El compliance ya es obligatorio

El compliance ya es obligatorio

Por Rafael Carrau

El titular puede parecer atrevido, porque no se ha producido una
modificación de los artículos del Código Penal que trajeron la figura del
Compliance a España, pero es absolutamente cierto.
La Ley 2/2023 obliga a un muy importante número de empresas a
establecer un sistema mínimo de cumplimiento normativo, no sólo penal,
sino administrativo y europeo.
¿Qué personas físicas o jurídicas se ven obligadas? La exigencia va más
allá del concepto “empresa”, exigiéndoselo a “todas las personas físicas o
jurídicas” (incluyendo por tanto asociaciones, fundaciones, etc.), que reúnan
una de estas características:
– Aquellas que tengan más de 50 trabajadores
– Las que “entren en el ámbito de aplicación de los actos de la Unión
Europea en materia de servicios, productos y mercados financieros,
prevención del blanqueo de capitales o de la financiación del
terrorismo, seguridad del transporte y protección del medio
ambiente”. Esto es, las empresas directamente afectadas por normas
imperativas europeas, por razón de su actividad, centrada en:
o Servicios, productos y mercados financieros.
o Prevención del blanqueo de capitales o de la financiación del
terrorismo.
o Seguridad del transporte
o Protección del medio ambiente
– Todas las personas jurídicas del sector privado que, no estando entre
las anteriores, “establezcan su propio sistema de información”; esto
es todas las que tengan un canal de información interna, sea para
compliance, para protección de datos de carácter personal, para canal
antiacoso, etc.
¿Qué novedades fundamentales supone la nueva ley sobre el
Compliance?
– La obligatoriedad de un sistema que garantice plenamente el
anonimato de quien quiera comunicar anónimamente. Esto excluye el
correo electrónico (perfectamente rastreable por cualquier
informático) y aquellos sistemas basados en una web que no impidan
absolutamente el rastreo de la IP del comunicante.
– La obligatoriedad de establecer un sistema de gestión de las
comunicaciones.
– La obligatoriedad de permitir comunicaciones verbales. Y éstas deben
garantizar el anonimato igualmente cuando se desee por el
comunicante.
– La obligación de integrar en un mismo Sistema todos los canales de
comunicación. Por tanto: los de protección de datos, los de
reclamaciones, los de prevención de blanqueo de capitales, los de

compliance penal, los canales antiacoso, etc. Esto aumenta la
dificultad, pues hay canales que, por confidencialidad, no pueden
llegar a cualquier destinatario.
– La obligación de proteges al comunicante contra cualquier represalia
dentro de la propia empresa.
¿Qué tipo de infracciones deben poder ser comunicadas a la empresa
mediante este sistema?
– Cualesquiera acciones u omisiones que puedan constituir infracciones
del derecho de la Unión Europea previstos en la directiva 2019/1937,
afecten a intereses financieros de la Unión Europea
– o sean infracciones en materia de competencia
– o relacionadas con ayudas otorgadas a la empresa
– o relacionadas con el cumplimiento de sus obligaciones en relación al
impuesto de sociedades.
– Las acciones u omisiones que puedan ser constitutivas de infracción
penal.
– Las que puedan ser constitutivas de una infracción administrativa
grave o muy grave.
¿Viene en serio esta nueva obligación?
La norma prevé un régimen sancionador para el caso de incumplimiento de
las obligaciones establecidas en esta ley, que comprende multas de hasta
1.000.000 de euros (dependiendo de la gravedad de la infracción) así como
la prohibición de obtener subvenciones u otros beneficios fiscales y la
prohibición de contratar con el sector público.
En nuestro grupo hemos participado en un proyecto que empezamos a
desarrollar en 2019, cuando se publicó la Directiva que ha dado origen a esta
norma. Hemos creado una app (SAY US) que cumple con todos los requisitos
establecidos por la norma, superando totalmente las limitaciones que tiene
el email para garantizar los derechos del comunicante.
Hemos puesto a disposición de nuestros clientes esta app, pero también la
ponemos a disposición del resto de empresas, y de los despachos de
abogados dedicados al compliance, puesto que la app direcciona
automáticamente cada una de las comunicaciones a los responsables de
cumplimiento, a los expertos externos, o a los asesores que cada empresa
quiera tener.
Estamos ante un paso muy importante de la gobernanza de las empresas,
pues estos Sistemas de Información Interna pueden ser de ayuda a las
empresas para mejorar sus procedimientos, gestionar mejor sus riesgos
normativos y con ello estar preparadas para competir en unos mercados
cada vez más exigentes con la honestidad y ética empresarial.
Por cierto, una novedad satisfactoria: ya no se le llama “canal de denuncias”,
denominación que resultaba antipática para todos los responsables de
marketing de las empresas pues veían poco estético el anuncio de esto en
las webs. Ahora es obligatorio ponerlo en la web, y además, en la página

principal, pero la denominación legal es mucho más adecuada “Sistema
Interno de Información”.
Bienvenido sea.

Picture of Rafael Carrau Criado
Rafael Carrau Criado
Director del Area de Gobernanza