ComplianceKeys#31. El Compliance Officer a Espanya: funció, abast i responsabilitat de la funció de Compliance
Com es va explicar en el ComplianceKeys#25, la introducció de la responsabilitat penal de les persones jurídiques al nostre ordenament, a partir de la reforma del Codi Penal operada per la Llei orgànica 5/2010 i consolidada per la Llei Orgànica 1/2015, va suposar un canvi estructural en la forma en que les empreses han de concebre la gestió dels seus riscos legals. Des de llavors, la implantació de models d’organització i gestió orientats a la prevenció de delictes —també referits com a Sistema o Model de Compliance— ha passat a ocupar un lloc central en l’estratègia jurídica i corporativa de les organitzacions. En aquest context, la figura del Compliance Officer s’ha consolidat com un dels elements més visibles —i, alhora, més controvertits— dels Sistemes de Compliance.
Malgrat el seu creixent protagonisme, el Compliance Officer continua sent una figura envoltada d’una certa ambigüitat conceptual i jurídica (i). D’aquí la importància d’analitzar amb rigor quina és la seva funció i quin ha de ser el seu rol en l’organització (ii), així com l’abast de la seva responsabilitat (iii).
(i) Una figura clau sense definició legal tancada
El Codi Penal espanyol no conté cap referència expressa a la figura del Compliance Officer, limitant-se a exigir que la supervisió del Model de Compliance s’atribueixi a un òrgan dotat de poders autònoms d’iniciativa i control. És, per tant, aquesta funció de supervisió, la qual cosa avui es denomina funció de Compliance —i no una figura concreta— la que adquireix rellevància jurídica a l’efecte de l’article 31 bis, quedant la seva configuració organitzativa oberta al disseny intern de cada entitat.
En aquest context, el Compliance Officer constitueix tan sols una de les possibles realitats orgàniques a través de les que pot articular-se la funció de Compliance dins d’una organització. En la pràctica, aquesta funció pot recaure exclusivament en una persona designada com Compliance Officer, atribuir-se a un òrgan col·legiat —habitualment denominat Comitè de Compliance, de Compliment o d’Ètica—, o bé configurar-se a través de la coexistència de totes dues estructures, amb una distribució interna de funcions. Aquesta diversitat de models respon a l’absència d’una regulació legal tancada que defineixi el perfil professional, les funcions concretes o la posició jeràrquica del Compliance Officer, la qual cosa ha donat lloc a una notable heterogeneïtat de configuracions sota una mateixa denominació.
Les normes tècniques i els estàndards de referència, com la UNE 19601 de Sistemes de Gestió de Compliance Penal, contribueixen a perfilar el contingut material de la funció de Compliance, identificant al Compliance Officer com el garant de la supervisió, vigilància i control del Sistema de Compliance. No obstant això, aquestes referències no tenen rang normatiu i deixen un cert marge de configuració a cada organització. En conseqüència, l’abast real de la figura dependrà, en gran manera, del disseny intern del Sistema i de les funcions que efectivament se li atribueixin.
Aquesta indeterminació no ha d’interpretar-se, al nostre judici, com una carta blanca a l’arbitrarietat o una llicència per a justificar la desorganització, sinó com una exigència d’adaptació a la realitat de cada empresa i una nova anomenada a la creixent autoregulació empresarial. El risc apareix quan aquesta discrecionalitat es tradueix en dissenys improvisats, merament formals o mancats de coherència amb l’estructura organitzativa i amb els riscos reals de l’activitat. En aquests casos, el Compliance Officer deixa de ser una peça estratègica per a convertir-se en una figura decorativa o, pitjor encara, en un focus addicional de risc.
(ii) Funcions i encaix organitzatiu del Compliance Officer
El Compliance Officer no és, ni ha de ser, un executor directe de mesures disciplinàries o correctives. La seva funció principal no consisteix a dirigir l’activitat empresarial ni a assumir competències pròpies de l’alta direcció, sinó, entre altres, a supervisar amb lideratge el funcionament del Sistema de Compliance, detectar deficiències, informar dels riscos i escalar la informació als òrgans amb capacitat de decisió que són titulars de l’esfera de risc.
