LA MOROSIDAD DELIBERADA

La actual crisis financiera está obligando a las empresas a constreñir el crédito, hasta que queden asegurados los capitales que se invirtieron en la financiación de bienes y servicios o entregados como créditos personales durante la etapa anterior.

A partir de ahora, los créditos serán gestionados con criterios más rigurosos y ajustados al riesgo real de los clientes, evitando en lo posible la utilización de criterios puramente comerciales, lo que implica que las entidades, en estos momentos, deberían estar preocupadas por mejorar sus actuales sistemas de valoración de los riesgos, preparándose así para el escenario operativo que se avecina.

La crisis y el consiguiente incremento de la morosidad, han demostrado a las empresas la importancia de tener establecida una buena política de “credit management”, que interrelacione de forma inteligente las políticas de gestión del riesgo y las políticas de gestión del cobro, lo que implica el establecimiento previo de un sistema eficiente de “conocimiento del cliente”, que pasa por la perfecta identificación del mismo, la verificación de los datos que aporta, y la utilización de buenas herramientas de “credit scoring” para ponderar su solvencia.

Conocer a nuestros clientes constituye la función fundamental, tanto de los departamentos de prevención del fraude, como de los departamentos de prevención del blanqueo, éstos últimos por exigencia legal de colaboración con las Autoridades para la prevención del blanqueo de capitales y de la financiación del terrorismo, y los primeros por exigencia vital de supervivencia de la propia empresa.

Es sobre este concepto del “conocimiento verificado del cliente” sobre el que se pueden fundamentar  posteriormente las políticas de “credit scoring” y de “credit management”.

Tanto para la prevención del fraude, como para la prevención del blanqueo, las empresas financieras cada vez más se están ayudando de empresas especializadas, externalizando para ello muchos de sus procesos.

Para la prevención del fraude esta ayuda se concreta a través de empresas que facilitan la compartición de datos positivos y negativos, o que trabajan verificando los datos que aportan los clientes cuando inician la relación de negocio con las entidades financieras.

Para la prevención del blanqueo, la propia Ley 10/2010 en su artículo 8, explica la forma en que las empresas (sujetos obligados) pueden utilizar a terceros para la aplicación de las medidas de diligencia debida.

La externalización también se manifiesta en los procesos de recuperación de los créditos, en donde estamos viendo florecer empresas cada vez más profesionalizadas que permiten aliviar las costosas estructuras internas de recuperación de deudas.

Esta complejidad operativa es la que justifica que dentro de la Comisión para la Prevención del Fraude de ASNEF, exista una composición tan variada de representantes empresariales: Auditores, Analistas de Riesgos, Responsables de Recuperaciones, Directores de Seguridad, Responsables de Departamentos de Prevención del Fraude, Representantes de Asesorías Jurídicas, Representantes de empresas especializadas en recuperación de deudas  adheridas a la Asociación y que trabajan para nuestras entidades, etc.

Por todo ello, tiene sentido que desde el Servicio de Prevención del fraude abordemos también los problemas operativos de la morosidad, como el que se propone en el título de este documento: “LA MOROSIDAD DELIBERADA”

Durante el proceso que actualmente están viviendo las empresas de recuperación urgente de los capitales invertidos en la financiación, están aflorando los graves problemas derivados de la morosidad sobrevenida por el enfriamiento de la economía, y uno de ellos es la diferenciación entre morosidad y fraude.

Para clarificar esta materia resulta conveniente analizar lo que defino en este documento como morosidad deliberada,  que es la que practican aquellos deudores que nunca quisieron pagar sus deudas y ahora pretenden refugiarse en la mala situación económica general para justificar aquella decisión.

La morosidad deliberada es, por tanto, una modalidad de fraude difícil de probar, pero que puede esclarecerse más fácilmente mediante la colaboración  entre las propias entidades perjudicadas, incluyendo en esta colaboración a las empresas externas que están especializadas en la recuperación de deudas, y que trabajan  para las entidades financieras.

En la recuperación de las deudas existen tres tipos de morosidad:

• La morosidad sobrevenida
• La morosidad deliberada
• La morosidad que termina siendo clasificada como fraude.

A cada uno de estos tipos de morosidad se les suele aplicar una técnica diferente desde los departamentos de recuperaciones o desde las empresas externas especializadas:

• Para la morosidad sobrevenida se aplican las técnicas clásicas de negociación con el cliente, que tratan de ponerse en el lugar del moroso y de esta manera buscan una salida beneficiosa tanto para el cliente como para empresa acreedora.

• Para  morosidad deliberada hay que utilizar técnicas basadas en lo que denomino en este documento como “Reclamación fundamentada” y que explicaré posteriormente.

• Para la morosidad fraudulenta sólo cabe la denuncia por fraude, que considero muy rentable desde el punto de vista de la prevención del fraude y que animo a que se convierta en un nuevo servicio ofrecido a sus clientes por las empresas especializadas en recuperación de deuda, al ser ellas las que trabajan para varias entidades al mismo tiempo y las que tienen capacidad de encontrar los delitos conexos producidos por los mismos autores contra varias entidades diferentes. Este servicio requiere una técnica de investigación y presentación de denuncia muy cercana a la investigación patrimonial o al trabajo de los detectives contemplado  en nuestra legislación sobre seguridad privada.

Los morosos deliberados, al utilizar su propia identidad durante una primera etapa defraudadora, suelen tener  una vida financiera relativamente efímera por la existencia de los ficheros de solvencia, aunque esta etapa suele ser muy dañosa para las empresas.

Suelen alargar su actividad de morosos deliberados, manipulando para cada nueva operación sus propios datos de identidad y solvencia; esta es una de las razones que nos invitan a  avanzar en sistemas compartidos para la prevención del fraude desde el mismo momento de la solicitud de los créditos y las operaciones, utilizando para ello el camino legal establecido de  obtención del CONSENTIMIENTO como requisito normal para establecer cualquier relación de negocio.

