Linkedin

Inteligencia económica e investigación

5022161

Por Hugo Zunzarren Denis (director de Inteligencia corporativa en ECIX) y David Sanroma-Sardá (socio director de CS Abogados)

El presente análisis tiene como objetivo principal examinar y esclarecer los deberes fiduciarios del administrador en el contexto de la normativa española sobre protección de datos, derechos fundamentales, y cumplimiento de las obligaciones corporativas en materia de sostenibilidad y seguridad privada. Se busca establecer un marco de actuación que garantice tanto la gestión eficiente y ética de las empresas como la protección de los derechos individuales y colectivos en el ámbito empresarial.

En el desarrollo de esta investigación, se presta especial atención a la legitimación de la inteligencia & investigación privada respecto al interés legítimo que subyace en la actuación de los administradores, asegurando que sus decisiones y acciones se alineen con las expectativas legales y éticas, y respeten los límites impuestos por la normativa vigente.

Este análisis se sustenta en un detallado estudio de la legislación aplicable, incluyendo la Constitución Española, la Ley de Sociedades de Capital, el Código Penal, la Ley General de Telecomunicaciones, diversas leyes orgánicas en materia de protección de datos, así como la normativa europea relevante en la materia.

A través de este informe, se pretende proporcionar una guía clara y concisa sobre las responsabilidades y restricciones que enfrentan los administradores en el ejercicio de sus funciones, contribuyendo así a la promoción de prácticas corporativas responsables y al fortalecimiento del marco de integridad y transparencia en el sector empresarial español.

Es ampliamente conocido que soplar y sorber, no puede ser… Sin embargo, en el ámbito de la inteligencia económica y la investigación privada, parece que es lo que se pide. En efecto:

  • Por un lado, y centrándonos en la parte que aplica a la inteligencia y la investigación, se solicita/impone a las empresas una verificación adicional en sus certificaciones de gobernanza y buena conducta, proponiendo las auditorías para la verificación de dicha buena gobernanza, como sistema básico de verificación. Esta verificación pudiendo ir hasta la investigación vía Due Diligence; y siempre teniendo en cuenta que se declarará responsable del incumplimiento que sea a los administradores de las entidades, tanto si se trata de un práctica empresarial que incumple, como de un fallo en la verificación de las evidencias en la auditoría Third Party Compliance ESG, por ejemplo)
  • Por otro lado, se imponen a las empresas y empresarios restricciones en la obtención de informaciones, tanto en el modo de obtención, como en su tratamiento, objetivo de uso, almacenamiento, etc.… para garantizar los derechos obvios de las personas, su derecho al honor y privacidad, etc.

Sin embargo, las labores de inteligencia e investigación trabajan con información sobre actores, hechos y las relaciones entre ellos, para así determinar autorías, evidencias, cuantificar sospechas, generar acciones para evitar riesgos, aprovechar oportunidades, etc. Es decir, toda una pléyade de posibilidades que mis compañeros de publicación van a enumerar mucho mejor de lo que podría yo. Y estas labores son las adecuadas, véase son las recomendadas, para los procedimientos legales actuales que vamos a enumerar, para conseguir el objetivo de que las empresas y empresarios estén en fase con las nuevas normativas: aquí encontramos la necesidad de “sorber” …

Y es cierto que las personas tienen derechos fundamentales, y que estos están bien protegidos por normativas que también vamos a enumerar, porque son cruciales para el bienestar de las personas y garantizar sus derechos inalienables. Aquí encontramos la obligación de “soplar”…

Cuando hablamos con profesionales de la inteligencia y la investigación, se percibe una especie de “carta blanca” para la obtención de cualquier tipo de información porque siempre parece legítimo tanto el objetivo, como el modo de obtención o su tratamiento; y sin embargo, cuando hablamos con encargados de Protección de Datos (DPO), no es posible hacer nada y OSINT (por poner un ejemplo) es ineluctable, indiscutible e invariablemente ilegal, al mismo nivel que casi todos os procedimientos de inteligencia e investigación.

A nuestro parecer, ni lo uno ni lo otro, y pretendemos demostrarlo con este documento de análisis. Demostraremos, en suma, cómo sorber soplando. Y es muy fácil: simplemente hay que establecer un marco de actuación que garantice tanto la gestión eficiente y ética de las empresas como la protección de los derechos individuales y colectivos en el ámbito empresarial, prestando especial atención a la legitimación de las labores de inteligencia & investigación privada y al interés legítimo que subyace en la actuación de los administradores, asegurando que sus decisiones y acciones se alineen con las expectativas legales y éticas, y respeten los límites impuestos por la normativa vigente.

