LIBRO PRIMERO. Disposiciones generales sobre los delitos, las personas responsables, las penas, medidas de seguridad y demás consecuencias de la infracción penal
- TÍTULO II. De las personas criminalmente responsables de los delitos
  - Artículo 31 bis

L 1/2019 de 20 Feb. (Secretos Empresariales)

L 9/2017 de 8 Nov. (Contratos del Sector Público)

Comentarios

Resumen: En la actualidad, cada uno de nosotros generamos una cantidad de datos sin precedentes a través de cualquiera de nuestras actividades cotidianas. En total, cada día se producen la cantidad de 5 trillones de bytes en datos. ¿Cómo traducimos esos datos en conocimiento? A través de un refinamiento y optimización de los datos, buscando relaciones desconocidas en ellos. De esta forma se producen grandes avances a la hora de evitar la corrupción. ¿Cómo puede ayudar el data mining en los programas de compliance?

I. La corrupción en la actualidad

La corrupción en la actualidad continúa siendo un problema de especial gravedad, al cual distintas instituciones tratan de buscar solución. La corrupción ha evolucionado en las últimas dos décadas y, de la misma manera, nuestra perspectiva también está cambiando.

El Estado deja de ingresar unos 90.000 millones de euros anuales debido a la corrupción, lo que supone casi el 8% del Producto Interior Bruto (PIB), según un informe del Grupo de los Verdes de la Comisión Europea, de 7 de diciembre de 2018, lo que colocaría a España como el sexto país con más pérdidas por corrupción. Estos 90.000 millones de euros suponen el 90% del presupuesto para la salud al año o el 88% del gasto destinado a las pensiones.

Pero, como es del todo sabido, el problema de la corrupción no existe solamente en España, sino que es un problema a nivel mundial. La Encuesta Global sobre Fraude y Delitos Económicos de 2020 de Price Waterhouse Coopers dice que el 47% de las compañías informaron haber experimentado fraude en los últimos dos años. Además, el estudio de Association of Certified Fraud Examiners (ACFE) Reports to the nations de 2018 concluye que las organizaciones pierden cerca de 7.000 millones de dólares en todo el mundo debido a la corrupción.

El Estado deja de ingresar unos 90.000 millones de euros anuales debido a la corrupción, lo que supone casi el 8% del PIB

La Organización para la Cooperación y el Desarrollo Económico (OCDE) es una organización internacional que nace con la misión de diseñar políticas para mejorar la calidad y transparencia de las transacciones en las empresas. Su objetivo es promover políticas que favorezcan la prosperidad, la igualdad, las oportunidades y el bienestar de las personas. La Convención contra el Soborno, que llevó a cabo la OCDE y que entró en vigor en el año 1999, se considera el primer instrumento internacional contra la corrupción. Pues bien, ya en 2018 aseguraba que sobre el combate de la corrupción y la integridad que «la integridad mundial no es un sueño distante, es una necesidad urgente. Porque nuestros ciudadanos están perdiendo la confianza (…) y este ambiente proporciona un campo fértil al populismo, el nacionalismo y el proteccionismo, todos los "ismos" malos».

En este sentido, se han desarrollado normas como la ISO 37001 de fecha 2016 denominada «Sistemas de Gestión Anti-soborno», que si bien es verdad que facilitan pautas a las distintas organizaciones para implementar un sistema de gestión para prevenir, detectar y tratar la corrupción, no garantiza que una empresa quede libre de ella, sino que establece una serie de medidas para prevenir y evaluar el riesgo de una organización.

II. ¿Qué es el data mining?

El data mining, o minería de datos, es un concepto bastante nuevo en cuanto a la forma de utilizar la información para ayudarnos a tomar decisiones. Se conoce como minería de datos a todo un conjunto de técnicas encargadas de la extracción de conocimiento procesable, implícito en la base de datos, para ayudar a comprender su contenido.

Adentrándonos en el concepto, la minería de datos es la exploración y el análisis de grandes cantidades de datos con el fin de descubrir patrones. Estas grandes cantidades de datos son lo que hoy en día denominamos big data que se analiza mediante el uso de algoritmos.

