Los códigos de ética: La histórica del deber ser como respuesta a la mala praxis empresarial.

Sección:
Columna “Entre Líneas”
Título:
Los códigos de ética: La histórica del deber ser como respuesta a la mala praxis empresarial.
Lead:
Los códigos de ética son el control preventivo por excelencia en todas las compañias. Pero, ¿es su evolución una muestra real de efectividad ante los riesgos penales?
Abstract:
Es un breve, apropiado y comprensivo resumen documental que representa de manera objetiva y precisa el contenido de un documento académico o científico, sin interpretación crítica y sin mención expresa del autor del resumen. Extensión de entre 120 y 130 palabras

 

BLOCKCHAIN Y LA IDENTIDAD DIGITAL

La identidad digital, que también se conoce como identidad 2.0, viene constituida por todos aquellos rasgos o características que nos identifica en el entorno online, y constituye la revolución anticipada de la verificación de la identidad en línea, sobre la base de la utilización principal de tecnologías de carácter emergente centradas especialmente en la figura del usuario de internet o de las tecnologías online.
Está formada tanto por los datos del usuario presentes en el mundo 2.0 como por sus acciones (opiniones, fotos, navegación, etc.), pero también por las publicaciones que se han hecho sobre él .
Adicionalmente, debe tenerse en cuenta que la identidad digital está integrada por los diferentes atributos que compartimos en las diversas plataformas, de modo y manera que diferentes identidades digitales, hoy por hoy, se corresponden con una misma persona. Por eso se puede afirmar que los usuarios pueden proyectar más de una identidad digital a través de múltiples comunidades.
En términos de gestión de identidad digital, las áreas clave de interés son la seguridad y la privacidad.
La identidad digital es, por tanto, el equivalente en internet a la verdadera identidad de una persona o entidad (como una agencia de negocios o el gobierno) cuando se utiliza para la identificación en las conexiones o las transacciones de ordenadores, teléfonos móviles u otros dispositivos personales.
La identidad 2.0 no tiene por qué corresponderse obligatoriamente con la identidad real de un individuo o corporación, pero sí afecta a su reputación y a la imagen que los demás usuarios se hacen de él.
Ese rastro que conforma la identidad digital está formado por una serie de impactos de distinta procedencia.
Algunos de ellos son los siguientes:
a). Perfiles personales. Redes sociales generales (Facebook, Instagram, Twitter, Myspace, etc.) y profesionales (Xing, Viadeo, LinkedIn, etc.) y portales de búsqueda de empleo.
b). Comentarios. En foros, blogs, portales de información, redes sociales, Youtube, etc.
c). Contenidos digitales. Fotos en redes sociales (como la chica del vídeo), videos en Vimeo, presentaciones en Slideshare o documentos publicados en webs, una web personal, un blog, etc.
d). Contactos. Nuestros amigos, contactos profesionales, seguidores y a quienes seguimos, etc.
e). Las direcciones de correo electrónico.
f). La mensajería instantánea. Messenger, Irc, etc.
Por ello, se puede afirmar, que hoy por hoy, la identidad digital constituye un aspecto clave para el nuevo internet descentralizado.
Con la identidad digital descentralizada podemos imaginarnos cómo podría ser un mundo en el que los ciudadanos son los propietarios de su información y cómo eso podría crear todo tipo de nuevos modelos de negocio y de facilidades para el ciudadano o usuario de todo tipo de servicios .
Tal como exponía recientemente Díaz . en un artículo, muchos sistemas de identidad en línea se crean con la finalidad de asociar datos con los individuos, que permitan personalizar su experiencia al ingresar en un sitio de Internet, pero esta información no es propiedad del usuario. Esto tiene otras implicaciones, ya que por cada sitio web donde las personas crean un perfil, se genera nuevamente una serie de datos asociados a su identidad.
Consecuentemente con ello, se puede afirmar que las personas, como concepto inicial, pueden llegar a tener tantas identidades en Internet, como sitios donde estén registrados, debiendo valorarse esta situación, que por un lado potencia la personalidad humana, pero que por otro viene a presentar Internet, si cabe como un mundo un poco más caótico o desorganizado, salvo mejor criterio.
Es por ello, por lo que se señala que en el momento actual están surgiendo nuevas líneas de opinión, que tratan fundamentalmente de proporcionar seguridad jurídica, y previsibilidad al concepto de identidad digital, en aras fundamentalmente del uso que la misma ha de tener en la configuración de blockchain.
Así, de esta manera han surgido una serie de iniciativas que buscan dar respuesta a estos problemas, a través de un concepto denominado identidad digital auto-soberana. Alex Preukschat en su artículo Self Sovereign Identity: a guide to privacy for your digital identity with Blockchain, afirma que ña tecnología blockchain es el avance crucial que ahora está impulsando la identidad digital hacia la era de la Identidad “Self Sovereign” (auto-soberana), identificándose a través de la misma cinco problemas principales existentes a cerca de la identidad digital en Internet, y que son los que se indican a continuación:
a). El problema de la proximidad: ya que los actores no interactúan físicamente, sino a distancia.
b). El problema de la escala: la identidad digital depende de los grandes centros de información e identidad.
c). El problema de la flexibilidad: muchas de la “soluciones de identidad digital” actuales, se limitan a esquemas o conjuntos de atributos fijos.