Este análisis se sustenta en un detallado estudio de la legislación aplicable, incluyendo la Constitución Española, la Ley de Sociedades de Capital, el Código Penal, la Ley General de Telecomunicaciones, diversas leyes orgánicas en materia de protección de datos, así como la normativa europea relevante en la materia.

Introducción

Este análisis se realiza en el marco de la legitimación de la investigación privada y el interés legítimo, fundamentos que permiten la realización de actividades de vigilancia y control por parte de los administradores, siempre en consonancia con el marco legal vigente.

La relevancia de este estudio radica en la necesidad de equilibrar las responsabilidades de los administradores en la gestión y dirección de las empresas, con el respeto a los derechos individuales y colectivos, así como con el cumplimiento de las obligaciones legales en un entorno empresarial cada vez más regulado y consciente de su impacto social y ambiental.

A lo largo de este informe, se abordarán las implicaciones prácticas de la normativa básica, con el fin de proporcionar una visión integral de los deberes y limitaciones que enfrentan los administradores en el ejercicio de sus funciones.

El marco normativo que regula los deberes fiduciarios del administrador en relación con la protección de datos, la intimidad, el honor, la proporcionalidad de los medios, la diligencia debida en materia de sostenibilidad y la ley de seguridad privada se compone de diversas normativas tanto a nivel nacional como europeo. A continuación, se detallan las principales leyes y regulaciones que conforman este marco:

  • Constitución Española
  • Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (Ley Orgánica 3/2018, de 5 de diciembre)
  • Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (Ley Orgánica 7/2021, de 26 de mayo)
  • Reglamento de la Ley Orgánica de Protección de Datos de carácter personal (Real Decreto 1720/2007, de 21 de diciembre)
  • Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras
  • Ley de Sociedades de Capital (Real Decreto Legislativo 1/2010, de 2 de julio): Establece los deberes y responsabilidades de los administradores de las sociedades de capital, incluyendo el deber de diligencia y lealtad.
  • Código Penal: Define los delitos y las penas asociadas a la vulneración de los derechos fundamentales, incluyendo aquellos relacionados con la intimidad, el honor y la protección de datos personales.
  • Ley General de Telecomunicaciones (Ley 11/2022, de 28 de junio)
  • Código de Comercio: Contiene disposiciones aplicables a los comerciantes y a la actividad comercial, incluyendo aspectos de responsabilidad y diligencia en la gestión empresarial.
  • Propuesta de directiva del Parlamento europeo y el Consejo sobre diligencia debida de las empresas en materia de sostenibilidad por la que se modifica la Directiva UE 2019/1937: Establece los requisitos de diligencia debida que las empresas deben cumplir en relación con los impactos de sus actividades en la sostenibilidad y los derechos humanos.
  • Ley Orgánica de protección de la seguridad ciudadana (Ley Orgánica 4/2015, de 30 de marzo)
  • Ley de Seguridad Privada (Ley 5/2014, de 4 de abril)
  • Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (Ley 10/2010, de 28 de abril).

Impacto de las normativas sobre protección de datos y derechos individuales sobre las labores de Inteligencia & investigación

En general, la normativa establece que la recopilación de datos personales a través de fuentes abiertas debe realizarse respetando los principios de limitación de finalidad, minimización de datos y exactitud. Esto significa que los profesionales de las disciplinas impactadas deben asegurarse de que solo recopilan los datos necesarios para un propósito específico y legítimo, y que dichos datos sean precisos y estén actualizados. El consentimiento del titular de los datos es uno de los pilares de actuación legítima. Para que la recopilación y el tratamiento de datos personales sean legales, se debe obtener el consentimiento explícito e informado del individuo, salvo que se aplique alguna de las excepciones previstas en la ley. Y estas excepciones son:

  • Cumplimiento de una obligación legal: El tratamiento de datos personales será lícito si es necesario para cumplir con una obligación legal aplicable al responsable del tratamiento.
  • Ejecución de un contrato: Cuando el tratamiento de datos personales sea necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales.
  • Protección de intereses vitales: Se puede tratar datos personales sin consentimiento cuando sea necesario para proteger intereses vitales del interesado o de otra persona física, en casos donde el interesado esté física o legalmente incapacitado para dar su consentimiento.
  • Ejercicio de poderes públicos: El tratamiento puede realizarse sin consentimiento cuando sea necesario para el ejercicio de funciones públicas conferidas al responsable del tratamiento.
  • Interés legítimo: Se permite el tratamiento de datos personales bajo el interés legítimo perseguido por el responsable o por un tercero, siempre y cuando sobre estos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Este punto es especialmente relevante para las normativa vigente (como no puede ser de otro modo)
  • Defensa de intereses jurídicos: El tratamiento de datos personales sin consentimiento es admisible cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones.

