Entrevistamos a María José Palazón Pagán, abogada y profesora del Máster en Compliance, Fraude y Blanqueo de EALDE Business School
1.- Hola María José en su calidad de abogada penalista ¿qué concomitancias jurídicas –que diría un afamado y actual Magistrado de la Sala II del Supremo– presenta el Compliance Penal Corporativo con el Fraude y el Blanqueo en el ámbito de la protección de datos?
El Compliance Penal Corporativo no deja de ser un conjunto de herramientas preventivas para evitar infracciones penales en una empresa, surgido esencialmente cuando las personas jurídicas en nuestro país, al contrario de lo que hasta entonces nos habían enseñado en la Facultad, empiezan a tener responsabilidad penal porque así lo reconoce la ley y se destierra el famoso aforismo “societas delinquere non potest”.
Por su parte, las actuaciones de prevención de Fraude y Blanqueo también implican, especialmente si se realizan en el seno corporativo, la necesidad de implementar una serie de medidas adecuadas al medio en el que nos encontramos y conformes a la normativa vigente, con el fin de evitar la comisión estos delitos y/o detectarlos lo antes posible en el caso de que ocurran.
Ambos tipos de actuaciones dirigidas a la prevención de infracciones penales en el seno empresarial o corporativo deben tener presente el cumplimiento de la normativa vigente en materia de protección de datos, esencialmente la LOPDP-GDD 3/2018 y el RGPD 2016/679, para cumplir con los principios y obligaciones que estos textos establecen para el correcto tratamiento de los datos personales que obran en su poder.
Ello conlleva que en ambos casos haya que implementar políticas y procedimientos para la identificación y gestión de riesgos asociados al tratamiento de datos, unas persiguiendo su labor esencial de garantizar el cumplimiento normativo y otras con el fin de garantizar la gestión segura de esos datos y el desarrollo de limitados controles de acceso en el campo de la prevención de delitos económicos.
2.- Los flujos de datos y la consiguiente obtención de información personal sin tratarse conforme a la legislación vigente ¿es causa o consecuencia de una necesaria evaluación de impacto a realizar sobre los derechos fundamentales?
Las evaluaciones de impacto en derechos fundamentales se centran en desarrollar un proceso para identificar, valorar y evitar los efectos indeseados que una actividad empresarial puede ocasionar en el goce y disfrute de dichos derechos por parte de sus titulares. Tanto si hablamos de derechos fundamentales como de derechos humanos, piedras angulares de nuestros sistemas jurídicos, es preciso contemplar su necesidad de protección y defensa en cualquier campo de actividad social. Personalmente opino que una de las consecuencias de esta inadecuada, o a veces inexistente, evaluación de impacto sobre derechos fundamentales como el honor o la intimidad es lo que facilita en el seno corporativo los flujos indebidos de datos o el tratamiento inadecuado de los mismos que incumplen la legislación vigente y provocan un tráfico ilícito de información personal. Estimo que es una falta de conciencia primero y después de compromiso lo que nos lleva a no saber abordar este tema en el campo empresarial.
La realidad sobre la necesidad de protección estricta e inminente de los datos personales por su conexión con derechos fundamentales en estos momentos es algo que no puede obviarse por más tiempo, y para ello, es necesario no solo conocer las normas sino también aplicarlas adecuadamente adoptando las medidas oportunas e individualizadas en cada supuesto tras un análisis exhaustivo del caso particular. Cuanto más tiempo tardemos en reconocer esta realidad, que a todas luces ya es clamorosa, y ponernos a ello, mayor será el número de vulneraciones de derechos fundamentales que se ocasionen y que luego tengamos que lamentar e intentar compensar.
3.-Recientemente con ocasión de la presentación del Máster en Compliance, Fraude y Blanqueo de EALDE publicamos en este medio una nota sobre la afectación de la Inteligencia Artificial en la actividad de los compliancers. A su juicio ¿cuál es el papel a desempeñar el uso y aplicación de tecnologías basadas en IA en la labor del responsable de cumplimiento o compliancer?
