“COMPLIANCE” PARA
CENTROS DE SALUD Y DESAFÍOS QUE SE PRESENTAN EN RELACIÓN A LA CONFIDENCIALIDAD DE DATOS Y A LA
ACTUACIÓN PROFESIONAL DEL ABOGADO INTERNO
AUTORA: María
Cristina Cortesi
Abogada y Procuradora. Posgrado en Derecho de la Salud (UBA).Posgrado
en “Administración y Gerenciamiento en Servicios de Salud” – Prefectura Naval
Argentina-Universidad del Salvador. “Posgrado en Auditoría Estratégica en
Servicios de Salud”, Prefectura Naval Argentina –Universidad del Salvador. Diplomada
en Psiquiatría Forense. CPACF-Universidad de Belgrano. Docente y Coordinadora en la Escuela de Posgrado del Colegio Público
de Abogados de la Capital Federal. Cursos: Actualización en Derecho y
Legislación Sanitaria, y Derecho Farmacéutico
y Legislación Sanitaria. Docente de la “Maestría en Gerencia y Administración
de Sistemas y Servicios de Salud” de la Universidad Favaloro. Autora de los libros: “Derecho
Sanitario y Régimen Jurídico del Medicamento” – (Co-autora ) Publicado por
editorial Visión Jurídica – Julio de 2013. Libro “Judicialización de la Salud:
métodos alternativos para la resolución de conflictos” – Visión Jurídica
Ediciones- Año 2015 y II Edición Año 2018.Libro “Medicamentos: introducción a
su regulación jurídica”-Visión Jurídica Ediciones (II Edición año 2019).
Miembro de la Comisión de
Derecho de la Salud de la Federación Argentina de Colegios de Abogados (FACA).
Vicepresidenta de la Comisión de Derecho Sanitario de la Asociación de Abogados
de Buenos Aires (AABA). Directora del Instituto de Derecho Sanitario del
Colegio Público de Abogados de la Capital Federal, (CPACF).
LA
LEY N° 27.401 Y LOS PROGRAMAS DE INTEGRIDAD
La
Ley 27.401 incorporó a nuestra legislación la regulación sobre la
responsabilidad penal de las personas jurídicas privadas, de capitales
nacionales o extranjeros, tengan o no participación estatal, para los
siguientes delitos:
a) Cohecho
y tráfico de influencias (arts. 258 y 258 bis del C. Penal)
b) Negociaciones
incompatibles con el ejercicio de las funciones públicas (art. 265 del C.
Penal)
c) Concusión
(art. 268 del C. Penal)
d) Enriquecimiento
ilícito de funcionarios y empleados (art. 268 del C. Penal)
e) Balances
e informes falsos agravados (art. 300 C. Penal)
Las
condenas a las personas jurídicas, según la ley, subsisten independientemente de que se haya
podido penalizar o no a la persona física que cometió el hecho, y aunque aquélla haya modificado su forma
societaria.
Dispone
la norma en su artículo 9° que no obstante, queda eximida de pena y
responsabilidad penal la persona jurídica que con anterioridad al hecho del
proceso, hubiese implementado un “programa de integridad”, el que define en su
artículo 22 como “un conjunto de
acciones, mecanismos y procedimientos internos
de promoción de la integridad, supervisión y control, orientados a
prevenir, detectar, y corregir irregularidades y actos ilícitos comprendidos
por esta ley”.
Dicho
programa es optativo en líneas generales, y se convierte en obligatorio cuando
la persona jurídica contrate con el Estado Nacional en convenios que por su
monto deban ser aprobados por autoridad con rango no menor a Ministro, y en demás
situaciones contempladas en el art. 24 de la Ley.
Me
permito hacer una salvedad: que exista un “programa de integridad” o “compliance” no implica que la persona
jurídica posea una estructura impecable que le impida la comisión de algún
ilícito. En todo caso se da una presunción “iuris
tantum” de que en su organización existe un programa de transparencia. De
esa forma, debemos dejar en claro que la sola existencia de estos programas no
resulta eximente de responsabilidad y dependerá de cada situación en particular
y de la prueba a producirse durante el proceso.
