Antes de dar respuesta de forma puntual respecto de las obligaciones de las empresas en materia de seguridad física y patrimonial dentro de sus instalaciones, debemos señalar que la regulación de las instalaciones de los establecimientos mercantiles en México se trata de una atribución concurrida entre la federación, las entidades federativas y los municipios, lo cual hace complicado generalizar las obligaciones.

La misma situación ocurre con el caso de América Latina; no obstante, podemos precisarlas, ya que muchas legislaciones en America Latina son similares, sin embargo, no son iguales a la mexicana.

En el caso particular de México, para poder dar un ejemplo puntal, tomaremos como referencia la Ciudad de México. En este punto en específico, debemos considerar dos legislaciones, a saber:

1. 1. 1. Ley de Establecimientos Mercantiles para el Distrito Federal
      2. Ley de Gestión Integral de Riesgos y Protección Civil de la Ciudad de México

En el caso de la Ley de Establecimientos Mercantiles para el Distrito Federal, establece la responsabilidad directa de los titulares o dueños de los establecimientos, la seguridad de las personas que se encuentren dentro de sus instalaciones.

Derivado de lo anterior, tiene obligación de cumplir con las normas y obligaciones directas derivadas de la gestión integral de riesgos y protección civil, incluso, -dependiendo del aforo y del giro de los servicios que se presten-, tienen la obligación de contratar seguridad privada permisionada y la instalación de cámaras de videovigilancia.

A efecto de cumplir con lo anterior, se les obliga a presentar programas internos de seguridad, así como de protección civil. Los programas deben contemplar un análisis de riesgos y un plan y programa de acciones, aplicable, tanto en seguridad como en protección civil. Toda medida de mitigación que se llegue a adoptar debe ser justificada y autorizada por las autoridades reguladoras de seguridad, gestión integral de riesgos, protección civil y edificaciones.

Este esquema jurídico es similarmente replicado en las entidades y municipios de la República Mexicana.

Cualquier daño o perjuicio que se genere por la omisión de cumplir con las obligaciones aplicables en materia de seguridad, gestión integral de riesgos y protección civil es responsabilidad de la empresa.

Las responsabilidades en las que puede incurrir la empresa son:

1. 1. 1. Civil
      2. Penal
      3. Administrativa

La responsabilidad civil implica que la empresa deberá pagar los daños y perjuicios que se generen a las víctimas, debe reparar los daños patrimoniales, morales, pérdida de ganancias, daño al proyecto de vida o daños punitivos, entre otros.

La Suprema Corte de Justicia de la Nación ha interpretado que se trata de un derecho humano la reparación integral de los daños, es decir, no sólo se trata de pagar dinero o restituir del bien dañado, sino de que se tenga una visión multiple en la que se alcance a determinar el daño y sus alcances.

La responsabilidad penal implica que la empresa y sus socios, son responsables por la comisión de algún delito que se realice con motivo de la omisión de las acciones derivadas en materia de seguridad, gestión integral de riesgos y protección civil, esto incluye pena corporal para los socios y reparación del daño para la empresa, incluso puede ser condenada a disolverse y liquidarse.

Por poner un ejemplo; si alguna persona llegase a fallecer por causa de las omisiones de seguridad y protección civil, la empresa y los socios pueden ser imputados de homicidio.

La responsabilidad administrativa implica que se le imponga una multa económica, la suspensión temporal de actividades o la clausura del establecimiento mercantil; incluso puede llegar a revocarse él o los permisos de actividades de su giro comercial. Esto incluye permisos de seguridad privada, de establecimientos mercantiles, de gestión integral de riesgos y protección civil.

Al igual que la respuesta anterior, los riesgos legales son civiles, penales y administrativos.

