Es director de Servicios Jurídicos y delegado de Protección de Datos en Madrid Digital, la Agencia para la Administración Digital de la Comunidad de Madrid
La presencia del «Compliance Officer» en las diferentes administraciones es una cuestión con muchas incógnitas por el momento y aún tiene camino por recorrer en su desarrollo, toda vez que el artículo 31.bis del Código Penal, que introdujo la responsabilidad penal de las personas jurídicas, excluyo a las Administraciones en el artículo 31 quinquies.
Por ello, en la Administración General e Institucional la figura no existe, salvo en sociedades mercantiles públicas, donde muchas de ellas han implementado la figura del «Compliance Officer».
Es el caso de Correos, Metro de Madrid o entidades similares que han decidido contar con estos profesionales y la metodología que aportan por lo que a la prevención de riesgos en sus organizaciones se refiere.
“Hay que diferenciar el aspecto que deriva de las leyes de la realidad de los hechos”, explica Ramiro Salamanca, letrado de la Comunidad de Madrid en excedencia.
Este jurista, socio de CUMPLEN, reconoce que en los últimos años desde la Dirección de Servicios Jurídicos de la entidad “se analizan los riesgos, a nivel de cumplimiento, de la actividad que realizamos. Se revisan los procesos y procedimientos para sujetarlos a la normativa administrativa que resulta de aplicación y se adoptan medidas en función de la probabilidad de ocurrencia del riesgo, por lo que, aunque, no existe la figura del ‘Compliance Officer’”.
Cumplimiento normativo en Madrid Digital
Al mismo tiempo indica que “si realizamos funciones propias de los mismos, no como medida para atenuar la responsabilidad penal de la Agencia, como persona jurídica, que no tiene, sino como practica responsable con el fin de velar por el interés público, transparencia y sujeción a serecho de nuestra actividad”.
El papel de esta entidad es la prestación de los servicios de informática y telecomunicaciones a toda la Comunidad de Madrid. Es la institución responsable de la ciberseguridad de los sistemas de información, y encargada de tratamiento de los datos personales de la Comunidad de Madrid.
El trabajo de este jurista, en el campo del cumplimiento normativo, es para la sociedad Madrid Digital. “Aquí la dirección de los servicios jurídicos trata de realizar estas tareas de definir el mapa de riesgos o medidas que ayuden a paliar esos riesgos que se han identificado, pero solo para nuestra entidad”.
Respecto a la deriva de las leyes, este jurista destaca que “se habla poco del ‘Compliance Officer’ porque el Código Penal establece que no es de aplicación en las administraciones publicas estos modelos de gestión y organización para prevenir delitos”.
De hecho, aclara que “las Administraciones Públicas como personas jurídicas no son susceptibles de cometer delitos, a diferencia de una empresa privada, que en determinados supuestos y circunstancias sí puede cometerlos”.
Delitos y administraciones públicas
En el caso de la Administración, «ésta no comete delitos. Se cometen delitos contra la Administración por los propios funcionarios, autoridades o las empresas que reciben ayudas o subvenciones por parte de las administraciones”.
Otra cuestión es si, desde el punto de vista de los hechos, independientemente de que no exista una obligación por parte de las Administraciones de establecer este modelo de organización, «es conveniente establecer este tipo de modelos dentro de la Administración, especialmente en el ámbito de la Administración Institucional, en la que no se cuenta, en ocasiones, con los recursos suficientes para dar cumplimiento a la ingente normativa administrativa de aplicación y si realmente podría ayudar a que la gestión interna de estas entidades fuera más transparente”.
Sobre el perfil del «Compliance Officer» en este tipo de entidades públicas señala que “la importancia de tener un conocimiento operativo sobre el funcionamiento de la entidad y de toda la normativa específica que le resulta de aplicación, gozar de independencia para la realización de las inspecciones y realizar recomendaciones que no solo tengan en cuenta el cumplimiento del proceso sino también su eficiencia y agilidad para no burocratizar más aun el funcionamiento de las entidades”.