La
ley también contiene en sus arts. 22 y 23 una serie de parámetros para
determinar la idoneidad de dichos programas de integridad[1]:
·
Debe guardar relación con los riesgos propios
de la actividad de la persona jurídica, su dimensión y su capacidad económica
·
Debe contener un código de ética o de
conducta
·
Debe contener las reglas y procedimientos
específicos para evitar los ilícitos
·
Se deben realizar capacitaciones periódicas a
todo el personal
Cada
programa de integridad es como un “traje hecho a medida” para cada empresa en
cuestión. Por eso el art. 23 agrega, que podrá contener los siguientes
elementos:
·
Análisis periódico de riesgos y su adaptación
al programa de integridad
·
Apoyo visible e inequívoco al programa por
parte de la alta dirección y gerencia
·
Canales internos de denuncia
·
Políticas de protección a denunciantes contra
represalias
·
Un sistema de investigación interna
·
Procedimientos para comprobar la integridad
de terceros (socios, proveedores, distribuidores, prestadores de servicios,
intermediarios, etc. Al momento de contratar los servicios y durante toda la
contratación).
·
Monitoreo y evaluación continua del programa
·
Un responsable interno a cargo del
desarrollo, coordinación y supervisión del programa de integridad (Compliance Officer)
La
doctrina es pacífica en señalar que una de las principales claves del éxito de
cualquier programa de integridad lo constituye el apoyo de la alta dirección de
la empresa y la existencia de canales internos de denuncia de irregularidades
que ofrezcan garantías de confidencialidad y anonimato.
En
relación a las sanciones disciplinarias no hay que perder de vista lo dispuesto
en los Convenios Colectivos de Trabajo.
POR QUÉ RESULTA IMPORTANTE
ESTABLECER PROGRAMAS DE “COMPLIANCE” EN ESTABLECIMIENTOS DE SALUD
En
primer lugar, porque los programas de integridad no sólo actúan como sistemas de exención o atenuación de las
penas en caso de comisión de algún delito
sino que lo más importante, es que actúan como sistemas de control de riesgos
médico-legales, es decir, como un aporte más para mejorar todo el sistema de seguridad del
paciente relacionado con la atención sanitaria. Este programa de gestión,
acredita que el establecimiento de salud tiene como principio preponderante el
de la ética, basado en la cultura del cumplimiento y de las buenas prácticas.
Recordemos la definición que da la ley de “programa de integridad”: ..“un conjunto de acciones, mecanismos y
procedimientos internos de promoción de
la integridad, supervisión y control, orientados a prevenir, detectar, y
corregir irregularidades y actos
ilícitos comprendidos por esta ley” (lo
subrayado es mío).
El
principal concepto a considerar es que la seguridad no reside en las personas,
sino que es una característica del sistema en su conjunto. Los errores deben
analizarse desde la perspectiva de que se producen porque existen fallas en los
componentes del sistema. Cuando se analizan los accidentes desde esa
perspectiva, se suele comprobar que los mismos no se deben a una única falla,
sino que casi siempre son el resultado de la combinación de múltiples errores
(figura del “queso suizo” de J. Reason[2]) entre los que se
distinguen deficiencias en la organización, procedimientos de trabajo, medios
técnicos, condiciones laborales, etc.
En
el campo de la salud también es importante tener en cuenta para elaborar un
programa de integridad, la normativa ética de nivel internacional como por
ejemplo, los principios dados por la OMS[3]:
- Integridad:
comportarse de acuerdo con los principios éticos y actuar de buena fe,
honestidad intelectual y equidad.
- Rendición
de cuentas: responsabilizarse de las propias acciones y
decisiones y de sus consecuencias.
- Independencia
e imparcialidad: Actuar teniendo presentes solo los intereses
de la OMS y bajo la sola autoridad del Director General, y velar por que
las opiniones y convicciones personales no pongan en entredicho los
principios éticos, obligaciones oficiales o los intereses de la OMS.
