Opinión | La responsabilidad en el ámbito del Compliance

El Compliance es un sistema de control interno que tiene como objetivo asegurar que una organización cumpla con las leyes, regulaciones y normas internas para prevenir riesgos legales y reputacionales.

Sin embargo, en el ámbito del Compliance surge un debate fundamental: ¿Quién es responsable de un incumplimiento normativo? ¿Cómo se determina la culpabilidad?

La responsabilidad en el ámbito del Compliance no es solo un resultado posible de la inobservancia de normas legales o internas, sino que es el punto de llegada de un complejo sistema de prevención, gestión del riesgo, y control ético-legal, que atraviesa toda la estructura organizacional.

En otras palabras, hablar de responsabilidad en el Compliance implica hablar de la esencia misma del cumplimiento normativo: prevenir hechos ilícitos, reducir riesgos, y actuar conforme a la legalidad y la integridad.

Esta responsabilidad tiene un carácter dinámico y evolutivo, pues se adapta a los cambios regulatorios, sociales y empresariales.

El concepto de responsabilidad en Compliance se puede entender en al menos tres niveles: jurídico (penal, administrativo, civil), organizativo (deberes de diligencia, supervisión y control), y ético-social (legitimidad, reputación y sostenibilidad).

A nivel jurídico, se refiere a las consecuencias que derivan para las personas físicas o jurídicas por la comisión de una infracción de la ley.

Tradicionalmente, en el derecho penal clásico, la responsabilidad recaía exclusivamente sobre personas físicas, quienes podían ser imputadas si actuaban con dolo o culpa.

RESPONSABILIDAD DE LAS PERSONAS JURÍDICAS

Sin embargo, el derecho penal económico y empresarial ha evolucionado significativamente para responder a la complejidad de las organizaciones actuales, donde muchas decisiones no son tomadas por una sola persona, sino en entornos colectivos, estructurados jerárquicamente, y con múltiples niveles de delegación.

Este cambio de paradigma ha llevado a que muchos ordenamientos jurídicos introduzcan la responsabilidad penal de las personas jurídicas, entendida como la posibilidad de que una empresa sea sancionada penalmente -v.gr.: multas, suspensión de actividades, disolución, entre otras- cuando no ha cumplido con sus deberes de prevención.

Aquí, es donde el Compliance cobra protagonismo como elemento diferenciador entre una organización diligente y una negligente.

La existencia de un programa de Compliance sólido, eficaz, y adecuadamente implementado puede actuar como una causa de exención o atenuación de la responsabilidad penal.

En el plano administrativo, muchas normativas sectoriales -como las relativas a la protección de datos personales, prevención de lavado de activos, competencia, medioambiente, salud pública, entre otras- establecen regímenes de responsabilidad específicos para las empresas, que incumplen obligaciones regulatorias.

En estos contextos, el Compliance se convierte en un deber operativo, y su ausencia o deficiencia puede derivar en sanciones administrativas, multas, revocaciones de licencias, o inhabilitaciones.

El derecho civil y mercantil también reconoce formas de responsabilidad por incumplimientos, que afectan a terceros.

Por ejemplo, si una empresa no actúa con la diligencia debida para evitar prácticas corruptas en su cadena de suministro, y un proveedor incurre en actos ilegales, que le perjudican a un cliente final, podría enfrentarse a una acción por daños y perjuicios.

En este sentido, el Compliance no solo sirve como escudo ante las autoridades regulatorias o judiciales, sino como elemento de defensa ante posibles reclamaciones de partes privadas.

El segundo nivel de responsabilidad, el organizativo, se relaciona con los deberes funcionales, que asumen determinados sujetos dentro de la empresa.

La dirección y administración de una entidad tienen un deber reforzado de vigilancia, control, y establecimiento de medidas de prevención frente a los riesgos legales y éticos.

El incumplimiento de estos deberes puede traducirse en responsabilidad personal -incluso penal o civil-, si se demuestra, que existió omisión, negligencia, o desinterés ante señales de alerta.

Este principio se encuentra estrechamente vinculado a la llamada “culpa in vigilando” o “culpa in eligendo”, es decir, la responsabilidad, que recae sobre quien no ha controlado debidamente a sus subordinados, o ha delegado funciones sin garantizar, que quien las recibe es competente y éticamente adecuado.

El Compliance, en este marco, es tanto una herramienta como una exigencia.

