Los Programas o Sistema de Gestión del Cumplimiento están en auge en España al albor de la aparición, en su día, del régimen de responsabilidad penal de las personas jurídicas del art. 31 bis del Código Penal. Además, también destaca la mayor trascendencia práctica del deber general de diligencia en el cumplimiento normativo, como deber inherente de los administradores, de conformidad con lo dispuesto por el artículo 225.1 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, y que ha supuesto una expansión constante del deber de cuidado por las obligaciones de cumplimiento normativo hacia diferentes áreas o disciplinas; pero, con especial incidencia, al ámbito de la economía digital y la tecnología, por la necesidad creciente de disponer, en este terreno, de la suficiente seguridad jurídica y acreditación de diligencia debida ante los incesantes cambios de la propia tecnología y de la normativa.
Del mismo modo que el cumplimiento normativo y la gestión de riesgos deben ser hoy parte esencial del funcionamiento de la organización y de su gobierno corporativo (en sentido integral), la consiguiente acreditación de diligencia corporativa también requiere de un esfuerzo de sistematización y diligencia más intenso (por ser un ámbito más dinámico y sometido a más cambios en términos de actualización operativa y normativa), en cuanto a la tecnología y a la presencia corporativa en la economía digital se refiere.
Así, la conformación de un Sistema de Gestión del Cumplimiento enfocado a la tecnología es, en la actualidad, una respuesta adecuada e imprescindible, frente a los retos y riesgos que se derivan de la constante e imparable transformación digital de las organizaciones y del relevante uso de la tecnología en su seno. Sirvan como ejemplo, los indicadores del Informe “Risk in focus” elaborado por más de setecientos auditores internos de empresas europeas, pertenecientes a doce países. Este reputado Informe señala que los tres principales riesgos que afrontan las empresas europeas tanto en el escenario de 2022, como en el escenario a tres años vista (es decir, 2025) son por este orden:
– Ciberseguridad y Protección de Datos.
– Cambios normativos y regulatorios.
– Disrupción digital, nuevas tecnologías e inteligencia artificial.
La conformación de un Sistema de Gestión del Cumplimiento enfocado a la tecnología es una respuesta adecuada e imprescindible, frente a los retos y riesgos que se derivan de la transformación digital
Considerando que gran parte de la relevancia de estos cambios normativos y regulatorios estriba en el intento de la normativa por “seguir” el ritmo del avance de las nuevas tecnologías y de la economía digital, resulta fácil advertir la necesidad ya reseñada de contar con un Sistema de Gestión del Cumplimiento Normativo Tecnológico, a nivel corporativo, que relacione de un modo dinámico los riesgos y controles en juego:
De un lado,
– los riesgos normativos y regulatorios que se derivan del uso e implementación de nuevas tecnologías.
– los riesgos económico-contractuales derivados de la contratación tecnológica.
– los riesgos jurídicos derivados de las necesidades de ciberseguridad (con una proliferación notable de normativa y estándares) y de la seguridad de la información.
– los riesgos jurídicos y los altos riesgos sancionatorios por el cumplimiento de los requisitos normativos y regulatorios en el ámbito de la protección de datos de carácter personal.
De otro lado,
– los controles existentes para erradicar y mitigar estos riesgos, así como, en su caso, para minorar el impacto de la inseguridad jurídica en este ámbito.
– las revisiones, adecuaciones y actualizaciones de las políticas y de los procedimientos de control establecidos, para el cumplimiento de la normativa tecnológica.
– la revisión, adecuación y actualizaciones de cláusulas contractuales relacionadas con la contratación tecnológica.
– la consideración de criterios jurídicos en la toma de decisiones relacionadas con el cumplimiento normativo en el ámbito de la tecnología y en su contratación.