- Respeto:
respetar la dignidad, la valía, la igualdad, la diversidad y la intimidad
de todas las personas.
- Compromiso
profesional: demostrar un grado elevado de
profesionalidad y lealtad a la Organización, su mandato y objetivos.
Además de los errores que ya conocemos y
que pueden ser institucionales o que produzcan lesión o complicación médica
según las especialidades, hay delitos que podrían cometerse en el ámbito
sanitario, como ser:
• Violación del secreto profesional
• Venta de datos personales
• Abandono de paciente
• Tráfico y trasplante ilegal de órganos
• Manipulación genética
• Tráfico de drogas
• Radiaciones ionizantes y daños ambientales
• Discriminación y acoso (delitos de género)
• Delitos contra la salud pública
• Delitos tecnológicos
• Delitos contra la propiedad industrial e intelectual
• Blanqueo de capitales.
• Financiación ilegal de partidos políticos
• Contrabando
• Asociación ilícita, etc.
Un programa de compliance debe
entonces buscar integrar a los riesgos de comisión de delitos en la empresa de
salud, los de los eventos adversos relacionados con la seguridad de los
pacientes para disponer de acciones preventivas que puedan beneficiarla, y a la
vez le creen un compromiso que pondere la imagen y reputación de la empresa
sanitaria. Sabemos que existen riesgos asociados a cada paciente y riesgos
específicos de cada procedimiento médico que hacen que se produzcan eventos no
deseados. Por tal motivo, la gestión de riesgos médico- legales por la que
venimos bregando hace ya bastante tiempo como parte fundamental de la
responsabilidad social empresaria que debe prevalecer en el ámbito privado de
la salud, debería integrar los programas
de integridad.
LOS DESAFÍOS: 1) LA PROTECCIÓN DE DATOS PERSONALES; 2) EL
SECRETO PROFESIONAL DEL ABOGADO INTERNO
Protección
de datos personales: En
nuestro país la introdujo la Ley N° 25.326[4],
su Decreto Reglamentario[5],
y el artículo 43 de la C.N. en cuanto incorpora en el texto constitucional la
acción de hábeas data[6].
Teniendo en cuenta la gran cantidad de datos que
originan las empresas, esta ley les da a las personas la posibilidad de ejercer el control sobre sus datos
personales y de esa forma, tutelar el derecho que tienen a que se les respete
la confidencialidad de los mismos. Rige tanto para personas físicas como para
las jurídicas.
La protección de datos está ligada al derecho a la
intimidad (art. 19 de la CN) que incluye el de supervisar a quienes tienen la
información. Por eso son clave en este tema
la transparencia en el manejo de los mismos, el desenvolvimiento de los
bancos de datos y la participación de las personas, a fin de que el ser humano
no termine convirtiéndose en un “conjunto de datos”.
Por otra parte debemos tener presente que en el
área del Big Data, hoy en día los datos personales tienen una muy importante
relevancia económica, son muy requeridos en una sociedad de consumo y por ende,
esto termina teniendo consecuencias directas con el derecho a la privacidad de
las personas. Un nuevo derecho nace entonces para los ciudadanos, que es el de
exigir la transparencia en el manejo de los datos, a través de la existencia de
códigos de conducta.
La ley
establece, entre otras cosas que:
·
Los datos deben recolectarse en relación a la
finalidad para la que se hubieran obtenido y, una vez que se produzca el cese
de dicha finalidad, deben ser destruidos
·
Deben recolectarse de manera de que su titular
pueda tener acceso a los mismos.
·
La recolección no debe hacerse por medios desleales
o fraudulentos
·
El titular tiene derecho a que el usuario los
rectifique, los suprima o los convierta en confidenciales cuando corresponda.
·
Prohibe la transferencia internacional de datos sin
las medidas de protección adecuadas (disociación de datos).
·
Declara como “datos sensibles” los referidos a la
salud, entre otros.
