Eloy Velasco Núñez. Magistrado de la Audiencia Nacional.

Dirige el Juzgado Central de Instrucción número 6 de la Audiencia Nacional española.
Fue Director General de Justicia de los gobiernos de la Generalitat Valenciana.

«Uno de los componentes fundamentales de los planes de compliance es la formación»

23 junio 2017

Eloy Velasco, Magistrado de la Audiencia Nacional, impartió una MasterClass en el marco de nuestro Máster en Derecho Digital y Sociedad de la Información. Tuvimos la suerte de poder entrevistarle y que nos hablara de los nuevos delitos digitales, la importancia de los planes de compliance y de la formación.

Entre los nuevos delitos digitales, ¿cuáles están teniendo más incidencia en la práctica?

En materia de ciberdelincuencia económica, ha repuntado el tema del ransomware, los delitos en los que te hacen un ataque, una intrusión, te roban la información, te la encriptan y luego te mandan una petición de rescate (ransom) y, si no, no te desencriptan ni te devuelven la información. Además, son delitos muy masivos y que han afectado enormemente a la gente: después del ransom de la policía tuvimos, recientemente, el ransom de WannaCry.
Luego, en materia económica siguen los phising en sus diversas modalidades, en las que te tratan de engañar para que des tus claves, tus contraseñas y quedarse con tu dinero y también la delincuencia de los ataques de denegación de servicio o las venganzas de informáticos o extrabajadores sobre la información de las viejas empresas.
En el otro campo, el personal, se está incrementando el uso de las redes sociales para insultar, para amenazar, para acosar… Por lo tanto, se llevan a la red y al entorno de las redes sociales el tema sexual, el maltrato, las injurias, los insultos y los delitos de odio. A través de la red, estos problemas se están generalizando peligrosamente en los últimos tiempos.

Ante los delitos informáticos, ¿con qué acciones preventivas cuenta un Tribunal?

Las medidas restrictivas de Internet, que son estrictamente preventivas y paliativas, no son sancionadoras sino para evitar el delito, son tres: retirar contenidos de internet: el juez accede al contenido delictivo, como el timo o la pornografía, y los anula. En segundo lugar, la interrupción de servicios, es decir, blogs, servicios informáticos que marchan empresas o personas que quedan suspendidos por parte del juez y, por lo tanto, no se dejan realizar. Y luego, en tercer lugar, el bloqueo tecnológico para impedir que se difunda la información tecnológicamente. Son las tres medidas preventivas en la red que se pueden utilizar judicialmente.

¿Qué beneficios conlleva invertir en un plan de compliance?

Conlleva beneficios de todo tipo, aunque parezca que no. Hay empresarios que dicen: «Hay que pagar un plan y esto es un coste. Y los costes me encarecen el producto y la competencia va a poner el producto más barato que yo». Esto es un error.
El plan de compliance sirve para imponer valores dentro de la empresa: sirve para demostrar que quieres que la empresa dure en el tiempo, que no es una empresa de “aquí te pillo, aquí te mato” y mañana la cambio, sino que quieres que dure y que pase de generaciones. Sirve porque utiliza lenguajes internacionales para negociar mejor con el extranjero y para las negociaciones de carácter internacional. Porque si una empresa de Sudamérica que no te conoce quiere invertir en Barcelona y ve que tienes un plan de compliance, ve que formas parte de esta gente que tiene cultura de cumplimiento.
Y, por supuesto, también nos sirve enormemente a los jueces, porque las empresas que tienen el plan han querido hacer algo para evitar el delito dentro de la empresa y esto es siempre muy valioso. Por ejemplo, en un caso que hemos visto, el fiscal no ha acusado a la nueva Bankia porque tenían planes de compliance.

 ¿Puede cuestionarse el plan de compliance como eximente si no permite sancionar adecuadamente los incumplimientos?

Nosotros siempre decimos: si está bien hecho, estaba hecho antes de que ocurriera el delito y además estaba implementado con eficacia por un buen compliance officer, se puede exonerar de responsabilidad a la empresa. Pero también decimos: si está mal hecho, si es incompleto y el fallo no es muy grande, se puede reducir la multa, la sanción se puede aminorar. Pero si está definitivamente mal hecho es como si no hubiera un plan.
Por esto hay que intentar hacerlo correctamente… y no es fácil. El Código Penal, en el artículo 31 bis 5 establece los requisitos y son requisitos muy exigentes. Por lo tanto, hay que hacerlo bien.

¿Qué papel juega la formación continua para prevenir los ciberriesgos y responsabilidad penal de la empresa?

Juega un papel muy importante en un doble sentido. Primero, porque son fenómenos modernos que hay que aprender: acaba de darse el reglamento europeo de protección de datos y hay que conocerlo. Desde Europa nos viene mucha normativa (porque no se hace solo aquí: también se hace en Europa), y hay que conocerla. Hay que conocer la jurisprudencia que ahora es de tribunales internacionales, el Tribunal de Justicia de la Unión Europea o el Tribunal Europeo de Derechos Humanos. Por lo tanto, hay que formarse para aplicar correctamente la norma.
En segundo lugar, como hemos dicho, uno de los componentes fundamentales de los planes de compliance es la formación. Hay que formar a los directivos de la empresa, pero hay que formar también a los trabajadores en modelos preventivos que eviten que empleados o directivos de la empresa que no están suficientemente instruidos y formados metan la pata y cometan delitos.
Por lo tanto, la formación es buena en los dos sentidos: para estar al día y para evitar delitos.

¿Sabías que...?

Eloy Velasco impartó una MasterClass en el Máster en Derecho Digital y Sociedad de la Información que aporta herramientas prácticas para liderar la adaptación a los nuevos retos jurídicos que presentan las TIC (Tecnología de la Información y la Comunicación). Este Máster prepara a los futuros expertos en el desarrollo de políticas en los distintos ámbitos del Derecho Digital.

Artículos relacionados

Envía un comentario

*