d). El problema de la privacidad: las “soluciones de identidad digital” actuales se basan en una colección de datos, que a menudo se recopilan sin conocimiento del usuario.
e). El problema del consentimiento: los datos contenidos en miles bases de datos de identidad, a menudo se comparten con otros sin consentimiento.
Esta situación debe enlazarse con el hecho, puesto de manifiesto por García Moreno , relativo a que los problemas más importantes en relación al uso de datos personales en la actualidad, provienen de no saber dónde se almacenan estos datos, quién puede acceder a ellos o qué se está haciendo con la información una vez que se accede a ella.
Aunque el nuevo Reglamento General (UE) 2016/679 de protección de datos personales (GDPR) comienza a abordar estos problemas, aún existe la necesidad de proporcionar una infraestructura tecnológica que permita el intercambio confiable de datos, máxime si se tiene en consideración la circunstancia consistente en que las cuestiones relativas a la identidad digital juegan un papel crucial a la hora de que la tecnología Blockchain sea adoptada efectivamente de forma masiva tanto por los ciudadanos, como por las empresas y las Administraciones Públicas.
García Moreno, identifica, a su vez, un conjunto de problemas muy relevantes derivados de la gestión de las identidades personales y la forma en la que se prevé que sean abordados a través de la tecnología Blockchain, y que son los que se indican seguidamente:
a). La necesidad de contar con servicios online ágiles, y, además, seguros.
Llevando las características de la tecnología Blockchain, al terreno de la identidad digital, se observa que éstas tendrían un importante significado en lo atinente a tener una mayor propiedad y control sobre nuestros datos (siempre y cuando mantengamos el control sobre las claves criptográficas que nos dan acceso a ellos), pudiendo ser la clave para mantener la seguridad de nuestras identidades.
Así, se espera que Blockchain ponga a prueba a las estructuras de datos tradicionales, devolviendo el control de los datos personales a los consumidores y, consecuentemente, su confianza a la hora de acceder a cualquier tipo de servicio online.
Además, como la forma en que se almacenan los datos en un Blockchain se puede configurar para establecer permisos personalizados, el nuevo modelo de intercambio de información podría incluir, por ejemplo, formas de segmentación, de modo que sólo accedan a los datos de cada tipo quienes realmente los necesitan.
b). El acceso a los servicios públicos
Otra potencial revolución derivada del uso de la tecnología Blockchain en la gestión de la identidad digital radicaría en una mayor agilidad, seguridad y transparencia en las relaciones entre los ciudadanos y las Administraciones Públicas, entre los que cabe incluir: (i) el acceso a servicios; (ii) los trámites administrativos; (iii) los procesos electorales; y, (iv) cualesquiera otros procesos y servicios.
Más aún, teniendo en cuenta que una parte importante de la población mundial carece de identificación documental.
En cualquier caso, Blockchain (por sí mismo o en combinación con otras tecnologías, como los sistemas biométricos) podría ayudar a la creación de esa identidad digital única a partir de la cual, se podría acceder de forma más ágil y transparente a una amplia gama de trámites administrativos (censo, certificados, licencias, concursos públicos, etc.), y a toda clase de servicios, tales como: la educación; la atención médica; la votación electrónica; la vivienda, entre otros muchos.
c). El desarrollo del comercio con nuestros propios datos personales.
En este ámbito se plantea la posibilidad más que evidente, de que sea la propia persona, quien proceda a la venta de sus propios datos de carácter personal, pudiendo con ello obtener beneficios.
Esta posibilidad determina, que se evite, por ejemplo, la posibilidad de que sean ciertas empresas, sean las que se dediquen a comerciar con los datos personales de los ciudadanos.
Hoy por hoy, se espera que la de implantación de la tecnología Blockchain en los futuros sistemas de gestión de la identidad, permita el intercambio seguro de los datos de identidad de los usuarios.
El siguiente paso sería un sistema de identidad distribuida donde la autoridad no es única, sino que se distribuye entre una multitud de actores de confianza.
El individuo no necesitaría depender de un controlador, emisor o procesador para cumplir con las regulaciones, y así obtener, duplicar, mover, enviar o asegurar sus datos.
De esta forma, al descentralizar el proceso y darle el control al usuario ninguna institución podría poner en compromiso los datos de la identidad del usuario.
Este sistema posibilitaría a los clientes usar un “token” digital para verificar su edad al realizar cualquier tipo de operación.
Para BBVA Reseach la tendencia que marcará nuestra identidad digital futura será la expansión de esquemas de identificación nacionales y sistemas federados, y en este sentido se apunta que, la creación de estándares unificados y transversales dentro de una misma industria sería sumamente útil en el desarrollo y la construcción de la identidad digital, y que desde luego, una de las tecnologías más utilizadas de cara al futuro será, en este ámbito, la de carácter biométrico, debiéndose tener en cuenta, finalmente, la importancia que en este proceso de construcción de la identidad digital va a tener la irrupción de la llamada inteligencia artificial, que permitirá procedimientos de autenticación más fiables, desarrollando, al mismo tiempo, una importante labor en la eliminación de problemas y situaciones actualmente existentes, como puede ser tanto la suplantación de identidad, como el fraude en cualquiera de sus manifestaciones.