III. ¿Qué está ocurriendo con el data mining?

En la actualidad, inmersos en la sociedad de la información, las tecnologías ayudan, facilitando las actividades sociales, culturales y, por supuesto, económicas.

Las técnicas de data mining provienen de mucho antes de lo que pensamos. Un antecedente de éxito lo encontramos en Reino Unido, durante la Segunda Guerra Mundial. Ya entonces, se trabajaba en equipo para descifrar toda la información que circulaba por las redes de comunicación alemanas: cuáles eran sus ejércitos, unidades, cuerpos, y a su vez trataban de asegurar todas las comunicaciones británicas, dentro de la nación y con todos sus aliados. Tan importante fue su trabajo que grandes logros aliados en la contienda dependieron en gran parte de ellos: el desembarco de Normandía, o el descifrado de la famosa máquina Enigma. Todo con medios manuales, pero debido a la cantidad de información a analizar y, sobre todo, a las distintas probabilidades de los textos cifrados alemanes, tuvieron que desarrollar ingenios mecánicos que les ayudaran en el procesado de la información. Esto crea un antecedente de lo que hoy en día y a nivel mucho más sofisticado denominamos data mining.

Lógicamente todo esto ha ido cambiando, y ya no dependemos del ser humano para descifrar y analizar grandes cantidades de información puesto que, poco a poco, se van implementando nuevas tecnologías que ahorran tiempo y facilitan el trabajo a los que luego deben llegar a conclusiones. Ya en el año 1990 se hizo un cambio en las sociedades en cuanto a la manera de llegar a la riqueza, que se fue trasladando de los sectores industriales a los de servicios.

Nos hemos convertido en expertos en la recopilación de datos, pero, en realidad, no sabemos qué hacer con ellos

Como ya hemos dicho, la tecnología ha avanzado tan rápidamente en el último par de décadas que hemos sido capaces de generar una excesiva cantidad de datos pero que aún no sabemos cómo gestionar. Nos hemos convertido en expertos en la recopilación de datos, pero, en realidad, no sabemos qué hacer con ellos. Esta minería de datos nos permite dar uso a todos esos datos, gestionándolos y analizándolos para obtener nuevas perspectivas que podemos utilizar para responder mejor a las amenazas e identificar rápidamente cuáles son las oportunidades e incluso obtener ventajas competitivas. Pero, como ya decía John Naisbitt en 1982, «estamos ahogados en información pero hambrientos de conocimiento». Esto es muy cierto en la realidad actual: nos ahogamos en datos y seguimos hambrientos de conocimiento. Pues bien, a través de la minería de datos tratamos de resolver este problema.

Este es el problema que tratamos de resolver con la minería de datos.

La tecnología avanza de manera tan rápida que es difícil mantenerse al día en cuanto a los cambios internos, y más aún protegerse de las amenazas que conllevan dichos progresos. Estos desarrollos en la tecnología han introducido nuevos tipos de fraude y de amenazas que no solo son más difíciles de detectar, sino que pueden tener un gran impacto en una organización en tan solo un instante.

Lo que es evidente es que los compliance officers solo pueden trabajar en un número determinado de casos al día y, a veces, simplemente no existe la mano de obra o los recursos necesarios para mantenernos totalmente cubiertos contra estas nuevas amenazas que nos invaden, pues hasta el momento el ser humano es limitado y nuestros recursos también.

IV. ¿Cuál es el proceso mediante el que transformamos el big data en el sofisticado data mining?

Los datos son materia prima bruta, es decir, se encuentran acumulados en una nube y en el momento en el que el ser humano les atribuye un significado concreto se convierten en información. Cuando se encuentra un modelo que, interpretando esa información, represente un valor agregado se denominará conocimiento. Como podemos observar en la imagen, a medida que subimos de nivel (del big data al data mining), el volumen de datos disminuye, porque cuanto más alto estemos en la pirámide necesitaremos información más específica y procesada.

