María Guinot Barona es experta en cumplimiento normativo, abogada del Estado desde 2005, cuenta con una amplia experiencia profesional en todos los ámbitos vinculados con las Administraciones Públicas y los Sectores Regulados -financiero, energía, telecomunicaciones, infraestructuras-. En el área de banca y sector financiero, asesora a instituciones financieras y otras entidades reguladas en todos los aspectos relativos al desarrollo de su actividad y relaciones con organismos supervisores. En el ámbito del Derecho Público, está especializada en contratación y todo tipo de cuestiones relativas a la actividad del sector público -expropiación forzosa, patrimonio de las Administraciones Públicas, infracciones y sanciones, licencias y autorizaciones, subvenciones, responsabilidad patrimonial-.
¿Las obligaciones de 'compliance' cada vez parece que abarcan mayor número de actividades de las empresas?
El compliance tiene su origen en el ámbito penal, con el reconocimiento de la responsabilidad penal de las personas jurídicas, y se ha ido modulando con los pronunciamientos del Tribunal Supremo que la han aplicado. La función del compliance officer nace para identificar el riesgo normativo penal, alertar de posibles incumplimientos, realizar un seguimiento de su corrección e informar a la alta dirección sobre sus comprobaciones y conclusiones. El compliance ha transformado por completo la práctica del Derecho Penal, redefiniendo el papel de las empresas, y por supuesto de los abogados. Sin embargo, tras esta primera fase de implementación exclusivamente penal, la regulación ha ido extendiendo esta función a otras muchas áreas de actividad de las empresas convirtiéndose en una de las principales contingencias a las que tienen que hacer frente. Así hablamos hoy de compliance fiscal, de competencia, de contratación pública, de protección de datos, de blanqueo de capitales, de buen gobierno corporativo y, en general, de cumplimiento normativo de toda la regulación sectorial, lo que afecta especialmente a los sectores fuertemente regulados, como el financiero, el farmacéutico, o los de la energía y telecomunicaciones.
¿Lo que comenzó como una actividad de prevención se ha convertido en una actividad que cada vez resulta más complicada y genera mayor responsabilidad para las sociedades?
Ciertamente sí. La función de cumplimiento normativo exige cada vez una mayor especialización, una mayor dedicación y una mayor responsabilidad. Ello responde a una nueva concepción, que no tiene vuelta atrás, en la que las sociedades han dejado de ser meros sujetos pasivos de las normas, que tienen que cumplir con la regulación en vigor, para convertirse en sujetos activos en su aplicación, que colaboran con la Administración en esta tarea. Hoy, las empresas asumen la primera línea de responsabilidad del cumplimiento de la norma, de modo que no sólo responden de observarla sino también de adoptar sistemas idóneos para impedir el incumplimiento. Diseñar y desplegar en todos los niveles de la organización un adecuado plan de concienciación y formación en materia de compliance es un elemento clave para conseguir que esa auténtica cultura de cumplimiento impregne el día a día de la compañía.
¿Va quedando claro que o se involucra a toda la compañía o es imposible llegar a cumplir con todas las exigencias legales?
Obliga a formar en materia de compliance y a una permanente revisión y actualización de los procedimientos. Como apuntaba antes, el compliance tiene que formar parte de la cultura corporativa de la compañía, desde el primer escalón hasta el último de los trabajadores. Pero, además, es algo vivo, que debe aplicarse diariamente. Si en un momento determinado los planes fallan, desaparece la armonía organizativa y cultural, la desconfianza aflora y la pérdida competitiva se acentúa. El problema es que la cultura corporativa requiere perseverancia, en la medida en que la concienciación es una tarea costosa porque requiere su tiempo.
También, es preciso combatir la existencia de una falta de independencia, que en algunos casos desvirtúa la información a la dirección de la empresa. Una gestión de cumplimiento normativo sólida y con competencias claramente definidas guía a la organización hacia una cultura ética óptima, evitando posibles sanciones o multas o, en su caso, fortaleciendo la confianza de los clientes. Solo existe una auténtica cultura ética y de compliance cuando se logra que éste forme parte del día a día y esté perfectamente integrado en la operativa del negocio. Los empleados deben familiarizarse con las leyes, reglamentos y normas aplicables a su área de responsabilidad, así como con las normas internas de cumplimiento y ética.
¿Esto es lo que se ha dado en llamar, incluso en la jurisprudencia del Tribunal Supremo, como cultura del cumplimiento?
Sí, esta cultura de cumplimiento debe convertirse en la manera normal de gestionar las empresas y de trabajar en ellas. Y por varias razones; primero porque mejora la eficiencia en muchos aspectos: está comprobado que una empresa que cumple obtiene mejores resultados. Pero además, el compliance minimiza riesgos y responsabilidades, lo que tiene un impacto económico directo. La regulación sectorial contempla cada vez sanciones más elevadas, desde multas millonarias a clausura de instalaciones, revocación de autorizaciones, prohibiciones de contratar o pérdida de subvenciones. En materia de abuso de mercado, blanqueo o protección de datos se han incrementado considerablemente las sanciones. Y en materia de competencia son también muy elevadas.
