La reforma del Código Penal y la ISO 27001

27k1_penal_sigeaLa reciente reforma del Código Penal establecida por la Ley Orgánica 5/2010, supone un hecho de especial importancia dentro del ámbito empresarial, pues introduce novedades como el reconocimiento de la responsabilidad penal de las personas jurídicas en determinados delitos, que conllevará implicaciones directas tanto en el ámbito organizativo como en el desarrollo de las actividades de las empresas, pero que a su vez puede incorporar como eximentes certificaciones en normativas como la ISO 27001. Veamos porqué.

La principal novedad de la reforma es que las empresas, organizaciones y fundaciones podrán ser penadas en dos supuestos que corresponden con los denominados modelos de imputación y de la culpabilidad de la organización.

Por un lado, se podrá condenar a las personas jurídicas, cuando se comentan en provecho de las personas misma actuando en nombre o por su cuenta. Y por otro, cuando los delitos los cometan las personas sometidas a la autoridad del representante legal o administrador de hecho o de derecho, al considerarse que la empresa no ha ejercido sobre ellas el debido control. Por tanto, las empresas serán responsables, como personas jurídicas, de las estafas, espionaje empresarial, delitos informáticos… que cometan sus empleados, incluso cuando no sea posible determinar quién es el autor material, cuando éste haya fallecido o se encuentra en paradero desconocido.

Existe un exhaustivo catálogo de delitos que llevan aparejados una posible pena para la entidad colectiva que entre otros incluye los delitos de descubrimiento y revelación de secretos, delitos contra la propiedad intelectual o industrial – todos ellos relacionados con vulneraciones de la seguridad de la información, además de otros sumamente importantes en otros ámbitos como estafa, fraude fiscal o a la Seguridad Social, cohecho, alzamiento de bienes, delitos contra el medio ambiente, blanqueo de capitales…

En cuanto a las sanciones impuestas, recogidas en el art. 129 de esta ley, van desde la pena de multa, por cuotas o proporcional al beneficio obtenido o perjuicio causado, hasta en los supuestos más graves, la suspensión de las actividades, clausura de locales y establecimientos, inhabilitación para obtener subvenciones y ayudas públicas, inhabilitación para contratar con la Administración Pública, y para obtener de beneficios e incentivos fiscales o de la Seguridad Social, la intervención judicial de la persona jurídica o la prohibición de realizar actividades en cuyo ejercicios se hubiera cometido, favorecido o encubierto el delito. A estas penas habrá que añadir la indemnización de los daños ocasionados por el delito.

Resulta por lo tanto necesario que la empresa adapte mecanismos de control interno, destinados a prevenir la comisión de delitos y a mitigar sus impactos en el caso de que se produzcan. Al no estar definido este control por el propio Código Penal, y al no existir todavía jurisprudencia al respecto, es recomendable que la empresa acuda a estándares internacionales de cumplimiento normativo y seguridad de la información, así como a mecanismos de denuncia interna, que si se ejercen debidamente y cumpliendo con la normativa de protección de datos, deben permitir a la empresa acreditar este control exigido por el Código Penal.

Es en este sentido, donde tener certificado un Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO 27001, podría convertirse en una adecuada herramienta de control, pues permitiría demostrar que el empresario establece mecanismos que permiten gestionar la Seguridad de la Información de su organización de forma eficiente, alineada con sus Planes Estratégicos y de negocio, estableciendo controles sobre sus principales activos a través del ciclo de mejora continua, revisando su sistema de gestión de manera periódica con auditorías periódicas y validándolo por un organismo de acreditación externo.

Por lo tanto, mantener y certificar un SGSI podrá permitir a la empresa demostrar que:

  • Establece controles internos y cumple los requisitos de gestión corporativa y de continuidad del negocio.
  • Respeta y da cumplimiento a las leyes y normativas que le sean de aplicación.
  • Verifica que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información.
  • La cúpula directiva de la organización, apoya y muestra el compromiso con la seguridad de la información.
  • Realiza auditorías internas a intervalos planificados que ayudan a supervisar continuamente el rendimiento y la mejora.
  • Establece auditorías externas, que aseguran una visión externa, independiente y totalmente ajena a la rutina de la empresa, que siempre aporta muchos elementos de juicio y acciones de mejora.
Posted in: