Connect with us
Artículos

Órganos de control en el ámbito del ‘compliance’ frente a la autorregulación corporativa

En España, el órgano de control independiente regulado en el RGPD es la Agencia Española de Protección de Datos

(Foto: E&J)

Patricia Muleiro Antón

Delegada de Protección de Datos. Compliance Officer Clínica Universidad de Navarra.Vocal de la Junta Directiva de CUMPLEN




Tiempo de lectura: 5 min



Artículos

Órganos de control en el ámbito del ‘compliance’ frente a la autorregulación corporativa

En España, el órgano de control independiente regulado en el RGPD es la Agencia Española de Protección de Datos

(Foto: E&J)



El compliance, o cumplimiento normativo, nació en Estados Unidos en los años 70, y surgió a raíz de varios grandes escándalos financieros en el ámbito empresarial. Así, se encarga de que una entidad y, por tanto, también sus empleados, desarrolle su actividad de acuerdo a las leyes, reglamentos, normas y prácticas éticas que se aplican a su sector e industria.

La amplitud del compliance posibilita que la actuación normativa desde los órganos de control pueda completarse mediante la autorregulación corporativa.



La riqueza de ambas aportaciones permite ampliar los límites actuales en la prevención y minimización de los riesgos, posibilitando que la responsabilidad corporativa evolucione, desde una perspectiva meramente normativa a una de carácter más consultivo, con el fin de conseguir su consolidación en torno a tres pilares fundamentales: la integridad, la buena gobernanza y la transparencia.

Órganos de control

Los órganos de control en el ámbito del compliance son las diferentes agencias u organismos europeos a los que legalmente se les ha conferido funciones informativas, de autorización, consultivas e investigadoras con capacidad sancionadora. Así, en España dichos órganos de control se rigen por la Ley 39/2025, que regula el Régimen Administrativo de las Administraciones Públicas.

Es importante diferenciarlos de los órganos de carácter normativo, a los que se les atribuye capacidad para establecer, modificar o derogar normas jurídicas, como pueden ser leyes o Reales Decretos.



En el ámbito europeo encontramos órganos de control de gran impacto corporativo y social, citando entre otros el European Parliament and Council, de gran impacto en ámbitos de la transformación digital y el de las nuevas tecnologías. Igualmente, en referencia a la protección de datos, destacan la European Data Protection Board (EDPB), o la Artificial Intelligence Agency creada recientemente con sede en La Coruña.

Estos órganos, mediante el ejercicio de sus competencias, dan lugar a la aprobación de normas con gran impacto social y corporativo.

Así, el Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (RGPD), a su vez, autoriza la creación de autoridades de control independientes.

Estas autoridades tienen conferidos poderes, entre otros para emitir:

  • Dictámenes destinados al parlamento nacional, al Gobierno del estado miembro, así como al público.
  • Aprobar Códigos de Conducta.
  • Adoptar cláusulas contractuales tipo o aprobar normas corporativas vinculantes.

En España, el órgano de control independiente regulado en el RGPD es la Agencia Española de Protección de Datos (en adelante, AEPD), con potestad regulatoria tanto en la publicación de guías como en la aprobación de códigos de conducta. Igualmente, está dotada de potestad investigadora y sancionadora.

Esta materia afecta a temáticas de gran actualidad, como son los canales de comunicaciones internas y externas, establecidos con motivo de la aprobación de la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de luchas contra la corrupción, igualmente, esta ley autoriza la creación de la Agencia Independiente de Protección del Informante, AAI, figura que recuerda a la anteriormente descrita AEPD.

Actualmente, aunque esta agencia todavía no se encuentra activa, sí se pueden presentar comunicaciones ante la Agencia Catalana antifraude, la cual ha asumido las funciones propias de la Agencia de protección del informante en Cataluña. Igualmente, la AEPD tiene habilitado un canal con la misma finalidad de comunicación.

