Javier Puyol: «Hoy el verdadero poder en las empresas no está en mandar, sino en prevenir y en eso el Compliance es clave»

En un mundo empresarial cada vez más expuesto al escrutinio público, las sanciones legales y los desafíos reputacionales, el Compliance ha dejado de ser un accesorio normativo para convertirse en un auténtico motor de transformación cultural.

Javier Puyol, socio director de Puyol‑Abogados & Partners, presidente de la Sección de Protección de Datos y Big Data del Colegio de la Abogacía de Madrid, autor de numerosos artículos y libros especializados en protección de datos, Compliance, derecho TIC y litigación constitucional, desgrana en su último libro, Estudios sobre Derecho de Compliance, que acaba de ver la luz, las claves de este fenómeno que ya actúa como el «sistema operativo» de las organizaciones responsables.

Un libro que tiene su origen en las columnas que Puyol ha venido publicando en este periódico, Confilegal, del que es columnista.

En esta entrevista, el autor no solo explica con claridad los pilares del cumplimiento normativo moderno, sino que también invita a repensarlo desde una perspectiva ética, transversal y preventiva.

Una conversación imprescindible para comprender por qué el Compliance ya no es solo cumplir con la ley, sino construir confianza.

¿El Compliance es ahora el ‘sistema operativo’ de las empresas?

Sí, podríamos decir que el Compliance se ha convertido en el sistema operativo que permite a las empresas funcionar de manera ética, segura y responsable.

Igual que un sistema operativo en un ordenador coordina todos los programas y asegura que todo trabaje en armonía, el Compliance actúa como una guía para que todas las personas dentro de la organización -desde la alta dirección hasta los empleados operativos- sepan cómo actuar conforme a las leyes, los valores de la empresa y las expectativas de la sociedad.

Esto incluye desde el trato justo con los trabajadores, hasta la forma en que se gestionan los contratos con proveedores o se protege la información de los clientes.

Sin un sistema de Compliance adecuado, las empresas se exponen a multas, pérdida de reputación, conflictos internos o incluso responsabilidades penales.

Hoy no se trata solo de cumplir las reglas, sino de construir una cultura basada en la integridad.

Por eso, muchas empresas ya no ven el Compliance como una carga, sino como un aliado estratégico para crecer de manera sostenible y confiable. Hoy el verdadero poder en las empresas no está en mandar, sino en prevenir y en eso el Compliance es clave.

¿Por qué decidió estudiar este tema?

Me atrajo el Compliance porque me di cuenta de que hoy en día, es mucho más que un conjunto de normas legales.

En realidad, es una disciplina que permite transformar la manera en que las empresas operan, interactúan con la sociedad y se relacionan internamente.

Desde mi experiencia profesional y académica, observé que el cumplimiento normativo estaba siendo abordado muchas veces de manera muy limitada, siempre desde una perspectiva puramente jurídica, y mecánica, más orientada a evitar sanciones, que a crear valor para la propia empresa, para los mercados y la sociedad.

Sin embargo, el Compliance en la actualidad, bien aplicado, tiene un potencial enorme: puede cambiar la cultura de la organización, inspirar confianza en los clientes, crear entornos laborales más sanos, y prevenir toda clase de errores en el funcionamiento de cualquier empresa y organización antes de que los mismos ocurran.

Por eso quise aportar una mirada más transversal, más multidisciplinar integrando enfoques de ética, de psicología, de tecnología, y de gestión del cambio, entre otros aspectos.

«El Compliance, bien aplicado, tiene un potencial enorme: puede cambiar la cultura de la organización, inspirar confianza en los clientes, crear entornos laborales más sanos, y prevenir toda clase de errores en el funcionamiento de cualquier empresa y organización antes de que los mismos ocurran».

¿Qué es un Comité de Cumplimiento y por qué es importante?

Un Comité de Cumplimiento es un grupo de personas procedentes de distintas áreas de la empresa -como legal, auditoría, recursos humanos, riesgos, tecnología y sostenibilidad- que se reúnen para supervisar y fortalecer el cumplimiento ético y legal dentro de la organización.

A diferencia del modelo tradicional, donde todo recaía sobre una sola persona (el «Compliance Officer»), este comité permite una visión más integral, compartida y colaborativa.

Su principal función, no es solo revisar si las normas se están cumpliendo, sino también anticiparse a posibles riesgos, mejorar los procesos internos, y tomar decisiones, que refuercen la coherencia en el actuar de la empresa, y,  en la transparencia de la organización.