En definitiva, promueve un enfoque de responsabilidad proactiva, donde los responsables de inteligencia & investigación deben demostrar en todo momento que cumplen con la legislación.

  • Esto implica la implementación de medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento de datos se realiza de acuerdo con la ley.
  • Cuando estas actividades puedan resultar en un alto riesgo para los derechos y libertades de los individuos, la normativa exige que se realice una Evaluación de Impacto en la Protección de Datos (EIPD). Esta evaluación debe identificar y mitigar los riesgos antes de proceder con el tratamiento de datos personales.
  • La normativa también reconoce y protege los derechos digitales de los ciudadanos, lo que incluye el derecho a la privacidad en el entorno digital. Los profesionales de Inteligencia & investigación privada deben ser conscientes de estos derechos y asegurarse de no infringirlos en el curso de sus investigaciones.

Aunque la normativa reconoce el interés legítimo como una base jurídica para el tratamiento de datos personales sin necesidad de consentimiento, existen situaciones específicas en las que los intereses del responsable del tratamiento no prevalecen sobre los derechos y libertades de los interesados:

  • Los intereses del responsable no prevalecerán cuando el tratamiento de datos personales afecte negativamente los derechos y libertades fundamentales de los sujetos de datos. Esto es particularmente relevante cuando se tratan datos de categorías especiales que requieren de una protección adicional, como aquellos que revelan origen étnico, opiniones políticas, creencias religiosas, datos genéticos o biométricos.
  • El tratamiento de datos personales de menores es otro caso donde los intereses del responsable no prevalecen.
  • Cuando un interesado ejerce su derecho de oposición al tratamiento de sus datos personales, el responsable debe cesar dicho tratamiento a menos que pueda demostrar motivos legítimos imperiosos para continuar con el mismo, o para la formulación, ejercicio o defensa de reclamaciones.
  • En los casos en que una Evaluación de Impacto en la Protección de Datos (EIPD) indique que el tratamiento de datos personales supondría un alto riesgo para los derechos y libertades de los individuos, y no se puedan tomar medidas para mitigar ese riesgo, los intereses del responsable no prevalecerán.
  • La falta de transparencia y el incumplimiento del deber de informar a los interesados sobre el tratamiento de sus datos personales son circunstancias en las que los intereses del responsable no pueden prevalecer.

Legitimación de la Inteligencia & Investigación Privada

La legitimación de la inteligencia & investigación privada se fundamenta en el interés legítimo perseguido por el administrador de la entidad, conforme a lo establecido en la normativa vigente en el marco de sus deberes fiduciarios.

  • El interés legítimo del administrador se encuentra en la necesidad de asegurar la gestión adecuada y diligente de la sociedad, la prevención de conductas ilícitas y el resguardo de la información confidencial y los activos de la empresa.
  • Este interés debe ser ponderado frente a los derechos y libertades de los sujetos afectados, asegurando que la investigación no vulnere su derecho a la intimidad, al honor y a la protección de sus datos personales.

En este sentido, las labores de Inteligencia & investigación serán legítimas si se ejecutan siguiendo los principios de proporcionalidad y minimización de datos, limitando la recopilación y tratamiento de información personal al mínimo imprescindible para la consecución de los objetivos legítimos perseguidos.

  • Además, se debe demostrar que se han adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos tratados, evitando su divulgación o acceso no autorizado.

Los deberes fiduciarios del Administrador/Responsable respecto del Interés Legítimo

En el marco de la normativa, el interés legítimo se presenta como una base jurídica que permite el tratamiento de datos personales sin necesidad de obtener el consentimiento del interesado, siempre que se cumplan ciertos requisitos. Según el artículo 6 del RGPD, el tratamiento será lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, a menos que prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, especialmente si el interesado es un niño.

  • Para que el interés legítimo sea aplicable en el contexto de la inteligencia & investigación, es necesario que el responsable del tratamiento realice una evaluación de equilibrio, considerando si sus intereses en realizar el tratamiento de datos están justificados y no se ven superados por los derechos de los interesados. Esto implica un análisis detallado de la necesidad y proporcionalidad del tratamiento, así como de las expectativas razonables de los interesados basadas en su relación con el responsable.

