Post on 27-Oct-2018
“Aspectos legales y riesgos de la
información en la empresa”.
Andrés Pumarino M
Abogado
Regulación y Empresa
2
Empresa (CIO - CEO)
Norma Legal
Estructura Normativa en Chile
Características de la Ley
• Las leyes deben ser cumplidas, no es facultativo el acatarlas o no. La ley es sancionada por la fuerza.
• La ley es general, no sólo eso, también es abstracta.
• La ley es cierta, es decir no necesita ser acreditada, el código Civil nos dice que nadie puede alegar ignorancia de la ley después que esta haya entrado en vigencia.
5
Protección del activo y de la información en la
empresa
Organización
y Estructura
Ventaja
Competitiva
Rentabilidad y
Productividad
Iter Contractual: Responsabilidades
¿Qué es el GRC?
Qué es el Gobierno Corporativo
Para el Centro para el Gobierno de la Empresa, define al Gobierno Corporativo:
“El conjunto de instancias y prácticas institucionales en el proceso de toma de decisiones de la compañía que contribuyen a la creación sustentable de valor en un marco de transparencia, ética y responsabilidad empresarial, alineando intereses y promoviendo el respeto a los derechos de todos los accionistas y grupos de interés que participen directa o indirectamente en la firma”.
Lineamientos Fundamentales para la adopción de
principios de buen gobierno por parte de
instituciones
• Liderado por el directorio• Códigos de ética y de buenas prácticas de gobierno corporativo• Facilita ejercer los derechos de los accionistas y un trato equitativo de los
accionistas, atendiendo a los conflictos entre mayoritarios y minoritarios (Casuística chilena de Gobierno Corporativo)
• Transparencia de la información• Prohibición de uso de información privilegiada. Establecer políticas.• Control interno y gestión de riesgo adecuado• Vincular al directorio el tratamiento, aprobación y monitoreo de los
lineamientos estratégicos, éticos, de la estructura organizacional, información, riesgos, compensaciones, sistemas de control, conflictos de interés y las prácticas de gobierno corporativo
Ámbito de Acción Ley 20.393
Todas las personas jurídicas de derecho privado 34 y a las empresas del Estado (art. 2º de la Ley Nº 20.393),35-36 sin distinción de tamaño,37. ¿Qué delitos?
a) Lavado de dinero (art. 27 de la Ley Nº 19.913, ley que crea la Unidad de Análisis Financiero).
b) Financiamiento del terrorismo (art. 8º de la Ley Nº 18.314, ley sobre conductas terroristas).
c) Soborno o cohecho activo tanto de empleados públicos nacionales (art. 250 del Código Penal como de funcionario público extranjero (art. 251 bis CP).
Cómo Opera
a) Que el delito haya sido cometido por personas pertenecientes a un determinado círculo que la propia ley define, a saber, los dueños, controladores, responsables, ejecutivos principales, representantes de la empresa o quienes realicen actividades de administración y supervisión en ella, o bien por otras personas naturales que estén bajo la dirección o supervisión directa de alguno de dichos sujetos.
b) Que los delitos se hayan cometido directa e inmediatamente en interés de la persona jurídica o para su provecho, lo que viene reiterado luego cuando se señala que las entidades “no serán responsables en los casos que las personas naturales indicadas en los incisos anteriores, hubieren cometido el delito exclusivamente en ventaja propia o a favor de un tercero”.
c) Siempre que la comisión del delito sea consecuencia del incumplimiento, por parte de la entidad, de sus deberes de dirección y supervisión, a lo que se opone expresamente la previa adopción e implementación de un modelo de organización, administración y supervisión para prevenir delitos como el cometido, esto es, más sintéticamente, de un modelo de prevención de delitos.
Exigencias de la Ley GC (20.393)
a) La designación de un encargado de prevención dotado de autonomía.b) La provisión de los medios y facultades suficientes para el desempeño de sus
funciones, entre los que deben considerarse a lo menos:1. Los recursos y medios materiales necesarios, en consideración al tamaño y capacidad
económica de la persona jurídica.2. Acceso directo a la administración para informar oportunamente por un medio idóneo, de
las medidas y planes implementados en el cumplimiento de su cometido y para rendir cuenta de su gestión y reportar a lo menos semestralmente.
c) El establecimiento de un sistema de prevención de delitos, que debe ponerse en conocimiento de todos los trabajadores y colaboradores y contemplar a lo menos lo siguiente:
1. La identificación de las actividades o procesos de la entidad en cuyo contexto se genere o incremente el riesgo de comisión de delitos.99
2. El establecimiento de protocolos, reglas y procedimientos específicos que permitan a quienes intervengan en tales actividades o procesos programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de delitos.
3. La identificación de los procedimientos de administración y auditoría de los recursos financieros que permitan a la entidad prevenir su utilización en delitos.
4. La existencia de sanciones internas, así como de procedimientos de denuncia o persecución de responsabilidades pecuniarias en contra de las personas que incumplan el sistema de prevención de delitos.