Mostrar/Ocultar

Imagen 1. Fases del big data al conocimiento

El data mining trabaja en los niveles superiores buscando patrones, comportamientos, secuencias y asociaciones que puedan generar algún modelo que nos permita comprender mejor el negocio a través de una combinación de tareas como la extracción de datos, limpieza de datos, selección de características, etc. Pero el data mining no es la etapa final, sino que se considera una etapa dentro de un proceso mayor llamado extracción o descubrimiento de conocimiento en bases de datos: Knowledge Discovery in data bases.

Mostrar/Ocultar

Imagen 2. Proceso de la minería de datos. Transformación de datos a conocimiento

En esta segunda imagen que mostramos, se comprende con mucho más detalle cómo funciona exactamente ese proceso de minería de datos. En primer lugar, tenemos los datos brutos, es decir, lo que denominábamos ese big data. En segundo lugar, tiene que haber una recolección y preparación de datos. Para ello, es necesario preguntarse qué datos se necesitan. Ahí la función del ser humano es muy importante, puesto que es quien debe definir y concretar qué es lo que busca y qué necesita. En tercer lugar, se realiza el pre-procesamiento en el que se analizan las propiedades de los datos en búsqueda de valores atípicos o de valores nulos. Una vez que se han desechado esos datos inútiles se pasa a la transformación. En la transformación, se descubre que, generalmente, el formato de los datos contenidos en las fuentes de datos no es el idóneo y la mayoría de las veces no es posible aplicar algún algoritmo de minería sobre los datos iniciales sin que se requiera algún cambio, por ejemplo, transformar un símbolo en un número. Una vez transformado, se hace ese filtrado de datos y por fin se llega al proceso de data mining que aplicará un algoritmo a todos esos datos conseguidos para alcanzar la última fase de conocimiento o knowledge.

Es necesario insistir que ese conocimiento en ningún caso se podrá conseguir sin el análisis del ser humano, pero sí le será de gran ayuda pues analizará patrones que nosotros buscamos y, una vez encontrados los patrones que nos interesan, podremos trabajar en ellos.

V. ¿Cuál es la utilidad entonces del data mining?

La unidad de Able Danger consiguió identificar al líder de la banda terrorista autora de los atentados del 11-S gracias a la implementación de la técnica de la minería de datos

Nos descubre automáticamente los patrones de comportamiento, detecta las anomalías o desviaciones y además predice resultados posibles que pueden ocurrir en un futuro, basándonos en experiencias pasadas o en los resultados que hemos obtenido. Entonces, ¿para qué lo podemos utilizar? El data mining sirve para analizar transacciones, detectar fraudes, o identificar riesgos, datos financieros, patrones o comportamientos de proveedores.

Es tan importante el uso de la minería de datos que ya en 2001, hace veinte años, en Estados Unidos la unidad de Able Danger consiguió identificar al líder de la banda terrorista autora de los atentados del 11-S gracias a la implementación de la técnica de la minería de datos.

VI. ¿Cuál es la ventaja del uso del data mining para el compliance?

Como es bien sabido, las principales instancias supranacionales han mostrado su preocupación respecto del fenómeno de la corrupción en España y han establecido una línea muy clara para combatirla. En primer lugar, es necesario que se haga un análisis de riesgos de corrupción. En segundo lugar, habrá que tener en cuenta qué medidas se han de adoptar para la prevención, detección y sanción de esa corrupción, es decir, establecer controles para evitar esos riesgos. Y, finalmente, la eficacia de las políticas anticorrupción debe ser evaluada y actualizada a partir de los periódicos estudios sobre los riesgos de corrupción.

La evaluación y gestión de los riesgos es una técnica muy utilizada en diversos ámbitos, tanto en la actividad pública como la privada, y en este sentido, el Tribunal Supremo Español en su sentencia 1683/2017, de 7 de noviembre de 2017 ha llegado a afirmar que «la gestión del riesgo, es uno de los aspectos fundamentales que deberá abordar un país moderno». De acuerdo con este marco teórico general aplicable a la gestión de riesgos, incluidos los de corrupción, dentro de una organización el sistema de gestión debería incluir una infraestructura, sistemas, procedimientos, incluso una cultura que permita la instauración de programas de compliance que incluyan la técnica del data mining, de este tratamiento de los riesgos que surgen —casi a diario— cuando una organización está desarrollando su actuación ordinaria en consecución de sus intereses.