Aunque puede implicar una mayor inversión de tiempo y de recursos, los beneficios superan ampliamente los costos, ya que se reducen los errores, se evitan crisis reputacionales, y se construye un entorno laboral más justo y confiable.

¿Qué son las ‘red flags’ o señales de alerta?

En Compliance, las “red flags” son como las luces rojas de advertencia en el tablero de un coche.

Son señales que indican que algo puede estar yendo mal dentro de la organización.

No siempre significan que hay una infracción, pero sí que se debe prestar atención, investigar o reforzar controles que avisan de la posibilidad de una vulnerabilidad legal o ética.

Algunos ejemplos de estas señales pueden ser, entre otras muchas: la existencia de pagos poco claros, la situación generada por aquellos empleados que no quieren rendir cuentas, la existencia de relaciones con proveedores sin contratos formales, o la presencia de una cultura interna donde nadie se atreve a hacer preguntas.

También es una “red flag” si los códigos de conducta existen solo en el papel, y no se aplican realmente.

Detectar estas señales a tiempo, es fundamental para evitar que un pequeño problema se convierta en una crisis grave y seria.

Por eso, el rol del Compliance no es solo castigar lo que está mal, sino prevenir, acompañar y ayudar a que las cosas se hagan bien desde el principio.

¿Qué sucede si un profesional de Compliance no hace bien su trabajo?

Cuando una persona encargada del cumplimiento normativo -el llamado «Compliance Officer»- no actúa correctamente, los efectos pueden ser muy serios.

Desde el punto de vista legal, podría enfrentarse a  sanciones de toda índole, si se demuestra que actuó con negligencia, o que permitió prácticas inadecuadas.

Pero el mayor problema puede ser para la propia empresa.

Un profesional de Compliance, que no toma medidas frente a irregularidades, que no informa a tiempo, o que simplemente ocupa un cargo simbólico sin implicación real, debilita todo el sistema de integridad de la organización.

Eso puede abrir la puerta a fraudes, a discriminaciones, a conflictos internos, o a pérdidas de reputación.

En momentos de crisis, si se descubre que no actuó con responsabilidad, incluso puede ser señalado como responsable de no haber evitado el daño.

Por eso, este rol no solo requiere conocimientos legales, sino también valentía, integridad y compromiso ético.

¿Cómo se deben gestionar las pruebas en casos conflictivos?

Cuando se produce un conflicto en la empresa, como una denuncia por acoso o un fraude interno, es fundamental saber manejar bien las evidencias acrediten, que los hechos denunciados son ciertos, o que los mismos carecen de la importancia y trascendencia que inicialmente han tenido en la comunicación efectuada.

Esto implica obtener y recopilar los documentos, los correos, las entrevistas o los registros informáticos de manera ordenada, legal, y todo ello sin vulnerar los derechos de cualquier de las personas, que se vean afectadas por dicha investigación.

Existen métodos profesionales como la cadena de custodia -que garantiza que las pruebas no sean manipuladas-, o el uso de sistemas digitales que guardan de forma segura todos los datos.

Pero tan importante como la técnica es la ética: se debe actuar con transparencia, proteger la privacidad, y en todo caso, evitar cualquier forma de abuso.

Un proceso de investigación bien hecho, no solo permite resolver el caso con justicia, sino que fortalece la confianza en los mecanismos internos con los que se haya dotado la empresa o la organización.

¿Qué es un ‘Chief Happiness Officer’ o director de la felicidad y que papel desempeña?

Es una figura relativamente nueva en las empresas, pero muy valiosa.

El Chief Happiness Officer (CHO) tiene la tarea de asegurarse de que el ambiente laboral sea positivo, sano y motivador.

Su rol va más allá de organizar actividades lúdicas, ya que implica crear políticas, que favorezcan el equilibrio entre la vida personal y profesional, cuidar la salud emocional de los trabajadores, fomentar la comunicación abierta y prevenir el estrés y el desgaste laboral, y el desarrollo de aquellos elementos integradores de una cultura corporativa, que favorezcan el desarrollo del factor humano dentro de la empresa.

Un buen clima de trabajo no solo mejora el rendimiento, sino que también refuerza la cultura de cumplimiento, ya que las personas que se sienten valoradas y escuchadas, consecuentemente con ello, tienden a actuar con más responsabilidad y compromiso.

¿Qué es el ‘Third Party Due Diligence’ en Compliance?

En el mundo empresarial, no solo importa lo que hace la propia empresa, sino también lo que hacen sus socios, proveedores, contratistas o agentes externos.

