Por Tito Rodríguez
26 de setiembre de 2019.
Como viene siendo habitual, el Ilustre Colegio de Abogados de Barcelona (ICAB) vuelve a ser un punto de referencia en el sector tecnológico, en esta ocasión, por organizar conjuntamente con la Asociación Española de Compliance (ASCOM), su primer Congreso de Compliance. El evento, celebrado en la emblemática sede del Ilustre Colegio de Abogados de Barcelona los días 19 y 20 de septiembre, ha sido posible gracias al convenio de colaboración entre ambas organizaciones y apuesta por la responsabilidad, la honestidad y las buenas prácticas, trayendo como consigna el lema “sin ética no hay futuro”.
El encuentro se ha planteado como un evento en paralelo a la Feria Europea de la Tecnología Aplicada al Compliance, lugar de encuentro para conocer las aplicaciones de software de gestión de compliance y donde, además, se ha habilitado espacio para showrooms, networking y mesas tecnológicas para hablar sobre ciberseguridad, blockchain, generación de evidencias sobre la eficacia del compliance y canales de denuncia.
Asimismo, el congreso se organiza en tres paneles simultáneos de panorama general y tres de cuestiones avanzadas, desde El Jurista, hemos asistido a esta cita ineludible con el objetivo de analizar y compartir las novedades, herramientas y soluciones acerca del Compliance de la mano de las diversas organizaciones, instituciones y profesionales del derecho, así como compliance officers de primer nivel que trabajan día a día sentando las bases sobre esta materia.
Inauguración
La Ilma. decana del Colegio de la Abogacía de Barcelona, Mª Eugènia Gay, y la presidenta de ASCOM, Sylvia Enseñat de Carlos, han dado la bienvenida a los más de 150 asistentes que han participado en esta primera edición donde la ética ha sido el foco de referencia del congreso. Ambas han destacado el valor de la transparencia como eje vertebrador de la abogacía, una profesión que debe hacer suya ésta premisa (recordando que “sin ética, no hay futuro”); y concluyendo con la importancia de disponer de sistemas de cumplimiento normativo y compliance officers, para mejorar y favorecer la honestidad y transparencia en la gestión de las empresas tanto públicas como privadas.
“Disponer de sistemas de cumplimiento normativo, compliance y compliance officers, debe servir para mejorar y favorecer la honestidad y transparencia en la gestión de las empresas tanto públicas como privadas”.
El panorama general del Compliance a debate
En la primera mesa de debate, titulada “Empresario, trabajador y compliance officer: ¿una alianza inevitable?” representantes de Fomento del Trabajo, asociaciones empresariales (PIMEC), sindicatos (CCOO y UGT) y compliance officers, han debatido sobre la importancia de trabajar interrelacionándose entre ellos en el seno de la organización.
La segunda mesa de debate ha puesto su foco de atención en la necesidad de regulación de la actividad de los compliance officers; en este sentido, el debate se ha configurado entorno a cuáles son las presiones principales que reciben los compliance officers a la hora de desempeñar su labor, Sylvia Enseñat –presidenta de ASCOM– ha recordado que, para ello, autonomía, independencia, acceso a la información y recursos suficientes son requisitos imprescindibles para la función del compliance officer y ha destacado que hay que garantizarlos a través de una regulación básica.
La mesa ha expresado la importancia de “implementar el compliance en los diversos tipos de organizaciones –públicas o privadas–” y todos han coincidido en la necesidad de regulación, poniendo como modelo la regulación, ya existente, en el sector financiero, protección de datos o prevención del blanqueo que sirve como modelo para una regulación de la función del compliance.
En la misma dirección, Xavier Irurita –abogado y adjunto a Dirección General de EGARSAT– ha explicado que “dotar de independencia y autoridad a la función del compliance officer es fundamental, pero, aún es más importante que esa función tenga un contenido dentro de la organización”.