En la práctica, el interés legítimo en inteligencia & investigación podría invocarse en situaciones como la prevención del fraude, la seguridad de la red y la información, o incluso en ciertas actividades periodísticas, de investigación académica o de seguridad nacional, siempre que se respeten los principios de minimización de datos y transparencia, y se implementen medidas adecuadas para proteger los derechos de los interesados.

  • Es importante destacar que la determinación del interés legítimo debe estar bien fundamentada y documentada, ya que podría ser objeto de revisión por parte de las autoridades de control, como la Agencia Española de Protección de Datos (AEPD).

En el contexto de la inteligencia & investigación activable por el Administrador/Responsable, el interés legítimo debe ser considerado como un equilibrio entre los derechos e intereses en juego: por un lado, la necesidad de realizar la investigación para la protección de los intereses de la sociedad y, por otro, el respeto a los derechos fundamentales de las personas cuyos datos son objeto de tratamiento. Para que el interés legítimo sea invocado como base legítima, es necesario que se cumplan una serie de requisitos:

  • Identificación del Interés Legítimo
  • Prueba de Necesidad: Es preciso demostrar que el tratamiento de datos personales es estrictamente necesario para la consecución del interés legítimo identificado. No debe haber otra manera menos intrusiva de alcanzar el mismo fin.
  • Evaluación de la Proporcionalidad: Debe realizarse una evaluación de proporcionalidad en la que se sopesen los intereses legítimos del responsable del tratamiento frente a los derechos y libertades de los sujetos de datos. El tratamiento no debe exceder lo que los interesados razonablemente podrían esperar.
  • Garantías Adicionales: En caso de que el tratamiento pueda afectar a los derechos y libertades de los interesados, se deben implementar medidas adecuadas para salvaguardar estos derechos, como la minimización de datos y la transparencia en el tratamiento.
  • Documentación y Responsabilidad: El administrador debe documentar la evaluación del interés legítimo, incluyendo la ponderación realizada y las medidas adoptadas para garantizar el cumplimiento de los principios de protección de datos, y estar preparado para demostrar la legitimidad del tratamiento ante la Agencia Española de Protección de Datos o los tribunales, si fuera necesario.

Ejemplos de casos de interés legítimo posibles, en Inteligencia & investigación privada:

El concepto de interés legítimo se encuentra contemplado en el Reglamento General de Protección de Datos (RGPD) y ha sido asimilado por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) de España.  En el contexto que implique la recopilación y análisis de información disponible públicamente para propósitos de inteligencia o investigación, existen varios casos en los que se puede invocar el interés legítimo:

  • Seguridad de la Red y de la Información: Las empresas pueden utilizar OSINT para monitorizar y asegurar sus redes y sistemas de información, identificando posibles vulnerabilidades o amenazas cibernéticas.
  • Cumplimiento Normativo: Las obligaciones legales o regulatorias pueden requerir que las organizaciones realicen investigaciones utilizando las técnicas y métodos del gremio. Por ejemplo, en el cumplimiento de las normativas anti-lavado de dinero (AML) y de conocimiento del cliente (KYC).
  • Defensa Legal: En situaciones de litigio o procedimientos legales, el interés legítimo puede justificar la recopilación de información necesaria para establecer, ejercer o defender derechos legales.
  • Investigación Periodística: Los periodistas pueden apoyarse en inteligencia & investigación para recabar información de interés público, equilibrando el interés legítimo de informar contra los derechos de los individuos implicados.
  • Investigación Académica o Científica: Cuando la investigación tiene un interés público significativo, el uso de inteligencia & investigación puede considerarse legítimo, siempre que se respeten los principios de minimización y anonimización de los datos.
  • Prevención y Detección de Fraudes: Los detectives privados pueden tratar datos personales para investigar posibles fraudes o conductas ilícitas, siempre que este tratamiento sea necesario para los fines de la prevención o detección de dichas actividades.
  • Litigios y Reclamaciones: En el caso de que exista un litigio o una reclamación, se puede tratar información personal para la defensa de intereses legítimos en un proceso judicial o en un procedimiento de reclamación previa.
  • Verificación de Antecedentes: Para la protección de intereses económicos, como en la contratación de personal o en la formalización de contratos comerciales, puede ser legítimo realizar verificaciones de antecedentes, siempre que se respeten los derechos de los afectados y no se trate información excesiva o innecesaria.
  • Seguridad Corporativa: Las empresas pueden encargar investigaciones para garantizar la seguridad de sus activos y personal. Esto puede incluir la vigilancia para prevenir el robo, el espionaje industrial o el sabotaje.
  • El interés legítimo en la Due Diligence suele estar relacionado con la necesidad de evaluar los riesgos financieros, legales y comerciales asociados a una operación. Esto puede incluir la verificación de la situación financiera de una empresa, la existencia de litigios o reclamaciones pendientes, el cumplimiento de la normativa aplicable y la evaluación de los activos y pasivos.

