Galliani Abogados & Asesores

30/12/2025

𝘿𝙞𝙧𝙚𝙘𝙩𝙧𝙞𝙘𝙚𝙨 𝙙𝙚 𝙡𝙖 𝘼𝙀𝙋𝘿 𝙥𝙖𝙧𝙖 𝙡𝙖 𝙧𝙚𝙖𝙡𝙞𝙯𝙖𝙘𝙞𝙤𝙣 𝙙𝙚 𝙡𝙖𝙨 𝙀𝙫𝙖𝙡𝙪𝙖𝙘𝙞𝙤𝙣𝙚𝙨 𝙙𝙚 𝙄𝙢𝙥𝙖𝙘𝙩𝙤 𝙚𝙣 𝙡𝙖 𝙋𝙧𝙤𝙩𝙚𝙘𝙘𝙞𝙤𝙣 𝙙𝙚 𝘿𝙖𝙩𝙤𝙨

Siempre que se traten datos de carácter personal, de cualquier tipo, se deberá cumplir con los principios y obligaciones de analizar los riesgos concurrentes UNO A UNO y asegurarse, DE FORMA PRIORITARIA, que el nuevo tratamiento sea 𝒊𝒅𝒐𝒏𝒆𝒐, 𝒏𝒆𝒄𝒆𝒔𝒂𝒓𝒊𝒐 𝒚 𝒑𝒓𝒐𝒑𝒐𝒓𝒄𝒊𝒐𝒏𝒂𝒍 (art. 5.1. del RGPD).

Al respecto de una resolución sancionadora de más de 10 millones de euros (AENA), por incumplimiento de diversos requerimientos del art. 35 RGPD, relativo a la realización de una evaluación de impacto en la protección de datos (EIPD) que, por la relevancia de dicha herramienta estratégica en caso de la existencia de datos de categoría especial (arts. 9.1 y 10 RGPD) o tratamientos con riesgo adicional como 𝒈𝒆𝒐𝒍𝒐𝒄𝒂𝒍𝒊𝒛𝒂𝒄𝒊𝒐𝒏, 𝒗𝒊𝒅𝒆𝒐𝒗𝒊𝒈𝒊𝒍𝒂𝒏𝒄𝒊𝒂, 𝒑𝒆𝒓𝒇𝒊𝒍𝒂𝒅𝒐, 𝒄𝒐𝒍𝒆𝒄𝒕𝒊𝒗𝒐𝒔 𝒗𝒖𝒍𝒏𝒆𝒓𝒂𝒃𝒍𝒆𝒔, etc., de acuerdo a las listas orientativas de tratamientos que requieren una EIPD de la AEPD y del Comité Europeo de Protección de Datos (CEPD).

La EIPD debe ser 𝕡𝕣𝕖𝕧𝕚𝕒 al inicio del tratamiento y no bastará con realizarla, sino que la 𝙢𝙞𝙨𝙢𝙖 𝙙𝙚𝙗𝙚𝙧𝙖 𝙨𝙪𝙥𝙚𝙧𝙖𝙧𝙨𝙚, 𝙧𝙚𝙫𝙞𝙨𝙖𝙧𝙨𝙚 𝙮 𝙖𝙘𝙩𝙪𝙖𝙡𝙞𝙯𝙖𝙧𝙨𝙚 𝙙𝙪𝙧𝙖𝙣𝙩𝙚 𝙚𝙡 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙫𝙞𝙙𝙖 𝙙𝙚 𝙡𝙤𝙨 𝙙𝙖𝙩𝙤𝙨 y no puede limitarse a constituir un mero documento formal para el cumplimiento de la ley, sino que ha de analizar de forma global todos los riesgos, las garantías y las medidas, además, siempre sometido al "𝙩𝙧𝙞𝙥𝙡𝙚 𝙟𝙪𝙞𝙘𝙞𝙤 𝙙𝙚 𝙥𝙧𝙤𝙥𝙤𝙧𝙘𝙞𝙤𝙣𝙖𝙡𝙞𝙙𝙖𝙙".