Cuando finalmente los morosos deliberados son rechazados del sistema, es cuando inician una etapa delictiva mucho más peligrosa y sofisticada en base a la experiencia adquirida en su etapa anterior, y para ello utilizan identidades verdaderas de personas marginales a las que pagan una pequeña cantidad para que les permitan utilizar sus datos verdaderos, o utilizan identidades suplantadas que obtienen a través del robo de documentaciones o mediante la compra en el mercado negro de documentos de identidad perdidos o sustraídos. Sobres estas identidades suplantadas, o verdaderas pero pertenecientes a personas marginales, se crean solvencias falsas mediante la falsificación de documentos de solvencia: nóminas, justificantes de la seguridad social, escrituras, impuestos de la renta, etc.

Aunque los morosos deliberados expulsados del sistema suelen causar mucho fraude pero que es perfectamente controlable,  no son el grupo más peligroso para la prevención del fraude financiero. El verdadero peligro reside en los grupos  de delincuencia organizada especializados en la falsificación documental de identidades y solvencias, o que trabajan a través de Internet, puesto que tienen conocimientos y herramientas mucho más sofisticadas para su actividad delictiva.

En el caso de los morosos deliberados, se comprende fácilmente que no resulta efectiva la técnica clásica de la negociación, sino que hay que aplicarles la técnica de la “Reclamación fundamentada”, que las entidades han de iniciar mediante una investigación patrimonial del moroso, con el fin de encontrarle los bienes ocultos con los que puedan recuperar la deuda. Esta información estratégica en poder de la empresa acreedora, será el “fundamento” que permitirá el éxito de la reclamación. Este es un servicio que se puede contratar externamente y que puede ser muy rentable para las empresas acreedoras.

Los morosos deliberados normalmente tienen una buena posición económica oculta, que la entidad, o la empresa de investigación que trabaje para ella,  podrían hacer aflorar mediante las técnicas de investigación patrimonial, para las que resulta necesaria una formación adecuada de los investigadores y plataformas tecnológicas de acceso a la información y análisis de la misma.

Una vez conocido el patrimonio oculto del moroso, la reclamación fundamentada consiste en hacerle  partícipe de aquella parte de la información obtenida que sea suficiente para saldar la deuda, haciéndole saber al mismo tiempo que la entidad acreedora  están obteniendo indicios que podrían probar que su  morosidad no es sobrevenida sino fraudulenta.

Cuando con la reclamación fundamentada no se obtiene la recuperación de la deuda, o cuando se demuestre fehacientemente que el moroso ha actuado de forma fraudulenta, sólo cabe reunir todos los indicios y pruebas conseguidas  y proceder a efectuar la denuncia por fraude. En este caso podrían integrarse en un solo atestado las denuncias de todas las entidades perjudicadas, tal como expliqué al hablar del fraude escondido en la morosidad.

Una política firme de las empresas contra los morosos deliberados, tal como la practican las empresas de muchos países anglosajones, es una buena política de prevención del fraude a medio y largo plazo, que puede ahorrar mucho dinero a las entidades financieras que la practiquen, aunque parezca costosa en el corto plazo, porque no hay mejor reclamo para la defraudación que el que los delincuentes constaten e identifiquen a las empresas que actúan pasivamente frente al fraude consumado,  y se limitan a esconderlo dentro de la morosidad.

La prevención del fraude no sólo tiene como objeto evitar el fraude antes de que éste se produzca, sino reaccionar frente al fraude ya consumado, porque también se considera prevención la limpieza de delincuentes del sistema y la ejemplaridad que supone esta política para la seguridad del mismo.

Fabián Zambrano Viedma

Responsable del Servicio

PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS

ENTRADA EN VIGOR DE LA LEY ORGÁNICA 5/2010, DE 22 DE JUNIO, POR LA QUE SE MODIFICA LA LEY ORGÁNICA 10/1995, DE 23 DE NOVIEMBRE, DEL CÓDIGO PENAL

El 23 de diciembre de 2010 entró en vigor la Ley Orgánica 5/2010, que establece la responsabilidad penal de las personas jurídicas por la comisión, por sus representantes legales y administradores de hecho o de derecho, de determinados delitos especificados en la citada Ley, cuando éstos se cometan en su nombre o en su provecho. O cuando estos delitos sean cometidos por los empleados, si no se ejerció sobre ellos el debido control. (Ver el Artículo 31 bis que se incorpora al Código Penal)

En general, las sanciones que se aplicarán serán de multas, pero atendiendo a la gravedad de los hechos podrían venir acompañadas, entre otras, de la suspensión de actividades o el cierre. A todo esto hay que añadir el efecto reputacional negativo que sobre cualquier persona jurídica tiene una investigación penal, aún en el caso de que no termine sustanciándose en condena. (Ver Artículo 33.7 del Código Penal reformado).

Son varios los delitos que se especifican en la Ley Orgánica 5/2010, de los que pueden ser penalmente responsables las personas jurídicas:

• Trata de seres humanos (Artículo 177 bis.7)
• Relativos a la prostitución y la corrupción de menores (Artículo 189 bis)
• Descubrimiento y revelación de secretos (Artículo 197.3)
• Estafa (Artículo 251 bis)
• Insolvencias punibles (Artículos 261 bis)
• Daños informáticos (Artículo 264.4)
• Relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Artículo 288)
• Blanqueo de capitales (Artículo 302.2)
• Delitos contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
• Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
• Delitos contra la ordenación del territorio (Artículo 319.4)
• Delitos contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo 328.6)
• Exposición a radiaciones ionizantes (Artículo 343.3)
• Delitos de riesgo provocados por explosivos y otros agentes (Artículo 348.3)
• Delitos relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas (Artículo 369 bis)
• Falsificación de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
• Cohecho (Artículo 427.2)
• Tráfico de influencias (Artículo 430)
• Corrupción de funcionario público extranjero (Artículo 445.2)
• Financiación del terrorismo (Artículo 576 bis.3)

CONSECUENCIAS DE LA ENTRADA EN VIGOR DE LA LEY ORGÁNICA 5/2010, DE 22 DE JUNIO

• Las entidades han de valorar sus riesgos penales, en relación con los delitos especificados en la Ley Orgánica 5/2010.
• La valoración deberá ir acompañada de la correspondiente formación en materia penal de los administradores y trabajadores.
• Resulta conveniente implantar en las empresas, a partir del 23 de diciembre de 2010, una estructura de cumplimiento centrada en la prevención y vigilancia de los riesgos penales que hayan sido detectados.