Evaluación de Equilibrio entre Administrador/ Responsable y Derechos de los Interesados

La evaluación de equilibrio es un proceso crítico en el contexto de la inteligencia & investigación bajo la normativa de protección de datos personales en España, particularmente en relación con la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta evaluación se centra en ponderar los intereses legítimos perseguidos por el administrador responsable frente a los derechos y libertades de los interesados, es decir, las personas cuyos datos personales están siendo tratados. Para llevar a cabo esta evaluación, el responsable del tratamiento debe considerar varios factores, incluyendo:

  • Naturaleza de los Datos: Se debe tener en cuenta la sensibilidad de los datos personales recopilados. Datos sensibles como los que revelan origen étnico, opiniones políticas, creencias religiosas, datos de salud, entre otros, requieren una mayor protección y, por tanto, inclinarían la balanza hacia la protección de los derechos del interesado.
  • Expectativa de Privacidad: La expectativa de privacidad del interesado es un factor clave. Si los datos fueron recopilados de fuentes donde el interesado no tiene una expectativa razonable de privacidad, como información publicada en fuentes abiertas, el interés legítimo del responsable podría prevalecer.
  • Impacto en el Interesado: Se debe analizar el potencial impacto negativo que el tratamiento de datos podría tener en los interesados. Un impacto significativo en la privacidad del interesado podría superar el interés del responsable.
  • Beneficios del Tratamiento: Los beneficios que se esperan obtener del tratamiento de los datos deben ser claros y significativos para el responsable. Si estos beneficios son menores en comparación con los riesgos para los derechos de los interesados, el equilibrio se inclinaría a favor de no proceder con el tratamiento.
  • Medidas de Mitigación: La implementación de medidas de mitigación adecuadas puede ayudar a equilibrar los intereses. Esto incluye la anonimización de los datos, la minimización de la cantidad de datos recopilados y el establecimiento de garantías para proteger la información personal.
  • Relación entre el Administrador responsable y el Interesado: La relación existente puede influir en la evaluación. Por ejemplo, si los interesados son clientes o empleados, podrían esperar que cierto tratamiento de sus datos sea llevado a cabo en el contexto de esa relación.
  • Transparencia: La transparencia en el tratamiento de los datos personales es fundamental. Si los interesados han sido informados adecuadamente sobre el uso de sus datos y han tenido la oportunidad de oponerse, esto podría favorecer el interés legítimo del responsable.

La LOPDGDD exige que esta evaluación de equilibrio se documente adecuadamente, reflejando cómo se han considerado y ponderado todos los factores relevantes. Esta documentación puede ser crucial en caso de que la actuación del responsable sea cuestionada por los interesados o por la autoridad de control.

Análisis

La metodología empleada en el presente análisis se ha estructurado en varias fases para garantizar un análisis exhaustivo y sistemático de los deberes fiduciarios del administrador en relación con la normativa de protección de datos, los derechos fundamentales, la proporcionalidad de los medios, la diligencia debida en materia de sostenibilidad y la ley de seguridad privada.

  • Se ha realizado una revisión detallada de la legislación aplicable, incluyendo la Constitución Española, la Ley de Sociedades de Capital, el Código Penal, la Ley General de Telecomunicaciones, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, entre otras normativas relevantes. Este análisis normativo ha permitido establecer el marco legal dentro del cual los administradores deben operar y ha servido como base para la evaluación de sus deberes fiduciarios.
  • Se ha consultado jurisprudencia del Tribunal Constitucional y del Tribunal Europeo de Derechos Humanos para comprender cómo se han interpretado y aplicado los deberes fiduciarios del administrador en casos concretos, especialmente en lo que respecta a la protección de la intimidad y otros derechos fundamentales.
  • Se ha aplicado un enfoque basado en la proporcionalidad para valorar si las medidas adoptadas por los administradores en el ejercicio de sus funciones cumplen con los principios de adecuación, necesidad y mínima intervención, en consonancia con la normativa de protección de datos y los derechos fundamentales.
  • Se ha examinado la propuesta de directiva del Parlamento Europeo y del Consejo sobre diligencia debida de las empresas en materia de sostenibilidad, así como la Directiva UE 2019/1937, para determinar las obligaciones emergentes en cuanto a las cadenas de suministros y la responsabilidad ambiental.
  • Se ha analizado la Ley de Seguridad Privada y la Ley Orgánica de protección de la seguridad ciudadana, así como la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, para evaluar la interacción entre los deberes fiduciarios del administrador y las regulaciones en materia de seguridad privada.
  • Se han recopilado datos de diversas fuentes, incluyendo informes de la Agencia Española de Protección de Datos, documentos de la Comisión Nacional del Mercado de Valores y publicaciones especializadas en derecho corporativo y protección de datos. Posteriormente, se ha realizado una síntesis de la información para identificar patrones y tendencias relevantes.
  • Se han llevado a cabo entrevistas con expertos en derecho corporativo, protección de datos y seguridad privada para obtener una perspectiva práctica y actualizada sobre la aplicación de los deberes fiduciarios del administrador en el contexto empresarial español.