Exigencias Internacionales
• Normas de Basilea II
• IFRS – XBRL (Proyecto SVS)
• Ley Sarbanes Oxley y Prevención del Fraude Corporativo
• Exigencias y recomendaciones de la OECD
• Tratados internacionales (TLC)
Disminuir el riesgo
IT Governance Risk & Compliance
Aspectos legales que impactan en las TI de la
empresa
• Ley de Delitos Informáticos 19.223
• Ley de Protección de la vida privada 19.628
• Ley de Gobierno Corporativo 20.393
• Ley de Propiedad Intelectual 17.336
• Código del Trabajo (Derechos fundamentales).La Ciudadanía en la empresa
La facultad de mando del empleador y el deber de
obediencia del trabajador.
• El poder reglamentario.
• El poder disciplinario.
• El deber de obediencia.
▫ Alcance.
▫ Límites.
• El contenido personal: el deber de protección
La ciudadanía en la empresa
• Las Leyes Números 19.759 y 20.087
• Límites al poder del empleador: garantías constitucionales, en especial, intimidad, vida privada y honra.
• Reglamento interno y medidas de control.
• Obligación de reserva de datos privados.
• Procedimiento de tutela.
• La flexibilidad organizativa
• La flexibilidad funcional
• La empresa flexible: holding, grupo, etc.
• El trabajador flexible: autónomo dependiente, para/subordinado, cuasi/subordinación
• Subcontratación y suministro (reforma legal)
Trabajo y organización
Sentencia en Chile:
Chat- y email
PROCEDIMIENTO: Especial de Tutela Laboral MATERIA: Tutela de derechos FundamentalesDEMANDADO: Sociedad de Profesionales Kronos Ltda.Fecha: Septiembre 2008.
”Con fecha dos de junio de dos mil ocho, su empleador le comunicó el término del contrato de trabajo por correo certificado, aplicando la causal señalada en el artículo 160 N°7 del Código del Trabajo, esto es, incumplimiento grave de las obligaciones que impone el contrato, fundado en que supuestamente habría entregado información confidencial vía electrónica, sin autorización de sus jefes, a personal profesional de la empresa Salfa Construcciones, la cual era su fiscalizada“.
Ley Nokia (Finlandia)
Sabe Usted…
Políticas de Datos en la Empresa
• Cerca de ¾ de las empresas creen que cuentan con políticas adecuadas para proteger información personal y privada.
• Sin embargo, más de la mitad de ellas ha perdido datos importantes dentro de los últimos 2 años y en cerca del 60% de quienes han perdido datos el problema se ha vuelto recurrente.
Proyecto de ley de protección de datos• Robustecer la obligación de consentimiento por parte del titular de los datos
para su tratamiento y hacer obligatorio que también se informe a las "personas jurídicas" sobre el procesamiento de sus antecedentes.
• Proteger la privacidad de las personas frente a las prácticas "abusivas" del marketing y crear un registro público obligatorio de las entidades que tratan datos para evitar la existencia de un mercado informal.
• Creación de una agencia que esté concentrada en fiscalizar, perseguir y sancionar los delitos en esta materia.
• Aumento de las multas por el uso de datos con un fin distinto al declarado. Si se aprueban, éstas oscilarían entre 150 UTM y 800 UTM, cifras que se comparan con las multas de entre 50 UTM y 100 UTM que recibieron en abril pasado dos isapres por traspaso de información a una farmacia.
• PÁGINAS WEB, el anteproyecto plantea ampliar la protección de los datos personales que tienen origen en plataformas virtuales. 800 UTM es la sanción establecida en el anteproyecto por infracciones "gravísimas" en el uso de datos.
Conclusiones (I)
• Nuevo Rol del Gerente de Informático.
• Nuevos cargos en las empresas: Controller (Auditor)
• Directorios Independientes y más exigencias a partir del 2010, pero también, desconocimiento de esta materia (20.393)
• Impacto de las tecnologías en el negocio en la generación de información para reportes
Conclusiones (II)
• La falta de conocimiento e interés acerca de la Seguridad de la Información es la causa de la asunción, tanto del sector privado como del público, de una visión incompleta del tema, que se traduce en la existencia prolongada de vulnerabilidades humanas en las empresas, muy por encima del Riesgo Residual, y en el evidente atraso de la legislación en general.
• El C. del Trabajo no define suficientemente bien las relaciones empresa –trabajador en materia de TIC y define sólo principios generales a seguir en el curso de la relación laboral.
Recomendación
• Según lo analizado en esta presentación podemos señalar que el referente es Cobit.
• No dice el cómo, sino en qué hay que fijarse, para gestionar adecuadamente las TI, pero sin perder de vista el cumplimiento y el desempeño, podemos decir que son posturas complementarias.
Gracias!!
Andrés Pumarino M.
Abogado
apumarino@legadigital.cl