Desde luego creo que el avance tecnológico que a pasos agigantados llevamos en las últimas décadas es algo que nos hace replantearnos nuestra labor como profesionales constantemente y en diversos campos, debido a la necesidad de descubrimiento de estas nuevas herramientas digitales y a la actualización de los conocimientos ya adquiridos al respecto, algo que intentamos desde EALDE Business School con nuestra formación al alumnado procedente de diversas partes del mundo y que, precisamente por nuestra oferta formativa en vanguardia al respecto, nos busca para su preparación en sus ramas profesionales respectivas.
Pero no creo que todo este avance nos lleve como se está diciendo a que la Inteligencia Artificial absorba el trabajo humano, solo hace falta, como cualquier otro instrumento, ponerlo a nuestro servicio, utilizarlo para facilitarnos la labor, para aprender, mejorar el abordaje de nuestras tareas y globalizar aún más la transmisión de conocimientos en esta era digital.
Dicho esto, considero que el uso de la IA por el compliance officer puede ser muy útil en su trabajo, pero desde luego debe partir de unos conocimientos no solo básicos, sino de una formación adaptada a las necesidades de su profesión llevada a cabo por especialistas informáticos. Es interesante que nos intentemos amoldar a los cambios a los que la revolución digital en la que estamos inmersos nos puede llevar, pero siempre desde la preparación adecuada para el papel que desempeñamos y la adquisición de conocimientos aportados por expertos en inteligencia artificial.
Partiendo de esa base, la IA puede servir al compliance officer para mejorar su tarea a la hora de brindarle herramientas para detener, prevenir y gestionar riesgos en la organización para la que trabaja. Por ejemplo, la IA puede utilizarse para identificar patrones de comportamiento de actividades ilegales, detectar precozmente el incumplimiento normativo, facilitar la labor de análisis de textos y documentación (especialmente cuando el volumen a cotejar es muy elevado), favorecer la auditoría de procesos y la elaboración de informes al respecto.
4.- Las nuevas tecnologías como la Blockchain, la Big Data, la IA, el Machine Learning, la IOT, etc…traen consigo un aumento de riesgos en materia de privacidad a la hora de utilizarlas y aplicarlas en las empresas. ¿Cómo ha de proceder y qué se espera del Compliancer para afrontar estos estos casos?
Ciertamente todas estas nuevas tecnologías suponen un riesgo para nuestra privacidad, ya sea en el ámbito personal o profesional, de cuya magnitud creo que aún no somos del todo conscientes. No obstante, en el caso de un compliance officer, la responsabilidad derivada de su trabajo le va a exigir también la adopción de una serie de medidas para proteger los datos personales con los que trata y que estos sean manejados conforme a la normativa vigente.
En primer lugar, creo que deberíamos atender a la concienciación de la responsabilidad que sólo con respecto a la protección de datos ya tienen en sus manos estos profesionales, y, posteriormente, conocer la normativa vigente, los principios generales de tratamiento de estos datos y qué medidas adoptar en su tarea para no dañar en ningún momento el derecho a la protección de datos personales de los ciudadanos. Pero además de esta concienciación y formación, que debe extenderse también en parte a otros trabajadores, me parece relevante reconocer, aun cuando dentro de la empresa haya un delegado de protección de datos, que existen diversas acciones que un compliance officer puede y debe realizar para evitar y gestionar estos riesgos de privacidad. De entre todas ellas destacaría las siguientes: realizar evaluaciones periódicas de los riesgos que para la privacidad puede suponer el uso de ciertas tecnologías en el ámbito corporativo (especialmente una evaluación de impacto de la privacidad con el uso de las concretas herramientas digitales que se empleen en cada momento), tener un plan de actuación urgente para el caso de que surja cualquier incidente o seamos víctimas de un delito en el que estén implicados datos personales que manejamos, realizar auditorías internas con los trabajadores para controlar el cumplimiento de las políticas de privacidad y, del mismo modo, evaluar en este campo a los terceros o proveedores con los que se trabaje para ver si cumplen también con las mismas, pero sobre todo, y lo más importante, contar con una política de abordaje de riesgos de privacidad en el uso de las nuevas tecnologías, conocida por todos los trabajadores que por su labor lo precisen, así como mantenerla siempre actualizada conforme a la legislación vigente nacional y supranacional.
