Alain Casanovas, socio responsable de KPMG en cumplimiento: “El seguro del ‘compliance officer’ debe cubrir su defensa legal”

El grupo de trabajo sobre compliance penal de Ascom que dirige Alain Casanovas con la coordinación de Mayerling Fernández y otros 38 profesionales relacionados con el compliance ha publicado un documento que define las buenas prácticas en compliance y las responsabilidades de estos profesionales. Tras nueve meses de trabajo, este informe ya está disponible en la web de esta asociación profesional.

Para Alain Casanovas, abogado y socio responsable en KPMG de los servicios de compliance y presidente del comité asesor de Ascom, uno de los precursores de los programas de formación de compliance con el catedrático de derecho penal de la Universidad Carlos III, Jacobo Dopico, «este documento está alineado con el regulador americano Securities and Exchange Commission (SEC) y lo publicado por el Colegio de Abogados de la Ciudad de Nueva York. Adoptamos el enfoque más moderno sobre la responsabilidad y protección del compliance officer«.

Estas entidades coinciden con lo que señala este grupo de Ascom al indicar que «hay situaciones donde no se puede pedir la responsabilidad al compliance officer porque ha habido un defecto en su elección como profesional. El perfil técnico o su experiencia no era el adecuado para ejercer su función por las características de la organización y otros motivos. En este caso, la responsabilidad sería de quien hizo esa mala elección. Y el otro escenario es que estando bien seleccionado no tenga los medios adecuados para realizar su actividad profesional».

A juicio de este jurista, «estos dos factores son importantes, la SEC y el Colegio de Abogados de Nueva York también defienden que la participación en el delito o su encubrimiento de dicho profesional, al igual que cuando falla en su cometido profesional y no hace lo que se esperaba si puede generar una responsabilidad penal evidente. En nuestro caso contamos lo que dicen las normas ISO mas modernas, en particular la 37301 publicada en el 2021, que al regular la función de compliance distingue entre aspectos esenciales de este profesional y otras que debe hacer, pero que no son obligaciones tan fuertes como las primeras».

El análisis de este informe deja claro que es un documento sólido y útil para la comunidad de compliance. En este sentido, Casanovas considera que «a falta del Estatuto del compliance officer ya hay documentos que regulan sus expectativas como el Libro Blanco del compliance officer que lo creamos en el 2017 y se actualizó a finales del año pasado y que establece directrices. También las entidades antes citadas han profundizado en ese tema. Ahora están más definidas las expectativas que se esperan al compliance officer que lo estaban hace quince años cuando se aprobó la reforma del Código Penal sobre la responsabilidad penal de las personas jurídicas».

Para Casanovas, «las incertidumbres de los primeros años tras dicha reforma creo que han desaparecido en estos años. En el 2017 apareció la primera versión de nuestro Libro Blanco. En estos años ha aumentado el nivel de sensibilidad y cultura sobre el cumplimiento normativo y otros documentos que se han publicado. Es evidente que en estos momentos el compliance officer está en el centro del debate. La irrupción de la inteligencia artificial (IA) puede ser un apoyo para estos profesionales, como generadora de otros riesgos que habrá que mitigar desde el compliance«.

Alain Casanovas y Jacobo Dopico han formado en la Uc3m a más de un millar de ‘compliance officer’ en los últimos diez años. (Imagen: E&J/Luisja Sánchez)

Tres escenarios de responsabilidad

En este documento se habla de tres escenarios posibles que definen la responsabilidad de esos profesionales. «Hablamos de su participación en el delito, sea porque lo comete o su participación es necesaria, ahí habría una responsabilidad penal como para cualquier persona que participase de esa forma; otra clave es cuando dificulta la averiguación de ese hecho o lo trata de encubrir y el tercero que es el más amplio porque alguien le puede afear que ha faltado a sus cometidos profesionales esenciales. En este ámbito donde las ISO dan mucha luz al respecto», explica Casanovas.

A juicio de este experto, «este documento es muy útil porque centra claramente los escenarios de responsabilidad de este profesional. De tal manera cualquier compliance officer y organización que también les afecta si eligieron mal a ese profesional para realizar su cometido. Se trata de que estas organizaciones tomen decisiones informadas sabiendo lo que le pueden llegar a afear por una mala elección en este puesto de tanta responsabilidad en las empresas e instituciones».

