Este informe surge en un contexto en el que cada vez es mayor la importancia de gestionar los riesgos en materia medioambiental, social y de gobernanza (ESG), y conocer y comprender el impacto (financiero y material) que tienen en todas las áreas del negocio.

En él, Ceres orienta a los consejos de administración sobre cómo pueden supervisar eficazmente dichos riesgos. También se incluyen las preguntas que los consejeros deben hacer a la gerencia para identificar, priorizar y definir los procesos de mitigación de riesgos ESG.

Además, ofrece recomendaciones concretas para aquellos órganos de gobierno que busquen estar mejor preparados ante los eventuales riesgos de ESG que pudieran surgir en el seno de sus entidades.

Ceres es una organización sin fines de lucro que trabaja con los inversores y las empresas más influyentes para construir liderazgo e impulsar soluciones en la economía.

Pulse aquí para ver el documento.

En noviembre de 2019, el Supervisor Europeo de Protección de Datos emitió un conjunto de directrices (Directrices 2/2019) para ayudar a las instituciones y organismos de la Unión Europea en el cumplimiento de las disposiciones del Reglamento europeo 2018/1725, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión.

Estas Directrices, que siguen los mismos principios establecidos por el Reglamento General de Protección de Datos, serán útiles para todas las empresa que necesiten determinar si actúan como controladores, procesadores o controladores conjuntos de datos en virtud de dicho Reglamento.

Por otra parte, el Consejo Europeo de Protección de Datos publicó para consulta pública otras Directrices (Directrices 5/2019) sobre los criterios y razones justificables para ejercer el derecho al olvido, en relación con los casos de motores de búsqueda. La fecha límite para enviar comentarios fue el 5 de febrero de 2020.

El documento de Reputation Institute analiza cuáles son las 10 tendencias que los principales líderes mundiales citan como más importantes para su reputación, y estudia por qué son prioritarias y qué impacto tienen para las empresas.

Las tendencias se han identificado tras realizar entrevistas a más de 200 líderes (CEOS, vicepresidentes y directores) en 18 industrias en América del Norte, EMEA, Asia Pacífico y América Latina.

El 70,2% de ellos dicen que administrar la reputación de su empresa es más importante ahora que nunca, y que saber cómo los ven los clientes, empleados, accionistas y otros grupos de interés está ganando cada vez más relevancia.

Pulsa aquí para ver el documento. 

El próximo 14 de febrero finalizará el plazo para que todos los interesados remitan a la Comisión Nacional del Mercado de Valores (CNMV) sus comentarios a la propuesta de modificación de determinadas recomendaciones del Código de Buen Gobierno de las Sociedades Cotizadas (el “Código”).

La iniciativa surge para adecuar el Código a la nueva legislación que se ha publicado a lo largo de los cuatro años desde su elaboración. Además, entre otros, tiene los objetivos de: i) reforzar algunos aspectos en materia de control interno para evitar posibles prácticas irregulares; ii) incorporar un enfoque más actual en relación con el concepto de sostenibilidad, y iii) actualizar el planteamiento del anterior Código sobre diversidad de género en los consejos.

A continuación se presentan las principales modificaciones:

Ámbito de aplicación del Código

Se modifica la redacción del Código en cuanto al ámbito de aplicación, para sustituir el concepto de “mercado secundario de valores” por “mercado regulado” domiciliado en la Unión Europea (no solo los mercados en España), y así adaptarlo a la nueva terminología empleada en la Ley del Mercado de Valores tras su adaptación a MiFID III.

Operaciones con partes vinculadas

La actual recomendación 2 del Código recoge que aquella sociedad cotizada que realice operaciones con su matriz o con otra entidad de su grupo, deberá informar sobre las actividades que desarrollan, únicamente si las dos sociedades cotizan en España.

No obstante, dado que el conflicto de interés puede surgir independientemente de que la matriz o las sociedades del grupo coticen o no, se plantea modificar dicha recomendación para que todas las sociedades informen públicamente con precisión de las actividades desarrolladas con su matriz o sociedades del grupo, ya sean cotizadas o no, así como de los mecanismos previstos para resolver los eventuales conflictos de intereses que pudieran surgir.

Comunicación de información corporativa

Se propone completar la recomendación 4 (relacionada con las relaciones y la comunicación de las sociedades con sus accionistas, inversores institucionales y asesores de voto), añadiendo que las entidades deberán contar con una política general de comunicación de información económico-financiera y corporativa.

De esta forma, se maximiza la difusión y la calidad de la información a disposición del mercado y de los inversores, así como el correcto cumplimiento de las normas sobre abuso de mercado.

También se sugiere hacer referencia expresa a la implicación de los accionistas inversores institucionales, para estar en línea con la Directiva europea 2017/828, que recientemente se transpondrá al ordenamiento jurídico español.

En línea con lo anterior, la CNMV emitió recientemente un comunicado en el que estableció el nuevo procedimiento de comunicación de información a través de su página web para emisores. El nuevo procedimiento empezó a funcionar desde el 8 de febrero y supone un cambio relevante en la forma en que los emisores comunican determinada información al mercado, al sustituir al tradicional medio de comunicación de información a través de hechos relevantes.

Estado de información no financiera

La Ley 11/2018 introdujo la obligación de que todas las compañías que formulen cuentas anuales y cumplan ciertos criterios de tamaño formulen un estado de información no financiera que formará parte del informe de gestión.

Por ello, se propone suprimir de la recomendación 6 la obligación de publicar en la página web el informe sobre la política de responsabilidad social corporativa, pues dicho estado ya contiene información relacionada.

Consejo de administración y diversidad

Respecto a las funciones del Consejo, se modifica el principio 6 para incluir que este órgano deberá procurar que en la formulación de las cuentas anuales, se apliquen correctamente los principios y criterios de contabilidad.

