corporate defense management
DESCRIPTION
Based on ECIJA PresentationTRANSCRIPT
Corporate Compliance y los delitos informáticos frentes al código
penal
Enero 2011
Corporate Defense Management
I. REGULACIÓN
• Ley Orgánica 5/2010, de 22 de Junio, por la que se modifica la Ley
Orgánica 10/1995, de 23 de Noviembre, del código penal.
• Disposición final séptima: entrada en vigor: “a los seis meses de su
completa publicación en el BOE”.
• Se aplica para los delitos y faltas cometidos a partir del 23 DE
DICIEMBRE DE 2.010, es decir, ya se encuentra en aplicación.
II. TIPIFICACIÓN DE NUEVOS DELITOS
• Obtención o tráfico ilícito de órganos humanos y su trasplante.
• Acoso laboral.
• Acoso inmobiliario.
• Trata de seres humanos.
• Child grooming: conductas realizadas por adulto, a través de la red, para
ganarse la confianza de menores con el fin de concertar encuentros de
índole sexual.
• Captación de menores para espectáculos pornográficos.
• Clientela de prostitución con menores o incapaces.
• Delitos informáticos.
• Cohecho entre particulares, incluidos los sobornos y fraudes en el
deporte.
• Estafa de inversores.
• Terrorismo: captación, adoctrinamiento, diestramiento y cualquier forma de
financiación.
• Piratería: marítima y aérea.
III. RESPONSABILIDAD PENAL PERSONAS JURÍDICAS
• Responde personalmente el administrador de hecho o de derecho.
• Penas: multa persona jurídica, resto Administrador.
• Responde directamente la persona jurídica.
• Penas: Siempre la persona jurídica y el autor material de los hechos.
Antes: Art. 31 CP
Después: Art. 31.bis CP
IV. SUPUESTOS EN LOS QUE RESPONDE LA PERSONA JURÍDICA
• Delitos cometidos por sus representantes legales y administradores
de hecho o de derecho, en nombre o por cuenta de la persona jurídica, y
en provecho de la misma.
• Delitos cometidos por los trabajadores de la persona jurídica, en el
ejercicio de sus actividades sociales y por cuenta y en provecho de las
mismas, si no se ha ejercido sobre ellos el debido control, atendidas las
concretas circunstancias del caso: CORPORATE COMPLIANCE.
• En ambos casos:
• En nombre y por cuenta de la persona jurídica.
• En provecho de la persona jurídica.
• En el ejercicio de sus actividades sociales.
V. ¿AUTOR DEL DELITO?
• La persona jurídica será responsable aunque:
• La concreta persona física autor del delito no se pueda determinar.
• Existan circunstancias que afecten a la culpabilidad del autor del
delito: eximentes.
• El autor del delito haya fallecido o en paradero desconocido.
VI. PERSONAS JURIDICAS NO RESPONSABLES PENALMENTE
• Nunca responderán penalmente:
• El estado.
• Las Administraciones Públicas territoriales e institucionales.
• Organismos Reguladores.
• Agencias y Entidades Públicas empresariales.
• Partidos políticos.
• Sindicatos.
• Organizaciones internacionales de derecho público.
• Otras que ejerzan potestades públicas de soberanía o administrativas.
• Sociedades mercantiles Estatales que ejecuten políticas públicas o
presten servicios de interés económico general.
VII. DELITOS EN LOS QUE PUEDE INCURRIR LA PERSONA JURÍDICA (I)
• Art. 156 bis: Tráfico ilegal de órganos humanos.
• Art. 173.1: Acoso laboral.
• Art. 177 bis: Trata de seres humanos.
• Art. 189 bis: Prostitución y corrupción de menores.
• Art. 197: Descubrimiento y revelación de secretos.
• Art. 251 bis: Estafas.
• Art. 261 bis: Insolvencias punibles (Alzamiento de bienes)
• Art. 264: Delito de daños
• Art. 288: Delitos relativos a la propiedad intelectual e industrial, al
mercado y a los consumidores.
• Art. 302.2: Recepción y blanqueo de capitales.
• Art. 310 bis: Delitos contra la Hacienda Pública y la Seguridad Social.
• Art. 318 bis: Delitos contra los derechos de los ciudadanos extranjeros
(inmigración clandestina, explotación sexual, etc.).
VII. DELITOS EN LOS QUE PUEDE INCURRIR LA PERSONA JURÍDICA (II)
• Art. 319: Delitos sobre la ordenación del territorio.
• Art. 327 y 328: Delitos contra los recursos naturales y el medio
ambiente.
• Art. 343: Delitos relativos a las radiaciones ionizantes.
• Art. 348: Delitos de riesgo provocados por explosivos y otros agentes.
• Art. 369 bis: Cultivo, elaboración o tráfico de drogas tóxicas,
estupefacientes o sustancias psicotrópicas.
• Art. 399 bis: Falsificación de tarjetas de crédito y débito y cheques de
viaje.