Por eso, el ‘Third Party Due Diligence’ es un proceso para investigar si esas terceras partes actúan de manera ética y legal, y asumen de manera efectiva los compromisos que la empresa ha establecido al efecto.

Por ejemplo, antes de firmar un contrato con un proveedor extranjero, la empresa debería revisar si tiene antecedentes de corrupción, si cumple con normas laborales, o si respeta el medio ambiente.

Esta evaluación ayuda a prevenir, que una mala decisión genere sanciones o afecte la imagen o la reputación de la empresa.

Es una práctica cada vez más común en Compliance, porque permite construir relaciones de confianza, y proteger a la organización frente a riesgos externos.

¿Por qué es importante el test Barbulescu para el Compliance?

El test Barbulescu, creado sobre la base de las Resoluciones por el Tribunal Europeo de Derechos Humanos, nos recuerda, que las empresas no pueden vigilar a sus empleados sin límites, tiene que existir siempre un principio de proporcionalidad.

Aunque es legítimo que una organización supervise ciertas actividades para evitar fraudes o proteger la información, también debe respetar la privacidad y los derechos fundamentales del trabajador.

El test establece que cualquier control empresarial debe ser siempre informado, justificado, y proporcionado.

Por ejemplo, si se quiere revisar los correos laborales de un empleado, primero debe haber una política clara, el trabajador debe conocerla, y el control debe hacerse solo en la medida necesaria.

Este principio constituye un elemento muy importante para el Compliance moderno, que debe promover el equilibrio entre el control y el respeto, entre la prevención de riesgos y la dignidad humana.

¿Qué riesgos existen en el uso de la inteligencia artificial (IA) en Compliance?

La inteligencia artificial puede ser una herramienta poderosa en Compliance: permite detectar patrones de fraude, analizar grandes volúmenes de datos o automatizar controles.

Sin embargo, también puede generar riesgos si no se usa correctamente.

Por ejemplo, los algoritmos pueden tomar decisiones injustas si están mal diseñados, o si usan datos con sesgos.

También puede haber problemas si se recopila información personal sin consentimiento, o si se confía demasiado en sistemas automáticos sin revisión humana.

Por eso, al usar IA en Compliance, es necesario asegurarse de que sea transparente, revisable, respetuosa con la privacidad, y supervisada por personas y sin sesgos que comprometan sus decisiones.

Por ello, puede afirmarse, que la tecnología debe estar al servicio de la ética, no sustituirla.

¿Qué principios deben regir las investigaciones llevadas a cabo a consecuencia de las denuncias internas?

Cuando se abre una investigación interna a partir de una denuncia, es muy importante seguir ciertos principios básicos:

a) La confidencialidad, para proteger a quienes denuncian, y a quienes son investigados.

b) La imparcialidad, para que no haya favoritismos.

c) La presunción de inocencia, porque nadie es culpable hasta que se demuestre lo contrario.

d) La celeridad, para que el proceso no se eternice.

e) La proporcionalidad, para que las medidas sean adecuadas al caso.

Además, es clave actuar con sensibilidad y con respeto, porque muchas veces estas investigaciones involucran o llevan consigo situaciones personales o emocionales complejas.

En todo caso, las garantías procesales aplicables a las investigaciones internas tienen cada vez una mayor importancia ante la posibilidad de la revisión judicial del resultado de dichas investigaciones, y las consecuencias que de las mismas se pueden derivar para la propia empresa (v.gr. crisis de reputación, gastos y costas procesales, etc.).

¿Cómo transformar la cultura de la organización y dirigirla hacia un cumplimiento más proactivo?

Para que el cumplimiento normativo deje de ser una obligación externa y se convierta en parte de la identidad de la empresa, es necesario trabajar y profundizar en la cultura organizacional.

Esto implica, que las personas no actúen por miedo a ser sancionadas, sino porque realmente crean y hagan suyos los valores de la empresa.

En este sentido, algunas actuaciones clave pasan por incluir el cumplimiento en los valores y la misión de la empresa, en el hecho de capacitar de forma continua, con ejemplos reales y accesibles, en reconocer y premiar las conductas éticas, y en fomentar el diálogo abierto sobre dilemas y conflictos.

En todo caso, una cultura fuerte en integridad no se impone; se construye con coherencia, con liderazgo ético, y con participación.

¿Cómo debe ser un canal de denuncias y cómo se protege al denunciante?

Un canal de denuncias efectivo es aquel que cualquier persona puede usar fácilmente, sin miedo y con confianza.