Como resultado, si establecemos un programa de compliance con herramientas tecnológicas modernas, una organización con riesgos bien gestionados actuará de forma ética, eficiente y respetuosa con el ordenamiento jurídico, evitando en lo posible las tan perjudiciales consecuencias de la corrupción.

El data mining puede ser de gran utilidad en estos procesos de compliance pues tanto el análisis como la identificación de riesgo se harán a muchísima velocidad. En cuanto a los controles, también podremos hacer uso de ese data mining para la prevención y detección de delitos. Ayuda de la misma forma para corroborar la eficacia de esas políticas haciendo estudios comparativos con otras entidades similares a la del objeto del estudio, e incluso para la actualización periódica, pues nos dirá en tiempo real cómo se encuentra la corrupción: si hay corrupción nueva, nuevos delitos o formas de cometer delitos de corrupción que puedan dar detalles para actualizar las políticas.

¿Y si buscamos alguna desviación o patrón inusual dentro de una base de datos infinita?

¿Y si buscamos alguna desviación o patrón inusual dentro de una base de datos infinita? La buena noticia es que estos datos están disponibles dentro de unos sistemas de información y la mala noticia es que conseguirla puede ser un trabajo muy tedioso y consumir mucho tiempo, como ocurría en la Segunda Guerra Mundial.

Ese problema que actualmente encuentran los compliance officers reside en que, para hacer esta búsqueda de patrones, invierten demasiado tiempo, pero ahora mediante el uso de la minería de datos se podrá conseguir la información de todas estas fuentes y combinarlas de tal manera que no sólo se tiene un fácil acceso a la información, sino que se puede aprender rápidamente de ella y obtener nuevos conocimientos.

¿Cómo funciona a nivel práctico ese proceso de data mining? ¿Cómo puede utilizar un compliance officer el programa de data mining? A nivel práctico, el problema se da cuando se trata de utilizar los datos para resolver una cuestión específica. Los datos que queremos tienden a ser inconexos, lo que significa que no estamos hablando de utilizar los datos necesariamente de un lugar o una sola fuente. Eso puede ser un verdadero reto para nosotros, por ejemplo, si intentamos identificar posibles casos de colusión en una empresa tenemos que tener en cuenta una serie de factores. En primer lugar, vamos a necesitar una fuente de datos para cualquier transacción sospechosa que queramos analizar, para ver esos detalles sobre las diversas actividades que están teniendo lugar. Después, a medida que continuamos, es posible que queramos acceder a los registros de los clientes con el objetivo de vincular esas transacciones sospechosas con los detalles de los clientes que pueden o no estar involucrados. Y por supuesto, puesto que estamos investigando una posible colusión puede que también queramos investigar a los empleados o miembros del personal que puedan haber estado involucrados y ver su actividad. Se quiere averiguar con quién o qué ha estado interactuando en términos de las transacciones y el historial de auditoría de su actividad en todos los diversos sistemas de la organización.

Todo lo anterior puede ser resuelto mediante el uso del data mining: la minería de datos puede ser un aliado para el compliance officer, puesto que, como veremos más adelante, puede suponer un gran beneficio tanto para ellos como para la empresa en muchos aspectos pero previamente realizaremos una seria de observaciones que debemos tener en cuenta antes de emplear el data mining en nuestra organización.

VII. ¿Cuáles son las consideraciones a tener en cuenta antes de utilizar el data mining?

Antes de instalar un data mining en cualquier organización, es necesario saber que hay que tener un especialista para analizar los datos puesto que se debe conocer cómo se relacionan los datos entre sí, qué tan completos son, cómo queremos tratar los diferentes valores o diferentes códigos que tenemos delante. Se necesita mucho tiempo y esfuerzo para entender el significado de los datos obtenidos. Además hay que elegir entre los diferentes modelos de minería de datos, que son muchos y habrá que elegir el modelo que mejor se adapta a nuestro objetivo. No es lo mismo el modelo de detección de anomalías que el modelo de clustering. Para eso, lógicamente el compliance officer tendrá que tener una formación concreta, y quizá sería conveniente que un experto en minería de datos fuera un apoyo para el compliance officer. ¿Quién puede ser ese apoyo? Ingenieros informáticos, ingenieros de software, ingenieros en tecnologías de la información, así como una persona con formación jurídica.