5.- ¿Esta irrupción tecnológica comporta la necesidad de formación permanente de los especialistas en cumplimiento normativo y protección de datos?
No solo de los especialistas en cumplimiento normativo y en protección de datos, que por supuesto ha quedado claro deben formarse al respecto, sino de cualquier profesional que desempeñe una labor que se vea afectada de uno u otro modo por las nuevas tecnologías. El conocimiento, por ejemplo, de la ciberdelincuencia, cada vez más en aumento, de cómo estamos expuestos a ser víctimas de la misma, seamos una persona jurídica o física, y, se vean involucrados o no nuestros datos personales, es algo totalmente necesario. En el campo del Derecho hay muchos abogados que desconocen la magnitud de las nuevas tecnologías y su relación con nuevos tipos penales, ello nos lleva a una necesidad de aprendizaje multidisciplinar para conocer los problemas que se nos pueden presentar en el campo profesional y dar la mejor respuesta posible a nuestros clientes.
6.- En estos últimos años hemos procedido a reconocer la responsabilidad penal a las personas jurídicas. En este sentido ¿tendremos que hacer lo propio en un futuro cercano con los entes de inteligencia artificial?
Cuando en el año 2010 el cambio de legislación penal reconoce la responsabilidad que podían ostentar las personas jurídicas con respecto a determinados delitos se nos vino encima una realidad que nos obligó a cambiar totalmente nuestra percepción y con ello toda la normativa vigente, la doctrina y, de la mano, la jurisprudencia. Según algunos autores, era algo esperado desde hace tiempo, pero en todo caso más fácil de entender que lo que ahora se nos presenta como la posible y futura responsabilidad de la inteligencia artificial. Por ejemplo, desde que surgen hace unos años los coches sin conductor ya se nos empieza a plantear la duda a los penalistas de quién responderá por un hipotético accidente ocasionado por los mismos, y así con todas las nuevas tecnologías que cada vez van sustituyendo más acciones humanas, aunque sean creadas por nosotros mismos.
No sé cómo será el abordaje de la exigencia de dicha responsabilidad penal en el caso de la IA, y quién detrás de la misma será el encargado de responder, pero a la velocidad que avanza esta realidad no creo que tardemos mucho en averiguar los primeros pasos que debemos tomar dirigidos a este fin, con el objetivo de que ninguna conducta contraria a la norma en la que detrás exista una intervención humana quede impune.
7.- Por último, pensando en nuestro público objetivo compuesto principalmente por profesionales jurídicos como abogados, jueces, compliancers… ¿les recomendaría formarse en las nuevas tecnologías como es la Inteligencia Artificial para minimizar riesgos en materia de compliance y protección de datos?
Ciertamente nos encontramos todos en este momento ante una realidad que parece, cuanto menos, desbordante, cuando ya se habían adquirido conocimientos sobre compliance, protección de datos, ciberdelincuencia común, entre otros, ahora se nos presenta todo un conjunto desafiante de conceptos, herramientas y medios tecnológicos que la mayoría de nosotros no dominamos. Obviamente porque muchos son novedosos y porque nosotros no somos expertos en informática. Pero desde luego ello nos lleva a tener que aprender, por lo menos, los aspectos básicos que al respecto nos puedan afectar a cada uno en su nicho de trabajo y que están relacionados con estas nuevas tecnologías.
No obstante, ya sabemos que el Derecho es una ciencia en la que nunca se deja de estudiar puesto que va dirigida a responder a la realidad que, sin duda, es cambiante, del mismo modo, nosotros también deberemos ir adaptando nuestros conocimientos y habilidades para resolver las problemáticas que al respecto se nos presenten si no queremos quedarnos atrasados y desactualizados en nuestra profesión. Pero no hay por qué alarmarse, para ello disponemos afortunadamente hoy de muchos medios que nos permitirán afrontar este desafío partiendo de la base de la primaria y necesaria concienciación y formación.