Debe ser accesible – v.gr. por internet, teléfono, o de forma presencial-, y debe permitir el anonimato, si la persona lo desea.

También es importante que las denuncias se gestionen con profesionalismo, es decir, que alguien con la suficiente preparación y responsabilidad dentro de la empresa las reciba, las clasifique, las investigue y les dé una adecuada respuesta.

Para proteger al denunciante, es fundamental siempre prohibir la existencia de represalias en cualquiera de sus modalidades, asegurar a ultranza la confidencialidad de todo el procedimiento, y reconocer el hecho de que la formulación de una denuncia, sea esta anónima o confidencial, como un acto de integridad.

Así, el canal se convierte en una herramienta de mejora, y no en un espacio de miedo, donde la información obtenida a través de las vicisitudes, errores o funcionamientos deficientes de la empresa, constituye una realimentación del sistema de Compliance o un elemento que propicia la mejora continua de la empresa, que hace a la misma funcionar mejor y de una manera más íntegra.

«Para proteger al denunciante, es fundamental siempre prohibir la existencia de represalias en cualquiera de sus modalidades, asegurar a ultranza la confidencialidad de todo el procedimiento, y reconocer el hecho de que la formulación de una denuncia, sea esta anónima o confidencial, como un acto de integridad».

¿Qué hace el instructor en una investigación interna? ¿Es como un juez?

El instructor es la persona encargada de dirigir una investigación interna cuando hay una denuncia sobre un hecho acecido o sobre la sospecha de que el mismo se va a producir.

Su rol es parecido al de un juez, en el sentido de que debe actuar con neutralidad, y ostentar una imparcialidad objetiva durante todo el tiempo que dure dicho proceso de investigación, reuniendo pruebas, escuchando y valorando argumentos y  versiones sobre los hechos denunciados y efectivamente producidos, y obtener conclusiones, etc.

Pero no impone sanciones, sino que hace recomendaciones o propuestas para que las decisiones finales las adopte un comité u órgano competente dentro de la empresa.

Debe actuar con rigor, pero también con sensibilidad y empatía, porque muchas veces trata con situaciones delicadas, que en la mayoría de los cosas afectan a personas.

Su trabajo es muy importante para que el proceso sea justo, eficaz y creíble.

¿Qué pasa si se obtienen pruebas de forma ilegal?

Si durante una investigación interna se consiguen pruebas violando la ley o los derechos de alguien -por ejemplo, espiando conversaciones privadas o accediendo a información personal sin permiso-, esas pruebas pueden ser inválidas.

En este sentido, el marco establecido por el artículo 11.1 de la Ley Orgánica del Poder Judicial constituye una buena muestra ilustrativa de lo que hacer y del camino a seguir.

Además, la empresa, en otro caso, deberá hacer frente a problemas legales, que puedan surgir de dichas prueba ilícitamente obtenidas, perdiendo la confianza de los trabajadores, y dañando de manera seria y contundente su reputación.

Por eso, es esencial, que todo el proceso de investigación, y concretamente la obtención de evidencias y pruebas de los hechos investigados se haga respetando la legalidad.

El fin, que no es otro, que descubrir la verdad, no justifica el uso de determinados los medios, si esos medios vulneran derechos de las partes o la legalidad vigente.

¿Son los regalos y obsequios un problema para el Compliance?

Sí, los regalos y obsequios pueden representar un problema para el Compliance, sobre todo si no se gestionan adecuadamente.

Desde la perspectiva del cumplimiento normativo y ético, el problema no es el regalo en sí, sino el contexto en el que se entrega, su valor, su intención y su efecto real o percibido sobre la independencia y la objetividad de quien lo recibe.

Así, si un empleado recibe un regalo de un proveedor, cliente o tercero con quien tiene o podría tener relación comercial, puede sentirse -o parecer- influido a tomar decisiones que no son objetivas ni en beneficio de la empresa.

Incluso si el regalo no cambia la conducta del receptor, otros podrían percibir que sí lo hace.

La apariencia de falta de integridad es tan peligrosa como la falta de integridad en sí misma.

En algunos países es habitual dar obsequios como gesto de cortesía.

Sin embargo, si no hay reglas claras en la empresa, se pueden cruzar límites legales o éticos sin darse cuenta.

Las empresas deben tener políticas escritas que definan qué tipo de regalos se pueden aceptar, con qué valor máximo, de quién y en qué circunstancias y es importante que los empleados conozcan la política de regalos y entiendan por qué ciertos obsequios pueden ser inapropiados.