EL PROGRAMA DE COMPLIANCE DEBE ESTAR VIVO, ACTUALIZADO Y OPERATIVO

Aquellos, que ostentan funciones de gestión no solo deben asegurarse de que exista un programa de cumplimiento, sino también de que se mantenga vivo, actualizado, y operativo.

No menos importante es el papel del Compliance Officer, figura encargada de velar por la implementación, y el monitoreo del sistema de cumplimiento.

Aunque su función es eminentemente técnica y asesora, los tribunales y organismos reguladores han empezado a exigir niveles crecientes de diligencia en el ejercicio de sus funciones.

Si bien el Oficial de Cumplimiento no puede responder por todos los fallos de la organización, sí puede ser considerado responsable, si incumple sus deberes básicos, como puede ser: investigar denuncias internas, asesorar a la dirección sobre riesgos emergentes, o alertar sobre desviaciones significativas.

En cuanto al tercer nivel de responsabilidad -el ético y social-, se refiere a la obligación, que tienen las empresas de actuar no solo conforme a la ley, sino también de acuerdo con los principios y los valores de la sociedad en la que operan.

La evolución del concepto de “Compliance” ha llevado a que ya no se asocie únicamente con el cumplimiento de leyes, sino también con el respeto de estándares éticos, principios de buen gobierno corporativo, derechos humanos, diversidad e inclusión, sostenibilidad ambiental, y el llamado “compromiso social”.

En este sentido, la responsabilidad ética en el Compliance va más allá del temor a la sanción legal, ya que responde a una visión estratégica de largo plazo.

Las empresas que adoptan un enfoque integral del Compliance como parte de su cultura organizativa tienden a generar mayor confianza en sus clientes, inversores, empleados y la sociedad en general.

Por el contrario, aquellas que incumplen o simulan cumplir corren un riesgo reputacional difícil de revertir, con impacto directo en su valor de marca, acceso a financiamiento, fidelidad del consumidor, y legitimidad social.

Asimismo, la autorregulación es otra dimensión relevante de la responsabilidad en el Compliance.

Las organizaciones no solo deben cumplir con normas impuestas por el Estado, sino también con normas voluntarias que ellas mismas han adoptado, entre las que cabe citar: a los códigos de conducta, a los principios éticos, a las políticas anticorrupción, y a los compromisos de sostenibilidad.

El incumplimiento de estos estándares puede desencadenar, no solo consecuencias legales o reputacionales, sino también conflictos internos, el deterioro del clima laboral, y la pérdida de credibilidad ante los stakeholders.

EL SISTEMA DE COMPLIANCE SE SOSTIENE SOBRE TRES PILARES

En la práctica, esto implica que el sistema de Compliance debe estar sostenido sobre tres pilares esenciales:

a). La prevención, que consiste en la identificación, y la evaluación de riesgos legales, el diseño de políticas y controles, la formación continua, y la promoción de la cultura de cumplimiento.

b). La detección, basada en la implementación de canales de denuncia, las auditorías internas, los sistemas de alerta temprana, y los procedimientos de monitoreo constante.

c). La reacción, que consiste en la capacidad de actuar con diligencia ante incidentes, realizar investigaciones internas, sancionar comportamientos contrarios a la normativa, y remediar las deficiencias del sistema.

Debe considerarse, que la responsabilidad en el Compliance es también colectiva, en este caso, no se trata de un problema exclusivo de los abogados, o del departamento legal, sino de un compromiso organizacional.

Cada empleado, directivo o socio de negocio tiene una parte de responsabilidad en asegurar, que la conducta de la empresa esté alineada con las normas y los valores que la rigen.

En este sentido, el Compliance debe estar integrado en la estrategia corporativa, en la estructura de gobernanza, y en los procesos operativos de la entidad.

La responsabilidad en el ámbito del Compliance se configura como un entramado multidimensional, que abarca desde la responsabilidad penal de una persona jurídica, hasta la responsabilidad individual de un trabajador por no reportar una irregularidad.

Supone un cambio de mentalidad, ya que no basta con cumplir formalmente con la ley, sino que es necesario demostrar de manera activa que la organización ha adoptado una postura responsable, transparente, y ética frente a sus obligaciones.

Así, el Compliance deja de ser un lujo o una formalidad, para convertirse en una exigencia fundamental del buen gobierno corporativo, y de la supervivencia empresarial en un entorno cada vez más exigente, regulado, y vigilado.