Completa otra de sus funciones contenida en la recomendación 14, que será aprobar una política dirigida a favorecer una composición apropiada del Consejo, que, además, fomente que la entidad cuente con un número significativo de altas ejecutivas.

En línea con lo anterior, dado que el actual Código recomienda que el total de consejeras represente al menos el 30% del total de miembros del consejo para el 2020, se actualiza la recomendación 15 para recoger que el sexo menos representado suponga, al menos, el 40% del total de miembros del consejo de administración (sin establecer un límite temporal).

Consejeros

Se ajusta la recomendación 22 para incluir que las entidades deberán establecer reglas para que los consejeros informen y, en su caso, dimitan si se dan situaciones que puedan afectar al crédito y reputación de la sociedad, relacionadas o no con su actuación en la misma, incluyendo casos de corrupción.

Además, se añade que, cuando el consejo haya sido informado o haya conocido de otro modo alguna de esas situaciones, deberá examinarlas tan pronto como sea posible y decidir si adoptar o no alguna medida, sin esperar a que el consejero en cuestión resulte procesado o se dicte contra él auto de apertura de juicio oral por un delito societario (como actualmente se prevé en dicha recomendación).

Así mismo, se propone modificar la recomendación 24 para añadir que no solo cuando un consejero dimita, sino también cuando cese en su cargo por acuerdo de la junta general, se deberá dar cuenta de las razones de dimisión o del cese en el informe anual de gobierno corporativo.

Remuneraciones de consejeros

Se ajustan las recomendaciones 59, 62 y 64 en relación a la remuneración de los consejeros:

• Se recomienda que se difiera el pago de los componentes variables el tiempo necesario para que las sociedades puedan comprobar que se han cumplido de modo efectivo las condiciones de rendimiento pactadas
• Se aclara que la limitación temporal de tres años a la transmisión de acciones, opciones u otros instrumentos financieros en el marco de un plan retributivo se deberán computar desde el otorgamiento del mismo
• Se precisa que el límite recomendado a los pagos por resolución o extinción del contrato de un consejero ejecutivo incluye las indemnizaciones, los importes no consolidados por sistemas de ahorro, las compensaciones por pactos de no competencia, y cualquier otro importe derivado de la resolución o extinción de la relación contractual.  

Medioambiente, social y gobierno corporativo (ESG)

La importancia creciente de las cuestiones ESG hace que se modifiquen las recomendaciones 53 y 54, y se elimine la recomendación 55. En concreto, se propone que si las entidades han constituido una comisión especializada para supervisar las políticas y reglas medioambientales, sociales y de gobierno corporativo, o bien han atribuido esta función a alguna comisión ya existente, la misma esté integrada por consejeros externos y al menos dos de ellos sean independientes.

Comisión de auditoría

Se proponen ciertas modificaciones para reforzar la labor de la comisión de auditoría y de sus miembros. En concreto, se cambia la recomendación 8 para que, en aquellos casos en los que se haya incluido alguna salvedad en el informe de auditoría, sea el presidente de la comisión de auditoría quien, acompañado del auditor externo, informe a la junta general de accionistas sobre tales salvedades.

Además, se propone añadir en la recomendación 39 que los miembros de la comisión de auditoría deberán tener conocimientos en gestión de riesgos financieros y no financieros.

Asimismo se atribuye a este comité la función de supervisión de los riesgos no financieros y del proceso de reporte de la información no financiera, modificándose por ello las recomendaciones 41 y 42.

También en relación a los riesgos no financieros se incluye en la recomendación 45 que se deberá identificar en la política de control y gestión de riesgos de la entidad aquellos riesgos relacionados con la corrupción.

Comisión ejecutiva

Por último, se da flexibilidad a la recomendación 37 sobre la composición de la comisión ejecutiva, de tal forma que se propone que se integre, al menos, por dos consejeros externos, uno de ellos independiente. 

Se elimina así la referencia a que esta comisión tenga una estructura de participación de las diferentes categorías de consejeros similar a la del propio consejo de administración.

El documento ha sido elaborado por la Red Española del Pacto Mundial en colaboración con el Consejo General de Economistas de España y la Confederación Española de la Pequeña y Mediana Empresa.

En España las pequeñas y medianas empresas (PYMES) suponen más del 95% del tejido empresarial y generan el 70% del empleo. Pero para seguir manteniendo este liderazgo empresarial es fundamental que apuesten por el desarrollo sostenible, implementando la responsabilidad social empresarial en toda su actividad profesional.

Con la presente guía se trata de orientar y acompañar a las PYMES en el proceso de continuar avanzando en la consecución de los Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas, ofreciéndoles consejos sobre los pasos a seguir y sugerencias para la acción, así como ejemplos de buenas prácticas empresariales que pueden servirles de referencia e inspiración. 

El objetivo es concienciar a las PYMES que la adopción de principios de sostenibilidad les puede reportar acceso a nuevos mercados, ahorro en costes, generación de alianzas con otros actores y negocio con grandes empresas, más facilidades para contratar con el sector público, mayor reputación y aumento de la confianza en la marca.

Pulsa aquí para ver el documento

La ciberseguridad está de moda. Los ciberataques están a la orden del día y todas las empresas y particulares quieren evitar ser la siguiente víctima. La inversión en medidas técnicas se dispara y se predice la creación de miles de nuevos puestos de trabajo en este sector; sin embargo, más del 90% de los ciberataques tienen como punto de entrada un error o un descuido humano. Por este motivo es importante conocer las amenazas existentes y cómo evitar que nos afecten a nosotros o a nuestro entorno: familia, empresas y público en general.