Pero es que, además, existe un riesgo reputacional para la compañía que no cumple, que es muy importante. Muchas empresas, especialmente las que tienen vocación internacional y las que operan en mercados anglosajones, no sólo no pueden contratar con empresas que incumplen, sino que sólo trabajan con compañías que cuentan con un elevado estándar de cumplimiento y responsabilidad social corporativa y pueden acreditarlo. Por tanto, es algo que afecta muy directamente al negocio.
Cuanto más reducido es el tamaño, más complicado es atender las obligaciones. ¿Y en qué medida se complica cuando la sociedad tiene una actividad transnacional?
Evidentemente, cuando la sociedad realiza una actividad transnacional se ve obligada a cumplir con los requisitos de cada jurisdicción en la que opera, lo que incrementa notablemente la dificultad de la función de compliance. Ello supone un reto para las empresas más pequeñas, porque normalmente las grandes compañías multinacionales cuentan con departamentos de cumplimiento muy robustos. Y enfrentarse a un marco jurídico que va mucho más allá de la normativa nacional y europea, que está constantemente cambiando, que es sumamente técnico y especializado, y en el que se mezclan normas imperativas con otras de soft law y códigos de buenas prácticas, así como sentencias y pronunciamientos de autoridades judiciales y administrativas que interpretan unas y otros, se convierte en una "misión imposible" para los operadores más pequeños, al menos sin asesoramiento externo especializado. El compliance es cada vez mucho más amplio, mucho más complejo y más complicado de gestionar por el operador normal.
¿Es cierto que hay muchas empresas que simplemente copian los planes de 'compliance' de otras?
Existe un problema de entendimiento. Muchas empresas siguen creyendo que lo único necesario para no incurrir en responsabilidad es tener un código de cumplimiento aprobado formalmente. Por ello, recurren a modelos más o menos estandarizados que se han generalizado. Creer que, con tener un manual de prevención de blanqueo de capitales, un plan de prevención del delito y un código de conducta, elaborado por una empresa externa, aprobado por el consejo de administración, y colgado en su web, la función de compliance queda satisfecha, es un completo error. Los manuales y documentos deben responder a un análisis riguroso y concreto de las debilidades y procedimientos de cada empresa, y los sistemas y modelos descritos deben ponerse en práctica y aplicarse de forma efectiva. En otro caso, no sirven para nada. Tajantemente debe negarse que el modelo de compliance de una compañía sirva para otra. Contar con un marco de cumplimiento adecuado es mucho más que poner un tick en una casilla, porque es una función activa y específica. Los delitos o infracciones que puede cometer una empresa dedicada a una determinada actividad son muy diferentes a aquellos en los que pueden incurrir otra compañía que opera en distinto sector. Por ejemplo, una empresa de telefonía, que maneja muchos datos de clientes, tiene un riesgo muy elevado de cometer alguna infracción en materia de protección de datos, mientras que una empresa que no tiene trabajadores y que no opera con clientes personas físicas no tiene ese riesgo. Y así, con muchos otros tipos de incumplimientos.
¿Cuáles son los límites para que una empresa pueda estar segura de que sus planes son suficientes?
El compliance exige un análisis en profundidad de la actividad de la empresa y de cuáles son las obligaciones concretas respecto de las que se existe un mayor riesgo de incumplimiento por la propia compañía o por sus trabajadores, e incluso proveedores y subcontratistas. Funciona en muchos casos como un elemento que permite mitigar o atenuar responsabilidades, ya sea como eximente en el ámbito penal, o como circunstancia que gradúa la responsabilidad en el ámbito administrativo, muy especialmente a través de los programas de clemencia, como ocurre en materia de competencia. Pero ello exige que se trate de un sistema de compliance efectivo y no sólo formal, lo que debe acreditarse. De nada sirve tener un canal de denuncias, un comité de conducta o numerosos protocolos, si cuando la infracción tiene lugar, no se puede acreditar que eran adecuados a la concreta actividad de la empresa y que se aplicaban de forma efectiva.
¿Con la nueva normativa se puede afirmar que se está produciendo una inversión de la carga de la prueba?
Aunque el compliance es fundamentalmente preventivo, es evidente que no excluye que la infracción pueda tener lugar. Y cuando esto ocurre, sí se produce, en cierta medida, una inversión de la carga de la prueba, de modo que se entiende que si el incumplimiento se produjo es porque el plan de prevención no era el adecuado. Es el principio de comply or explain. Por tanto, corresponderá a la empresa acreditar que contaba con todos los sistemas de compliance, que éstos eran suficientes y que se aplicaban de forma efectiva y correcta.