Silvia Zamorano, socia de ECIJA: «Los cambios tecnológicos están modificando los programas de ‘compliance penal’»

Del Derecho Penal, al Derecho Penal Económico, la trayectoria profesional de Silvia Zamorano en estos casi veinte años de ejercicio profesional fue evolucionando hasta encontrarse con los primeros años del compliance. Tras formarse en la boutique penalista Oliva Ayala Abogados y cuatro años en el departamento de litigación y arbitraje de Garrigues, llegó en 2011 a Deloitte Legal donde ha estado trece años. Y fue allí donde vivió la llegada del compliance en nuestro país.

Ahora su reto es impulsar en ECIJA un área de compliance, ética e integridad, que va más allá del compliance penal; donde junto con su equipo diseñan y asesoran desde el inicio los programas de cumplimiento de las empresas, así como durante el proceso de mejora continua y actualización, respetando siempre las normas ético-empresariales de cada organización.

Para esta jurista “tanto las obligaciones legales como las exigencias ético-empresariales van creciendo y el modelo de compliance debe adaptarse a ellas. No hay soluciones estándar. Cada empresa debe definir con rigor su análisis de riesgos y qué modelo de cumplimiento va a implementar. Ahí estaremos para asesorarles. Ahora los desarrollos tecnológicos que las empresas implementan obligan a modificar los programas de compliance penal”.

Al mismo tiempo recuerda la gran relación existente entre la sostenibilidad y los modelos de compliance: “La ‘G’ de la terminología ‘ESG’ no deja de ser ‘Gobernanza’; y la lucha contra la corrupción una de las salvaguardas mínimas sociales en materia de sostenibilidad. Dos aspectos fundamentales del compliance. Al final desde Europa se está impulsando una forma de gestionar todos estos riesgos o impactos que nos acercan a metodologías comunes. Las empresas tienen que integrar estos sistemas de gestión de riesgos en función a los recursos de los que dispongan, pero que les permitan responder realmente a estos riesgos inherentes al negocio”.

Esta experta recuerda que tras el año 2010, que introdujo el hito principal de la responsabilidad penal de las personas jurídicas, se empezó a expandir la idea de cumplimiento normativo o compliance en nuestro país fuera de los sectores regulados. En aquel momento las entidades financieras tenían ya una regulación estricta en cumplimiento, pero no así la generalidad de entidades empresariales”.

Sin embargo, no seria hasta la reforma del Código Penal del 2015 donde el legislador establecería las pautas de esos modelos de cumplimiento; al igual que la Circular 1/2016 de la FGE donde también se establecían esos mínimos para que, en caso de un hipotético procedimiento judicial, se pueda entender que el modelo es eficaz.

Desde su punto de vista los modelos de compliance se han sofisticado más porque los frentes regulatorios a los que hay que responder son muy diversos. El uso de las normas UNE han ayudado a establecer un marco de actuación común para que las empresas los puedan gestionar adecuadamente.

A este respecto Silvia cita una norma no certificable inicial que dio las primeras pautas en la materia, la ISO 19.600 sobre sistema de gestión de compliance; para dar lugar posteriormente en 2017 a la UNE 19.601 sobre sistemas de gestión de compliance penal a nivel nacional, permitiendo profesionalizar los modelos de cumplimiento.

Al mismo tiempo nos aclara que “más reciente es la norma internacional ISO 3.7301 sobre sistema de gestión de cumplimiento normativo, así como también hay otros estándares de cumplimiento basados en gestión de otros riesgos en materia de competencia y sociolaboral. No podemos olvidarnos, recuerda, de la pionera norma ISO 37.001 sobre gestión antisoborno, como gran referente internacional que establece un relevante marco de actuación. Son normas útiles tanto para las empresas como para los asesores que damos servicios a estas compañías”.

Esta experta en cumplimiento tiene claro que cada empresa debe definir su programa de ‘compliance’ en función de sus riesgos legales. (Imagen: ECIJA)

El papel del ‘compliance officer’

Silvia Zamorano nos avisa que en la actualidad “hay una directiva sobre medioambiente que va a reformar nuestro Código Penal. Los Comités de Cumplimiento u órgano de control que se han constituido en las empresas para hacer seguimiento de sus modelos de compliance nos piden que les informemos del impacto de la nueva regulación y que modificaciones se van produciendo. Por ejemplo, este año se aprobó la directiva de Diligencia Debida de Sostenibilidad que tiene un impacto importante en materia de compliance; sobre todo en relación con las empresas filiales y terceros”.

Para esta jurista, “el compliance officer es un gestor de riesgos que tiene que coordinar en el seno de la empresa a auditores, informáticos y juristas, entre otros profesionales con funciones de supervisión y gestión de riesgos. Tiene relación directa con la Dirección de la empresa y su papel es clave cuando se detecta una amenaza o se ha producido una infracción. Los riesgos son tan diversos que debe tener la capacidad de poder identificarlos y gestionarlos, incluso mediante la coordinación con otros especialistas. Por ejemplo, los delitos contra el medio ambiente requieren la participación de ingenieros medioambientales para su correcta mitigación”.

Esta experta indica que la era digital “nos trae una forma nueva de hacer las cosas. Por tanto, para poder identificar y prevenir adecuadamente los riesgos de compliance que afectan a nuestra empresa tenemos que conocer las tecnologías subyacentes. Estos desarrollos tecnológicos están modificando ya los programas de compliance penal. Llegan nuevos riesgos que hay que saber tratar y minimizar. Es importante saber dónde se produce la vulneración para entender cuál es el riesgo y cuál es la responsabilidad que se deriva de dicho riesgo. Este es un reto al que se van a enfrentar las nuevas generaciones”.

En cuanto a la llegada de la IA esta jurista advierte que “nos vamos a encontrar con distintas formas de delinquir, no sabemos si surgirán nuevos delitos, pero si estoy segura de que surgirán variaciones de algunos de los que ya existen que van a requerir una profunda reforma en cuanto a su entendimiento. Muchos de los delitos del Código Penal exigen conocimiento y voluntad para cometerlos y la IA trae una nueva forma de conciencia y voluntad. Habrá que ver cómo gestionamos este nuevo escenario”.

Al final “hay que darse cuenta que nuestro Código Penal protege la salud, la seguridad y los derechos fundamentales de los ciudadanos. Hay un debate abierto sobre si habría que hacer una reforma de la normativa penal. Ahora tenemos reformas constantes que impactan en los modelos de cumplimiento de las empresas y les obligan a actualizar su modelo”.

Cada directiva nueva que surge incide en el citado Código Penal. Sólo en el 2023 se modificó cuatro veces al introducir el maltrato animal como delito que genera responsabilidad penal corporativa; el acoso laboral; sexual; e inmobiliario, a través de la Ley de Garantía Integral de Libertad Sexual conocida como la ‘Ley del solo sí es sí’ y otras modificaciones que se produjeron”, advierte.

Silvia Zamorano con su equipo de trabajo ya estudiando propuestas de desarrollo de programas de ‘compliance’. (Imagen: ECIJA)

Definir los riesgos penales

Respecto a los riesgos penales en los que pueden incurrir las empresas, la entrevistada concreta más “el riesgo penal que más preocupa y que constituye una prioridad para las organizaciones es la lucha contra la corrupción. Es el principio básico en materia de integridad. Internacionalmente es uno de los principales ejes en materia de cumplimiento y sobre el que más regulación específica encontramos. Asimismo, si nuestras empresas buscan financiación fuera de nuestro país, la integridad es uno de los elementos que se tiene en cuenta para acceder a dicha financiación. Es un riesgo de primer nivel en la gestión del compliance”.

