Materiales CESCOM 2023.

Materiales para
la preparación
de la Certificación CESCOM
Junio 2023
© ASCOM. Prohibida la distribución o reproducción total o

parcial de estos materiales sin el consentimiento de ASCOM.
9 788409 493531
ÍNDICE DE CONTENIDOS
Presentación 9
Módulo 1 • Introducción a la función de Compliance en las organizaciones 11

1.1. Introducción 12
1.2. Origen y evolución de la función de Compliance 14
1.3. Definición de “Compliance” 20
1.4. El propósito de la función de Compliance 23
1.5. Responsabilidades de la función de Compliance 24
1.6. Requisitos para establecer una función de Compliance 27
1.7. Principales elementos de un programa de Compliance eficaz 29
1.8. Estándares o marcos de referencia para sistemas de Compliance 34
1.9. Resumen del módulo 43
Módulo 2 • La relación entre ética y Compliance 45

2.2. Origen y evolución de la ética empresarial 47
2.3. Orígenes y desarrollo de la ética empresarial 51
2.4. Principales teorías que se aplican a la ética empresarial 62
2.5. El valor añadido que aporta una gestión ética de las organizaciones 67
2.6. Ética Empresarial y Compliance 69
Módulo 3 • Norma ISO 37301. Sistemas de gestión de Compliance. Requisitos 77

con orientación para su uso
3.2. Estructura 79
3.3. Objeto y campo de aplicación 81
3.4. Definiciones 81
3.5. Contexto de la organización 83
3.6. Liderazgo 86
CESCOM® © ASCOM. Prohibida la distribución o reproducción total o parcial de estos materiales sin el consentimiento de ASCOM. 2
3.7. Planificación 92
3.8. Apoyo 93
3.9. Operación 96
3.10. Evaluación del desempeño 98
3.11. Mejora 101
Módulo 4 • Buenas prácticas de la función de Compliance 103

4.2. Liderazgo y cultura de Compliance 105
4.3. Las tres líneas de defensa 128
4.4. Plan anual de Compliance 132
4.5. Información y reporte 138
4.6. Resumen de módulo 146
Módulo 5 • Responsabilidad social y buen gobierno corporativo 148

5.2. Responsabilidad social corporativa 150
5.3. Buen Gobierno Corporativo 170
Módulo 6 • El Compliance Officer 207

6.2. Puestos y estructuras relacionadas con la función de Compliance 209
6.3. Roles y responsabilidades del CO 215
6.4. Competencias y habilidades del CO 219
6.5. Características y requisitos de la función de Compliance 223
6.6. Relación de Compliance con otros departamentos 233
Módulo 7 • Gestión de riesgo de Compliance 239

7.2. El papel estratégico de la gestión de riesgos y cómo abordarla 241
7.3. Definición de riesgos de Compliance 245
7.4. Gestión de riesgo de Compliance según la norma ISO 31000 248
Módulo 8 • Normativa interna de las organizaciones 269

8.2. Código de conducta, políticas y procedimientos 271
8.3. Autorregulación y Compliance 288
8.4. Prevención de conflictos de intereses 296
8.5. Procedimientos de diligencia debida 308
Módulo 9 • Canales de denuncia e investigaciones 324

9.2. Denuncia de irregularidades: antecedentes y definiciones 326
9.3. Regulación de los canales de denuncias en España y en la UE 331
9.4. Canales de denuncias externos 333
9.5. Canales de denuncias internos 335
9.6. Derechos del denunciante y denunciado 340
9.7. ISO 37002 - Sistemas de gestión de la denuncia de irregularidades. Directrices 345
9.8. Proceso de gestión del canal de denuncias 355
9.9. Medidas disciplinarias e incentivos 364
9.10 Resumen del módulo 366
Módulo 10 • Comunicación, formación y sensibilización 368

10.2. Comunicación 370
10.3. Formación 379
10.4. Sensibilización 390
Módulo 11 • Monitorización de Compliance 393

11.2. Procedimientos internos de monitorización 396
11.3. Plan de monitorización de Compliance 403
11.4. Ejecución de la monitorización 405
Módulo 12 • Prevención del riesgo penal de las personas jurídicas 413

12.1. Introducción y antecedentes relevantes 414
12.2. La responsabilidad penal de la persona jurídica en el Código Penal español 422
12.3. Diseño e implantación de un modelo de organización y gestión eficaz para la 443

prevención de delitos de las personas jurídicas
12.4. Norma UNE 19601:2017 sobre Sistemas de Gestión de Compliance penal 458
Módulo 13 • Prevención del soborno y de la corrupción 482

13.1. Introducción y antecedentes relevantes 483
13.2. Principales aspectos de un programa de Compliance anticorrupción 487
Módulo 14 • Prevención del blanqueo de capitales y financiación del terrorismo 514

14.2. Antecedentes y conceptos 516
14.3. La regulación sobre la prevención del blanqueo de capitales 529
14.4. Organismos relacionados con la prevención del blanqueo de capitales, la 537

financiación del terrorismo y de la proliferación
14.5. Fases del blanqueo de capitales, financiación del terrorismo y de la proliferación 543
14.6. Normativa española en materia de prevención del blanqueo de capitales y 552

financiación del terrorismo
14.7. Procedimiento sancionador 589
Módulo 15 • Defensa de la competencia 596

15.2. Contexto normativo 598
15.3. Conceptos básicos en materia de defensa de la competencia 604
15.4. Diseño e implantación de un programa de Compliance de defensa de la 630

competencia
Módulo 16 • Prevención del abuso de mercado 637

16.2. Información privilegiada 639
16.3. Manipulación de mercado 650
16.4. Comunicación de operaciones sospechosas de abuso de mercado 654
Módulo 17 • Protección de datos y privacidad 656

17.2. Principios y normativa de referencia 658
17.3. Conceptos básicos en materia de protección de datos 660
17.4. Registro de las actividades del tratamiento (R.A.T) 664
17.5. Plazos de conservación de los datos personales 667
17.6. Procedimientos de obtención de datos personales 672
17.7. Procedimientos especiales de obtención de datos 676
17.8. Comunicaciones comerciales electrónicas 679
17.9. El Delegado de Protección de Datos 682
17.10. Tratamiento de datos por cuenta de terceros 688
17.11. Seguridad del tratamiento 689
17.12. Evaluaciones de impacto relativas a la protección de datos 690
17.13. Consultas previas 694
17.14. Infracciones y sanciones 694
Módulo 18 • Protección al consumidor 699

18.2. Defensa de consumidores y usuarios 702
18.3. Protección del cliente en el ámbito de los servicios financieros 717
Módulo 19 • Compliance en el sector público 746

19.2. Definición y alcance de sector público 748
19.3. La función de Compliance en el sector público 749
19.4. Justificación de modelos de integridad en el sector público 753
19.5. Principales riesgos que hay que gestionar en el sector público 755
19.6. Principales retos y dificultades 757
19.7. Recomendaciones 760
Módulo 20 • Compliance en la era digital 763

20.2. Antecedentes y conceptos 765
20.3. Normativa de referencias 782
20.4. Riesgos, amenazas y medidas de control 793
20.5. Políticas internas en este ámbito 800
20.6. Mecanismos de prevención 813
20.7. Desconexión digital 819
Bibliografía 824
PRESENTACIÓN
Presentación Compliance en cualquier tipo de organización.

De esta manera, las organizaciones que
Es para mí un placer presentar la octava contraten a personas que hayan obtenido
edición de nuestros materiales para la la certificación CESCOM® tendrán la garantía
preparación de la Certificación de Compliance de que dichas personas tienen suficientes
CESCOM , emitida por la Asociación Española
®
conocimientos para ejercer la función de
de Compliance (ASCOM). Compliance.
ASCOM es una asociación profesional sin Las personas que superen con éxito el examen
ánimo de lucro, constituida en mayo de recibirán por correo electrónico el diploma
2014, que nació de la iniciativa de un grupo de la certificación CESCOM® y su nombre y
de personas con amplia experiencia en el apellidos serán publicados en la página web
ejercicio de la función de Compliance con de ASCOM en un listado en el que figuran
el objetivo de profesionalizar dicha función todas las personas que han obtenido la
en España. Persiguiendo este objetivo, la certificación. Adicionalmente, la certificación
Junta Directiva de ASCOM fijó como uno de CESCOM® está homologada con las
los objetivos prioritarios de la asociación la certificaciones emitidas por las asociaciones
creación de una certificación profesional miembro de la International Federation of
de Compliance, objetivo que fructificó en la Compliance Associations (IFCA), de la cual es
Certificación de Compliance CESCOM , cuya ®
miembro ASCOM. Por ello, las personas que
primera convocatoria tuvo lugar en el mes superen el examen de CESCOM® obtendrán
de julio de 2016. Desde entonces se han también la acreditación de Internationally
celebrado un total de trece convocatorias Certified Compliance Professional, reconocida
para los exámenes, en las que se han inscrito por las asociaciones miembro de IFCA.
más de tres mil personas.
El buen funcionamiento del proceso de la
La Certificación de Compliance CESCOM®, certificación se garantiza por parte del Comité
emitida por la Asociación Española de Académico de las Certificaciones de ASCOM,
Compliance ASCOM, es una certificación del que forman parte personas cuya misión
profesional que acredita que las personas es aportar rigor, transparencia, objetividad e
que la obtienen cuentan con suficientes imparcialidad en todas las fases del proceso.
conocimientos profesionales en el ámbito
de Compliance en el momento en el que se Estos materiales han sido elaborados con el
adquiere la certificación. objetivo de ayudar a los profesionales que

estén interesados en obtener la certificación
La certificación CESCOM ®
constituye un CESCOM®, para que puedan adquirir o
estándar profesional que permite conocer, reforzar conocimientos sobre las materias
ampliar y actualizar permanentemente los más relevantes que debe conocer un
conocimientos necesarios para desarrollar Compliance Officer.
con solvencia y eficacia la función de
PRESENTACIÓN
El examen para la obtención de la certificación elaboración de esta octava edición de los

CESCOM® se basa íntegramente en el para la preparación de la Certificación de
contenido de estos materiales, que han sido Compliance CESCOM®, que ha realizado con
elaborados por profesionales especialistas en gran rigor y profesionalidad.
cada uno de los ámbitos de los veinte módulos
En nombre de toda la Junta Directiva de
en los que están divididos. En su elaboración
ASCOM, quiero desear mucha suerte y los
hemos intentado, en la medida de lo posible,
mejores éxitos a todos los profesionales que
evitar duplicidades o reiteraciones, si bien
se presenten al examen de la certificación
cada módulo debe entenderse de forma
CESCOM® y decirles que todos nosotros
individual por lo que, dada la interrelación de
nos ponemos a su disposición para
las materias tratadas en los distintos módulos,
cualquier consulta o sugerencia que quieran
es posible que determinados aspectos se
plantearnos.
traten en varios capítulos.
En nuestro ánimo de mejora continua, cada

año procedemos a realizar una actualización Sylvia Enseñat de Carlos
de los materiales en los que se basa la Presidente ejecutiva de ASCOM
certificación CESCOM®, corrigiendo posibles
erratas, actualizando los contenidos con las
novedades que se hayan podido producir
y revisando en profundidad los contenidos
de determinados módulos. Todo ello con el
objetivo de que la Certificación de Compliance
CESCOM® continúe siendo el principal
referente en el ámbito de Compliance para los
profesionales y los empleadores en España.
En esta octava edición se ha realizado una

revisión integral de los contenidos de los
materiales. Además, en esta edición hemos
mejorado muy sustancialmente el formato
y el contenido de los materiales, añadiendo
una parte inicial de objetivos y una final de
resumen en cada módulo, incorporando
elementos visuales que hacen más atractiva
y entendible su lectura, aumentando el
número de casos de estudio y otras mejoras
que creemos que añaden valor al documento.
Quiero agradecer muy especialmente
a Moisés Medina su participación en la
Módulo 1
Introducción a la
función de Compliance
en las organizaciones
MÓDULO 1 • INTRODUCCIÓN A LA FUNCIÓN DE COMPLIANCE EN LAS ORGANIZACIONES
Módulo 1 a las normas básicas de la sociedad, tanto las

consagradas en la ley como en la costumbre
Introducción a la función ética”.
de Compliance en las Ambas afirmaciones parecen naturales y

organizaciones lógicas: el objetivo de los negocios es obtener
un beneficio y maximizarlo. Sin embargo, éste
Objetivos no constituye un objetivo absoluto, sino que
tiene algunos límites. En su artículo, Friedman
Tras completar este módulo, el alumno
circunscribía dichos límites a los impuestos
deberá ser capaz de:
por las leyes y a las costumbres.
• Conocer los antecedentes históricos de la La realidad es que la persecución del beneficio

función de Compliance y su contexto, así como en el mundo corporativo ha significado, a lo
algunas de las referencias normativas clave largo de la historia, la ejecución de actividades
de su origen y evolución. poco éticas, cuando no abiertamente
• Definir la función de Compliance y sus reprobables e ilegales.
características principales.
La proliferación de escándalos corporativos y
• Conocer el propósito de la función y los
su impacto en la economía, en la confianza
elementos principales de un programa de
Compliance eficaz. de los inversores y en la opinión pública,
llevó a los gobiernos a tratar de remediar
• Identificar algunos de los marcos de referencia
esta situación mediante la adopción de leyes
más conocidos para los sistemas de Compliance.
y diferentes regulaciones. Así, trataban de
proteger sus propios intereses (los de la
1.1. Introducción administración), a los mercados financieros,
a los consumidores y a otros actores o partes
El economista Milton
interesadas (empleados, proveedores, etc).
FRIEDMAN, ganador
del Nobel de Economía1
Desde los años 70 del siglo pasado,
de 1976, afirmó en
cada escándalo financiero de
septiembre de 1970, en
importancia o crisis económica ha
un artículo en el New Milton Friedman resultado en la adopción de nuevas
(1912-2006)
York Times , 2
que la
medidas de control para luchar contra
responsabilidad de los ejecutivos respecto de
la corrupción, el fraude, el blanqueo
sus accionistas y empresas era la de “ganar la
de capitales o la evasión fiscal.
mayor cantidad de dinero posible ajustándose
En este contexto surge la función de
Compliance y sus sistemas de gestión: es la
1 En realidad, se trata del Premio de Ciencias Económicas del Ban-
co de Suecia en memoria de Alfred Nobel. respuesta a la necesidad identificada por los
2 https://www.nytimes.com/1970/09/13/archives/a-friedman-
doctrine-the-social-responsibility-of-business-is-to.html
gobiernos y estados de asegurar un adecuado
cumplimiento normativo que evitara y el uso de herramientas legales de coerción

situaciones indeseables o que minaran la (las ya mencionadas sanciones y multas).
confianza en el sistema.
Llegados a esta situación, un gran número de
A través de las nuevas exigencias normativas organizaciones han visto no solo la necesidad
también se trataba de dirigir y estandarizar sino también se han convencido de la utilidad
la conducta de las empresas, penalizando de de establecer programas de Compliance que
forma significativa las consecuencias de un formen parte integrante de su estrategia,
incumplimiento mediante la imposición de apoyados e impulsados desde los propios
importantes sanciones y multas. consejos de administración y comités de
dirección.
Sin embargo, el establecimiento de esta
función no fue instantáneo ni lineal, sino fruto Este impulso de los estamentos de gobierno
de una evolución prolongada en el tiempo, superiores de las empresas es imprescindible
con altibajos, no exenta de problemas y para el éxito del programa de Compliance,
polémicas, hasta alcanzar el desarrollo e pero también un aspecto clave en la
implantación actual. valoración y ponderación de los reguladores
y supervisores, llegado el caso de tener que
En un principio, las actividades relacionadas
evaluar al mismo.
con Compliance se orientaron por parte de
las empresas al aseguramiento de un mero En el sector financiero, uno de los pioneros en
cumplimiento estricto de la normativa, lo que el ámbito de Compliance, la regulación ya hace
constituía un enfoque de mínimos. de esa función un requisito imprescindible.
Además, el relativamente reciente
Esto pronto se evidenció como insuficiente
reconocimiento de la responsabilidad penal
por el legislador que consideró que, de
de la persona jurídica en el ámbito jurídico-
acuerdo asimismo con la evidencia de las
penal en numerosos países ha motivado
investigaciones académica3, la verdadera
que las empresas hayan comenzado a
eficacia de un sistema de Compliance
establecer estos modelos de organización
requería de su integración en el día a día de
y gestión de Compliance. La existencia de
las organizaciones.
un programa adecuado y eficiente puede
Este nuevo paradigma necesitaba asimismo permitir la exoneración o atenuación de la
de un cambio mentalidad, siendo solo responsabilidad penal, de la que se hablará
posible mediante el compromiso sincero y más en detalle en módulos posteriores.
real de quienes dirigen las organizaciones.

Al realizar su actividad, las empresas adoptan
Lamentablemente, esto no se ha dado en las
decisiones con el propósito de lograr los
organizaciones motu proprio, sino que se ha
objetivos que han establecido. Y cada decisión
venido implementando como consecuencia
entraña riesgos. Podemos decir que gestionar
de la voluntad del legislador y los reguladores
los riesgos forma parte consustancial de los
procesos de toma de decisiones empresariales.
3 Weaver, Treviño y Cochran (1999).
En este contexto, las estructuras de Para que este marco o estructura funcione,
Gobernanza, Gestión de Riesgos y las empresas deben alinear su estrategia,
Compliance (GRC) surgen como el marco sus procesos, su tecnología y su personal.
en el que las empresas son dirigidas y Las empresas tienden a crear programas o
controladas, asegurando que actúan de forma modelos de GRC centrados en la estrategia4,
ética, de acuerdo con su apetito de riesgo, y los procesos y la tecnología, pero suelen
cumpliendo con todas las normas, externas subestimar la dimensión humana. Sin
e internas, que les resultan de aplicación. En embargo, son las características personales,
este sentido, las estructuras de GRC están las competencias y las acciones llevadas a cabo
necesariamente conectadas con la estrategia, por las personas lo que determina en mayor
la cultura y los valores de la organización. medida un modelo GRC exitoso.
Gobernanza Un reto actual de las organizaciones es lograr

una comunicación fluida entre las áreas
Conjunto de mecanismos para asegurar que la de GRC. Para ello, se precisa una adecuada
información que llega a los órganos de decisión definición de funciones y establecer canales de
es suficiente, completa, correcta y puntual, con el
comunicación eficaces. Además, las personas
fin de que se adopten decisiones bien informadas
que asumen funciones de control deben
y para garantizar que se establecen los controles
situarse en la estructura de la organización
necesarios para confirmar que las instrucciones y la
estrategia de la empresa, se llevan a cabo de forma próximas a los núcleos de decisión, tanto
efectiva y ética para reforzar su legitimación interna como
para facilitar la transmisión de información a
dichos centros de decisión.
Gestión de riesgos
1.2. Origen y evolución de la
Actividad de identificación, análisis y tratamiento
de aquellos riesgos que puedan afectar de forma
adversa a la estrategia de la organización y a su
Algunos autores sugieren que los orígenes
capacidad para operar.
de la función se remontan al siglo XIX (1830),
Incluirá o combinará estrategias de mitigación
cuando se adoptaron leyes que pretendían
(reducir impacto o probabilidad), prevención (evitar
proteger a los trabajadores y mejorar sus
el riesgo), aceptación o transferencia (a terceros,
mediante seguros o acciones similares).
condiciones, combatiendo el uso de mano
de obra infantil y las condiciones de trabajo
insalubres.
Compliance
A estas normas, cuyo objetivo era regular y
Función que se ocupa de asegurar que la estandarizar ciertos ámbitos de actuación
organización cumple con las regulaciones y leyes
de las empresas, les siguieron varias
que les resultan de aplicación, así como con las
décadas más tarde otras medidas, como
políticas, compromisos y valores internos.
4 Blyth y MacHold (2011)
la promulgación de la Pure Food and Drug La investigación destapó donaciones y

Act (1906), el establecimiento en 1914 de contribuciones ilegales a campañas políticas,
la Federal Trade Commission to combat tanto en EE.UU como en otros países, por parte
unfair business practices o la creación, en de varias corporaciones. También acabarían
1933 de la Comisión del Mercado de Valores saliendo a la luz prácticas generalizadas de
(Securities and Exchange Commission, soborno a funcionarios en el extranjero.
SEC) para proteger a las inversiones frente a
Estas contribuciones a campañas políticas, así
las manipulaciones de mercado.
como los pagos a los funcionarios públicos
No obstante, pese a la natural tendencia a extranjeros, se hicieron de manera oculta, lo
buscar precedentes cada vez más remotos, que llevó a cuestionar las veracidad y exactitud
la función de Compliance es en realidad de las cuentas que dichas corporaciones
mucho más reciente, al menos tal y como la enviaban a la SEC.
entendemos en la actualidad. Existe cierto