18/09/2025

𝐀𝐮𝐭𝐨𝐫𝐢𝐝𝐚𝐝 𝐈𝐧𝐝𝐞𝐩𝐞𝐧𝐝𝐢𝐞𝐧𝐭𝐞 𝐝𝐞 𝐏𝐫𝐨𝐭𝐞𝐜𝐜𝐢ó𝐧 𝐝𝐞𝐥 𝐈𝐧𝐟𝐨𝐫𝐦𝐚𝐧𝐭𝐞, 𝐀𝐀𝐈 (𝐀𝐈𝐍𝐏𝐈)

Según dispone la Orden PJC/908/2025, de 8 de agosto, con fecha 1 de septiembre ha entrado en funcionamiento la AAI lo que contribuye a dar certidumbre y seguridad jurídica a los informantes y entidades obligadas y, en general, a todos los interesados.

Aunque este organismo se encuentra en su periodo inicial de trabajo de desarrollo de su sitio web y Sede Electrónica, los obligados a disponer del Sistema de Protección al Informante deberán comunicar quiénes son los responsables de su gestión, así como los canales de comunicación puestos a disposición para la recepción de informaciones, a través de los medios puestos a disposición por la entidad en su página web (https://www.proteccioninformante.gob.es/pagina/index/directorio/Aviso)

Es necesario tener en cuenta:

- Empresas obligadas: Están obligadas a tener un Sistema Interno de Información (canal de denuncias) y a comunicarlo a la A.A.I. todas las e̳m̳p̳r̳e̳s̳a̳s̳ ̳d̳e̳ ̳5̳0̳ ̳o̳ ̳m̳á̳s̳ trabajadores, así como entidades del sector público y privado en sectores específicos (como el financiero, prevención de blanqueo de capitales, etc.), tal como establece la Ley 2/2023.
- Plazo de comunicación: Las empresas obligadas deben realizar la comunicación de su sistema y responsable a la A.A.I. dentro del plazo de un mes desde su puesta en funcionamiento, esto es, a̳n̳t̳e̳s̳ ̳d̳e̳l̳ ̳1̳ ̳d̳e̳ ̳o̳c̳t̳u̳b̳r̳e̳ ̳d̳e̳ ̳2̳0̳2̳5̳.

31/07/2025

Reclamación por Resp. Patrimonial de las AAPP (I). Concepto y Requisitos.

Regulada por los arts. 32 y ss. de la Ley 40/2015 LRJSP, en base al principio general de resarcimiento por las AAPP de los daños y perjuicios causados por el funcionamiento de los servicios públicos, y sancionado por la CE artículo 106.2.

Es necesaria la concurrencia de los siguientes requisitos:
1. Exista un daño efectivo, evaluable económicamente e individualizado.
2. El daño sea imputable a una AAPP.
(lo más complejo) en base a cuatro títulos de imputación respecto de una lesión concreta:
* Se produzca como consecuencia directa del ejercicio ordinario del servicio público.
* Que obedezca a una anormalidad o no funcionamiento del servicio público
* Que exista una situación de riesgo creado por la AAPP.
* Que se produzca un enriquecimiento injusto por parte de la AAPP.
3. El elemento procedimental es el de que se formule la oportuna reclamación ante la AAPP en el lapso
de un año, a contar desde la producción de la lesión.

👇👇👇

20/05/2025

-ce

06/05/2025

25/02/2025

La ausencia de un programa de facilta la comisión de delitos.

STS Penal 192/2019

La ausencia de programas de cumplimiento normativo de compliance en el sector empresarial (STS 316/2018 de 28 Jun. 2018, Rec. 2036/2017 y 365/2018 de 18 Jul. 2018, Rec. 2184/2017) es decir, defectos en el control interno hacia las personas que tienen conferidas el poder de dirección o materialización de actividades relevantes provoca el riesgo de la existencia de delitos de apropiación indebida, estafa, administración desleal, y falsedades al no poder concebirse la obligación del artículo 31 bis y ss del CP.

Es exigible a las empresas la obligación de implantar estos modelos para evitar la denominada que pueda suponer que directivos o personas con apoderamientos expresos puedan encontrar facilidades para llevar a cabo estas conductas.

17/01/2025

𝗣𝗲𝗻𝗮𝘀 𝗮𝗽𝗹𝗶𝗰𝗮𝗯𝗹𝗲𝘀 𝗮 𝗹𝗮𝘀 𝗣𝗣𝗝𝗝

Se encuentran reguladas en el art 33.7 CP (graves), y son:

• Multa por cuotas o proporcional.
• Disolución de la persona jurídica, que producirá la pérdida definitiva de su personalidad jurídica.
• Suspensión de sus actividades por un plazo que no podrá exceder de cinco años.
• Clausura de sus locales y establecimientos por un plazo que no podrá exceder de cinco años.
• Prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito de forma temporal o definitiva.
• Inhabilitación para obtener subvenciones, contratar con el SSPP y para g***r de beneficios e incentivos fiscales.
• Intervención judicial.