Ana Gómez, Global Head of Security Culture – Corporate Security BBVA

Para que seamos conscientes de la dimensión del contexto, en 1991 se crea la World Wide Web, comúnmente conocida como Internet, con menos de un millón de dispositivos conectados. Hoy día se estima que en el mundo hay 7700 millones de habitantes y 22000 millones de dispositivos conectados a Internet, lo que corresponde con más de tres dispositivos inteligentes por persona en media. Si a estas cifras se le suma que cada vez se realizan más tareas de la vida cotidiana en Internet como gestiones bancarias, compartir información, relaciones sociales, ocio, compras online, etc., se entiende por qué hay organizaciones criminales que han optado por dar el salto al mundo digital: la ciberdelincuencia.

Pero al igual que ocurre con los delincuentes, existen ciberdelincuentes solitarios y bandas criminales organizadas, por lo que las técnicas empleadas y la motivación de los ataques son muchas y muy variadas. Los ciberdelincuentes pueden actuar para robar dinero directamente, para sustraer información sensible que venden en la Dark Web por precios insospechados o para prestar servicios contratados por terceros, como el espionaje industrial o daño reputacional.

En función de los objetivos y el retorno económico esperado, se emplearán técnicas más o menos sofisticadas. Los ciberdelincuentes suelen entrar a la fuerza cuando los dispositivos están mal protegidos técnicamente o sin actualizar, y cuando los sistemas de defensa son sofisticados, los atacantes optan por combinar técnicas más próximas a la psicología: la ingeniería social.

La ingeniería social es una técnica con la que los ciberdelincuentes intentan conseguir sus objetivos manipulando a usuarios legítimos, principalmente con información pública que encuentran en Internet. Así tratan de convertir a los usuarios en la puerta de entrada a los ordenadores personales o los sistemas empresariales. Incluso, en algunas ocasiones, son los propios usuarios manipulados los que llevan a cabo las acciones delictivas sin necesidad de que los ciberdelincuentes accedan. Según una importante empresa del sector, el 93% de las brechas de seguridad en 2018 son iniciadas mediante ataques de ingeniería social.

De cara a poder reducir estas cifras, los organismos responsables están actualizando las regulaciones. En ellas se establecen una serie de medidas básicas que las empresas, organizaciones sin ánimo de lucro e instituciones públicas deben cumplir. Regulaciones como GDPR y PSD2 en Europa o las comunicaciones del Banco Central de la República Argentina entre otras, no se limitan solo a medidas organizativas y técnicas, sino que también exigen formación y concienciación de seguridad de la información y riesgos tecnológicos tanto para empleados como para clientes.

Al igual que en el mundo físico, en el mundo digital también se debe tener una conducta responsable y segura para evitar ser víctima de los ciberdelincuentes. Existen algunas recomendaciones básicas que debemos aplicar y fomentar entre compañeros, amigos, familiares y sociedad en general. Pero también hay otros conceptos que no se pueden olvidar:

• Nunca se puede bajar la guardia. Los delincuentes están operativos las 24h del día, todos los días del año. Tenemos que recordar que el código ético de los ciberdelincuentes no está sujeto a regulaciones, por lo que sus actuaciones pueden ser internacionales, invasivas y lucrativas.
• Los ingresos de la ciberdelincuencia se apoyan en un constante perfeccionamiento y la generación de nuevas técnicas de ataque, por lo que su inversión en I+D es importante.
• Los delincuentes se aprovechan del instinto de las personas de confiar en otras, de ayudar a quien lo necesita, de no saber decir que no y de su vanidad.
• Los ciberataques masivos son igual de probables en dispositivos personales como en profesionales, sin embargo, una empresa con defensas sólidas es capaz de rechazar gran parte de ellos antes de que lleguen a los empleados. Las defensas de los dispositivos deben actualizarse para que reconozcan los ‘malware’ y amenazas más recientes.
• Los ciberdelincuentes pueden aparecer por cualquier medio: SMS, correos electrónicos, llamadas de teléfono, juguetes infantiles, dispositivos inteligentes, etc.
• La información pública del usuario puede ser usada por los delincuentes para perjudicar a la persona tanto en el mundo digital como en el real.

Debido al amplio catálogo de crímenes y cibercrímenes existente, la mejor opción para defendernos es estar siempre informados y alerta en nuestro entorno, tanto físico como digital, y contactar con las autoridades competentes del país en caso de detectar indicios de alguno de ellos. Recuerda, incluso con las mejores medidas técnicas de seguridad instaladas:

¡LA DEFENSA ERES TÚ!

Ante la falta de un marco legal en el país sobre cómo deben manejar las entidades privadas y públicas los datos de los clientes y los ciudadanos, a finales de noviembre del 2019 se aprobó en Kenia la ley de protección de datos (Data Protection Act, 2019).

La norma, inspirada en los principios recogidos en el Reglamento General de Protección de Datos de la Unión Europea, tiene el objetivo de establecer los mecanismos legales e institucionales necesarios para regular la recopilación, el almacenamiento y el procesamiento de datos personales y así proteger la privacidad de las personas.

A continuación destacamos su principal contenido:

Tratamiento de datos personales

La ley se aplica al procesamiento de datos personales recogidos a través de medios automatizados o no automatizados por un controlador o procesador de datos que:

• Esté establecido o sea residente habitual en Kenia y procese datos mientras está en el país,
• O bien, sin cumplir lo anterior, procese datos personales de interesados ubicados en Kenia

Derechos de los interesados

 Se reconocen a los interesados, entre otros, los siguientes derechos:

• Ser informados del uso para el que se procesan sus datos personales (derecho de información)
• Acceder a los datos personales que tengan de ellos los controladores o procesadores de datos (derecho de acceso)
• Objetar el procesamiento de todo o parte de su información personal, corregir los datos falsos o engañosos, y eliminarlos (derecho de rectificación y supresión)
• Recibir los datos sobre ellos de forma estructurada y en un formato legible por máquina, así como a traspasarlos de un controlador o procesador a otro (derecho a la portabilidad de datos) 

Deber de notificar

 Antes de recopilar los datos personales, los controladores y procesadores de datos deberán informar al interesado: i) que se están recopilando sus datos y cuáles son; ii) con qué propósito lo hacen; iii) si tienen intención de transferirlos a terceros y, en su caso, a quiénes; iv) cuáles son sus derechos; v) las medidas de seguridad técnicas y organizativas tomadas para garantizar la integridad y confidencialidad de los datos; entre otros.