Los seres humanos son imprescindibles y sin su intervención no será posible llevar a cabo de forma óptima este proceso de data mining

Otra consideración a tener en cuenta es que al utilizar bases de datos hay que asegurarse de no infringir:

• La Ley de Protección de Datos: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• La Ley de Secretos Empresariales: Ley 1/2019, de 20 de febrero, de Secretos Empresariales.
• La Ley de Propiedad Intelectual: Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
• La Ley de Contratos del Sector Público: Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, en concreto su artículo 71.
• El Código Penal: Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Por ultimo y no por ello menos importante, tener en cuenta que deberá ser el compliance officer el que deberá llegar a la conclusión tras el análisis de esa información, y tras esa conclusión se llevará a cabo la toma de decisiones determinante para evitar la corrupción en su organización. Pero insisto, los seres humanos son imprescindibles y sin su intervención no será posible llevar a cabo de forma óptima este proceso de data mining.

VIII. ¿Cuál es la jurisprudencia más reciente en cuanto a la exención de la responsabilidad penal de la persona jurídica por disponer de un programa de compliance para evitar la comisión de delitos?

A) Auto del Juzgado Central de Instrucción No. 6, de fecha 23 de marzo de 2021

La persona jurídica Indra Sistemas S.A fue imputada, en el Caso Púnica, en septiembre de 2019, como presunta autora de un delito continuado de cohecho.

La defensa de Indra presentó un Informe de la Unidad de Cumplimiento donde se mostraba que desde el año 2001 se contaba con un Código de Conducta. Se había ya adoptado y aplicado el modelo de cumplimiento penal que desarrollaba controles para la detección y control de riesgos.

Además de constar esos Códigos de Conducta en febrero de 2011, tras la reforma del Código Penal en 2010, Indra Sistemas S.A procedió a la implementación de un programa de compliance que ampliaba y reforzaba los controles para la detección y control de riesgos y su Código de Conducta, ajustando sus modelos de cumplimiento a lo previsto en el art. 31 BIS del Código Penal.

Durante el procedimiento, se llegó a la conclusión de que no existía defecto organizativo de la persona jurídica. Así se acordó Auto de sobreseimiento provisional de las actuaciones, de 23 de marzo de 2021 de Indra Sistemas S.A, siendo posteriormente confirmado por la Sección 4ª de la Audiencia Nacional.

B) Auto del Juzgado Central de Instrucción No. 6, de fecha 29 de julio de 2021

Se acordó el sobreseimiento provisional de las personas jurídicas ante la justificación de que no existió un defecto organización, pues disponían de procedimientos de cumplimiento eficaces y además, la acusación no aportó «elementos de cargo que permitan concluir la existencia de un defecto estructural en los modelos de prevención, vigilancia y supervisión vigentes». Quedó probado que sus programas de compliance eran eficaces.

C) Auto de la Sala Penal de la Audiencia Nacional, Sección 4, de 2 de julio de 2021

Se anuló el requerimiento judicial a una organización en cuanto a la aportación de una copia de los programas de compliance de la persona jurídica y de la totalidad de las denuncias internas recibidas a través de su «canal de denuncias» pues atentaba dicho requerimiento al derecho a la autoincriminación de la persona jurídica.

Cuanto mejor sea el programa de compliance, más probabilidades se tiene de demostrar que se ha cumplido rigurosamente

Lo que queda claro y es evidente es que, aunque una persona jurídica sea imputada, si tiene un buen programa de compliance y una ética de cumplimiento existen muchas más posibilidades de exonerarse de esa responsabilidad penal, ya que, cuanto mejor sea el programa de compliance, más probabilidades se tiene de demostrar que se ha cumplido rigurosamente. El data mining puede ser de gran ayuda a la hora de demostrar el cumplimiento de dicho programa puesto que ayuda a ser riguroso, concreto, real, a no inventar los datos.