 

 

ALGUNAS CONSIDERACIONES SOBRE LOS DATOS PERSONALES Y EL CANAL DE DENUNCIAS

a). Introducción.
Los programas de denuncia de irregularidades internos generalmente se establecen con vistas a poner en marcha unos principios de gobierno corporativo adecuados en el funcionamiento diario de las sociedades.
La denuncia de irregularidades se diseña como un mecanismo adicional para que los empleados informen de malas conductas de manera interna a través de un canal específico, basada en el principio de la delación o puesta en conocimiento del empresario de conductas presuntamente irregulares cometidas por personas sujetas al Modelo de Cumplimiento.
El Canal de Denuncia se establece de manera complementaria a otras vías de comunicación que son habituales en cualquier empresa u organización, como pueden ser las llevadas a cabo a través de los representantes de los empleados, de los mandos o directivos, del personal de control de calidad, o, de los auditores internos, cuya función es precisamente informar acerca de conductas.
La denuncia de irregularidades debería contemplarse como un complemento, y no como un sustituto, de la gestión interna llevada a cabo a través de los medios anteriormente indicados.
Adicionalmente, a los mismos, y con relación al Canal de Denuncias como un instrumento del moderno Compliance, debe valorarse su funcionamiento y su compatibilidad con relación a las normas sobre protección de datos de carácter personal, y así, debe tenerse presente el Dictamen 1/2006 del Grupo de Trabajo del artículo 29, que llevó a cabo una serie de pronunciamientos fundamentales sobre o, una serie de aspectos determinantes en aras de la implantación en el seno de cualquier empresa del Canal Ético o de Denuncias.
Así entre los aspectos que se destacaban, en el mismo, cabe señalar los siguientes:
a). La aplicación de las normas de protección de datos a los programas de denuncia de irregularidades implica el tratamiento de la cuestión de la legitimidad de los sistemas de denuncia de irregularidades.
Esta legitimación se concretaba en el hecho de que el establecimiento del sistema de denuncia de irregularidades fuera necesario para el cumplimiento de una obligación de naturaleza jurídica a la que estuviera sujeto el responsable del tratamiento, este caso la contemplada en el número 4º del apartado 5º del artículo 31 bis del Código Penal, donde se señala que:
“Los modelos de organización y gestión … deberán cumplir los siguientes requisitos: 4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”
Consecuentemente con ello, el establecimiento de un sistema de denuncia de irregularidades es necesario y se justifica sobre la base de un interés legítimo perseguido por el responsable del tratamiento, o en su caso, por el responsable del tratamiento o por el tercero a quien se divulgan los datos, siempre que dichos intereses legítimos no se vean anulados por los intereses o las libertades y derechos fundamentales del interesado.
b). La aplicación de los principios de calidad de datos y proporcionalidad.
La aplicación de estos principios en el Canal de Denuncias conlleva que los datos personales deben tratarse de forma leal y lícita, y que, además, deben ser recogidos, y recogerse u obtenerse con fines determinados, explícitos y legítimos, y, al mismo tiempo, no deberán utilizarse con fines incompatibles con la propia naturaleza y esencia que justifica la existencia del propio Canal de Denuncias.
Asimismo, los datos tratados a consecuencia de este deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que se recaben a los efectos del tratamiento ulterior de los mismos.
Cuando se combinan todos estos principios se puede afirmar que dichos datos de carácter personal son tratados conforme al "principio de proporcionalidad" que debe regir cualquier tratamiento de datos personales.