Aunque en el Artículo 31 bis que se ha incorporado al Código Penal no se indica la forma en que han de proceder las personas jurídicas en esta materia, en su texto se ofrecen algunas claves de interés:

1. La responsabilidad penal de las personas jurídicas deriva, respecto de los delitos cometidos por sus empleados, del hecho de no haber ejercido sobre los mismos el debido control, atendidas las concretas circunstancias de cada caso.
2. Existen circunstancias atenuantes de la responsabilidad penal de las personas jurídicas, entre las que se reseña el establecimiento de medidas eficaces para prevenir y descubrir los delitos que pudieran cometerse, con los medios o bajo la cobertura de las personas jurídicas.

Estas claves que nos ofrece el Artículo 31 bis, aconsejan a cada empresa que confeccione y ponga en funcionamiento un PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS, que para simplificar llamaremos PROGRAMA PPDD, con los siguientes objetivos:

1. Análisis de los riesgos penales existentes en la empresa.
2. Elaboración de un código de conducta (CÓDIGO ÉTICO) para evitar los riesgos penales detectados.
3. Establecer un sistema de control de los riesgos penales.
4. Ofrecer a los directivos y empleados una formación penal suficiente, para evitar la comisión de aquellas operaciones detectadas como de riesgo.

Para el desarrollo del PROGRAMA PPDD, aconsejo utilizar la experiencia que ya tenemos acumulada para la prevención del blanqueo de capitales y de la financiación del terrorismo.

Al igual que sucede en la prevención del blanqueo de capitales, en el PROGRAMA PPDD deberá estar involucrada toda la empresa, y especialmente la alta dirección, porque para que funcione se han de establecer:

• Una normativa o CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN ESTRATÉGICA)
• Un equipo de control que impulse el cumplimiento del CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN TÁCTICA)
• Dotar a la empresa con los recursos humanos y materiales necesarios para llevar a la práctica el CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN LOGÍSTICA).

Para contar con una mínima estructura para la confección y aplicación del CÓDIGO ÉTICO, aconsejo que utilicemos una parte de la que ya tenemos montada para la prevención del blanqueo de capitales, y concretamente:

EL ÓRGANO DE CONTROL INTERNO (OCI)

El ÓRGANO DE CONTROL INTERNO (OCI), en el Modelo que hemos utilizado para la prevención del blanqueo de capitales, recordemos que estaba compuesto por los máximos responsables de las áreas de negocio y lo denominamos OCI titular. Así se asegura que en el PROGRAMA PPDD esté realmente involucrada la alta dirección.

Dependiendo del jefe de cada área de negocio, había un Responsable de “Compliance”. El conjunto de todos ellos formaban el OCI delegado.

A través de este Modelo teníamos creada una estructura piramidal en materia de “compliance”, que trabajaba por delegación de la alta dirección en la planificación y control de las obligaciones de cumplimiento AML de la empresa. Esta misma estructura es la que puede servir ahora para la planificación y control de las obligaciones PPDD.

El OCI delegado se encargaría de elaborar el PROGRAMA PPDD, bajo el control directo y con la autoridad que reciben de los Jefes de Área. Llevaría a cabo, por delegación, la PLANIFICACIÓN ESTRATÉGICA, la PLANIFICACIÓN TÁCTICA y la PLANIFICACIÓN LOGÍSTICA señaladas.

El OCI delegado en materia PPDD, no estaría presidido por el REPRESENTANTE ANTE EL SEPBLAC, como sucedía para la materia AML, sino por el RESPONSABLE DEL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, con la denominación propia que tenga este departamento en cada una de las entidades.

PLANIFICACIÓN ESTRATÉGICA:

• Nombramiento del Responsable del Departamento de Prevención del Fraude, como RESPONSABLE DE CUMPLIMIENTO PENAL, que pasaría a ser Miembro de pleno derecho del OCI TITULAR, y sería el responsable del OCI delegado para las materias de cumplimiento penal. En el OCI TITULAR, por tanto, estarían representados de pleno derecho el Representante ante el SEPBLAC y el Responsable de Prevención del Fraude, entre otros responsables de cumplimiento.
• El OCI delegado se encargaría de efectuar en la empresa, el análisis de los riesgos penales existentes, y confeccionaría el borrador del CÓDIGO ÉTICO, en el que se harán constar las conductas no toleradas por la entidad y sus consecuencias.
• También el OCI delegado elaboraría un PROGRAMA DE FORMACIÓN DE CUMPLIMIENTO PENAL para todos los empleados de la empresa.

PLANIFICACIÓN TÁCTICA

El CÓDIGO ÉTICO, al igual que el MANUAL DE PROCEDIMIENTOS AML, es fundamentalmente un documento de uso interno para la alta dirección, para el OCI y para los Departamentos de “COMPLIANCE” implicados, que servirá de guía para imbricar y fundir los conceptos contenidos en el CÓDIGO dentro del MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, cuyo control está a cargo de Auditoria Interna.

Realmente el CÓDIGO ÉTICO es un documento de principios, que sólo tendrá efectos prácticos en la medida en que se consiga que pase a formar parte del MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, que puede residir en una plataforma tecnológica de uso departamental. Junto con la existencia del CÓDIGO ÉTICO, se han de adecuar los sistemas de control necesarios para su aplicación.

Ante los Tribunales, más que el CÓDIGO ÉTICO como documento de prueba, lo que se valorará realmente es la demostración de que el CÓDIGO está funcionando de forma real dentro de la empresa.