La AAI, en su condición de autoridad administrativa independiente, y como ente de derecho público de ámbito estatal y personalidad jurídica propia con plena capacidad pública y privada, asume, entre otras, las siguientes funciones:

  • Gestión del canal externo de comunicaciones
  • Adopción de las medidas de protección del denunciante
  • Elaboración de circulares y recomendaciones
  • Potestad sancionadora

Autorregulación normativa

El concepto de autorregulación alude al necesario compromiso sectorial o corporativo que, en el ámbito de la gobernanza, promueve, de forma responsable, el desarrollo e implementación de actuaciones no normativas, pero orientadas a lograr la excelencia en este ámbito, tales como:

  • Los programas internos éticos y de compliance.
  • Procedimientos de diligencia debida y gestión adecuada de riesgos.
  • Programas y políticas de cumplimiento del
  • Estructuras de gobierno corporativo.

Sin embargo, estas actuaciones pueden llegar a no ser suficientes posibilitando oportunidades de mejora, por ello, y en cumplimiento del principio de diligencia debida, pueden surgir, entre otras, las siguientes figuras:

  • Códigos de conducta sectoriales
  • El denominado soft law
  • Códigos de buenas prácticas

Un ejemplo de ello, en el ámbito sanitario, lo encontramos en los Códigos de Buenas Prácticas de Farmaindustria, que aplican tanto a las relaciones con profesionales y organizaciones del ámbito de la salud, como a pacientes.

En el año 2022, con el apoyo de la AEPD, Farmaindustria publica el Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos, y otras investigaciones clínicas y de la farmacovigilancia. Ambos códigos son un referente y una guía de buena práctica en el campo de la salud y de la investigación médica.

Asimismo, el soft law nos aporta una interesante visión e información de la actual situación de las corporaciones.

Enmarcadas en el ámbito de recomendaciones y estándares internacionales de voluntario cumplimiento, las normas de soft law cumplen la importante función de permitir, a los destinatarios de dichas normas, la implementación de buenas prácticas con el fin de facilitar su adaptación a los cambios normativos que se van anunciando para el futuro próximo.

En muchas ocasiones, las recomendaciones internacionales son producto de compromisos que adoptan los estados en organismos internacionales y multilaterales, de ahí que, con frecuencia, con el tiempo, la mayoría de ellas acaben convirtiéndose en normas de obligado cumplimiento, y pasen a formar parte de los ordenamientos jurídicos que se aplican en los diferentes ámbitos sectoriales.

A modo de ejemplo, citamos la reciente Guía de Transparencia de la Información Corporativa (Informe TRAC-España 2022), en la que se evalúa a 35 compañías españolas que participan del IBEX 35 y que fue publicada por el Instituto de Transparencia Internacional España.

Esta Guía ha contado con la colaboración de la Asociación de Cumplimiento Normativo CUMPLEN, organización sin ánimo de lucro que promueve el desarrollo, la profesionalización, la implementación de las mejores prácticas y la búsqueda de la excelencia en el cumplimiento normativo.

Su objetivo es mejorar la integridad, compliance y transparencia en compañías españolas cotizadas en el IBEX 35, promoviendo, a través de indicadores clave de cumplimiento normativo, la mejora y promoción de las buenas prácticas.

La falta de transparencia sigue siendo uno de los mayores retos para la gobernanza corporativa responsable, sostenible y comprometida, la cual, en todo caso, debe ir acompañada de una gestión sostenible y de respeto a los derechos humanos.

De esta forma, la organización puede trasladar un mensaje claro y un compromiso expreso de lo que la entidad quiere proyectar a sus empleados, grupos de interés, a las administraciones públicas y a la sociedad en general.

Los indicadores de la Guía nos permiten conocer los niveles de cumplimiento normativo en cada sector. Así, el nivel superior de cumplimiento en el año 2021 lo encontramos en el sector de Bienes y Servicios de consumo (60%) y el inferior en el sector de productos farmacéuticos y biotecnología (21%).

Reflexión final

Ambas opciones, órganos de control y autorregulación, se complementan y facilitan el cumplimiento normativo y la gestión ética de las entidades.

Es importante que las entidades acompañen su cultura de compliance y de ética, con la colaboración de los órganos reguladores.

Esta colaboración promueve la seguridad y confianza de la sociedad y de los ciudadanos.

“La globalización deja claro que se requiere responsabilidad social no solo por parte de los gobiernos, sino también de las compañías y los individuos” Anna Lindh, política.

...

CONTENIDO EXCLUSIVO PARA SUSCRIPTORES