Estos sucesos evidenciaron la ambición, falta
consenso en ubicar los esfuerzos pioneros
de escrúpulos y creciente codicia de gran
en este ámbito en la década de 1970, cuando
parte de la denominada América Corporativa5,
tuvo lugar una combinación de varias su incapacidad de autorregularse y de
circunstancias. prevenir, detectar y poner en conocimiento
de las autoridades los incumplimientos de
Como viene a demostrar el artículo ya
las normas impuestas por los estados y los
mencionado de Milton FRIEDMAN de 1970, en
distintos organismos supervisores. También
los EE.UU ya se había comenzado a generar
demostraron las limitaciones de la legislación
un debate acerca de la responsabilidad de
existente y los recursos disponibles para
las empresas y organizaciones más allá de la
hacer cumplir las normas. Estas cuestiones
creación de riqueza y generación del máximo
acabaron generando un debate en torno a la
beneficio. Estos debates llevaban tiempo
ética corporativa.
produciéndose y constituyeron el germen
que permitiría el nacimiento de la función de Así pues, en esos meses se dio una
Compliance. combinación de los siguientes factores:
Unos meses después de la publicación • Impacto en la opinión pública del Watergate

del artículo de FRIEDMAN, ya en 1972, los y la percepción de corrupción del sistema;
EE.UU se verían inmersos en el escándalo • Enorme efecto negativo que los casos de
del Watergate (que resultó en la dimisión del soborno en el extranjero tuvieron en la
presidente Richard NIXON en 1974). imagen de los EE.UU y, específicamente,
cómo afectaron a su política exterior, en un
La dimisión de NIXON, un acontecimiento sin
momento clave de la Guerra Fría;
precedentes en el país norteamericano, si bien
constituyó la consecuencia más recordada,
no fue el único resultado del Watergate.
5 Casi un 25% de las mayores empresas americanas estuvieron
involucradas en este escándalo (117 del listado Fortune 500).
• Falta de recursos normativos para perjudicaría a las empresas estadounidenses

la persecución de estos reprobables al ponerlas en una situación de desventaja
comportamientos (por parte de la SEC y frente a otros competidores.
el DOJ): Como se explicó en su momento,
A pesar de todo, una revisión de los resultados
“podíamos probar el soborno, pero no
mostraría que la FCPA fue infrautilizada en
procesar[los] por soborno”6.
sus primeras décadas, por lo que su eficacia
• Dudas generadas en los inversores sobre la e impacto fue cuanto menos cuestionable.
veracidad de las cuentas remitidas a la SEC De hecho, no es hasta la mediada primera
por parte de las grandes corporaciones. década del siglo XXI cuando las autoridades
No en vano, los sobornos detectados estadounidenses (Departamento de Justicia,
alcanzaban cifras muy elevadas para la DOJ y la SEC) comenzaron a utilizar de
época; forma más decidida este instrumento, y su
popularidad se disparó.
• Identificación de la necesidad de acciones
de regeneración ética en el ámbito político
y corporativo;
Estos factores, junto con algunos debates

previos que ya se han señalado, propiciaron
el caldo de cultivo ideal para el desarrollo
y aprobación, a finales de 1977 (ya con
la Administración CARTER), de la Ley de Investigaciones relacionadas con FCPA (1977-2021).
Elaboración propia
Prácticas Corruptas en el Extranjero (Foreign Fuente: Stanford Law School – FCPA Clearinghouse
Corruption Practices Act, FCPA), la cual exige a

Como puede observarse en el gráfico anterior,
las empresas el establecimiento de controles
en sus 30 primeros años la FCPA apenas
internos para evitar dichas prácticas.
fue utilizada para abrir 160 investigaciones/
La FCPA se convirtió en la primera norma expedientes (la mitad de ellos, entre 2004 y
que criminalizaba el soborno de funcionarios 2007), con una media apenas superior a las 5
públicos, por parte de estadounidenses, acciones/año. Desde 2008 hasta la actualidad,
en cualquier lugar del mundo donde se esa media se decuplica, hasta alcanzar casi
produjera. las 50.
La promulgación de esta ley no supuso, Respecto de las sanciones, se observa una

al contrario de lo que pudiera parecer, un similar tendencia si tomamos el mismo
éxito inmediato. Generó una considerable periodo de referencia: de 1977 a 2007 (30
controversia en su momento, contando años), se impusieron sanciones por valor de
con detractores que argumentaban que unos 408M de dólares, mientras que entre
2008 y 2022 (hasta junio, menos de 11 años),
6 MONTERO, David, Extracto adaptado de su obra Kickback:
Exposing the Global Corporate Bribery Network (2018) (https:// la cifra casi se sextuplicó, alcanzando los
longreads.com/2018/11/20/the-second-half-of-watergate-was-
bigger-worse-and-forgotten-by-the-public/) 21.200 M.
Sentencing Guidelines for Organisations, en

adelante USFSG). Este documento, dirigido a
las personas jurídicas, estableció directrices
para que, al momento de dictar sentencia
contra las empresas acusadas de un delito
federal, los jueces puedan atenuar las penas
a aquellas que hubieran demostrado contar
Sanciones impuestas por FCPA (1977-junio 2022) (en miles de millones
de dólares EE.UU). Elaboración propia con un programa eficaz para prevenir delitos.
Fuente: Stanford Law School – FCPA Clearinghouse
Es importante señalar que, en estos primeros

En resumen, los efectos de la FCPA se han
momentos (principios de los 90), la función
acelerado notablemente (unas 18 veces) en
de Compliance se orientaba principalmente a
la última década, en comparación con las tres
evitar prácticas ilegales, como la corrupción,
anteriores.
estando asimismo en los albores de la lucha
La aprobación de la FCPA, aún sin lograr contra el fraude y el blanqueo de capitales.
avances significativos durante sus primeros
La función de Compliance es producto
años como hemos señalado, tuvo efectos
de una evolución reactiva: cada crisis
en las corporaciones estadounidenses. En
o escándalo generó cambios que
el siguiente gran escándalo, acaecido en
reforzaron las medidas de control
1986 en el ámbito de los contratistas de
interno, y acabaron por moldear esta
defensa (la poderosa industria militar de
función.
EE.UU), las corporaciones se adelantaron en
su reacción a la Administración, creando un A mediados de esta década (1990), se
órgano de autorregulación denominado The incrementaron notablemente a nivel
Defense Industry Initiative (DII) . De esta 7
internacional las acciones contra el blanqueo
forma, el sector pretendía evitar regulación de capitales, con la creación de Unidades
adicional desarrollando, en colaboración nacionales de Inteligencia Financiera8 (UIF,
con el Gobierno, un modelo de implantación como el FinCEN, el SEPBLAC, TRACFIN francés),
de programas de ética y Compliance para agrupados en torno al Grupo EGMONT.
detectar casos de fraude, mala gestión y
otras conductas similares en el seno de las Otros impulsos significativos a las funciones
empresas de este sector. de Compliance se derivaron de los atentados
del 11-S de 2001 en EE.UU, como medidas para
Otro hito que sin duda contribuyó al evitar la financiación el terrorismo (ampliación
desarrollo de Compliance en las empresas, y adaptación de las 40 recomendaciones del
fue la publicación, en 1991, de las Directrices GAFI/FATF).
Federales de EE.UU para el dictado de
sentencias sobre organizaciones (US Federal
8 Todas las reseñadas se crean oficialmente en la misma fecha, el

7 Más información en http://www.dii.org 01/06/1995.
También tuvieron su importancia casos como Estas necesidades mencionadas (recaudación,

el de ENRON, también en 2001, que dieron respuesta a crisis y escándalos, etc) empujaron
una excusa para impulsar la aprobación de a los estados- en un esfuerzo si no coordinado,
la Ley Sarbanes-Oxley (Sarbanes-Oxley Act, si al menos contemporáneo- a crear nueva
abreviada como SOX). normativa y regulaciones, que en un principio
afectaron casi exclusivamente al sector
Más tarde, filtraciones como la de la lista
financiero. Posteriormente, esta normativa
Falciani (2009) o los papeles de Panamá
se ha ido extendiendo a otros sectores
(2015) impulsaron investigaciones y
vinculados y está alcanzando una dimensión
modificaciones legislativas (como la 5ª
en la que casi todos los sectores y empresas
Directiva contra el blanqueo de capitales y
se ven afectados en mayor o menor medida.
la financiación del terrorismo, Directiva UE
2018/843, conocida como AML5 o AMLD5). Estos cambios de los últimos años (desde la
década de 2010) han ayudado a desarrollar,
También las crisis han permitido a los
ampliar y configurar la función de Compliance
gobiernos poner en práctica lecciones
como la entendemos en la actualidad,
aprendidas e identificar carencias. Por
frecuentemente liderada por la experiencia
ejemplo, la crisis de 2008 empujó a los
de los sectores más regulados (como el
estados a un mayor esfuerzo recaudatorio, lo
financiero o el farmacéutico) por sus más
que supuso medidas y recursos adicionales
rigurosas exigencias normativas de control y
para evitar la evasión fiscal y luchar de forma
de supervisión.
más efectiva contra el blanqueo de capitales
y aquellas jurisdicciones que amparaban Esta expansión a nivel internacional se ha
-cuando no fomentaban- estas actividades. producido en paralelo al desarrollo legal
y regulatorio, así como de los diversos
Así pues, en estos últimos años, se ha
estándares, directrices y recomendaciones
producido un cambio de paradigma: los
emitidos fundamentalmente a nivel
estados, en vez de ejercer las funciones de
internacional (normas ISO, recomendaciones
control e inspección a todos los niveles por
de la ONU, OCDE, G20, etc.).
sí mismos, desplazan esta responsabilidad
las organizaciones, que deben asumir las Por tanto, se pueda afirmar que los ámbitos
consecuencias de los incumplimientos. actuales de actividad de la función de
Compliance tienen su origen en:
Estas medidas, en combinación con la
tendencia mundial de responsabilidad penal • Esfuerzos contra el blanqueo de capitales y
de las personas jurídicas (en España, con la la evasión de impuestos;
modificación del Código Penal de 2010 y
• Medidas contra la delincuencia organizada
posterior de 2015) han propiciado el auge
y lucha antiterrorista;
de mecanismos de control interno donde
la función de Compliance ha tenido un • Nuevas propuestas para impedir y combatir
desarrollo preponderante. la corrupción;
• Respuesta a los escándalos financieros y extranjeros en transacciones

corporativos, así como a la crisis de 2008. comerciales internacionales (revisada
en 2021)
• Cambios normativos respecto a la
• 2010 Ley de Reforma de Wall Street y
responsabilidad penal de las personas Protección al Consumidor Dodd-
jurídicas. Frank (Dodd Frank Wall Street Reform and
Consumer Protection Act)
A continuación se detallan, como mera Ley de Cumplimiento Tributario de
Cuentas Extranjeras (Foreign Account
referencia y sin carácter exhaustivo, un
Tax Compliance Act, FATCA)
listado de normas y recomendaciones y
Ley Anti-soborno de Reino Unido 2010
directrices de carácter general (soft law) a (UK Bribery Act 2010)
nivel internacional, que deberían tomarse Guía OCDE de buenas prácticas
como referencia en el desarrollo de en controles internos, ética y
cumplimiento (revisada en 2022)
programas y sistemas de Compliance en el
ámbito empresarial: • 2011 Líneas Directrices de la OCDE para
empresas multinacionales (versión en
• 1976 Líneas directrices de la OCDE para vigor)
empresas multinacionales (OECD
Guidelines for multinational Enterprises, • 2015 Directrices de la OCDE sobre el
revisadas en 1979, 1982, 1984, 1991, 2000 Gobierno Corporativo de las Empresas
y 2011) Públicas (versión en vigor)
• 1977 Ley de Prácticas Corruptas en el • 2017 Departamento de Justicia de EE.UU

Extranjero (Foreign Corruption Practices – Evaluación de programas de
Act, FCPA) Compliance corporativos (US Department
of Justice- Evaluation of Corporate
• 1991 Directrices Federales de EE.UU Compliance Programs, actualizada en 2019
para el dictado de sentencias sobre y junio 2020)
organizaciones (US Federal Sentencing
Recomendación del consejo de la
Guidelines for Organizations, revisadas en
OCDE sobre integridad pública (OECD
2004, 2010 y 2016).
Recommendations on public integrity)
• 1997 Convención OCDE para combatir
el cohecho de servidores públicos • 2019 Departamento de Justicia de EE.UU –
Evaluación de programas de Compliance
extranjeros en transacciones
corporativos (US Department of Justice-
comerciales internacionales
Evaluation of Corporate Compliance
• 1999 Principios de Gobierno Corporativo Programs, (versión 2019)
de la OCDE (revisados en 2004, 2016 y
previsto en 2023) • 2020 Departamento de Justicia de
EE.UU – Evaluación de programas
• 2002 Ley Sarbanes-Oxley (Sarbanes-Oxley de Compliance corporativos (US
Act) Department of Justice- Evaluation of
Corporate Compliance Programs, (versión
• 2005 Directrices de la OCDE sobre el actual, junio 2020)
Gobierno Corporativo de las Empresas
Públicas (revisadas en 2015) Cronograma de referencias internacionales en responsabilidad
social. Elaboración propia
• 2009 Recomendación OCDE para combatir
el cohecho de servidores públicos
1.3. Definición de Compliance riesgos de Compliance los riesgos de que

se incumplan las obligaciones derivadas
La palabra “Compliance” es un término del marco legal y regulatorio (p. ej, no
en idioma inglés. Según el diccionario , 9
cometer delitos, no vulnerar el derecho de
constituye “el acto de obedecer una orden, la competencia, cumplir con las obligaciones
norma o petición”. Normalmente es traducida derivadas de la protección de los derechos
al español con el término “conformidad”, e de los consumidores… etc), pero también
incluso “obediencia”. el incumplimiento de otras obligaciones
autoimpuestas voluntariamente, como son
Habitualmente conocido en el mundo
las pautas de conducta que desarrollan
empresarial como cumplimiento o
los principios y valores éticos que las
cumplimiento normativo, esta traducción
organizaciones comunican y hacen público a
podría erróneamente inducir a pensar que
través de sus códigos éticos y/o de conducta.
consiste únicamente en dar cumplimiento
a las obligaciones legales y regulatorias que
tienen las empresas u organizaciones de otro Riesgo de Compliance
tipo, o en evitar una multa o sanción. Riesgo de sanciones legales o regulatorias, pérdidas
financieras o pérdida de su reputación que una
Sin embargo, un sistema de Compliance
organización puede sufrir como resultado del
implica mucho más. Velar por el cumplimiento incumplimiento de las leyes, regulaciones, normas
no solo de la letra, sino también de su de autorregulación y códigos de conducta que se
espíritu. Además, se asegura de la puesta aplican a sus actividades.
en práctica de los principios y valores que
Comité de Supervisión Bancaria de Basilea,
una organización ha decidido adoptar
(2005)
voluntariamente, así como las normas de
conducta que los desarrollan. Riesgos de Compliance
Compliance es una función que excede Aquellos “relacionados con el incumplimiento de
el mero cumplimiento de las normas las obligaciones de Compliance, esto es, aquellas
que una organización debe cumplir, y también las
externas. Además, debe asegurar el
que elige voluntariamente cumplir”.
cumplimiento de los valores y normas
adoptados interna y voluntariamente. Libro Blanco sobre la Función de Compliance
(2017)
En este sentido, en línea con lo que
indica el Libro Blanco sobre la Función de
Algunos ejemplos de obligaciones internas
Compliance10, una función de Compliance
adoptadas discrecionalmente por las
asume las tareas de prevención, detección
empresas y que debemos considerar
y gestión de riesgos de Compliance. Así, son
también obligaciones de Compliance serían,
9 Compliance: the act of obeying an order, rule, or request (Cambrid-

por ejemplo:
ge Dictionary).
10 Asociación Española de Compliance (ASCOM), 2017:9
Prohibición a empleados de aceptar cada departamento en este ámbito deben ser

regalos o atenciones de un tercero, claras y existir mecanismos de cooperación e
u obligación de declararlos y recabar intercambio de información).
autorización previa para recibirlos o
En este sentido, hablaremos de departamento,
realizarlos.
equipo o unidad de Compliance cuando la
Adoptar medidas para fomentar y organización haya creado un departamento
promover el uso, por parte de los específico para llevar a cabo estas
empleados o incluso de terceros responsabilidades. Contar con una unidad
(clientes, proveedores, etc.), de los dedicada exclusivamente a este ámbito bajo
canales de denuncia habilitados el liderazgo de un Director de Compliance o
para la comunicación interna de Chief Compliance Officer contribuirá a dotar
sospechas sobre conductas ilegales, de relevancia y visibilidad a esta función,
deshonestas o infracciones de contribuyendo así a evidenciar el compromiso
políticas y procedimientos de la de la empresa. No debemos olvidar que las
empresa. responsabilidades de Compliance exceden las
de los departamentos o equipos de personas
Regular el uso de recursos de la
que realicen alguna de las actividades propias
empresa para fines particulares.
de la función.
En el contexto de las entidades que prestan
Compliance es responsabilidad de todos y
servicios financieros, el concepto función de
cada uno de los individuos que integran
Compliance11 hace referencia al personal y
una organización y debe existir una
los recursos que dichas entidades establecen
conciencia clara de ello. Por ello, dentro
para identificar, evaluar, asesorar, monitorizar
de cada organización, debe existir una
e informar sobre el riesgo de Compliance. En
delimitación clara de responsabilidades y
definitiva, implica establecer una función que
rendición de cuentas en este sentido.
asista a la alta dirección en la gestión efectiva
de los riesgos de Compliance. Por otro lado, cuando hablamos de programa
de Compliance nos referiremos al marco
Con carácter general el máximo representante
o programa a través del que se planifica
de la función de Compliance suele ser una
y desarrollan las responsabilidades de
figura conocida como Director de Compliance
Compliance a las que se han hecho referencia
o sus homólogos en inglés, Head of
más arriba.
Compliance / Chief Compliance Officer (CCO).
En este sentido, el programa de Compliance
Sin embargo, en algunos casos las
de una organización abarca:
responsabilidades de la función son llevadas a
cabo por diferentes departamentos (en cuyo • Elementos formales, tales como
caso la asignación de responsabilidades de procedimientos y protocolos para la
identificación y evaluación de los riesgos,
11 Basel Committee on Banking Supervision, 2005; ESMA, 2012
revisión y actualización periódica del mapa
de riesgos, establecimientos de normas Un tema para reflexionar: ¿Función de

de conducta, revisión de los controles, Compliance o función de ética o integridad?
protocolo de uso del canal de denuncias
Cada vez es más frecuente que las empresas
internas, etc.
establezcan una función de ética o integridad, y,
• Elementos informales, como la cultura en algunos casos, abandonen incluso el término
corporativa o el liderazgo ético de los Compliance. De hecho, a veces se incorpora el
órganos de gestión y dirección de la término “ética” a la función de Compliance y el título
organización. de responsable de Compliance (Compliance Officer)
se transforma en “Ethics & Compliance Officer”.
Cabe señalar que, como recuerda el Libro
Blanco de la Función de Compliance, una El establecimiento de una función de Compliance
organización puede contar con uno o varios en las organizaciones es un tema de actualidad,
programas de Compliance. Es necesario que, cada vez más presente en el día a día de la
en todo caso, cada programa cuente con un actividad empresarial. Igual parece suceder con
el término ética, e incluso el de integridad, que
responsable de su operación.
empiezan a vincularse a algo más que el ámbito
En caso de que exista un programa de Responsabilidad Social de las empresas para
transversal o superestructura de Compliance, vincularse al ámbito de Compliance.
la responsabilidad de operar y rendir cuentas
Esta tendencia evidenciaría la estrecha relación
por la adecuada operación de los programas
existente entre ética y Compliance ya que,
específicos existentes corresponderá a sus
efectivamente, Compliance es mucho más que
respectivos responsables, sin perjuicio de que
limitarse al cumplimiento de la ley. Este hecho
también pueda corresponder en materia de
contribuye también a visualizar la ética empresarial
supervisión y coordinación general al máximo como una disciplina que va mucho más allá de la
representante de la función de Compliance. RSE.
Por último, un sistema de gestión Compliance AZNAR y VACCARO (2015) indican que, tanto desde
(CMS) es, según la Norma ISO 37301, el un punto de vista ontológico (la naturaleza del “ser”
conjunto de elementos de una organización o “lo que es”) como práctico, las leyes y la ética son
interrelacionados o que interactúan para conceptos diferentes que no siempre van de la
establecer políticas, objetivos y procesos para mano. Nos recuerdan que puede haber actividades
lograr los objetivos de Compliance. que, aún dentro de los límites legales, son
cuestionables éticamente. Atendiendo por tanto a
Un CMS es el modelo organizativo y de gestión
lo que se viene recalcando desde la introducción,
en el que se integra la función de Compliance la función de Compliance debe ir mucho más allá
y el programa o programas gestionados del “cumplimiento normativo”. Como veremos
para dar cumplimiento a las obligaciones de más adelante, las empresas no solo se enfrentan
Compliance de la organización. Implica dotar a dilemas legales, sino también éticos. Antes esas
a la empresa de los mecanismos y estructuras disyuntivas, deben plantearse no solo qué es lo que
necesarios e incorpora necesariamente un la ley les permite, sino qué es “lo que deben hacer”
adecuado marco de Gobernanza, Riesgos y (¿Es lo correcto para la sostenibilidad a largo plazo
Compliance (GRC). de mi organización?).
La función de Compliance y, por tanto, la de los En España, entre 2015 y 2019, los
encargados de ésta, cumple una labor esencial órganos judiciales impusieron
al hacer comprender a los directivos que “no se
sanciones por valor de 2045M de
trata solo de evitar multas y sentencias de cárcel:
Euros, por incumplimientos de
el comportamiento ético también contribuye a
obligaciones de Compliance
mejorar la reputación de la compañía y reforzar su
sostenibilidad”.
Más allá de los cambios organizativos por el
Partiendo de esta idea, quizás procede reflexionar legítimo temor a las sanciones, las empresas
sobre la necesidad de formular formalmente el u organizaciones de otro tipo, deberían
término Compliance en términos de integridad y reflexionar sobre el propósito último del
ética corporativa de forma que se incremente la programa de Compliance que establezcan.
concienciación sobre la necesaria interdependencia
y relación entre ética y cumplimiento legal, y se Como ya aludíamos anteriormente, que una
contribuya a desarrollar y/o mantener un buen empresa sea exonerada de responsabilidad
comportamiento de los individuos que integran las penal o evite una sanción no debería ser
organizaciones. la finalidad o la razón última por la que
establecer una función de Compliance. Esta
es, o debería ser, la consecuencia de haber
1.4. El propósito de la función instaurado un modelo de organización
de Compliance y gestión que fomente eficazmente el
cumplimiento de las normas y la aplicación
Como se ha mencionado en este módulo,
práctica de los principios y valores que la
los escándalos corporativos han contribuido
empresa haya adoptado y comunicado.
a que los estados desarrollen nuevas leyes y
regulaciones. La norma ISO 19600:2015 (sistemas de
gestión de Compliance, remplazada por ISO
El refuerzo y mayor exigencia de las normas
37301:2021) nos recordaba que la función
de conducta introducidas por la regulación y
de Compliance implica también gestionar el
la inclusión del requisito de que las entidades
cumplimiento de otra serie de obligaciones y
financieras cuenten con una función de
compromisos “no legales” que las empresas
Compliance, ha contribuido a que esta eligen cumplir.
industria haya implantado ya desde hace
tiempo esta figura. Esto es testimonio de que las
responsabilidades de una empresa no se
Por otro lado, en el ámbito penal, sin duda, circunscriben únicamente al cumplimiento
el reconocimiento de la responsabilidad de la ley y la obtención de beneficios
penal de la persona jurídica ha impulsado económicos12.
programas de prevención de delitos que
muchas empresas han decidido establecer. La decisión de una organización de establecer
y desarrollar un programa de Compliance
12 Hernández Cuadra (2018).
debería contemplarse no solo desde una El principio y el fin de un buen programa de