Para ello, el OCI sustituto, bajo la coordinación del RESPONSABLE DE CUMPLIMIENTO PENAL ha de trabajar para la obtención de los siguientes objetivos tácticos:

1. Adaptación de todos los procedimientos internos de la empresa a los criterios establecidos en el CÓDIGO ÉTICO.
2. Comprobación de la efectividad del CÓDIGO ÉTICO, para lo que se encargará de su revisión y puesta al día, mediante la incorporación al mismo, cuando fuere preciso, de nuevas políticas y controles que permitan una mayor efectividad en la prevención y detección de conductas no toleradas en materia PPDD, especialmente cuando:
1. a) Se inician nuevas actividades por la empresa
2. b) Aparecen nuevos riesgos en el mercado
3. c) Se producen cambios en la regulación
3. Identificación de las áreas y departamentos más sensibles al posible incumplimiento del CÓDIGO ÉTICO, abriendo las vías de información necesarias para un efectivo control.
4. Colaboración con Auditoria Interna en sus labores ordinarias de control, y con el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE en los trabajos de investigación, que se inicien a partir de las alertas obtenidas de las plataformas tecnológicas de prevención del fraude, de las denuncias, o de los informes de Auditoria Interna.
5. Reporte al OCI titular de la información de su interés en materia de cumplimiento PPDD.
6. Aprobación de los planes de formación PPDD.

EL OCI delegado, con la ayuda del DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, se encargará de aplicar de forma efectiva, dentro de las distintas áreas de negocio, el PROGRAMA PPDD y de controlar su efectividad dentro de las respectivas áreas.

Como podemos observar en el Modelo presentado, a través del OCI delegado se establece una interconexión operativa entre los departamentos de cumplimiento y las áreas de negocio que están sujetas a las distintas obligaciones, lo que ayudará a que no se produzcan roces innecesarios dentro de la empresa y a que los departamentos de cumplimiento cumplan su función, con el necesario conocimiento de la actividad real de la empresa.

PLANIFICACIÓN LOGÍSTICA

Para el cumplimiento del CÓDIGO ÉTICO, se han de implantar si no se tienen ya, o mejorar en su caso, las plataformas tecnológicas de prevención y detección del fraude interno y externo, que han de ser preparadas también para controlar los riesgos PPDD que estamos estudiando.

Estas plataformas han de estar ubicadas en los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, para que los especialistas puedan detectar aquellas irregularidades que deban ser investigadas.

En los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, confluirán los informes de investigación de fraude o de PPDD, procedentes de los departamentos de análisis de riesgos, recuperaciones, auditoria interna, prevención del blanqueo en aquellas materias de diligencia debida ajenas al examen especial, etc. Igualmente tendrán a su cargo los buzones de denuncias sobre fraude y sobre operaciones presuntamente delictivas o sospechosas de delito.

Igualmente el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE ha de ser dotado de herramientas tecnológicas de investigación, y del personal adecuado para poder utilizarlas. No olvidemos que, en el caso de materializarse alguno de los riesgos delictivos, el Departamento de Prevención del Fraude debe tener establecido un protocolo de investigación que permita depurar responsabilidades de forma rápida para poder hacer efectivas las circunstancias atenuantes para la empresa enumeradas en el Artículo 31, bis, a saber:

• Confesar la infracción a las Autoridades. (Ejercer la correspondiente denuncia contra los administradores o empleados responsables del delito)
• Colaborar en la investigación del hecho aportando pruebas, nuevas y decisivas para esclarecer las responsabilidades penales dimanantes del mismo.
• Proceder, con anterioridad al juicio oral, a reparar o disminuir el daño causado por el delito.

Igualmente, se ha de dotar al Departamento de Auditoria, de sistemas tecnológicos que faciliten el seguimiento de las políticas y controles implantados, mediante la segregación de funciones y detección de operaciones no toleradas, como por ejemplo la existencia de asientos contables falsos o inexactos, la manipulación de cuentas de clientes y/o de proveedores, el uso de software sin licencia, o el acceso no autorizado a información confidencial.

También conviene establecer dentro de la empresa un CANAL DE DENUNCIAS, con todas las garantías de confidencialidad, que pueda ser utilizado por los empleados, clientes, proveedores y cualquier ciudadano que quieran informar sobre posibles delitos cometidos o que se pudieran estar cometiendo dentro de la empresa.

EL PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS (PPDD)

El PROGRAMA PPDD, es, por tanto, el conjunto de medidas dirigidas a la prevención, detección y reacción, frente a los riesgos de comisión de los delitos incorporados al Código Penal por la Ley Orgánica 5/2010.

Esta nueva obligación legal, constituye una buena ocasión para potenciar dentro de la empresa la prevención del fraude interno y del fraude externo, con lo que estaremos rentabilizando desde el inicio los costes derivados del cumplimiento de esta nueva obligación legal.

Para ahorrar costes y no crear estructuras burocráticas nuevas para el cumplimiento penal, la mejor opción sería utilizar las que ya tenemos en funcionamiento, como son el ÓRGANO DE CONTROL INTERNO (OCI) y el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE.

En el Modelo que propicio, sólo estoy incluyendo el blanqueo de capitales y el cumplimiento penal. No contemplo, por tanto, otras áreas de cumplimiento que también existen dentro de las empresas, derivadas por ejemplo, de las leyes laborales, o de la legislación de protección de datos, que tienen sus centros de planificación en otros departamentos especializados, como Recursos Humanos o Asesoría Jurídica, aunque considero que también en estas materias de “compliance” se debería buscar la integración operativa de las normas en el MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, con la implicación del OCI delegado en la elaboración de las mismas, que en sus materias específicas estaría dirigido por el Responsable de Recursos Humanos (Riesgos laborales), o por el Responsable de Asesoría Jurídica (Riesgos de protección de datos de carácter personal), entre otros ejemplos.

De esta manera, una parte importante del núcleo de cumplimiento, siempre estaría ubicado en la estructura operativa y comercial de la empresa, con lo que las normas serán mucho mejor aceptadas por los obligados a su cumplimiento.

LOS DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE

La nueva Ley Orgánica penal constituye una buena razón para que las entidades potencien internamente a los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, como estructuras independientes a la gestión de riesgos, seguridad informática, seguridad física, recuperaciones, o auditoria interna, que, como sabemos, ya tienen muy definidas sus propias funciones operativas y de gestión dentro de las empresas.