Beneficios preventivos
En suma, este Sistema de Gestión puede, organizarse hoy, de conformidad con el reciente estándar común validable para cualquier Sistema de Gestión en cualquier ámbito del cumplimiento normativo; esto es, por el estándar de referencia ISO 37301. Y ello conlleva, además, diferentes beneficios preventivos para la organización, así como para la toma de decisiones en términos de gobierno corporativo:
– en primer lugar, como ya se ha dicho, mayor seguridad jurídica en la toma de decisiones y, por ende, mayor facilidad en cuanto a la acreditación de diligencia y la prevención de riesgos, estableciendo un sistema que se adapte a la evolución tecnológica.
– por otra parte, una gestión unificada o coherente del cumplimiento normativo tecnológico, evitando, así, que exista descoordinación, indeterminación y contradicción entre las obligaciones de unas políticas corporativas y otras, lo que pudiera generar, por sí solo, riesgos para la organización en este ámbito.
– disposición de un análisis objetivo e independiente que aporte mayores garantías para afrontar la responsabilidad de la aprobación de políticas o decisiones que afectan al cumplimiento normativo en relación con el uso de la tecnología y la economía digital.
– asignación a cada área y a cada empleado de la organización de los controles y riesgos que debe atender, en este ámbito, en función de su rol en la propia organización o en una actividad concreta.
– facilitar el análisis y la optimización de la gestión de recursos corporativos, económicos y humanos, en este ámbito.
– conformación, a través de actividades formativas y divulgativas, de una auténtica cultura del cumplimiento corporativa.
– facilitar el control del riesgo, no solo interno, sino también el derivado de las actividades, que conllevan uso o contratación de tecnología, con terceros y otros grupos de interés o stakeholders.
– determinar sistemas de evaluación, mejora y desarrollo/seguimiento de los controles, así como, verdaderos indicadores del funcionamiento efectivo de los mismos, para lo que resultará de ayuda el desarrollo de instrumentos “legaltech” enfocados, por ejemplo, a la automatización de procesos sobre obligaciones de cumplimiento normativo y contractual.
Un ejemplo de esta apuesta e incentivo por el cumplimiento normativo puede encontrarse en la Ley 7/2020, de 13 de noviembre, para la transformación digital del sistema financiero. Considerando lo anterior, resulta coherente que la Ley para la transformación digital del sector financiero, haya incorporado, como criterio de innovación, la optimización del acomodo de la realidad de la economía digital y disruptiva, en relación con la facilidad del proyecto para garantizar el cumplimiento normativo mediante la mejora u homogeneización de procesos u otros instrumentos (art. 5.a de la Ley).
Criterios e incentivos
Adicionalmente, la norma considera otros criterios e incentivos relacionados con el mejor cumplimiento normativo e incentivo de buenas prácticas (art. 5, letra b – d de la Ley):
– Aumento de la protección de la clientela.
– Mejora de la regulación.
– Mejora de la supervisión financiera.
Otro ejemplo destacable de la aspiración comunitaria (la cuestión de que sea o no razonable, así como de su eficacia práctica es más que debatible, aunque eso daría para otro artículo) de la pretendida actualización constante de la normativa en relación con la evolución de la tecnología y la disrupción digital, se encuentra, por ejemplo, en el ámbito de la prevención del blanqueo de capitales. La Quinta Directiva europea de Prevención del Blanqueo de Capitales (Directiva -UE- 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018) ha apostado por extender las obligaciones preventivas en esta materia a las criptomonedas. Concretamente, la transposición de esta Directiva, a través del Real Decreto-Ley 7/2021, de 27 de abril, extiende, por ejemplo y entre otras novedades, la condición de sujeto obligado a los servicios de cambio de moneda virtual por moneda de curso legal y a los proveedores de servicios de custodia de monederos electrónicos.
En suma, la incorporación del enfoque tecnológico a los Sistemas de Gestión del Cumplimiento resultará fundamental, por los motivos ya expuestos, en el terreno del gobierno corporativo y de la toma de decisiones, favoreciendo además el necesario reporte y flujo de información veraz y actualizada sobre el cumplimiento normativo real de las actividades corporativas que afectan al cumplimiento normativo tecnológico, para habilitar su conocimiento real de la situación por los Consejos de Administración.
Juan Eugenio Tordesillas – Socio del área Governance, Risk & Compliance de ECIJA