432
2. Riesgos tangibles. 433
VI. Potenciadores del riesgo. 433
1. Ratio de gasto anual. 434
2. Proveedor desempeñando actividad asimilable a propia actividad o actividad ajena ala propia. 434
3. Prestación del servicio. 435
4. Contingencia laboral. 435
4.1. Externalización. 436
5. Características de la prestación del servicio. 437
5.1. Acceso a datos de carácter persona. 437
5.2. Acceso a información confidencial o sensible. 437
5.3. Protección de la propiedad industrial o intelectual generada por el
proveedor. 438
5.4. Inclusión de exclusividad en la relación con el proveedor. 438
5.5. Particularidades del contrato de agencia o asimilable. 439
5.6. Inversiones ad hoc por parte del proveedor. 440
5.7. La dependencia económica del proveedor. 440
VII. Limitadores del riesgo. 442
1. Fase de negociación. 442
1.1. Protección de la información confidencial. 442
1.2. Exigencia cumplimiento obligaciones en materia protección de datospersonales. 443
1.3. Certificados, seguros, facturación. 443
2. Fase de alta. 445
3. Fase de inicio actividad. 446
3.1. Protocolo delegación de firmas. 447
3.2. Riesgos asociados a la actividad. 448
4. Fase de medición. 449
5. Renovación / terminación. 451
VIII. Resumen. 454
15.2 Control de clientes, distribuidores, concesionarios y franquiciados
I. Compliance en franquicias y supuestos afines. 458
1. Compliance en general, en sentido anglosajón o amplio. Programa o sistema de cumplimiento normativo. 459
2. Compliance penal. El caso español. Plan de prevención de delitos. 460
II. Compliance en la relación franquiciador franquiciado. 463
1. Compliance en la relación franquiciador franquiciado en sentido amplio. Programa de cumplimiento normativo. Especial referencia al código europeo de buenas prácticas
de la franquicia. 463
2. Compliance en la relación franquiciador franquiciado en sentido del Código Penal español. Sistema de prevención de delitos. 466
3. El riesgo reputacional. 470
III. Cómo implementar un sistema de cumplimiento normativo o de prevención de delitos en una red de franquicias. 470
1. Elementos a implementar como franquiciador. 470
2. Cláusulas del contrato. 471
3. Formación y gamificación. Sistema de recompensas. 472
4. Auditoría y control tanto del sistema como del cumplimiento de las obligaciones asumidas por los franquiciados. Canal de denuncias. 473