Los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE deben ser considerados estructuras de “COMPLIANCE” y no de gestión, de igual manera que lo son los DEPARTAMENTOS DE PREVENCIÓN DEL BLANQUEO, RECURSOS HUMANOS o ASESORÍA JURÍDICA.

Son departamentos especializados en la prevención y en la reacción contra el fraude, en los que aconsejo se vayan integrando de forma temporal y rotatoria, o de forma permanente en algunos casos, diferentes especialistas procedentes de la gestión operativa y de “compliance”: análisis de riesgos, seguridad informática, seguridad física, recuperaciones, prevención del blanqueo, asesoría jurídica, departamentos comerciales, etc.

No son, por tanto, estructuras burocráticas, sino verdaderas escuelas de formación en técnicas de investigación y prevención del fraude, que obligan a sus integrantes a colaborar entre si, y a integrar y compartir sus propias especializaciones técnicas con el fin de defender a las empresas contra la actividad delictiva.

Conviene que la mayoría de los que trabajen en los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE lo hagan de forma rotatoria para así no alejarse de sus respectivas especializaciones, a las que, a su vuelta, llevarán el bagaje de conocimientos recibidos en las labores de prevención e investigación del fraude, así como los contactos humanos y profesionales establecidos con el personal del resto de departamentos especializados con los que hubieren trabajado en esa etapa.

Una gran parte de la tecnología a aplicar para la prevención del fraude puede ser de uso compartido, por lo que van adquirir en el futuro una gran importancia las iniciativas tecnológicas que vayan surgiendo de las Asociaciones profesionales, que permitirán compartir costes fijos y al mismo tiempo disfrutar de herramientas de última generación, sin contar con las herramientas derivadas del análisis procedente del intercambio de información sobre fraude, imprescindibles para que las entidades puedan luchar con eficacia contra la delincuencia organizada.

Después de haber acercado a los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE la materia de prevención del blanqueo de capitales, y demostrado que existen interconexiones operativas importantes entre estos departamentos y otros de gestión, con los de PREVENCIÓN DEL BLANQUEO DE CAPITALES, mi objetivo es convencer a las entidades de la utilidad de revolucionar de una vez por todas la PREVENCIÓN DEL FRAUDE, desde una óptica científica y en beneficio de nuestras empresas, con la indicación de que para ello no necesitarán hacer grandes inversiones de forma individualizada, sino compartir el esfuerzo tecnológico que se está haciendo a través de la cooperación, tal como está sucediendo con la prevención del blanqueo de capitales.

Fabián Zambrano Viedma

Responsable del Servicio de Prevención del Fraude

 
 

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (continuación)

Modificaciones introducidas en el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por las Sentencias de la Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), de fecha 15 de julio de 2010.

Esquema de Trabajo:

La Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), con fecha 15 de julio de 2010 sentenció sobre tres recursos contenciosos administrativos interpuestos en su día contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF), por la FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO, y por EXPERIAN BUREAU DE CREDITO, S.A.

Las tres Sentencias indicadas han dado lugar a las siguientes modificaciones del actual Reglamento de Desarrollo de la Ley Orgánica 15/2007, de 13 de diciembre, de protección de datos de carácter personal:

• Anulación del Artículo 11
• Anulación del Artículo 18
• Anulación parcial del Apartado 1 a), del Artículo 38
• Anulación del Apartado 2 del Artículo 38
• Anulación del Apartado 2 del Artículo 123
• Dejar imprejuzgada la impugnación del Artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Artículos anulados y la valoración del Tribunal Supremo

• Artículo 11 del Reglamento (ANULADO), y que dice:

“Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.”

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

El Artículo 11, en su redacción actual no se acomoda a los Artículos 6 (Consentimiento del afectado) y 11 (Comunicación de datos) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Con este artículo se habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.

Comentario:

Bajo mi criterio este Artículo volverá a estar vigente en un próximo futuro cuando se redacte de nuevo con la fórmula propuesta en su día por el Ministerio de Administraciones Públicas instigadora del mismo, a saber:

“La formulación por medios electrónicos de solicitudes en las que el interesado declare datos personales que obren en poder de las Administraciones públicas conllevará la autorización al órgano destinatario de la solicitud para que verifique la autenticidad de tales datos.”

De esta forma, las solicitudes que se formulen a las Administraciones públicas por medios electrónicos conllevarán implícitas el consentimiento tácito de los ciudadanos para la verificación de los datos contra las bases existentes en las Administraciones.

• Artículo 18 del Reglamento (ANULADO) y que dice:

“Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos afectados.
2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La disposición reglamentaria del Artículo 18 debe ser anulada porque contraviene la Ley Orgánica 15/1999, de 13 de diciembre, puesto que el legislador ha optado por la libertad de forma para ejercer el deber de informar del Art. 5 de la citada Ley, abriendo por tanto múltiples posibilidades (escrita, verbal, telemática, etc.). La obligación del Artículo 18 se establece - ex novo - y por tanto al margen de la Ley. Podría aceptarse el contenido de este articulo no como obligación sino como mera recomendación - ad cautelan - de una dificultad probatoria futura.

• Apartado 1 a), del Artículo 38 (ANULACIÓN PARCIAL) y que dice:

“Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a)Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”

El Tribunal Supremo elimina la siguiente frase de la letra a) del apartado 1 del Artículo 38:

“… y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”, por lo que la letra a), en base a esta Sentencia tendría la siguiente redacción:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación parcial

El Apartado 1.a) del Artículo 38 no responde a la previsión legal del Artículo 4.3. (Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado) , en atención a la defectuosa redacción del precepto reglamentario por una inconcreción en su texto no solo de aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos de refieren, sino también porque esa vaguedad permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero.

La aplicación de la norma anulada puede producir efectos adversos al permitir evitar la inclusión del dato relativo a la deuda en los ficheros de solvencia patrimonial, de la misma forma que cuando se incluye en un fichero de esa naturaleza la existencia de una deuda inexistente, no vencida o inexigible, lo que iría en contra del Artículo 4.3. de la Ley 15/1999 antes señalado, y del Artículo 6.1.d) de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 13 de abril de 2008, relativa a los contratos de crédito al consumo, que exige que los datos sean exactos y, cuando sea necesario, actualizados, así como que se tomen todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueran recogidos o para los que fueron tratados posteriormente, sean suprimidos o ratificados.

