Miércoles, 29 noviembre 2017

Los retos del compliance: contratos del sector público, protección de datos y ciberseguridad

Emilio Hernández (vicesecretario del consejo de administración de Iberdrola Ingeniería y Construcción) es el director del curso Programa Avanzado en Corporate Compliance de UNIR. Nos pone al tanto de las últimas novedades en esta materia.

Usted defiende que sin “medidas de reacción” contra el incumplimiento no hay programa de cumplimiento efectivo que valga. ¿Cuáles son las claves de un programa de cumplimiento para demostrar que es realmente efectivo?

Las claves pasan por la evaluación adecuada de riesgos, la implantación de políticas y controles suficientes con el impulso de la alta dirección (el tone at and from the top), y la designación de una persona u órgano que haga de garante y supervisor. Pero todas esas medidas quedan vacías si no se promueve de forma genuina una cultura ética y en este punto la formación es esencial.  Además, según las US Sentencing Guidelines, la repetición de una infracción similar en el seno de una organización puede cuestionar si el programa es realmente efectivo, de ahí la suma importancia de reaccionar. Una vez detectada una infracción o el riesgo de que se produzca, una entidad no puede permanecer pasiva, debe tomar medidas que incidan sobre la causa para atajarla y evitar que se vuelva a reproducir, como dice la norma UNE 19601.

Además de la norma UNE 19601, ¿qué opinión le merecen las nuevas certificaciones de compliance como ISO 37001?

Creo que serán elementos importantísimos para verificar que se está haciendo las cosas bien, que venga un experto independiente, y mire cómo se está trabajando y además lo valide. Se propondrán acciones correctivas y de mejora y el hecho de que se revisen periódicamente propiciará que esa mejora sea constante. Permitirá además hacer benchmarking y seguimiento del estado de la técnica del compliance. No descarto, como ocurrió con otros estándares de normalización, que en el futuro muchas entidades acaben exigiendo estas certificaciones a sus proveedores. Les dará mayor seguridad, pero no eximirá de la diligencia debida a la hora de contratarles. Será importante seguir haciendo verificaciones propias que confirmen que hay sintonía en cultura ética. Hay que pensar que, ocurrido un siniestro de compliance, se contará con el beneficio de la retrospectiva para valorar si todo lo que se hizo fue o no suficiente.

“Una vez detectada una infracción o el riesgo de que se produzca, una entidad no puede permanecer pasiva”

Medidas disciplinarias, despidos y terminaciones contractuales. ¿La reacción frente a un incumplimiento tiene siempre estos tintes negativos, como de castigo?

En absoluto, yo abogo por medidas fundamentalmente de carácter positivo, que tiendan a promover una verdadera cultura ética en una organización, empezando con el papel ejemplar que deben asumir los directivos y mandos intermedios, así como la puesta en marcha de programas de formación próxima, inteligible y útil, la introducción de mejoras en los procedimientos y campañas de comunicación. Se trata de que, como se hace con la prevención de riesgos laborales en el ámbito anglosajón, se involucre a toda la plantilla en el compliance, porque afecta y empieza en todos y cada uno de nosotros. Por supuesto, se puede ser más creativo. Ya mencioné iniciativas que tienden a incorporar el compliance en procesos de valoración para la selección, promociones o incluso en el ámbito de la retribución variable, y otros incentivos de concienciación. Sé de directivos en Brasil que organizaban incluso competiciones de iniciativas creativas en compliance.

“Sé de directivos en Brasil que organizaban incluso competiciones de iniciativas creativas en compliance.”

¿Qué perfil debe tener un compliance officer investigador?

El enfoque del compliance es multidisciplinar, así que no es posible identificar un perfil único. Cada perfil profesional tiene mucho que aportar. Pero qué duda cabe que convendrá dotarles de formación adecuada, medios y de ciertos protocolos o guías claras que orienten sobre cómo realizar pesquisas y tramitar un procedimiento con las debidas garantías. La colaboración con otras áreas de la organización como recursos humanos, auditoría interna o el servicio jurídico es siempre fundamental.

“Con la aprobación de la Ley 9/2017 de Contratos del Sector Público, el pasado 8 de noviembre, se reforzará el cumplimiento en el ámbito público, donde a veces se observaba cierta desafección hacia la materia.”

¿Cuáles serán los principales retos del compliance en 2018?

Con la aprobación de la Ley 9/2017 de Contratos del Sector Público, el pasado 8 de noviembre, se reforzará el cumplimiento en el ámbito público, donde a veces se observaba cierta desafección hacia la materia. Es verdad que el Código Penal, verdadero acicate del cumplimiento en España, apenas tenía incidencia sobre los entes públicos. Ahora, el planteamiento cambia por completo con la nueva ley, al obligar a que todas las administraciones contratantes implanten medidas de lucha contra la corrupción y los conflictos de intereses. Esto va a ser un catalizador sin duda y veremos un interés creciente en el seno de las administraciones públicas. Ahora bien, la ley no da pautas sobre qué hacer, habla solo de “medidas adecuadas”. De ahí la importancia de que las administraciones contratantes se doten de buenos programas de cumplimiento, de hacerlos efectivos y por supuesto de impartir buena formación a su personal. Otro punto de máxima actualidad e interés será sin duda todo lo relativo a la protección de datos personales y la ciberseguridad, especialmente con la entrada en vigor del Reglamento 2016/679 y la trasposición de la Directiva NIS (2016/1148). Todos estos temas así como los procesos de interacción (cuando no coincidencia) entre el cargo de data protection officer  y el de compliance officer van a dar mucho juego.

“El planteamiento cambia por completo con la nueva ley, al obligar a que todas las administraciones contratantes implanten medidas de lucha contra la corrupción y los conflictos de intereses.”