No obstante, en el marco de grandes corporaciones, 𝙡𝙖𝙨 𝙘𝙤𝙣𝙨𝙚𝙘𝙪𝙚𝙣𝙘𝙞𝙖𝙨 𝙧𝙚𝙥𝙪𝙩𝙖𝙘𝙞𝙤𝙣𝙖𝙡𝙚𝙨 𝙮 𝙙𝙚𝙧𝙞𝙫𝙖𝙙𝙖𝙨 𝙙𝙚 𝙡𝙖 𝙞𝙣𝙚𝙫𝙞𝙩𝙖𝙗𝙡𝙚 𝙧𝙚𝙥𝙚𝙧𝙘𝙪𝙨𝙞ó𝙣 𝙢𝙚𝙙𝙞á𝙩𝙞𝙘𝙖 𝙥𝙪𝙚𝙙𝙚𝙣 𝙨𝙚𝙧 𝙞𝙣𝙘𝙡𝙪𝙨𝙤 𝙢𝙪𝙘𝙝𝙤 𝙢á𝙨 𝙙𝙖ñ𝙞𝙣𝙖𝙨, ver perjudicada su imagen y prestigio ante clientes, inversores, grupos de interés o, entre otros, ante los propios organismos reguladores.

30/10/2024

𝔸𝕟á𝕝𝕚𝕤𝕚𝕤 𝕕𝕖 𝕝𝕒 𝕆𝕣𝕕𝕖𝕟 ℍ𝔽ℙ/𝟙𝟘𝟛𝟘/𝟚𝟘𝟚𝟙, 𝕕𝕖 𝟚𝟡 𝕕𝕖 𝕤𝕖𝕡𝕥𝕚𝕖𝕞𝕓𝕣𝕖. 𝕄𝕖𝕕𝕚𝕕𝕒𝕤 𝕒𝕟𝕥𝕚𝕗𝕣𝕒𝕦𝕕𝕖. ℂ𝕠𝕞𝕡𝕝𝕚𝕒𝕟𝕔𝕖.

Se trae a colación tras la aprobación del TC (I1.588 de 28.10.24) del 1er informe de fiscalización de gestión y procedimientos de control de los fondos “Next Generation” (función fiscalizadora arts. 2.a), 9 y 21.3.a LOTC).

Dicha Orden configura y desarrolla un sistema de gestión (definir, planificar, ejecutar, seguir y controlar) los proyectos PRTR, por la que toda entidad deberá disponer de un «Plan de medidas antifraude» para garantizar y declarar que, los fondos se han utilizado conforme a las normas aplicables, y sobre todo en lo referido a la prevención, detección,  corrección del fraude, corrupción y los conflictos de intereses.

El análisis junto con el del informe (I1.545 de 28.12.23) sobre medidas aprobadas por entidades del sector público estatal en el marco del PRTR, concluye con estas 𝙧𝙚𝙘𝙤𝙢𝙚𝙣𝙙𝙖𝙘𝙞𝙤𝙣𝙚𝙨:

1. Antifraude e integridad pública, promover la Estrategia Nacional Antifraude (Norma Marco).
2. Planes antifraude (PA), plena eficacia de manera progresiva por experiencia acumulada y extensión de su aplicación.
3. Prevención, análisis de riesgos (metodología propia), desarrollo de CE adaptados a sus PA, procedimiento de conflicto de intereses, mantenimiento de registros, protocolos de regalos y atenciones (valor estimado).
4. Detección, canales internos y revisión del catálogo de alertas o banderas rojas.
5. Corrección y persecución, protocolos que eviten que se extienda el daño y garantizar una ágil y efectiva recuperación de los fondos aplicados.
6. Test de conflicto de interés, prevención del fraude y la corrupción, autoevaluación como documentación que se incorpora a la plataforma “CoFFEE” (art. 11).