Lo cierto es que el “compliance” obliga a revisar todo lo que es materia de protección
de datos ya que las empresas, productoras y usuarias de los mismos, deberán
contener políticas específicas de privacidad más allá de lo que la ley dispone.
La posibilidad de que exista en la organización, una posible violación a la
normativa de protección de datos, debe tomarse dentro de la prevención de riesgos.
En Europa, existe la figura del “Data Protection Officer” que supervisa
el cumplimiento y contralor de lo dispuesto por la legislación en materia de
protección de datos. Como expresan algunos autores[7]
es común que ciberseguridad y protección de datos personales no siga siendo
administrado por el área de legales de las empresas, y lo sea por el área de compliance.
Cabe recordar que la Ley 25.326 sancionada en el
año 2000 fue pionera en America Latina, y que en el año 2003 nuestro país fue
designado por la Unión Europea como un país con un “nivel de protección
adecuado de los datos transferidos desde la Comunidad”[8].
Hoy en día esta regulación por sí sola no alcanza; las casas matrices europeas
están imponiendo estándares de protección superiores a sus filiales en nuestro
país, lo que convierte en prácticamente obligatorias las normas europeas en
esta materia.
El Reglamento UE 2016/679 del Parlamento Europeo
que entró en vigencia en Mayo de 2018
dispone en su art. 3 que: “1.
El presente Reglamento se aplica al tratamiento de datos personales en el
contexto de las actividades de un establecimiento del responsable o del
encargado en la Unión, independientemente de que el tratamiento tenga lugar en
la Unión o no. 2. El presente Reglamento se aplica al tratamiento de datos
personales de interesados que residan en la Unión por parte de un responsable o
encargado no establecido en la Unión, cuando las actividades de tratamiento
estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados
en la Unión, independientemente de si a estos se les requiere su pago, o b) el
control de su comportamiento, en la medida en que este tenga lugar en la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por
parte de un responsable que no esté establecido en la Unión sino en un lugar en
que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho
internacional público”.
Esto hace conveniente que las empresas elaboren
programas de privacidad integrales que tengan en cuenta dicha normativa,
tomando así una perspectiva más global, ya que nada impide que en algún momento
empresas locales también puedan generar una transferencia de datos desde o
hacia el exterior, o tengan que contratar con empresas situadas en la Comunidad
Europea.
Por lo pronto tenemos un anteproyecto de reforma a
la ley[9]
considerado a la altura de las leyes más avanzadas del mundo, que busca mantener los estándares
internacionales en nuestra legislación.
Entre otras cosas define y hace referencia a los “datos biométricos” y
“datos genéticos”, incorpora las preferencias sexuales como datos sensibles,
flexibiliza los consentimientos informados, adopta el sistema mexicano de
“responsabilidad proactiva” o “accountability”[10] (promueve la responsabilidad proactiva
en la protección de la privacidad mejorando las prácticas en la seguridad de la
información), y no resulta aplicable para
personas jurídicas, teniendo en cuenta que éstas no son sujetos titulares de
derechos humanos. Incorpora la imposición legal, para todos los que realicen
tratamiento de datos, de implementar medidas de seguridad y la obligación de
notificar al titular de los datos y a la autoridad de contralor, la ocurrencia
de incidentes de seguridad.
El anteproyecto fue producto de un arduo trabajo
llevado a cabo por la Dirección Nacional de Protección de Datos Personales y
actores de la comunidad.[11]
El abogado interno y el secreto profesional frente
al “compliance”.
¿Qué
sucede con el “secreto profesional” del abogado que ocupa el cargo de
“Compliance Officer” dentro de la empresa? ¿Qué pasa si fuese citado como
testigo en un procedimiento penal de la empresa en donde desempeña esa labor?. ¿Se
debe amparar en el derecho-deber del secreto profesional o colabora con la
investigación para lo cual fue designado en un programa de integridad?