Muchas empresas se preocupan por ahorrar dinero y pagar menos a los elementos operativos; sin embargo, el riesgo es alto, pues una empresa que no cumple con las obligaciones regulatorias de la prestación de servicios de seguridad privada, no cumple con estándares mínimos de la calidad de los servicios como son capacitación, garantías por daños, equipamiento adecuado y lícito, personal que cumple con filtros de revisión de antecedentes laborales y penales, que cuenta con un establecimiento mercantil para responder por el cumplimiento de las obligaciones regulatorias, sujeto a revisiones por parte de la autoridad regulatoria.

Al contar con los estándares mínimos, el riesgo de contratar una empresa sin cumplir con el marco regulatorio de seguridad es trasladado a la empresa usuaria y ésta, a su vez, lo traslada a sus empleados, visitantes y clientes.

De acuerdo a lo anterior, comparten la responsabilidad, pues no se trata de una responsabilidad exclusiva de la empresa de seguridad privada, pues la empresa usuaria de forma razonada contrata a una empresa irregular, por lo que, no puede excusarse en que no es un incumplimiento de su parte, siendo que es totalmente responsable.

Dependiendo de los daños que se lleguen a realizar, como ya se ha dicho, la responsabilidad podrá ser civil, penal o administrativa, es decir, será corresponsable por el pago de daños y perjuicios, por el delito que se cometa y por la falta administrativa en que incurra.

Se hace notar que las responsabilidades no necesariamente pueden ser directas, sino indirectas, es decir, no será quien cometa el delito directamente, pero si será quien haya facilitado a que se cometa; no será quien dañe directamente a las víctimas, pero si es corresponsable por poner en riesgo a las personas bajo el resguardo de empresas que no cumplen con el marco regulatorio, entonces ella misma provoca esa irregularidad y administrativamente no tendrá una sanción de los reguladores de seguridad privada, pero si puede ser sancionado por la ley de establecimientos mercantiles o de gestión integral de riesgos.

Las normas oficiales mexicanas, jurídicamente son conocidas como softlaw, es decir, no se trata de un marco estrictamente obligatorio, pero si ayudan a acreditar el cumplimiento de la regulación de la legislación de seguridad privada, así como el respeto a los derechos humanos.

No es obligatoria, porque de forma sustantiva la Constitución Política de los Estados Unidos Mexicanos los regula en el artículo 21, el cual, también es aplicable a los prestadores de servicios de seguridad privada.

La NOM ayuda a guiar a los prestadores de servicios de seguridad privada, a realizar sus servicios con estándares y procesos en cumplimiento a la legislación y los derechos humanos; sin embargo, la autoridad regulatoria no la tomará en cuenta al momento en que realice una visita de verificación administrativa o ante la violación de derechos humanos, pues la legislación contempla procesos legales específicos para corroborar el cumplimiento de las obligaciones legales.

Amén de lo anterior, la ISO 18788 sólo es un enfoque específico, siendo que actualmente el cumplimiento regulatorio es mucho más abierto, requiere un proceso de análisis de riesgos, establecimiento de un plan y programa de trabajo y acciones, así como procesos de mejora continua. El compliance es transversal, es decir, abarca todas las series de derechos involucrados, no sólo derechos humanos, así como todos los procesos en todas las áreas de la empresa.

Puede ser una guía de apoyo para el cumplimiento regulatorio, pero no constituye su totalidad.

Se sugiere que se revisen metodologías jurídicas actualizadas como lo es el cumplimiento regulatorio o compliance, la cual aplica para todo el marco jurídico aplicable a la seguridad, ya sea en empresa o como seguridad interna.

Tal y como lo afirmé en la respuesta anterior, el compliance o cumplimiento regulatorio es una metodología que ayuda a que se integre el cumplimiento normativo en sus estrategias de gestión de riesgos y responsabilidad jurídica, por consiguiente, tendrán mejor responsabilidad social.

En efecto, no sólo se trata de cumplir con la regulación jurídica en la operación de seguridad, sino en la gestión laboral, fiscal, ambiental, administrativa, civil, penal, entre otras.