Consentimiento expreso

 Para poder recopilar, procesar, almacenar y usar los datos personales será necesario que los interesados presten su consentimiento de forma expresa, inequívoca, libre, específica e informada, mediante una declaración o una acción afirmativa clara; pudiendo retirarlo en cualquier momento.

No se podrán procesar datos personales de los niños, a menos que se cuente con el consentimiento de sus padres o tutores, o el procesamiento se realice de tal manera que proteja y promueva sus derechos y los mejores intereses para ellos (por ejemplo, organizaciones que trabajan para la defensa o protección de los niños). Los controladores y procesadores de datos deberán contar con los mecanismos apropiados para verificar su edad y el consentimiento para procesar sus datos.

Oficina del Comisionado de Protección de Datos

La norma crea la Oficina del Comisionado de Protección de Datos como organismo responsable de asegurar la aplicación de la nueva ley. Sus funciones son, entre otras, las siguientes:

• Establecer y mantener un registro de controladores y procesadores de datos
• Supervisar las operaciones de procesamiento de datos, ya sea de oficio o a solicitud de un interesado, y verificar si se realizan de conformidad con la ley
• Recibir e investigar cualquier queja de cualquier persona respecto a la violación de sus derechos
• Promover la cooperación internacional en asuntos relacionados con la protección de datos y garantizar que el país cumple con sus obligaciones de protección de datos bajo convenios y acuerdos internacionales
• Realizar otras funciones que le sean prescritas por cualquier otra ley o según sea necesario para la promoción del objeto de esta ley

Registro de controladores y procesadores

Para poder tratar los datos personales, los controladores y procesadores de datos deberán estar válidamente registrados en la Oficina del Comisionado de Datos.

La ley especifica en su artículo 19 la información que deben incluir en la solicitud de registro, destacando especialmente el deber de indicar las medidas que tienen para indemnizar a los interesados en caso de uso ilegal de sus datos.

Notificación y comunicación de incumplimiento

Los controladores y procesadores de datos deben emplear medidas de seguridad adecuadas para evitar el acceso no autorizado, la divulgación o la pérdida de los datos personales recopilados por ellos. En caso de incumplimiento, están obligados a informarlo al Comisionado de Datos dentro de las 72 horas siguientes a producirse, y a los interesados ​​afectados, sin demora.

Transferencia internacional de datos

La ley prohíbe la transferencia de datos fuera de Kenia, a menos que existan garantías adecuadas de protección de datos, o se haya obtenido el consentimiento del interesado.

El pasado 17 de diciembre de 2019 entró en vigor la Directiva del Parlamento Europeo y del Consejo, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, Directiva (UE) 2019/1937, de 23 de octubre de 2019.

Las denuncias y revelaciones públicas sobre infracciones del derecho comunitario permiten detectar, investigar y enjuiciar de manera efectiva las mismas, mejorando así la transparencia y la rendición de cuentas. Es por ello que se ha considerado especialmente importante prestar una adecuada y efectiva protección a los denunciantes (en inglés conocidos como “whistleblowers”) ya que muchos renuncian a informar por temor a represalias.

Dado que, hasta la fecha, en la Unión Europea (UE) la protección de los denunciantes se encontraba fragmentada en los diferentes Estado miembros y era desigual en los distintos ámbitos, se decidió que debían existir y aplicarse unas mínimas normas comunes que se han plasmado en la presente Directiva.

Infracciones

Se prevé la protección de los denunciantes que informen sobre las infracciones relativas a los siguientes ámbitos: contratación pública, servicios financieros, prevención del blanqueo de capitales y financiación del terrorismo, seguridad del transporte, protección ambiental,  seguridad nuclear, seguridad alimentaria, sanidad animal, salud pública, protección de los consumidores, protección y la seguridad de los datos y sistemas de información, y las regulaciones tributarias e intereses financieros de la UE.

Denunciantes

La presente Directiva se aplicará a los denunciantes que trabajen en el sector privado o público y que hayan conocido la infracción en un contexto laboral, incluyendo si ha sido obtenida en el marco de una relación laboral ya finalizada o durante un proceso de selección o de negociación precontractual.

Canal de denuncias

Toda empresa del sector público, y las empresas del sector privado con más de 50 empleados, están obligadas a implementar un procedimiento interno para poder recibir y gestionar las denuncias. Si bien la Directiva prevé la posibilidad de que, en su transposición, cada Estado miembro decida si exime de tal obligación a los municipios de menos de 10.000 habitantes o con menos de 50 trabajadores, u otras entidades públicas con menos de 50 trabajadores

La Directiva recoge la obligación de establecer canales de denuncias, tanto internos como externos a las organizaciones que garanticen la confidencialidad de los denunciantes, debiendo aprobar procedimientos internos donde se regule el proceso de recepción y tramitación de las denuncias: 

• La obligación de enviar un acuse de recibo de la denuncia al denunciante en el plazo máximo de 7 días
• Designación de la persona o el órgano que se encargará de tramitar las denuncias
• El plazo para dar una respuesta al denunciante, que no podrá ser superior a 3 meses desde el acuse de recibo
• Información clara y fácilmente accesible sobre los procedimientos de denuncias en los canales externos existentes

Apoyo y protección 

En todo caso, los Estados miembros adoptarán las medidas de apoyo necesarias para prohibir cualquier forma de represalia contra los denunciantes, tales como: 

• Facilitarles información y asesoramiento independientes, accesibles y gratuitos sobre los procedimientos y recursos disponibles
• Asistencia efectiva por parte de las autoridades competentes ante cualquier autoridad implicada en su protección frente a represalias
• Asistencia jurídica en los procesos penales y en los procesos civiles transfronterizos, así como asistencia jurídica en otros procesos y asesoramiento jurídico o cualquier otro tipo de asistencia jurídica
• Asistencia financiera y medidas de apoyo a los denunciantes, incluido apoyo psicológico, en el marco de un proceso judicial 

Y en cuanto a las medidas para su protección, los Estados miembros velarán por que las mismas gocen de su derecho a la tutela judicial efectiva y a un juez imparcial, así como a la presunción de inocencia y al derecho de defensa, incluido el derecho a ser oídos y el derecho a acceder a su expediente.

