I. REFORMAS.

El 5 de marzo del 2014 fue publicado en el Diario Oficial de la Federación el decreto por virtud del cual se expidió el Código Nacional de Procedimientos Penales (en adelante identificado como “CNPP”), asimismo, el 18 de diciembre del mismo año, fue publicada una reforma al Código Penal para el Distrito Federal (“CPDF”).

Una de las cuestiones que mas apremian a las empresas tras estas reformas, es que dichos cuerpo normativos incluyen diversos aspectos novedosos en materia penal, destacando, entre otros, lo relativo a la responsabilidad penal de personas morales.

Estas reformas representan una transformación sustancial en lo que respecta al gobierno corporativo y a la operación cotidiana de las personas morales en nuestro país, pues la toma de decisiones y los procesos internos de una empresa, deberán, de ahora en adelante, considerar aspectos de carácter penal para su desarrollo, funcionamiento y operación.

Por otra parte, el 5 de julio del 2010 fue publicado en el Diario Oficial de la Federación el decreto por virtud del cual se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, con el objeto de proteger los datos personales de los titulares y garantizar su derecho a la autodeterminación informativa. Dicho marco jurídico considera diversas sanciones para todas aquellas personas físicas o morales que lleven a cabo el tratamiento de datos personales en contravención a dicha ley, considerando, entre otros, diversos delitos.

II. CONSIDERACIONES, ALCANCE Y APLICACIÓN.

Para poder entender el alcance y las bondades de estas novedosas disposiciones penales, es indispensable atender a su contenido.

El artículo 27 bis del Código Penal para el Distrito Federal, a la letra, refiere lo siguiente:

“ARTÍCULO 27 BIS. – (Responsabilidad Penal de una Persona Moral o Jurídica). –

 I.- Las personas morales o jurídicas serán responsables penalmente de los delitos dolosos o culposos, y en su caso, de la tentativa de los primeros, todos previstos en este Código, y en las leyes especiales del fuero común, cuando:

a). – Sean cometidos en su nombre, por su cuenta, en su provecho o exclusivo beneficio, por sus representantes legales y/o administradores de hecho o de derecho; o

 b). – Las personas sometidas a la autoridad de las personas físicas mencionadas en el inciso anterior, realicen un hecho que la ley señale como delito por no haberse ejercido sobre ellas el debido control que corresponda al ámbito organizacional que deba atenderse según las circunstancias del caso, y la conducta se realice con motivo de actividades sociales, por cuenta, provecho o exclusivo beneficio de la persona moral o jurídica.

 Cuando la empresa, organización, grupo o cualquier otra clase de entidad o agrupación de personas no queden incluidas en los incisos a) y b) de este artículo, por carecer de personalidad jurídica y hubiesen cometido un delito en el seno, con la colaboración, a través o por medio de la persona moral o jurídica, el Juez o Tribunal podrá aplicarles las sanciones previstas en las fracciones I, III, V, VI, VII, y IX del artículo 32 de este Código.”

[Énfasis agregado]

Por su parte, el CNPP en su artículo 421 primer párrafo, dispone, a la letra, lo siguiente:

Las personas jurídicas serán penalmente responsables, de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización. Lo anterior con independencia de la responsabilidad penal en que puedan incurrir sus representantes o administradores de hecho o de derecho.

  [Énfasis agregado]

Dicho ordenamiento legal dispone que las personas jurídicas serán penalmente responsables por la comisión de los delitos previstos en el catálogo dispuesto en la legislación penal de la federación y de las entidades federativas, lo cual debiera de preocupar aún más a las empresas, ya que deja un catálogo abierto de delitos por los cuales, las personas morales, pudieran ser, en su caso, inculpadas.

III. ¿PUEDE UNA EMPRESA SER PENALMENTE RESPONSABLE POR VIOLAR LA LEY DE DATOS PERSONALES?

Weigend señaló que en el derecho penal del futuro “se sancionará penalmente a las personas jurídicas”, lo cual significa un fortalecimiento del llamado derecho penal económico.

Atendiendo a lo anteriormente expuesto y al objeto del presente análisis, podemos observar que las tendencias y predicciones de Weigend ya impactaron en nuestro país, pues el CNPP y el CPDF, –por mencionar algunas– ya contemplan la figura de responsabilidad penal de personas morales, pero, en razón de lo que nos ocupa, ¿puede una empresa ser penalmente responsable por violar la ley de datos personales?

Para poder resolver este interesante planteamiento, lo primero que debemos de conocer es: ¿existen delitos en materia de protección de datos personales? La respuesta es que si existen, los artículos 77, 68 y 69 de la Ley Federal de Protección de Datos Personales prevé como delitos los siguientes:

“De los Delitos en Materia del Tratamiento Indebido de Datos Personales

Artículo 67.- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.

 Artículo 68.- Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engañó, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.

 Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.”

En razón de lo anteriormente expuesto, podemos observar que serán penalmente responsables aquellas personas que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia, o bien, aquellos que, con el fin de alcanzar un lucro indebido, traten datos personales mediante el engañó, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.

Ahora bien, en razón de lo dispuesto por los artículos 27 bis del CPDF y 421 del CNPP, entre otras, las personas morales serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización.

Derivado de lo expuesto en los párrafos anteriores, pudiéramos presumir en que aquellas empresas, en las que uno de sus colaboradores o personas a su cargo vulnere una base de datos, o trate datos personales mediante el engaño y el error –cumpliendo los supuestos establecidos– y no existiendo políticas o controles para prevenir este tipo de conductas al interior de dicha empresa –como son las medidas dispuestas en la LFPDPPP–, serán penalmente responsables por ese hecho.

