Las medidas de control interno

Las medidas de control interno

Las medidas de control interno. El canal de denuncias. Conferencia realizada por Juan Luis Martínez, CEO de Core Business Consulting:

Yo lo que me dispongo a hacer, si os parece bien, es una lectura comprensiva todos juntos de lo que dice la nueva legislación con algunas de las cosas que ya tenemos encima de la mesa, con lo cual tampoco es que vaya a decir yo nada inteligente, supongo. Ahora lo veremos.

¿Qué es lo que tenemos hasta ahora en cuanto a canales de denuncia?

Ahora mismo, antes de que entre en vigor esta nueva legislación, tenemos estos canales.

Como comunicación externa, tenemos la comunicación por indicio del F19, que está regulada en el artículo 18 de la Ley, y la comunicación sistemática, que es del menor, la declaración mensual obligatoria, que viene recogida en el artículo 20 de la legislación. Eso en comunicación de la empresa hacia fuera. Comunicación interna ya tenemos. Tenemos la comunicación de operaciones sospechosas a los órganos de control del sujeto obligado. Está recogido en el artículo del actual reglamento en el artículo 24. ¿De acuerdo? O sea que estos canales van a seguir existiendo, no van a desaparecer. Lo que pasa es que ahora vamos a tener dos nuevos canales.

A raíz del DMO, y aunque no es objeto exactamente de mi intervención, pero no quería dejar pasar por alto que las obligaciones del DMO cambian, y va a haber una serie de sujetos obligados que dejan de estar obligados a mandar el DMO, y son estas que veis aquí en esta diapositiva: entidades aseguradoras, empresas de servicios de inversión, las sociedades gestoras de instituciones de emisión colectivas y sus sociedades aunque no estén gestionadas, las entidades gestoras de fondos de pensiones, las sociedades gestoras de fondos de capital riesgo. Bien, todos estos dejan de tener que mandar mensualmente esta DMO o semestralmente la negativa.

Pero sin embargo pasan a estar obligados otros nuevos sujetos, que son los notarios y los registradores (bien es cierto que lo van a tener que hacer a través de sus órganos centralizados de prevención) y aquellos que se dediquen a actividades de depósito, custodia o transporte profesional de fondos o medios de pago. Estos, que hasta ahora no tenían que hacer la DMO, la van a tener que hacer. Estos es un apunte simplemente que, ya que estamos comentando novedades, pues lo comentamos.

Pero volviendo a lo que estábamos diciendo, teníamos estos canales, los seguimos teniendo, dos externos y uno interno. Entonces, ahora aparecen estos dos nuevos canales. Una nueva comunicación externa, que es la comunicación de infracciones, que vienen en un nuevo artículo 63 del proyecto de Ley. No había artículo 63, había artículo 62. Bueno, pues ahora hay un nuevo artículo 63, que es Comunicación de Infracciones. Comunicación externa, y ahora lo comentaremos.

Y tenemos un nuevo canal, que es interno, que es el canal de denuncias interno, y es distinto al que estamos comentando, al que teníamos hasta ahora, que es el de operaciones sospechosas que se elevan al órgano de control para que valore. Pues tenemos otro canal de denuncias. Vamos a analizarlos.

La comunicación de infracciones. La comunicación de infracciones hacia fuera. Pues dice, este artículo 63, que los empleados, directivos y agentes (hemos hablado en varias ocasiones de esto y le preguntaba antes a Miguel Ángel Recio sobre los agentes), pues bueno, los empleados, directivos y agentes de los sujetos obligados que conozcan hechos o situaciones que pudieran ser constitutivos de infracciones contempladas en esta ley los podrán poner en conocimiento del servicio ejecutivo de la comisión. Fantástico. Las comunicaciones serán remitidas al servicio ejecutivo por escrito, incorporando los documentos e informaciones sobre los hechos denunciados que permitan justificar la denuncia. Se establecerán las características o requisitos del canal haciendo asegurar la confidencialidad y seguridad. Bien.

¿Debe ser anónimo el canal de denuncias?

El canal de denuncias no tiene que ser anónimo. El canal de denuncias lo que nos pide es confidencialidad y seguridad. ¿Y por qué? ¿Por qué nos dice que éste no va a ser anónimo? Porque se quiere reservar la posibilidad de que aquel al que denuncien pueda llamar o le pueda escribir o le pueda consultar: ‘Oye, ¿qué es lo que has visto?’ Pues si es anónimo, pues obviamente, eso no se puede hacer. Bien, pues esto respecto a la comunicación de infracciones.