Cada día la regulación normativa es más exigente, ello requiere no sólo un cumplimiento legal, sino la creación de una estrategia de cumplimiento regulatorio integral, pues una empresa puede ser muy buena operando, pero mala en el pago de impuestos, o en el cumplimiento de la legislación en materia del trabajo, o en la gestión de riesgos ambientales, entre otros.

El cumplimiento regulatorio actual no solo se basa en el cumplimiento parcial de la legislación en la parte de la operación, sino en una integralidad de las normas aplicables a la empresa.

Precisamente la vision de cumplimiento parcial ha hecho que las autoridades cada día endurezcan la regulación, en particular de las empresas de seguridad privada, ya que solo se preocupan por obtener el permiso, por poner un ejemplo, pero omiten pagar puntualmente a su personal, cubrir las cuotas de seguridad social, pagar los impuestos locales, entre otros.

De acuerdo con lo anterior, si una empresa tiene la intención real de cumplir con la regulación de su operación, entonces debe realizar un estudio integral de las normas que le son aplicables, hacer un análisis de riesgos jurídicos y determinar en donde se encuentra realmente, para entonces generar un plan y programa de trabajo que tenga como finalidad el mayor grado de cumplimiento regulatorio, no sólo de la legislación de seguridad privada, sino de todo lo que le aplica a la empresa.

El uso de Tecnologías de la Información requieren el cumplimiento de la Ley Federal de Protección de Datos Personales en posesión de los particulares.

La Ley Federal de Protección de Datos Personales en Posesión de Particulares protege los derechos a la protección de datos personales, a la intimidad, privacidad, así como a la propia imagen, y se protegen a través del tratamiento de la información personal sistematizada.

Toda persona que use, obtenga, transfiera o de tratamiento de datos personales está obligada a cumplir con la legislación de protección de datos personales. El uso de Tecnologías de la Información implica el tratamiento de datos personales, por ello el uso de videovigilancia, control de accesos y monitoreo digital requiere el estricto cumplimiento de la legislación de datos personales en posesión de los particulares.

Las obligaciones consisten en obtener y tratar datos personales de forma legítima, lícita, apropiada, justa, no excesiva y necesaria. El incumplimiento de los principios de tratamiento puede implicar una violación a los derechos a la intimidad, privacidad y a la propia imagen, lo cual puede ser de un impacto muy profundo para los particulares.

Seguir los procesos y principios de tratamiento es fundamental para cumplir con el derecho a la protección de datos personales, su incumplimiento puede implicar un delito, de los previstos en la propia legislación especial,  hasta afectación a la intimidad de la persona, la cual puede demandar responsabilidad civil por el mal uso de la información y su condena puede ser millonaria, dependiendo del caso en concreto.

Amén de lo  anterior, tal y como lo dije al inicio, la Ley de Establecimientos Mercantiles, para el caso de la Ciudad de México, exige que para el uso de videovigilancia se requiera la autorización de la autoridad reguladora local, previa la presentación de un análisis de riesgos que lo justifique, así como los requisitos administrativos correspondientes para que se permita el uso de los sistemas de videovigilancia en los establecimientos mercantiles.

Con la finalidad de proteger a su personal, clientes y usuarios debe actuar bajo el principio que rige la responsabilidad civil que es la debida diligencia, la cual consiste en hacer todo lo necesario para el cuidado y protección de las personas; algunos autores civilistas ejemplifican como la relación entre padre e hijo, es decir, como el padre cuidaría de un hijo.

De acuerdo a lo anterior, las empresas deben hacer todo lo necesario para el cuidado y protección de sus empleados, usuarios y clientes.

Además de realizar las acciones necesarias de cuidado, debe colaborar y auxiliarse de la mano de la autoridad encargada de la seguridad ciudadana y de las autoridades de procuración de justicia, es decir, tiene la obligación de denunciar los hechos ante el Ministerio Público o los agentes de seguridad, para que estos puedan ejercer sus facultades monopólicas de procuración de justicia.

En ese mismo orden de ideas, la forma de colaborar con la autoridad es proporcionarle todos los elementos de prueba que sean necesarios para que se realicen las investigaciones correspondientes, desde información que conozcan o que tengan en su poder, la información que obre en sus sistemas de videovigilancia, datos personales de las personas que puedan estar en calidad de víctimas y empleados, usuarios o clientes.

En caso de que no actúen de forma adecuada, podría considerarse como coparticipe del delito, por ello es importante que actúe de forma correcta ante las autoridades y no oculte datos o información, mucho menos hechos que involucren delitos de esta naturaleza.

El cumplimiento de tratados internacionales en materia de derechos humanos, gestión integral de riesgos, seguridad y protección de datos personales, puede ser una guía homogénea para que se armonicen las políticas de seguridad corporativa de la empresa.

Partiendo de esa base, es mucho más sencillo dar cumplimiento a las legislaciones locales en materia de gestión integral de riesgos, seguridad y protección de datos personales, ya que los tratados internacionales de la región están basados en el derecho internacional.

Asimismo, seguir como ejemplo políticas de países con mayor protección de derechos humanos y técnicas de seguridad innovadoras como el caso de España, pueden ayudar mucho a que las políticas corporativas cumplan con estándares internacionales con mayor sencillez.

Como ejemplo podemos poner la legislación española de protección de datos personales, la mayoría de las legislaciones latinoamericanas tomaron como modelo la misma, e incluso la mayor exigencia regulatoria para compartir datos personales entre los países latinoamericanos y europeos, es bajo los estándares de la normativa española.

La misma suerte ocurrió con la legislación en materia de seguridad privada, países como México tomaron el modelo administrativo de regulación de los prestadores de servicios de seguridad privada. Aún cuando la misma ya ha quedado en la obsolescencia, se sigue con el mismo modelo en la mayoría de los países latinoamericanos.

Voltear a la regulación de la Unión Europea puede ser un buen ejercicio de regulación marco, el cual puede ser adaptado a las políticas corporativas. Es preferible que la política de seguridad de la empresa beneficie a las personas y se tome como softlaw, a que se considere una norma violatoria de derechos humanos o de la legislación local, situación que puede perjudicar en la imagen de la empresa y puede ser de mucho más daño a la larga.

Mi principal recomendación es que no estimen en el cumplimiento regulatorio, ya que es la base del negocio de seguridad. Una empresa que simula el cumplimiento regulatorio, simula los servicios de seguridad.

No se puede decir prestador de servicios de seguridad, cuando fomenta la corrupción, maquilla el cumplimiento de la legislación, evade el pago de seguridad social e impuestos, no paga a tiempo las pólizas de fianzas.

Todo lo anterior deja en estado de indefensión a los clientes, a los empleados, a los usuarios y a la ciudadanía en general.

El incumplimiento regulatorio es un riesgo de alto grado, no solo de una sanción administrativa, sino de una demanda millonaria, de que se impute a los socios de la empresa un delito por no haber cumplido con el cumplimiento regulatorio o la evasión de impuestos.

Debe crearse un área específica que dé estricto cumplimiento a la regulación normativa, contratar asesores profesionales especializados por materia, por lo menos, en cumplimiento regulatorio.

Que se realicen dictámenes de cumplimiento regulatorio, planes y programas para su ejecución, y se mejore continuamente los procesos con la finalidad de crear una cultura de cumplimiento legal y ética.

Una segunda sugerencia es la capacitación a todo el personal de la empresa, ello será una medida de mitigación para evitar daños o perjuicios derivados de la operación de seguridad, tanto en los procesos básicos de seguridad, derechos humanos, atención al cliente, cumplimiento regulatorio, aspectos jurídicos de sus funciones, responsabilidades civiles, penales y administrativas.

Un personal capacitado además de mitigar riesgos generará una mejor prestación de servicio.

El cumplimiento regulatorio y la capacitación no son gastos, son inversiones que a la larga impactan en la prestación de los servicios y en la satisfacción del cliente.

Finalmente, mi sugerencia es que se apueste por el compliance o cumplimiento regulatorio, que debe ir de la mano con procesos documentos y un gobierno corporativo firme.

El cumplimiento de los procesos corporativos y legales aportará mucho a una cultura de cumplimiento regulatorio; será más sencillo detectar áreas de oportunidad y poderlas corregir.

La seguridad privada es considerada como una función auxiliar de la seguridad pública. De acuerdo con lo anterior, de forma general, al formar parte del sistema nacional de seguridad pública, el marco jurídico de seguridad pública es aplicable a la seguridad privada.

Debe considerarse que la seguridad privada sólo aplica para el ámbito privado, es preventiva y auxiliar. Entonces no actúa como parte de los protocolos reactivos de la seguridad pública; no tiene facultades de detención ni como primer respondiente.

Tomando en cuenta lo anterior, la acotación que tiene la seguridad privada es que se trata de una prestación de servicios entre particulares, se rige por las normas de derecho civil, sin embargo, se trata de una actividad regulada por el Estado y éste establece bases mínimas para la prestación del servicio a través de la Ley General del Sistema Nacional de Seguridad Pública, la Ley Federal de Seguridad Privada y su Reglamento, así como las legislaciones estatales de seguridad privada y sus reglamentos.

Debe considerarse, como lo mencioné anteriormente, que la regulación es transversal; no sólo se trata de una regulación especial aislada, por lo que impacta la Ley Federal del Trabajo, la Ley Federal de Protección de Datos Personales en Posesión de los particulares, las legislaciones de establecimientos mercantiles, las legislaciones de gestion integral de riesgos y protección civil, las legislaciones de seguridad social, las legislaciones fiscales, tanto federales como estatales, las legislaciones de protección al medio ambiente y de protección animal, entre otras.

El alto nivel regulatorio actual es lo que hace que se generen áreas de cumplimiento regulatorio en las empresas, para coordinar los procesos internos de la empresa con la finalidad de prestar el servicio y cumplir con la regulación legal.

La regulación multidisciplinaria afecta en la operación de la empresa, ya que pretender cumplir con el marco regulatorio de forma puntual se vuelve muy complejo y ello afecta en sanciones económicas, pero sobre todo afecta en la imagen de la empresa. Actualmente con las redes sociales puede dañar más un evento mal manejado por cualquier empleado de la empresa, que una propia visita de las autoridades regulatorias.

Las empresas que realmente quieren trascender tienen que dejar la vision de sólo obtener el permiso, o de poner a un “gestor de trámites”, ya que, a la larga, le va a afectar no tomar en serio el cumplimiento regulatorio. Incluso dentro de los profesionales del derecho, el cumplimiento regulatorio no es para cualquier abogado, se requiere un especialista de cumplimiento regulatorio o por lo menos un especialista que conozca del negocio de la seguridad. Esto no se trata de juicio, cobranza, demandas laborales, sino de la creación de programas de cumplimiento regulatorios, de generar una cultura dentro de la empresa para hacer conscientes al personal de los beneficios de cumplir con la ley.

La principal afectación es la económica, pero precisamente eso es lo que va a hacer distinguir a las empresas profesionales y los verdaderos prestadores de servicios de seguridad privada de las pseudo cumplidoras o de las empresas “patito”. Una empresa irregular ya no será solo la que no tiene permiso, sino que será la que cumpla en un porcentaje general las obligaciones legales y regulatorios de forma integral, aquellas que no cuenten con un programa de cumplimiento regulatorio o que no cuenten con un área especializada de cumplimiento regulatorio.

La omisión a este nuevo esquema dañará la imagen de la empresa y la considerará como una empresa incumplidora, irregular o hasta ilegal.