Finalmente, se ha efectuado un análisis cualitativo y cuantitativo de los datos recopilados para evaluar el cumplimiento de los deberes fiduciarios del administrador y la efectividad de las medidas implementadas en relación con la normativa vigente.

Resultados

El análisis de los resultados obtenidos revela una compleja interacción entre los deberes fiduciarios del administrador y la normativa sobre protección de datos, derechos fundamentales, proporcionalidad de los medios, sostenibilidad y seguridad privada. A continuación, se desglosan los puntos clave identificados:

  • Protección de Datos y Deberes Fiduciarios: Los administradores deben garantizar la protección de datos personales en el ámbito corporativo, cumpliendo con la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, así como con la normativa específica para la prevención de delitos. Se ha identificado que, en ocasiones, la recopilación y tratamiento de datos personales por parte de los administradores pueden entrar en conflicto con los límites impuestos por dichas leyes, especialmente en lo que respecta a la vigilancia, inteligencia & investigación.
  • Derechos Fundamentales y Deberes Fiduciarios: Los administradores tienen la obligación de respetar los derechos fundamentales de la intimidad, el honor y la propia imagen. La investigación ha mostrado que la implementación de políticas internas que afectan a la privacidad de los empleados debe ser cuidadosamente evaluada para evitar infracciones que puedan derivar en responsabilidades penales o administrativas.
  • Proporcionalidad de los Medios: La investigación ha puesto de manifiesto la necesidad de que los administradores apliquen medidas proporcionales al fin que se pretende alcanzar, evitando excesos que puedan vulnerar derechos fundamentales. El Tribunal Constitucional y el Tribunal de Derechos Humanos han establecido criterios claros en este sentido, que deben ser considerados en la toma de decisiones corporativas.
  • Sostenibilidad y Deberes Fiduciarios: La propuesta de directiva sobre diligencia debida de las empresas en materia de sostenibilidad introduce nuevas obligaciones para los administradores en relación con las cadenas de suministro y la responsabilidad ambiental. Los resultados indican que las empresas deben adaptar sus políticas y procedimientos para cumplir con estas exigencias, integrando la sostenibilidad como un elemento esencial en su estrategia corporativa.
  • Ley de Seguridad Privada y Deberes Fiduciarios: La relación entre los deberes fiduciarios del administrador y la ley de seguridad privada es especialmente relevante en el contexto de la prevención del blanqueo de capitales y la financiación del terrorismo. Los administradores deben asegurarse de que las actividades de seguridad privada contratadas o realizadas internamente cumplen con la normativa vigente, evitando así la comisión de infracciones que puedan comprometer la integridad de la empresa.

En resumen, el análisis de resultados demuestra que los administradores deben ejercer sus funciones con un alto grado de diligencia y conocimiento de la normativa aplicable, equilibrando la protección de datos, los derechos fundamentales, la proporcionalidad de los medios, la sostenibilidad y la seguridad privada en el desempeño de sus deberes fiduciarios.