perspectiva legal sino desde el ámbito de la Compliance confluye, sin duda en la ética y la
responsabilidad corporativa que parte de la sostenibilidad empresarial. Así, en el proceso
de toma de decisiones, las empresas deben no
consideración de las empresas como actores
sólo preguntarse si la ley lo permite, sino si deben
sociales. En este sentido, las empresas
hacerlo.
deben contemplar distintos ámbitos de
responsabilidad y que aparte de la dimensión
económica y legal, han de considerar su 1.5. Responsabilidades de la
dimensión moral y social13. función de Compliance
Contribuir a que las organizaciones Las actividades realizadas respecto de los
empresariales reflexionen sobre sus riesgos por la función de Compliance de
consideraciones morales y establezcan, en una organización, pueden agruparse en los
el desarrollo de sus actividades, unos valores siguientes ámbitos diferenciados:
y principios éticos que sean llevados a la
práctica por quienes integran la organización
y desempeñan las actividades diarias, es la
clave para prevenir conductas indeseadas14.
Los programas de Compliance deben

diseñarse, implantarse y desarrollarse no
solo con el fin de contribuir a una adecuada
gestión de los riesgos legales y regulatorios,
sino con el objetivo último de llevar a cabo una
actividad corporativa de forma responsable,
contribuyendo así a la consecución de los diez 1.5.1. Identificar, analizar y evaluar
principios de Pacto Mundial (Global Compact) los riesgos
y los diecisiete Objetivos de Desarrollo
Sostenible de la ONU (ODS)15. Como veremos en otros módulos, Compliance
es en esencia una función de gestión de
riesgos. Así, una adecuada identificación de
Responsabilidad moral de las organizaciones
los riesgos es indispensable para construir
Las organizaciones tienen una responsabilidad un programa de Compliance sobre una base
moral, además de legal, de luchar contra la correcta, y lograr su eficacia.
corrupción y prevenir la falta de integridad
y transparencia, contribuyendo así a que se Si no se identifican los riesgos, las
desarrollen instituciones más sólidas y sostenibles. organizaciones estarán aceptando riesgos
por defecto. Y si los riesgos no se analizan
y evalúan, la organización a establecerá
13 Carrol (1991). controles innecesarios que colapsen y
14 Hernández Cuadra (2018)
dificulten el desarrollo de las actividades
15 Más información en https://onu.org.gt/objetivos-de-desarrollo/
de la empresa, o controles inapropiados o también lo es el riesgo de que la empresa no

insuficientes para prevenir y/o detectar la proteja adecuadamente los datos personales
materialización de los riesgos. En conclusión, de terceros o el riesgo de mala venta de un
si la identificación, análisis y evaluación de los producto o servicio.
riesgos no realiza correctamente, el entorno
Incluso, como veremos cuando hagamos
de control será inadecuado y difícilmente
referencia al riesgo de conducta, no solo
se logrará el propósito de desarrollar y
debería considerarse en función del impacto
mantener una adecuada conducta en el seno
negativo para la empresa, sino también
de las organizaciones.
atendiendo al perjuicio económico, o de otro
Para identificar adecuadamente los riesgos, tipo, generado en sus propios clientes o en
las organizaciones deben conocer las terceros.
obligaciones de Compliance que les afectan.
Además, dentro de los mecanismos de
Asimismo, es importante tomar en respuesta deben también establecerse
consideración cuáles son los factores que mecanismos que permitan detectar si algún
determinan la conducta de directivos y riesgo se ha materializado y poder adoptar
empleados en las organizaciones, es decir, medidas para tratarlo lo antes posible.
conocer que determina que un empleado se
Para todo ello, habrá que realizar actividades
salte un control o incumpla un precepto legal.
tales como asesorar a las unidades de
1.5.2. Responder ante el riesgo negocio sobre cómo proceder y proponer
el establecimiento de controles y, muy
La clave de un buen programa de Compliance
importante, adoptar medidas para formar
corporativo es prevenir.
adecuadamente y concienciar a la estructura
Para ello, habitualmente, además de poder directiva y resto de profesionales que integren
optar por eliminar la fuente del riesgo, las la organización.
organizaciones pueden establecer medidas

Para que los equipos de Compliance
para reducir la probabilidad de que el riesgo
puedan proponer medidas adecuadas para
se materialice o reducir su impacto.
responder eficazmente ante los riesgos, es
Es importante tener en cuenta cual es el tipo necesario que participen activamente en los
de riesgo que debe prevenirse, dado que, en procesos de la organización y participen con
función de la tipología y el nivel de impacto las unidades de negocio para conocer qué
o probabilidad de que se materialice, habrá actividades se están desarrollando.
que adoptar unas u otras medidas.

Compliance “must seat at the
Son riesgos de Compliance, por ejemplo, la table” (Compliance “debe sentarse
comisión de un delito por parte de un directivo a la mesa”), es decir, debe estar
o empleado, y el riesgo de que la empresa representado en los comités y foros
sea responsabilizada penalmente. Pero de discusión de la organización.
Compliance debe incorporarse a los comités suficiente, correcta, adecuada y de forma

y recibir la oportuna información. Solo así puntual.
podrán ejercer diligentemente sus labores
Es fundamental que Compliance no solo
de asesoramiento e identificar los ámbitos
reciba y tenga acceso a toda la información
en los que mayor formación y concienciación
necesaria para realizar correctamente sus
se necesita. Sus recomendaciones deben
funciones, sino que debe ser capaz de
tenerse muy en cuenta en los procesos de
establecer mecanismos adecuados para
decisión de las áreas de negocio.
informar a las más altas instancias (consejos
1.5.3. Monitorizar y detectar la de administración- a través de las comisiones
materialización de los riesgos delegadas que se determinen-, comités de
dirección, comités de riesgos, etc.).
Se pueden establecer dos formas de vigilar
o monitorizar si el programa o conjunto de La clave no está tanto en la cantidad sino
medidas establecidas por la organización en la calidad de la información. Los órganos
está funcionando: de decisión, habitualmente desbordados de
informes, necesitan información relevante
• Mediante actividades de supervisión de
para la toma de decisiones. Ser capaz de
las medidas y controles establecidos con
identificar la relevancia de la información,
el fin de identificar fallos o debilidades en
sintetizarla y trasmitirla de forma eficiente, es
los mismos o detectar si alguna conducta
una cualidad muy deseable en un responsable
inadecuada se ha llevado a cabo. Es
de Compliance.
importante reseñar que este ámbito de
actividad debe diseñarse también con En ocasiones, el exceso de información
un enfoque basado en el nivel de riesgo puede producir el efecto contrario al
existente, es decir, la identificación de los deseado, e impedir la toma de decisiones
controles que deben testarse y la frecuencia por falta de claridad y concisión. Cuando
con la que debe realizarse estarán basados se eleve la materialización de algún riesgo
en el nivel de riesgo. de Compliance, debe acompañarse de una
• Estableciendo canales de comunicación propuesta de medidas para remediar la
interna que permitan al personal de la situación y mejorar el entorno de control.
empresa, sin miedo a represalias y con
Por otro lado, es esencial que en la
todas las garantías de confidencialidad, dar
organización exista una cultura en la que no
a conocer sus sospechas de que se estén
haya miedo en dirigirse, en última instancia,
produciendo conductas inadecuadas.
a los máximos directivos y administradores
1.5.4. Informar a los órganos de para comunicar una mala conducta, con
decisión todas las garantías de confidencialidad y
protección frente a posibles represalias para
Es importante que los órganos de decisión quien denuncie de buena fe.
de las organizaciones reciban información
como para los profesionales que la vayan a

gestionar:
En puridad, los modelos de organización y gestión

o corporate Compliance programs no tienen
por objeto evitar la sanción penal de la empresa
sino promover una verdadera cultura ética
empresarial. La empresa debe contar con un
modelo para cumplir con la legalidad en general y,
por supuesto, con la legalidad penal pero no solo
con ella[...].
Sin duda, muchas empresas se han dotado y se

dotarán de completos y costosos programas con
Distintas actividades que desempeña la función de Compliance en
la única finalidad de eludir el reproche penal, pero,
las organizaciones. Elaboración propia.
más allá de su adecuación formal a los requisitos
1.6. Requisitos para establecer que establece el Código Penal, tales programas no
pueden enfocarse a conseguir este propósito sino
una función de Compliance a reafirmar una cultura corporativa de respeto a la
ley, donde la comisión de un delito constituya un
Establecer una función de Compliance implica
acontecimiento accidental y la exención de pena,
más que la mera redacción y distribución
una consecuencia natural de dicha cultura. De
entre los directivos y resto de empleados de otra manera, se corre el riesgo de que en el seno
normas, políticas y protocolos de actuación de la entidad los programas se perciban como una
interna (elementos formales). También va suerte de seguro frente a la acción penal.
más allá de la gestión del riesgo de que una
empresa pueda ser imputada penalmente. Ejercer la función de Compliance es, en
esencia, una función de gestión de riesgos que
Compliance no se limita a que una organización
para que sea eficaz debe estar sustentada en:
cuente con una lista de verificación de políticas
dadas a conocer a todos los empleados, a. Mecanismos que identifiquen los
ni a listados o porcentajes que sirvan para temas candentes y qué implicaciones
evidenciar, por ejemplo, cuántos empleados tienen en términos de Compliance.
han recibido formación en la empresa sobre Esto es fundamental para identificar las
distintas cuestiones de Compliance. obligaciones de Compliance a las que hemos
hecho referencia más arriba. Por ejemplo,
En este sentido, la Circular 1/2016 de la el reconocimiento de la responsabilidad
Fiscalía General del Estado16 (FGE) nos penal de la persona jurídica ha sido una
proporciona una orientación útil para aquellas de ellas. Otros temas de actualidad que
organizaciones que dispongan o piensen en se presentan como cuestiones clave
establecer una función de Compliance, así son la digitalización, y el uso de nuevas
tecnologías, como la inteligencia artificial o
16 FGE, 2016: 39-40 blockchain.
b. Un adecuado marco de gobernanza Aquellas empresas en las que la consecución

y gestión de los riesgos que permitan de objetivos financieros -sin duda necesarios
llevar a la práctica y supervisar el correcto e imprescindibles para la sostenibilidad
funcionamiento y aplicación de los económica de la organizaciones- es la máxima
mecanismos de control. Es decir, debe o incluso la única preocupación, dificulta que
existir una adecuada estructura de GRC, se visualice la necesidad de establecer este
en la que se establezcan líneas claras tipo de modelos de organización y gestión. E
de reporte, exista un marco definido de incluso cuando se reconoce la necesidad de
responsabilidades, rendición de cuentas, establecerlos (por presión legal y regulatoria),
toma de decisiones y seguimiento. Para que esta lógica empresarial impide la asignación
esta estructura funcione, deberá contar de recursos suficientes para que dicha
con los recursos adecuados y necesarios función se desarrolle adecuadamente.
(financieros, personal, etc).
Además, la consideración y la promoción de
c. Una buena comprensión de cómo los este tipo de sistemas de gestión como una
individuos se comportan y actúan suerte de seguro frente a posibles penas y
dentro de las organizaciones, que sanciones puede producir lo que se denomina
permita establecer medidas adecuadas la paradoja de Compliance17, dado que las
para prevenir y detectar comportamientos empresas pueden llegar a adoptar una menor
inadecuados. diligencia en la prevención y una mayor
atención a cuestiones formales y cautelas
En otros módulos se abordarán las
legales. De este modo, los programas de
características y requisitos debe cumplir
Compliance corren el riesgo de convertirse
el responsable de Compliance (o aquellos
en un mero conjunto de documentos y
encargados de liderar esta función e
procedimientos cuyo objetivo es evitar un
implementar el programa de Compliance).
procesamiento penal o la imposición de una
sanción, y percibirse, especialmente por
los empleados, como meras formalidades y
modelos de papel18.
Contar con un programa de estas

características podría llegar a ser, a nivel
organizativo y de cultura corporativa, peor que
no tener ninguno. Dado que los empleados
Claves para desarrollar una adecuada función de Compliance.

son capaces de valorar los motivos que los
Elaboración propia. directivos y administradores tienen a la
hora de establecerlos, deben percibir que
Un considerable desafío para esta función
es su imagen, asociada a la de un centro de
coste, en vez de una inversión. 17 Laufer (1999)
18 Paine (1994)
el programa de Compliance es un intento cierto tiempo, y en caso de que ocurran,

sincero de la organización de desarrollar y serán capaces de evidenciar su compromiso
mantener una buena conducta empresarial con la ética y el cumplimiento legal.
(“hacer lo correcto19”).
Una empresa de estas características
Insistimos de nuevo en que la exoneración de contribuirá al compromiso de sus empleados
la responsabilidad penal o la evitación de una y a atraer talento. Además, contribuirá
sanción no es el fin, sino la consecuencia de a mantener y atraer nuevos clientes y
haber instaurado un modelo de organización proveedores que valoraran prestar servicios
y gestión efectivo de Compliance. a una empresa cuya imagen y reputación esté
ampliamente reconocida. Y por supuesto, se
Sin duda, el mayor valor que aporta una
evitará la imposición de penas y multas a la
adecuada función de Compliance es la
organización, y a sus directivos y empleados.
contribución a la integridad corporativa,
entendida como un activo que contribuye a Por último, una empresa que haya dado
afianzar y mantener la imagen y reputación a conocer públicamente su compromiso
de la organización. con los Objetivos de Desarrollo Sostenible
de la ONU y/o haya firmado la adhesión a
Una empresa que no solo se limite a elaborar
los principios de Pacto Mundial (UN Global
y dar a conocer un programa de Compliance,
Compact), podrá contribuir a través de estos
sino que tome medidas reales y efectivas
programas de Compliance, a la lucha contra
para asegurar que dicho programa se integra
la corrupción (Principio 10 de Pacto Mundial,
en el día a día de la organización, contribuirá
“Las empresas deben trabajar contra la
sin duda a la su eficacia.
corrupción en todas sus formas, incluidas
En este sentido, la eficacia es la prevención extorsión y soborno”) y el desarrollo de
y detección temprana de incumplimientos. instituciones sólidas (Objetivo de Desarrollo
También ayudará el desarrollo de adecuada Sostenible de la ONU 16, “Paz, justicia e
cultura corporativa en la que el incumplimiento instituciones sólidas”).
de las normas sea una excepción y no dé lugar

1.7. Principales elementos de
a posibles justificaciones o racionalizaciones
de malas conductas.
un programa de Compliance
eficaz
Aunque el riesgo cero no existe, no cabe
Considerando que no existe un modelo único
duda de que las empresas que establezcan
que encaje en todas las organizaciones,
este tipo de modelos de organización y
vamos a revisar a continuación cuáles son los
gestión contribuirán a prevenir escándalos
principales elementos que conformarían el
corporativos y crisis reputacionales como
establecimiento de un adecuado programa
las que tristemente salpican los medios cada
de Compliance y una gestión eficaz del
mismo.
19 Treviño et al (1999)
En este sentido, es importante reseñar, que responsabilidades diarias para mitigar y

en un programa de Compliance pueden gestionar los riesgos de Compliance.
distinguirse no solo elementos más tangibles
Si los administradores, directivos y mandos
y formales como las políticas, estándares
intermedios, no se creen el programa de
y procedimientos internos, sino también
Compliance, difícilmente podrán transmitirlo
elementos informales pero esenciales para
al resto de empleados y contribuir a su
el desarrollo de un adecuado y correcto
integración en los procesos y día a día de la
programa de Compliance como son el
organización.
liderazgo ético y la cultura corporativa.
Hay que distinguir entre el “tone at the top”
Como referencia, podemos acudir también
(tono en la dirección) con el “tone from the
al documento Evaluation of Corporate
top” (tono desde la dirección: aun siendo
Compliance Programs actualizado por el
ambos necesarios, pero sin el primero (un
Departamento de Justicia de EE.UU en junio
compromiso ético y preocupación de los
de 2020, en el que se plantean y desarrollan directivos y consejeros por desarrollar un
tres preguntas: negocio responsable y hacer lo correcto
de la forma correcta) difícilmente podrá
¿Está bien diseñado? materializarse lo segundo (canalizar ese
mensaje y compromiso desde arriba hacia
¿Está implementado de forma eficaz? toda la organización).
Además, no podemos obviar el papel crucial

¿Funciona en la práctica? que juegan los mandos intermedios (tone at
the middle, Ethics & Compliance Initiative,
2018), dado que son quienes habitualmente
1.7.1. Liderazgo y compromiso de la
marcan los objetivos de trabajo esperados en
Dirección
el día a día y son quienes tienen un trato más
El liderazgo y el compromiso de los órganos directo y cercano con los empleados.
de administración y dirección con el programa