No es posible sostener con éxito que, en aquellos casos en que se hubiera entablado con respecto a la deuda un procedimiento de los expresados en el artículo 1.a), puede hablarse de una deuda cierta antes de que recaiga resolución firme o se emita el informe correspondiente, en los supuestos previstos en el Reglamento de los Comisionados para la defensa del cliente de los servicios financieros aprobado por Real Decreto 303/2004, de 20 de febrero, aprobado en desarrollo de la Ley 44/2002, de 22 de noviembre, de Reforma del Sistema Financiero.

Esta redacción defectuosa permite la existencia de un conflicto de intereses que debe resolverse a la luz de la doctrina constitucional, exigiendo una mayor concreción en el precepto reglamentario que pondere los intereses en presencia en atención a las circunstancias concretas.

• Apartado 2 del Artículo 38 (ANULADO) y que dice:

“No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”

Los requisitos anteriores a los que se refiere este apartado son los siguientes:

• El apartado 1.a) anteriormente referenciado y que ha sido anulado parcialmente por la sentencia.
• El apartado 1 b) que dice lo siguiente: “Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
• El apartado 1 c) que dice lo siguiente: “Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.”

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La norma, sin duda, quiere responder al principio de calidad de datos, y no tipifica <> ninguna infracción. Lo que hace es trasladar la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, pero ha de reconocerse que lo hace en términos tales que origina una gran inseguridad jurídica, que puede dar lugar a la apertura de expedientes sancionadores.

Por ello ha de concluirse que no es conforme a derecho.

Cierto es que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos, y y valga al respecto la cita de la sentencia de la Sala de lo Civil de este Tribunal de 16 de septiembre de 1996, que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero ha de reconocerse que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.

Redacción final del Artículo 38 tras las anulaciones efectuadas por el Tribunal Supremo:

“Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada. (anulación parcial de texto)

b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.

c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. ANULADO

3. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos, documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente.

• Apartado 2 del Artículo 123 (ANULADO) y que dice:

“Personal competente para la realización de las actuaciones previa.

1. Las actuaciones previas serán llevadas a cabo por el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.
2. En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.
3. Los funcionarios que ejerzan la inspección a los que se refieren los dos apartados anteriores tendrán la consideración de autoridad pública en el desempeño de sus cometidos.Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.”

Queda, por tanto anulado el apartado 2 del Artículo, teniendo sólo la condición de Autoridad en el desempeño de sus cometidos el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.

Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

No se contempla la facultad que al Director de la Agencia concede el precepto reglamentario, ni en ningún otro artículo de la misma y la mención en el precepto reglamentario a “supuestos excepcionales”, por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.

• La cuestión prejudicial del artículo 10.2 a) y b)

Las Sentencias a los recursos plateados sobre esta cuestión por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF) y la FEDERACIÓN DE CONSUMO ELECTRÓNICO Y MARKETING DIRECTO, dejan imprejuzgada la impugnación del artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Hasta el pronunciamiento del Tribunal de Justicia de las Comunidades Europeas, resulta de interés puntualizar los argumentos esgrimidos por el Tribunal Supremo para tomar esta decisión, y que, sin duda, van a pesar a partir de ahora en cualquier interpretación que se haga sobre los artículos mencionados.

Punto a) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.

“Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas."

Punto b) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.

“Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizados para ello por una norma con rango de ley.”

Planteamientos del Tribunal Supremo al Tribunal de Justicia de las Comunidades Europeas

1. ¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?
2. ¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?

La Directiva 95/46/CE aspira a una armonización completa de las legislaciones nacionales, al tiempo que quiere establecer un equilibrio entre los dos pilares sobre los que pivota su regulación: la libre circulación entre los Estados miembros de los datos de carácter personal sin merma alguna de los derechos y libertades fundamentales del interesado, lo que se reconoce en el punto a) del Apartado 2 del Artículo 10 reglamentario.

El derecho español añade al interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está en la mencionada Directiva a juicio de los demandantes: que los datos consten en fuentes accesibles al público.

Se depende, por tanto, de la interpretación que el Tribunal dé al artículo 7, letra f) de la Directiva 95/46/CE, la posible solución de litigio planteado, toda vez que el legislador español ha cerrado el listado de las fuentes accesibles al público que para otros Estados son más amplias, lo que afecta a la armonización pretendida por la Directiva.

Si el Tribunal concluye que nada impide que los Estados miembros exijan, además de la concurrencia del repetido interés, la presencia de los datos en fuentes accesibles al público, habrá que concluir que la Ley española y el Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico de la Unión.

Si, por el contrario, es criterio del Tribunal de Justicia que nos les cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia, debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo 7, apartado ñ) efecto directo, la previsión legislativa interna, quedando huérfano de cobertura el artículo 10, apartado 2, letra b) del real Decreto 1720/2007.

Fabián Zambrano Viedma

Responsable del Servicio

SERVICIO PARA LAS EVIDENCIAS ELECTRÓNICAS FINANCIERAS (SEVEF)

Dentro del Servicio de Prevención del Fraude de ASNEF hemos puesto en funcionamiento un Servicio para las Evidencias Electrónicas Financieras (SEVEF), que tiene como objetivo apoyar a nuestras entidades en la lucha contra la ciberdelincuencia que ataca al Sector Financiero a través de los servicios que éste ofrece a sus clientes a través de Internet.

Este Servicio colabora con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), con el que la Asociación Nacional de Establecimientos Financieros de Crédito tiene firmado un Convenio de Colaboración para potenciar la seguridad y la e-confianza en las nuevas tecnologías de la información y la comunicación.

El Servicio para las Evidencias Electrónicas Financieras (SEVEF), será el nexo de colaborción operativa entre las entidades financieras integradas en la Comisión para la Prevención del Fraude de ASNEF y el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y los Proveedores de Seguridad que colaboran con nuestra Asociación.