10/10/2024

Responsabilidad Penal de las personas jurídicas y Compliance en el Sector Público (II)

Tal como comentamos en el post anterior, las PPJJ podrían ser declaradas penalmente responsables de “determinados delitos” (numerus clausus) cuyas consecuencias pueden ser severas, afectando su reputación y estabilidad financiera, siendo uno de ellos (más común de lo que debería) la malversación previsto en el Capítulo VII, dentro del Título XIX, “Delitos contra la Administración pública”, que recoge en los artículos 432 a 435 bis las conductas constitutivas del citado delito y la responsabilidad penal de las PPJJ artículos 435.5º y 31 bis del CP.

En el sector público en general se deberia disponer de una "Guia" - Compliance Program - que contenga además de los datos objetivos y una pequeña introducción, las recomendaciones generales para la prevención de este tipo delictivo, algunas de ellas pueden ser las siguientes:

• Facilitar información y formación específica a las autoridades, los funcionarios públicos y los empleados que intervengan en los procedimientos de contratos públicos, subvenciones, urbanísticos, medio ambientales, gestión de personal y rrhh, entre otros.
• Establecer protocolos de gestión y administración del patrimonio público.
• Crear servicios especializados en las materias.
• Diseñar canales para el intercambio de información y guías de buenas prácticas.
• Habilitar los canales de denuncias respectivos.
• Aprobar códigos de buenas prácticas
• Realizar auditorías internas de control
• Indicar el régimen disciplinario aplicable en caso de conductas que infrinjan el Código ético de la entidad.

03/10/2024

Prevención del riesgo y responsabilidad penal de las personas jurídicas (I)

La reforma del CP por LO 5/2010 supuso la quiebra del principio tradicional 'societas delinquere non potest' (imputación individual de la culpabilidad) por otro en el que las PPJJ podrían ser declaradas penalmente responsables de determinados delitos cometidos en el ejercicio de su cargo por sus administradores de hecho o de derecho, y por quienes hayan estado sometidos a su autoridad.

Posteriormente, la LO 1/2015 introdujo importantes cambios respecto de la regulación anterior. (Art. 31 bis 1 del CP) todo complementado con la Circular 1/2016 de la Fiscalia General del Estado.

Las PPJJ son destinatarias de las normas penales, y sobre ellas existen expectativas de conducta, respecto de las cuales puede hablarse de cumplimiento o incumplimiento en forma autónoma, y por ello de responsabilidad.

El fundamento o los criterios de imputación de la responsabilidad penal de la PPJJ a que se refiere el artículo 31 bis del CP se agrupa en torno a dos modelos contrapuestos (que analizaremos en futuras publicaciones) como son:
* Sistema de hererorresponsabilidad, responsabilidad vicarial, indirecta, derivada o por transferencia.
* Sistema de autorresponsabilidad o de culpabilidad, atribuye la responsabilidad penal de las sociedades a una carencia o defecto en su organización corporativa.

En este sentido, cobra especial relevancia la postura del TS en su famosa Sentencia N° 154/2016 "bisiesta" que asume la autorresponsabilidad en base a los principios irrenunciables del derecho penal y es contraria al criterio de la FGE.

01/10/2024

Análisis del ‘colapso’ de Enron y con ello la disolución de Arthur Andersen.

Enron requería tener una inyección de liquidez constante, ratios de deuda/capital favorable, y un precio alto de las acciones. Sus directivos buscaron formas para eliminar la mayor cantidad de deuda posible, llevando a cabo toda una sería de prácticas irregulares y de mala gestión empresarial:

- La técnica de contabilidad ‘mark to market’ (contabilidad a valor razonable), legal pero de fácil manipulación, y

- Utilizando sociedades instrumentales (Special Purpose Entities, SPE., que permiten aumentar el apalancamiento y el rendimiento económico sin la obligatoriedad de informar de ello en el balance general.

Tras la quiebra se abrieron múltiples investigaciones, entre ellas a su empresa auditora, Arthur Andersen una de las cinco mayores compañías auditoras del mundo, hasta su práctica desaparición en 2002 que había integrado en los últimos años de existencia, en España, el despacho Garrigues & Andersen.

Tras la caída de Enron y un intenso debate público, se promulgó en Estados Unidos la Ley Sarbanes- Oxley en 2002. Dicha Ley, aun en vigor, introdujo una regulación más estricta con el fin de evitar que se repitan casos como este y cuyo objetivo es prevenir el fraude corporativo.

"Un Código Ético es la semilla del Compliance"