• 22/04/2024 11:37

¿En quién pensaba nuestro legislador al regular la figura del Responsable del Sistema Interno?

Tiempo estimado de lectura: 14 minutos, 14 segundos

TRES RESPUESTAS SOBRE EL SISTEMA DE INFORMACIÓN INTERNO EN EL SECTOR PRIVADO (Primera parte)

I.- Preliminar

A estas alturas de mayo, no cabe ninguna duda que el hito mas relevante de 2023 por lo que respecta al Compliance va a ser la intempestiva implantación del nuevo Sistema Interno de Información derivado de la entrada en vigor de la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Podemos afirmar sin equivocarnos que, tras un notable retraso en la trasposición de la Directiva 1937/2019, hubiera sido deseable que el redactado de la nueva ley no adoleciera de tan amplio numero de inconcreciones, polisemias, repeticiones y lagunas difíciles de interpretar. De igual modo, creo que todos hubiéramos agradecido que los plazos de aplicación hubieran sido un poco más largos, o contar con una flamante Autoridad Administrativa de Protección al Informante que nos hubiera ayudado a interpretar y aplicar correctamente esta innovadora ley.

Pero la realidad es la que es, y en pleno mes de mayo, son muchas las organizaciones que bregan por comprender qué nos pide el legislador y qué decisiones debemos adoptar en nuestras organizaciones para dar cumplimiento al mandato de implantar un Sistema Interno de Información eficaz antes del día 13 de junio.

Este artículo, que transmite únicamente la modesta opinión de su autor, tiene como objetivo formular y tratar de responder tres preguntas clave que se están haciendo muchas organizaciones del sector privado:

¿En quien estaba pensado nuestro legislador al regular la figura del Responsable del Sistema Interno de Información (SII) en el sector privado?
¿Sobre qué personas físicas o jurídicas deben versar las denuncias que debemos admitir y gestionar en nuestro SII?, ¿Nos hemos convertido en gestores universales de denuncias?
¿Qué debemos entender por “actuaciones de investigación” en el marco del procedimiento de gestión de informaciones?

Con la única intención de abrir el debate y arrojar luz o ideas que espero sean de utilidad a la Comunidad del Compliance, ahí van mis respuestas a cada una de las preguntas:

II.- ¿En quién estaba pensado nuestro legislador al regular la figura del Responsable del Sistema Interno de Información (SII) en el sector privado?

II.a- El Órgano de Gobierno como responsable de la implantación del Sistema Interno de Información.

Para tratar de responder adecuadamente a esta pregunta debemos recordar en primer lugar que estamos ante una regulación de carácter administrativo que tiene como finalidad proteger a los informantes, estableciendo obligaciones a las personas naturales o jurídicas sometidas a esta ley, y designando como responsables de su cumplimiento a los órganos de administración o de gobierno de dichas personas.

Esta ley genera dos nuevas obligaciones fundamentales:

Proteger a los informantes
Investigar cuantas comunicaciones reciban de estos

El artículo 5.1. designa como responsables de estas obligaciones a los integrantes del órgano de gobierno de los sujetos obligados por la ley:

El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, (…), y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.

II.b- El Régimen de responsabilidad administrativa dimanante de la Ley 2/2023

El incumplimiento de las obligaciones dimanantes de la Ley genera un conjunto de infracciones tipificadas en su art. 63 de las que responderán tanto las personas físicas o jurídicas obligadas por la ley, como las personas físicas responsables de la infracción.

El Órgano de Gobierno, como responsable designado legalmente, está sujeto a un régimen sancionador del que queremos destacar las siguientes infracciones (art. 63):

Muy graves:

– Cualquier actuación que suponga una efectiva limitación de los derechos y garantías previstos en esta ley introducida a través de contratos o acuerdos a nivel individual o colectivo y en general cualquier intento o acción efectiva de obstaculizar la presentación de comunicaciones o de impedir, frustrar o ralentizar su seguimiento, incluida la aportación de información o documentación falsa por parte de los requeridos para ello.