RESPONSABILIDAD OBJETIVA Y SUBJETIVA

En este contexto, debe tenerse presente que el Compliance se aplica en distintos ámbitos empresariales y regulatorios, y la forma en que se asigna la responsabilidad varía según el sector, y la naturaleza de la infracción, y con ello es procedente analizar la naturaleza, y las características de la responsabilidad objetiva y/o subjetiva que debe ser aplicada en cada momento derivada de cualquier hecho vinculado al ámbito del Compliance.

La responsabilidad objetiva y subjetiva son conceptos esenciales para definir cómo y cuándo una empresa, sus directivos, y empleados pueden ser considerados responsables ante una infracción legal, ética, o regulatoria.

La responsabilidad objetiva implica que una empresa o individuo puede ser considerado responsable, sin necesidad de probar la existencia de dolo, de culpa, o de intención.

La responsabilidad subjetiva requiere demostrar, que existió voluntad, conocimiento o negligencia en la comisión del acto ilícito.

Ambos conceptos son clave en la determinación de sanciones y medidas de prevención dentro del Compliance, y su correcta aplicación influye directamente en la efectividad de los sistemas de gestión de riesgos.

La distinción entre responsabilidad objetiva y subjetiva en el contexto del Compliance corporativo constituye uno de los ejes centrales para entender cómo opera la imputación de hechos ilícitos en el seno de las organizaciones.

Esta distinción no solo tiene implicaciones teóricas en el plano del derecho penal, administrativo y civil, sino que también afecta directamente a la forma en que las empresas estructuran sus programas de cumplimiento normativo, gestionan sus riesgos, y responden ante investigaciones internas o procesos judiciales.

Tradicionalmente, la responsabilidad en materia penal ha sido concebida sobre la base de la responsabilidad subjetiva, esto es, aquella que exige para su configuración la existencia de dolo (voluntad consciente de realizar una conducta prohibida) o culpa (conducta negligente o imprudente).

Este modelo se centra en la conducta individual y en la valoración de la intención del autor del acto ilícito.

«NULLUM CRIMEN SINE CULPA»

La premisa esencial es, que no puede haber pena sin culpa, recogida en el principio “nullum crimen sine culpa”.

Bajo esta lógica, para que una persona -física o jurídica- sea considerada penalmente responsable, debe acreditarse que actuó con conocimiento del deber incumplido, o con una actitud negligente respecto de sus deberes legales o éticos.

No obstante, la creciente complejidad de las estructuras empresariales, la globalización de los mercados, y el aumento de los delitos económicos cometidos desde el seno de las organizaciones han exigido una evolución de este enfoque.

En este nuevo entorno, el derecho penal y administrativo ha comenzado a incorporar con mayor frecuencia la noción de responsabilidad objetiva. o cuasi objetiva, especialmente en relación con las personas jurídicas.

Esta modalidad de responsabilidad, se caracteriza por la prescindencia del análisis de la culpabilidad del sujeto, fundándose en la sola producción del hecho dañoso o ilícito, y la existencia de una conexión con la organización.

En otros términos, se puede afirmar, que se traslada el centro de gravedad desde la conducta individual, al diseño institucional y organizativo de la empresa.

El punto de inflexión en esta evolución normativa se observa en las leyes, que establecen un sistema de imputación empresarial basado en el deber de vigilancia y control.

Aquí, la responsabilidad objetiva aparece como una presunción iuris tantum, que admite prueba en contrario, en virtud de la cual la empresa será considerada responsable, salvo que logre acreditar que tenía implementado un programa de Compliance eficaz, idóneo, y debidamente adaptado a sus riesgos específicos.

Este enfoque ha sido adoptado en distintos ordenamientos jurídicos, como el español tras la reforma del Código Penal de 2010 y su posterior modificación en 2015, el modelo anglosajón de los «due diligence programs» y, con matices, en regulaciones latinoamericanas como la Ley 30424 en Perú o la Ley 27.401 en Argentina.

Es decir, las empresas, como entes autónomos con capacidad de decisión, deben responder por la eficacia o ineficacia de sus mecanismos de control interno.

EVALUAR LOS PROCESOS DE SUPERVISIÓN Y CONTROLES INTERNOS

No se trata tanto de castigar a la organización por el hecho delictivo de un empleado en particular, sino de evaluar si la cultura corporativa, los procesos de supervisión y los controles internos fueron insuficientes o defectuosos, facilitando así la comisión del ilícito.