Bueno, otra cuestión respecto a comunicación de infracciones. Canal de denuncias interno. Pues lo primero que ves. ¿Qué es el canal de denuncias interno? Bueno, pues en el preámbulo del proyecto de ley, sí que nos dice ya que se orienta la mejora de las supervisiones, sanción de las infracciones de la normativa de prevención y el establecimiento de los canales de denuncia, tanto públicos, que es el que acabamos de comentar, como en el ámbito de los propios sujetos obligados de la ley, que deberán contar con canales específicos para denuncia interna de conductas. Lo que antes teníamos, el canal se comunicaba al órgano de control, no era un canal de denuncias de conductas. Se lo comunicas al órgano de control. Pero aquí está hablando de conductas contrarias a la ley o a los procedimientos internos de la entidad. Bien.

Más de qué es. Pues lo que nos dice el proyecto de ley en el artículo 26.5, dice que los sujetos obligados con las excepciones que se determinen reglamentariamente de estas exenciones son las del control interno, es decir, no tendrán que tener canal de denuncias aquellos que tengan menos de diez empleados incluyendo a agentes y que tengan menos de dos millones de facturación. Tienen que cumplir las dos y entonces ya no tendrán esa obligación, salvo que nos den alguna sorpresa cuando ya salga. No está regulado, pero en principio está dentro de las medidas de control interno.

Bien, pues dice que establecerán procedimientos internos para que sus empleados, directivos o agentes puedan comunicar anónimamente infracciones de esta ley cometidas en el seno del sujeto obligado. Bien, igual que os estaba diciendo antes, la obligación de establecimiento de un canal de comunicación de infracciones no sustituye la necesaria existencia de mecanismos específicos e independientes de comunicación interna de operaciones sospechosas.

Es decir, vamos a tener dos, la de comunicación de operaciones sospechosas, la que tenemos hasta ahora, y la comunicación de conductas: un empleado ve que otro hace alguna irregularidad, o no cumple el manual de prevención de blanqueo, entonces tendrá que comunicarlo.

¿Cómo debe ser este canal? Pues nos dice el proyecto de ley que en su diseño se asegurará la creación de canales independientes y anónimos para la comunicación y tratamiento de las comunicaciones. Y aquí entramos en el famoso tema del anonimato. Y lo que hasta ahora ha estado diciendo la Agencia Española de Protección de Datos.

Pues bien, ha cambiado el criterio. En un primer momento, la Agencia Española de Protección de Datos decía que no se debía permitir la denuncia anónima, y era la única agencia del mundo, yo creo, que no permitía la denuncia anónima. Estos generaba muchos problemas para aquellos sujetos obligados que eran multinacionales y que tenían que operar en varios países. Entonces tenían que establecer un canal, que en España no permitía la denuncia anónima pero en otros países sí. Pues la Agencia Española de Protección de Datos fue cambiando el criterio, y en un segundo momento dijo que no se debía fomentar la denuncia anónima.

Bueno, pues ahora tenemos un proyecto de ley orgánica de Protección de Datos. Entonces, ¿qué dice esta ley orgánica de Protección de Datos? Pues el artículo 24 del Proyecto de ley de la ley orgánica de Protección de Datos, referente a sistemas de información de denuncias internas en el sector privado, dice que será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de derecho privado, incluso anónimamente, la comisión en el seno de la misma o la actuación de terceros que contrasten con ella. En fin, que nos está permitiendo el anonimato. Fantástico, esto creo que es una buena noticia para todos.

¿Qué garantías tenemos? Dice que los sujetos obligados adoptarán medidas, dice el artículo 26.5 del Proyecto de Ley de Prevención de Blanqueo, que los sujetos obligados adoptarán medidas para garantizar que los empleados, directivos o agentes que informen de las infracciones cometidas en la entidad sean protegidos contra represalias, discriminaciones y cualquier otro tipo de trato injusto. Es decir, que las garantías que nos pide es respecto al denunciante.