Para terminar, Alain Casanovas –coordinador del Libro Blanco de ASCOM–, haciendo una comparativa con otras jurisdicciones, ha apuntado que “la aplicación práctica del compliance en las administraciones públicas y organizaciones está siendo desigual y está tardando más de lo que nos gustaría” (recordando que “somos lo que hacemos, no somos lo que decimos”), y ha señalado como la causa de este fenómeno en España a la configuración del escenario actual y el sistema jurídico –que no ayuda– donde el compliance officer depende generalmente del consejo de administración.
“La aplicación práctica del compliance en las administraciones públicas y organizaciones está siendo desigual y está tardando más de lo que nos gustaría”.
La tercera mesa, que cierra el ciclo de debates de “panorama general”, se ha titulado “Abogado y autoregulación: una profesión milenaria frente a un cambio de paradigma” aquí Eugenia Navarro –ingeniera química y consultora de estrategia y marketing jurídico– ha explicado que la abogacía ha cambiado más en la última década que en casi toda su historia, de ahí que los cambios de paradigma en el entorno hayan afectado al perfil de abogado que “necesita más competencia y habilidades personales (“soft skills”) como valor añadido”. En este sentido, ASCOM ya cuenta con la certificación CESCOM (considerada la principal certificación profesional de Compliance en España); Gloria Hernández –vocal de la Junta Directiva de ASCOM– ha hablado de la eclosión de la autoregulación, que ha obligado al abogado a “revisar su rol tradicional y comprender cuáles son los planteamientos profesionales que puede o debe adoptar en el futuro”, dado que “las certificaciones están adquiriendo un peso importante” y se está optando por opciones profesionales, no tradicionales, como compliance Officers, delegado de protección de datos o auditor de sistemas de Compliance.
“La eclosión de la autoregulación ha obligado al abogado a revisar su rol tradicional y comprender cuáles son los planteamientos profesionales que puede o debe adoptar en el futuro”.
Finalmente, mirando hacia el futuro, la mesa ha hablado sobre la necesidad de acomodar las legislaciones nacionales a la Directiva Europea de Protección al Denunciante de Corrupción (en inglés, “whistleblower”) aprobada el pasado mes de abril en el Parlamento Europeo, que será de obligado cumplimiento para los Estados a partir del 2021; en este punto, Rosa María Sánchez –de la Oficina para la Transparencia y Buenas Prácticas del Ayuntamiento Barcelona– ha puesto como ejemplo la implantación exitosa del canal de denuncias en este ayuntamiento.
Tendencias actuales del sector
En el primer panel, “Ética, buen gobierno y compliance: las organizaciones frente al paradigma del S.XXI”, Francisco Albuixec –delegado de la Comisión Nacional del Mercado de Valores en Barcelona– ha empezado analizando la relación existente entre la responsabilidad social corporativa, el buen gobierno y el compliance; seguidamente Jesús Pindado –secretario del consejo y responsable de compliance de UBS Securities SV SA– y Daniel Vázquez – Catedrático de Derecho Mercantil de la UB y coordinador del grupo de investigación sobre Gobierno Corporativo– han facilitado la comprensión sobre el término Compliance: qué significa, cuáles son sus fundamentos y cómo podemos identificar un sistema o programa de Compliance, en este punto, la mesa ha coincidido en señalar que “hay que tener claro que compliance no es sólo cumplimiento normativo, es también, ética empresarial”.
“Hay que tener claro que compliance no es sólo cumplimiento normativo, es también, ética empresarial”.
En el segundo panel, “Claves prácticas para implementar Compliance en la PYME”, Francisco Bonatti –abogado y vicepresidente de la Sección de Compliance del ICAB– ha moderado la mesa donde se ha tratado de dar con cuáles son las dificultades principales del Compliance en las PYMES, durante el panel Marcelo Gui –vocal de la Sección de Compliance del ICAB– y Beatriz Saura – presidenta de la Sección de Compliance del ICAM– comentaron que “aunque PYMES y medianas empresas no tienen una obligación general de implementar un programa de Compliance, las empresas que no vayan a un tercero independiente a certificarse se van a encontrar en clara desventaja con aquellas que han optado por hacerlo”.