Esta concepción responde a un modelo de imputación estructural o funcional, que pone el foco en las fallas sistémicas, y no necesariamente en el dolo individual.

Este tipo de responsabilidad presenta ventajas claras desde el punto de vista preventivo.

Al colocar sobre la empresa la carga de adoptar medidas efectivas de prevención y control, se promueve una cultura de cumplimiento proactiva.

Además, incentiva la implementación de programas de integridad y mecanismos de control interno eficaces, incluyendo canales de denuncia, auditorías internas, códigos éticos y formación continua en materia de cumplimiento.

El objetivo no es solo evitar sanciones, sino también reducir el riesgo reputacional, fortalecer la transparencia, y poder así mejorar la confianza de los stakeholders.

Sin embargo, este modelo también ha suscitado críticas y desafíos prácticos.

Uno de los principales cuestionamientos es que puede derivar en una forma de responsabilidad sin culpa, incompatible con principios fundamentales del derecho penal, especialmente cuando no se otorga a la empresa la oportunidad efectiva de demostrar su diligencia.

Asimismo, se plantea la dificultad de establecer estándares objetivos y universales sobre qué constituye un «programa de Compliance eficaz», dado que esto puede variar según el tamaño de la empresa, el sector de actividad, el país y los riesgos específicos asociados.

Desde la perspectiva de la responsabilidad subjetiva, también se han desarrollado teorías, que permiten compatibilizar la imputación a personas jurídicas con los principios tradicionales del derecho penal.

Un ejemplo de ello es la teoría del «defecto de organización» o «culpa organizacional», que entiende que la responsabilidad penal de la persona jurídica surge cuando la empresa ha incumplido su deber de controlar, y de prevenir riesgos mediante una adecuada estructura organizativa.

En este modelo, la falta de implementación, o el funcionamiento defectuoso de un programa de Compliance es considerado una forma de culpa in vigilando, lo cual, sí implica una forma de responsabilidad subjetiva atribuible a la empresa.

En términos prácticos, esta distinción entre responsabilidad objetiva y subjetiva cobra especial relevancia, cuando se producen investigaciones internas por posibles infracciones normativas.

En estos casos, las empresas deben demostrar, no solo que colaboran activamente con las autoridades, sino que han adoptado previamente mecanismos adecuados para prevenir los hechos investigados.

En efecto, la carga probatoria puede trasladarse a la organización, que deberá evidenciar que su conducta no fue negligente, ni tampoco omisiva, sino que desplegó una diligencia debida conforme a los estándares exigibles.

Como es conocido, la existencia de un programa de Compliance, aunque no garantiza la impunidad, sí puede operar como causa de exclusión o atenuación de la responsabilidad.

La tensión entre responsabilidad objetiva y subjetiva en el ámbito del Compliance, refleja un cambio profundo en la forma en que se conciben las obligaciones corporativas, frente al ordenamiento jurídico.

Este cambio supone una evolución desde un modelo puramente reactivo, y centrado en la culpabilidad individual hacia otro más estructural, preventivo, y orientado a la cultura organizacional.

Las empresas, ya no solo deben abstenerse de delinquir, sino que tienen el deber activo de prevenir, detectar, y reaccionar frente a posibles infracciones.

Un programa de Compliance efectivo, por tanto, debe incorporar medidas, que minimicen los supuestos en que pueda incurrirse en responsabilidad, asegurando el cumplimiento normativo, protegiendo la reputación, y la sostenibilidad de la empresa.

De este modo, el Compliance se convierte no solo en una herramienta de gestión del riesgo legal, sino también en una condición esencial para la sostenibilidad ética, reputacional, y jurídica de las organizaciones, que en los momentos actuales se muestra como imprescindible en aras de dar cumplimiento a los requerimientos de los mercados y de la sociedad en general.

Otras Columnas por Javier Puyol Montero:

Opinión | El psicólogo de Compliance: integrando el factor humano en la gestión ética y normativa de las organizaciones

Opinión | La desregulación como un nuevo elemento a valorar para la eficacia del Compliance

Opinión | Acerca de la vinculación entre el Compliance y la inteligencia emocional

Opinión | La psicología social y cognoscitiva en el ámbito del Compliance: los sesgos

Opinión | El Compliance y la gestión de los conflictos de intereses

Opinión | Psicología del informante y motivaciones del anonimato en las denuncias de Compliance