Aunque analizaremos más en detalle este
de Compliance corporativo es sin duda el
elemento en próximos módulos, podemos
punto de partida (conocido como “tone at the anticipar que, aunque imprescindible, por sí
top”). Solo así podrán transmitir al resto de la solo no será suficiente para que el programa
organización la importancia que tiene para de Compliance tenga el efecto deseado.
la organización gestionar y establecer un
programa de estas características. 1.7.2. Cultura corporativa ética.
Cultura de Compliance
Parte de ese liderazgo y compromiso
se evidenciará además empoderando y Una cultura corporativa en la que se prime
proporcionando los recursos adecuados la integridad y la honestidad es fundamental
a quienes tengan encomendadas para que el programa de Compliance funcione.
Así, es importante que el propio programa No obstante, la declaración formal no

tenga entre sus objetivos, no solo prevenir es suficiente si los comportamientos
y detectar los riesgos de Compliance, sino esperados (código ético y/o de conducta) y
contribuir al desarrollo de una cultura los efectivamente exigidos en el día a día por
corporativa ética. los directivos y mandos intermedios no se
encuentran alineados.
Esta quedará evidenciada por el compromiso
de todos los integrantes de la organización con 1.7.3. Identificación, análisis y
el cumplimiento de las leyes y regulaciones, así evaluación de los riesgos
como con los principios y valores corporativos
que hayan sido adoptados voluntariamente. Como ya se explicaba anteriormente,
Compliance es en esencia una función
Debe fomentarse la instauración de de gestión de riesgos. Sin una adecuada
una cultura donde la ética, incluido el identificación de los riesgos no será posible
cumplimiento de las normas, forme parte de construir un programa de Compliance
los procesos de adopción de decisiones. adecuado para gestionar los riesgos de este
ámbito a los que se enfrenta una organización.
Una adecuada cultura de Compliance no más
que el reflejo de una cultura corporativa en la Por ello, no podremos evidenciar que una
que los empleados cumplen las leyes y normas organización ha instaurado eficazmente
internas de la organización no por miedo a
un programa de Compliance si no parte de
ser sancionados en caso de incumplimiento,
una previa y correcta identificación, análisis
sino por convicción de que es lo correcto para
y evaluación de los riesgos que el programa
el desarrollo de la actividad de la organización
vaya a gestionar.
y sostenibilidad en el largo plazo.
1.7.4. Existencia de un responsable
Las organizaciones y, sobre todo, quienes
de Compliance
participan en los procesos de decisión, deben
plantearse no solo lo que la ley les permite Bajo el principio de proporcionalidad, la
sino lo que deben hacer para llevar a la gestión del riesgo de Compliance siempre
práctica los valores y principios éticos que será más efectiva si cuenta con un equipo de
esta haya adoptado voluntariamente. profesionales especializados y capacitados
para realizar la función, y liderados por un
Para ello, es importante que la organización
responsable u oficial de Compliance que
haga una declaración formal de sus valores
se encarguen de la supervisión diaria de la
éticos (normalmente a través de un Código
gestión del sistema de Compliance.
Ético) de forma que sirvan de guía y ayuden
a los empleados a hacer lo correcto, incluso Además, debemos considerar el papel
en casos los que no exista una norma escrita que puede llegar a jugar esta figura como
que marque cual es la conducta que seguir dinamizadora de la cultura corporativa y
(Ethics & Compliance Initiative, 2018). el importante rol que juega como asesor
de quienes desempeñan las actividades de
negocio y sus labores de formación (educación) requiere de un proceso de monitorización y

y concienciación en este ámbito. La figura y supervisión periódico.
funciones del responsable de Compliance
Esto significa que es importante establecer
serán desarrollados en un módulo posterior.
la verificación de la aplicación y correcto
1.7.5. Políticas, procedimientos e funcionamiento de los controles y también
instrucciones establecer revisiones que permitan detectar
posibles incumplimientos legales o regulatorios
Otro de los elementos esenciales es que
y conductas contrarias al código ético.
se establezcan políticas, procedimientos
e instrucciones que, como respuesta a los 1.7.8. Canales de información
riesgos identificados, contribuyan a mejorar
Un flujo adecuado de información es sin
el entorno de control.
duda la clave para que las decisiones
Dichos documentos deben estar por escrito, se adopten debidamente. No solo debe
en un lenguaje claro y práctico y con un prestarse atención al diseño y contenido de
enfoque basado en el riesgo. Además, deber los informes que se generen, sino también a
estar a disposición de todos los miembros de que existan las estructuras necesarias y bien
la organización. diseñadas para que dicha información fluya
de forma adecuada. Así, es fundamental que
1.7.6. Comunicación, formación y
se contemple a Compliance como una función
concienciación
integrada en un modelo de gobernanza, y
Para asegurar que el programa de Compliance que se adopten buenas prácticas en materia
está adecuadamente integrado en las de gobierno corporativo.
actividades diarias de la empresa, además
1.7.9. Sistemas de incentivos y
del necesario compromiso y su puesta en
evaluación del desempeño.
práctica por parte de la alta dirección, es
fundamental que se lleven a cabo acciones Uno de los factores que pueden determinar
de comunicación, formación y sensibilización una mala conducta de un directivo o un
referidas anteriormente. empleado, es la falta de alineación entre los
comportamientos esperados o deseados
El diseño de estas acciones formativas y de
por la organización (dados a conocer a
concienciación debe realizarse considerando
través del código ético y/o de conducta y las
las diferentes audiencias y sus funciones
políticas y normas internas de la empresa) y
dentro de la organización.
los comportamientos realmente expresados
1.7.7. Sistemas de monitorización y y exigidos (por ejemplo, directrices
detección comunicadas desde las áreas de negocio,
tales como los objetivos comerciales).
Como ya se ha explicado anteriormente,
un buen programa de Compliance, por Los planes de incentivos y las evaluaciones
muy completo y bien diseñado que esté, del desempeño (y, por tanto, los criterios
que sean tomados en cuenta para ascender Del mismo modo, entre los indicadores negativos
o promocionar a los empleados) deben ser que darían lugar a posibles correctivos, se pueden
coherentes con los objetivos de Compliance y destacar:
con los valores y principios éticos. Igualmente, • Haber generado/participado en una situación
deben incluir criterios relacionados con el de riesgo de incumplimiento. No haber
cumplimiento de los objetivos de Compliance. facilitado la información o documentación
solicitada por el órgano competente o haberlo
hecho a destiempo.
Una práctica extendida entre las organizaciones
es la de establecer una estructura de incentivos/ • No haber cumplimentado y entregado, o
correctivos en materia de Compliance, sobre la base haberlo hecho fuera de tiempo, la declaración
de un mecanismo de medición del perfil de riesgo formal de conformidad, o cualquier otra
de las personas que trabajan en la organización, y documentación relacionada con Compliance
con las que esta mantiene relaciones comerciales. que haya sido requerida.
A modo de ejemplo, se indican a continuación • Ausencia injustificada a la formación en materia

posibles indicadores positivos para valorar la de Compliance.
concesión de incentivos a los empleados:
• Insuficiente aprovechamiento de la formación
• Detección y comunicación oportuna de una en materia de Compliance según las pruebas
situación de riesgo de incumplimiento en la que practicadas durante la misma.
no se haya participado, colabora en su evitación,
• Manifestaciones o actos contrarios a los
gestión o mitigación de efectos.
principios de las políticas de Compliance
• Haber facilitado a tiempo la información (generales o específicas) de la organización.
o documentación solicitada por el órgano
• Haber sido objeto de un expediente sancionador
competente.
incoado por el órgano competente.
• Cumplimentación y entrega en plazo de
• Haber sido objeto de un expediente sancionador
la declaración formal de conformidad, o
en el ámbito sociolaboral relacionado con
cualquier otra documentación relacionada con
Compliance.
Compliance que haya sido requerida.
• Asistencia a la formación en materia de

Compliance. 1.7.10. Mecanismos de reacción
• Aprovechamiento de la formación en materia ante los incumplimientos. El
de Compliance, según las pruebas practicadas régimen disciplinario.
durante la misma.
La eficacia del programa de Compliance que
Contribución a la difusión de los principios y
establezca una empresa u organización de otro
contenidos de las políticas de Compliance (generales
o específicas) de la organización.
tipo, pasa necesariamente por la capacidad
de reacción ante los incumplimientos y la
Ausencia de incoación de expediente sancionador adopción de medidas que contribuyan a
por el órgano competente. remediar la situación y tratar de prevenir que
Ausencia de incoación de expediente sancionador en estas se repitan.

el ámbito sociolaboral relacionado con Compliance.
Las medidas disciplinarias, a pesar de su Si bien es cierto que no existe un modelo único
impopularidad en algunos ámbitos, permiten que sirva para todo tipo de organización, y
transmitir la idea de que incumplir las leyes que la eficacia de un modelo de organización
o actuar de forma contraria a los principios y y gestión de estas características pasa por
valores de la organización tiene consecuencias su adecuada adaptación a la realidad y
internamente. particularidades de cada una, existen sin
duda elementos comunes y necesarios para
Cualquier régimen disciplinario que se
contribuir a su eficacia.
implante, así como su aplicación, debe
hacerse conforme a la legislación laboral y a Un estándar o marco de referencia es
los convenios colectivos vigentes. aquella norma creada por una institución
de prestigio a través de un procedimiento
Asimismo, su aplicación debe ser uniforme
regulado, transparente y participativo. Para
y consecuente, de forma que todos
su elaboración, se cuenta con expertos
los profesionales de la empresa, con
de prestigio lo que, unido a las anteriores
independencia del rango o posición que
características, otorga a este tipo de normas
dicho profesional ocupe en la organización.
un indudable valor como representación
La eficacia de cualquier régimen disciplinario de los últimos avances y tendencias en un
dependerádequesuaplicaciónsepercibacomo ámbito. Los estándares tanto nacionales
justa y equilibrada, pudiendo afectar positiva como internacionales pueden ofrecer
o negativamente (en caso de una aplicación directrices para ordenar modelos, tanto
injusta, arbitraria o desproporcionada) al genéricos (transversales) como específicos de
desarrollo y mantenimiento de una cultura Compliance.
corporativa ética.
A continuación, se repasan los principales
1.8. Estándares o marcos de marcos internacionales que pueden
referencia para sistemas de ser utilizados como referencia por las
Compliance organizaciones para poner en marcha un
sistema de Compliance.
El modo de gestionar el cumplimiento de
las normas y los estándares éticos que 1.8.1. Compliance en la industria
aplican a la actividad de las organizaciones financiera
es una actividad cuya complejidad se está
incrementando en los últimos años. Las A los efectos de estos materiales de estudio,
empresas están siendo objeto de una se ha considerado oportuno que la función
creciente presión para aumentar la vigilancia de Compliance en la industria financiera,
y medidas de control en este y otros ámbitos. especialmente desarrollada, requiera una

mención aparte y sea tomada en cuenta a la
Una pregunta lógica que puede surgir es hora de desarrollar esta función en empresas
cómo asegurar que en una organización se pertenecientes a otros sectores o ámbitos de
ha implantado un modelo adecuado.
actividad. En este sentido, dos instituciones

son clave para comprender el contenido y
alcance de la función de Compliance en este
sector de actividad: el Comité de Supervisión
Bancaria de Basilea y la Autoridad Europea
de Valores y Mercados.
El Comité de Supervisión Bancaria de Compliance comienza arriba. Será más efectivo en

Basilea (BCBS, acrónimo de Basel Committee una cultura que enfatice estándares de honestidad
on Banking Supervision, por sus siglas en e integridad y en la que el consejo de administración
inglés), que se constituyó en 1975 por los y la alta dirección lideren con el ejemplo. Un banco
presidentes de los bancos centrales de deberá cumplir con los más altos estándares
cuando lleve a cabo su negocio, y en todo momento
los once países miembros del, por aquel
esforzarse para observar el espíritu al igual que la
entonces, Grupo de los Diez (G-10).
letra de la ley.
Este Comité constituye un foro internacional

Cumplimiento y la función de Compliance en bancos
de cooperación en materia de supervisión (BCBS, 2005)
bancaria y su principal objetivo es contribuir
a mejorar la comprensión de los temas claves Un década después, el BCBS publicó el
en el ámbito de la supervisión, aumentando documento Directrices de principios de
su calidad a nivel mundial a través de la gobierno corporativo para bancos (Guidelines
puesta en común de enfoques, técnicas y on corporate governance principles for Banks,
experiencias, con la finalidad de fortalecer la 2015), en el que se destaca que la función
solidez de los sistemas financieros. de Compliance debe asegurar, entre otras
cuestiones, que la organización opera con
En abril de 2005, el Comité publicó un
integridad, y cumpliendo con las leyes,
breve documento, de apenas 16 páginas,
normativas y políticas internas que le sean de
que estableció un decálogo para guiar a las
aplicación.
entidades financieras en el establecimiento
de una adecuada función de Compliance.
Desde entonces, ha sido la base y referencia
para la función de Compliance en el sector
bancario.
Por otro lado, en el ámbito de la prestación de

servicios de inversión, la Autoridad Europea
de Valores y Mercados (ESMA, European
Securities and Markets Authority) publicó en decisiones y los procedimientos en todos

2020 el documento de referencia Directrices los niveles de la empresa de servicios de
sobre determinados aspectos del requisito inversión.
de la función de cumplimiento de MiFID II
d. Emplear personal con las cualificaciones,
(que reemplaza a la versión publicada en
los conocimientos y la experiencia
2012 (relativa a MiFID I).
necesarios para el cumplimiento de las
El propósito de estas directrices es clarificar la responsabilidades que se les asignan.
aplicación de ciertos aspectos de las Directivas
e. Establecer, aplicar y mantener un sistema
MiFID20. El objetivo de dicho documento era
interno efectivo de rendición de cuentas y
promover una mayor convergencia en la
de comunicación de información en todos
interpretación de los requisitos que contiene
los niveles pertinentes de la empresa de
MiFID, reforzando la protección de los
servicios de inversión
inversores.
f. Llevar un registro correcto y ordenado de

Por último, en Unión Europea (UE), el art.
sus negocios y de su organización interna.
21 de Reglamento Delegado UE 2017/56521,
establece que las empresas de servicios de g. Garantizar que el desempeño de múltiples
inversión deberán cumplir los siguientes funciones por parte de las personas
requisitos de organización: pertinentes en su seno no impida ni pueda
a. Establecer, aplicar y mantener impedir que esas personas ejerzan una
procedimientos de toma de decisiones y determinada función de forma adecuada y
una estructura organizativa que determine, con honestidad y profesionalidad.
de forma clara y documentada, las líneas
Se trata por tanto de un modelo de
de rendición de cuentas y asigne funciones
organización y de gestión que, además, tal
y responsabilidades.
y como establece el art. 22.2 del mismo
b. Garantizar que las personas pertinentes Reglamento, debe contar con una función
en su seno conozcan los procedimientos “permanente y efectiva de verificación del
que deban seguirse para cumplir cumplimiento que actúe con independencia”
adecuadamente con sus responsabilidades. y cumpla los cometidos de supervisar las
medidas implantadas, asesorar y ayudar a
c. Establecer, aplicar y mantener mecanismos
quienes prestan los servicios de inversión,
adecuados de control interno diseñados
informar al órgano de dirección y supervisar
para asegurar el cumplimiento de las
el funcionamiento del proceso de tramitación
de las reclamaciones, considerando estas
20 Acrónimo de Markets in Financial Instruments Directive. como una fuente de información relevante.
21 Reglamento Delegado (UE) 2017/565 de la Comisión de
25/04/2016 por el que se completa la Directiva 2014/65/UE del
Parlamento Europeo y del Consejo en lo relativo a los requisitos
organizativos y las condiciones de funcionamiento de las empre-
sas de servicios de inversión y términos definidos a efectos de
dicha Directiva.
Para que la función de Compliance pueda En este sentido hay dos marcos, algo más
cumplir sus funciones en las entidades recientes que el original (1992), que deberían
financieras, la propia regulación exige que considerados por las empresas que implanten
cuente con: sistemas de Compliance: COSO 2013 y COSO-
ERM 2017. Es importante señalar que ambos
• Recursos: Los necesarios, incluyendo
marcos:
atribuciones;
• No son excluyentes entre sí: el documento
• Información: Acceso a toda la que necesite
COSO-ERM 2017 no reemplaza el Marco
para el desarrollo de sus tareas;
Integrado de Control Interno COSO 2013.
• Independencia: La suficiente para que no
• Aun siendo dos marcos distintos, son
se comprometa su objetividad y no entre
complementarios, utilizando ambos una
en conflicto de intereses.
estructura de componentes y principios.
Por otro lado, estas exigencias son mínimos • Algunos aspectos sobre la gestión de
extrapolables a cualquier otro tipo de riesgos y el control interno se desarrollan
organización en las que se debe implantar un más profundamente en el Marco COSO
modelo de Compliance efectivo. ERM 2017.
1.8.2. Marcos Integrados de COSO El marco COSO de control interno: Internal

Control - Integrated Framework (2013)
Elaborado originariamente en 1992 (revisado

y actualizado en 2013), el Marco Integrado de
Control Interno de COSO, se ha convertido en
Constituyen el estándar por excelencia
el marco de control interno más utilizado en
en cuanto a control interno y gestión de
los EE.UU y ha sido adoptado por numerosos
los riesgos empresariales, con un gran
países y empresas de todo el mundo.
reconocimiento internacional. Es por tanto
difícil imaginar que una gran organización Su finalidad es ayudar a las organizaciones a
no acoja de un modo u otro los principios de diseñar e implementar el control interno en
los marcos definidos por COSO22 (Committee un entorno empresarial sujeto a constantes
of Sponsoring Organizations of the Treadway), cambios, y aclarar los requisitos para
especialmente si es una entidad registrada determinar qué constituye control interno
ante la Comisión de Mercado de Valores de efectivo.
EE. UU. (SEC) o ante cualquier otro regulador
que igualmente haya adoptado COSO como El documento (COSO, 2013:3) define control
patrón de control interno. interno como:
22 El COSO está constituido por representantes de cinco organiza- [...] un proceso llevado a cabo por el
ciones del sector privado en EE. UU., para proporcionar liderazgo
intelectual en torno a tres temas relacionados entre sí: la gestión consejo de administración, la dirección
del riesgo empresarial (ERM), el control interno y la disuasión del
fraude. https://www.coso.org/ y el resto del personal de una entidad,
diseñado con el objeto de proporcionar un

grado de seguridad razonable en cuanto a
la consecución de objetivos relacionados
con las operaciones, la información y el
cumplimiento.
Además, este documento describe las

relaciones entre objetivos (a qué aspira la
organización), componentes (qué es necesario
para alcanzar dichos objetivos) y los principios
(cuáles son los conceptos fundamentales
relacionados con los componentes).
Cubo de COSO.
Objetivos y componentes se relacionan a su Fuente: COSO, “Internal Control—Integrated Framework,” Executive
Summary, USA, May 2013.
vez con la estructura de la organización. En
este sentido, estas relaciones se representan
A continuación, se procede a relacionar cada
en el conocido cubo COSO:
componente con los principios relevantes
a. Las tres categorías de objetivos están correspondientes23:
representadas por las columnas:

Entorno de Control
- Operativos
1. La organización demuestra compromiso con la
- Información
integridad y los valores éticos.
- Cumplimiento (Compliance) 2. El consejo de administración demuestra
independencia de la dirección y ejerce la
b. Los cinco componentes están supervisión del desempeño del sistema de
representados por las filas: control interno.
- Entorno de control 3. La dirección establece, con la supervisión del

consejo, las estructuras, las líneas de reporte
- Evaluación de riesgos
y los niveles de autoridad y responsabilidad
- Actividades de control apropiados para la consecución de los objetivos.
4. La organización demuestra compromiso para

- Información y comunicación
atraer, desarrollar y retener a profesionales
- Actividades de supervisión competentes, en alineación con los objetivos
de la organización
c. La estructura de la organización aparece
5. La organización define las responsabilidades
reflejada en la tercera cara del cubo: de las personas a nivel de control interno para
- Nivel entidad la consecución de los objetivos.
- División
- Unidad operativa 23 Componentes y principios del marco integrado de control inter-

no (COSO, 2013). Material de formación elaborado por la autora,
basado en COSO, 2013: 6-7. Cedido para su uso en estos mate-
- Función riales.
Evaluación de riesgos Actividades de supervisión
6. La organización define los objetivos con 16. La organización selecciona, desarrolla y realiza
suficiente claridad para permitir la identificación evaluaciones continuas y/o independientes
y evaluación de los riesgos relacionados. para determinar si los componentes del
sistema de control interno están presentes y en
7. La organización identifica los riesgos para la
funcionamiento.
consecución de sus objetivos en todos los niveles
de la entidad y los analiza como base sobre la 17. La organización evalúa y comunica las
cual determinar cómo se deben gestionar. deficiencias de control interno de forma
oportuna a las partes responsables de aplicar
8. La organización considera la probabilidad de
medidas correctivas, incluyendo la alta dirección
fraude al evaluar los riesgos para la consecución
y el consejo, según corresponda.
de los objetivos.
9. La organización identifica y evalúa los cambios

que podrían afectar significativamente al Marco COSO de gestión de riesgos
sistema de control interno.
empresariales: Enterprise Risk
Management - Integrating with
Actividades de control
Strategy and Performance (2017)
10. La organización define y desarrolla actividades
En 2004, COSO publicó el Marco Integrado de
de control que contribuyen a la mitigación de
los riesgos hasta niveles aceptables para la Gestión del Riesgo Empresarial. El propósito
consecución de los objetivos. de esa publicación era ayudar a las entidades
11. La organización define y desarrolla actividades a proteger y a aumentar el valor para las
de control a nivel de entidad sobre la tecnología distintas partes interesadas.
para apoyar la consecución de los objetivos.
Durante la última década, esa publicación
12. La organización despliega las actividades de
control a través de políticas que establecen ha ganado una amplia aceptación por parte
las líneas generales del control interno y de las organizaciones en sus esfuerzos por
procedimientos que llevan dichas políticas a la gestionar el riesgo.
práctica.
Sin embargo, a lo largo de ese período,
Información y comunicación la complejidad del riesgo ha cambiado,
han surgido nuevos riesgos, y tanto los
13. La organización obtiene o genera y utiliza consejos de administración como los altos
información relevante y de calidad para apoyar
ejecutivos de las empresas han mejorado su
el funcionamiento del control interno.
conocimiento y supervisión de la gestión de
14. La organización comunica la información
riesgos, requiriendo una mejor información
internamente, incluidos los objetivos y
responsabilidades que son necesarios para sobre los mismos. Por ello, este marco ha
apoyar el funcionamiento del sistema de sido revisado y actualizado dando lugar al
control interno. documento Gestión del Riesgo Empresarial
15. La organización se comunica con los grupos de - Integrando Estrategia y Desempeño (COSO,
interés externos sobre los aspectos clave que 2017).
afectan al funcionamiento del control interno.
[La gestión del riesgo empresarial] no es una función dinamizadora de la correcta actuación
ni un departamento. Es la cultura, las capacidades de quienes integran las organizaciones y
y las prácticas que las organizaciones integran con es en este sentido uno de los principales
el proceso de definición de la estrategia y aplican
riesgos que deben gestionarse en el
cuando la llevan a la práctica, con el propósito de
ámbito de Compliance.
gestionar el riesgo a la hora de crear, preservar y
materializar el valor. • Estrategia y establecimiento de
COSO (2017) objetivos: La gestión del riesgo
empresarial, la estrategia y el
Este documento destaca la importancia que establecimiento de objetivos actúan
tiene la gestión del riesgo empresarial en de forma conjunta en el proceso de
la planificación estratégica, y su necesaria planificación de la estrategia.
integración en todos los niveles de la En este sentido, la empresa debe

organización. establecer un apetito al riesgo y alinearlo
con la estrategia. Por otro lado, la
Este nuevo marco de COSO cambia el
estrategia se pone en práctica a través
tradicional cubo por una hélice, y establece de los objetivos del negocio los cuales
un conjunto de veinte principios organizados sirven a su vez como base para identificar,
en cinco componentes relacionados entre sí evaluar y responder ante el riesgo.
y que contribuyen a dar relevancia al papel
• Desempeño: Es importante y necesario
fundamental que juegan los consejos de
identificar y evaluar los riesgos
administración y los directivos en la gestión
que puedan afectar al logro de los
de los riesgos empresariales (en este sentido,
objetivos estratégicos y de negocio.
este marco es una guía muy útil para los
Los riesgos se priorizan en función de
órganos de administración de las empresas):
su gravedad atendiendo al apetito al
• Gobierno y cultura: El gobierno de riesgo. Posteriormente, la organización
la empresa es quien marca el tono en determina las respuestas ante el riesgo.
la entidad, reforzando la importancia Los resultados de este proceso deben
de la gestión del riesgo empresarial y comunicarse a las principales partes
estableciendo responsabilidades de interesadas en el riesgo.
supervisión al respecto.
• Revisión y monitorización: La
La cultura hace referencia a los valores organización debe conocer cómo
éticos, a los comportamientos esperados funcionan los mecanismos utilizados
y a la correcta comprensión del riesgo en para la gestión del riesgo empresarial,
la entidad (es importante que exista una y qué aspectos son susceptibles de ser
adecuada cultura de riesgo). revisados y modificados.
Es importante reseñar que la cultura
• Información, comunicación y reporte:
corporativa es actualmente uno de los
La gestión del riesgo empresarial requiere
principales focos de atención como
un proceso continuo de obtención e
intercambio de información, tanto de Cada uno de estos doce principios se

fuentes internas como externas, que desarrollan y se apuntan indicadores para
fluya en todas direcciones (arriba, abajo y evaluar su nivel de cumplimiento.
transversalmente por niveles).
1.8.4. IDW AssS 980
1.8.3. Australian Standards AS 3806-
2006
El IDW25 (Institut der Wirtschaftsprüfer in