-Vulnerar las garantías de confidencialidad y anonimato previstas en esta ley, y de forma particular cualquier acción u omisión tendente a revelar la identidad del informante cuando este haya optado por el anonimato, aunque no se llegue a producir la efectiva revelación de la misma.

-Vulnerar el deber de mantener secreto sobre cualquier aspecto relacionado con la información.

-Incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley.

Graves:

– Cualquier actuación que suponga limitación de los derechos y garantías previstos en esta ley o cualquier intento o acción efectiva de obstaculizar la presentación de informaciones o de impedir, frustrar o ralentizar su seguimiento que no tenga la consideración de infracción muy grave.

-Vulnerar las garantías de confidencialidad y anonimato previstas en esta ley cuando no tenga la consideración de infracción muy grave.

-Vulnerar el deber de secreto en los supuestos en que no tenga la consideración de infracción muy grave.

– Incumplimiento de la obligación de adoptar las medidas para garantizar la confidencialidad y secreto de las informaciones.

Infracciones leves:

– Remisión de información de forma incompleta, de manera deliberada por parte del Responsable del Sistema a la Autoridad, o fuera del plazo concedido para ello.

– Incumplimiento de la obligación de colaboración con la investigación de informaciones.

Por todo ello, no es posible más que concluir que la Ley establece un conjunto de obligaciones nuevas a las personas físicas o jurídicas obligadas por esta ley, de las que hace administrativamente responsables de su implantación a los órganos de gobierno.

Llegados a este punto, no podemos obviar que en el contexto normativo de un régimen administrativo de obligado cumplimiento bajo la amenaza de imposición de sanciones el uso del término responsabilidad o responsable solo permite una interpretación: a quien la ley designa responsable se le impondrán las sanciones previstas si no cumple con sus obligaciones.

II.c- La figura del Responsable del Sistema Interno de Información.

La Ley introduce la figura del Responsable del Sistema Interno de Información.

Esta figura aparece por primera vez en el Preámbulo, donde se indica que resulta indispensable para la eficacia del Sistema interno de información la designación del responsable de su correcto funcionamiento.

Es relevante que lo identifique como el “responsable de su correcto funcionamiento” por las implicaciones que tiene, desde la perspectiva de responsabilidad administrativa que hemos analizado en 1.2: En efecto, el preámbulo no lo presenta como responsable del diseño del Sistema o como un soporte al Órgano de Gobierno, sino que habla de esta figura como responsable de que funcione correctamente, colocándolo en una posición de garante respecto a las obligaciones establecidas en la ley.

Esta idea viene establecida normativamente en el artículo 8.1:

“El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el competente para la designación de la persona física responsable de la gestión de dicho sistema o «Responsable del Sistema», y de su destitución o cese.”

La figura y el rol de garante vienen también refrendados en el Art. 9.1 relativo al tratar sobre el procedimiento de gestión de las comunicaciones

“El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley aprobará el procedimiento de gestión de informaciones. El Responsable del Sistema responderá de su tramitación diligente.”

Como vemos, ambos preceptos indican que el órgano de gobierno debe designar a una persona física responsable de la gestión del Sistema y de la tramitación diligente del procedimiento de gestión de las informaciones, que asume una posición de garante de la eficacia del sistema y su gestión diligente.

Atendiendo al carácter administrativo de esta ley y a las implicaciones en materia de responsabilidad ya explicadas, los términos responsabilidad de la gestión y tramitación diligente sólo se pueden asegurar si esta persona es dotada de la autoridad suficiente para que todos los integrantes del sujeto obligado cumplan con los deberes que les vienen establecidos y atiendan a sus instrucciones. Es decir, estamos ante una delegación de funciones transversales y en todos los niveles de la organización.

Hay otros preceptos que nos ayudan a conformar con mayor claridad el perfil del Responsable del Sistema Interno de Información.