  • La falta de cumplimiento de estas obligaciones puede resultar en responsabilidades legales significativas para la empresa y para los administradores individualmente. Si durante las labores de inteligencia (trabajando sobre personas jurídicas, variables, o aspectos no ligados a la Protección de datos), o de forma espontánea por remisión de un tercero, se descubren elementos / síntomas de un riego (una tipología o un riesgo concreto) para la empresa se puede / debe realizar una investigación específica y centrada en una persona o grupo reducido de individuos afectados por ese riesgo o generadores de ese riesgo. Los límites de la investigación están en los principios ya citados
  • Pero ha identificado que los administradores deben asegurarse de que los medios empleados en la gestión y vigilancia de la empresa sean proporcionales a los fines perseguidos.
  • La propuesta de directiva sobre diligencia debida de las empresas en materia de sostenibilidad impone nuevos desafíos a los administradores. Se concluye que es imperativo que los administradores integren consideraciones de sostenibilidad y responsabilidad ambiental en sus estrategias de gestión, alineándose con las expectativas de la sociedad y la normativa emergente a nivel europeo. Los administradores deben estar al tanto de las implicaciones de la Ley de Seguridad Privada y la Ley Orgánica de protección de la seguridad ciudadana en sus actividades de inteligencia, investigación y seguridad corporativa. La legitimidad de estas actividades debe estar siempre fundamentada en el interés legítimo y en el cumplimiento de las obligaciones legales pertinentes.

Recomendaciones

En vista de los deberes fiduciarios del administrador y las normativas aplicables en materia de protección de datos, intimidad, honor, proporcionalidad de los medios y diligencia debida en sostenibilidad, se recomienda lo siguiente:

  • Cumplimiento Normativo estricto
  • Formación Continua
  • Medidas de Vigilancia Proporcionadas
  • Diligencia Debida en Sostenibilidad
  1. La empresa debe contar con un protocolo específico o código de conducta con los siguientes principios.
  2. Elaboración y aplicación de dicho protocolo
  3. Identificación y evaluación genérica de riesgos por la empresa en continuo mediante sistemas que pueden asimilarse a procesos de inteligencia
  4. Detección del riesgo/síntoma: de lo genérico a lo específico; mediante inteligencia de alertas.
  5. Fundamentación: Encaje del riesgo en el mapa de riesgos de la empresa y de afecciones / originadores / consecuencias.
  • Sistema de retroalimentación y AARR

Ponderación de la importancia / relevancia:

  • Sistema de retroalimentación y AARR
  1. Formulación del problema a investigar específico; se activa la investigación privada desde la inteligencia, tras detección de interrogantes, indicios, síntomas, presunciones, hasta llegar a convicciones.
  2. Planteamiento de los limites aplicables con especial atención a la protección de datos, y buscando la justificación del interés legítimo
  3. Decisión: acción y alcance y de su proceso de revisión
  • Uso restringido del informe / dato y su tratamiento
  • La publicidad de esa investigación debe restringirse al respeto de los derechos fundamentales al honor y la intimidad, el buen nombre, así como a la propia imagen.
  • La investigación debe ser circunscrita a la razón que cualifica dicha obtención de información y no puede ser una investigación genérica ni impersonal.
  • Transparencia y Responsabilidad; creación de marcos, protocolos, normativas internas, procedimientos, culturas, condiciones generales o autorizaciones explicitas o implícitas, que expresamente faciliten que ambos objetivos (responsabilidad fiduciaria del Administrador para con su organización-necesidad de las personas sobre quien se manejan datos) coexistan de forma legal, ética y desde la buena fe.

Este marco debe ser a) aplicable, b) público y conocido y c) acordado expresa o tácitamente, para aquellos sobre quiénes se pretenda su aplicación.

  1. Análisis previo del alcance

Debe expresarse claramente, y por adelantado, la aplicabilidad para cada supuesto en que podría darse un tratamiento de datos personales sin la previa aceptación.

  1. Por ejemplo, en el caso de obtenerse expresamente por vía contractual (del propietario de esos datos, colaboradores, proveedores, Third Party, etc ) y certificando, también vía contractual, que se efectuará con pleno respeto derechos fundamentales en el ámbito de una investigación/Due Diligence sobre sus datos personales en casos  cualificados cuando resulte de aplicación en base al proceso predefinido en el protocolo que protege el interés social (de la empresa) y que demuestre que el investigar debe prevalecer.
  2. El requisito de procedibilidad debe examinarse antes del proceso. En base a la detección del interrogante (inteligencia de alertas).
  3. La publicidad del posible proceso es un requisito de transparencia y advertencia inexcusable también en este caso.
  • No así durante el procedimiento, por razones obvias de seguridad del procedimiento.

Comparte:

Envíanos un mensaje

VISÍTANOS Barcelona

Vía Augusta, 29 6º
08006 Barcelona

CONTÁCTANOS

(+34) 686 36 62 26
info@c-s.es

VISÍTANOS MADRID

Jorge Juan, 65 
28009 Madrid

Contacto

Email : pasensio@c-s.es

patxi bn

Patxi Asensio

Para las cuestiones de valoraciones contamos con el buen hacer de nuestro colaborador Patxi Asensio director de “As Valuation” empresa especializada en valoraciones así como en el Análisis Forense, procedimientos de arbitraje y mediación en el apoyo en la resolución de conflictos.

