ComplianceKeys#31. El Compliance Officer en España: función, alcance y responsabilidad de la función de Compliance
Como se explicó en el ComplianceKeys#25, la introducción de la responsabilidad penal de las personas jurídicas en nuestro ordenamiento, a partir de la reforma del Código Penal operada por la Ley Orgánica 5/2010 y consolidada por la Ley Orgánica 1/2015, supuso un cambio estructural en la forma en que las empresas deben concebir la gestión de sus riesgos legales. Desde entonces, la implantación de modelos de organización y gestión orientados a la prevención de delitos —también referidos como Sistema o Modelo de Compliance— ha pasado a ocupar un lugar central en la estrategia jurídica y corporativa de las organizaciones. En este contexto, la figura del Compliance Officer se ha consolidado como uno de los elementos más visibles —y, a la vez, más controvertidos— de los Sistemas de Compliance.
Pese a su creciente protagonismo, el Compliance Officer continúa siendo una figura rodeada de cierta ambigüedad conceptual y jurídica (i). De ahí la importancia de analizar con rigor cuál es su función y cuál debe ser su rol en la organización (ii), así como el alcance de su responsabilidad (iii).
(i) Una figura clave sin definición legal cerrada
El Código Penal español no contiene referencia expresa alguna a la figura del Compliance Officer, limitándose a exigir que la supervisión del Modelo de Compliance se atribuya a un órgano dotado de poderes autónomos de iniciativa y control. Es, por tanto, esta función de supervisión, lo que hoy se denomina función de Compliance —y no una figura concreta— la que adquiere relevancia jurídica a efectos del artículo 31 bis, quedando su configuración organizativa abierta al diseño interno de cada entidad.
En este contexto, el Compliance Officer constituye tan solo una de las posibles realidades orgánicas a través de las que puede articularse la función de Compliance dentro de una organización. En la práctica, dicha función puede recaer exclusivamente en una persona designada como Compliance Officer, atribuirse a un órgano colegiado —habitualmente denominado Comité de Compliance, de Cumplimiento o de Ética—, o bien configurarse a través de la coexistencia de ambas estructuras, con una distribución interna de funciones. Esta diversidad de modelos responde a la ausencia de una regulación legal cerrada que defina el perfil profesional, las funciones concretas o la posición jerárquica del Compliance Officer, lo que ha dado lugar a una notable heterogeneidad de configuraciones bajo una misma denominación.
Las normas técnicas y los estándares de referencia, como la UNE 19601 de Sistemas de Gestión de Compliance Penal, contribuyen a perfilar el contenido material de la función de Compliance, identificando al Compliance Officer como el garante de la supervisión, vigilancia y control del Sistema de Compliance. Sin embargo, estas referencias no tienen rango normativo y dejan cierto margen de configuración a cada organización. En consecuencia, el alcance real de la figura dependerá, en gran medida, del diseño interno del Sistema y de las funciones que efectivamente se le atribuyan.
Esta indeterminación no debe interpretarse, a nuestro juicio, como una carta blanca a la arbitrariedad o una licencia para justificar la desorganización, sino como una exigencia de adaptación a la realidad de cada empresa y una nueva llamada a la creciente autorregulación empresarial. El riesgo aparece cuando esa discrecionalidad se traduce en diseños improvisados, meramente formales o carentes de coherencia con la estructura organizativa y con los riesgos reales de la actividad. En esos casos, el Compliance Officer deja de ser una pieza estratégica para convertirse en una figura decorativa o, peor aún, en un foco adicional de riesgo.
(ii) Funciones y encaje organizativo del Compliance Officer
El Compliance Officer no es, ni debe ser, un ejecutor directo de medidas disciplinarias o correctivas. Su función principal no consiste en dirigir la actividad empresarial ni en asumir competencias propias de la alta dirección, sino, entre otras, en supervisar con liderazgo el funcionamiento del Sistema de Compliance, detectar deficiencias, informar de los riesgos y escalar la información a los órganos con capacidad de decisión que son titulares de la esfera de riesgo.