Tenemos que garantizar al denunciante. Bueno, habría otras posibilidades. Podía haber dicho: no solo protegerlos frente a represalias sino bonificarlos, incluso. Eso se hace en otras legislaciones: en Estados Unidos hay algún señor que se ha llevado 54 millones de dólares por haber denunciado un caso. Y bueno, a lo mejor si se pusiera aquí, yo me dedicaba a eso, básicamente. Con una que salga bien, pues me retiro, o sea que…

El caso es que lo que nos piden, como mínimo, es proteger, garantizar, sobre el que denuncie. ¿Y qué pasa con las denuncias de los denunciados, ahora que además es anónimo? Bueno, pues no dice mucho la legislación de prevención de blanqueo. La nueva Ley orgánica de protección de datos dice (que tampoco dice mucho) que deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, es decir, el denunciado. Pero luego lo matiza: especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad. Es decir, nos dice la Ley orgánica de protección de datos que volvamos otra vez a garantizar los derechos del que denuncia.

El denunciado, bueno, que garanticemos la confidencialidad de los datos que se manejan ahí. Bien, pues habrá que tenerlo en cuenta, todo esto. Y entonces volvemos, vamos a lo que yo quería contar. A ver, yo no quiero ser un talibán del anonimato, tampoco lo era de la confidencialidad exclusivamente, pero aquí hay que manejar estos dos conceptos es decir, antes la Agencia Española de Protección de Datos nos decía que todas las denuncias tienen que ser confidenciales, eso es obvio, no hace falta ni decirlo, pero no nos permitía el anonimato. Ahora sí que nos lo permite. ¿Pero qué pasa si una denuncia anónima no me da pruebas suficientes o datos suficientes para que yo pueda hacer ninguna actuación? ¿La dejo en el olvido? ¿La trato?

Hay que tener en cuenta que las denuncias anónimas son más difíciles de investigar, puesto que no puedes llamar a la persona que ha hecho la denuncia para que te amplíe la información.

Es más fácil investigar las que son identificadas. Y volvemos otra vez a las garantías: en una denuncia anónima es muy fácil ser cainita, es decir, a este que no me ha dado el bonus se va a enterar ahora, y le hago un denuncia levantando falso testimonio. Entonces, todo eso tendremos que verlo, pero nadie nos está diciendo nada. Al revés, nos está diciendo que se permite el anonimato y garantías sobre el que denuncia.

Yo creo que hay que ponerlo en una balanza todo esto. Que podamos permitir las denuncias confidenciales, o sea, no nos vayamos ahora al otro extremo y solo vamos a permitir las denuncias anónimas. Si alguien quiere decir con su propio nombre y apellidos lo que está sucediendo, pues no se lo impidamos. ¿De acuerdo? Entonces, yo creo que no nos tenemos que ir al otro lado de la balanza, y es lo único que quería comentaros. Y que el anonimato y las garantías casan mal. Casan mal. Pero bueno, seguimos si queréis. Luego hay un turno de preguntas, no sé si queréis sobre esto que hablamos hacer un debate.

Es un tema que da mucho juego. Me gustaría también pedir opiniones sobre un canal que se utilice para la venganza personal entre empleados y directivos. La experiencia práctica de los que hemos trabajado en la administración, bien documentadas, y cuando un funcionario se encuentra con una denuncia bien fundada, lo mejor es que la tramite y que curse la denuncia, que investigue, que complete la investigación y que llegue hasta el final, sea anónima o no. Hay casos de denuncias que a veces vienen con una información… ‘fulanito es un tal porque me ha hecho…’ Eso es un tema ya que no, ¿eh? Hay que garantizarse que haya una prueba, que haya un indicio sólido. Es un tema también de valoración por parte de quien va a gestionar el canal…

¿Qué nos dice el reglamento sobre el canal de denuncias?

Pues, simplemente nos dice, en el artículo 33.1, que si lo recordáis es el que habla del manual, de lo que tienen que contener el manual, pues una de las cosas que tiene que contener el manual a partir de ahora es un procedimiento interno de comunicación anónima. Y también nos dice que en el artículo 34, es decir, qué es lo que tienen que garantizar nuestras medidas de control interno, pues dice que nuestras medidas de control interno tendrán que garantizar el recibir mediante un canal específico, independiente y anónimo las comunicaciones de infracciones. Simplemente nos está diciendo: todo esto pónganlo usted en un manual. Pero habrá que tener en cuenta algunas otras cosas, a la hora de ponerlo en el manual.