Transposición

Los Estados miembros tendrán hasta el 17 de diciembre de 2021 para transponer la Directiva. No obstante, las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, no estarán obligadas a establecer canales de denuncia interna hasta el 17 de diciembre de 2023.

Programas de cumplimiento normativo

El presente decreto tiene por objeto promover y regular la implementación voluntaria de programas de cumplimiento normativo en materia de protección al consumidor y publicidad comercial. Recoge además las circunstancias atenuantes especiales para la graduación de las sanciones administrativas, estableciendo que como mínimo deberá contener los elementos recogidos en el Código de Protección y Defensa del Consumidor de Perú.

Asimismo, dispone las siguientes medidas:

• Involucramiento y respaldo de parte de los principales directivos del proveedor a los programas de cumplimiento normativo
• Existencia de una política y unos procedimientos destinados al cumplimiento de las estipulaciones contenidas en la normativa
• Existencia de mecanismos internos para el entrenamiento y educación de su personal para el cumplimiento de la normativa
• Mecanismos para el monitoreo, la auditoría y para el reporte de eventuales incumplimientos
• Mecanismos para disciplinar internamente los eventuales incumplimientos a la normativa 
• Incumplimientos aislados y no obedecen a una conducta reiterada

Publicidad comercial

La norma extiende su aplicación a la normativa de publicidad comercial, con el objetivo de evitar la competencia desleal; así, la existencia de este programa también servirá como circunstancia atenuante para la graduación de la sanción derivada de las eventuales infracciones a la Ley de Represión de la Competencia Desleal.

Indecopi

Finalmente, se dispone que el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad (Indecopi) resguardará la información de los programas de cumplimiento que los proveedores le comuniquen voluntariamente, debiendo proteger la información que conforme a la normativa vigente califique como confidencial o dato personal “protegible”.

También podrá suscribir convenios con organizaciones empresariales con la finalidad de brindar apoyo técnico en la implementación de programas de cumplimiento en sectores o actividades que impacten favorablemente en los consumidores o en los que se advierta la existencia de incumplimientos significativos.

En mérito a lo dispuesto en la Ley N° 29733, Ley de Protección de Datos Personales, la imagen y voz de una persona constituyen en datos personales, en tanto se trata de información que la identifican o permiten identificarla ante los demás.

En esa línea, y dado el aumento en las instalaciones de sistemas de videovigilancia con fines de seguridad y control laboral, la Autoridad Nacional de Protección de Datos Personales estimó necesario contar con una Directiva que establezca las disposiciones para que el tratamiento de los datos personales que se efectúe a través de dichas cámaras u otros dispositivos similares se realice acorde con lo establecido en la normativa de protección de datos personales.

Sistemas de videovigilancia

Así se emite la presente Directiva con la finalidad de establecer las disposiciones para el tratamiento de datos personales captados a través de sistemas de videovigilancia, siendo de aplicación a toda persona natural, jurídica o entidad pública que realicen el tratamiento por dichos medios.

Las disposiciones más relevantes son las siguientes:

• Cada acceso a una zona videovigilada debe tener un cartel o anuncio visible de color que contraste con el fondo de la pared y con la información mínima establecida en la Directiva.
• Relacionado al cartel, se deberá contar con un informativo adicional del sistema de videovigilancia, el cual debe estar disponible al público, ya sea a través de medios informáticos, digitalizados o impresos.
• Las imágenes y voces grabadas se almacenarán por un plazo de entre 30 y 60 días, salvo excepción en normas sectoriales.
• En espacios públicos de uso privado, tales como establecimientos comerciales, restaurantes, lugares de ocio, entre otros, se deberá cumplir con el principio de proporcionalidad; por ejemplo, está prohibido instalar cámaras en baños y vestuarios, en los lugares de ocio no se pueden grabar conversaciones ni utilizar las imágenes con fines comerciales o promocionales, salvo consentimiento de los titulares de los datos.
• Para el caso de entidades financieras se establecen los siguientes lineamientos: (i) el sistema de videovigilancia es únicamente para fines de seguridad; (ii) las imágenes que registren la comisión de un delito o falta deberán ser trasladas a la Policía Nacional del Perú o Ministerio Público; (iii) si la entidad se encarga del tratamiento de los datos deberá contar con un responsable especializado en sistemas de seguridad videovigilancia; (iv) cámaras instaladas al ingreso de las oficinas, no deben captar imágenes del resto de la acera o calle, solo se debe limitar al acceso vigilado.
• En el caso de videovigilancia en el entorno laboral, las imágenes captadas no pueden ser utilizadas para fines comerciales o promocionales. Así también, está prohibido este sistema en lugares destinados al descanso o esparcimiento de los trabajadores, entre otros.

Entrada en vigor 

El cumplimiento de las presentes disposición será obligatorio, según corresponda, a partir  del 17 de marzo de 2020, esto es, un plazo de 60 días desde su publicación para que los sujetos obligados puedan adecuar sus instalaciones y procesos a las disposiciones contenidas.