IX. ¿Cuáles son los beneficios del data mining?

Para el compliance officer:

✓ Detección rápida del fraude.
✓ Supervisión de millones de transacciones en tiempo real.
✓ Reducción de errores humanos.
✓ Reducción de tiempos.
✓ Realización de otras tareas de mayor valor.
✓ Mejora de la toma de decisiones, con un ambiente más seguro que permite crecer.

Para la empresa:

✓ Datos en tiempo real (acción rápida).
✓ Datos para informes, análisis y planificación empresarial.
✓ Reducción de costes.
✓ Eficiencia operativa.
✓ Aumento de las capacidades y métodos de comunicación.
✓ Mejor servicio al cliente.

X. ¿Realmente se puede sustituir al ser humano por máquinas?

Carlos Guershenton, en una ponencia sobre Inteligencia Artificial, destacó que, en el contexto actual, confiar la toma de decisiones a los dispositivos dirigidos por algoritmos impacta en la sociedad de dos formas: por un lado, se cree que toman mejores decisiones por la capacidad que tienen las máquinas para procesar grandes cantidades de datos, pero, por el otro, se disminuye la diversidad en las decisiones tomadas.

Las funciones que llevan a cabo los seres humanos no son simplemente mecánicas como ocurre con los ordenadores, se requiere, además, un factor personal y un sentido común imposible de sustituir por una máquina.

Desde mi punto de vista, el valor que tiene la toma de decisiones del ser humano de ninguna manera puede ser sustituido por una máquina, solamente debe ser tomado como un apoyo en la realización de tareas, pues la función de las máquinas es la de servir de complemento a los seres humanos.

XI. ¿Cómo se está aplicando a nivel práctico el data mining en los procesos de compliance?

Los Centros de Servicios de Medicare y Medicaid (CMS) del Departamento de Salud y Servicios Humanos de los Estados Unidos crearon el Sistema de Prevención del Fraude (FPS), que utiliza data mining para identificar, prevenir y detener los pagos que coinciden con ciertos patrones sospechosos y para aumentar la prioridad de otros pagos sospechosos para su investigación.

El Federal Protective Service (FPS) ayudó a los CMS a evitar 527 millones de dólares en pérdidas por fraude en el año fiscal 2016, como parte de un conjunto de esfuerzos de integración de programas que ahorraron a los CMS casi 18.000 millones de dólares al año con un retorno de la inversión de un 12%.

Es una realidad que la aplicación del data mining en las organizaciones para evitar el fraude es de gran ayuda basándonos en datos empíricos actuales.

Por todo lo anterior, podemos realizar las siguientes conclusiones:

• La tecnología trae consigo muchas posibilidades, permitiéndonos aprender y procesar la información más rápido que nunca, aprovechando más datos de los que jamás pudimos.
• Transformación-Apoyo al cambio: Impulso desde la organización al cambio.
• Cambio en la cultura de la compañía de lo manual a lo digital.
• Visión global de los riesgos y cumplimiento de todos los departamentos de la empresa.
• Aumento considerable del control de las operaciones.
• Informes de compliance a golpe de «click».
• La función humana en el proceso de minería de datos sigue siendo crucial. Se necesita un especialista que comunique las conclusiones basadas en la información y los patrones generales por la minería de datos.

Cuanto más creativa y menos repetitiva sea la actividad, más valor adquirirá la profesión en esta sociedad digital que nos invade

Todos estos avances en las tecnologías son muy positivos siempre y cuando se sepan utilizar, haya una buena formación y sin olvidarnos de que sin la mano del ser humano nunca va a ser posible sacar provecho de las tecnologías. Seguirá habiendo profesiones, como la del compliance officer, que serán cada vez más valoradas: cuanto más creativa y menos repetitiva sea la actividad, más valor adquirirá la profesión en esta sociedad digital que nos invade.

Subir