Des d’un punt de vista funcional, les seves comeses han d’articular-se essencialment entorn de tres (3) grans eixos: la comunicació i formació en matèria de Compliance, l’assessorament a l’organització i la supervisió i reporti del Sistema. Aquesta posició omnipresent li exigeix comptar amb un grau suficient d’autonomia i independència, així com amb accés directe a l’òrgan d’administració, de manera que pugui exercir eficaçment la seva funció d’alerta i report.
El correcte encaix organitzatiu del Compliance Officer resulta, per tant, determinant. Un disseny adequat exigeix dotar-li de recursos suficients (com, per exemple, l’assessorament d’un expert extern, tal com s’indica en la UNE 19601), evitar incompatibilitats funcionals que comprometin la seva independència i situar-lo en un nivell jeràrquic que li permeti recaptar la col·laboració de tota l’organització. Quan aquestes línies es desdibuixen i el Compliance Officer assumeix funcions executives que no li corresponen, o quan se li priva d’autonomia real i de mitjans, el Sistema perd eficàcia i la seva existència es torna impotent.
(iii) Abast i responsabilitat en l’àmbit penal
Un dels aspectes més sensibles en relació amb la figura del Compliance Officer és el relatiu a la seva eventual responsabilitat penal.
En primer lloc, el Compliance Officer no és, per definició, un “parallamps penal” destinat a absorbir la responsabilitat de l’empresa ni dels seus directius. Tampoc és una figura immune. La seva posició ha d’analitzar-se en funció de les competències que efectivament se li hagin delegat o encarregat i del grau de control que ostenti sobre les fonts de risc. En termes generals, la seva responsabilitat no deriva de la mera existència del càrrec, sinó de l’omissió greu de les funcions que li han estat vàlidament atribuïdes.
D’altra banda, des de l’òptica de les dues (2) vies d’atribució de responsabilitat penal a les persones jurídiques de l’article 31 bis 1 del Codi Penal, el paper del Compliance Officer se situa en un terreny intermedi i gris que encara genera cert debat. No és necessàriament un subjecte amb facultats d’organització i control en sentit estricte, ni un subordinat que realitzi activitats operatives, sinó l’encarregat funcional de la supervisió del correcte funcionament del Sistema de Compliance.
Convé subratllar, referent a això, que la funció del Compliance Officer s’ha de circumscriure a la supervisió, vigilància i impuls del correcte funcionament del Sistema de Compliance, però no a la prevenció material dels delictes en el si de l’organització. Així, la supervisió directa o primària i el compliment del Sistema correspon, en primer terme, a l’òrgan de govern i, en el pla operatiu, a les direccions i responsables de cada esfera de risc, en la mesura en què són els qui ostenten la capacitat operativa de decisió i control sobre els processos i activitats generadors de risc.
En aquest sentit, la funció de Compliance és necessàriament transversal i requereix la participació activa dels diferents nivells i àrees de l’organització en l’aplicació dels mecanismes de prevenció i control, sent el Compliance un deure compartit per tots els membres de l’organització, amb independència de la seva posició jeràrquica o funcions.
Per això, resulta essencial fugir de plantejaments simplistes. Un Sistema de Compliance eficaç no es limita a nomenar un Compliance Officer o un determinat òrgan de Compliance, sinó que defineix amb precisió les seves funcions i estableix canals clars d’informació i reporti. Només així l’encarregat de la funció de Compliance pot complir la seva raó de ser: reforçar amb lideratge la cultura de compliment, detectar riscos a temps i supervisar el bon fer del Sistema en el seu conjunt.
En definitiva, la figura del Compliance Officer no és un mer requisit formal ni un element accessori del Sistema de Compliance. Ben dissenyada, constitueix una peça clau en la gestió de riscos legals i en la protecció penal de qualsevol organització. Mal configurada, pot convertir-se en un factor d’ineficàcia i d’exposició addicional.