Así, el art. 8.3 indica que si el Órgano de Gobierno opta por nombrar Responsable a un Órgano Colegiado, éste debe a su vez delegar en uno de sus miembros las facultades de gestión del Sistema interno de información y de tramitación de expedientes de investigación. Este precepto nos ayuda a comprender mejor que el rol esencial del Responsable es asumir personalmente la eficacia del Sistema Interno y garantizar que el sujeto obligado efectivamente cumple la Ley.
El art. 32 limita el acceso a los datos personales del SII a muy pocas personas, y a pesar del confuso redactado del precepto en cuestión, restringe significativamente el acceso de los responsables de recursos humanos y asesoría juridica. Esta restricción parece dejar fuera de su ámbito de competencias cuestiones tan importantes como las medidas cautelares de protección del informante o de las personas que son objeto de comunicación, de modo que las decisiones sobre estas cuestiones las deberá adoptar el Responsable del Sistema y no los responsables de recursos humanos o asesoría juridica, reforzando el perfil ejecutivo de este responsable.

El perfil que presenta en nuestra ley 2/2023 la figura del Responsable del Sistema Interno de Información se asimila y  conecta con las más recientes tendencias regulatorias europeas en materia de control interno o cumplimiento normativo, como ocurre en las directrices EBA sobre los Órganos de Cumplimiento en Prevención del Blanqueo de Capitales o el futuro Reglamento Europeo sobre Prevención del Blanqueo, en que se opta por exigir que el Órgano de Gobierno designe a uno de sus integrantes en funciones de gestión que asuma personalmente la garantía de eficacia del sistema, sirviendo a su vez de interlocutor entre los órganos de cumplimiento y el Órgano de Gobierno.

En los antecedentes europeos, este responsable debe contar con autonomía e independencia para cumplir su función y disponer de recursos humanos y materiales. El resultado de este modelo regulatorio es que la responsabilidad no se “diluye” dentro del órgano de gobierno colectivo, sino que se refuerza con la figura de uno de sus integrantes que se convierte en responsable personal de asegurar que el Órgano Colectivo cumple con sus obligaciones en la materia.

El objetivo de esta figura europea es ejecutar de forma operativa, ágil y directa las funciones que la ley impone al Órgano de Gobierno, en general más lento e ineficiente para asegurar la eficacia de un Sistema de Gestión. No sólo eso, al designarse a un miembro concreto y exigirse su independencia y autonomía se asegura que puede desempeñar sin cortapisas su función de ejecución, supervisión y control sobre todas las áreas de negocio.

En la ley 2/2023 La figura del Responsable del Sistema Interno presenta un perfil muy similar:

Debe ser un directivo (art. 8.5)
Asume por delegación funciones legalmente asignadas al Órgano de Gobierno (art. 8.1)
Asume la gestión del Sistema Interno (art. 8.1) y responde de la tramitación diligente de las comunicaciones (art. 9.1), ocupando una posición de garante respecto a la eficacia del Sistema.
Deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo. (art 8.4)
No podrá recibir instrucciones de ningún tipo en su ejercicio (art. 8.4)
Deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo. (art. 8.4)
Ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. (art. 8.5)

Si a todo ello añadimos que el Responsable del Sistema Interno asume personalmente el mismo riguroso régimen administrativo sancionador que el Órgano de Gobierno (art. 63), parece fácil deducir que la intención de nuestro legislador al regular esta figura es que fuera desempeñada por un directivo de alto nivel con amplias facultades, autonomía, independencia, jerarquía y recursos suficientes para crear el Sistema disponiendo de los medios internos y/o recursos externos que considere necesarios.

La necesidad de este Responsable/directivo de alto nivel en la ley 2/2023 se sustenta en la imposibilidad del Órgano de Gobierno -como ente colectivo- para gestionar efectivamente el Sistema Interno y en la imposibilidad de delegar esta responsabilidad de manera genérica en todos los integrantes de la Alta Dirección, como ocurre por ejemplo en el Capítulo 5.1.3 de la norma UNE 19601, dado que aquí estamos ante un sistema muy especial, con una reforzada restricción de acceso a sus contenidos (identidad de informantes e informados, contenido de las informaciones y desarrollo de las investigaciones) donde las informaciones que se reciban afectarán siempre a uno u otro integrante de la Dirección en la medida que afectarán a una u otra área de negocio.