En este sentido, siempre que se reciba un obsequio -incluso si este tiene un valor insignificante-, el mismo debe ser reportado y, en muchos casos, registrado.

Esto ayuda poderosamente a mantener la transparencia en lo relativo a la gestión sobre aceptación de regalos y obsequios.

Si un regalo supera los límites establecidos, o se ofrece con una intención cuestionable, el empleado debe rechazarlo de manera educada y reportarlo, como se ha indicado anteriormente, al área de Compliance.

Los regalos y obsequios no están prohibidos en todos los casos, pero sí deben ser gestionados con criterios de ética, de transparencia, y de proporcionalidad.

En Compliance, prevenir es siempre mejor que justificar y no se trata de prohibir todo, sino de evitar, que lo que parece un gesto amable se convierta en un problema ético o legal.

¿El Compliance se ha convertido en un nuevo ‘temor de Dios’?

La idea de que el Compliance se ha convertido en un nuevo «temor de Dios» es una expresión metafórica que refleja cómo algunas personas dentro de las organizaciones perciben esta función: como una presencia constante, vigilante y correctora, capaz de castigar cualquier error.

Y aunque esta percepción puede tener algo de verdad en ciertos entornos, es, en realidad, una visión incompleta y errónea del verdadero propósito del Compliance.

Desde un enfoque actual, el Compliance no debe entenderse como un instrumento de miedo o castigo, sino como una herramienta de confianza, prevención y mejora continua.

Cuando las normas solo se cumplen por miedo a ser descubiertos o sancionados, no hay verdadera cultura ética.

Lo que hay es obediencia forzada y un oportunismo.

Una organización que basa el cumplimiento en el miedo pierde creatividad, deteriora el clima laboral y limita la participación responsable de sus empleados.

El objetivo del Compliance es crear entornos seguros, claros y previsibles donde las personas sepan qué se espera de ellas, a qué normas deben atenerse y cómo actuar cuando enfrentan dilemas éticos.

Cuando el Compliance se gestiona de forma transparente, cercana y con criterio educativo, los empleados lo ven como un apoyo, no como una amenaza.

Hoy se espera que el área de cumplimiento no solo detecte errores, sino que enseñe, guíe y promueva comportamientos éticos.

Esto implica formar a los equipos, responder dudas, fomentar el diálogo y participar en la toma de decisiones estratégicas.

El Compliance deja de ser un “policía” para convertirse en un “mentor institucional”.

Una organización íntegra no nace del miedo al castigo, sino del compromiso con valores compartidos.

Por eso, el Compliance moderno trabaja desde la convicción, no desde la amenaza.

Promueve entornos donde se puede hablar con libertad, denunciar sin represalias y aprender de los errores.

Cuando las personas comprenden que el Compliance está para proteger a la empresa y a quienes trabajan en ella, se rompe la lógica del miedo.

Se entiende que tener políticas claras, canales de denuncia, códigos éticos y formación no es una carga, sino una señal de madurez y responsabilidad institucional.

El Compliance no debe ser -ni debe percibirse- como un nuevo “temor de Dios”.

Su papel no es castigar desde las alturas, sino construir desde la base.

 Es una función que ayuda a prevenir errores, proteger la reputación, fortalecer la cultura organizacional y garantizar que todos puedan trabajar en un entorno justo, respetuoso y coherente con los valores de la empresa.

Si alguna organización aún utiliza el Compliance como instrumento de temor, está desperdiciando su verdadero potencial.

El futuro del Compliance está en la formación, la participación y la ética aplicada.

El Compliance no está para generar miedo, sino para proteger a la empresa y a sus trabajadores.

Cuando el Compliance se basa en el diálogo, la formación y la prevención, deja de ser un mecanismo de control, y se convierte en un pilar de confianza, y de convivencia ética dentro de la organización.

Noticias Relacionadas:

Compliance en la Cuarta Revolución Industrial: de guardián normativo a arquitecto estratégico

Francisco Bonatti en el Congreso Compliance en la actividad empresarial de ASCOM: «El Compliance es el elemento central de la gestión»

Opinión | El psicólogo de Compliance: integrando el factor humano en la gestión ética y normativa de las organizaciones

Compliance y responsabilidad penal empresarial: perspectivas europeas y estadounidenses a debate en la UNED

Opinión | La desregulación como un nuevo elemento a valorar para la eficacia del Compliance

Opinión | Acerca de la vinculación entre el Compliance y la inteligencia emocional