Es noticia
Proveedores y terceros, el punto ciego legal de las empresas para prevenir la corrupción
  1. Jurídico
También en ciberseguridad y privacidad

Proveedores y terceros, el punto ciego legal de las empresas para prevenir la corrupción

Aún son muchas las corporaciones que desconocen o aplican inadecuadamente la obligación de controlar su cadena de suministro. Los expertos demandan mayor concreción

Foto: (Pixabay)
(Pixabay)
EC EXCLUSIVO Artículo solo para suscriptores

La cultura del cumplimiento —es decir, el traslado a los órganos de dirección de las propias compañías de los deberes de prevención, vigilancia y erradicación de las conductas irregulares— se ha concretado en un importante número de obligaciones para las empresas que, lejos de estabilizarse, no deja de crecer. Al compliance penal, cuya eclosión en España se produjo en 2015, hay que sumar posteriormente otros ámbitos de actividad en los que también se ha impuesto la lógica de la autorresponsabilidad, como la protección de datos, el blanqueo de capitales o la sostenibilidad. Y todo indica que irán a más.

Entre los muchos deberes en los que se aterriza la cultura del cumplimiento para las empresas —elaboración de un mapa de riesgos, control de los procedimientos, formación de los empleados, etc.—, hay, sin embargo, un elemento que está planteando algunas dificultades: la gestión de riesgo de terceros o el denominado third party compliance. Quizás porque se trata de una cuestión menos intuitiva, pues se trata de controlar la acción de personas ajenas al ámbito de la organización, o quizás porque, como señalan los expertos, aún no está bien definido en qué debe consistir esa monitorización, pero lo cierto es que no son pocas las compañías que tropiezan con este factor, viéndose expuestas, incluso a sanciones, investigaciones o riesgos reputacionales.

* Si no ves correctamente el módulo de suscripción, haz clic aquí

En este sentido, cabe recordar la sanción de la Agencia Española de Protección de Datos (AEPD) a Vodafone, a la que impuso una multa millonaria por no cumplir con la obligación de recabar las garantías necesarias para la contratación de encargados del tratamiento de datos personales, o los problemas sufridos por Apple por las prácticas de explotación laboral, en las que incluso estaban afectados menores, en una de sus fábricas proveedoras. "Cada vez son más las compañías que han tenido problemas legales por la actuación de sus proveedores o terceros, más aún si no logran acreditar que llevaron a cabo esa labor de diligencia debida de forma previa a su contratación", expone Carlos Saiz, socio responsable del área de Governance, Risk & Compliance de Ecix Group.

Foto: Robot inteligencia artificial iStock Opinión
TE PUEDE INTERESAR
Un robot compliance officer: ¿y por qué no?
Diego Cabezuela

Saiz indica que "cada vez son más las normas que establecen algún tipo de obligación, con mayor o menor nivel de detalle," en relación con la gestión del riesgo de proveedores y terceros —el denominado control de la cadena de suministro—, "también los estándares internacionales y las buenas prácticas empresariales". La responsabilidad penal de las personas jurídicas, por ejemplo, está regulada en el artículo 31 bis del Código Penal. Como detalló la Fiscalía General del Estado en su Circular 1/2016 que analizaba esta figura, "los delitos que provocan la responsabilidad penal de la persona jurídica", deben haber sido cometidos por los "sujetos sometidos" a la autoridad de sus responsables y directivos, "siendo suficiente que operen en el ámbito de dirección, supervisión, vigilancia o control" de estos. Es decir, "no es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil, quedando incluidos autónomos o trabajadores subcontratados", remata el documento.

En el ámbito de la privacidad, por su parte, la Ley Orgánica de Protección de Datos fija, en su artículo 73 j), que tendrá la consideración de infracción grave "la contratación por parte del responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar medidas técnicas y organizativas apropiadas conforme a lo establecido" en el Reglamento General de Protección de Datos (RGPD). También el precepto 21 d) de la Directiva NIS2, sobre ciberseguridad, exige la vigilancia de "la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos".