“De hecho, en ocasiones se observa que se han adoptado por rutina medidas que ninguna norma exige y sin embargo se omiten otras cuanto pudieran ser preceptivas».
Falta debate por realizar
Este es un debate que no se ha planeado porque la Administracion cree que está cubierto por el momento.
En su opinión, “este debate interno no se ha dado porque desde el punto de vista de la administración, todos sus procedimientos están sujetos al cumplimiento de una normativa administrativa, cuyo cumplimiento se inspecciona desde el punto de vista contable y financiero por la Intervención General y desde el punto de vista jurídico por las Abogacías Generales, además de la fiscalización externa que se realiza por el Tribunal de Cuentas que ya no depende del Gobierno, sino que depende del Parlamento”.
Este experto considera, por tanto, que “se considera que el proceso de vigilancia y control en las administraciones es suficiente y está suficientemente cubierto”
De acuerdo con Salamanca, habría que distinguir dos campos grandes. “Uno formado por la Administracion general, ministerios, consejerías o concejalías de entidades locales. Y lo que son los entes públicos que rodean a toda esta Administracion general, que también están exentos de la comisión de delitos, pero cuentan con menos medios para implementar los procesos que ayuden a que la voluntad de la persona jurídica-publica se sujete a los cauces adecuados”.
En este contexto último “aunque no es obligatorio desde el punto de vista legal, si puede resultar muy conveniente adoptar estas buenas prácticas de la empresa privada en cuanto al análisis de los riesgos e identificación de los mismos en estas personas jurídico-públicas para evitar cometer delitos o comportamientos irregulares a la ley en cualquier otro ámbito”.
Para este experto “en este tipo de entidades que cuentan con menos medios, quizás es donde se puede plantear el debate de desarrollar modelos de cumplimiento similares a los que hay en las empresas privadas”.
Pocos delitos contra la Administración
Salamanca recuerda que se cometen pocos delitos contra la Administración. “Según el Insituto Nacional de Estadística, en sus estadísticas de 2020 se habla de un total de 330.000 delitos cometidos en España, de los que lo relacionados con la Administracion, a nivel de funcionario o autoridad, podrían ser cerca de 3000”.
Esto significa que conductas delictivas como la malversación, cohecho o prevaricación son escasos. “Por eso no ponen el foco en este campo, aunque podría ser una ayuda en la Administracion institucional de cara a contar con esas buenas prácticas en la formación de procesos, en la vigilancia de los procedimientos o control y supervisión de las normas que se aprueban”.
Trasponer la Directiva Whistleblowing
Sobre el impacto de la Directiva de Whistleblowing y su trasposición a nuestro ordenamiento para la protección del denunciante, Ramiro Salamanca señala a Confilegal que “la propia Comunidad de Madrid está trabajando en un Decreto que regule la implantación de estos canales de denuncias que aparecen como obligatorios tanto para empresas como para entidades públicas”.
Es evidente que Madrid Digital «se sumará a él para poder implementarlo en el medio plazo y así aplicar la Directiva a la que estamos obligados todas las administraciones. En estos momentos algunas van más adelantadas que otras”.
A su juicio “los canales de denuncia van a ayudar a impulsar más la prevención y transparencia en las administraciones, eso supondrá que cualquier empleado público o empresa que trabaja con la administracion pueda denunciar la comisión de un delito o una conducta irregular”.
Sobre el funcionamiento del canal y las claves para que ese canal de denuncias funcione en una entidad como Madrid Digital este jurista señala la importancia de contar con un equipo especializado en la investigación y análisis de los hechos denunciados y si los mismos suponen o no una infracción de la normas, procesos y procedimientos que resulten de aplicación, y concluir si el hecho denunciado lo es por un vacío procedimental o normativo que requiere de la implantación de medidas adicionales.