De ahí que resulte más que razonable que se designe un directivo determinado responsable del Sistema Interno, adoptándose un modelo muy similar al modelo europeo que hemos comentado arriba.

II.d- Cuestiones controvertidas alrededor de la figura del Responsable del Sistema Interno de Información.

Sin embargo, surgen dudas prácticas alrededor de la figura, especialmente en el momento en que las Organizaciones deben establecer internamente quien puede asumir este rol en el sector privado.

Dichas dudas se concentran alrededor de dos preceptos:

El Art. 6, referente a la gestión del Sistema Interno por tercero externo, que genera cierta confusión dado que hace referencia a la externalización de la gestión de la recepción de informaciones y lo llama “Gestión del Sistema” cuando es obvio que el Sistema Interno comporta muchas más cosas.

Esta duda creemos que se resuelve en el mismo precepto, un poco más adelante, cuando establece:

Que a los efectos de dicho art. 6 (que trata exclusivamente sobre externalizaciones), se considera gestión del Sistema únicamente la recepción de informaciones. Seguramente la técnica legislativa pudiera haber sido más depurada a la hora de redactar el artículo, pero creemos que esta confusión no puede ir mas allá de su propia aclaración.
Que “La gestión del Sistema interno de información por un tercero no podrá suponer un menoscabo de las garantías y requisitos que para dicho sistema establece esta ley ni una atribución de la responsabilidad sobre el mismo en persona distinta del Responsable del Sistema previsto en el artículo 8”, reafirmándose así la condición de garante de la eficacia del Sistema que tiene la figura de su Responsable.
El artículo 8.6 cuando abre la posibilidad de que el Responsable del Sistema sea la figura del Compliance Officer, el responsable de integridad o de cumplimiento normativo, siempre que cumplan los requisitos establecidos en la Ley.

Este precepto abre el debate en las organizaciones en relación con la posibilidad de que dicha función de Responsable sea asumida por los responsables de Compliance o Transparencia.

Cabe indicar que, si la opción preferente del legislador hubiera sido que el Compliance Officer desempeñara la función del Responsable del SII, probablemente así lo habría establecido desde el artículo 5 de la ley y reafirmado al inicio del artículo 8, y no encontraríamos -en cambio- este apartado 8.6 que ahora estamos analizando.

Es muy razonable concluir  que, si existe el articulo 8.6 es porque el legislador considera a los responsables de compliance como una alternativa a su planteamiento inicial, condicionada a que cumplan con los requisitos establecidos en la ley. Es obvio que el legislador considera que una segunda línea de defensa clásica no es suficiente para este rol, y que debe cumplir un conjunto de requisitos adicionales.

El problema para aplicar este precepto radica en que, en general, los responsables de Cumplimiento Normativo, integridad o áreas de Compliance desempeñan unas funciones de segunda línea de defensa que se alejan mucho del rol que hemos definido en los apartados anteriores, pudiendo llegar en ocasiones a desempeñar funciones de supervisión o control interno de los sistemas de integridad o compliance, pero difícilmente están dotados de autoridad o facultades que les permitan asumir personalmente una posición legal de garante frente a la autoridad administrativa o frente a terceros, como exige la Ley 2/2023 al Responsable del Sistema, quien deberá responder de la eficacia del Sistema Interno y garantizar que el sujeto obligado efectivamente cumple la Ley.

Según la RAE directivo es quien tiene la facultad de dirigir. En nuestra legislación no existe una definición legal del término directivo. En el ámbito empresarial son aquellas personas que tienen delegadas funciones de dirección dimanantes del Órgano de Gobierno.

Es cierto que los integrantes de las funciones de Compliance pueden tener la consideración de directivos, si bien sus facultades de dirección se limitan generalmente a sus departamentos, no siendo habitual que una segunda línea de defensa tenga facultades que incidan directamente en la actividad de las primeras líneas u otras áreas.