Cuenta con 23 años de experiencia en análisis, negociación, relaciones industriales y relación con inversores privados e institucionales. En su bagaje, la valoración de más de 750 activos tangibles, intangibles, modelos de negocio e inversión y planificado más de 350 compañías de todos los sectores de la economía tradicional, nueva economía y economía circular y de estos el 35 % de estos servicios de valoración de negocios han continuado con planes de desarrollo de gestión del valor de los activos.

Su experiencia se centra en la relación con Inversores para procesos de puesta en marcha, crecimiento y diversificación empresarial, valoración de activos en mercados cotizados y no cotizados y de riesgos en procesos de inversión. También en el tratamiento de deuda y reflotaciones -concursales y no concursales- de empresas.

Ha actuado también como Experto independiente y Perito Judicial en procesos contenciosos Judiciales ante la Administración de Justicia.

Es licenciado en económicas y especialista por el Registro de Economistas Forenses (REFOR), en valoración de activos inmobiliarios y en valoración de empresas y marcas. Es experto es en técnica arbitral y Mercados Bursátiles Internacionales por la Universidad Ramon Llull (ESADE).

Es Perito Judicial y Perito-Auditor Socio Laboral por la Universidad de Lérida (UdLL)

Miembro de la Asociación Española de Peritos Judiciales y Mediadores Arbitrales y del ELI – European Law Institute.

Participa asiduamente como ponente en talleres de valoración de inversiones / activos, servicios, empresas y marcas para Organizaciones Empresariales, Escuelas de Negocio, Universidades, Foros de Inversión y Gobiernos Regionales.

Idiomas

  • Español
  • Inglés
  • Catalán
  • Italiano

Francisco García Gómez de Mercado

Para las cuestiones de derecho público contamos con una colaboración de la que nos sentimos orgullosos con Francisco García Gómez de Mercado.   

Presidente de la Sección de energía del Ilustre Colegio de Abogados de Madrid (ICAM).

Es también ex – Director General de los Servicios Jurídicos de la Comunidad de Madrid, vocal de la Junta Consultiva de Contratación Administrativa regional, primer director de la Revista Jurídica de la Comunidad de Madrid y vocal del consejo de la Agencia de Protección de Datos de la Comunidad de Madrid (1998-2000).

Fue Abogado del Estado ante el Tribunal Superior de Justicia de Madrid (1992-1997), la Abogacía General del Estado (1997) y el Tribunal Supremo (1997-1998) y Asesor Técnico del Ministerio de Justicia.

Idiomas

  • Español
  • Inglés

Contacto

Email : fgarcia@c-s.es

francisco

Contacto

Email : dsanroma@c-s.es

david sanroma

David sanroma-sardà Vazquez

Responsable del área legal y abogado mercantilista. Con su visión generalista cuenta con una dilatada experiencia en contratación y reestructuraciones, operaciones de adquisición y desinversión y en transacciones complejas.

La visión legal y de negocio que aporta contribuyen a un mejor soporte en las decisiones del cliente, sea una persona física, sea directivo o sea la empresa al buscar mecanismos que generen el máximo valor y defensa de los intereses del cliente, proporcionando asistencia letrada en procedimientos judiciales y en el asesoramiento del día a día.

Inició su carrera profesional en Cuatrecasas y Garrigues desde donde paso a ocupar niveles de alta dirección legal en grupos nacionales de las que desataca el Grupo Torraspapel – KIO y extranjeros como Solvay o en varias Joint Ventures como por ejemplo Vinilis con Elf Atochem en los que ha sido secretario y letrado asesor de varios consejos de administración.

Ha sido miembro de la Consejo Directivo de FEDEQUIM, Federación de la Industria Química de Catalunya.

Posteriormente ha aportado esa experiencia al servicio de las necesidades de empresas familiares y de particulares.

Licenciado en Derecho por la Universidad Autónoma de Barcelona, cuenta con un Programa en Dirección General del IESE y master en Finanzas por esta misma institución.

Ha realizado el curso superior de arbitraje de la Corte Española de Arbitraje y está admitido como árbitro internacional del Chartered Institute of Arbitrators, Londres (MCAirb).

Es alumno de la Escuela de Consejeros IESE – KPMG – AED y Secretario del Círculo de Consejeros.

Idiomas

  • Español
  • Inglés
  • Catalán
  • Francés