¿Pues qué vamos tener en cuenta? Pues, por ejemplo, ¿qué deberíamos tener en cuenta?. En el proyecto de Ley Orgánica de Protección de Datos dice que los empleados y terceros deberán ser informados acerca de la existencia de los sistemas de información.

Por otro lado, dice que el acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, es decir, abre la puerta a que sea externalizado este canal, desarrollen las funciones de control interno y de cumplimiento. Aquí nos está indicando, bajo mi punto de vista, qué es lo que considera un canal independiente en cuanto a independencia del que lo recibe.

Es decir, que va a ser la persona o el departamento de funciones de control interno de cumplimiento. Y añade: solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos. Esto es lo que dice la Ley orgánica de Protección de Datos. Esto lo tendremos que tener en cuenta al hacer nuestros manuales. Y al hablar del canal de denuncias. Todas estas cuestiones nos van a influir.

¿Qué más dice el proyecto de Ley orgánica de Protección de Datos? Dice que los datos de quien formula la comunicación de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. Y en todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias.

¡Ojo, del sistema de denuncias, no quiere decir que borremos los datos y los mandemos a la papelera! ¿De acuerdo? Porque dice que, si fuera necesaria su conservación para continuar con la investigación, podrán seguir siendo tratados en un entorno distinto, distinto del canal de denuncias, por el órgano de la entidad. Es decir, en roman paladino, meten los datos, tenemos tres meses para dejar los datos ahí, y si necesitamos seguir teniéndolos, tenemos que sacarlos de ahí, sacarlos del entorno del canal de denuncias. Luego los podremos tratar.

Como decía antes Luis (anterior ponente), y se ha comentado, el canal habilitado podrá ser el mismo empleado para la comunicación anónima de otras infracciones o lícitos no recogidos en la presente ley. Esto lo dice el Proyecto de ley. Y en el artículo 34 del reglamento, también dice que el canal habilitado podrá ser el mismo creado para la comunicación anónima de otras infracciones o lícitos no recogidos en la presente ley.

Está llamando evidentemente al canal del modelo de prevención de delitos, recogido en el artículo 31 bis del Código Penal. Se pueden compartir, también se puede compartir la unidad técnica, ya no es lo que había dicho el Tesoro en alguna consulta que le habíamos hecho: la unidad técnica se puede encargar de la prevención de blanqueo y de otros delitos. Bueno, pues el canal de denuncias, también. Pero si volvemos otra vez al modelo de prevención de delitos, si este canal lo vamos a compartir, pues también podemos acudir a lo que nos decía la circular de la fiscalía en el año 2016. ¿Y que nos decía? Pues que la existencia de unos canales de denuncia de incumplimientos internos y de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención. O sea, que hace muy bien el Tesoro en ponerlo ahora.

Ahora bien, para que la obligación impuesta pueda ser exigida a los empleados, resulta imprescindible que la entidad cuente con la regulación protectora específica del denunciante, que permite informar sobre incumplimientos varios facilitando la confidencialidad mediante sistemas que la garanticen en las comunicaciones sin riesgo a sufrir represalias. Fantástico. Es decir, nos está hablando también de los sistemas, sistemas que garanticen la confidencialidad.

¿Qué más nos decía, además? Hablando de otras cuestiones, pero decía que algunas medidas de control interno resultarán tanto más eficaces cuanto mayor sea su nivel de externalización, como ocurre por ejemplo con la formación de directivos o con los canales de denuncia, más utilizados y efectivos cuando son gestionados por una empresa externa, que puede garantizar mayores niveles de independencia y confidencialidad. Esto lo tenemos claro todos.

¿Y qué pasa respecto a la protección de los datos? Aunque hemos hablado de la Ley orgánica de la proyección de datos, en la Ley de prevención de blanqueo se hace alguna referencia a la protección de datos. Pues dice, en el Proyecto de Ley, bueno, este artículo estaba muy parecido en la ley actual, pero bueno, en el proyecto de ley dice que serán de aplicación a los ficheros creados en la aplicación de lo dispuesto en el capítulo 3, las medidas de seguridad de nivel alto previstas en la normativa de protección de datos.

Entonces el canal de denuncias, ¿es capítulo 3 o es capítulo 4? Porque, cuando habla de canal de denuncias nos está hablando de medidas de control interno, de lo que hay que poner en el manual,… Todo esto está en el capítulo 4.