En
nuestro país el secreto profesional del abogado se encuentra protegido a través
de numerosas normas: arts 18 y 19 de la CN, art. 156 del C. Penal, art. 244 del
CPP, art. 444 del CPCC, además de los Códigos de Etica de los distintos
Colegios Profesionales. La Ley N° 23187 y el art. 10 del Código de Etica del
CPACF se refieren a este punto.
A su
vez la jurisprudencia argentina con el
conocido fallo “Halabi”[12] declaró la inconstitucionalidad de una ley y
de su decreto reglamentario por considerar que vulneraban las garantías de los
arts. 18 y 19 de la CN, en cuanto autorizaban la intervención de comunicaciones
telefónicas y por Internet. El argumento, al que adhirió el Colegio Público de Abogados
de la Capital Federal (CPACF), no sólo refería a la violación de la intimidad y
la privacidad individual, sino que ello también implicaba un menoscabo a la
confidencialidad entre el abogado y su cliente.
Nuestra
legislación y jurisprudencia no establece diferencias entre el abogado interno
y el externo de la empresa, contemplando entonces, a mi entender, el derecho-deber
del secreto profesional en ambos supuestos. Otros países como Francia e Italia
sí establecen diferencias y no otorgan el privilegio del secreto profesional al
abogado interno de la empresa en base a diferentes argumentos.
El
debate sobre el tema del abogado in-house
se inició en el año 2010 en Europa, a través de las sentencias en los casos
AKSO (2010) y PUKE (2012) en donde se determinó que los abogados de empresas al
ser dependientes y estar sujetos a una relación laboral, no gozaban del secreto
profesional.
Reitero
que la cuestión no es pacífica en Europa y el estándar de protección difiere
entre los Estados Miembros; y que tanto el Tribunal de Justicia de la Unión
Europea como el Tribunal Europeo de Derechos Humanos en su jurisprudencia,
subordinan la confidencialidad a que el abogado sea “independiente”.
Como
principio general, sería ilógico pretender que las empresas tengan que
contratar abogados externos sólo para resguardar la confidencialidad y el
secreto profesional. No obstante ello, algunos autores consideran al abogado
interno como un “empleado” que actúa en forma exclusiva para un único “cliente”.
Comparto
la posición de Gobbi[13]que sostiene que en
nuestro derecho un abogado que trabaja en relación de dependencia mantiene su
condición de abogado con todas las obligaciones y derechos inherentes a su
profesión.
Otros
autores como Goena Vives, en una posición menos formalista, toma en cuenta la
función de la labor que ejercen, independientemente de la posición de
“internos” o “externos”[14]. Para la autora el
abogado interno asume muchas funciones y sólo alguna de ellas, como por ejemplo
en casos de defensa procesal, estaría protegido por el secreto profesional; no
así cuando actúa como gestor en cuyo caso le cabe el deber de información. En
relación a su actuación como asesor jurídico, manifiesta la autora que el
abogado se mueve en una zona gris.
Estimo
por mi parte que quizás la diferencia la podamos encontrar entre aquellos abogados
que trabajan en empresas y que están matriculados, de los que no lo están. Pero
esto también es relativo ya que la función de todo abogado se vincula con la
tutela judicial efectiva y sólo en tal medida se debe a su cliente; es un
colaborador de la justicia, sea independiente o no.
Aunque
el problema no quedaría zanjado, a mi juicio, luego de que Gobbi manifiesta en el escrito citado más arriba, que por las dudas,
no resulta conveniente que el abogado interno tenga la responsabilidad de hacer
cumplir el compliance (Compliance
Officer). Con tales afirmaciones, como podemos apreciar, no tenemos la
situación resuelta[15].
En
Estados Unidos ha surgido la teoría del “work
product” o “producto legal” a partir del leading case de la Corte Suprema de los EEUU sobre el derecho del
abogado cliente en relación a las comunicaciones entre los empleados y los
abogados internos de la empresa[16]. El Tribunal sostuvo allí
la protección contra la divulgación de los documentos, producto de las
“impresiones mentales” del investigador. Creo que con base en la protección
como “propiedad intelectual” del abogado, más que por una confidencialidad
intrínseca. Lo cierto es que tales
afirmaciones lograron que algunos autores[17]sostuvieran que el “work product” podría referirse a todo
el trabajo incorporado en la carpeta de su cliente, que adquiere así la
característica de “confidencial”.