IV. Control de clientes, distribuidores y concesionarios. 473
V. Conclusión. 474
16 Gestión del modelo de Compliance en la empresa, las filiales y los proveedores a través de una aplicación informática
I. Estructura interna de una aplicación de Compliance. 478
1. Análisis de riesgos. 479
2. Modelo de control. 481
3. Verificación periódica. 485
4. Prueba del control. 488
5. Informes e indicadores. 490
II. Gestión del modelo de Compliance en la empresa en relación a sus filiales y a sus proveedores.
1. Protocolo de control. 492
2. Aceptación del código ético. 493
3. Control de las empresas del grupo, las filiales y las participadas. 494
4. Control de proveedores locales, extranjeros y en países de alto riesgo. 495
5. Indicadores y sistemas de monitorización. 495
6. Auditorías intragrupo y sobre proveedores. 496
17 Medioambiente y Salud Pública
17.1 Compliance y legislación medioambiental
I. Caso práctico. 499
II. Análisis del caso práctico. 500
1. Legislación de aplicación: riesgos y oportunidades. 500
2. El artículo 31 bis del Código Penal y los delitos contra los recursos naturales y el medio ambiente.
2.1. Requisitos de los modelos de organización y gestión incluidos en el artículo 31 bis. 507
III. Conclusiones. 515
17.2 Compliance y salud pública
I. Algunos casos prácticos. 517
II. Sistema de compliance y protección de la salud de los consumidores. 518
III. Sistema de compliance y riesgo reputacional. 529
18 Compliance y prevención de riesgos laborales
I. Caso práctico. 531
II. La Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales y el Real Decreto por el que se desarrolla el artículo 24 de la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales, en materia de coordinación de actividades empresariales (Real Decreto 171/2004, de 30 de enero). Requisitos de actuación. 532
III. Comparativa de los requisitos establecidos en el código penal respecto a los modelos de gestión (sistemas de compliance) y las obligaciones del empresario contempladas en la normativa de prevención de riesgos laborales. 541
19 Intimidad y datos personales
I. Delitos contra la intimidad y la propia imagen. 546
II. Otras lesiones al derecho a la intimidad. 552
1. Primer escenario de riesgo. 552
2. Segundo escenario de riesgo. 553
3. Tercer escenario. 554
4. Cuarto escenario: Investigación de empleados o clientes en redes sociales. 554
5. Quinto escenario: Acceso al ordenador de un ex trabajador sin consentimiento o protocolo adecuado. 555
III. Controles. 556
1. Control de acceso físico. 556
2. Control de acceso lógico. 557
3. Auditorías de seguridad. 558
4. Políticas de gestión de usuarios. 558
5. Cumplimiento de la normativa de Protección de Datos de Carácter Personal. 559
6. Políticas de uso de los recursos de las Tecnologías de la Información (TIC). 560
7. Protocolo de selección y contratación de empleados. 561
8. Control de la información aportada por nuevas contrataciones. 562
9. Formación y establecimiento de una cultura de cumplimiento. 562
10. Asesoramiento jurídico. 562
IV. Evidencias. 563
1. Control de acceso físico. 563
2. Control de acceso lógico. 563
3. Auditorías de seguridad. 564
4. Normas internas, políticas, procedimientos, etc.. 564
5. Cumplimiento de la normativa de Protección de Datos de Carácter Personal. 565
6. Control de la información aportada por nuevas contrataciones. 565
7. Formación y establecimiento de una cultura de cumplimiento. 566
8. Asesoramiento jurídico. 566
20 Delitos contra el Mercado y los consumidores
I. Introducción. 567
II. Gestión de la información confidencial. 568
1. Identificación de riesgos. 568
1.1. Obtención de información confidencial de un competidor. 569
1.2. Revelación y/o difusión de un secreto empresarial existiendo obligación de confidencialidad legal o contractual. 569
2. Identificación de controles. 570
III. Delitos contra los consumidores. 573
1. Publicidad falsa. 573
2. Facturación indebida. 575
IV. Delitos contra el mercado. 576
1. Detracción del mercado de materias primas y bienes de primera necesidad. 576
2. Alteración de la competencia. 578
3. Utilización ilícita de información privilegiada. 580
21 Corrupción
I. Introducción. 583
II. Marco legislativo. 584
1. Corrupción privada. 584
1.1. Descripción de riesgos. 584
1.2. Delimitación del riesgo de corrupción en las empresas. 586
1.3. Factores de riesgo. 586
2. Corrupción pública. 587
2.1. Descripción de riesgos. 587
2.2. Factores de riesgo. 589
III. Principales controles. 590
1. Controles normativos. 590
2. Controles financieros. 591
3. Controles estratégicos. 592
IV. Norma ISO 37001 del sistema de gestión antisoborno. 592
1. Contexto de la organización. 593
2. Liderazgo. 593
3. Planificación. 594
4. Apoyo. 594
5. Operación. 594
6. Evaluación del desempeño. 595
7. Mejora continua. 595
V. Legislación internacional en materia de corrupción. 595
1. Foreign corrupt practices act (FCPA) (Estados Unidos). 595
2. Bribery Act 2010 (Reino Unido). 598