En cuanto a la elección de estos profesionales, considera que «ya no se hace a ciegas, como en los primeros años de creación del marco jurídico que avala al compliance. Ahora es más sencillo porque la figura ya está más asentada. Cursos de posgrado como el de la Universidad Carlos III y el de la UPF de Barcelona que dirijo con Jacobo Dopico ayudan a esa selección de profesionales a lo largo de sus diez años de vida. Por nuestras aulas han pasado más de 1.000 profesionales ahora ya en posiciones relevantes en empresas públicas y privadas como compliance officer».

En el documento se habla de la necesidad de que exista un seguro que cubra la responsabilidad de estos profesionales. «Es necesario porque las tareas de un compliance officer implica una responsabilidad personal que puede ser de orden civil, administrativo o penal. Ese seguro debe tener la máxima cobertura en cuanto a la tipología de siniestros a cubrir es interesante. Debe también incluir la defensa penal de estos profesionales porque ya hay casos en España que los compliance officer han sido llamados en los tribunales, tanto como testigos, como algún proceso judicial le ha situado en el banquillo. Son asuntos aún sin resolver judicialmente», comenta.

En este contexto, Alain Casanovas recuerda que en algunas ocasiones puede haber un conflicto entre lo que tiene que hacer el compliance officer y lo que le señala la dirección de la empresa: «Es cierto que puede haber intereses distintos, la defensa jurídica del compliance officer debe ser autónoma. Y al mismo tiempo en este tipo de situaciones en las que no le dejan hacer su labor deben ser elementos que, con las pruebas que se aporten en ese sentido, dejen claro que no pudo hacer su labor. Eso también lo contamos en nuestro informe».

Casanovas, presidente del comité asesor de Ascom, en el último Día del ‘compliance officer’   (Imagen: Ascom)

Asumen el código ético empresarial

Este experto aclara que «los compliance officer, por norma general, como otro miembro de la organización está sujeto al código ético, de conducta y otras políticas empresariales de su entidad. No tiene un estatuto especial y eso le hace que le afecten los mismos valores y principios que hay en su entidad que asumen otros directivos. Eso si, dispone de independencia y autonomía para hacer su trabajo, pero eso no significa que haga lo que quiera sin explicar nada a nadie. Debe rendir cuentas a la dirección de la empresa de lo que hace».

Casanovas recuerda que «el compliance officer tiene línea directa con los órganos de gobierno de la empresa. La cercanía de la función del compliance a la dirección de la compañía es clave para que se pueda implementar la política de cumplimiento de cada entidad con ciertas garantías de que las cosas se están haciendo bien. Es importante que esa comunicación sea fluida para que pueda hacer su trabajo en condiciones».

Al final, para este experto, «con la lectura de este documento el compliance officer debe quedarse con los tres escenarios de responsabilidad que le vinculan: que al mismo tiempo hay situaciones en las que se debería mitigar esa responsabilidad porque no tiene los medios adecuados para realizar su trabajo, o ha sido mal seleccionada como figura para este puesto por diversas circunstancias. Eso no es culpa suya. Lo importante es que tenga claro que las responsabilidades son claras si participa en el delito, lo encubre o no haga su trabajo como debiera».

Para este jurista, «a la hora de incorporarse un compliance officer a cualquier entidad debe tener claro lo que tiene que hacer. Es importante que en ese proceso de selección que participa para ser elegido como responsable de cumplimiento tenga claro cuál es su trabajo, a quién debe reportar periódicamente y qué tipo de responsabilidades asume por el hecho de ser el compliance officer de la compañía. Así lo dicen también el regulador americano o el Colegio de Abogados de Nueva York sobre el papel del compliance officer y que tenga claro cuál es su trabajo y sus responsabilidades».

Alain Casanovas, un profesional pionero en el desarrollo del compliance officer en nuestro país, reconocido internacionalmente por su labor al frente de KPMG Abogaos, lo tiene claro en este tipo de situaciones. «En el caso que ese futuro compliance officer no tenga todas las respuestas claras de lo que tiene que hacer, es mejor que no asuma esa responsabilidad por los problemas que puedan surgir en el futuro a corto y medio plazo. Este es un trabajo de los más complejos que hay en las organizaciones».

En su opinión, el uso de la IA en las organizaciones «genera ahora riesgos adicionales que antes no existían. El ultimo documento del Departamento de Justicia de los EEUU sobre la evaluación de los corporarte compliance programms del 2024 señala lo importante que es en las evaluaciones de riesgo que se hacen en materia de compliance se tenga en cuenta el uso de derivados de IA, como tecnología disruptiva. La función de compliance debe estar alerta de este y otros riesgos que pueda generar infracciones de la legalidad».