Si
lo comparáramos con el secreto profesional médico, podríamos afirmar que así
como el secreto y la confidencialidad se guardan en la historia clínica, el
secreto del abogado se preserva en la carpeta del cliente.
Otra
cuestión a considerar, que resultaría de suma importancia a fin de despejar
todo tipo de dudas, es si el secreto profesional protege al confidente, o al
profesional que receptó el secreto. Volviendo a la analogía con otras
disciplinas, el secreto profesional del médico por ejemplo, protege sin dudas
al paciente, que de esta forma se encontrará en libertad de manifestarle todos
sus síntomas, males y antecedentes suyos y de su familia, y así puede el galeno
llegar a un diagnóstico más efectivo. Sería la contra cara del derecho a la
confidencialidad que tiene el paciente. La doctrina se encuentra dividida en
relación al abogado. Por otra parte la obligación de guardar secreto por parte
del médico no es absoluta, puede ser dispensada por “una causa legal”. ¿Es
también así en relación al abogado? Tampoco acá la doctrina no es pacífica.
Por
todo lo expuesto es que se hace indispensable un debate sobre este desafío
complejo que presenta la Ley de Responsabilidad Penal de las Personas
Jurídicas, pues ha provocado un cambio fundamental: el traspaso a las empresas privadas
de una función eminentemente pública, como lo es la prevención de delitos. Es
por eso que en aras de garantizar la seguridad jurídica y unificar criterios, será muy importante el papel de los códigos de
ética y por ende, el de los Colegios Profesionales los que deberían expedirse
sobre estos temas.
[1] El
Decreto 277/18-PEN le otorga a la Oficina Anticorrupción la capacidad de dictar
guías para los programas de compliance
[2] REASON,
James comparó los sistemas humanos a varias rebanadas de queso suizo que se
apilan.
[3] Organización
Mundial de la Salud OMS “Código de Etica y Conducta Profesional” de Abril de
2017http://origin.who.int/about/ethics/code_of_ethics_full_version.pdf
[4]
Sancionada el 4/10/2000
[5]
Decreto 1558/01 modificado por Decreto 1160/10
[6] Si
bien la primera ley de confidencialidad de datos en nuestro país fue la Ley
24.766 sancionada en 1996, la misma se refiere exclusivamente a la protección
de datos de prueba de los medicamentos innovadores y se dictó como
complementaria de la ley de patentes.
[7]
PALAZZI, Pablo A “Compliance y protección de datos personales”
[8] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32003D0490&from=ES
(última entrada 1/4/2020)
[12]
“HALABI, Ernesto c. PEN – 25873-Dcto. 1563/04 s/amparo ley 16.986” – 24-2-09.
Fallos:332:111
[13]
GOBBI, Marcelo “Abogacía interna en la Argentina. Reflexiones a partir de una
sentencia europea sobre confidencialidad de la comunicación entre clientes y
abogados”- Revista del Colegio de Abogados de la Ciudad de Bs. As. T° 68 N°2 ,
2008
[14]
GOENA VIVES, Beatriz “El secreto profesional del abogado in-house en la
encrucijada: tendencias y retos en la era del compliance” –Revista Electronica
de Ciencia Penal y Criminología 2019, N° 21-19, pp. 1-26
[15] Los
Chief Compliance Officer , como los que elaboran los programas deben ser
abogados debido al conocimiento profundo de la normativa que deben poseer y
porque deben llevar adelante las investigaciones. Es una tarea en la que deben
empezar a formarse mis colegas.
[17]
LOPEZ MIRÓ, Horacio G.:”La prueba confesional, el privilegio de
confidencialidad y el derecho de rehusarse a responder”, LL Litoral 1999, 515
No hay comentarios:
Publicar un comentario