Quien siembra, cosecha o cómo evaluar el coste de un programa de compliance

El 'compliance' se encuentra en un momento dulce. Estas prácticas, que una década atrás eran prácticamente ajenas a la idiosincrasia de nuestro tejido empresarial, son una realidad. La hiper regulación en aspectos clave de nuestra sociedad, como la protección de datos, la transparencia y el buen gobierno corporativo, la sostenibilidad, la lucha contra las prácticas anticompetitivas o la prevención del blanqueo de capitales y la financiación del terrorismo, por no mencionar la cada vez mayor tendencia expansiva del derecho penal, ha desempeñado un papel determinante para que el término "compliance" pase de ser una "rara avis", propia de sectores altamente regulados, a una actividad tan familiar como necesaria.

Pese a que algunos detractores interpretan que la adopción de programas de compliance, con sus correspondientes testeos, revisiones periódicas y certificaciones, suponen un traslado de las labores de policía que competen a las administraciones públicas, buena parte de nuestro tejido empresarial ha superado esta visión, permeando cada vez más la idea de que la cultura de cumplimiento es una inversión en la propia empresa, y en último término en la sociedad, adoptando una posición preventiva dentro de la empresa en vez de una actitud reactiva.

Ya no se trata de evitar cuantiosas multas o sanciones que pueden conducir incluso a la disolución de la empresa en la vía penal, sino de dotar y asegurar la transparencia de la gestión empresarial, el cumplimiento ordenado de la ley en la cadena de valor, optimizar los procesos internos con el consiguiente incremento de calidad y seguridad y ahorro de costes, responder a las expectativas de los grupos de interés y mejorar, en definitiva, la reputación de la empresa en el mercado.

Y aunque apreciamos un cambio de paradigma en el que comienzan a valorarse más los beneficios asociados al compliance que sus costes inherentes, los costes asociados a los posibles incumplimientos constituyen una buena manera de valorar el compliance como una inversión real. A tales fines, es crucial disponer de una identificación de los riesgos acorde a las actividades de la compañía, de forma tal que la empresa pueda destinar recursos en materia de compliance a aquellos riesgos cuya probabilidad e impacto sean superiores.

Nuestra práctica judicial ha demostrado en casos de conocidas empresas cotizadas que la implementación de un programa de compliance es útil y necesaria para eximir de responsabilidad penal a las empresas, pero también para aislar riesgos y potenciales incumplimientos. Y ello, pese a que todavía se sigue discutiendo desde el punto de vista penal si los programas de compliance constituyen una circunstancia eximente (lo que implica que habrá de ser la defensa quien demuestre su existencia en el juicio oral), o un elemento del tipo (posibilitando que el proceso sea sobreseído ya en fase de instrucción). Fuera de nuestras fronteras la implementación de programas de compliance también ha evidenciado ser eficaz a la hora de evitar o mitigar millonarias sanciones administrativas y penales a muy reputadas multinacionales.

Las compañías son conscientes de que los costes asociados a un modelo de cumplimiento eficaz, tales como identificar los riesgos, implementar guías de comportamiento para su mitigación, sensibilizar a los empleados, supervisar su funcionamiento, poco a poco van permeando en la cultura interna y en la cultura de la cadena de valor, evitando prácticas no deseadas. Aunque esta cultura genera burocracia y cambios en la ejecución de las actividades, así como posibles tensiones con los socios de negocio, tiene un claro retorno en la protección presente y futura de la empresa, sus administradores, directivos y empleados, motores del negocio.

De la misma manera que nuestro tejido empresarial está aumentando el presupuesto en materia de compliance, y proliferan las ofertas de empleo en esta práctica, los riesgos reputacionales y las sanciones por su inobservancia son cada vez mayores, lo que, nuevamente, permite asociar al compliance como una inversión.

A tales efectos, la muy conocida Ley 2/2023 de "protección al informante" impone sanciones de hasta 300.000 euros para aquellas empresas que estando obligadas a implementar un canal de comunicación de irregularidades que satisfaga los requisitos que establece la mencionada ley, incumplan dicha obligación. Por el momento no disponemos de cifras de sanciones, esencialmente porque en el momento de la redacción de este artículo seguimos a la espera de la creación la Autoridad Independiente de Protección al Informante (afortunadamente, ya está en trámite un borrador de Real Decreto que regulará su estatuto).

En materia de protección de datos, aunque durante el ejercicio 2023 se han reducido ligeramente el número de sanciones respecto al ejercicio anterior (367 frente a 378), se ha incrementado el importe económico de las mismas: 29,8 millones de euros, frente a 20,7 millones de euros.

La memoria de información estadística del SEPBLAC, de los ejercicios 2018 a 2022, también evidencia una paulatina reducción del número de sanciones impuestas a sujetos obligados durante los últimos años (siete sanciones en el año 2022 por importe de 3,3 millones de euros, frente a ocho en los dos ejercicios inmediatamente anteriores), pese a las cada vez más exigentes obligaciones.

El balance es positivo y esperanzador, pues demuestra una profunda sensibilización en materia de cumplimiento que en líneas generales demuestra un descenso de sanciones y riesgos. El camino recorrido nos prepara para abordar los siguientes retos y desafíos que se suscitan en materia de cumplimiento: ESG, ciberseguridad, inteligencia artificial, directiva de derechos humanos y medioambiente, riesgos en la cadena de valor, investigaciones internas, cooperación con autoridades, etc.