Categoría:Noticias
Adaptación de la Ley 10/2010 a la IV Directiva Europea: novedades.

 

El Real Decreto-ley 11/2018, de 31 de agosto, de transposición de directivas en materia de protección de los compromisos por pensiones con los trabajadores, prevención del blanqueo de capitales y requisitos de entrada y residencia de nacionales de países terceros y por el que se modifica la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, ha sido publicado el pasado 4 de agosto y entrado en vigor el mismo día.

Dicho Decreto ha venido a subsanar las deficiencias en la transposición de la Cuarta Directiva europea sobre blanqueo de capitales, que habían dado lugar a la apertura de un expediente sancionador por parte de la Comisión Europea.

Las modificaciones introducidas por el Real Decreto son numerosas, hasta treinta y tres, por lo que destacaremos las más importantes.

En matera de sujetos obligados se incluye en al apartado o) del artículo 2.1 a las personas que, con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable, presten por cuenta de terceros funciones de asesoría externa de una sociedad.

En la identificación del titular real se precisan los criterios de determinación del control, por remisión al artículo 42 del Código de Comercio y a las Directivas Europeas sobre estados financieros. Asimismo, se establecen los criterios de determinación del titular real en los fideicomisos y trust.

En materia de juego hay importantes añadidos, incluyendo las distintas modalidades de juego on line y estableciendo las cuantías de las operaciones para aplicar las distintas medidas de diligencia debida.

Se permite externalizar determinadas obligaciones en materia de diligencia debida en organizaciones o federaciones de sujetos obligados.

Se obliga a aplicar diligencia reforzada en relación con los países que presenten deficiencias estratégicas en sus sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo.

Se define expresamente la corresponsalía bancaria transfronteriza y se regulan las medidas y obligaciones a adoptar en relación con las operaciones con corresponsales.

Se introducen modificaciones en la definición de los PEPs, para una mejor precisión del concepto de altos cargos. Destaca, como novedad, la introducción entre los mismos de los cargos de alta dirección de partidos políticos con representación parlamentaria. Por su parte, se extiende la obligación de aplicar medidas de diligencia debida en relación con los mismos, transcurrido el plazo de dos años desde el cese, salvo que el sujeto obligado determine que ya no representa un riesgo específico derivado de su antigua condición.

En materia de conservación de documentación en materia de PBC, se establece la obligación de destrucción de la misma, transcurrido el plazo de conservación de diez años, y restricciones de acceso en el plazo de cinco.

Se extiende la obligación de aplicar las políticas y procedimientos de PBC a las sucursales y filiales en terceros países.

Se establece la obligación de crear un canal confidencial de denuncias por incumplimiento, que debe permitir las denuncias anónimas. Y ello sin perjuicio de mantener el resto de obligaciones de comunicación interna.

El representante ante el SEPBLAC deberá ser una persona residente en España, que ejerza cargo de administración o dirección de la sociedad.

En materia comercio de bienes el límite en el uso de medios de pago anónimos se reduce de 15.000 a 10.000 euros.

Las facultades de supervisión e inspección del SEPBLAC se ven reforzadas, pudiendo extenderse a los sujetos que han sido objeto de una exención de conformidad con lo previsto en la ley, y a las políticas y procedimientos aplicados por la matriz a sus filiales y sucursales en el extranjero. Asimismo se orientan las actuaciones de supervisión a un enfoque basado en el riesgo supervisor.

Se intensifica la cooperación internacional en materia de prevención mediante el refuerzo de las actuaciones de intercambio de información, tanto con países UE como con terceros, en este caso en función de convenios o del principio de reciprocidad. Se faculta al SEPBLAC a la suspensión de transacciones en curso a requerimiento de la Unidad de Inteligencia Financiera de otro Estado miembro de la Unión Europea,

En materia de sanciones, se incrementa notablemente la cuantía de las mismas que quedan de la siguiente forma:

  • El importe máximo de las multas por infracciones muy graves ascenderá hasta la mayor de las siguientes cifras: el 10 por ciento del volumen de negocios anual total del sujeto obligado, el duplo del contenido económico de la operación, el quíntuplo del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan determinarse o 10.000.000 euros.

Para los administradores o directivos el importe máximo se fija en 10.000.000 euros.

  • El importe máximo de las multas por infracciones graves ascenderá hasta la mayor de las siguientes cifras: el 10 por ciento del volumen de negocios anual total del sujeto obligado, el tanto del contenido económico de la operación, más un 50 por ciento, el triple del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan determinarse, o 5.000.000 euros.

Para los administradores o directivos el importe máximo se fija en 5.000.000 euros. Además de la sanción que corresponda imponer al sujeto obligado por la comisión de

Se introducen nuevos criterios de graduación de las sanciones como la cuantía de las operaciones afectadas por el incumplimiento, las pérdidas para terceros causadas por el incumplimiento o el nivel de cooperación del inculpado con las autoridades competentes.

Otra importante novedad es la regulación del canal para la comunicación de infracciones al SEPBLAC, canal cuya existencia deberá ser difundida en los programes de formación de los sujetos obligados. Dicho canal será confidencial y se establecen los mecanismos de protección del denunciante.

Por último, y con especial relevancia, se introduce la obligación de inscripción en el Registro Mercantil  de las personas físicas o jurídicas que de forma empresarial o profesional presten todos o alguno de los servicios descritos en el artículo 2.1.o) de la ley, inscripción que debe hacerse con carácter previo al inicio de dichas actividades o, en el caso de quienes ya las estén realizando, en el plazo de un año.

Dicha inscripción, cuya omisión es considerada infracción leve, va acompañada de la obligación de presentar cuentas anuales aunque no lo estuvieran los sujetos obligados, salvo que se trate de prestadores de servicios a sociedades que sean personas físicas profesionales.