Es evidente también que las segundas líneas deben actuar con independencia y autonomía, pero este requisito tampoco es exclusivo de las segundas líneas, como ya hemos expuesto más arriba al tratar sobre algunos modelos regulatorios europeos, o como ocurre en nuestra legislación de sociedades de capital en relación con los cargos de alta dirección o con las Comisiones de Auditoría y Control.

Será necesario profundizar más en el rol y las responsabilidades que la Ley asigna a la figura del Responsable del Sistema Interno de Información para comprender el perfil directivo que debe mostrar el Responsable del Sistema y las funciones que se le deben delegar.

Esto nos permitirá comprender hasta qué punto podemos delegar la responsabilidad del sistema interno en nuestro responsable de Compliance o qué atribuciones adicionales le deberemos conferir previamente.

II.e.- Rol del Responsable del Sistema Interno

1.- Responsabilidades relativas al Sistema Interno

El Responsable del Sistema debe desarrollar con independencia, autonomía y disponiendo de los recursos internos o externos que necesite un Sistema Interno eficaz y para ello debe tener facultades delegadas del Órgano de Gobierno para:

Diseñar, establecer y gestionar de una forma segura un sistema que permita hacer las comunicaciones previstas en la ley por escrito o verbalmente, o de ambos modos, (lo que significa que su responsabilidad se extiende a todo el ciclo del Sistema) garantizando la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.

Es responsable de la efectividad de esa garantía de confidencialidad en todos los niveles de la organización, deberá por tanto contar con facultades para corregir desviaciones o conductas inadecuadas adoptando decisiones inmediatas y medidas cautelares o preventivas adecuadas y proporcionales, algo que es muy poco habitual en funciones de compliance que actúan como segunda línea de defensa.

Crear y/o integrar en el Sistema Interno los distintos canales internos de información que pudieran establecerse dentro de la entidad. Debe asegurarse que eso va a ser así, incluso cuando la información no llegue a través de los canales previstos.

Puede delegar o externalizar la gestión de los canales internos, bien en departamentos internos como en responsables externos, lo que asimila este rol a la figura del directivo de las Directrices EBA o el Reglamento de PBC que a una función de compliance que se conforma como segunda línea de defensa.

Esta interpretación se refuerza, además, por el hecho que en el art. 3, apartado 3, letra a) se consideran asimiladas a las personas informantes aquellas personas físicas que, en el marco de la organización en la que preste servicios el informante, asistan al mismo en el proceso, donde encajan perfectamente las personas que integran funciones de compliance o integridad en la organización.

Garantizar que las comunicaciones presentadas se tratarán de manera efectiva a través de un procedimiento de gestión de las informaciones con el objetivo de conocer la posible irregularidad y adoptar medidas para corregir y reparar los perjuicios causados. Esta es una responsabilidad transversal, ya que garantizar el tratamiento de manera efectiva no solo significa capacidad para investigar en toda la organización, también capacidad para corregir y reparar las infracciones detectadas, dando instrucciones el efecto.
Asegurar la independencia del Sistema Interno respecto de otros Sistemas y asegurar que el mismo aparece siempre diferenciado respecto del cualquier otro sistema interno de información de otras entidades u organismos.
Asegurar que el Órgano de Gobierno aprueba y mantiene una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que es debidamente publicitada en el seno de la organización.
Establecer y asegurar que se aplican correctamente las garantías para la protección de los informantes en todo el ámbito de la organización, lo que le faculta ampliamente para intervenir en cualquier nivel o departamento en orden a alcanzar este objetivo, siendo además importante tener en cuenta que, debido a la confidencialidad de la condición de informante y el deber de protección de los informados, en muchas ocasiones no puede ni debe dar explicaciones sobre sus decisiones, que deben ser asumidas y acatadas sin cuestionarse por el resto de integrantes de la organización.