3. LOI n.º 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre
la corruption et à la modernisation de la vie économique («Sapin II») (Francia). 600
22 Compliance y prevención de los delitos contra la Hacienda Pública
I. Introducción. 602
II. Fundamento de la exención de responsabilidad penal de la persona jurídica. La adopción y ejecución de un eficaz programa de prevención/detección. 603
1. Criterios jurídicos para valorar la eficacia de un programa de detección/prevención. 603
III. Caso práctico. Cómo evaluar si una persona jurídica tiene una organización eficaz en relación con llevar a cabo una planificación fiscal que simultáneamente optimice
sus resultados económicos y sea respetuosa con la legalidad tributaria. 604
1. Preliminar. Consideraciones generales sobre el delito fiscal en tanto puede constituir la materialización del riesgo jurídico-penal tributario generado a través del desarrollo de la actividad empresarial. 604
2. Caso práctico. Problemática empresarial concreta. 604
3. Análisis de si la estrategia empresarial desarrollada por la entidad financiera banco marino para afrontar dicho escenario económico de potenciales pérdidas por importe de 400.000 euros es o no respetuosa con la normativa tributaria, y, en consecuencia, si responde a una planificación fiscal que genera riesgos jurídico-penales tributarios. 605
3.1. Identificar los riesgos jurídico-penales tributarios que podrían generarse a consecuencia de la adopción de dicha estrategia empresarial. 605
IV. Procedimientos que deberían haberse adoptado por parte de banco marino para prevenir, detectar y reaccionar frente al riesgo jurídico penal tributario derivado
de la operación estudiada. 608
1. Medidas preventivas de control interno del banco marino objetivamente idóneas para anular o reducir significativamente en riesgo jurídico-penal tributario descrito
2. Medidas de detección y reacción del banco marino objetivamente idóneas para anular o reducir significativamente en riesgo jurídico-penal tributario descrito. 613
2.1. Introducción. 613
2.2. La previa designación de qué persona física asumiría la representación de banco marino en el proceso penal como medida de reacción
eficaz. 614
2.3. La previa relación de qué medios de prueba son susceptibles de ser utilizados en el proceso penal por parte del representante de banco marino como medida de reacción eficaz. 616
23 Delitos tecnológicos: riesgos y controles
I. El panorama actual de los delitos tecnológicos. 619
1. La sociedad y la transformación digital. 619
2. Más digitales, más vulnerables. 621
3. Incremento relevante del riesgo regulatorio asociado a la ciberseguridad. 623
4. Deberes y régimen de responsabilidad de administradores. 626
II. Controles aplicables frente a los riesgos de los delitos tecnológicos. 627
1. Estándares de buenas prácticas en gestión de la seguridad de la información. 627
1.1. La serie de normas ISO/IEC 27000. 627
1.2. ISACA COBIT 5. 628
1.3. NIST Cybersecurity Framework. 629
1.4. Center for Internet Security Cybersecurity Best Practices. 631
1.5. Payment Card Industry Data Security Standard (PDI DSS). 634
2. Mapeo de controles de estándares de buenas prácticas. 635
III. Preparación de la respuesta frente a delitos tecnológicos. 636
1. El régimen sancionador y la obligación de notificación de violaciones de datos del reglamento general de protección de datos como cambio de paradigma. 636
2. Prevención y detección de violaciones de seguridad de datos. 640
2.1. Anatomía de ataques avanzados persistentes. 640
2.2. El concepto de Cyber Kill Chain. 642
2.3. Mitre ATT&CK™ For Enterprise y Cyber Analytics Repository
(CAR). 643
IV. Conclusión. 648
24 SECTORES
24.1Mapas de riesgos por sectores. 653
I. Introducción. 654
II. Sector financiero. 655
1. Mapa de riesgos. 655
2. Análisis del mapa de riesgos. 655
III. Sector seguros. 656
1. Mapa de riesgos. 656
2. Análisis del mapa de riesgos. 656
IV. Sector farmacéutico. 657
1. Mapa de riesgos. 657
2. Análisis del mapa de riesgos. 657
V. Sector capital riesgo y fondos de inversión. 657
1. Mapa de riesgos. 657
2. Análisis del mapa de riesgos. 658
VI. Sector alimentario. 658
1. Mapa de riesgos. 658
2. Análisis del mapa de riesgos. 658
VII. Sector editorial. 659
1. Mapa de riesgos. 659
2. Análisis del mapa de riesgos. 659
VIII. Sector industrial. 660
1. Mapa de riesgos. 660
2. Análisis del mapa de riesgos. 660
IX. Sector energía. 661
1. Mapa de riesgos. 661
2. Análisis del mapa de riesgos. 661
X. Sector inmobiliario. 662
1. Mapa de riesgos. 662
2. Análisis del mapa de riesgos. 662
XI. Sector construcción. 663
1. Mapa de riesgos. 663
2. Análisis del mapa de riesgos. 663
XII. Sector turístico. 664
1. Mapa de riesgos. 664
2. Análisis del mapa de riesgos. 664
XIII. Sector tic. 665
1. Mapa de riesgos. 665
2. Análisis del mapa de riesgos. 665
XIV. Sector sanitario. 666
1. Mapa de riesgos. 666
2. Análisis del mapa de riesgos. 666