Deutschland –Instituto de Auditores Públicos
Uno de los estándares que más difusión alemán) aprobó en marzo de 2011 su
ha tenido es el conocido como AS 3806- Assurance Standard sobre principios para
2006 que emitió Standards Australia , una 24
el desarrollo de mecanismos para obtener
reputada organización independiente sin garantías razonables sobre sistemas de
ánimo de lucro, reconocida por el Gobierno gestión de Compliance (Principles for the
de Australia e integrante de ISO, que emite Proper Performance of Reasonable Assurance
estándares locales. Engagements Relating to Compliance
Management Systems), más conocido como
Este estándar disfruta de un reconocimiento
internacional notable. Tanto es así que, IDW AssS 980 o PS 980.
incluso, el Instituto de Auditores Públicos

Se trata de una norma técnica orientada
alemán, el IDW, lo reconoció en 2011 como
a auditores, basada en las directrices del
un marco de referencia genérico en materia
International Auditing and Assurance Board
de CMS. Este estándar constituyó la base del
(IAASB), que cumple con su International
trabajo del estándar internacional ISO 19600
Framework for Assurance Engagement 3000:
(actualmente reemplazado por el ISO 37301)
Assurance Engagements other than Audits or
y se consideró como modelo abanderado de
Reviews of Historical Financial Information.
la denominada responsabilidad organizativa,
concepto estrechamente vinculado con el de Utilizar este marco de referencia supone
cultura corporativa. asumir unos niveles de control de calidad,
metodologías de trabajo y documentación
El objetivo de este estándar es facilitar
de procesos, que imprimen a las revisiones
principios que permitan desarrollar y
basadas en el IDW AssS 980 una solidez de las
mantener programas de Compliance
efectivos. Para ello, establece doce principios más altas a nivel internacional. Como norma
en los que basa un programa de Compliance y técnica, su redacción está sembrada de
que, a su vez, se agrupan en cuatro categorías: definiciones típicas del mundo de la auditoria,
compromiso, desarrollo, monitorización y de modo que comprender su contenido
mejora continua. requiere estar familiarizado con ellas. Por
24 Más información en https://www.standards.org.au/ 25 Más información https://www.idw.de/the-idw
eso, aunque no se trata de un estándar tareas y requisitos del responsable de la

extenso, es un texto denso y poco asequible función.
para profesionales ajenos a la auditoria.
Unos años después comenzaron los trabajos
Este estándar identifica aspectos clave que para elaborar otras tres normas de gran
deben analizarse en una revisión de un importancia para la función de Compliance,
Sistema de Gestión de Compliance, apuntando cuya publicación se realiza en el año 2021:
indirectamente los principales elementos a • ISO 37301 Sistemas de gestión de
considerar por cualquier organización que Compliance, nueva norma que, además de
pretenda ser evaluada en base al estándar. certificable, amplía y mejora de forma muy
sustancial el contenido de la ISO 19600, a la
Considerando que esta norma adopta como
que reemplaza.
referencias lo que denomina “entornos para
la gestión de Compliance generalmente • ISO 37002 Sistemas de gestión de denuncias
aceptados”, tanto de naturaleza genérica de irregularidades;
(COSO, directrices de la OCDE, etc.,) como • ISO 37000 Guía para la gobernanza en las
específicas (USFSG, normas sectoriales, etc.), organizaciones.
resulta que los aspectos a revisar son reflejo
de los principios que subyacen en estos textos. Estas tres nuevas normas consolidan la
definición del marco de actuación de los
1.8.5. Normas ISO relacionadas con responsables de Compliance, al aclarar
la función de Compliance y especificar muchos aspectos de crucial
importancia para la profesión.
Así, la ISO 37301, tras definir los requisitos

que debe cumplir un CMS, a la que nos
referiremos en otro módulo, incluye como
Las primeras normas internacionales
anexo una completa guía en la que se detallan
que afectaban directamente a las
numerosos conceptos y se proporcionan
responsabilidades de los Oficiales de
ejemplos de gran utilidad para quienes deben
Compliance fueron la ISO 37001 Sistemas de
aplicarlos en la práctica.
gestión antisoborno y la ISO 19600 Sistemas
de Gestión de Compliance, ambas publicadas Por su parte, la ISO 37002 analiza los
en el año 2015. requisitos que deben de cumplir los
canales de denuncias, algo esencial para la
Ambos textos supusieron un importante
función de Compliance, y la ISO 37000 da
hito en la profesionalización de la función de
recomendaciones sobre cómo cumplir con los
Compliance en España: así, contar con unos
principios que se deben respetar al definir los
estándares internacionales en los que se
ámbitos de gobernanza en una organización,
definían los criterios para medir la efectividad
que es el pilar sobre el que se debe sustentar
de los CMS, conllevaba la definición de las
un CMS eficaz.
1.9. Resumen del módulo
• A pesar de reconocer la existencia de ciertos precedentes históricamente más remotos, la

función de Compliance comienza a finales de los 70, y mantiene inicialmente una lenta,
aunque constante, evolución.
• Se trata de una función de origen anglosajón, que surge como reacción a desmanes
corporativos de multinacionales estadounidenses y comportamiento poco éticos o que
fomentaban la corrupción.
• La función ha ido desarrollándose y consolidándose en las estructuras de las organizaciones a

raíz de los diferentes escándalos financieros y societarios, así como de las crisis económicas,
en gran medida como respuesta a las mismas por parte de los legisladores.
• El legislador ha trasladado parte de las responsabilidades de supervisión y control a las

propias empresas, que se han visto forzadas a incorporar esta función de control interno en
sus estructuras y en el diseño de su estrategia.
• Un análisis del empleo de la FCPA a lo largo de los años, así como de la cronología de la normativa
y documentos clave de la función (convenios, guías, principios, estándares, etc) evidencia su
creciente importancia a inicios del siglo XXI, que se incrementa globalmente de forma
mucho más acentuada a partir de la crisis de 2008.
• Un gran número de normas y documentos de referencia para la función se han originado en

torno al sector financiero, para su control y la implementación de gobiernos corporativos
más éticos, pero han acabado extendiéndose a casi todos los sectores.
• Compliance es el conjunto de elementos de una organización interrelacionados o que

interactúan para establecer políticas, objetivos y procesos orientado a los objetivos de la
función.
• Los objetivos de Compliance son asegurar el cumplimiento de las normas, de los

compromisos y el fomento de una cultura corporativa ética. Esta es la manera que la función
tiene de colaborar con la consecución de los objetivos estratégicos de la empresa.
• La función de Compliance está conformada por los recursos dedicados a gestionar los
riesgos de este ámbito (su identificación, análisis, evaluación, respuesta, monitorización e
información para la toma de decisiones). Su propósito es la ejecución exitosa de sus programas
para que se gestionen adecuadamente dichos riesgos.
• Los elementos que constituyen un programa de Compliance eficaz son varios, todos ellos
necesarios; desde el liderazgo y compromiso de la Dirección a la existencia (o fomento hasta
alcanzarla) de una cultura corporativa ética.
• Considerando que Compliance es, en esencia, una función de gestión de riesgos, su

identificación, análisis y evaluación constituyen elementos indispensables.
• Debe existir personal encargado de esta función; se ha de contar con un responsable de

Compliance.
• Otros elementos necesarios son las políticas, procedimientos e instrucciones (único

elemento con el que muchos identifican y reducen a la función), la comunicación, formación
y concienciación (elemento crucial para fomentar una cultura ética), los sistemas de
monitorización y detección (necesario para identificar y proporcionar métricas en este ámbito),
los canales de información (para la comunicación interna y externa), así como los sistemas de
incentivos y evaluación del desempeño (que alineen expectativas y comportamiento ético) .
• Algunos estándares utilizados como referencia para la implantación de la función tienen ya un

recorrido de hasta tres décadas (COSO, 1992), pero han sido actualizados posteriormente. No
obstante, la gran mayoría han sido desarrollados a principios del s XXI: AS 3806 (2006), ISO
19600 (2010), IDW AssS 980 (2011), COSO (2013 y 2017) e ISO 37301 (2021, para reemplazar a
ISO 19600).
Módulo 2
La relación entre
ética y Compliance
MÓDULO 2 • LA RELACIÓN ENTRE ÉTICA Y COMPLIANCE
Módulo 2 La cultura ética proporciona lo que se conoce

como sistemas informales, que junto con los
La relación entre ética y sistemas formales (programas o sistemas de
Compliance gestión de ética y Compliance), contribuyen a

que la conducta ética de las organizaciones sea
una realidad, y no solo grandes aspiraciones
Objetivos
y loables intenciones de la organización,
Tras completar este módulo, el alumno reflejadas en un documento escrito.
Como nos recuerda el IBE (Institute of Business
Ethics), la ética aplicada al mundo empresarial
• Diferenciar los conceptos y significado de ética,
no se reduce a meros documentos y papeles
ética aplicada y ética empresarial.
que contengan los valores y principios
• Conocer el origen de la ética empresarial, que deben guiar las actuaciones de una
sus fundamentos filosóficos y su vinculación y organización. Tampoco debería reducirse
aplicación en el ámbito de compliance.
al ámbito de la llamada Responsabilidad
• Identificar los aspectos sobre los que trata la Social Corporativa.
ética empresarial.
No es lo mismo hacer cosas éticas,
• Conocer experiencias relacionadas con la ética
que hacerlas de forma ética27
empresarial y el impacto de las decisiones
éticas en casos reales, La ética empresarial tiene que ver con la
• Entender cómo y en qué influye la ética en la forma en que una organización lleva a cabo
normativa y regulación. sus actividades para obtener ganancias o
alcanzar otras metas u objetivos. Cualquier
• Comprender los aspectos fundamentales de
organización puede intentar llevar a cabo su
las principales teorías de aplicación en la ética
actividad de una manera guiada por valores y
empresarial.
principios éticos.
2.1. Introducción En este entorno, el responsable de Compliance

tiene la oportunidad (y el reto) de ejercer un
Para que los programas de Compliance papel clave como dinamizador de una cultura
corporativos influyan en el comportamiento corporativa de integridad, promoviendo la
de los individuos que conforman la adopción de medidas que velen eficazmente
organización, éstos deben ser parte de un por el cumplimiento del espíritu de las leyes y
sistema cultural más amplio y coordinado, regulaciones que son de aplicación, y no solo
que apoye la conducta ética en la empresa con su letra.
todos los días . 26
Sin embargo, para ello debe contar con

el convencimiento, apoyo y compromiso
26 Treviño, L.K. y Brown, M.E. (2004), Managing to be Ethical: Debun-
king five business ethics myths, Academy of Management Executi-
ve, vol. 18, nº. 2. 27 Para más información consultar https://www.ibe.org.uk/.
de quienes integran los órganos de La ética29 es un tipo de saber práctico que se

administración y de dirección de las preocupa por averiguar cuál debe ser el fin de
organizaciones. Es fundamental, por tanto, una acción para que la persona pueda decidir
que la reflexión sobre la dimensión ética de que hábitos ha de asumir y cuáles son los
la propia actividad corporativa sea incluida en valores que la orientan. En definitiva, cómo
las agendas de los consejos de administración adoptar decisiones “acertadas”. Es una ciencia
y comités ejecutivos. No solo importa qué se teórica, pero con una finalidad práctica.
hace sino también cómo se hace.
[La ética es] el ejercicio responsable de la libertad
A lo largo de este módulo explicaremos
en busca del bien, tanto en el ámbito personal
el concepto de ética empresarial,
como en el profesional y social. Se trata de un
concretaremos su significado, alcance, y proceso de reflexión que implica el uso de la razón
evolución histórica, y fundamentalmente, para encontrar claves que nos orienten y guíen en
analizaremos su aplicabilidad práctica nuestras acciones y decisiones.
como elemento esencial en el desarrollo de
Marco conceptual de la ética y la
programas de Compliance reales y eficaces.
responsabilidad social empresarial: un enfoque
antropológico y estratégico
En definitiva, descubriremos por qué la
ética es importante y qué papel juega en Cristina DÍAZ y José Luis FERNÁNDEZ (2015)
el desarrollo de modelos de prevención y

control de incumplimientos y conductas La ética puede definirse30 también como “el
ilícitas en el seno de las organizaciones. estudio de cuáles son los objetivos que las
personas debemos perseguir y qué acciones
2.2. Origen y evolución de la tenemos que llevar a cabo”.
ética empresarial
La ética consiste en la aplicación de
El término ética deriva del griego ethikos un enfoque racional o filosófico a la
que a su vez deriva de ethos (“costumbre” o moralidad31. No debemos confundir ese
“hábito”) . 28
sentido espontáneo de la moralidad que
tienen las personas (es decir, el sentido de lo
No estudiamos ética para saber que es la virtud, que es bueno o malo), con el enfoque racional
sino para aprender a hacernos virtuosos y buenos. que implica la ética. Dicha confusión conduce
De otra manera, sería un estudio completamente habitualmente a mezclar o intercambiar los
inútil.
términos ética y moral, y a entender que la
Ética a Nicómaco
ética equivale únicamente a la realización de
Aristóteles
un juicio moral.
29 Debeljuh, P. (2009), Ética empresarial: en el núcleo de la estrate-

gia corporativa, Cengage Learning.
28 Cristina Díaz de la Cruz y José Luis Fernández Fernández, incluyen
30 Hoffman, W.M. y Moore, J.M. (1990), Business Ethics: Readings and
en su artículo Marco conceptual de la ética y la responsabilidad so-
Cases in Corporate Morality, MacGraw-Hill.
cial empresarial: un enfoque antropológico y estratégico, una refe-
rencia al origen etimológico del término “ética”. Revista Empresa 31 Melé, D. (2009), Business ethics in action: seeking human excellence
y Humanismo/ VOL XIX /Nº 2/2015/69-118. in organizations, Palgrave Macmillan.
Por el contrario, mientras cada individuo “morales”33. Por tanto, el ámbito empresarial
puede tener su propio entendimiento de también cuenta con una dimensión moral.
lo que es bueno o malo (conforme, por
La ética empresarial, también denominada,
ejemplo, a sus creencias, valores, etc.),
ética en los negocios, es un campo de la ética
la ética trata de mostrar unos principios
centrado en la actividad de las organizaciones
universales o referencias objetivas que nos
empresariales. Es por tanto una subdisciplina
permiten contrastar nuestros puntos de vista
de la ética aplicada, y se ocupa, como
personales, facilitando por tanto un sistema
otras deontologías profesionales, de lo que
o modelo “racional” para evaluar la moralidad
moralmente es considerado correcto o
de una acción o comportamiento.
incorrecto en un ámbito profesional (en este
La ética es una rama del pensamiento. En caso, en los negocios).
este sentido, no deberíamos hablar de
La ética empresarial es una guía para la
“distintas éticas”, sería más acertado hablar
excelencia humana en el mundo empresarial,
de la existencia, como veremos más adelante,
o, dicho de otro modo, una guía para la
de distintos principios, teorías o perspectivas
calidad humana en los negocios34.
éticas (relativismo, utilitarismo, etc.).
El objetivo de la ética empresarial es la

Por último, es importante tener en cuenta
aplicación de los principios morales y
que la ética, aunque única, puede aplicarse a
éticos en la empresa y los negocios
distintos ámbitos de las relaciones humanas32
(ética aplicada, rama de la ética que se ocupa Aplicar la ética al mundo de la empresa, o de
de la aplicación de las diferentes teorías en otro tipo de organizaciones, presupone por
este campo). tanto aceptar que la ética y los valores no son
cuestiones meramente personales, también
2.2.1. La ética empresarial
son cuestiones organizacionales35.
El mundo de los negocios es una fábrica
Muchos directivos consideran erróneamente
de relaciones humanas: entre empleador
a la ética como una cuestión de “escrúpulos
y empleados, entre fabricantes y
personales36”, que afecta únicamente al
consumidores, entre directivos y grupos de
ámbito de los individuos y su conciencia
interés, etc. En definitiva, entre individuos que
personal.
integran las organizaciones empresariales
y los de las comunidades en las que dichas Quienes piensan así suelen justificar las
organizaciones realizan sus actividades. irregularidades o casos de mala conducta en
Aunque estas relaciones pueden analizarse

33 Hoofman y Moore (1990)
y entenderse desde una perspectiva 34 Melé, (2009).
económica, también constituyen relaciones 35 Driscoll y Hoffman (1999), Ethics matters: How to implement va-
lues-driven management, Center for Business Ethics (Bentley Co-
llege).
36 Paine, L. (1994), Managing for organizational integrity, Harvard Bu-

32 Melé (2009). siness Review, marzo-abril.
el seno de las empresas como un incidente de los valores, actitudes, creencias y modelos
aislado. Nunca llegan a plantearse que en esos de comportamiento que definen la cultura
casos exista algún tipo de responsabilidad de organizativa.
la empresa.
2.2.2. Aspectos constitutivos de la
Desde esta perspectiva podríamos entender ética empresarial
que la ética se reduciría a un conjunto de
De acuerdo con lo explicado en el epígrafe
valores subjetivos que nada tendría que
anterior, la ética empresarial englobaría todo
ver con el mundo de los negocios. De ahí la
aquello relacionado con las organizaciones
conocida expresión “los negocios son los
empresariales y lo acometido en su nombre.
negocios” o la idea de que no hay que mezclar
negocios y ética, porque, como a veces se Así pues, la ética empresarial pertenece
argumenta, el beneficio económico debería al ámbito de las acciones que desarrollan
ser lo primero37. los individuos cuando se encuentran
involucrados en actividades de negocio o
La empresa es una institución económica y, al
acciones llevadas a cabo cooperativamente
igual que ocurre con la economía en general,
dentro de una organización40.
tiene una base o fundamento moral38. El
sistema de libre mercado es producto de Ello no implica, sin embargo, que los
nuestras convicciones sobre la naturaleza de estándares que aplican a la ética empresarial
una buena vida y una buena sociedad, sobre difieran de los principios fundamentales
la justa distribución de bienes y servicios, y que deberían aplicarse a cualquier actividad
sobre qué tipo de bienes y servicios hay que desarrollada por el ser humano.
distribuir. Por tanto, aunque es cierto que el
objetivo de la empresa es la obtención de un
La ética empresarial es “el estudio de cómo
lucro, generar beneficio no es una actividad se aplican las normas morales personales a las
moralmente neutra, por lo que también actividades y metas de la empresa comercial. No es
importa la forma (cómo) éste se obtiene. un estándar moral separado, sino el estudio de la
forma en que el contexto de los negocios plantea
La ética sí tiene todo que ver con la gestión sus propios problemas para la persona que actúa
de la actividad empresarial39 y, de hecho, como agente de este sistema”.
las malas prácticas identificadas en el mundo
Good Intentions Aside: A Manager’s Guide to
de los negocios implican habitualmente
Resolving Ethical Problems,
la involucración tácita (e incluso muchas
NASH, L.
veces, explícita) de otros individuos de la
organización. Dichas conductas son un reflejo
En este contexto, es importante comprender
qué aspectos concretos deben ser tratados
37 Friedman, M. (1970), The Social Responsibility of Business is to In-
crease its Profits, The New York Times Magazine. por la ética empresarial:
38 Hoofman y Moore (1990).
39 Paine, L. (1994). 40 Melé (2009)
• La ética empresarial individual, que de la ética de los negocios busca ofrecer

incluye todas aquellas acciones vinculadas respuestas para lograr la excelencia
al comportamiento de los individuos humana en dichas organizaciones.
dentro de las organizaciones (toma de
• La ética empresarial social, que estudia el
decisiones, responsabilidad personal de
ámbito de las relaciones entre la empresa
quienes conforman la organización, etc).
y la sociedad, incluyendo cuestiones tales
Una cuestión importante a abordar como la responsabilidad medioambiental
desde este ámbito sería como lograr el o la contribución de la empresa el
compromiso real de todos y cada uno de desarrollo sostenible de dicha sociedad.
los individuos que integran la empresa y el A este ámbito pertenece el desarrollo
nivel de conciencia ética y de identificación de políticas de responsabilidad social
de dilemas morales de los mismos. corporativa.
• La ética en la dirección o gestión de la En consecuencia, la ética aplicada a la actividad