Complementariamente a ello, debe tenerse presente que constituye una obligación por parte del responsable del tratamiento, conforme se establece en el artículo 32 del Reglamento (UE) 2016/679 el adoptar aquellas medidas técnicas y organizativas adecuadas y suficientes, que permitan preservar el funcionamiento del Canal de Denuncia, así como el tratamiento ulterior de los datos obtenidos a consecuencia del normal funcionamiento del mismo.
Al hilo de ello, es importante señalar, también, la necesidad proceder a concretar y a determinar las personas sujetas al Modelo de Cumplimiento que tienen acceso a informar de supuestas infracciones legales o éticas, incorrecciones o mala conducta a través de programas de denuncia de irregularidades, evaluando la procedencia de limitar el número de personas elegibles para informar de supuestos delitos que puedan haber sido cometidos, y ello también es extensible a la persona que puede ser denunciada mediante dicha vía de comunicación.
En todo caso, con relación a estos aspectos, es decir, quien puede ostentar la cualidad de denunciante o de denunciado en cada modelo de cumplimiento, se deben atender a las concretas circunstancias que en cada caso puedan concurrir, dada la diversidad de supuestos a los que nos que nos podemos encontrar en la configuración de cada modelo de funcionamiento del Canal de Denuncias.
b). El carácter confidencial o anónimo de las comunicaciones o denuncias.
Otra cuestión importante para tener presente viene constituida tal como indicó el citado Grupo de Trabajo en su momento, por el carácter anónimo o confidencial que debía revestir el hecho de la denuncia o la comunicación que se llevara a cabo.
Se decía a tales efectos, que el anonimato podría no ser una buena solución, tanto para el denunciante como para la organización, por una serie de razones, que se justificaban de la manera siguiente:
a). Que el anonimato no impide que otros adivinen con éxito quién planteó la cuestión.
b). Que es más difícil investigar la cuestión si no se pueden realizar preguntas de seguimiento.
c). Que es más fácil organizar la protección del denunciante frente a represalias, especialmente si dicha protección está dispuesta por ley, si las cuestiones se plantean de manera abierta.
d). Que los informes anónimos pueden llevar a las personas a centrarse en el denunciante, tal vez sospechando que plantea la cuestión con malicia.
e). Que la organización corre el riesgo de desarrollar una cultura de recibir informes anónimos de mala fe.
f). Que el clima societario dentro la realización podría deteriorarse si los empleados son conscientes de que informes anónimos relativos a ellos podrían cursarse a través del programa en cualquier momento.
Esta cuestión fue refrendada en un dictamen del año 2007 por la Agencia Española de Protección de Datos, la cual se decantaba abiertamente por el carácter preferencial de la denuncia confidencial antes que anónima.
Sin embargo, esta cuestión hoy en día ha quedado plenamente solventada sobre la base del contenido del artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, cuando no solo reconoce la creación de sistemas de información de denuncias internas, sino que, además, se afirma:
“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información”.
Consecuentemente con ello, la denuncia o comunicación que se efectúe por medio de este Canal de Denuncia puede revestir de forma indistinta el carácter de anónima o confidencial, según las circunstancias concurrentes en cada caso.
El Grupo de Trabajo del artículo 29 señalo, asimismo, que por lo que respecta a las normas de protección de datos, los informes anónimos plantean un problema específico con respecto al requisito esencial de que los datos personales sólo deberían recopilarse de manera leal, y ello es lo que justifica el hecho de que abogue por denuncias de naturaleza confidencial, antes que, de carácter anónimo, ya que estas últimas no satisfacen el indicado requisito de la lealtad.
Como norma, el Grupo de Trabajo considera que sólo las comunicaciones formuladas en la que el denunciante se encuentra completamente identificado deberían comunicarse a través del Canal de Denuncias de irregularidades para satisfacer este requisito de lealtad.