Carlos Saiz (Ecix): "Las pymes empiezan a ser conscientes de estas obligaciones porque sufren el chequeo de las grandes empresas"

Todas estas normas son un claro ejemplo de la presión creciente sobre las corporaciones en el examen de sus vínculos con proveedores y terceros. "Las organizaciones necesitan conocer a priori con quién se van a relacionar, y conocer a qué riesgos se pueden ver expuestos con base en esa relación, bien para mitigar un riesgo concreto o para implantar los controles precisos para sentir un nivel de confort adecuado", reflexiona Saiz. Sin embargo, aún queda camino por recorrer para que todas adopten las medidas adecuadas. "Las empresas más grandes ya van siendo conscientes de sus responsabilidades; las pymes empiezan a tomar conocimiento de que existen estas obligaciones ya que, en muchos casos, son las que sufren el chequeo de sus clientes cuando son compañías de mayor tamaño", describe el socio de Ecix Group.

Sin embargo, como asevera Saiz, garantizar una revisión adecuada de la cadena de suministro para evitar que las irregularidades de terceros salpiquen a la compañía presenta un gran problema. "No existe un detalle claro de hasta dónde debe llegar la diligencia debida", afirma, ni en relación con el alcance de la misma —por ejemplo, si basta con examinar lo relativo al proceso de contratación, o hay que ir más allá, analizando cuestiones internas del proveedor—, ni con los concretos controles que deben aplicarse para que pueda considerarse que las medidas han sido suficientes.

Fuentes de información

Los especialistas recomiendan, no obstante, emplear diversas fuentes de información. La primera son los propios datos e informes recabados directamente de los proveedores a través de formularios y cuestionarios. En segundo término, exámenes elaborados por terceros, como informes de auditoría o certificaciones —según la materia, la ISO 27001, la ISO 37301, la ISO 27701, la UNE 19601, etcétera—. Y, finalmente, la información contenida en bases de datos, ya sean gratuitas o de pago, como informes de solvencia; relaciones entre personas y compañías; el histórico de actividades, etc. "Las empresas con modelos más avanzados, cuentan también con una vigilancia y monitorización continua de proveedores, especialmente con aquellos con los que tienen firmados contratos de larga duración o son partners, agentes o han creado UTE", relata Saiz.

Foto: La ministra de Hacienda, María Jesús Montero, interviene en el Congreso de los Diputados. EFE Mariscal Opinión

Desde diferentes sectores y asociaciones empresariales se trabaja para establecer estándares y manuales de buenas prácticas en este sentido. No obstante, para minimizar riesgos, el socio de Ecix especifica que hay dos pasos fundamentales que deben desarrollarse, con mayor énfasis, cuanto más grande sea la corporación. "Hay que contar con sistemas que permitan manejar una volumetría enorme de proveedores y, además, contar con un sistema de gobierno de la cadena de suministro". Dicho sistema debe contar, continúa, con una metodología de triaje para canalizar a cada tipo de proveedor según el servicio que ofrezca y el riesgo que este presente. Porque "no tendría sentido hacer un chequeo con el mismo nivel de profundidad en protección de datos a una empresa de Cloud con servicios de call center que va a tratar millones de datos de nuestros clientes, que a una empresa de jardinería que nos mantiene el jardín de las oficinas centrales", remata Carlos Saiz.

A este respecto, en cualquier caso, habrá que seguir la evolución de la certificación que está desarrollando ISMS Forum —asociación sin ánimo de lucro destinada a favorecer la seguridad de la información—, para que los proveedores puedan acreditar ante sus clientes que poseen un sistema robusto de protección de datos. "Esta es una de las iniciativas más interesantes", concluye Saiz. Habrá que ver si en otras materias, se ponen en marcha proyectos similares para resolver un problema creciente para las empresas en el ámbito de la gestión de riesgos.

La cultura del cumplimiento —es decir, el traslado a los órganos de dirección de las propias compañías de los deberes de prevención, vigilancia y erradicación de las conductas irregulares— se ha concretado en un importante número de obligaciones para las empresas que, lejos de estabilizarse, no deja de crecer. Al compliance penal, cuya eclosión en España se produjo en 2015, hay que sumar posteriormente otros ámbitos de actividad en los que también se ha impuesto la lógica de la autorresponsabilidad, como la protección de datos, el blanqueo de capitales o la sostenibilidad. Y todo indica que irán a más.

Empresas Código Penal Ley de protección de datos Leyes Derecho penal
El redactor recomienda