María Tornos de Gispert –CO del Palau de la Música Catalana– han dado algunas claves que ayudan a las PYMES a implementar el compliance, poniendo énfasis en que “es de importancia capital en un país como el nuestro, donde las dificultades de implementar Compliance en este tipo de organizaciones no pueden faltar”.
En el tercer panel, con el título “¿Hacia dónde va la responsabilidad penal de la persona jurídica?” Anna Nuñez –Vocal de la Sección de Compliance del ICAB– ha contado con un panel de expertos en responsabilidad penal de la persona jurídica para que –casi cumplidos nueve años de su introducción en el Código Penal por la Ley Orgánica 5/2010, de 22 de junio– nos ayuden a comprender dónde hemos llegado y cuáles son las tendencias de futuro, aunque la mesa ha concluido que “el gran debate es más probatorio que sustantivo”.
Desde el ámbito teórico, Jesús Silva –catedrático de Derecho Penal de la Universidad Pompeu Fabra– ha planteado varias preguntas a la mesa sobre la atenuación de la responsabilidad penal de las personas jurídicas por la existencia de programas de compliance: “¿Es eximente?, ¿De qué tipo?, ¿Cuál es su aplicación práctica?, ¿Bajo qué criterio se debe probar? ¿Quién tiene el deber de implantarlo? a las que Ramón Ragués –catedrático de Derecho Penal de la Universidad Pompeu Fabra– ha añadido el elemento del beneficio directo o indirecto, señalando que: “por el momento, no existen pronunciamientos judiciales y, básicamente, hay dos interpretaciones posibles: la del castigo a la empresa por beneficio directo y la del castigo a la empresa por el beneficio indirecto (afecta en el sentido que se benefician igual los intereses de la compañía)”.
Ambos han apuntado que esta eximente se entiende atingente (siempre que el programa de compliance sea efectivo) por partida doble: primero, para premiar el “esfuerzo” de la compañía atribuyendo la exención de responsabilidad; y segundo, como mecanismo de “exclusión” de la culpabilidad; ya que la responsabilidad se dirime entre los órganos de administración y éstos integrantes, son personas físicas. Como ejemplo se ha mencionado el derecho comparado, “en EEUU tienen un sistema de responsabilidad de personas físicas que redunda en menor responsabilidad para los administradores, dado que hay mucha más tradición de pactar”
“El gran debate (sobre la responsabilidad penal de las personas jurídicas) es más probatorio que sustantivo, siguiéndose la doctrina clásica del supremo que prevé que las eximentes las tiene que probar la defensa (Hay que probar la probabilidad)”.
Finalmente, los magistrados, Enrique Rovira del Canto –magistrado de la sec.7 de la Audiencia Provincial de Barcelona– y José María Torres Coll –magistrado de la sec.9 de la Audiencia Provincial de Barcelona– desde el ámbito práctico, han criticado “la falta de unificación con los demás sistemas comunitarios (alemán e italiano) así como el hecho que el Tribunal Supremo ha desaprovechado muchas ocasiones en casación para unificar jurisprudencia sobre el trasladado de la responsabilidad”, hecho que repercute directamente en la imposición de las penas y en la necesidad de la modificación del artículo 130.2 del Código Penal Español (para evitar la translación), poniéndose como ejemplo –en el ámbito de la prevención de blanqueo de capitales – “la concurrencia del dolo en las transferencias de dinero ilegal” donde se podrían llegar a dirimir responsabilidades si la entidad cobra comisión; no siendo así si la entidad le hubiera condonado la comisión (al no haber un beneficio directo).
¿Cuáles son las principales novedades a tener en cuenta por los Compliance Officers?