24.2 Compliance y sector asegurador
I. Introducción. 667
II. La organización de la función de compliance en el sector asegurador. 668
1. Obligación de disponer de una función de compliance. 669
1.1. La honorabilidad y aptitud de las personas que desempeñen funciones de compliance. 670
1.2. La externalización de la función de compliance o de algunas actividades operativas críticas o importantes relacionadas con ella. 673
2. El contenido mínimo de la función de compliance. 675
3. Obligación de disponer de políticas escritas. 676
4. Obligación de sumisión a la supervisión y poder sancionador de la dirección general de seguros y fondos de pensiones. 677
III. Las principales obligaciones de compliance en el sector asegurador. 678
1. La prevención del blanqueo de capitales y de la financiación del terrorismo. 678
1.1. Introducción. 678
1.2. Riesgos de BC/FT en el sector asegurador. 680
1.3. Especificidades del sector asegurador en materia de PBC/FT. 681
2. Sanciones financieras internacionales. 683
2.1. Sanciones internacionales impuestas por la Unión Europea. 683
2.2. Sanciones internacionales impuestas por los EE.UU.. 685
IV. El compliance penal en el sector asegurador
1. Introducción. 687
2. El alcance de la responsabilidad penal: entidad aseguradora e intermediarios. 687
2.1. El agente de seguros. 687
2.2. El corredor de seguros. 688
3. Las consecuencias regulatorias de las sanciones penales. 689
4. Tipos delictivos más relevantes en el sector asegurador. 689
5. Modelos de compliance. 690
24.3 Compliance en la industria farmacéutica de medicamentos de prescripción
I. Introducción. 693
II. La autorregulación del sector: el código de buenas prácticas, origen y alcance. 695
1. Los órganos de control del código de buenas prácticas:. 696
1.1. La unidad de supervisión deontológica:. 697
1.2. La comisión deontológica:. 697
1.3. El jurado de autocontrol. 698
2. Incumplimientos del código de buenas prácticas. 698
3. Consecuencias derivadas de un incumplimiento del código de buenas prácticas. 699
4. Las obligaciones de transparencia: un salto cualitativo. 700
5. Retos que deberá afrontar la industria farmacéutica. 701
5.1. Transparencia. 701
5.2. Relaciones con pacientes. 701
5.3. Sostenibilidad del sistema e innovación. 702
III. Mapa de riesgos inherentes. 702
IV. Principales controles aplicables. 704
1. Controles de calidad. 704
2. Controles de farmacovigilancia. 704
3. Existencia de un supervisor interno del código de buenas prácticas. 705
4. Revisión y aprobación de las actividades realizadas con profesionales sanitarios y organizaciones sanitarias. 705
5. Control de revisión y aprobación de materiales promocionales. 707
6. Control sobre las actividades digitales: la prohibición de realizar promoción directa o indirecta al público en general. 707
V. Compliance: mi experiencia personal. 708
24.4 Governance y Compliance en Private Equity y Entidades de Inversión
I. Introducción. 716
II. Marco legal de las ECR y de las EICC. 716
1. Marco legal. 716
2. Entidades de Capital Riesgo (ECR). 717
3. Entidades de Inversión Colectiva de tipo Cerrado (EICC). 717
III. Preparación de un Programa de Prevención de Riesgos Penales para las ECR y las EICC. 718
1. Documentación. 718
2. Entrevistas. 722
IV. Evaluación de Riesgos Penales. 724
1. Ejemplo de análisis de algunos de los delitos a tener en consideración en las ECR y en las EICC.
1.1. Delito de Estafa (art. 248 –251 bis del CP). 725
1.2. Delito de Blanqueo de Capitales (art. 301 a 304 CP). 725
1.3. Delito contra la Hacienda y la Seguridad Social (arts. 305 a 310 bis CP). 725
1.4. Delito de Financiación del Terrorismo (art. 576 CP). 726
1.5. Delito de Descubrimiento y Revelación de Secretos (art. 197 CP). 726
1.6. Delito contra el Mercado y los Consumidores (art. 278 a 286 CP). 726
2. Riesgos inherentes a la actividad. 728
3. Evaluación de las medidas de control y vigilancia existentes. 730
4. Riesgo residual. 731
5. Resumen del Mapa de Riesgos. 731
6. Recomendaciones de medidas y controles a implementar en las ECR y en las EICC. 732
6.1. Medidas de Alto Impacto. 732
6.2. Medidas Particulares. 733
7. Deficiencias y debilidades. 735
V. Programa de Prevención de Delitos. 736
1. El Manual de Prevención de Riesgos Penales. 736
2. La Política de Cumplimiento Penal. 736
24.5 Sector tecnológico-digital
I. Introducción. 739
II. Legislación sectorial aplicable. 740
1. Sociedad de la información, comercio electrónico y publicidad. 740
2. Propiedad intelectual e industrial. 740
3. Reputación digital. 740
4. Ciberseguridad y ciberdelincuencia. 740
5. Privacidad, honor, intimidad e imagen. 740
III. Mapa de riesgos inherentes. 741
IV. Principales controles aplicables. 741
1. Sociedad de la información, comercio electrónico y publicidad. 741
2. Propiedad intelectual e industrial. 742
3. Reputación digital. 742
4. Ciberseguridad y ciberdelincuencia. 743
5. Privacidad, honor, intimidad e imagen. 744
Índice Analítico