empresa, que se ocupa de las actividades empresarial implica estudiar el proceso de
de dirección y liderazgo que se llevan a adopción de decisiones y la responsabilidad
cabo en el seno de la organización. personal que asume cada individuo que
integra una organización.
Aspectos como la influencia de los
directivos y mandos intermedios en el Implica también estudiar las actividades de
comportamiento y desempeño de sus gestión y dirección empresarial y el liderazgo
subordinados, y el impacto del ejercicio que se ejerce desde los puestos más altos en
de su liderazgo en la orientación ética de la estructura jerárquica de la organización.
la organización entrarían en este ámbito
Requiere, además, el estudio y análisis
de estudio.
de la propia organización, como un todo
• La ética organizativa, referida a la gestionado a través de estrategias, objetivos,
empresa como un todo, gestionado normas, procedimientos.
a través de estrategias, objetivos,
Por último, la ética empresarial implica
estructuras, normas, procedimientos etc.,
reflexionar sobre el propio propósito de la
que a su vez contribuyen a desarrollar la
organización y el impacto que dicha actividad
cultura de la organización.
tiene en terceros (clientes, accionistas,
Un aspecto a analizar es el impacto que proveedores, empleados, comunidad en
ejerce en el comportamiento de dichos la desarrolla su actividad, etc.). Supone
empleados los planes de incentivos y la identificar que comportamientos son los
forma que tiene la empresa de remunerar deseados para generar un impacto positivo,
su desempeño, y si el diseño de dichos y en última instancia, implica adoptar las
planes genera conflictos de intereses medidas necesarias para que dicho impacto
que deban ser gestionados. Este aspecto se produzca (por ejemplo, incorporando la
ética al proceso de toma de decisiones en la 2.3.1. La aplicación de la ética o

empresa). reglas morales en los negocios:
algunos ejemplos en la historia
La ética es una ciencia práctica: no se
estudia para saber si no para actuar41. Aunque el nacimiento y desarrollo de la ética
empresarial como una rama académica es
Podemos concluir que la ética, aplicada a
algo relativamente reciente, ello no significa
los negocios, contribuye a mejorar el ámbito
que a lo largo de la historia no se haya
empresarial (o de otro tipo de organizaciones),
reflexionado sobre la aplicación de reglas
y lograr la excelencia, contribuyendo
morales o éticas al desempeño de la actividad
así la sostenibilidad económica, social y
empresarial43 (desde el primitivo comercio al
medioambiental de la propia organización
desarrollo de sistemas económicos, como el
y de las comunidades en las que realiza su
capitalismo). Todo ello desde una perspectiva
actividad.
tanto religiosa como filosófica.
2.3. Orígenes y desarrollo de la Así, para los que gustan de buscar referencias
ética empresarial y antecedentes, nos podemos remitir al
código de Hammurabi (1750 a.C.), donde
Las crisis financieras y los escándalos
ya se establecían ciertas reglas y normas
corporativos han contribuido sin duda a
de naturaleza ética para mercaderes y
incrementar el interés por la ética en el
vendedores ambulantes en el desempeño de
ámbito de los negocios.
su profesión.
La ética empresarial, concebida como
Siglos más tarde, ya en la antigua grecia,
una disciplina académica, es un fenómeno
Aristóteles (s. IV a.C.), en sus obras “Política” y
relativamente reciente que se ha desarrollado
“Ética a Nicómano”, habla sobre las relaciones
sobre todo en los EE.UU desde los años 70
económicas y el comercio, cuestionando la
del siglo pasado. A lo largo de este apartado
avaricia y condenando la usura.
revisaremos algunos ejemplos de reflexiones
éticas realizadas por filósofos y teólogos a lo Aristóteles distinguía entre oikonomikos
largo de la historia, y analizaremos el origen o economía doméstica (esencial para el
y desarrollo de la ética empresarial como funcionamiento de cualquier sociedad), y
disciplina académica o campo de estudio y chrematisike, el intercambio que tiene como
también como “movimiento corporativo42”. objetivo el lucro (lo que criticaba).
Además, planteaba una doble definición de

justicia44: justicia como virtud moral (justicia
41 Moreira, J.M (1999)

43 De George (2005).
42 De George, R. (2005), A history of business ethics, publicado en
https://www.scu.edu/ethics/focus-areas/business-ethics/resour- 44 Chroust, A-H. y Osborn, D. (1942), Aristotle’s Conception of Justi-
ces/a-history-of-business-ethics/ (Markkula Center for Applied ce, 17 Notre Dame L. Rev. 129, accesible en: http://scholarship.
Ethics- Santa Clara University). law.nd.edu/ndlr/vol17/iss2/
moral), en el sentido de la realización de

Adam SMITH (s. XVIII),
conductas en cumplimiento de la ley, y
conocido como el padre del
justicia en el sentido de dar a cada uno lo
liberalismo económico,
que le corresponde (igualdad). Esta última
habló sobre filosofía y
definición implica tratar a iguales por igual,
economía en sus obras
e intercambiar iguales por iguales (tener una Adam Smith
(1723-1790) “Teoría de los sentimientos
cantidad igual tanto antes como después de
morales” y la afamada “Una investigación
la transacción).
sobre la naturaleza y las causas de la riqueza
Más adelante, tras la caída del Imperio de las naciones”. Smith era profesor de
Romano y el auge de la cristiandad, Santo filosofía moral, y creía en la economía como
Tomás de Aquino (s. XIII) continuó con la una actividad capaz de generar mayor libertad
crítica a la usura que ya hizo Aristóteles, y y, en consecuencia, mayor felicidad45.
se cuestionó, por ejemplo, si en la actividad

La empresa industrial no nació de
comercial el vendedor está obligado a
espaldas a valores éticos46.
manifestar los defectos de la cosa vendida o
si es lícito, cuando se comercia, vender algo Otros filósofos como Immanuel KANT (s. XVIII),
por más de lo que se pagó. G. W. F. HEGEL (S. XVIII) y John Stuart MILL (s.
XIX) escribieron sobre asuntos económicos y
Posteriormente, Martin LUTERO, Juan
distribución justa47. Y en el siglo XIX, la figura
CALVINO (s. XVI) y John WESLEY (s. XVIII), entre
de Karl MARX destaca como la más crítica con
otras figuras de la Reforma Protestante,
el capitalismo.
también discutieron sobre el comercio y
el mundo de los negocios, y lideraron el Marx afirmó que el
desarrollo de la ética protestante del capitalismo se construyó
trabajo (término utilizado, a comienzos del sobre la explotación de los
siglo XX, por el alemán Max WEBER en su trabajadores. Se basa en la
obra “La ética protestante y el espíritu del teoría de que todo valor
capitalismo”). económico proviene del
Karl Marx
(1818-1883) trabajo humano, y que la
Este término se basa en la idea de calvinistas única mercancía que no se vende a su valor
y luteranos de que el trabajo duro y la real es el trabajo humano. Así, los trabajadores
frugalidad eran señales de salvación divina (lo cobran por debajo del valor que producen y
que influyó notablemente en la cultura del la diferencia entre el valor que producen y lo
trabajo y organización empresarial en países que se les paga es la fuente de ganancia para
de tradición protestante). el empleador (empresa).
45 Cortina, A. (2000), artículo de opinión Las tres edades de la éti-

ca empresarial, El País, disponible en https://elpais.com/dia-
rio/2000/11/29/opinion/975452411_850215.html.
46 Cortina, A. (2000).
47 De George (2005).
Si a los trabajadores se les pagara el valor 2.3.2. La ética empresarial como

que produjeron, no habría ganancias y, por lo disciplina académica
tanto, el capitalismo desaparecería. Su lugar
lo ocuparía el socialismo o el comunismo. Como hemos visto, a lo largo de la historia se
ha reflexionado acerca de la dimensión moral
En respuesta a estas ideas, en 1891, el papa de las relaciones económicas. Sin embargo,
León XIII emitió la encíclica “Rerum Novarum” con anterioridad a la década de 1970, las
(de las primeras sobre justicia social). A
obligaciones morales y los principios éticos se
diferencia de Marx, León XIII justificaba la
consideraban como propios del ámbito de los
propiedad privada, al tiempo que buscaba
individuos y no del de la empresa.
la respuesta a la cuestión planteada sobre
explotación de los trabajadores en la noción En EE.UU, la década de 1960 implicó grandes
de un “salario justo”. cambios sociales y en los negocios49. Finalizada
la Segunda Guerra Mundial, el espíritu de la
Otros papas publicaron posteriormente más
Guerra Fría estaba presente y la guerra en
encíclicas. Pío XI escribió “Quadragesimo
Vietnam fomentó una gran oposición a la
Anno” (1931) atacando moralmente tanto
política del gobierno estadounidense.
al socialismo soviético como al capitalismo
de laissez-faire, un tema que continuó Juan
Otros hechos que propiciaron un cambio de
Pablo II en “Laborem Exercens” (1981) y
perspectiva fueron las crecientes demandas
“Centesimus Annus” (1991). Desde la tradición
de derechos de los consumidores, el impacto
protestante también se han elevado críticas
que produjo el asesinato de Martin Luther
al capitalismo como la del teólogo y profesor
KING en 1968 (tras el que diversas empresas
universitario estadounidense Reinhold
revisaron sus políticas en materia de derechos
NIEBUHR, que en 1932 publicó “El hombre
civiles), el escándalo Watergate (1972) o el
moral y la sociedad inmoral”48.
caso de corrupción Lockheed (descubierto a
Todo lo anterior sirve para mostrar la raíz del Watergate).
importancia que a lo largo de la historia ha
Todos estos hechos y circunstancias
tenido la dimensión moral de la actividad
empresarial, analizada desde una vertiente propiciaron que la opinión pública
filosófica y también religiosa. demandara un comportamiento más ético

en las empresas. Y éstas, bajo la presión y
Por tanto, a pesar de que existan opiniones crítica de la opinión pública, respondieron
contrarias a mezclar ética y negocios, desarrollando la noción de responsabilidad
la dimensión moral de la empresa y la social.
económica son interdependientes y no
deberían analizarse de forma aislada, si lo que Las escuelas de negocios desarrollaron cursos
se desea es tener un conocimiento profundo sobre responsabilidad social corporativa50.
de este ámbito de las relaciones humanas.
49 De George (2005) y Melé (2009) .
48 Niebuhr, R. (1966) El hombre moral y la sociedad inmoral: un estu- 50 El concepto surge en EE.UU en 1953, tras la publicación de Social
dio sobre ética y política. Ediciones Siglo Veinte. responsibilities of the businessman, de Howard R. Bowen.
En su mayor parte, tales cursos pusieron En Países Bajos, el príncipe Bernardo, marido
énfasis en la ley y prevaleció el punto de vista de la reina Juliana (considerada en 1979 como
de la gestión de la dirección de la empresa, la mujer más rica del mundo), dimitió de todas
sus responsabilidades militares y comerciales, al
aunque pronto se agregó la perspectiva de los
cuestionarse sus relaciones con Lockheed, de la
empleados, los consumidores y del público
que recibió 1.1M.
en general. Los libros de texto no prestaban
atención a la teoría ética, ni se hablaba, de En Japón, el antiguo primer ministro Kakuei TANAKA
fue detenido y condenado, aunque los recursos
principios o estándares éticos, sino de valores
dilataron su entrada en prisión, falleciendo antes.
o demandas sociales y, posteriormente del
concepto reputación corporativa51. Fuentes:
www.theguardian.com/news/2001/nov/12/
Como campo académico, la ética empresarial guardianobituaries.philipwillan
surgió en la década de 1970, con la entrada www.nytimes.com/1976/11/21/archives/japans-
de un número significativo de filósofos, que watergate-made-in-usa-japan.html?_r=0
utilizaron la teoría ética y el análisis filosófico www.telegraph.co.uk/news/obituaries/1478171/

para buscar respuestas a diversas cuestiones HRH-Prince-Bernhard-of-the-Netherlands.html
en el ámbito de la actividad empresarial y el https://apnews.com/

article/0358f4d850e4779b25b510ed6a407f97
mundo de los negocios.
Por tanto, la ética empresarial surgió como

Caso de Estudio I: El escándalo de corrupción
resultado de combinar la teoría ética con los
de Lockheed
estudios empíricos y el análisis de casos y
En 1979, la compañía aeronáutica norteamericana problemas concretos.
Lockheed se declaró culpable ante un tribunal
federal en Washington -en un caso derivado de la El filósofo y experto en ética empresarial
investigación del Watergate-, de haber sobornado Norman E. BOWIE52 fecha el nacimiento de la
a altos funcionarios gubernamentales de varios
misma en noviembre de 1974, con la primera
países para potenciar las ventas de la empresa.
conferencia sobre esta materia celebrada en
Desde finales de los 50 y hasta la década de los 70, la Universidad de Kansas, y que dio como
Lockheed había sobornado a varios funcionarios resultado la primera antología utilizada en
en más de quince países, por un importe superior
los nuevos cursos que comenzaron a surgir
a los 38M de dólares. El escándalo tuvo un impacto
a partir de entonces sobre ética empresarial.
especialmente grande en Alemania, Italia, Países
Bajos y Japón. Como campo de estudio, la ética empresarial
En Alemania, el ministro de Defensa y su partido abarca gran parte de las cuestiones que se
recibieron un pago de 10M de dólares. abordaban en la literatura existente sobre
cuestiones y responsabilidades sociales, pero
En Italia, el soborno incluyó a políticos socialistas
y cristiano demócratas, y supuso la dimisión del plantea además una estructuración de todas
presidente Giovanni LEONE. las discusiones existentes sobre aplicación
51 Melé (2009) 52 De George (2009).
de principios y valores éticos en los negocios. • Nombramiento de un Oficial de Ética

En los 80, la ética empresarial tenía ya un corporativa.
carácter claramente interdisciplinar, con una
El auge de estos modelos internos
difusa línea de separación entre la filosofía y
corporativos se produce de forma
la investigación empresarial.
acompasada al creciente interés por la
Podemos concluir que, desde la década ética empresarial y también por el impulso
de 1990, la ética empresarial está ya generado por el propio entorno legal y
sólidamente establecida como un campo regulatorio.
de estudio. El contacto mantenido entre el
En la década de 1980 se produjo un auge
mundo académico y el corporativo ha dado a
del interés por la adopción de un enfoque
su vez pie al desarrollo de la ética empresarial
ético en la gestión empresarial, gracias a la
como movimiento corporativo. La ética
introducción del concepto de stakeholder54
empresarial, desde dicha perspectiva, es
(parte interesada). Este concepto identifica
analizada en el epígrafe siguiente.
a las “partes interesadas” como “cualquier
2.3.3. La ética empresarial como grupo o individuo que puede afectar o ser
movimiento corporativo afectado por la consecución de los objetivos
de la empresa”.
La ética empresarial como movimiento
en las empresas se refiere al desarrollo y
establecimientos de estructuras internas que
ayudan y contribuyen a que los empleados
de la organización actúen éticamente53.
Estos modelos o estructuras internas suelen

incluir, entre otros, los siguientes elementos:
• Definición de ámbitos de responsabilidad

y dependencia;
• Existencia de un código de ética

Partes Interesadas. Elaboración propia.
corporativo;
Así, serían partes interesadas los accionistas,
• Ejecución de un programa de formación
empleados, clientes, proveedores y la
en ética;
comunidad en la que la empresa opere.
• Implantación de un canal interno
para consultar dudas o denunciar Con este concepto, prestamos atención a la
comportamientos no acordes a las satisfacción de intereses y necesidades de
normas internas de la empresa; terceros, más allá del interés propio de la
54 Freeman, R.E. (1984), Strategic Management: A stakeholder

53 De George (2005). approach, Pitman Press.
empresa y de sus accionistas. Esto supone En esa misma época también emergió
un cambio de paradigma respecto a la un creciente interés56 en el ámbito de las
idea de Milton FRIEDMAN ya comentada, buenas prácticas de gobierno corporativo
en la que defendía la idea de que la única (es decir, en como una empresa es dirigida,
responsabilidad social de la empresa es la de administrada y gestionada).
maximizar beneficios.
Este interés se centró en el papel desempeñado
También en ese mismo sentido, en los 90 , se 55
por los consejos de administración de las
introdujo la idea de que las responsabilidades empresas y sus responsabilidades en materia
de una empresa no se circunscribían de actuación diligente, rendición de cuentas,
únicamente al cumplimiento de la ley y la transparencia y responsabilidad social de la
obtención de beneficios económicos. empresa.
De acuerdo con esta teoría, las empresas Se empezó a ver cómo el entramado de
tendrían cuatro niveles o ámbitos de relaciones entre el consejo de administración,
responsabilidad: los máximos ejecutivos de la empresa, los
equipos directivos, los accionistas y otras
 Económica  Ética;
partes interesadas planteaba cuestiones
 Legal;  Filantrópica.
éticas de diversa índole que era necesario
abordar (independencia, conflictos de
intereses, etc.).
Al igual que sucediera tres décadas antes,

los grandes escándalos ya mencionados
de Enron, Worldcom, Tyco, etc. al inicio del
presente siglo, incrementaron la demanda
de la opinión pública por el establecimiento
de una cultura ética en las organizaciones
empresariales y la preocupación (como
veremos en el epígrafe siguiente) de gobiernos
Pirámide de la Responsabilidad Social Corporativa. Elaboración
propia. Fuente: “The pyramid of corporate social responsibility: toward the y reguladores para impulsar e incrementar el
moral management of organizational stakeholders”, Archie B. Carrol, 1991
tono ético en las empresas.
Por ejemplo, entre los componentes de las No obstante, con anterioridad57, ya se habían
responsabilidades éticas de la empresa se creado iniciativas en este sentido (ética en
encontraría evitar que las normas éticas las empresas), concretamente en la industria
se vean comprometidas por el logro de los de defensa de EE.UU. Tras denuncias de
objetivos corporativos. despilfarro y fraude entre los contratistas
56 Melé (2009)
55 Carrol, A. (1991), The Pyramid of Corporate Social Responsibility:
Toward the Moral Management of Organizational Stakeholders, pá- 57 Darcy, K. (2013), Ethics and Compliance: Birth of a profession, Bu-
ginas 39-48, Business Horizons (julio -agosto). siness Compliance 03-04/2013, Baltzer Science Publishers.
de defensa, esta industria formó en 1986 un empresa no es solo una entidad económica,
organismo autorregulador, el ya mencionado sino que también es parte de la sociedad,
Iniciativa de la Industria de Defensa (DII) , 58
y por tanto debería contribuir al bien de la
muy probablemente en un intento por sociedad más allá de lo que establece la ley.
ambas partes (industria y administración
REAGAN) de evitar regulación adicional, a la Por último, y relacionado con los dos últimos
par que mostraba algún tipo de reacción en conceptos señalados, conviene reseñar que
el sentido que demandaba la opinión pública la evolución experimentada en el ámbito de
estadounidense de entonces. la responsabilidad de las empresas, más allá
de las responsabilidades legales, y del logro
Así, en colaboración con el gobierno, el DII de objetivos económicos y la obtención de un
desarrolló un modelo de ética interna y beneficio, no hace sino plantear la necesidad
programas de Compliance para detectar y de las empresas de reflexionar sobre su
prevenir mal uso de fondos, los fraudes y
propósito último60.
otras irregularidades. La ética y el Compliance
comenzaron de esta manera a tomar forma
“La sociedad exige que las empresas, tanto
en las empresas y a hundir sus raíces en las
cotizadas como no cotizadas, sirvan a un propósito
organizaciones.
social. Para prosperar a lo largo del tiempo, cada
empresa debe no solo ofrecer un rendimiento
Por otro lado, algunas empresas empezaron
financiero, sino también mostrar cómo realizan una
a valorar también el comportamiento ético
contribución positiva a la sociedad. Las empresas
como un elemento que contribuía a generar
deben beneficiar a todas las partes interesadas,
valor a través de la confianza en la empresa incluidos accionistas, empleados, clientes y las
(cuestión esencial para el mantenimiento de comunidades en las que operan”.
la organización y las relaciones comerciales).
Además, más recientemente han surgido dos A sense of Purpose
nuevos conceptos o ideas relacionados con la Carta anual a los CEO, enero 2018
ética en las empresas59: la sostenibilidad y la Larry FINK, CEO de BlackRock

ciudadanía corporativa.
Reflexionar sobre el propósito corporativo

El primer concepto -sostenibilidad- se
permitirá a las empresas considerar el impacto
refiere a la preocupación que han de tener
positivo que para la propia empresa tiene
las organizaciones empresariales por las
generaciones venideras y el impacto que poner el foco en los intereses y expectativas
la empresa tiene en el entorno económico, de sus grupos de interés y generar así un valor
social y medioambiental. que va más allá del puramente económico.