En el primer panel, “Tecnología y ciberseguridad en los canales de denuncia” se ha tratado de dar respuesta a las preguntas sobre el uso de herramientas tecnológicas para la gestión de canales de denuncia, destacando, entre todos los expertos en tecnología, la importancia de la ciberseguridad de los canales además de darse a conocer los avances que se han realizado en materia de acceso tecnológico del usuario al canal y la flexibilidad en la gestión de los mismos.
Francisco Bonatti –abogado y vicepresidente de la Sección de Compliance del ICAB– ha empezado la exposición afirmando que: “una denuncia en una organización es algo de un valor incalculable. Los canales de denuncia son de crucial importancia para el cumplimiento normativo” seguidamente, ha realizado varias preguntas a la mesa: ¿qué canales os dan inseguridad?, ¿qué les pedís sobre la trazabilidad?, ¿y respecto a controles de acceso y contraseñas?, ¿y en tema de continuidad de negocio o disponibilidad?, para acabar con una reflexión en forma de pregunta: “¿quién vigila al vigilante?”.
Rodolfo Tesone – abogado y Diputado de la Junta de Gobierno del ICAB– ha respondido a estas preguntas empezando por destacar que en todo trabajo de estructuración de un canal de denuncia se debe trabajar desde un punto de vista transversal (ingenieros, abogados y psicólogos organizacionales); para seguir haciendo hincapié en adaptar el canal de denuncia a cada tipología de cliente (no debe ser algo demasiado robusto, ni demasiado complejo, ni demasiado parametrizado); hablando del factor humano como elemento determinante a prever para conseguir el 100% de anonimato en los canales de denuncia (dado que no hay una doctrina relativa a la trazabilidad); concluyendo que, “ la primera idea para monitorizarlo fue establecer simulacros y dinámicas (si bien, el 90% de los canales están en desuso y la experiencia ha demostrado que eso es percibido como una carga); por lo que, en la actualidad, lo hemos planteado como un “mecanismo de aportación colectiva” –previo ciertos beneficios para el usuario– tratando de crear una cultura ética en la organización”.
Alejandro Delgado –director comercial de Audisec-GlobalSUITE– apuntó; primero, que “hay mucho trabajo de poca calidad, donde nos encontramos con canales de denuncia gestionados por correo electrónico o intranet, en ámbitos como el bulling o prevención de blanqueo de capitales”; segundo, que respecto a los controles de acceso si el canal es anónimo no tiene sentido requerirse una contraseña, y de hacerlo, el anonimato es un acto de fe, ya que “la información siempre queda en proxies, y otros muchos intermediarios” apostando por la protección de los usuarios con contraseñas temporales; y concluyendo con el aviso que “cuando la directiva sea de aplicación en España todos alcanzaremos la responsabilidad y el recorrido real de los canales de denuncia”.
“La experiencia ha demostrado que para que el canal de denuncia no se perciba como una carga, debe ser planteado como un mecanismo de aportación colectiva, tratando de crear una cultura ética de la organización”.
Por su parte Xavier Ribas –abogado y Socio Director de Ribas y Asociados– recomienda; en primer lugar, cambiar el nombre del canal de denuncia (canal ético, speakline), cambiar el concepto-nombre de denuncia (comunicación de un riesgo); segundo, limitar el uso del correo electrónico para comunicaciones de denuncia (conservan los datos alargando hasta el máximo legal); tercero, que para asegurar la trazabilidad se busque una herramienta que guarde la información relativa a la denuncia (dirección IP, navegador, timestamp); cuarto, que las certificaciones ISO son soluciones parciales, (recordando que “hay que tener un plan de continuidad por si todo lo demás falla”); y concluyendo que, se debe tener cuidado con las “cadenas de confianza”, estableciendo cláusulas de limitación de responsabilidad del proveedor correctamente cuantificadas y haciendo uso de las estadísticas para darnos disparadores de alertas (p.ej. si en 6 meses no hay ninguna denuncia ello nos indica que tal vez hay que hacer campañas de sensibilización).
En el segundo panel, centrado en la “incidencia del Compliance en los seguros de Responsabilidad Civil de organizaciones y directivos”, se ha tratado el interés creciente de los directivos por su responsabilidad en la gestión de los riesgos de la organización.
La intervención de Óscar Serrano –Fiscal de Delitos Económicos– sobre la responsabilidad del art. 31 bis del Código Penal sobre los administradores y directivos ha versado, desde una perspectiva práctica, sobre qué influencia puede tener –en la cuenta de resultados– la oportunidad de suscribir pólizas de responsabilidad para los administradores sociales, considerando a la compañía como una fuente de peligro, de cuya actividad con los mercados puede producir una serie de riesgos consustanciales a la empresa. Así, ha destacado que, “el objetivo del fundamento económico de la responsabilidad penal de la persona jurídica es mejorar, al menor coste posible, la capacidad competitiva de las empresas en el ámbito nacional a través de la reducción de la criminalidad de empresa” y el hecho que recaiga en los administradores sociales deriva de la responsabilidad de proteger a los accionistas (en virtud de las facultades indelegables).
Esta cuestión entronca directamente con los seguros de D&O –directors & officers–, dado que sus decisiones comprometen a las empresas frente a terceros, en este sentido, Esther Bitriu –abogada y corredora de seguros– ha añadido que “por un lado, las compañías aseguradoras comienzan a considerar la relevancia que tiene la implementación de sistemas de Compliance (de hecho, la figura del compliance officer ya se recoge como persona asegurada); y por el otro, las compañías aún no solicitan la implementación de un plan de cumplimiento”.
Finalmente, la conferencia ha estado más enfocada al ámbito técnico de las pólizas de seguros, destacando que: 1) empresas aseguradoras primero exigen que se realice un cuestionario (solicitud de seguro), 2) el cuestionario se acompañará de documentación que suele ser financiera, 3) cuantas mayores medidas de protección tenga una compañía mayor repercusión tendrá en la prima a la baja, 4) las coberturas de la póliza se extenderán a los gastos de reclamaciones de terceros y podrán ser usadas como una medida de caución, y 5) concluyendo que, dentro de un plan de corporate compliance se debe poner la póliza como la última vía de contención.
“Cuantas mayores medidas de protección tenga una compañía mayor repercusión tendrá en la prima a la baja”
En el tercer panel, “Canales de denuncia (o whistleblowing) y la protección del denunciante: la directiva comunitaria y el proyecto de ley español” se ha analizado la nueva directiva comunitaria sobre protección de los denunciantes y el borrador de proyecto de ley español; con el objetivo de identificar cómo deben proteger las organizaciones a sus denunciantes y cuál es el estatuto legal que se les debería ofrecer.
“La nueva Directiva Europea de Protección al Denunciante será de aplicación a los países miembros en el año 2021”
Francisco Bonatti –Abogado y vicepresidente de la Sección de Compliance y Vocal de la Comisión de Transformación Digital– comentó que “la legislación debe facilitar los canales de denuncias y debe promover un cambio social para que se perciba como un valor importante”, advirtiendo que, “si no, no tendremos los resultados esperados”. En este punto, las aportaciones de José Ramón Navarro –presidente de la Audiencia Nacional– y Miguel Ángel Gimeno –director de la Oficina Antifraude de Cataluña– han ido dirigidas al análisis del borrador de proyecto de ley español que transpone la nueva Directiva Europea de Protección al Denunciante, que será de aplicación a los países miembros en el año 2021; se trató la obligatoriedad de introducir los cauces y procedimientos internos de comunicación en entidades con más de 50 empleados y la necesidad que se establezcan sanciones eficaces, proporcionadas y disuasorias para aquellas personas físicas o jurídicas que impidan o intente impedir la presentación de denuncias, adopten medidas de represalias o promuevan procedimientos temerarios contra los denunciantes, añadiendo en este sentido, David Velázquez –Ombudsman del Grupo SEAT–que la respuesta rápida es fundamental en un canal de denuncias, puesto que, hay que tener métricas definidas en todo el proceso para que sea ágil y funcione.