Entre los instrumentos que ha puesto en funcionamiento INTECO y en cuyo desarrollo hemos colaborado desde la Asociación a través del Proyecto SEVEF, está el REPOSITORIO DE FRAUDE DE INTECO, que ya está creando inteligencia sobre el fraude electrónico y sobre los ataques que la ciberdelincuencia realiza contra nuestras plataformas tecnológicas de banca "on line" o de comercialización de productos financieros.

Este REPOSITORIO, del que adjunto información a través del correspondiente enlace, es un ejemplo de la colaboración que puede darse entre las iniciativas pública y privada y una forma operativa con la que las entidades financieras pueden ayudar para facilitar el trabajo de investigación de las Unidades de Investigación Tecnológica de los Cuerpos Policiales centrales y autonómicos.

Este Blog difundirá a partir de ahora también la cultura de la seguridad informática y dará a conocer las iniciativas y la colaboración  con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), en favor de la seguridad informática y de la e-confianza de los Ciudadanos hacia las nuevas Tecnologías de la Información y la Comunicación (TIC).

Como este Blog y los restantes editados por De-fensa están siendo cada vez más visitados por especialistas de prevención del fraude y prevención del blanqueo de capitales, vamos a difundir también a través de los mismos las estadísticas mensuales de fraude electrónico de INTECO-CERT, lo que servirá para un mejor conocimiento del trabajo de seguridad que nos ofrece el Instituto y potenciar así la colaboración entre el Sector Financiero y los Ciudadanos, con el Instituto.

INTECO tiene creada la OFICINA DE SEGURIDAD DEL INTERNAUTA (OSI), orientada a los usuarios finales con escasos conocimientos técnicos en materia de seguridad, que puede ser muy útil para muchos de nuestros clientes, e INTECO-CERT, Centro de Respuesta a Incidentes de Seguridad, enfocado a profesionales y que está a disposición de nuestras entidades, portales que animo a visitar no sólo por la magnífica información que contienen, sino también por las herramientas que están a disposición de los ciudadanos y de las empresas.

• Informe mensual correspondiente al mes de julio sobre fraude electrónico de INTECO-CERT
• Informe mensual correspondiente el mes de agosto sobre fraude electrónico de INTECO-CERT

Las entidades financieras que estén interesadas en recibir una información personalizada sobre el REPOSITORIO DE FRAUDE DE INTECO, pueden remitirme un correo electrónico a spfraude@asnef.com, que yo reportaré a INTECO para que el Instituto contacte directamente con ellas.

Fabián Zambrano Viedma

Responsable del Servicio

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Recientemente se han publicado las Sentencias del Tribunal Supremo de fecha 15 de julio de 2010, que tienen un gran interés jurídico y que por tanto resultan de obligado estudio para los interesados en la materia de protección de datos de carácter personal:

• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 23/2008 interpuesto por ASNEF contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 25/2008 interpuesto por la FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 26/2008 interpuesto por EXPERIAN BUREAU DE CRÉDITO, S.A. contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Como adelanto a ese estudio, que ya están realizando los especialistas del derecho, y en relación con la primera de las sentencias, hay que indicar que el Tribunal Supremo estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38.2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Además de lo anterior, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Los aspectos más importantes de la Sentencia sobre los aspectos impugnados son los siguientes:

• Artículo 5. Definiciones. Del apartado 1.q), el inciso <>.

La Sentencia recoge que no hay razón para apreciar la nulidad del precepto reglamentario ni para el planteamiento de cuestión prejudicial, pues la frase “aunque no lo realizase materialmente” no supone una ampliación de las personas responsables.

• Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3º de su apartado 5.

Tampoco se aprecia razón para la nulidad de dicho precepto.

• Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos, en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.

El Tribunal Supremo ha acordado suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados y plantear al Tribunal de Justicia de las Comunidades Europeas las cuestiones prejudiciales.

Este precepto es el único de los impugnados que ofrece dudas al Tribunal sobre su adecuación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

• Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones Públicas.

Este precepto fue objeto de impugnación al considerar que habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.

La impugnación del artículo 11 del Reglamento ha sido estimada.

• Artículo 12. Principios generales, en su apartado 2.

Este precepto fue impugnado al considerar que infringía el artículo 11.3 de la Ley Orgánica 15/1999, pues la utilización en el precepto reglamentario de la conjunción acumulativa “y” en lugar de la disyuntiva “o” empleada en el de la Ley, altera el contenido de este último.

El Tribunal ha considerado que una y otra norma coinciden en las prevenciones que contienen y que, en consecuencia, la impugnación ha de desestimarse.

• Artículo 13. Consentimiento para el tratamiento de datos de menores de edad, en su apartado 4.

La Sentencia recoge que la comprobación de la edad del menor puede presentarse en ocasiones como difícil, pero ello no debe de servir de excusa para la adopción de las medidas de garantía adecuadas que, en definitiva, es lo único que exige el precepto reglamentario impugnado, razón esta última que impide considerar la exigencia que previene como desproporcionada, cuando afecta o incide en un ámbito especialmente sensible.

• Artículo 18. Acreditación del cumplimiento del deber de información. En el inciso final de su apartado 1 y en su apartado 2.

La Sentencia recoge, contrariamente a lo que sostiene el Abogado del Estado, que dicho precepto no se limita a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos.

La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma y por ello esta disposición reglamentaria contraviene la Ley y por ello debe ser anulada.

• Artículo 21. Posibilidad de subcontratación de los servicios. En su apartado 2.a).

No ha sido acogida la impugnación de este apartado, pues si el responsable del tratamiento, de conformidad con el artículo 17.2 de la Directiva, debe elegir un encargado del tratamiento que ofrezca garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deben efectuarse, y asegurarse que se cumplen dichas medidas, y si de conformidad con el apartado 3 del indicado artículo el encargado del tratamiento solo actúa siguiendo instrucciones del responsable del tratamiento, no se puede negar capacidad de disposición a éste en supuestos de subcontratación.