Solo comenzando por esta reflexión las
El segundo concepto -ciudadanía empresas podrán abordar ese enfoque ético
corporativa- introduce la idea de que la que la sociedad está demandando.
58 http://www.dii.org.
60 Fink, L. (2018), A sense of purpose, https://www.blackrock.com/
59 Melé (2009) corporate/investor-relations/larry-fink-ceo-letter.
Caso de estudio II: La ética de Johnson & Johnson (J&J) y el caso Tylenol
Fundada en 1886 por el General Robert JOHNSON, J&J fabrica y, entre otros, vende productos
farmacéuticos, de higiene personal, biotecnología etc. Considerada como una compañía modélica,
gozaba de una reputación esplendida. Año tras año, ocupaba un lugar destacado en el Top 100 de
los mejores lugares para trabajar de EE.UU.
En 1943, Robert W. JOHNSON, presidente de la compañía (1932-1963) y miembro de la familia

fundadora, elaboró un documento (“Nuestro Credo”) en el que se establecía que la empresa tenía
cuatro responsabilidades básicas: con el consumidor (doctores, enfermeras y pacientes), con
los empleados, con la comunidad y con los accionistas. El texto, traducido a 36 idiomas, se ha
distribuido a todos los lugares donde la multinacional opera.
“Nuestro Credo” define una jerarquía de responsabilidades más que un conjunto específico
de valores y principios de actuación. Los trabajadores de J&J son alentados a tomar decisiones
inspirados en la filosofía que hay detrás de este documento.
El caso Tylenol es un ejemplo de cómo el Credo de la compañía se puso en práctica. El Tylenol

era un popular analgésico en EE.UU y en otros países, hasta que se produjo la muerte repentina
de siete personas en Chicago después de haber tomado el Tylenol Extra-Fuerte en cápsulas. El
30/09/1982 un periodista llamó a la compañía para comentar que tenía informaciones sobre varias
muertes en Chicago por la ingesta Tylenol. Hasta ese momento la empresa mantenía una cuota del
35% del mercado de los analgésicos sin receta gracias a ese medicamento, con unas ventas que
alcanzaban los 1.000M de dólares. Como es lógico, el pánico cundió entre la opinión pública.
La reacción de la empresa fue rápida y precisa. J&J creó de inmediato un comité de crisis de siete
personas, y su primera decisión fue retirar todos los envases de Tylenol del área de Chicago. Era
una acción acorde con el propio Credo de la empresa, según el cual la primera responsabilidad de
la empresa es el consumidor. El análisis de las cápsulas arrojó un dato alarmante: algunas de ellas
contenían restos de cianuro, aunque se desconocía el origen de la contaminación. La empresa, en
línea con sus valores y principios, advirtió a la opinión pública de lo que había ocurrido y decidió
adoptar una política de transparencia absoluta con los medios de comunicación.
El equipo de crisis identificó cuatro audiencias a las que había que prestar una atención especial:
el consumidor, al que se dirigirían básicamente a través de la prensa; la comunidad médica; los
trabajadores de la compañía; y la Food and Drug Administration (FDA), la agencia gubernamental que
regula la venta de medicamentos en EE.UU. Desde el primer momento, J&J colaboró activamente
con el FBI, con el objetivo determinar responsabilidades y si la contaminación se había producido
dentro o fuera de las plantas de J&J.
Aunque supuso un gran coste para la empresa (100M de dólares) J&J no dudó en retirar el
medicamento en cuestión (31M de envases), Además, recomendó a los consumidores no usar
ninguno de los productos Tylenol hasta que se hubiera determinado las causas. En consecuencia,
la producción y comercialización de Tylenol cesó. Todo ello se hizo sin que la compañía tuviera
realmente un conocimiento preciso de la extensión de la contaminación ni sus causas. Cuando
finalizaron las investigaciones, se supo que la contaminación fue debida a una manipulación
externa intencionada y que en ningún caso se debía a fallos del proceso de producción. J&J fue
reconocida por los medios por su diligente, honesta y rápida actuación.
En un programa de televisión, James BURKE, CEO de la compañía en el momento de la crisis,

respondió a la pregunta de cómo gestionaron la crisis diciendo que: “‘Las respuestas vienen del
propio sistema de valores…(hacer) lo que es correcto funciona. Realmente lo hace”.
El caso Tylenol constituye un ejemplo de cómo poner la ética en práctica y la relación entre una
gestión exitosa de una crisis y una cultura ética positiva en todos los niveles de una empresa. Tal y
como afirma J&J en su web, “nuestro Credo es más que solo una orientación moral. Creemos que
es la receta para un negocio de éxito”.
Fuentes:
- Javier SALGADO, Tylenol, la crisis que abrió los ojos a muchas empresas, https://jsgestiondecrisis.
com/?s=tylenol
- Domènec MELÉ, 2009, Business Ethics in Action: Seeking Human Excellence in Organizations, p17-
19, Palgrave Macmillan.
- J&J website: https://www.jnj.com/credo/
2.3.4. La ética en las empresas a desde la regulación que las empresas vayan
través del marco legal y regulatorio más allá del cumplimiento de la letra de
las normas, y valoren si su conducta ofrece
Las empresas han fallado repetidamente el mejor resultado para los clientes, la
a la hora de actuar con ética e integridad, reputación corporativa propia y también la
demostrando no ser capaces de de la industria a la que pertenecen (enfoque
autorregularse, dejando a los mercados basado en principios y valores). No
reaccionar negativamente y a los gobiernos olvidemos que la ética, como veíamos en un
(como en el caso de los EE.UU), adoptar epígrafe anterior, es un proceso de reflexión
medidas legislativas para tratar de poner un que implica el uso de la razón para encontrar
remedio “rápido” a la situación61. claves que orienten en la forma de actuar
(acciones) y la adopción de decisiones.
La incapacidad de las empresas de
autorregularse y prevenir eficazmente la Tanto o más importante que la existencia
falta de ética e integridad en el seno de sus de un marco legal que promueva el
organizaciones, ha llevado inevitablemente a establecimiento de programas de ética y
un incremento de la regulación. La cuestión Compliance en las empresas, es el tipo de
que debemos plantearnos es si la ética puede enfoque adoptado por dicho marco legal
impulsarse y fomentarse eficazmente a y regulatorio y las expectativas sobre las
través de leyes y regulaciones (y su naturaleza empresas y el modelo de gestión ética que
coercitiva y punitiva). establezcan.
Más allá del resultado de dicha reflexión, Un exceso de regulación podría llegar a ser
un adecuado marco legal y regulatorio contraproducente, porque incrementaría el
desempeña un papel esencial en el fomento riesgo de convertir los programas de ética en
de aquellos cambios necesarios para crear y una suerte de lista de verificación.
desarrollar la adopción de un enfoque ético
en la gestión empresarial y contribuir a la Algunos autores62 sostienen que la primera
excelencia y madurez de las organizaciones. norma que ayudó a impulsar el movimiento
Para ello, los estados (gobiernos), y los de ética empresarial fue la Ley de Derechos
organismos reguladores y supervisores, Civiles de los EE.UU de 1964 (U.S. Civil Rights
deben encontrar las formas de lograr que Act).
las empresas transformen sus culturas
Esta norma prohíbe la discriminación basada
corporativas de una manera que realmente
en la raza, el color, la religión o el origen
aliente comportamientos “correctos” entre
nacional en los establecimientos públicos
sus profesionales.
relacionados con el comercio interestatal,
Fomentar la responsabilidad legal corporativa así como en lugares de alojamiento público y
es necesario, pero también lo es fomentar entretenimiento.
61 Darcy (2013) 62 De George (2005)
Gracias a ella muchas compañías crearon desde entonces el establecimiento de

oficinas de igualdad de oportunidades en programas de ética y Compliance efectivos.
sus departamentos de recursos humanos Y no sólo eso. Además, determinan que para
para garantizar el cumplimiento, y en general que éstos puedan considerarse efectivos, las
la conciencia de las empresas sobre la organizaciones deberán no solo ejercer la
discriminación, la igualdad de oportunidades debida diligencia para prevenir y detectar
y la igualdad de remuneración por el mismo conductas criminales, sino también promover
trabajo se hizo evidente. Esto a su vez llevó a una cultura organizacional que fomente una
una mayor conciencia de los derechos de los conducta ética y un compromiso con el
trabajadores en general, y de la necesidad de cumplimiento de la ley.
ser respetados por las empresas.
Otro de los impulsos significativos llevados a
En 1977, como ya se ha mencionado, cabo desde el marco legal fue la promulgación
el Congreso de EE.UU aprobó la Ley de en los EE.UU, en julio de 2002, de la también
Prácticas Corruptas en el Extranjero (FCPA), mencionada Ley Sarbanes-Oxley (SOX), tras
tras una serie de escándalos que involucraron el escándalo protagonizado por Enron y en el
sobornos de empresas estadounidenses en que también se vio implicada la empresa de
el exterior. Fue una norma histórica, porque auditoría Arthur Andersen.
fue la primera que intentó controlar las
Impulsada por los senadores Paul SARBANES
acciones llevadas a cabo por las empresas
y Michael G. OXLEY, esta Ley dispuso una serie
estadounidenses en países extranjeros.
de reformas para mejorar la responsabilidad
Esta ley declara ilegal el pago de sobornos a
corporativa, mejorar la divulgación de
funcionarios extranjeros, fijando penas para
información financiera y controles internos
las empresas que la infrinjan.
de las empresas, y combatir el fraude
Más tarde, las Directrices Federales corporativo y contable. Además, creó la
sobre dictado de sentencias (US Federal Public Company Accounting Oversight
Sentencing Guidelines, USFSG), establecieron Board, también conocida como la PCAOB,
que, al dictar sentencia contra las empresas para supervisar las actividades de la profesión
acusadas de un delito federal, los jueces de auditoría.
podrían atenuar las penas a las compañías
Aunque los EE.UU han sido pioneros en esta
que hubieran demostrado contar con un
cuestión, en otros países y jurisdicciones
programa efectivo para prevenir delitos.
se han llevado a cabo reformas legales
Estas directrices o pautas fueron revisadas importantes para dar impulso a la lucha contra
en 2004 precisamente para incorporar el las conductas criminales empresariales y la
término ética . Así, las USFSG requieren
63
falta de integridad corporativa. Así, en 2010
se publicó en Reino Unido la Ley Antisoborno
63 David, H., McWhorter, R.S. y Fort, T.L. (2006), The 2004 Amend- 2010 (UK Bribery Act 2010). En Francia,
ments to the Federal Sentencing Guidelines and their Implicit Call
for a Symbiotic Integration of Business Ethics, Fordham Journal of en junio de 2017 se promulgó la Ley sobre
Corporate & Financial Law, Volumen 11, Nº 4, articulo 2.
Transparencia, Lucha contra la Corrupción La utilizada por los deontologistas, quienes

y Modernización de la vida económica afirman que el deber, la justicia y los derechos
(conocida como Loi Sapin II). Esta norma surge no son reducibles a consideraciones de
con el objetivo principal de adaptar la normativa utilidad.
existente a los estándares internacionales
Pronto se introdujeron otros enfoques que
como la FCPA o la UK Bribery Act.
incluyen la ley natural, la ética de la virtud
En España, en 2010 se reconoció la (basada en Aristóteles) y la ética del cuidado
responsabilidad penal de la persona jurídica y (a menudo asociada con un enfoque feminista
con la posterior reforma del Código Penal en de la ética).
2015, la FGE, en su Circular 1/2016,64 indica
A lo largo de este epígrafe analizaremos las
que “[los] corporate Compliance programs
principales teorías que se han utilizado para
no tienen por objeto evitar la sanción penal
justificar la ética en los negocios.
de la empresa sino promover una verdadera
cultura ética empresarial”. 2.4.1. Relativismo y absolutismo
ético
La ética empresarial ha dejado de ser una
cuestión residual para pasar a ser considerada Para determinar si una acción es buena
como una preocupación en el mundo de los o mala, correcta o incorrecta, existen dos
negocios. Tanto desde el mundo académico posiciones éticas enfrentadas que debemos
como en el propiamente empresarial, es conocer: el relativismo ético y el absolutismo
objeto de reflexión y ello se reflejado en ético.
los distintos desarrollos legales que se han
El relativismo ético postula que no existen
producido a nivel nacional e internacional.
unos principios éticos universales que puedan
2.4. Principales teorías que se ser aplicados a la hora de juzgar la moralidad

de una acción.
aplican a la ética empresarial
De acuerdo con esta teoría, un mismo acto
Las discusiones iniciales que se produjeron
puede ser moralmente aceptable para una
en el ámbito de la ética empresarial
sociedad y moralmente inaceptable para
introdujeron a los estudiantes en la materia a
otras, o incluso existe la postura más radical,
dos de las técnicas básicas de argumentación
según la cual un mismo acto puede ser bueno
moral65:
para un individuo y malo para otro66. Esta
La empleada por utilizada por los utilitaristas, postura niega que exista una verdad objetiva
que sostienen que una acción es correcta si sobre lo correcto e incorrecto.
produce la mayor cantidad de bien para el
Por el contrario, el absolutismo ético
mayor número de personas) y
propugna que existen unos principios éticos
universales y considera que las acciones
64 Sobre la responsabilidad penal de las personas jurídicas, confor-
me a la reforma del CP (L.O.1/2015).
65 De George (2005). 66 Hoofman y Moore (1990).
son intrínsecamente buenas o malas (desde El egoismo ético68, establece que cada
este punto de vista, el robo, por ejemplo, persona debe actuar siempre para promover
sería considerado inmoral incluso cuando se el mayor equilibrio posible entre el bien y el
realice para crear un bienestar en otros). mal para sí mismo.
Desde este punto de vista, un acto

contrario al interés propio sería una acto
inmoral. Desde la perspectiva de la ética
empresarial, podríamos identificar en esta
teoría el estándar seguido habitualmente
por el ámbito empresarial y la gente de
El relativismo ético frente al absolutismo ético. Elaboración propia.
Fuente: Hoofman y Moore (1990). negocio (la postura de Milton FRIEDMAN –“el
beneficio como única responsabilidad”- como
La ética deontológica de Kant, explicada más exponente de esta perspectiva ética).
adelante, sería un exponente de esta teoría.
El utilitarismo, teoría iniciada por
2.4.2. Consecuencialismo, enfoque Jeremy BENTHAM (s. XVIII) y desarrollado
deontológico y la ética de la virtud posteriormente por John Stuart MILL (s.
XIX), argumenta que cuando evaluamos una
Una vez expuestas las dos posturas extremas
acción o tomamos una decisión, debemos
en el ámbito de la argumentación ética,
tener en cuenta no solo las consecuencias de
repasemos a continuación las tres grandes
la acción para uno mismo, sino también las
teorías o grupos de teorías éticas.
consecuencias para aquellos otros afectados
El consecuencialismo: egoismo por dicha acción o decisión.
ético y el utilitarismo
El enfoque deontológico
Los teóricos del consecuencialismo
Representado por las ideas de Immanuel
mantienen que las consecuencias de una
KANT (s. XVIII), supedita la moral al
acción son los únicos factores que deben
cumplimiento de las normas (lo que es
tenerse en cuenta a la hora de determinar si
correcto).
una accion es buena o mala. De acuerdo con
esta teoría, las buenas consecuencias hacen En contraposición al
buenas las acciones67. consecuencialismo, que
estudia las consecuencias, la
Dentro de este grupo de teorías (teleológicas,
deontología estudia las
porque basan la moral, lo que es bueno, en el
acciones de los individuos y si
resultado final de una acción) podemos a su
éstas se adecúan a las normas
vez distinguir dos posturas: el egoismo ético Immanuel KANT
(1724 -1804) (es decir, si son correctas).
y el utilitarismo.
67 Hoofman y Moore (1990). 68 Hoofman y Moore, (1990).
Así, Kant mantiene que los individuos deben Desde esta perspectiva, la ética de la virtud
actuar no porque lo que hagan vaya a tener aplicada al mundo de la empresa implica
un buen resultado, si no porque es su deber reflexionar sobre aquello que la empresa
actuar así. quiere ser.
Para Kant69 los preceptos morales son Conclusión

imperativos categóricos, es decir, denotan
Cada una de las teorías expuestas tiene sus
una obligación absoluta e incondicional, con
debilidades:
independencia de las consecuencias que
se deriben de obedecer dicho precepto o • Así, el consecuencialismo, basado
mandato. únicamente en los resultados producidos,
puede pasar por alto aspectos tan
Kant adopta una postura absolutista al importantes como los derechos de los
defender la existencia de principios éticos individuos y el sentido de justicia.
universales. Además, en su teoría, Kant
• El deontologismo de Kant, plantea a su
presta su atención a los derechos de los seres
vez problemas a la hora de enfrentarnos
humanos. Según él, debemos tratar al ser
a la resolución de situaciones en las que
humano como un fin en sí mismo y no como derechos o deberes entran en conflicto
un medio para un fin. (dilemas éticos).
La ética de la virtud • En el caso de la ética de la virtud defendida

por Aristóteles71, se plantea, por ejemplo,
En las últimas décadas la ética la objeción de que el concepto de “buena
de Aristóteles, ha crecido en vida” puede diferir de una persona a otra.
popularidad , 70
y muchos
académicos han presentado Sin embargo, a pesar de las debilidades
enfoques neo-aristotélicos planteadas y las incompatibilidades que
Aristóteles subyacen entre los diferentes planteamientos,
(384-322 A.C) para la ética de los negocios.
puede haber sin duda formas de construir,
La tradición aristotélica se centra en cómo gracias a ellas, la que debería ser la base
vivir para lograr una buena vida. También moral sobre la que decidir como actuar en
se refiere a la felicidad asociada a esa “buena el ámbito de las actividades y relaciones de
vida”. No hay que confundir este concepto negocio.
con el sentido del placer, sino vincularlo
No se trata de ser ingenuos y extractar de
a la satisfacción que produce actuar de
forma incoherente lo que interese de cada
forma honesta, ayudando a otros o siendo
teoría, pero sí buscar aquellos aspectos de
consciente de como el trabajo que realizamos
cada postura que sirvan para formular una
contribuye al bienestar de otros.
punto de vista los más completo posible para
definir la moral de las empresas.
69 Hoofman y Moore, (1990).
70 Melé (2009). 71 Melé (2009).
Así, el utilitarismo puede servir para analizar

no solo las consecuencias de una decisión
para la propia empresa sino también para
terceros (como, por ejemplo, el cliente).
El deontologismo permite establecer ciertos

límites o líneas rojas que no debemos
sobrepasar aunque hacerlo supusiera un
Proceso de toma de decisiones. Elaboración propia
beneficio para la empresa. Fuente: Prof. Fernández Fernández y Camacho (2018)
Por último, la ética de la virtud permite sin Paso 1: Identificar los hechos
duda ese espacio tan necesario de reflexión
sobre lo que la empresa es y quiere ser, Es imposible tomar buenas decisiones si
fomentando la honestidad de quienes la se desconocen los datos. En tal sentido, es
integran y la búsqueda del bienestar social, conveniente detenerse a pensar y analizar
económico y medioambiental de la sociedad cuestiones tales como:
en la que la empresa realiza su actividad. • ¿Qué sabemos del problema?;
• ¿Qué datos ciertos tenemos?;
• ¿Qué cosas son meras creencias o

suposiciones?;
• ¿Qué más necesitamos saber y cómo

vamos a conseguirlo?;
• ¿Qué calidad y fiabilidad tienen las fuentes

que nos los van a suministrar?;
• ¿Estamos seguros de no haber dejado

Distintos enfoques éticos aplicados a la empresa. Elaboración propia.
Fuente: Profesores Fernández Fernández y Camacho (2018) aspectos relevantes sin considerar?;
2.4.3. La adopción de decisiones • ¿Están representadas todas las
éticas perspectivas relevantes al caso?.
En este apartado se reproduce una de las Paso 2: Identificación y

cuestiones abordadas por los profesores reconocimiento del problema ético
FeERNÁNDEZ FERNÁNDEZ y CAMACHO • ¿Hay algo que aparezca como malo o
(2018) , 72
quienes proponen un sencillo indeseable desde el punto de vista ético en
esquema de adopción de decisiones éticas alguno de los niveles de análisis posible:
que pueda extenderse a toda la organización: personal, organizativo, institucional,
social, sistémico?
72 Fernández, J.L. y Camacho, J. (2018), Introducción a la ética empre-
sarial: qué es y por qué sí es importante, elaborado para el Instituto • ¿Puede esta situación concreta ser
de Estudios de Compliance (IECOM) de la Asociación Española de
Compliance (ASCOM). perjudicial o atentar de alguna manera
contra las personas y su dignidad, contra Paso 5: Evaluación ética de las

la viabilidad de la organización o sus alternativas
metas, contra la sociedad o el sistema en
• ¿Qué acción produce el mayor bien o
su conjunto?
daña menos?;
• ¿Se trata de algo que está previsto en los
• ¿Se respetan los derechos humanos y los
ordenamientos jurídicos y en las leyes o,
derechos básicos de todos, incluso de
por contra se trata de algo que va más allá
aquellos que no consiguen sus objetivos
de los requerimientos legales?
en grado máximo?;
Paso 3: Identificación de los • ¿Qué acción parece más adecuada desde

afectados el punto de vista de la justicia y el bien
común?;
• ¿Quiénes- personas y colectivos- se ven o
pudieran ver afectados concretamente en • ¿Querría un sujeto prudente actuar de
esta situación?; esa manera, considerando que la acción

tiene un impacto reflexivo también sobre
¿Hay entre ellos algunos que sean el actuante?
acreedores a mayor atención de nuestra
parte, en razón a la urgencia, la necesidad, Paso 6: Deliberación y toma de
nuestra responsabilidad para con ellos o decisiones
simplemente debido a la gravedad de lo
Si la decisión no es obvia ni tampoco está clara,
que está en juego o a la legitimidad con
es conveniente pedir el consejo de personas
que pudieren hacer valer su causa –al
objetivas, serias, bondadosas y prudentes.
menos en hipótesis- ante un observador
O, en todo caso, tratar de imaginar qué haría
justo e imparcial?
en este supuesto alguien de personalidad
Paso 4: Identificación de las extraordinariamente relevante para el sujeto
opciones que tenemos que está procediendo a discernir.
Se trata de poner en marcha la imaginación Otras cuestiones previas se suelen proponer
ética para intentar salir, de manera creativa, para que, en caso de duda o indecisión, no
del dilema en cuestión. se actúe con precipitación. Algunas son éstas:
• ¿Qué sentiría yo si se conociera