Desde un punto de vista funcional, sus cometidos deben articularse esencialmente en torno a tres (3) grandes ejes: la comunicación y formación en materia de Compliance, el asesoramiento a la organización y la supervisión y reporte del Sistema. Esta posición omnipresente le exige contar con un grado suficiente de autonomía e independencia, así como con acceso directo al órgano de administración, de modo que pueda ejercer eficazmente su función de alerta y reporte.
El correcto encaje organizativo del Compliance Officer resulta, por tanto, determinante. Un diseño adecuado exige dotarle de recursos suficientes (como, por ejemplo, el asesoramiento de un experto externo, tal y como se indica en la UNE 19601), evitar incompatibilidades funcionales que comprometan su independencia y situarlo en un nivel jerárquico que le permita recabar la colaboración de toda la organización. Cuando estas líneas se desdibujan y el Compliance Officer asume funciones ejecutivas que no le corresponden, o cuando se le priva de autonomía real y de medios, el Sistema pierde eficacia y su existencia se torna impotente.
(iii) Alcance y responsabilidad en el ámbito penal
Uno de los aspectos más sensibles en relación con la figura del Compliance Officer es el relativo a su eventual responsabilidad penal.
En primer lugar, el Compliance Officer no es, por definición, un “pararrayos penal” destinado a absorber la responsabilidad de la empresa ni de sus directivos. Tampoco es una figura inmune. Su posición debe analizarse en función de las competencias que efectivamente se le hayan delegado o encargado y del grado de control que ostente sobre las fuentes de riesgo. En términos generales, su responsabilidad no deriva de la mera existencia del cargo, sino de la omisión grave de las funciones que le han sido válidamente atribuidas.
Por otra parte, desde la óptica de las dos (2) vías de atribución de responsabilidad penal a las personas jurídicas del artículo 31 bis 1 del Código Penal, el papel del Compliance Officer se sitúa en un terreno intermedio y gris que aún genera cierto debate. No es necesariamente un sujeto con facultades de organización y control en sentido estricto, ni un subordinado que realice actividades operativas, sino el encargado funcional de la supervisión del correcto funcionamiento del Sistema de Compliance.
Conviene subrayar, a este respecto, que la función del Compliance Officer se debe circunscribir a la supervisión, vigilancia e impulso del correcto funcionamiento del Sistema de Compliance, pero no a la prevención material de los delitos en el seno de la organización. Así, la supervisión directa o primaria y el cumplimiento del Sistema corresponde, en primer término, al órgano de gobierno y, en el plano operativo, a las direcciones y responsables de cada esfera de riesgo, en la medida en que son quienes ostentan la capacidad operativa de decisión y control sobre los procesos y actividades generadores de riesgo.
En este sentido, la función de Compliance es necesariamente transversal y requiere la participación activa de los distintos niveles y áreas de la organización en la aplicación de los mecanismos de prevención y control, siendo el Compliance un deber compartido por todos los miembros de la organización, con independencia de su posición jerárquica o funciones.
Por ello, resulta esencial huir de planteamientos simplistas. Un Sistema de Compliance eficaz no se limita a nombrar un Compliance Officer o un determinado órgano de Compliance, sino que define con precisión sus funciones y establece canales claros de información y reporte. Solo así el encargado de la función de Compliance puede cumplir su razón de ser: reforzar con liderazgo la cultura de cumplimiento, detectar riesgos a tiempo y supervisar el buen hacer del Sistema en su conjunto.
En definitiva, la figura del Compliance Officer no es un mero requisito formal ni un elemento accesorio del Sistema de Compliance. Bien diseñada, constituye una pieza clave en la gestión de riesgos legales y en la protección penal de cualquier organización. Mal configurada, puede convertirse en un factor de ineficacia y de exposición adicional.