• Art. 427: Cohecho.
• Art. 430: Del tráfico de influencias.
• Art. 445: Corrupción en las transacciones comerciales internacionales.
• Art. 570 : Organizaciones y grupos criminales.
• Art. 576 bis: Delitos de terrorismo.
VIII. PENAS APLICABLES A LAS PERSONAS JURÍDICAS
• Siempre se consideran graves:
• Multa.
• Disolución de la persona jurídica.
• Suspensión de sus actividades (hasta 5 años).
• Clausura de sus locales y establecimientos (hasta 5 años).
• Prohibición de realizar las mismas actividades (temporal o
hasta 15 años).
• Inhabilitación para obtener subvenciones y ayudas públicas;
para contratar con el sector
• público; para gozar de beneficios e incentivos fiscales o de la
Seguridad Social (todos hasta 15 años).
• Intervención judicial, por no más de 5 años.
XIX. ATENUANTES
• Sólo son atenuantes: haber realizado, con posterioridad a la Comisión del
delito y a través de sus representantes legales:
• Confesión de la infracción, antes del procedimiento.
• Colaboración en la investigación, aportando pruebas nuevas y
decisivas.
• Reparar o disminuir el daño causado por el delito, antes del juicio oral.
• Establecer medidas eficaces para prevenir y descubrir delitos futuros,
antes del juicio oral.
XX. DELITOS INFORMÁTICOS
• Nuevas conductas punibles:
• Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos
o programas informáticos ajenos.
• Obstaculizar o interrumpir el funcionamiento de un sistema de
información ajeno: ataques DDoS.
• Acceso a datos o programas sin autorización y vulnerando las
medidas de seguridad.
XXI. CASO PRÁCTICO (I)
• Supuesto de hecho: Comercial que, al incorporarse a la organización,
trae consigo la base de datos de clientes de su antigua empresa, con el
objetivo de cederlos a la nueva empresa y ofertar sus servicios.
• ¿Delito? Competencia desleal.
• Medidas para no imputar responsabilidad a la empresa:
• Organizativas: Políticas de instalación y uso adecuado de
software.
• Técnicas: DRM / IRM.
• Jurídicas: Cláusulas de uso de fuentes legitimas de información
XXI. CASO PRÁCTICO (II)
• Supuesto de hecho: departamento de IT que interrumpe el
funcionamiento de la página web de un competidor, haciéndola
inaccesible: ataque DoS o denegación de servicio.
• ¿Delito? Delito informático.
• Medidas para no imputar responsabilidad a la empresa:
• Organizativas: CISO.
• Técnicas: IDS, e-Discovery, análisis de vulnerabilidades.
• Jurídicas: Cláusulas específicas en contrato laboral (por perfil).
XXI. CASO PRÁCTICO (III)
• Supuesto de hecho: Departamento de facturación que manipule
sus sistemas de medición de consumo, de forma que las facturas
reflejen cantidades superiores a las realmente consumidas.
• ¿Delito? Delito contra los consumidores.
• Medidas para no imputar responsabilidad a la empresa:
• Organizativas: Auditorías externas de los sistemas de
medición.
• Técnicas: Correlación, e-Discovery.
• Jurídicas: Whistleblowing, auditorías SAM internas
XXI. CASO PRÁCTICO (IV)
• Supuesto de hecho: Contratación de inmigrantes que se
encuentren en proceso de regularización del permiso de trabajo, sin
haber llegado aún a obtenerlo.
• ¿Delito? Delito contra los derechos de los ciudadanos extranjeros.
• Medidas para no imputar responsabilidad a la empresa:
• Organizativas: Código de conducta de RRHH /
subcontratación.
• Técnicas: Correlación.
• Jurídicas: Revisión de contratos con terceros (exigibilidad).
XXII. CATÁLOGO MEDIDAS (I)
• Es necesaria la implantación de un conjunto de medidas organizativas,
técnicas y jurídicas suficientes para eximir de responsabilidad penal a la
persona jurídica.
• Algunas de ellas ya se encuentran implantadas en la mayor parte de las
Organizaciones:
• Medidas Organizativas:
• Código de Responsabilidad social corporativa (ISO 26000)
• Políticas de uso razonable de recursos informáticos
• Políticas clasificación y difusión de la información y de Seguridad de la
Información
• Sistemas de Gestión (Seguridad, Medioambiente, Riesgos, etc.).
• Concienciación y divulgación
XXII. CATÁLOGO MEDIDAS (II)
• Medidas Técnicas:
• Monitorización, trazabilidad y correlación de Sistemas y Acciones
• DLP / DRM / IRM
• Seguridad perimetral
• Auditorías
• Medidas Jurídicas:
• Whistleblowing
• Propiedad intelectual e Industrial (I+D, vigilancia electrónica, dominios)
• Normas internas de contratación y subcontratación
• Roles, figuras y comisiones internas (retribuciones, auditoría, blanqueo, etc.).
• Retribución por cumplimiento