2.- Responsabilidades relativas al Procedimiento de gestión de las informaciones

En cuanto al Procedimiento de gestion de informaciones (art. 9) el Responsable responderá de su tramitación diligente, lo que comporta que tenga facultades para:

Gestionar o delegar y supervisar la gestión de los canales internos de información asociados al Sistema y asegurar que se gestionan de forma diligente, asegurar que se cumplen los acuses de recibo a los informantes y se mantiene correctamente la comunicación con ellos si así lo desean y lo permiten.
Asegurar que en todos los canales se informa sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea.
Asegurar que se realizan las actuaciones de investigación a la mayor brevedad y que siempre se cumplen los plazos legalmente establecidos, teniendo capacidad para exigir la colaboración de todas las áreas y niveles de la organización y teniendo acceso a toda la información necesaria o recursos de la organización.
Adoptar las medidas necesarias para asegurar que se salvaguardan los derechos de la persona afectada, la presunción de inocencia y su honor.
Asegurarse que cuando la comunicación sea remitida por canales de denuncia que no sean los establecidos o a miembros del personal no responsable de su tratamiento, el personal estará formado en esta materia y advertido de la tipificación como infracción muy grave de su quebranto. Debe poder adoptar medidas y dar instrucciones inmediatas para asegurar el resultado establecido en la ley.
Asegurar el cumplimiento de las disposiciones sobre protección de datos personales de acuerdo a lo previsto en el título VI.

3.- Responsabilidades relativas de su condición de interlocutor frente a las Autoridades Administrativas Independientes

Si bien esta función no se recoge expresamente ni en el art. 5 ni en el art. 8, la condición de interlocutor frente a las Autoridades Administrativas Independientes se desprende del redactado del art. 63.3 letra a), que tipifica como infracción leve la  “remisión de información de forma incompleta, de manera deliberada por parte del Responsable del Sistema a la Autoridad, o fuera del plazo concedido para ello”.

II.f.- Conclusiones

Estamos ante una figura que:

Asume por designación responsabilidades asignadas legalmente al Órgano de Gobierno.
Comparte régimen de responsabilidad administrativa con el Órgano de Gobierno.
Goza de un alto grado de autonomía e independencia.
Debe disponer de facultades transversales para diseñar, implantar y asegurar la eficacia del Sistema Interno de Información y en especial para la protección de informantes y personas afectadas, debiendo estar facultado para dar instrucciones en todos los niveles de la organización, en un rol directivo mucho más amplio que el propio de una segunda línea de defensa.
Las facultades del Responsable deberán estar en concordancia con el grado de responsabilidad administrativa que asume dicho cargo.
Actuará como interlocutor ante las Autoridades representando a la Organización.

Por ello, es razonable que nuestro legislador estuviera pensando que dicho rol sea asumido por un miembro del órgano de gobierno o de la alta dirección con facultades suficientes para desempeñar el cargo con eficacia en términos similares a los que se propugnan en otros modelos de compliance establecidos por la Unión Europea, quedando configurada la opción del responsable de compliance como una alternativa al modelo original, condicionada a que reúna una serie de potestades que no son habituales ni propias de una función de segunda línea de defensa.

Las características de autonomía e independencia que se predican respecto a este responsable no son tanto las que se predican de una segunda línea de defensa tradicional, sino de un “primus inter parís” que asume una posición de garante legal para evitar que la responsabilidad se diluya dentro del órgano de gobierno colegiado y al mismo tiempo asegurar que se adoptarán las decisiones mas eficaces en cada momento, sin necesidad de convocar al órgano de gobierno y sin necesidad de repartir la toma de decisión entre múltiples integrantes de la organización, muchos de ellos vetados legalmente para acceder a la información del Sistema Interno o de sus canales de denuncia.

Para aplicar el art. 8.6  la organización deberá dotar previamente a la persona responsable de la función de cumplimiento de unas facultades mucho más amplias de las que dispone habitualmente, de igual modo que esta persona asumirá un rol de garante legal frente a la Autoridad Administrativa Independiente que le comportará un riesgo administrativo asimilable al del órgano de Gobierno de la entidad, en los términos expresados en este artículo.

La entrada ¿En quién pensaba nuestro legislador al regular la figura del Responsable del Sistema Interno? se publicó primero en ASCOM.


Artículo de Secretaria publicado en https://asociacioncompliance.com/en-quien-pensaba-nuestro-legislador-al-regular-la-figura-del-responsable-del-sistema-interno/