Además, junto a las cuentas anuales deberá depositarse un documento en el que se consignen los servicios de esta índole que se prestan, ámbito territorial de actuación, operaciones con no residentes o volumen facturado, entre otras cuestiones.

Como podemos observar, las modificaciones de la normativa en materia de prevención del blanqueo de capitales no son pocas y algunas son bastante relevantes. Destacan la definición de grupo empresarial, el refuerzo de las sanciones, el registro de profesionales de prestación de servicios financieros, la definición de tercer país equivalente, las medidas de diligencia debida o el establecimiento de los canales de denuncia internos y externos.

Hay alguna cuestión imprecisa y que dará lugar a problemas interpretativos como la inclusión entre los sujetos obligados de las personas que presten servicios de asesoría externa de una sociedad, término especialmente difuso que nos obliga a estar a la interpretación de que del mismo se haga por la administración.

En todo caso, la norma está ya en vigor y obligará a hacer adaptaciones a todos los sujetos obligados, puntuales en algunos casos y significativas en otros.

Alegaciones a la modificación de la Ley 10/2010 de Prevención del Blanqueo.

El pasado 16 de enero se cerró el trámite de información pública de las modificaciones para adaptar la Ley 10/2010 de Prevención del Blanqueo de Capitales y su Reglamento a la IV Directiva Europea en la Materia

ASEBLAC ha participado en dicho trámite, formulando algunas propuestas que consideramos pueden ayudar a una mejor aplicación de la norma.

Antes de entrar en materia, no está de más resaltar que no parece muy adecuado simultanear la aprobación de la reforma de la Ley con la del Reglamento. Y ello porque los trámites son distintos y se sustancian en sedes distintas, la primera en vía parlamentaria y la segunda en vía gubernativa. Si consideramos la jerarquía normativa, hay que prever la posibilidad de que el Parlamento introduzca modificaciones en la Ley que contravinieran las modificaciones propuestas en el Reglamento, con lo que éste adolecería de una causa de nulidad, al ser “contra legem”, o tendría que ser modificado, lo que implicaría volver al principio. Pero las prisas priman y parece que se da por hecho que las reformas propuestas salgan del Parlamento tal como entraron, lo que no deja de ser un síntoma del poco respeto que se le tiene en nuestro país al órgano depositario de nuestra soberanía.

Al margen de lo anterior, consideramos que las reformas parecen relevantes y, en muchos aspectos, acertadas. En cualquier caso, había que adecuar nuestra norma a la Cuarta Directiva por lo que el margen de maniobra es pequeño.

No obstante, algunas de las propuestas son llamativas, y revelan una cierta tendencia a trasladar obligaciones a los sujetos que participan en el terreno de juego de la Prevención sin pensar en las consecuencias y costes que pueden suponer.

En el tema de las franquicias, no parece que el legislador haya entendido la naturaleza del contrato y las relaciones franquiciador-franquiciado, imponiendo al primero una serie de obligaciones que no le competen, dada su falta de relación con el cliente final.

En materia de PEPs, al margen de la exclusión de los ayuntamiento de menos de 50.000 habitantes, muchos de los cuales son mayores que algunas capitales de provincia, se echa en falta que se aborde, de una vez, una lista de PEPs con libre acceso para los sujetos obligados. Y ello porque los nombramientos son públicos y publicados, con lo que no se plantearían problemas de privacidad y, por el contrario, se facilitaría y abarataría el cumplimiento por los sujetos obligados. Además se fomentaría la seguridad jurídica y la transparencia.

El canal de denuncias, va a haber dos a falta de uno, es una mejora que parece necesaria. No obstante, no se entiende la insistencia en que dicho canal sea anónimo, cuando el debate, en otros supuestos similares, era precisamente si eran admisibles las denuncias anónimas. Además, no tiene mucho sentido establecer mecanismos de protección del denunciante si éste necesariamente ha de estar en el anonimato. Con esta salvedad, parece adecuado el establecimiento de los derechos y facultades del denunciante, que no se contempla en la normativa vigente. Pero consideramos que se debería aprobar una regulación de protección del denunciante de carácter general y transversal, que establezca unos mínimos tanto en los canales de denuncia privados como en el público.

Respecto al experto externo, se han regulado cuestiones acerca de sus incompatibilidades,  idoneidad y calidad de los informes que parecen bastante acertados. Pero se plantean dudas en cuanto a sus responsabilidades y las de los sujetos obligados que merecen una revisión en detalle para evitar que se haga recaer las consecuencias de posibles incumplimientos en quien no tiene capacidad para evitarlos.

En cuanto a las referencias a protección de datos, hechas todas a la LOPD en vigor, parece necesario tener en cuenta que dicha normativa ha sido modificada por el nuevo Reglamento General de Protección de Datos, que la sustituirá a partir del 25 de mayo. Por ello sería conveniente ajustar las referencias para evitar su obsolescencia casi “ab initio”.

Por último, y de gran trascendencia, reseñar la obligación de inscripción en el Registro mercantil de las personas físicas empresarios o profesionales que tengan la condición de sujetos obligados por prestación de determinados servicios a empresas.  Este precepto parece, en su conjunto, fuera de lugar, en cuanto que el objeto del Registro Mercantil es la inscripción de actos mercantiles con el objeto de dotar de seguridad el tráfico entre empresarios, mientras que la naturaleza de las inscripciones que se pretenden introducir en este artículo es puramente administrativa.

La regulación propuesta introduce unas restricciones de publicidad y costes que podían evitarse, abordando la cuestión mediante un registro administrativo público de sujetos obligados.

Podemos concluir que la modificación de la normativa era necesaria y la reforma va en buen camino, pero es importante tener en cuenta las inquietudes de los profesionales y sujetos obligados, que están en el día a día de la prevención, para conseguir mayores niveles de eficacia en la lucha contra el blanqueo, sin imponer obligaciones desproporcionadas que minen la eficiencia.

