PRIVACIDAD

Protección de la privacidad corporativa y prevención penal

Noticia

La privacidad corporativa debe entenderse como una protección al derecho a la intimidad o al carácter reservado de la información por parte de la persona jurídica hacia dentro y desde dentro hacia fuera.  En un ámbito jurídico penal es necesario perfilar la distinción entre los términos privacidad e intimidad. Por Ana Parés y Juan E.Tordesillas, abogados de ECIJA

Proteccion-Datos_EDEIMA20171204_0014_1.jpg

El término privacidad es definido por la R.A.E como el “ámbito de la vida privada, que se tiene derecho a proteger de cualquier intromisión”, mientras que la intimidad se

Desde un punto de vista penal, también se puede afirmar que la privacidad se constituye como un concepto más amplio que la intimidad, pues engloba el conjunto de facetas de la personalidad. La influencia que ha tenido la cultura anglosajona del privacy en nuestro ordenamiento jurídico penal, instaura la privacidad como el derecho activo de control vinculado a la idea de autodeterminación de la persona. De este modo, el Código Penal realiza un planteamiento unitario de la tutela de la intimidad, -superando la tradicional concepción teórica y negativa del bien jurídico protegido de la intimidad, que se estructuraba en relación al secreto y a las libertades de exclusión- y abogando actualmente por un planteamiento del bien jurídico positivo del que se derivan facultades de control sobre los datos e informaciones del individuo en la sociedad tecnológica.

El derecho de la intimidad

En este sentido debe interpretarse, que la protección penal de la privacidad corporativa se articula sobre el derecho fundamental de la intimidad consagrado en la Constitución Española (Art.18); si bien se circunscribe en este caso a la tutela de tercero sobre el poder de control de los datos personales. Y es que el derecho a la intimidad se muestra insuficiente para proteger las libertades del individuo, en especial en el escenario actual en el que las amenazas derivan de la extralimitación del uso de las nuevas tecnologías. A mayor abundamiento se añaden otros factores, como la múltiple incorporación de los datos personales y familiares en las bases de datos y archivos corporativos, comerciales o publicitarios. Dicha incorporación deviene de la contratación de servicios en diferentes ámbitos y de la interacción en el entorno digital y registro en diferentes plataformas, así como áreas de cliente o redes sociales e incluso de la utilización de sistemas de comunicación instantáneos.

La creciente digitalización y el correlativo auge de las herramientas tecnológicas, que facilitan el acceso, la obtención y la comunicación de datos particulares, y el auge de los negocios a distancia (comercio electrónico, servicios bancarios online, buscadores e intermediarios para la contratación de servicios, e incluso la externalización digital de los propios controles corporativos etc.), conceden relevancia y valor económico a la utilidad de la disposición y uso de dichos datos. Por todo ello y para evitar conductas penalmente ilícitas (acceso, apoderamiento, interceptación, utilización, modificación, difusión, revelación o cesión de los datos sin consentimiento), se han reforzado las políticas de sistemas y de privacidad, a través de un correcto entorno de control.

Medidas en los programas Compliance

Como corolario de lo anterior, en todo programa de Compliance deberán contemplarse medidas relativas a la prevención delitos relativos al descubrimiento y la revelación de secretos contra la intimidad (arts. 197, 197 bis y 197 ter).

En consecuencia, resulta especialmente necesario reseñar la relevancia del requisito de verificación periódica de los Programas de Cumplimiento y, especialmente, de su estructura de control para garantizar su eficacia, conforme a lo dispuesto por el art. 31 bis.5 apartado 6 del Código Penal.

La vía para para evitar los riesgos penales en materia de privacidad e intimidad, así como la incesante aparición de nuevos riesgos operativos y problemáticas para garantizar la seguridad y no difusión de los datos privados en los entornos corporativos, requiere de la adopción de una estructura de control destinada, (i) no sólo a evitar la fuga de los datos alojados en su seno, (ii) sino también a la incorporación o utilización ilícita de dichos datos en su beneficio. Estas medidas de control se dividen en tres tipologías:

 -          Técnicas: Herramientas de cifrado, firewall, antivirus, y soluciones integrales a nivel Data Loss Prevention orientadas a la monitorización, detección y control de alertas , brechas de seguridad o fugas de datos, archivos en entornos seguros tanto físicos como virtuales, y controles de acceso e identificación y extracción de la información a través de herramientas informáticas);  

 -          Organizativas: Configuración, divulgación y formación/concienciación a los empleados/usuarios en materias como seguridad de la información, manejo y uso de las herramientas informáticas y sistemas, y normas de conducta conforme a las políticas de confidencialidad);  

 -          Jurídicas: Adecuación y actualización a la normativa reciente, auditorías de control, adecuación de cláusulas, contratos, así como definición de parámetros y compromisos adecuados en las políticas de sistemas y confidencialidad, encaminadas a la evitación de fugas e incorporaciones ilícitas de datos y a la revelación de secretos relativos a datos de carácter personal.

 A la luz del nuevo escenario de cumplimiento y control interno (que se refleja fielmente con la incorporación en las empresas de la figura del Data Protection Officer, presente en el nuevo Reglamento General de Protección de Datos -UE, 2016/679-), es posible vislumbrar la cada vez más armónica relación entre los sistemas de control en materia de privacidad y protección de datos y los Programas de Cumplimiento Corporativos, no sólo en la óptica de la evitación de delitos, sino también de otros daños económicos y reputacionales relevantes.

Consulta nuestra obra:

: