Innovación Legal
02 agosto 2013
Derecho Digital: “compliance” y la gestión de riesgos legales
1.- EL ABOGADO DIGITAL
En este artículo se pretende mostrar algunas de las ventajas y por tanto parte del valor añadido que un abogado digital puede aportar a sus clientes a través de una forma diferente de prestar los servicios jurídicos.
Como ya estamos acostumbrados a escuchar, una parte importante de las normas legales en vigor no ofrecen una solución a las necesidades reales en cada momento a causa de la velocidad en que las TIC están afectando directamente en la forma de relacionarnos con la administración pública, con las empresas y entre los ciudadanos. A pesar de ser más o menos conscientes de esta realidad, muchas veces los abogados no hemos adquirido una cultura prescriptora de soluciones de gestión de cumplimiento legal, es decir que tradicionalmente nos hemos limitado a asesorar al cliente sobre su cumplimiento normativo actual, sin prepararle de una forma continuada de las posibles contingencias futuras.
La mayoría de las veces esta carencia metodológica en la gestión de riesgos legales se ha suplido y se suple con la experiencia del abogado. Pero las características propias del Derecho Digital obligan al nuevo abogado al dominio al menos de tres aspectos:
- Conocimiento especializado de la normativa legal del sector TIC.
- Conocimiento del uso y funcionamiento de la tecnología.
- Uso de una metodología que permita la gestión de los riesgos legales y cumplimiento normativo de forma continua.
Un abogado no especialista en las TIC que acabe de entrar en este mundo de búsqueda de soluciones jurídicas para entornos digitales, puede que posea un dominio técnico de la normativa sectorial, incluso que conozca en profundidad el funcionamiento y uso de las herramientas TIC, pero suele desconocer la necesidad del uso de una metodología profesionalizada de la gestión del cumplimiento continuo y de los riesgos legales.
2.- EL “COMPLIANCE” Y LA GESTIÓN DE RIESGOS LEGALES
Ya existen ciertas leyes y reglamentos que para su correcta aplicación requieren de una cierta metodología de implantación de medidas de cumplimiento normativo en las organizaciones de los sujetos obligados. Entre ellas se encuentra el reglamento de desarrollo de la LOPD, la normativa de prevención de blanqueo de capitales (en espera aún de la aprobación de su nuevo reglamento) y la reforma del código penal del 2010 en la que se introduce la responsabilidad penal de la personas jurídicas.
La mayoría de los abogados digitales que se dedican a esta materia deben poseer experiencia en diseñar procesos y medidas que les permitan realizar revisiones periódicas de cumplimiento (como pueden ser a modo de ejemplo las auditorías de protección de datos y las de prevención de blanqueo) así como un cierto dominio de métricas y modelos econométricos que permitan objetivar ante el cliente su grado de cumplimiento legal (el uso de modelos econométricos son propios de la rama del “Law & Economics”, es decir, el Análisis Económico del Derecho). Deben ofrecer al cliente soluciones más propias del ámbito de la consultoría y no sólo de la asesoría legal que les permita hacer un seguimiento actualizado y al día del cumplimiento normativo en estas materias.
A modo de ejemplo, tanto la normativa de protección de datos como la de prevención de blanqueo de capitales, requieren la consolidación de una metodología que permita una gestión y supervisión continua de su cumplimiento legal por parte de los sujetos obligados que permita detectar y alertar de los posibles hechos o actos que puedan suponer la materialización de cualquier infracción.
De forma reiterada los abogados digitales hemos comprobado como algunas empresas que se deciden finalmente por cumplir con la normativa de Protección de Datos, lo hacen por miedo a alguna sanción y por su precio inexplicablemente bajo o incluso a coste cero al contratar otros servicios de personas o entidades no especializadas en Derecho TIC. Finalmente aceptan la realización del servicio de adecuación (de más o menos calidad) pero no existe ningún tipo de mantenimiento posterior. Un documento de seguridad sin la debida gestión y mantenimiento no garantiza el cumplimiento legal sino que puede generar una falsa y peligrosa confianza de cumplimiento. Por tanto la empresa puede llegar a considerar erróneamente, que ya ha cumplido con todos los requisitos legales y por tanto no ve ningún motivo para realizar el esfuerzo de dicho mantenimiento para garantizar el continuo cumplimiento en su organización. Con esta decisión la empresa está tomando una postura consistente en asumir un riesgo legal de incumplimiento que cree que es mínimo. Es decir, la empresa decide no asumir su mantenimiento ya que valora que la posibilidad de que la sancionen es prácticamente inexistente.
La conclusión a la que llegan este tipo de empresas podría ser más o menos acertada hasta ahora en el supuesto de pequeños negocios que actúen en un entorno no digital. El problema es que a medida que los negocios se van digitalizando esta argumentación es cada vez menos certera y a la vez es peligrosa si se pretende dar cierta viabilidad a un negocio que pretende que se expanda. La exposición en un entorno digital como pueden ser las redes sociales, supone que el cliente se enfrente a un triple impacto negativo:
- Aumenta la probabilidad de sanción ante las autoridades de protección de datos y de consumo al incrementar el número de afectados y al exponerse a jurisdicciones y leyes ajenas a su propio lugar de sede del negocio.
- Pérdida reputacional ya que una mala gestión de los riesgos legales supone una oleada de críticas negativas por sus usuarios y consumidores y por tanto una difusión global de las mismas que podrían ser fácilmente aprovechadas por la competencia.
- Pérdida económica por la disminución exponencial e incontrolable del número de potenciales clientes o consumidores y la posible pérdida de los existentes al tener constancia de su reputación digital y por tanto, real.
La transición de un negocio tradicional a uno digital no es posible que se produzca de una manera inmediata, si no es de manera inconsciente y temeraria. A nadie se le ocurriría abrir un restaurante en medio de la calle en un país extranjero sin conocimientos legales del lugar y si no quiere hacer frente a fuertes sanciones además de su cierre inmediato. En un negocio digital nos exponemos a un mercado mundial con jurisdicciones y leyes diferentes a las locales (ya que abrimos un negocio destinado potencialmente a ofrecer servicios a todos los países del mundo) y que por tanto pueden afectar, para empezar, a los siguientes aspectos legales:
- 1. Responsabilidades ante consumidores y usuarios (necesidad de conocimiento y aplicación de las leyes del lugar de residencia del destinatario).
- 2. Posible vulneración de derechos de propiedad industrial (marcas registradas en otras jurisdicciones).
- 3. Vulneración de derechos civiles de otras culturas (consideración de qué se considera un menor, si se permiten juegos de azar o concursos, vulneración del honor o intimidad).
- 4. Vulneración de normativas de protección de datos.
- 5. Vulneración de leyes penales.
- 6. Aplicación de diferentes regímenes fiscales.
Es posible que si se incumple una ley de un estado que no disponga de un convenio internacional con el nuestro, el cliente no tenga repercusiones jurídicas directas pero sí las podrá tener a nivel de reputación y seguramente se estará limitando ante la posibilidad de futuras acciones de expansión de su negocio en dicho territorio en el que ha cometido alguna infracción.
Estos son sólo algunos ejemplos, pero al igual que un negocio busca oportunidades en otros mercados en entornos físicos, debemos pensar que el entorno digital no debe ser diferente. El cliente debe comprender que al igual que existen obligaciones legales en el momento que se quiere abrir una tienda física (no virtual) en cada país, lo mismo sucede cuando sus servicios se prestan por un canal como Internet destinado a consumidores de esos países.
El abogado digital tiene la obligación de hacer ver al cliente que es imposible ofrecer una solución global estandarizada para su negocio ya que por todo lo anteriormente comentado de forma muy resumida, siempre se deberá dar soluciones a medida de su realidad, de sus verdaderas necesidades y siempre acompañadas de una gestión continua de los posibles riesgos legales de incumplimiento que siempre dependerá de cada una de las acciones que quiera realizar con el uso de las TIC.
Si el cliente quiere ver crecer su negocio debe ser consciente de las responsabilidades legales (que en el ámbito TIC son muy cambiantes) al actuar en un entorno global con multitud de jurisdicciones y leyes diferentes a las locales. Aquí es donde entra el abogado digital exponiendo su dominio y conocimiento de las posibilidades que ofrece las TIC y aportando como valor inherente a este tipo de servicios, una metodología de gestión de riesgos legales y de cumplimiento normativo de una manera continuada en el tiempo.
3.- LA METODOLOGÍA COMO RASGO DIFERENCIAL
La metodología de un abogado digital en gestión de riesgos legales y cumplimiento normativo puede tomar como referencia los sistemas de revisión y mejora continua que ya son muy conocidos en el ámbito de la consultoría de seguridad TIC en los SGSI (sistemas de gestión de la seguridad de la información).
Gráfico: Ejemplo de un tipo de sistema de gestión de riesgos legales y cumplimiento normativo para una gestión segura y legal de la información.
Pongamos el ejemplo en el ámbito informático cuando instalamos en nuestro ordenador un programa informático al que no le vamos incorporando las actualizaciones o parches de seguridad de forma periódica. Es muy probable que una vulnerabilidad del sistema informático pueda ser explotada al materializarse una amenaza real como el ataque de un virus informático. En tal caso podríamos llegar a perder toda la información crítica de la organización aunque tengamos alguna copia de seguridad.
En el ámbito legal las actualizaciones serían ejecutadas por los abogados digitales que continuamente están realizando revisiones de todo el sistema de gestión legal de la información del cliente. Para ello debe ponerle al día a través de acciones de revisión y actualización de sus procesos con formaciones continuas al personal. La pregunta puede ser ¿y todo esto para qué si nunca me ha pasado nada? En parte sí que está pasando algo aunque no tengamos aún suficiente perspectiva y lejanía para percibirlo en su globalidad:
- Nos encontramos en una época de crisis estructural a nivel económico y social con efectos a nivel mundial (cambian los modelos tradicionales de negocio).
- Compites con el mercado mundial y no sólo con tu zona geográfica.
- Los conocimientos o creencias personales de los clientes sobre riesgos de incumplimiento normativo pueden ser mínimos ya que no son conscientes que aumentan con la difusión de las TIC y pueden venir de todas partes y no sólo de su propio ámbito territorial.
- La reputación de la marca del cliente afectará a nivel mundial (para bien y para mal). Es decir, que si el cliente ha visto una oportunidad de negocio por el acceso de mercado mundial esa misma oportunidad de crecimiento es directamente proporcional a los riesgos de incumplimiento legal por desconocimiento de las leyes que le pueden afectar (pensemos que sólo por incumplir las leyes de protección de datos de otros países podría suponer altas sanciones como en España o incluso estar incurriendo en posibles delitos contra la privacidad).
4.- EL MEJOR ALIADO
Por lo tanto, un abogado especializado en Derecho Digital es un profesional del Derecho que además de ofrecer los servicios más tradicionales como puede ser el asesoramiento legal en el sector TIC, también trata de manera transversal todas las ramas del Derecho en su sentido amplio en aquellos ámbitos afectados por las TIC. Además, tiene capacidad de colaborar con otros profesionales expertos en otras ramas jurídicas así como con ingenieros técnicos o economistas, conoce en profundidad el funcionamiento y uso actual de las TIC y tiene la habilidad de diseñar soluciones de cumplimiento normativo a través del uso de metodologías de gestión continua de riesgos legales.
Ahora más que nunca, el cliente tiene la posibilidad de ver en nosotros el profesional jurídico que le puede ofrecer una solución a medida de sus necesidades mediante un previo análisis de su organización y su negocio, la detección de sus vulnerabilidades y posibles amenazas y finalmente el diseño de soluciones legales y tecnológicas para minimizar el riesgo siempre valorando su impacto y su coste de implementación y mantenimiento. Es decir, el abogado digital necesita ser el guía de su cliente que siempre esté a su lado para ayudar a que su negocio se mantenga y crezca con seguridad y confianza en un entorno tan inseguro jurídicamente como es el digital.
Eduardo López-Román, abogado experto en Derecho TIC. Vocal de la Junta de ENATIC