El experto externo ante la modificación de la Ley de Prevención del Blanqueo de Capitales

El proyecto de modificación de la Ley 10/2010 de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo introduce algunas referencias a la figura del experto externo que merecen un estudio específico.

En primer lugar, el artículo 16 del Proyecto modifica el apartado 2 del artículo 28 introduciendo la novedad de que “los sujetos obligados no podrán encomendar la práctica del examen externo a aquellas personas físicas o jurídicas que les hayan prestado o presten otros servicios retribuidos en materia de prevención del blanqueo de capitales y de la financiación del terrorismo durante los tres años anteriores o posteriores a la emisión del informe.” Así, se extiende la incompatibilidad que antes, de forma poco justificable, era aplicable solamente a las personas físicas, a las personas jurídicas, cuestión que parece muy acertada en orden a evitar los conflictos de interés.

Una cuestión de especial trascendencia es la regulada en el artículo 52.1.q), relativo al régimen sancionador, que actualmente se limita a tipificar como infracción grave “el incumplimiento de la obligación de examen externo”.

La modificación propuesta añade como infracción “su falta de idoneidad o la insuficiencia o irregularidad del informe del experto externo; así como, en relación con el experto externo, la falta de comunicación al Servicio Ejecutivo de la Comisión antes del inicio de la actividad o de remisión de la relación semestral de sujetos obligados cuyas medidas de control hayan examinado, en los términos del artículo 28.”

Aquí se plantean una serie de dudas que deben ser despejadas, especialmente dada la cuantía de las infracciones y las consecuencias que conllevan para los expertos externos y los sujetos obligados.

En primer lugar, cabe plantearse sobre quién recaen las responsabilidades de las conductas tipificadas como infracción. En el supuesto de falta de comunicación al Servicio Ejecutivo de la condición de experto o de las relaciones semestrales, no cabe duda de que el sujeto infractor será el experto. Pero la cuestión no es tan clara en el caso de las conductas consistentes en falta de idoneidad, insuficiencia o irregularidad del informe.

En principio, no queda claro a qué se refiere la norma cuando habla de “la idoneidad del examen”. Poniendo este precepto en relación con el artículo 27, parece referirse a la idoneidad del experto externo. Pues bien, el problema es que los requisitos de idoneidad no están regulados en ninguna parte, al no estar la condición de experto  sujeta a titulación, mérito o experiencia concretos. Y no nos parece mal, porque probablemente no es cometido de la Comisión entrar en la regulación de la profesión. Pero lo que no puede considerarse razonable es que se traslade la carga de valorar la idoneidad al sujeto obligado. En este sentido, el sujeto no tendrá otro medio para realizar dicha valoración que el currículum del experto, de obligatoria incorporación a sus informes, según la Orden EHA  2444/2007. El problema es que el informe es al último acto del experto, por lo que la valoración de la idoneidad solo podría realizarse una vez terminada su tarea.

Puede alegarse que el sujeto obligado tiene la posibilidad de examinar dicho currículum antes de contratarlo. Pero, por esa misma regla, podría exigirse a las empresas que valoraran la idoneidad de sus auditores contables, asesores fiscales, servicios de prevención de riesgos laborales, de protección de datos, etc. bajo pena de incurrir en negligencia. Esto es, pedir que los neófitos de la materia valoren la competencia de aquellos a quienes han contratado precisamente por sus conocimientos. La cosa es más descabellada en el momento en que el SEPBLAC lleva su registro de expertos. Con qué fundamento puede exigirle el SEPBLAC a un sujeto obligado que cuestione la idoneidad de un experto externo al que el propio SEPBLAC le ha reconocido, al menos formalmente, dicha condición.

En cuanto a la insuficiencia o irregularidad del informe, tampoco queda muy claro qué conductas están comprendidas dentro del precepto. Si bien la irregularidad puede referirse a la falsedad del informe o la omisión en el mismo de evidencias relevantes descubiertas en el examen, aspectos absolutamente reprobables y sancionables, la prueba de tales circunstancias plantea muchos interrogantes.

En cuanto a la insuficiencia, parece que el legislador trata de garantizar la calidad de los informes. El problema es que, actualmente, no hay ninguna norma o criterio válido que permita enjuiciar la calidad de los mismos. Baste decir que la instrucción que actualmente regula la materia es la Orden EHA  2444/2007, de 31 de julio de 2007, es decir, anterior a la normativa actualmente vigente (Ley 10/2010, las instrucciones del SEPBLAC y, por supuesto el Reglamento). La citada Orden, como botón de muestra, todavía se refiere a “los sujetos obligados de régimen especial”, que ya no existen desde la reforma de 2010. Así que lo único cierto, a día de hoy, es que el experto externo que se ajuste estrictamente a la Orden vigente redactará informes manifiestamente insuficientes por obsolescencia de la norma de referencia, sin disponer de otra.

Nos parece más que loable la intención de dotar de solvencia profesional los informes de experto externo. Pero debería haberse optado tanto por establecer los requisitos que deben cumplir los expertos, valorando su idoneidad por parte del SEPBLAC, que al fin y al cabo es quien los registra, como por apoyarlos en su tarea, dándoles los medios necesarios para que puedan cumplirla con solvencia. No está de más recordar que, hasta hace muy poco tiempo, para conseguir los catálogos de operaciones de riesgo aprobados por la Comisión, fundamentales para realizar su trabajo, los expertos externos debían conseguirlos a través de colegas o clientes porque la Comisión se los denegaba alegando “que no eran sujetos obligados”.

Por último, un aspecto muy relevante del proyecto es la introducción, en el artículo 54, de la responsabilidad de los expertos externos por las infracciones en materia de PBC. Dicho artículo coloca a los expertos externos en la misma posición que los administradores o directivos de la empresa por las infracciones que se cometan, incluso a título de simple inobservancia, cuando sean imputables a culpa o negligencia.