IV. ¿CUÁLES SERÍAN LAS CONSECUENCIAS EN CASO DE QUE UNA EMPRESA SEA PENALMENTE RESPONSABLE?

Una vez esclarecido lo anterior, es esencial señalar las sanciones a las que podrán ser sujetas las entidades objeto de estudio. El artículo 422 del CNPP dispone las siguientes consecuencias:

  • Sanción pecuniaria.
  • Decomiso de instrumentos, objetos o productos del delito.
  • Publicación de la sentencia condenatoria.
  • Disolución.
  • Suspensión de actividades.
  • Clausura de locales o establecimientos.
  • Prohibición de realizar a futuro actividades en cuyo ejercicio se haya cometido el delito.
  • Inhabilitación temporal para participar en contrataciones del sector público.
  • Intervención judicial.
  • Amonestación pública.

Para efectos de determinar las sanciones y su alcance, el CNPP dispone que los órganos jurisdiccionales deberán tomar en consideración la gravedad y la culpabilidad de la conducta, para lo cual, se estimará lo siguiente:

Captura de pantalla 2017-10-03 a la(s) 12.28.45.png

No omito señalar que, de acuerdo a lo que dispone el CPDF, las penas podrán ser atenuadas si la persona moral, después de la comisión del delito lleva a cabo las siguientes acciones:

  • Colaborar en la investigación aportando pruebas nuevas y decisivas.
  • Reparar el daño antes de la etapa final del procedimiento penal, que es el juicio oral.
  • Establecer, antes del juicio oral, medidas eficaces para prevenir y descubrir delitos que pudieren cometer personas morales.

V. RECOMENDACIONES PARA PREVENIR UNA RESPONSABILIDAD PENAL POR VIOLAR LA LEY DE DATOS PERSONALES. 

Como hemos visto a lo largo del presente análisis, sin duda alguna lo que se busca con el cumplimiento de este tipo de ordenamientos jurídicos es la prevención del delito al interior de las organizaciones sin importar su actividad.

Estas reformas tuvieron como resultado el que la empresas consideren una tendencia mundial –sobretodo en Europa–, y es la figura  del “compliance penal”.

El compliance penal consiste, a grandes resgos, en desarrollar, implementar y vigilar todos aquellos procesos, lineamientos, directrices, políticas y programas tendientes a prevenir delitos al interior de una organización.

Como recomendaciones para prevenir una responsabilidad penal en una empresa, por la posible violación a la LFPDPPP, propongo la siguientes:

  1. Implementar un Sistema de Gestión de Seguridad de Datos Personales.
  2. Revisar las medidas de seguridad de la información al interior de la organización.
  3. Tener una relación de las personas que tienen acceso a las bases de datos de mi empresa.
  4. Capacitar a los colaboradores de mi empresa en materia de protección de datos personales y seguridad de la información.
  5. Desarrollar responsivas sobre las herramientas de trabajo.
  6. Políticas BYOD (en su caso).
  7. Políticas de Protección de Datos Personales.
  8. Políticas de Seguridad de la Información.
  9. Programa de cumplimiento “Compliance Penal”.

Una de las cuestiones que no podemos perder de vista tratándose de los programas de cumplimiento penal o “compliance programs”, de nada sirve tener directrices o lineamientos que no se adecuen a la actividad diaria y el objeto de la empresa, puesto que al momento de que se requiera a la empresa por una probable responsabilidad penal  , esta deberá acreditar que su programa de cumplimiento se sustenta en un diagnóstico preliminar, que el personal conoce y que tiene un procedimiento de vigilancia para su cumplimiento al interior de la organización, ya sea por un oficial de cumplimiento o un área determinada.

Es importante que tanto las Políticas de Seguridad de la información, las Políticas de Protección de Datos Personales y los Programas de Cumplimiento Penal sean congruentes unos con otros y que su incumplimiento tenga como resultado una sanción.

Para que que un programa de cumplimiento sea efectivo, debe cumplir cuando menos con lo siguiente:

  1. Elaboración de un diagnóstico. (Análisis de riesgo).
  2. Directrices internas (autorregulación).
  3. Capacitación y concientización constante.
  4. Mecanismos de denuncia interna.
  5. Designación del área y/o complliance officer para verificar el cumplimiento.

VI. Conclusiones. 

1. Las reformas al CPDF y la expedición del CNPP contemplan la responsabilidad penal de personas morales.

2. Las personas morales serán penalmente responsables por la comisión de los delitos previstos en el catálogo dispuesto en la legislación penal de la federación y de las entidades federativas.

3. Las personas morales serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización.

4. Será considerados delitos –de conformidad a la LFPDPPP– cuando aquellas personas que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia, o bien, aquellos que, con el fin de alcanzar un lucro indebido, traten datos personales mediante el engañó, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.

5. Se presumir en que aquellas empresas, en las que uno de sus colaboradores o personas a su cargo vulnere una base de datos, o trate datos personales mediante el engaño y el error –cumpliendo los supuestos establecidos en las leyes aplicables– y no existiendo políticas o controles para prevenir este tipo de conductas al interior de dicha empresa –como son las medidas dispuestas en la LFPDPPP–, podrán ser penalmente responsables por ese hecho.

6. Para prevenir el riesgo de una responsabilidad penal, entre otras, se recomienda a las empresas contar con un Sistema de Gestión de Protección de Datos Personales, políticas de seguridad de la información y un programa de cumplimiento penal congruente con las actividades y operación de la empresa.

LMLR