La posibilidad de que el responsable del tratamiento pueda controlar el mercado de servicios de tratamiento, bien mediante el veto de una o varias empresas, bien mediante la manifestación de preferencia por alguna o algunas, por constituir una mera hipótesis, necesariamente debe ceder ante una previsión reglamentaria específica pero con cobertura. Otra cosa es que ya en el terreno de la realidad deban corregirse por quien corresponda prácticas restrictivas de la competencia.

• Artículo 23. Carácter personalísimo, en su apartado 2.c).

Tampoco se acoge la impugnación, pues la Sentencia recoge que un derecho de carácter personalísimo puede ejercitarse por medio de un representante voluntario.

• Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1º del artículo 24.3 y el párrafo 2º del mismo artículo.

También se desestima esta impugnación y se indica que el concepto de “ingreso adicional” está referido a aquellos ingresos que pudieran proceder del interesado. Otros ingresos que no procedan del afectado no se contemplan en este artículo.

• Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al <> de obligaciones dinerarias.

El recurso recogía la ilegalidad del término "cumplimiento", en cuanto a hacer referencia a los llamados ficheros positivos o de solvencia y no regularlos en los artículos integradores de la Sección (artículos 38 a 44). La impugnación fracasa porque el epígrafe de la Sección, al carecer de efectos normativos, no puede ser impugnado.

No obstante, no se discute por el Tribunal la relevancia de los ficheros de carácter positivo o de solvencia y afirma que la omisión reglamentaria no supone una prohibición de los ficheros positivos. Dichos ficheros solo resultan admisibles con el consentimiento del afectado.

•  Artículo 38. Requisitos para la inclusión de los datos, en sus apartados 1.a) (en el inciso <>) y b) (en el inciso <>), 2 y 3.

Se estima la impugnación del artículo 38.1.a) en el sentido de eliminar del mismo la frase "... y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Igualmente se estima la impugnación del apartado 2 del artículo 38 pues, si bien es cierto que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero reconoce que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.

La impugnación del apartado 1.b) ha sido rechazada, al igual que la del apartado 3.

• Artículo 39. Información previa a la inclusión, en el inciso <>.

El recurso presentado argumentaba que el precepto imponía al acreedor un deber no previsto en la Ley Orgánica 15/1999, pero no ha sido estimada su impugnación.

• Artículo 40. Notificación de inclusión, en su apartado 2.

No se admite la impugnación de este apartado, y se indica que la notificación de las deudas individualizadas, aunque sean varias, pueden ser realizadas en un solo acto.

• Artículo 41. Conservación de los datos, en el párrafo segundo del apartado 1 y en el apartado 2 (en el inciso <>).

La Sentencia recoge que nada cabe objetar en este caso al encontrarse en absoluta armonía con el principio de calidad de datos.

Añade la Sentencia que la frase "cancelación de todo dato" empleada en el apartado 1, párrafo primero, quiere alejar toda duda sobre la posibilidad de conservar el llamado <>, dando una respuesta negativa, pero también reconoce que tal respuesta está en concordancia con el artículo 29.4 de la Ley que exige que los datos respondan con "veracidad" a la situación "actual", requisito el de la actualidad que no se cumpliría con una referencia al pasado en el que no se estuvo al corriente en pago de deudas u obligaciones.

• Artículo 42. Acceso a la información contenida en el fichero, en su apartado 2, inciso <> del párrafo primero y todo el párrafo segundo.

Se rechaza la impugnación al interpretar el precepto reglamentario desde el punto de vista de que la escritura comprende otras formas distintas a la concepción tradicional de la escritura, como son aquellos que tienen un soporte electrónico.

• Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en su apartado 3, 1ª, en el inciso <>.

Se rechaza la impugnación, pues entiende que no se puede equiparar el plazo de diez días para que el responsable del tratamiento haga efectivo el derecho de rectificación o cancelación, con el de siete días que la disposición reglamentaria contempla como máximo para que el cesionario de los datos dé contestación a la solicitud de rectificación o cancelación, y cuyo incumplimiento origina el deber por parte del responsable del fichero común de proceder cautelarmente.

• Artículos 45.1.b), 46.2. b) y c) y 3, 47 y 49.1 y 4.

Estos artículos son relativos a los tratamientos para actividades de publicidad y prospección comercial.

El Tribunal ha considerado que la Asociación carece de legitimación para impugnar estos artículos pues, al agrupar empresas del sector financiero, se requiere para apreciar la legitimación que actúe en representación y defensa de los intereses empresariales o profesionales de sus asociados y esto no ocurre al impugnar unos preceptos reglamentarios que se refieren a una actividad distinta de la que la caracteriza.

• Artículo 69. Suspensión temporal de las transferencias, en su apartado 1.b) (inciso <>).

Se desestima la impugnación, pues el precepto reglamentario contempla a un Estado que por su normativa no garantiza el nivel de protección que concede la Ley Orgánica y que hay razones suficientes para creer que las autoridades competentes de dicho Estado no han adoptado o no están dispuestas a adoptar las medidas pertinentes.

• Artículo 70. Transferencias sujetas a autorización del Director de la Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso <>), d (inciso <>) y d).

Tampoco es acogida la impugnación en este caso y se remite a los mismos argumentos expresados sobre el artículo 69.1.b).

• Artículo 123. Personal competente para la realización de las actuaciones previas, en su apartado 2, inciso <>.

Sí se estima la impugnación en este caso al entender que ni los artículos 35, 37 y 40 de la Ley Orgánica, ni ningún otro artículo de la misma, contempla la facultad que al Director de la Agencia concede el precepto reglamentario. La mención en el precepto reglamentario a "supuestos excepcionales", por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.

• Disposición adicional única.

La impugnación se desestima, pues se interpreta que no impone a los responsables y encargados de los ficheros y tratamientos la utilización de un producto de determinadas características, en cuanto que lo único que exige es que se describan las características técnicas del producto para que el adquirente pueda conocer el nivel de seguridad.

CONCLUSIÓN

Como conclusión de todo lo anterior, la Sentencia estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38. 2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero". Por otra parte, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Información provisional recogida del

Servicio Jurídico de la Asociación