La pregunta que cabe hacerse es a qué tipo de infracciones se refiere este artículo. ¿Se refiere exclusivamente a la infracción de la obligación de informe externo? ¿O el experto externo responderá de otro tipo de infracciones (inadecuación del manual, omisión de diligencia debida, omisión de comunicaciones, etc.) cometidas por el sujeto obligado si su informe es defectuoso? No debemos olvidar que el informe del experto externo debe evaluar los procedimientos del sujeto obligado, pero no tiene por objeto detectar operaciones susceptibles de estar relacionadas con el blanqueo de capitales y que no hubieran sido debidamente identificadas, analizadas o comunicadas, ni valorar la calidad de los análisis y decisiones internas realizadas por los sujetos obligados.

Por lo tanto debería precisarse de forma clara el alcance de la responsabilidad del experto. Porque una cosa es que éste deba responder por la negligencia de sus actuaciones y otra es que se le pueda hacer responsable de cualquier actuación dolosa o culposa del sujeto obligado, convirtiéndolo en chivo expiatorio de las infracciones cometidas en la materia.

En conclusión, podemos decir que nos parece razonable introducir medidas que garanticen la correcta actuación de los expertos, que van a ser colaboradores de los sujetos y del propio SEPBLAC en la correcta aplicación de la normativa. Pero el problema no se puede abordar desde la desconfianza en su trabajo, matando moscas a cañonazos y haciéndoles responsables potencialmente de cualquier infracción, sin proporcionarles la ayuda para que puedan desarrollar su tarea con rigor.

Por el contrario, pensamos que la cuestión debe abordarse desde un marco de confianza y colaboración, facilitando en lo posible las herramientas para que los expertos puedan trabajar con eficacia y haciéndoles, eso sí,  responsables del correcto desempeño de su trabajo. Pero no haciendo pender sobre ellos una espada de Damocles pronta a desplomarse sobre sus cabezas al menor fallo del sistema. De lo contrario lo único que conseguiremos, aparte de encarecer la tarea en perjuicio de los sujetos obligados (a mayor responsabilidad, mayor precio lógicamente), será expulsar de la profesión a muchos buenos profesionales que no querrán ver comprometida sus carreras por la posibilidad de incurrir en riesgos que escapan de su control.

El Libro blanco sobre la función de Compliance: una oportunidad perdida.

La semana pasada tuvo lugar la presentación del “Libro blanco sobre la función de Compliance”, en el seno de la Asociación Española de Compliance, que integra a un buen número de reputados profesionales en la materia. Lo novedoso de la iniciativa la dota de un innegable atractivo que, sin embargo, no se ve favorecido por el contenido del Libro, como señalamos a continuación.

La lectura del preámbulo origina cierta confusión, al presentarse como una herramienta para identificar los aspectos esenciales de la función de Compliance, ayudando a los profesionales integrados en ella a concretar sus contenidos esenciales. Al margen de la ambición del mismo, por Libro Blanco suele entenderse una guía básica que emana de una autoridad. Y el elemento de autoridad está ausente del citado texto, en cuya elaboración no participa ninguna de las autoridades o poderes de los que emana nuestro sistema de compliance: ni el poder legislativo, encargado de crearlo, ni el ejecutivo, capaz de desarrollarlo, siempre con los límites derivados de nuestro sistema de fuentes, ni el judicial, competente para aplicarlo.

En suma que parece que  nos encontramos ante un White Paper en su versión comercial. Pero sería interesante que los autores lo hubieran dejado claro desde el principio, para no inducir a confusión a los destinatarios.

En cualquier caso, la confusión inicial va dando paso a la sensación de perplejidad al intentar descifrar el contenido del texto. Porque, desde el principio, recuerda la anécdota atribuida a D. Eugenio D´Ors que, tras dictar un párrafo a su secretaria, le preguntaba: “¿Se entiende?” Y, si ella respondía afirmativamente, replicaba: “Entonces oscurezcámoslo”.

Así podemos comprobar que el Libro Blanco está plagado de párrafos oscuros. Como botón de muestra el apartado inicial, que define la función  de compliance de la siguiente forma:

La función de compliance asume las tareas de prevención, detección y gestión de los riesgos de compliance, mediante la operación de uno o varios Programas de compliance”.

Parece que la regla de no utilizar la palabra definida dentro de la definición no es del agrado de los autores, porque la omiten deliberadamente a lo largo de todo el libro. El párrafo citado se explica con unas notas aclaratorias bastante peculiares:

“Nota 1- La función de compliance se asocia a la operación del Programa de Compliance que tenga asignado.

Nota 2. En cuanto a la concurrencia de varios programas de compliance, véase la Nota 2 al apartado 1.3.

Nota 3. La cultura de cumplimiento o cultura de compliance guarda relación con el respeto y compromiso con los objetivos de compliance que pueden estar recogidos en las Políticas de Compliance traduciéndose en conductas alineadas con ellos.

Nota 4. La función de Compliance contribuye a promover la cultura de cumplimiento en el seno  de la organización…”

Por si a alguien le hubiera aclarado algo semejante galimatías, el apartado segundo dice que “Son riesgos de compliance los relacionados con el incumplimiento de las obligaciones de compliance, esto es aquellas que una organización debe cumplir, y también las que elige voluntariamente cumplir”.

Y, como colofón, el apartado 3 añade que “la organización determina las obligaciones de compliance cuyo riesgo de incumplimiento prevendrá, detectará y gestionará la función de compliance a través de uno o varios Programas de compliance”.

La perplejidad, que va en aumento a medida que se avanza en la lectura del texto, se torna en hilaridad al comprender, finalmente, su sentido: no se trata de un Libro Blanco sino de un enorme palíndromo. Efectivamente, da igual leerlo de izquierda a derecha o de derecha a izquierda, porque siempre dice lo mismo. En sus escasas 51 páginas (42 si se excluyen las que están en blanco y el anexo de referencias), repite la palabra “compliance” nada menos que en 528 ocasiones. Si consideramos que palabras como “función” (234), “programa” (152), “organización” (156) y otras se repiten igualmente hasta la extenuación, podemos llegar a la conclusión que el Libro Blanco, es más bien, un “libro en blanco”.

En suma, el Libro blanco sobre la función de Compliance no pasa de ser una mera excusa para la promoción de sus autores. Y aunque es legítima cualquier acción de marketing para tratar de elevar tu producto, no queda tan claro que ello se deba realizar a costa de introducir confusión en una materia de tanta trascendencia como la que nos ocupa. En este sentido, es bastante orientativo que, por ejemplo, el nuevo Reglamento General de Protección de Datos, importante en el aspecto del compliance relativo a la privacidad, imponga a los responsables la obligación de redactar sus cláusulas con claridad.

Otro aspecto cuestionable es la importancia que se da en dicho Libro a la posibilidad de establecer múltiples programas de compliance en una organización, coordinados a través de una “superestructura transversal de compliance”. Esta opción, que igualmente se menciona hasta la saciedad, choca frontalmente con la línea que siguen otras normas sectoriales en materia de compliance. Así, en materia de prevención de blanqueo de capitales, la tendencia es establecer manuales y procedimientos a nivel de grupo, armonizando y simplificando las obligaciones de los miembros de la organización, en lugar de crear un arsenal de subsistemas distintos.

No parece muy oportuno, especialmente en el estado, aún precario, en que se encuentra la materia en España, que prediquemos la necesidad de multiplicar las estructuras de compliance, para poder crear superestructuras transversales. Salvo que queramos incrementar nuestra factura, a costa de despistar definitivamente a los destinatarios de los programas de cumplimiento.

Por ello sería importante que, quienes operamos en el mundo del compliance, contribuyéramos a ayudar, a quienes tiene que implementar los programas, a un mejor cumplimiento de sus obligaciones, de una forma sencilla y asumible.

Y que tengamos claro que las directrices en materia de compliance no son de patrimonio privado, sino que tendremos que empeñar nuestro mejor saber y hacer al servicio de empresas y organizaciones, con la vista siempre puesta en los dictados de aquellos a quienes nuestro ordenamiento atribuye la potestad de enjuiciar la validez de la función de compliance: las autoridades y, sobre todo, los jueces y tribunales.

Es cierto que nuestro ordenamiento jurídico atribuye a la doctrina científica un papel no desdeñable en la tarea de interpretar y aplicar el derecho. Pero esa tarea debe abordarse de forma rigurosa, con una correcta fundamentación jurídica, y en aras de su operatividad práctica. No para cubrir la materia de una espesa niebla de palabrería, que no aporta más que ruido y confusión, sino para tratar de añadir valor, desde el punto de vista del desempeño ético, a los diversos actores del tablero del compliance y a la sociedad en su conjunto.

Con todo, lo que más se puede reprochar a este Libro blanco no es lo hueco de su contenido, sino la magnífica oportunidad que se ha desaprovechado para clarificar conceptos faltos de concreción y sugerir e introducir soluciones en las facetas de compliance (autonomía del OCI, régimen sancionador, mapeo de riesgos, medidas de prevención, etc.) que están todavía difusas por la existencia de vacíos legales.

Oficinas anticorrupción: la quinta rueda del carro.

La alarma social producida por los casos de corrupción en España y su repercusión en los medios de comunicación, ha motivado la proliferación de iniciativas de todo tipo para tratar de atajarla. En este artículo nos vamos a centrar en una de ellas: la Autoridad independiente de integridad pública, incluida en una reciente iniciativa legislativa de un grupo parlamentario.

La citada Autoridad se define como un “ente de Derecho Público dotado de personalidad jurídica propia y plena capacidad pública y privada, y actuará con plena independencia orgánica y funcional respecto de las Administraciones Públicas en el desarrollo de su actividad y para el cumplimiento de sus fines.” La música suena bien pero, como veremos a continuación, no es oro todo lo que reluce.

Vamos a analizar someramente (el espacio no nos da para más) algunos aspectos de su organización y funciones:

–          En cuanto a su ámbito de actuación, se limita al sector público estatal, permitiendo la posibilidad de que proliferen agencias de todo tipo, tanto autonómicas como locales, abriendo así la puerta a los reinos de taifas y los conflictos de competencias en la lucha contra la corrupción. Si rememoramos la frase “divide y vencerás”, la corrupción ya ha dado el primer paso para vencer a quienes la combaten, dividiéndolos antes de que comience la batalla.

–          El nombramiento de su Presidente tampoco es una cuestión menor. “Se realizará por el Congreso de los Diputados por mayoría de 3/5 entre candidatos propuestos por los grupos parlamentarios entre personas de reconocido prestigio en posesión de un título superior y más de diez años de experiencia profesional en materias análogas o relacionadas con las funciones de la Autoridad”. A la vista de la experiencia en la designación por parte de nuestro Parlamento de los miembros de otros órganos como el Tribunal Constitucional y los vocales del Consejo General del Poder Judicial, el nombramiento del Presidente de este organismo, encargado de perseguir la corrupción, entre otros, de los partidos políticos cuyos diputados van a designarle, promete ser épica.

–          En cuanto a sus funciones, es una profusa mezcla de churras con merinas donde cabe de todo: iniciativas normativas, tutela de derechos, informes preceptivos en materia legislativa y en la designación de cargos públicos, facultades de la inspección de servicios, formación de empleados públicos, control presupuestario, tramitación de denuncias, competencia sancionadora, etc. Como podemos comprobar, se ha envidado a la grande sin mirar las cartas que tenemos en la mano y, sobre todo, sin pensar detenidamente en las que pueden tener otros órganos existentes en la administración, que ya ejercen las funciones descritas.

Con ser lo anterior preocupante, lo verdaderamente llamativo es la propia concepción del organismo. Porque agencias independientes se han creado en los últimos años para toda clase de materias: protección de datos, vivienda, medioambiente, etc. La diferencia fundamental entre aquellas y la Autoridad independiente de integridad pública es que las primeras tienen, como no podía ser de otra forma, tratándose de órganos de la administración, competencias en el ámbito puramente administrativo.

En cambio, este ente pretende nada menos que erigirse en Autoridad en cuestiones que entran plenamente dentro del ámbito penal. Así, el proyecto de ley, le otorga competencias para investigar o inspeccionar “el uso irregular de fondos públicos”, o “sancionar infracciones” de las establecidas en la propia ley, entre las que se encuentran nada menos que “los hechos que puedan ser constitutivos de delito o o infracción administrativa, en particular delitos contra la Administración Pública o contra la Hacienda Pública”.

El disparate legislativo no puede ser mayor, y demuestra que nuestros nuevos legisladores se han lanzado a dictar leyes sin haberse molestado en leer las ya vigentes. Porque nuestra Constitución y nuestras leyes atribuyen la potestad para sancionar conductas tipificadas como delitos, en exclusiva, a los jueces y tribunales. En este sentido basta con recordar el  art. 23.1 de la LOPJ, según el cual “corresponderá a la jurisdicción española el conocimiento de las causas por delitos y faltas cometidos en territorio español o cometidos a bordo de buques o aeronaves españolas”. Y los tribunales que ejercen dicha jurisdicción ya tienen como colaboradores a órganos como la fiscalía y las fuerzas de seguridad, sin que quepa atribuirle ninguna potestad independiente a la supuesta Autoridad anticorrupción.

Este “pequeño” obstáculo no le pasa del todo desapercibido a los promotores de la iniciativa que, en el apartado dedicado a la delimitación de funciones, establecen: “en el supuesto de que la autoridad judicial iniciase un procedimiento para determinar la relevancia penal de unos hechos que constituyan a la vez el objeto de actuaciones de investigación de la Autoridad Independiente de Integridad Pública, esta deberá cesar en su actuación tan pronto sea requerida por dichas autoridades o tenga conocimiento del inicio de cualquier procedimiento por parte de aquellas.” ¡Faltaría más!

Lo que parecen haber olvidado los autores de la iniciativa es que, en nuestro ordenamiento, cuando algún órgano administrativo, en el ejercicio de sus funciones, detecta una actividad susceptible de ser constitutiva de delito, debe abstenerse inmediatamente de actuar, pasando el tanto de culpa a la jurisdicción penal competente sin necesidad de requerimiento alguno. La creación de un órgano administrativo, que investigue y sancione ilícitos penales, es una patada en toda regla al principio constitucional de separación de poderes.

Se puede objetar a los argumentos anteriores que el invento no es nuevo y, por ejemplo, lleva funcionando algunos años en sitios como Cataluña, donde existe la Oficina Antifrau de Catalunya. A ello hay que responder que la Oficina Antifrau no pretende constituirse como Autoridad sancionadora sino que, por el contrario, se configura como un órgano con aspiraciones más modestas, y cuyas actuaciones de investigación deben cerrarse en cuanto se aprecien indicios de delito, momento en el que se trasladarán a la autoridad judicial o al ministerio fiscal.

En cualquier caso, y a pesar de sus limitadas pretensiones, las cifras de la Agencia Antifrau de Catalunya no invitan al optimismo. Como botón de muestra, y según los datos publicados por la misma, en 2016 se recibieron 174 denuncias y se llevaron a cabo 17, sí, diecisiete actuaciones de investigación. Notable logro, teniendo en cuenta que su presupuesto es de algo más de 5 millones de euros, lo que arroja un coste por cada actuación de investigación de unos 300.000 €. Por cierto, solo 3 de dichas actuaciones acabaron con una comunicación a la fiscalía.

Lo verdaderamente asombroso es que, la propia Agencia, reconoce tener 147, sí, ciento cuarenta y siete, investigaciones pendientes de resolver. Si continúan al ritmo de 2016, se pondrán al día dentro de casi una década, en el poco probable caso de que no entre ninguna más.

En suma, que la famosa Autoridad independiente de integridad pública, si se llegara a constituir, lleva el camino de convertirse en un nuevo elefante burocrático, donde gastar dinero público y colocar gente. Y todo para añadir confusión a la lucha contra la corrupción, y ser el sumidero por donde se pierdan, hasta la prescripción de los delitos, las denuncias que deberían ponerse en manos de los órganos judiciales independientes, que ya existen, y que tienen atribuida por Ley la represión de las conductas corruptas.

Lo anterior no quiere decir que no se dicten nuevas normas para la persecución de los actos que tanto daño hacen a la credibilidad de nuestras instituciones y a la propia democracia. Pero se trata de tomar medidas legislativas meditadas y ajustadas al ordenamiento vigente, requisitos imprescindibles para su eficacia. Esta supuesta Autoridad independiente se asemeja más, usando las palabras de Shakespeare, a “un cuento contado por un idiota lleno de ruido y furia”.

Análisis de riesgo en los modelos de compliance: criterios objetivos de valoración.

El artículo 31.bis 5 del Código Penal exige que los modelos de compliance cumplan el requisito de “identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”, esto es, la necesidad de un adecuado mapa de riesgos penales de la organización, como base del modelo.

Podemos afirmar que la fiabilidad de un mapa de riesgo penal está absolutamente condicionada por la calidad de los imputs obtenidos para su elaboración. En este sentido, no podemos fiarlo a las percepciones subjetivas de los miembros de la organización entrevistados para su elaboración. Y ello por dos razones:

–          Por el desconocimiento de dichos sujetos de los tipos penales y sus implicaciones. No parece muy razonable esperar que, un director comercial, pueda darnos la medida del riesgo del delito de corrupción entre particulares dentro de su empresa, cuando seguramente no conoce los elementos del tipo delictivo.

–          Por la percepción negativa de muchos de los responsables de la empresa a reconocer que, en su área concreta, radican riesgos relevantes. En este sentido, nuestra experiencia nos muestra, por ejemplo, cómo se tiende a considerar que, si los directivos de una empresa son buenos en su gestión operativa, lo serán igualmente en el aspecto ético. Experiencias como el caso Volkswagen son una evidencia palmaria de que las cosas no suceden así.

Ello no quiere decir que las entrevistas a los responsables de la organización no tengan valor para el mapa de riesgos. Por el contrario, son un elemento que nos van a permitir conocer datos que se escapan a las frías cifras y a las evidencias documentales de la estructura, operativa y resultados empresariales. Además, nos darán pistas esenciales sobre la existencia de una cultura de cumplimiento.

Pero deben ser complementarias de los factores objetivos de riesgo, que deben ser fijados a priori, en función de las características de la organización evaluada. Por ejemplo, el factor tamaño va a ser un factor esencial en la casi totalidad de los tipos delictivos. Así, en una empresa con un volumen de facturación elevado y operaciones en diversos países, el riesgo fiscal va a estar presente, cualquiera que sea la percepción subjetiva del Director Financiero. Luego podrá ser moderado por las medidas de prevención existentes y las evidencias de cumplimiento, pero no podemos valorarlo basándonos en preguntas del tipo “¿cree usted que el grado de cumplimiento fiscal de la empresa es adecuado?”, como frecuentemente hemos visto hacer.

Junto a la dimensión de la empresa, que deberá ser valorada, a su vez,  de distinta forma para cada delito específico (el número de empleados no tiene la misma ponderación para valorar el riesgo de delitos contra los derechos de los trabajadores que para el delito de falsedad contable) habrá que ponderar factores como la actividad, riesgo geográfico, riesgo histórico o relaciones con stakeholders, entre otros.

Ésta es la línea seguida por la circular 1/2016 de la Fiscalía General del Estado, al señalar que el análisis “identificará y evaluará el riesgo por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones, etc., tomando en consideración variables como el propósito de la relación de negocio, su duración o el volumen de las operaciones”.

Si bien los criterios señalados en la Circular nos marcan la línea a seguir, hay que señalar que son criterios procedentes de la normativa de prevención de blanqueo de capitales y, por tanto, no comprenden la totalidad del espectro de los delitos imputables a las personas jurídicas.

Podemos afirmar que, una valoración  de riesgos fundamentada en criterios contrastables y cuantificables, es la piedra angular de un plan de prevención de riesgos penales. Solo así tendremos los elementos de juicio necesarios para adoptar las medidas idóneas para minimizar el riesgo. Y ello, a su vez, nos permitirá probar, en caso de producirse un ilícito en la empresa, que concurren las circunstancias para exonerar de responsabilidad a la misma, al acreditarse la adecuación del programa “para prevenir el concreto delito que se ha cometido”, y la “idoneidad entre el contenido del programa y la infracción”, en los términos de la Circular 1/2016 citada.

En conclusión, podemos afirmar que un mapa de riesgos basado en criterios y evidencias rigurosos y cuantificables es la base del éxito de un programa de compliance, siguiendo el conocido aforismo “lo que no se puede medir no se puede controlar”.

La colaboración entre el sector público y privado en la prevención de la corrupción.

El pasado 11 de enero, se celebró una reunión entre los representantes de Grupo Popular en la Comisión Parlamentaria de Calidad Democrática, contra la Corrupción y Reformas Institucionales y Legales y representantes de la Asociación de Sujetos Obligados en Prevención de Blanqueo de Capitales y la Financiación del Terrorismo (ASEBLAC), de cuya ejecutiva forma parte Sigma Corporate a través de sus socios.

El objeto de la reunión fue el intercambio de impresiones y estudio preliminar sobre la idoneidad, para el sector público español, de las medidas en materia de prevención de blanqueo de capitales y corrupción internacionalmente aceptadas en el ámbito público y el sector privado.

Dada la extensión de la materia, se coincide en que el punto crítico en el mapa de riesgos de la corrupción del sector público es la contratación administrativa, lo que hace conveniente centrar el foco en medidas destinadas a prevenir ese aspecto.

Como resultado de la reunión, por los miembros de la Comisión se propone a ASEBLAC la aportación de un estudio preliminar sobre las siguientes cuestiones, que consideran susceptibles de estudio en profundidad y posterior desarrollo para su plasmación en la legislación y actuación administrativa:

– Aplicación de la identificación del titular real en el ámbito de la contratación pública.

– Seguimiento continuo de la relación de negocio en el ámbito de los contratos públicos.

– Implantación de canales de denuncia y mecanismos de protección del denunciante (Whistleblower).

– Formación a las autoridades y empleados del sector público en materia de anticorrupción y prevención de blanqueo, como elemento preventivo.

Destacar la buena acogida por parte de la portavoz en dicha Comisión, Beatriz Escudero, de las propuestas  formuladas, demostrándose que la colaboración público-privada en la materia no solo es posible, sino que es un camino a explorar para conseguir erradicar conductas que constituyen un motivo de preocupación para todos.

 

El Reglamento Europeo de Protección de Datos y las medidas de seguridad: ¿autorregulación, desregulación o abandono?

Sobre el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Reglamento Europeo de Protección de Datos para entendernos, se han vertido ya ríos de tinta, especialmente en las cuestiones más o menos novedosas relativas a la regulación del consentimiento, la privacidad por diseño y por defecto, los nuevos derechos, como la portabilidad de datos, o la figura del delegado de protección de datos.

Si bien es cierto que estas cuestiones tienen gran trascendencia (unas más que otras), se echa de menos literatura jurídica sobre un aspecto clave para el éxito o el fracaso en la garantía de los derechos de los titulares de los datos. Nos referimos a las normas relativas a la seguridad en el tratamiento de datos dentro de la UE.

En este apartado, el Reglamento, en su artículo 32, establece la obligación para el responsable y el encargado del tratamiento de “aplicar las  medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”. Esto no resulta especialmente problemático y en términos muy parecidos se expresa el actual artículo 9 de nuestra LOPD.

El problema surge en la forma en que se van a materializar en la práctica los mecanismos efectivos de garantía de la seguridad de los datos. Porque la LOPD, a través de su reglamento de desarrollo, establecía una panoplia de medidas de seguridad, en función de la clasificación de los datos, que marcaba la senda a seguir por empresas y organizaciones en la protección de los datos que tratan. En cambio, el Reglamento europeo apenas aporta unos pocos criterios que deben cumplir los responsables del tratamiento, algunos tan imprecisos como  “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”, y otros tan rigurosos como “el cifrado”, sin especificar qué datos deben cifrarse.

Con el fin de dar una cierta seguridad a los obligados, el Reglamento se remite a dos mecanismos específicos de prueba de la eficacia de las medidas de seguridad adoptadas: los códigos de conducta y las certificaciones.

Pues bien, respecto a los primeros, es decir a los códigos aprobados por asociaciones y organismos representativos de cada sector, no son nada nuevo,  pues ya estaban regulados por nuestra LOPD en su artículo 32. La prueba de su ineficacia es que, en los diecisiete años de vigencia de la Ley, se han aprobado apenas catorce códigos en algunos sectores aislados como el sanitario, cobros, seguros de automoción, y poco más.

Respecto a las certificaciones, los problemas que pueden plantearse son aún mayores dada la imprecisión de los criterios para determinar quién puede certificar y qué se puede certificar. Y aunque en el mundo de las certificaciones hay ejemplos de entidades rigurosas, hemos asistido en los últimos años a una pérdida de credibilidad del sector que nos hace dudar seriamente de su capacidad para garantizar la protección del derecho fundamental a la protección de los datos personales de los ciudadanos. Bien puede aplicarse al mismo la frase que precedía la entrada al infierno de Dante: “abandonad toda esperanza los que entráis aquí”.

Y más aún en cuanto que los ingresos de las certificadoras van a provenir precisamente de las empresas y entidades que tienen la obligación de cumplir las medidas de seguridad. En el conflicto entre el interés de las empresas y entidades por tratar los datos personales de los ciudadanos con el mayor beneficio propio y el menor coste de seguridad, y el de los ciudadanos en que sus datos se traten con el máximo respeto a sus derechos, el árbitro va a recibir sus emolumentos de las primeras.

Paradójicamente, el propio Reglamento, tras regular las certificaciones, dispone que serán de carácter voluntario y que “no limitarán la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento”. Ciertamente, para ese viaje no hacían falta alforjas.

En fin, que el Reglamento europeo parece haber optado en esta materia por una desregulación que no invita al optimismo. Recordemos, sin ir más lejos, las pésimas consecuencias de la  dejación por la Administración del mandato de la LOPD de gestionar el censo promocional y las listas de exclusión de publicidad (las famosas Listas Robinson), que dio lugar a que no hubiera forma efectiva de librarse de comunicaciones comerciales en nuestro domicilio.

Habrá que estar al desarrollo del Reglamento por las autoridades de los estados miembros, pero lo cierto es que el contenido del mismo, a priori, hace temer por la seguridad de nuestros datos y por la seguridad jurídica de quienes tienen la obligación de tratarlos con ajuste a derecho. Nubes de tormenta se ciernen sobre nuestra privacidad y sólo un desarrollo normativo riguroso y adecuado podrá disiparlas.

Sigma Corporate imparte una jornada de formación en COEBA

El miércoles 13 de abril se ha celebrado en Badajoz la primera jornada técnica de compliance penal, organizada por la Confederación de Organizaciones Empresariales de la Provincia de Badajoz (COEBA). En ella se han abordado las reformas del Código Penal, que entraron en vigor el julio del pasado año.

La jornada ha dado respuesta a las cuestiones que plantea para los empresarios el nuevo régimen de atribución de responsabilidades del Código Penal, que puede suponer la imputación de los administradores, directivos y gerentes, así como de las propias empresas en su condición de personas jurídicas, si se llegara a producir un delito en el ejercicio de su actividad.

Ha sido presentada por D. Emilio Doncel, presidente de COEBA que ha introducido el nuevo marco normativo que se plantea al empresariado regional.

En ella han intervenido los socios de la empresa consultora Sigma Corporate, D. José María Ruiz Téllez y D. Juan Luis Martínez-Carande Corral. Los ponentes han abordado los requisitos para la imputación penal de las empresas, así como los modelos  de prevención de delitos, que permiten la exención de responsabilidad de las mismas así como de sus directivos.

Por su parte D. Mónica Barroso Bravo, delegada en Extremadura de AENOR, ha presentado el certificado Iuriscert, de sistemas de prevención de delitos, implantado en empresas como el Banco de Santander.

El notable interés que ha despertado la jornada, traducido en una notable asistencia de empresarios y profesionales, pone de manifiesto que el empresariado extremeño no es ajeno a las tendencias que abogan por imponer una cultura ética empresarial, que garantice la transparencia y honestidad en los mercados y los derechos de los usuarios y consumidores.