De forma colateral indica que “dependiendo de la actividad de cada organización nos vamos a encontrar con riesgos específicos, si soy una empresa dedicada a la construcción también me va a preocupar la integridad física de mis trabajadores, y si soy una empresa con una actividad especialmente expuesta o un sujeto obligado por la normativa de prevención del blanqueo de capitales, mi preocupación será prevenir el blanqueo. Así, todo lo relacionado con temas de anticorrupción; competencia justa e información financiera van a ser los riesgos comunes que más preocupen a las organizaciones”.

En este escenario, la llegada de la trasposición de la directiva de protección al informante ha suscitado grandes dudas en los expertos por la redacción legislativa de la norma “la ley es muy amplia y toca muchos aspectos donde puede haber distorsiones dentro de las organizaciones. Eso hace que haya temas que escapen al compliance officer o responsable del sistema interno de información. La tramitación que haga de las denuncias no es sencilla”.

“Además”, señala Zamorano, “muchas de las infracciones o comunicaciones que se puedan reportar a través del Sistema Interno de Información tienen su propia regulación, como son los temas de acoso, así como la dificultad con las que se están encontrando para distinguirlas o diferenciarlas de una reclamación laboral”.

Desde su punto de vista que un programa de cumplimiento funcione o no depende de la organización de cada empresa “cuando hemos invertido desde el principio en medios y recursos que permitan fomentar la cultura y cambiar la mentalidad en cómo hacer las cosas y en cómo se perciben, mayor éxito se tendrá porque la cultura anglosajona que es de donde surgen los modelos es diferente a la nuestra”.

“En aquellos primeros años, sobre todo tras la reforma del Código Penal del 2015 hubo que hacer una labor de concienciación muy importante por parte de las organizaciones para cambiar la manera en la que se hacían las cosas. En esos años no estaba tan claro si una practica comercial estaba dentro de las buenas prácticas empresariales internacionalmente reconocidas”, indica.

Para esta jurista los cambios tecnológicos que se avecinan y la IA pueden están ya modificando los programas de ‘compliance’ penal. (Imagen: ECIJA)

Los negocios se hacen de otra forma

Para Silvia “es evidente que en esta última década la forma de hacer negocios ha cambiado de forma radical. El empresario es más prudente; tiene una mayor concienciación de los riesgos y es capaz de percibir si esa práctica que realiza su organización esta bien vista en el mercado. Los códigos éticos se han convertido en un elemento principal para las organizaciones en la medida que definen los valores con los que quieren ser identificados en el mercado, estableciendo los principios éticos y pautas de comportamiento y configurándose como un elemento clave del modelo de compliance a seguir”.

En este escenario la jurista valora de forma notable las sentencias de la Sala Segunda del Supremo que han ido ajustando la normativa actual en materia de cumplimiento “han ayudado mucho de cara a que el tejido empresarial se tomara en serio lo qué es el cumplimiento normativo. Es algo más que una defensa judicial, creo que han ayudado a interiorizar esos conceptos de cultura y de ética. José Manuel Maza, luego fiscal general del Estado, pese a su pérdida, siempre seguirá siendo un referente en este país. Tenemos mucho que agradecerle porque esa creencia del cumplimiento normativo la trasladó a la sociedad en su conjunto y propulsó el interés en otros magistrados de esta Sala”.

A su juicio el fenómeno del compliance tiene una dimensión internacional y las empresas españolas y su normativa está al nivel de otros países. “Ahora el reto es responder a lo riesgos regulatorios que vienen de la IA y su Reglamento como de otras normativas en materia de ciberseguridad como NIS2 o el Reglamento DORA, éste para empresas del sector financiero. El riesgo penal está conectado con estas nuevas regulaciones. Son normativas cada vez más complejas como el Reglamento de IA que surge para regular y proteger esas iniciativas de IA en relación con la protección de la salud, la seguridad y los derechos fundamentales de los ciudadanos”.