Todos temen al controlador interno en la empresa

El término compliance (cumplimiento) está de moda. Su utilización en el ámbito jurídico responde al cambio de paradigma que se abre camino en la regulación de la actividad empresarial. Así, en algunas materias, el ordenamiento ya no ofrece a las compañías una lista tasada de obligaciones, sino que les exige que se autorregulen; es decir, que ellas mismas determinen los riesgos de su actividad y adopten medidas para evitar los incumplimientos legales. En caso de que estos se produzcan, la organización se expone a fuertes sanciones si las autoridades consideran que no adoptó las medidas de prevención necesarias.

Este modelo es el que sigue la reforma de la responsabilidad penal de las personas jurídicas introducida en 2015 en el Código Penal, por el que las organizaciones son culpables de los delitos cometidos por sus directivos y empleados en el ejercicio de sus funciones, salvo que acrediten haber implantado un sistema de compliance penal (es decir, un programa de prevención de delitos) eficaz.

Dentro de los requisitos del Código Penal se encuentra la creación de un órgano “con poderes autónomos de iniciativa y control”. Al frente del cual estará el compliance officer (u oficial de cumplimiento), a quien la organización debe dotar de autoridad, independencia y recursos para poder ejercer su labor.

Esta función de control interno, de tradición anglosajona, no encaja bien en la cultura jurídica y empresarial española, donde en lugar de verla como una ayuda para mitigar los riesgos penales, se percibe como una suerte de policía interno o chivato. “No es la primera vez que cuando me ven llegar dicen: ‘¡Ahí viene la de asuntos internos!”, cuenta Alba Lema, compliance officer y miembro de la World Compliance Association (WCA). “Sin embargo, somos lo contrario: profesionales que velamos por los intereses de la empresa, los empleados, los accionistas, clientes o proveedores”, asevera.

Los efectos de este recelo no se limitan al trato de sus compañeros. En muchos casos, las organizaciones tampoco dotan al compliance officer de la autonomía que requiere su labor, bien por desconfianza o por temor a que entorpezca o frene algunas operaciones por un exceso de cautelas legales. “En los últimos años hemos mejorado, pero aún tenemos que ganar independencia”, subraya Juan Ignacio Canosa, secretario general de la Asociación Española de Compliance (ASCOM).

Lema admite que la independencia que requiere el oficial de cumplimiento “no encaja bien” con el poder de dirección que la ley reconoce a los empresarios. Canosa coincide y cree imprescindible la redacción de un estatuto que dibuje los contornos de una profesión compleja y cuyo contenido no está definido.

Ante esta ausencia de regulación, sus atribuciones dependerán del diseño que la propia empresa haga del puesto de trabajo. “Si no se definen sus garantías, sus atribuciones o qué límites hay a las interferencias del empresario, en la práctica, el papel del compliance officer puede quedar en nada”, explica Fernando Bazán, socio de Deloitte Legal, que apuesta por blindar su relación laboral porque, “si se le pide que denuncie a su propia empresa o evidencie los incumplimientos, habrá que ampararle”. También es partidario de una protección frente al despido similar a la que tienen los representantes de los trabajadores, impidiendo un cese arbitrario, así como garantizar que reporte al máximo órgano de la compañía.

Delegado de privacidad

En el ámbito de la protección de datos, el Reglamento europeo también ha optado por un modelo de cumplimiento. Desde el 25 de mayo, las empresas están obligadas a autoevaluar sus riesgos y a adoptar las medidas necesarias para prevenirlos. Además, todas las organizaciones que operen con datos a gran escala o especialmente sensibles deben contar con un delegado de protección de datos (DPO). A diferencia del compliance officer, la norma sí ofrece los rasgos generales sobre cómo debe ejercer el DPO su labor. Y las organizaciones deben garantizar que “no reciba ninguna instrucción” y no podrán destituirlo ni sancionarlo.

Este blindaje, y los deberes de cooperación y reporte a las autoridades de protección de datos, también ha creado en algunos la sensación de que el DPO es un policía interno. Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP), rechaza esta interpretación y aclara que su papel es “ayudar” a que la normativa sea “una realidad”. “No es un enemigo, ni un policía. Su independencia es de criterio y, sin duda, tiene que comportarse de forma leal con su organización”, asevera.

A pesar de las disposiciones legales, el abogado Miguel Recio admite dificultades en la implantación del DPO en las empresas: “Su figura no se acaba de entender y se le piden cosas que no tiene que hacer”, advierte. Como sucede con el compliance officer, cree que esto se explica por el “déficit cultural” en materia de cumplimiento.

Bazán introduce algo de optimismo: “Son materias nuevas. La cuestión es que las empresas se vayan acostumbrando”.