Por contrapartida a ello, debe tenerse presente algunos denunciantes podrían no encontrarse siempre en situación o tener disposición psicológica para presentar comunicaciones en las que se identificaran.
También se debe ser consciente del hecho de que las quejas anónimas son una realidad dentro de las sociedades, incluso y especialmente en ausencia de sistemas de denuncia de irregularidades confidenciales y organizados, y que esta realidad no puede ignorarse. Por ello, debe considerarse que los programas de denuncias de irregularidades podrían llevarse a cabo mediante la presentación de informes anónimos en las siguientes condiciones:
a). Los programas de denuncia de irregularidades deberían estar creados de tal manera que no fomenten los informes anónimos como la manera habitual de presentar una queja.
b). El programa debería informar al denunciante, en el momento de establecer el primer contacto con el programa, de que su identidad se mantendrá confidencial en todas las etapas del proceso y, en concreto, que no se divulgará a terceros, ni a la persona incriminada y a los mandos directivos del empleado.
c). Si, a pesar de esa información, la persona que informa al programa sigue queriendo permanecer en el anonimato, el informe se aceptará en el programa.
d). También es necesario informar a los denunciantes de que podría ser necesario divulgar su identidad a las personas pertinentes implicadas en cualquier investigación posterior o procedimiento judicial incoado como consecuencia de la investigación llevada a cabo por el programa de denuncia de irregularidades.
c). No todos los datos obtenidos en el Canal de Denuncias pueden ser inicialmente objeto de tratamiento.
Hoy en día debe prestarse especial atención a que el artículo 24 de la Ley Orgánica 3/2018, en los términos antes trascritos, que la gestión de los datos personales en el Canal de Denuncias sólo está expresamente previsto para aquellas acciones u omisiones que puedan suponer una infracción de la normativa general o sectorial, pero se guarda silencio en lo referente a la vulneración de la normativa que se encuentre incluida en las políticas internas, o en los códigos de conducta o éticos que puede implementar cualquier empresa o responsable del tratamiento.
Este hecho es trascendente, toda vez que el tratamiento de los datos obtenidos como consecuencia de las denuncias o comunicaciones efectuadas en dicho Canal, derivadas de dichas políticas y/o códigos, de acuerdo con el tenor literal del precepto no estarían amparadas por el sistema de información de las denuncias internas de acuerdo con el citado precepto.
Probablemente ello se deba a una pura omisión del legislador, que sin duda debe provocar consecuencias en el funcionamiento de dicho Canal, máxime cuando es un medio reconocido en base a lo dispuesto en el número 4º, del apartado 5º del artículo 31 bis del Código Penal.
Tal vez la mejor de las soluciones posibles consiste en legitimar los tratamientos de dichos datos personales que versen sobre conductas irregulares más allá de la infracción de la normativa general o sectorial mediante una previsión normativa especial al respecto, no solo para legalizar dichos tratamientos, sino tener en consideración todas aquellas consecuencias que se pueden derivar de la recepción de datos personales y/o informaciones que pueden ser consideradas como irregulares o antijurídicas.
Ello es especialmente relevante, si se tiene en consideración que por su propia naturaleza los datos recogidos en dicho Canal están especialmente vinculados a situaciones de conflicto, pues no hay que olvidar que versan sobre conductas irregulares, y la fuente de información acerca del alcance y del contenido de estas debe permitir cualquier tipo de investigación que determine la existencia o no de responsabilidades, sin vicios o contingencias algunas que contaminen dicha investigación.

Page 6 of 7