Una lectura literal… no debería ser capítulo 3, pero vamos, lo lógico es que el canal esté en las medidas de control interno, pero lo que va dentro del canal, las denuncias, son operaciones sospechosas, se supone. O conductas contrarias a la legislación y a los manuales, con lo cual debería ser capítulo 3 y debería estar protegido con niveles de protección altos. No lo dice, exactamente así, la legislación, pero bueno, yo creo que parece lógico que esto sea así.

Conclusiones

Entonces, conclusiones. Termino rápido, vamos a concluir. ¿Qué es lo que nos están diciendo en el canal de denuncias interno?

Bueno, pues se trata de un nuevo canal de denuncias interno.

Para denunciar incumplimientos de la normativa, es decir, conductas.

Se permitirá la denuncia anónima, pero tiene que tener un sistema que permita la confidencialidad, y por supuesto, un sistema que permita el anonimato. Si no, nada.

El canal debe ser independiente, en cuanto a quién recibe las denuncia, y como por el canal por el que se reciben. Es decir, el canal también tiene que ser independiente, que no tenga un sesgo: dependiendo de hacia dónde se dirija esa denuncia, pues la mando a la papelera o no. Pues bien, el canal tiene que ser independiente.

Y los datos de quien denuncia, los datos del denunciado y los datos de las situaciones expuestas tienen que protegerse con medidas de nivel alto de protección de datos.

Y esta frase, que la dejo aquí como conclusión, os la dejo para que la leáis por vosotros mismos, y luego la leemos juntos.

El correo electrónico del representante no es confidencial, no es anónimo, o sea, puede entrar en el correo electrónico del representante el informático y mucho otra gente. No es anónimo, porque alguien tiene que haber mandado el correo electrónico, entonces, como mínimo tendría que tener la precaución de crearse una cuenta ficticia, pero bueno, incluso eso se puede saber por la IP desde donde se ha creado. No tiene un nivel alto de protección de datos, un correo electrónico. Y puede que no sea independiente si la denuncia va contra el representante. Con lo cual si queréis empiezo otra vez desde el principio y os digo lo que tiene que tener un sistema para cumplir todas estas cosas, pero el representante, el coreo electrónico del representante, no.

Bueno, y aquí se acaba mi intervención. Os digo una cosa que os quería haber dicho antes que es importante. Tenemos la comunicación de infracciones, que ya lo teníamos, bueno, es nueva, perdón, que es la comunicación que hace un empleado directivo o agente de comunicación externa. Y entonces yo me pongo en la piel de ese empleado que ve una operación sospechosa y dice: ‘Oye, ¿yo le tengo que comunicar al órgano de control, que es el canal que tenemos hasta ahora, o lo tengo que comunicar otro? No dice nada la legislación de cuándo hay que comunicar, por qué vía.

Hasta ahora lo que decíamos, incluso con la legislación anterior, cuando un empleado ve una operación sospechosa, lo comunica al OCI, y el OCI debería tratar esa operación y, cuando termina de tratarla y decide si es una operación sospechosa o no, debería darle feetback a ese empleado y decirle: ‘Hemos tratado la operación, hemos decidido que es sospechosa y se lo comunicamos. O hemos tratado esta operación y hemos decidido que no es sospechosa y no la vamos a comunicar, pero lo das feedback al empleado.

Y si el empleado no recibe ese feetback, pues debería de pensar que el OCI ha pasado de él, no ha analizado esa operación. Y entonces, en ese aspecto a mí me parece justificado que el empleado vaya a otra vía, a esta que se nos abre ahora, la comunicación de infracciones. ¿Vale? Esto que os estoy diciendo yo es una interpretación mía, porque no lo dice la legislación.

Puede pensar ese empleado: ‘Oye, mi organización está podrida, yo voy a hacer una comunicación a la OCI y sé que va a caer en saco roto y encima voy a tener represalias por haberlo hecho. Directamente voy a la comunicación por infracciones. Es otra interpretación. Pero habrá que ver cómo es la organización, y yo desde aquí no me atrevo a decir qué es lo que tienen que hacer. Yo sí que opino que las empresas en las que trabajamos no están podridas y el canal hacia el OCI funciona y, si se diera el caso de que no se trata en el OCI pues se podría ir al otro canal. Pero no nos está diciendo la legislación en qué casos tiene el empleado que ir por un lado u otro.

By | 2018-08-09T15:11:12+00:00 09/08/2018|Protección de Datos|0 Comments

About the Author:

Leave A Comment