El Parlamento (Bundestag) y el Consejo (Bundesrat) alemanes aprobaron en noviembre de 2019 la presente ley para cumplir con la implementación nacional de la Directiva europea 2018/843, de 30 de mayo de 2018, (5ª Directiva) sobre lavado de dinero y el financiamiento del terrorismo, que comentamos en Progreso 15.

La ley entró en vigor el 1 de enero de 2020 y se enmarca dentro de las políticas que está llevando a cabo el gobierno federal en su objetivo de proteger del crimen a los ciudadanos y a la economía.

Los principales cambios respecto a la normativa anterior son los siguientes:

Nuevos sujetos obligados

Se amplía el grupo de sujetos obligados a los siguientes:

• Proveedores de servicios financieros con monedas virtuales (como bitcoins), considerándolas instrumentos financieros. Las compañías que realizan actividades de custodia criptográfica se entienden como instituciones que prestan servicios financieros y, por tanto, estarán bajo el control de la Autoridad Federal de Supervisión Financiera.
• Abogados: deberán identificar a sus clientes si realizan las actividades tasadas en la ley, y cuando asesoren sobre fusiones y adquisiciones o impuestos.
• Marchantes de arte y propietarios de almacenes de arte en áreas libres de impuestos: solo estarán obligados a implementar una gestión de riesgos efectiva y a llevar a cabo procesos generales de debida diligencia para transacciones de 10.000 euros o más, independientemente de si el pago se realiza o no en efectivo.
• Subastas públicas: los tribunales, las autoridades, así como las corporaciones e instituciones de derecho público estarán obligadas a cumplir con las obligaciones de identificación y presentación de informes en el marco de subastas públicas para pagos en efectivo de 10.000 euros o más por artículo subastado,  y a cooperar con la Unidad de Inteligencia Financiera (UIF).
• Agentes inmobiliarios: no solo serán personas obligadas en las operaciones de compraventa sino también en relación a contratos de alquiler y arrendamiento. Sin embargo, si bien la implementación de una gestión de riesgos efectiva y el cumplimiento del deber general de cuidado es obligatoria para las compraventas, en el segundo caso solo serán necesarios cuando se trate de un alquiler mensual o arrendamiento de 10.000 euros o más.

Due diligence de riesgos

El principio de “conoce a su cliente” (Know Your Client) ha adquirido una nueva dimensión con la norma, orientándose a la detección de los riesgos de lavado de dinero. Así, se contempla la obligación de debida diligencia reforzada para las operaciones de mayor riesgo:

• Transacciones de mediación con personas políticamente expuestas (PeP)
• Transacciones con terceros países de alto riesgo
• Discrepancias con los beneficiarios reales

Registro de transparencia

Con la nueva ley, el registro de transparencia creado en 2017 será accesible al público en general, eliminándose la necesidad de invocar interés legítimo.

Para mejorar la calidad de los datos del registro, las personas obligadas deberán informar inmediatamente a las autoridades sobre cualquier discrepancia encontrada entre los datos contenidos en el mismo y su propia información sobre los beneficiarios reales.

Unidad de Inteligencia Financiera 

Se amplían los poderes de la Unidad de Inteligencia Financiera (UIF), ya que para cumplir con sus funciones, además del acceso automático a los datos personales almacenados en el sistema de información policial , también podrá hacerlo a la información y a los delitos penales almacenados en el Registro de Procedimientos de la Fiscalía Central. Así mismo, tendrá acceso completo y automatizado a los datos del registro de transparencia.

La norma también exige que las personas obligadas se registren electrónicamente en la UIF, con el objetivo de crear una base de datos de todas ellas y reducir las barreras para presentar un informe de actividad sospechosa a este organismo.

Puede acceder a la ley haciendo click aquí.

El pasado 28 de noviembre la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó los “Guidelines on ICT and security risk management”, que constituyen la primera regulación armonizada en Europa dedicada a la gestión de los riesgos tecnológicos y de ciberseguridad para todo tipo de instituciones financieras.

El documento establece los principios

Joaquin Á. Cortes Hernández, Director de auditoría de la FMBBVA

que deben regir en las entidades de crédito, empresas de inversión y proveedores de servicios de pago, para la adecuada gestión y mitigación de los riesgos vinculados a las Tecnologías de la Información y Comunicaciones (ICT, por sus siglas en inglés) a los que las entidades están expuestas en su día a día.

Uno de los propósitos principales que persiguen estas directrices es aportar a las instituciones financieras un mejor entendimiento de las expectativas de los supervisores en relación con la gestión de ICT y riesgos de ciberseguridad.

Además, este marco de requerimientos aspira a garantizar una aproximación consistente y robusta en el mercado, integrando no solo a los jugadores tradicionales, sino también a las Fintech, tanto desde el punto de vista operativo y de control, como desde el punto de vista regulatorio.

En un momento en el que múltiples nuevos “jugadores” tecnológicos -más innovadores y más ágiles- han venido irrumpiendo en diferente parcelas del negocio financiero, parecía imprescindible avanzar hacia una homogeneización del “campo de juego”, considerando tanto la perspectiva de requerimientos regulatorios como la de gestión de riesgos. Así mismo, supone un acicate para que las instituciones tradicionales impulsen con mayor intensidad la innovación tecnológica y la sencillez de sus procesos.

Como es conocido, las guías emitidas por la EBA no son en sí mismas normas que deban ser adoptadas por parte de reguladores, supervisores o instituciones pero, de facto, son asumidas como propias por parte de todos aquellos, máxime después de los periodos de consultas mantenidos previos a su publicación. Por ello, se espera que sean tenidas en cuenta y que se incorporen en la gestión y gobernanza de las entidades.

Los aspectos clave contenidos en las guías son:

• Destacan la necesidad de dotarse de un modelo robusto de gobernanza y de una sólida estructura de control interno para la gestión de los riesgos de ICT compatible con el modelo de 3 líneas de defensa.
• Señalan la necesidad de un mantenimiento continuo y actualizado de un inventario de funciones de negocio, procesos de soporte y activos de información, adecuadamente clasificados atendiendo a su criticidad.
• Desarrollan requerimientos en materia de seguridad de la información, estableciendo la necesidad de desarrollar una política específica al respecto.
• Incorporan principios de alto nivel para la gestión de las operaciones de ICT incluyendo requerimientos de mejora continuada de la eficiencia.
• Enfatizan la necesidad de desarrollar y testear que los Planes de Continuidad de Negocio y de recuperación sean adecuados e integrales, destacando la importancia de que en los mismos se integren los planes específicos relativos a ICT y que, por tanto, estos no se gestionen de forma independiente.
• Establecen requerimientos específicos para los proveedores de servicios de pago en cuanto a la relación con sus usuarios.

Es relevante destacar dos aspectos importantes que se han incorporado en el espíritu global de estas directrices:

• La proporcionalidad en la aplicación de las guías en base a la realidad de cada institución (dimensión, complejidad, organización interna, etc.)
• La importancia de los principios generales que deben ser seguidos, dejando a decisión de las entidades la forma en que dichos principios se aplican a partir de análisis de riesgos propios. Un ejemplo que deja claro este espíritu es el relativo a la gobernanza y la gestión de proyectos tecnológicos.

En nuestro sector, para que la actividad siga siendo sostenible, son imprescindibles mejoras continuadas de la eficiencia, lo que implica, en gran medida, la necesidad de una permanente innovación y transformación tecnológica que, a su vez, entrañan nuevos riesgos que deben ser abordados.

Como venimos observando de manera creciente, nuestro sector no es inmune a estos riesgos. Por tanto, es imprescindible destacar la importancia de que nuestras instituciones desarrollen planes de mitigación robustos que garanticen una adecuada protección y respuesta ante los riesgos tecnológicos y las amenazas crecientes, tanto en su complejidad como en su impacto. Los riesgos vinculados con la ciberseguridad son quizás uno de los ejemplos más visibles, conocidos y relevantes en materia de riesgos tecnológicos.

Estas directrices deben de servir de estímulo adicional para que todos avancemos con paso firme en la adecuada gestión operativa y de los riesgos de aspectos tan relevantes vinculados con la tecnología.

Desde luego, nuestra fortaleza en la gestión de los riesgos tecnológicos proporcionará a nuestros clientes tranquilidad en la gestión de sus operaciones y de sus posiciones y reforzará su confianza en la relación con las entidades.

Aquí puedes escuchar al autor explicando cómo impactan estas directrices en los emprendedores de la Fundación:

El pasado 1 de enero de 2020 entró en vigor el proyecto de la Ley de Protección al Consumidor de California (California Consumer Privacy Act, CCPA).

El objetivo de la norma es proteger la información personal que obtienen las empresas de los consumidores en ese Estado, y es aplicable a aquellas que cumplan uno o más de los siguientes umbrales:

• Tener unos ingresos brutos anuales superiores a 25 millones de dólares
• Comprar, recibir o vender, con fines comerciales, la información personal de 50.000 o más consumidores, hogares o dispositivos (smartphones, tablets, etc.)
• Que el 50% o más de sus ingresos anuales provengan de la venta de información personal de los consumidores

Derechos de los consumidores

 La ley reconoce a los consumidores los siguientes derechos:

• Derecho a saber qué información personal se recoge, de qué fuentes se ha obtenido,  con qué finalidad se utiliza, si se comparte o vende a terceros y, en su caso, a quién; para ello deberán realizar una solicitud formal a las compañías.
• Derecho a negarse a la venta de sus datos a terceros en cualquier momento
• Derecho a solicitar la eliminación de la información personal que las empresas posean y hayan obtenido directamente de ellos
• Derecho a la no discriminación en caso de ejercicio de sus derechos

Obligaciones de las empresas

Los nuevos derechos de los consumidores conllevan, en consecuencia, nuevas obligaciones para las compañías:

• Informarles, antes o durante la recolección de los datos, de las categorías de información que se recogen y con qué propósito, no pudiendo recoger categorías de datos personales que no hayan sido previamente notificadas y consentidas por ellos.
• Al recibir una solicitud formal, divulgar y entregar gratuitamente la información personal requerida, ya sea por correo, o bien electrónicamente en un dispositivo portátil y en un formato fácilmente utilizable que permita al consumidor transmitir los datos a otra entidad sin obstáculos. No obstante, no deberán responder si reciben más de dos solicitudes en 12 meses del mismo consumidor.
• Informarles sobre: i) su derecho a solicitar la supresión de sus datos, y eliminarlos inmediatamente de sus registros, en caso de recibir una solicitud formal; ii) la información que está vendiendo o ha vendido, y a quién, y iii) el derecho de los consumidores a negarse a su venta, a través de un link en su página web titulado “No vender mi información personal”.
• No podrán vender los datos personales de los consumidores menores de 16 años, salvo que aquellos entre 13 y 16 años, o los menores de 13 años con autorización de sus padres o tutores, lo permitan expresamente.
• No discriminarles por haber ejercido alguno de sus derechos: negarles productos o servicios, cobrarles distintos precios o tasas, etc.

Para cumplir con las obligaciones anteriores, las empresas deberán poner a disposición de los consumidores dos o más métodos gratuitos para solicitar información, y tendrán un máximo de 45 días para dar respuesta.

Además, deberán incluir en su “Política de Privacidad” publicada en la web las categorías de información personal que han vendido o revelado en los últimos 12 meses, y mantener esta actualizada todos los años.

¿Qué están haciendo en otros Estados?

Con la aprobación de esta ley, otros Estados americanos han comenzado a considerar modificaciones en su legislación para una mayor protección de los datos personales de los consumidores. Por ejemplo Mississippi, que propuso una réplica de la misma pero fue rechazada a principios de año; Hawaii, Maryland y Massachusetts, que han propuesto leyes sobre privacidad de datos, o el Estado de Nueva York con la publicación de la “Shield Act”, que amplía las obligaciones de notificación en caso de violación de datos y, por primera vez, impone obligaciones en materia de seguridad.

El Congreso colombiano está debatiendo el Proyecto de Ley 05 de 2019 para luchar contra la corrupción. La norma contiene reformas dirigidas a prevenir y sancionar los actos corruptos y a aumentar la transparencia tanto en el sector público como en el privado.

Medidas relativas a la contratación

El Proyecto establece medidas administrativas asociadas a las inhabilidades para contratar, a la contratación directa y a la bancarización de ciertas operaciones que involucran recursos públicos. En este sentido, exige para todos los contratos estatales la inclusión de previsiones respecto de la realización de todas las operaciones en dinero que se lleven a cabo con subcontratistas y terceros.

Delito de Omisión de Control 

Otro de los aspectos más importantes es la ampliación y descripción del delito de Omisión de Control tipificado en el Código Penal colombiano. En este sentido, se establece una pena privativa de libertad y multa para aquellos que, con el fin de ocultar o encubrir el origen ilícito de dinero, transferencias, inversiones para la comisión de actividades delictivas, etc., omitan el cumplimiento de alguno de los mecanismos de control establecidos por las normas.

En concreto, el Código Penal cita entre estas personas a: miembros de juntas directivas, representantes legales, administradores o empleados de instituciones financieras, oficiales de cumplimiento así como jefes de control interno o empleados de entidades que estén obligadas a implementar sistemas de administración de riesgos de lavado de activos y financiación del terrorismo (SARLAFT) o a reportar operaciones sospechosas a la Unidad de Información de Análisis Financiero (UIAF).

La Superintendencia Financiera de Colombia (SFC) ha presentado un Proyecto de Circular con el fin de actualizar e incorporar las instrucciones relacionadas con la gestión de riesgo operacional que deben realizar las entidades financieras, y así adecuarse a los estándares y mejores prácticas internacionales.

Principales modificaciones

Entre los aspectos más importantes que contiene el Proyecto de Circular se encuentran los siguientes:

• Modificación del margen de solvencia de los establecimientos de crédito, para incorporar instrucciones relacionadas con el valor de la exposición por riesgo operacional
  
• Cambios en el formato 239 “Reporte de información margen de solvencia” que realizan las entidades vigiladas
  
• Nuevo marco de gestión de riesgos de conglomerados financieros adecuado respecto al riesgo reputacional

Margen de solvencia y requerimientos de patrimonio

Una vez expedida la normativa correspondiente, la entidad financiera que demuestre su capacidad de cumplir con las disposiciones relacionadas con el margen de solvencia y otros requerimientos de patrimonio podrá aplicar el nuevo marco normativo a partir del 30 de marzo de 2020, previa autorización y compromiso de su respectiva Junta Directiva.

Con fecha 9 de diciembre de 2019, se publicó en el Diario Oficial de la Unión Europea el Reglamento del Parlamento Europeo y del Consejo, sobre la divulgación de información relativa a la sostenibilidad en el sector de los servicios financieros, Reglamento (UE) 2019/2088 de 27 de noviembre de 2019.

La norma es consecuencia del compromiso asumido por la Unión Europea de aplicar la Agenda 2030, cuyo núcleo lo constituyen los Objetivos de Desarrollo Sostenible (ODS).

Normas armonizadas sobre transparencia

El objetivo del Reglamento es establecer las normas de transparencia que deberán aplicar los participantes los participantes en los mercados financieros y los asesores financieros para  integrar en sus procesos (incluidos los de diligencia debida) y evaluar de manera continua, no solo los riesgos financieros sino también todos los riesgos de sostenibilidad que pudieran tener un efecto material negativo en la rentabilidad financiera de la inversión, o asesorar al respecto. Entendiendo los mismos como “todo acontecimiento o estado medioambiental, social o de gobernanza que, de ocurrir, pudiera surtir un efecto material negativo real o posible sobre el valor de la inversión”.

Por lo tanto, los sujetos obligados deberán especificar en sus políticas el modo en que integran dichos riesgos y ponerlas a disposición del público.

La norma incluye además, dos definiciones nuevas y específicas del ámbito de las finanzas sostenibles: inversiones sostenibles y factores de sostenibilidad.

Autoridades Europeas de Supervisión

Para alcanzar los objetivos de transparencia que deberán aplicar los participantes en los mercados financieros y los asesores financieros en relación con la integración, se prevé la colaboración activa de las tres Autoridades Europeas de Supervisión (AES): la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM).

Se prevé que las AES, a través de un comité mixto, se encarguen de la elaboración de proyectos de normas técnicas que establezcan con mayor detalle el contenido, las metodologías y la presentación de información en relación con los indicadores de sostenibilidad en materia de clima y otras incidencias adversas relativas al medio ambiente, asuntos sociales y laborales, respeto de los derechos humanos, y la lucha contra la corrupción y contra el soborno.

Este comité determinará cómo debe ser la presentación y el contenido de la información que debe figurar en los documentos precontractuales, los informes anuales y los sitios web de los participantes en los mercados financieros, con respecto a la promoción de las características ambientales o sociales y los objetivos de inversión sostenible.

Además, cada Estado miembro velará por que las autoridades competentes designadas de conformidad con la legislación sectorial supervisen el cumplimiento por parte de los participantes en los mercados financieros y los asesores financieros de los requisitos de transparencia.

Vigencia

El Reglamento 2019/2088, será de aplicación, con carácter general, a partir del 10 de marzo de 2021, existiendo disposiciones que resultaron aplicables desde el 29 de diciembre de 2019 y otras disposiciones que se aplicarán a partir del 1 de enero de 2022.