En este punto es muy necesario asegurarse
publicamente que he actuado de esta
de que se han tenido en cuenta los puntos
manera en este caso?
de vista de los afectados, que se les ha dado
opción a hacer valer su visión del problema • ¿Estaría cómodo dando explicaciones a
y que, en suma, se ha entado en diálogo con las personas más cercanas a mí respecto
ellos para consultarles. de mi actuación/decisión?
• ¿Qué pensaría si fuera yo el sujeto que iba

a sufrir las consecuencias de la acción?
¿Me gustaría que se hiciera conmigo lo El proceso de toma de decisiones es un proceso

que se plantea hacer con respecto a otros complejo y que implica multiples etapas7475,
en este caso? siendo la primera la conciencia moral y la
capacidad de identificar las cuestiones éticas
Paso 7. Actuación, evaluación y
(es decir, si hay alguna acción o decisión
seguimiento de los resultados
inaceptable desde un punto de vista ético)
Todo el anterior proceso se lleva a efecto no y si se plantea algún dilema (cuando no es
por simple ejercicio intelectual o goce teórico, fácil identificar los que es inaceptable desde
sino como proceso deliberativo con vista a la un punto de vista ético dado que existen
decisión práctica. distintos valores o principios que entran en
conflicto).
Aquí conviene detenerse e insistir en el sesgo
práctico de la reflexión filosófico-moral, pues, Solo después de esta fase podremos emitir
como sabemos ya desde los tiempos de un juicio moral (es decir, decidir, elegir la
Aristóteles, “no estudiamos ética para saber acción que es moralmente justificable).
más cosas, sino para ser mejores”. Y esto, no lo
olvidemos, sólo se empieza a conseguir por el 2.5. El valor añadido que
poco a poco de las buenas actuaciones morales. aporta una gestión ética de las
organizaciones
Como vemos, decidirse a adoptar un
enfoque ético en el proceso de toma de
Una buena empresa, una empresa excelente, es
decisiones no es una tarea fácil. De algún
-ha de ser- una empresa ética. Y si no es ética no
modo implica “complicarse la vida73”, ya que
será una buena empresa, aunque quizás obtenga
obliga a preguntarse por los efectos que las
elevados beneficios, una envidiable cotización en
decisiones que adopte la empresa van a tener
bolsa y una bien valorada reputación.
sobre todos los afectados, incluyendo claro
está , la propia empresa. Implica alejarse de La ética en los negocios
la comodidad que supone racionalizar las Antonio ARGANDOÑA (2008)
acciones y decisiones de la empresa con

pensamientos tales como “todo el mundo lo Una empresa excelente no es una empresa
hace”, “es por una buena causa” o “nos pagan técnica y económicamente “correcta”, que
por tomar este tipo de decisiones”. cuente con instrumentos tales como un código
ético, un equipo de responsabilidad social,
“Muchas decisiones inmorales, antes que inmorales, o incluso aquella que supere los requisitos
son malas decisiones”. señalados por un estándar certificable sobre
aspectos éticos, sociales y medioambientales.
La ética en los negocios
Antonio ARGANDOÑA (2008)
74 Treviño y Brown, (2004).
73 Argandoña, A. (2008), La ética en los negocios, Occasional Paper 75 Treviño, L.K., Waver, G. y Reynolds, S. (2006), Behavioral Ethics in
OP nº 8/10, IESE. Organizations: A Review, Journal of Management, Vol. 32 No. 6.
La ética no es una vestimenta o algo acuerdo con la ética que la propia empresa
externo a la propia estrategia empresarial propugna) contribuirán al éxito de la
aprobada con el fin de conseguir los empresa en el largo plazo77.
objetivos establecidos por el gobierno de la
organización. La ética debe ser parte de la La ética es un tipo de saber que necesita tiempo
propia estrategia. Ésta debe diseñarse a para crear una forma de vida, necesita proyectarse
partir de los valores que determine la propia al futuro desde el presente y el pasado, necesita
empresa y que contribuirán a definir su sujetos o corporaciones que se sepan responsables
de tales proyectos y de sus realizaciones, necesita
misión y su visión.
una finalidad que se inscribe en la cuenta de
La ética entra en juego desde el mismo resultados, pero va más allá de ella.
momento en el que el Consejo de

Solo desde un contexto semejante tiene sentido
Administración decide reflexionar sobre una ética empresarial.
el propósito último de la organización que
administra. Para ser excelente una empresa Ética aplicada y democracia radical
Adela CORTINA (1993)
tiene que poner en práctica la ética todos los
días.
Debemos tener presente que la ética crea
Pero ya hemos visto que poner en práctica valor y que existen múltiples razones en las
la ética no es fácil. De ahí la importancia de que apoyar esta afirmación:
contar con un liderazgo ético en el seno de
• Favorece y enriquece la toma de
la organización, encarnado en la persona o
decisiones;
personas que dirigen y adoptan decisiones,
pero también en todos y cada uno de los • Retiene y atrae el talento;
individuos que forman parte de la empresa. • Genera confianza y se gana la fidelidad de
los clientes;
El “tono ético en la empresa” es mucho
más que la publicación de códigos éticos • Refuerza los valores corporativos y
y las acciones de responsabilidad social consolida una buena cultura corporativa.
corporativa. Significa tomar decisiones • Previene la corrupción en los negocios y la
difíciles, como las que adoptó la dirección de falta de integridad empresarial (y de otro
la empresa Johnson & Johnson descrita en el tipo de organizaciones e instituciones) que
Caso de Estudio I. lamentablemente son una realidad que
asoma con frecuencia en los titulares de
Sin ética, todos pierden a largo plazo76.
los distintos medios de comunicación. Un
Una cultura corporativa orientada a valores, buen programa de Compliance requiere
el buen hacer profesional y la ética e la adopción de un enfoque ético y una
integridad empresarial (es decir actuar de adecuada cultura corporativa.
76 Debeljuh (2009). 77 Fernández Fernández y Camacho (2018).
• Establece un marco de desarrollo Al contrario que el caso de gestión de

personal para los individuos que crisis de Johnson & Johnson, el colapso de
integran la organización, contribuyendo Enron constituye un archiconocido ejemplo
al desarrollo de un ambiente laboral de mala conducta empresarial, aunque
positivo. lamentablemente no haya evitado otros
posteriores e incluso mayores (Worldcom,
2.6. Ética Empresarial y Arthur Andersen y Tyco International en
Compliance 2002, Siemens 2004 y 2011, Volkswagen en
2015, etc.).
Como hemos visto en los epígrafes anteriores,
la necesidad de vincular la ética empresarial
al desarrollo de programas de Compliance
(sistemas formales o, dicho de otro modo,
modelos de corporativos de organización y
gestión interna) no es algo gratuito, e implica
mucho más que la aprobación de códigos
éticos corporativos.
Los grandes escándalos empresariales han

evidenciado que contar solo con estándares
de conducta documentados en papel no
es suficiente para evitar que se lleven a
cabo malas conductas empresariales y se
produzcan escándalos financieros.
Así, en el caso Enron

(2001), la existencia de
un código ético (dado a
conocer a sus empleados,
y supuestamente
sustentado en los valores
de “respeto, integridad, comunicación y
excelencia”), no impidió el escándalo. Esto fue
debido a que este código ético estaba
desconectado de la realidad del funcionamiento
habitual de la empresa, donde existía una
cultura corporativa en la que el concepto
“legalidad” era llevado al límite, y en la que se
fomentaba el descubrimiento de lagunas
normativas para utilizarlas en beneficio de la
empresa (ver Caso de Estudio II).
Caso de estudio III: El “colapso” de Enron
Enron surgió en julio de 1985, fruto de la fusión de Houston Natural Gas e InterNorth, Enron llegó
a ser una empresa de servicios multinacional y diversificada (venta de gas como materia prima,
operaciones de cobertura, transacciones globales en internet, etc.)
La compañía empezó a crecer de forma desproporcionada, por lo que necesitaba mantener una
buena calificación crediticia. En 1997, Enron empezó a explorar nuevos mercados, pero estos
negocios no cumplieron con las expectativas, dificultando el crecimiento económico de la empresa,
el mantenimiento del precio de la acción y el de una buena calificación de crédito.
Enron requería una inyección de liquidez constante, lo dependía de unas ratios de deuda/capital
favorable y un precio alto de las acciones. Para ello, los directivos de Enron buscaron formas para
eliminar la mayor cantidad de deuda posible de las cuentas de la empresa, lo que consiguieron
mediante prácticas irregulares:
• La técnica de contabilidad mark to market (contabilidad a valor razonable), permitida bajo la

legislación estadounidense, pero aplicada por Enron de forma cuestionable: Enron suministraba
energía a las empresas a un precio fijo durante periodos a largo plazo. Al hacerlo, utilizaba una
visión muy optimista sobre le decreciente coste en los siguientes años, lo cual suponía garantizar
unos buenos resultados futuros. Pero en vez de esperar a comprobar si dichas previsiones
se cumplían o erraban, Enron automáticamente contabilizaba los resultados esperados por la
operación en el mismo momento en que esta se firmaba.
• Utilizando sociedades instrumentales (Special Purpose Entities, SPE), supuestamente

independientes de la matriz, para cubrir el valor de ciertos activos, asumir deudas actuales
o futuras y para realizar ciertas transacciones (como venta de activos) de forma encubierta.
Enron evitaba consolidarlas debido a un vacío legal en la normativa contable que indicaba
que la consolidación no era necesaria siempre y cuando hubiera un tercero (no vinculado)
que invirtiera al menos un 3% por ciento en el capital de la SPE. Enron utilizaba una entidad
financiera, solicitándole que realizara dicha inversión, pero en un acuerdo separado, pactaba
con dicha entidad que Enron garantizaba la mitad de dicha cantidad. Así pues, la información
facilitada por Enron sobre su situación financiera estaba muy alejada de la realidad. Con esta
contabilidad era imposible hacer una estimación correcta de las ganancias que se habían
obtenido. Bajo la presión de conseguir más negocio (especialmente al final de cada trimestre)
la presión sobre los operadores (traders) llegó a ser muy alta.
Y llegó el colapso: en el 2000 el precio de la acción de Enron cayó debido al estallido de la burbuja de
Internet. En octubre de 2001, Enron declara pérdidas multimillonarias en los resultados del tercer
trimestre del año, tan solo dos semanas después de que Kenneth LAY, su presidente, afirmara ante
sus empleados que las previsiones de resultados eran muy buenas y que las acciones de Enron eran
una ganga. Esto causó el derrumbe de la acción (hasta los 0,30 $). Incapaz de pagar sus deudas, en
diciembre de 2001 Enron solicita a las autoridades estadounidenses acogerse a la normativa que
protege a las empresas que sufren bancarrota. Se produjo entonces la mayor quiebra de la historia
empresarial de EE.UU. Tras declararse la bancarrota, se abrieron múltiples investigaciones, entre
ellas a la empresa auditora de Enron, Arthur Andersen.
Enron disponía de un código ético de 64 páginas y un grupo de valores entre los que figuraban el
respeto, la integridad, la comunicación y la excelencia. Pero en la práctica, los resultados financieros
primaban, y el clima que se vivía en la compañía se caracterizaba por actitudes de arrogancia,
avaricia, corrupción y “crueldad”.
Tras la caída de Enron y el posterior debate en EE.UU, se promulgó la ley Sarbanes- Oxley en 2002.
Dicha ley, aun en vigor, introdujo una regulación más estricta con el fin de evitar que se repitan
casos como el descrito.
Fuentes:
• Caso Enron, https://elpais.com/economia/2002/04/10/actualidad/1018423974_850215.html
• Cronología del caso Enron, https://elpais.com/economia/2006/07/05/actualidad/1152084782_850215.html
• The smartest guys in the room (2005), película documental de Alex GIBNEY, basada en el libro del mismo nombre
escrito por Bethany MCLEAN y Peter ELKIND (Ed. Penguin, septiembre 2004)
• Domènec MELÉ, Business Ethics in Action: Seeking Human Excellence in Organizations, p23-25,Palgrave Macmillan,
2009,.
• Joseph KAHN y Jonathan D. GLATER, Enron collapse: The overview, The New York Times, http://www.nytimes.
com/2001/12/13/business/enron-s-collapse-the-overview-enron-auditor-raises-specter-of-crime.html
Hacer las cosas bien requiere, sobre todo, y efectiva, al considerar únicamente el
contar con una cultura corporativa que cumplimiento del trámite (letra de los
impacte positivamente en el comportamiento requisitos exigidos por las leyes) y no el
de las personas que integran las espíritu tras la exigencia de control.
organizaciones y para ello no basta con
Además, otro problema al que se enfrentan
la aprobación y publicación de códigos y
es que los empleados dejen de confiar y
políticas de Compliance perfectamente
creer en el propio programa de Compliance.
redactadas, por muchos valores y principios
La función deviene para ellos en una carga
éticos que contengan.
burocrática, una suerte de mecanismo
Por otro lado, la adopción de un enfoque que utiliza la dirección de la empresa para
ético durante el diseño y desarrollo de los eludir responsabilidades y traspasarlas a
programas de Compliance contribuye a los empleados. El riesgo más inmediato es
reflexionar sobre el propósito último de que se incrementan los incumplimientos
dicho programa. (paradoja de Compliance78).
El éxito de un programa de Por el contrario, una empresa que se centre

Compliance no se mide por el logro en la prevención y la detección ex-ante
de una eximente o la atenuación de comportamientos y malas conductas
de una pena o sanción, sino por y el desarrollo de una adecuada cultura
la consecución de una cultura corporativa, contribuirá a adelantar la línea
corporativa ética de defensa de la organización y mejorar su
eficacia.
Un programa orientado a erigir una cultura
corporativa ética, que fomente actuar La naturaleza coercitiva de las leyes y
correctamente, evitará en última instancia regulaciones no evita, por sí sola, que las
que se produzcan malas conductas e personas dentro de las organizaciones
incumplimientos. cometan actividades ilegales. Además, como
ya se ha comentado, las empresas pueden
Por el contrario, concebir Compliance
encontrar formas de quebrantar el espíritu
como una suerte de lista de verificación,
de la ley aun respetando su letra (por ejemplo,
combinado con un conjunto de documentos
con una planificación fiscal extrema,
y procedimientos cuya existencia pretende
que busque y aproveche lagunas legales
únicamente evitar un procesamiento penal o
para acabar pagando -y contribuyendo a la
una sanción administrativa, limita la eficacia
sociedad- muchos menos de lo que debiera).
del programa, si es que directamente no la
anula por completo.
Las empresas con esta mentalidad, son

menos diligentes y cuidadosas a la hora 78 Para más información, consultar, Laufer, W. (1999), Corporate
de adoptar medidas de prevención real Liability, Risk Shifting, and the Paradox of Compliance, 54 VAND. L.
REV. 1343, 1405-07.
La ética permite a las empresas centrarse una competencia inefectiva en los mercados
en lo que “deberían hacer” (motivación financieros”.
intrínseca) en lugar de lo que “podrían hacer”

Implica, por tanto, que las entidades financieras
porque la ley se lo permite. De esta forma se pregunten no solo si una acción es legal o no, si
se superan los enfoques de Compliance no que se planteen cuestiones tales como: ¿Es este
legales tradicionales, que se basan en un producto adecuado para este perfil de cliente?; ¿Se
incentivo externo para las actuaciones y adapta a sus necesidades?; ¿Estamos protegiendo
comportamientos que nace de la naturaleza adecuadamente la información privilegiada
y evitando un acceso inadecuado?; ¿Estamos
coercitiva y punitiva de las normas, poniendo
promoviendo una competencia justa?
atención a los resultados para los clientes y el
impacto en los mercados en los que operan. El riesgo de conducta significa por tanto hacer lo
correcto y proteger la integridad del mercado. No
Un ejemplo de la aplicación de la ética en la se trata solo de considerar si la acción llevada a
industria financiera se ha hecho a través del cabo por una empresa es legal y en cumplimiento
concepto riesgo de conducta, explicado a con los requisitos regulatorios, sino si la empresa
continuación: está comportándose correctamente desde la
perspectiva del cliente y del mercado.
¿Qué es el riesgo de conducta? La consideración de esta nueva tipología de riesgo

implica que los equipos de Compliance deben tener
La normativa en el ámbito de los servicios bancarios
en cuenta no solo el ámbito legal y regulatorio, sino
y de inversión tiene como uno de sus objetivos
también aquellas cuestiones relacionadas con el
actuar sobre los procesos internos y la conducta
comportamiento de los individuos que integran la
en las entidades. Pero la crisis financiera demostró
entidad.
que las normas de conducta existentes no eran lo
suficientemente sólidas para proteger los intereses La incorporación de este riesgo es un ejemplo
de los clientes y la integridad del mercado. adopción de un marco ético para la gestión de las
empresas financieras.
Estas normas fracasaron a la hora de influir como
se esperaba en el comportamiento y la cultura de
las entidades financieras. La ética, además, ayuda a los profesionales
La Financial Conduct Authority (FCA) del Reino

de Compliance a mostrar a los empleados
Unido llevó a cabo un gran trabajo con relación a un cuál es la intención detrás de las normas
nuevo concepto de riesgo para las instituciones (¿qué pretende en última instancia esta
financieras: el riesgo de conducta (“conduct risk”). disposición normativa?). Así, se fomentan las
conductas correctas en razón de su valor
La FCA ha ayudado a definir y evaluar este riesgo,
moral intrínseco de actuar con ética, y no solo
y la mayoría de sus consideraciones pueden
encontrarse en el FCA Risk Outlook (2013 y 2014). por miedo al castigo79.
El riesgo de conducta es entendido como el

“riesgo de causar un mal resultado para los clientes,
79 Más información: Iscenko, Z., Pickard, C., Smart, L. y Vasas. Z.
daños a la integridad del mercado o una generar (2016), Behaviour and Compliance in organisations, publicado por
la Financial Conduct Authority (FCA), ocassional paper nº 24.
Experimentos e investigaciones realizados

recientemente demuestran que, aunque
las normas sociales ejercen una poderosa
influencia sobre los individuos (llegando
incluso a desplazar sus preferencias
intrínsecas), en los casos en los que una
“norma social” aprueba la falta de honestidad,
las personas con convicciones éticas sólidas
resisten mucho más la presión e influencia de
un entorno poco ético80.
80 Gibson, R., Tanner, C. y Wagner, A.F. (2015), Do situational social

norms crowd-out intrinsic preferences? an experiment regarding the
choice of honesty.
• La ética es una rama de la filosofía que se centra en la conducta humana. Se preocupa de

conceptos como lo correcto y lo incorrecto, el deber, la moral, etc, así como por averiguar cuál
debe ser el fin de una acción y cuáles son los valores que la orientan. Es una ciencia teórica, pero
con una finalidad práctica.
• La ética aplicada es, a su vez, una rama de la ética, y se ocupa de estudia la aplicación de las
teorías éticas. La ética empresarial (o ética en los negocios) es una subdisciplina de la ética
aplicada que se ocupa de lo que moralmente es considerado correcto o incorrecto en mundo
de los negocios.
• La ética empresarial se centra en el proceso de toma de decisiones, en la responsabilidad

personal del individuo en una organización, en cómo se gestionan y dirigen las organizaciones,
en las estructuras de la propia organización y en su propósito.
• La ética, aplicada a los negocios, aunque nueva como disciplina, no ha carecido de recorrido
histórico. La aplicación de reglas morales o éticas al desempeño de la actividad empresarial se
ha dado desde la Antigüedad.
• La dimensión moral de los negocios ha sido objeto de estudio desde Aristóteles, pasando
por Santo Tomás de Aquino, los reformistas Lutero y Calvino, Weber, Kant, Smith, Marx y varios
papas.
• Respecto de las teorías éticas, cabe señalar al relativismo y absolutismo éticos. El primero
afirma que la ética de las acciones depende de las circunstancias (temporales, culturales, etc).
Por el contrario, el absolutismo niega esta dependencia, afirmando que existencia de unos
principios universales que no varían en función de las circunstancias.
• Otras teorías éticas son el consecuencialismo (con sus posturas de egoismo ético y utilitarismo),
el enfoque deontológico (absolutismo de las normas) y la ética de la virtud (con el fin de una
buena vida, entendida como la de un actuar honesto).
• Existe un paralelismo entre la evolución de la ética empresarial y la función de Compliance, ya

que sus orígenes y evolución son contemporáneos (década de 1970 y siguientes). Las demandas
de la opinión publica y las nuevas regulaciones que surgen en EE.UU en esa época, responden a
hechos y estímulos similares, si no idénticos.
• Por esta razón, existe una dimensión ética innegable en las normas desarrolladas desde
entonces, que no ha hecho más que incrementarse a lo largo del tiempo con exigencias
adicionales. Así, se han ido incorporando de conceptos novedosos en este ámbito (sostenibilidad,
riesgo de conducta, etc) y se ha vinculado de la eficacia de los programas de prevención de
riesgos penales a la consecución de una cultura empresarial ética.
• Los programas de Compliance corporativos, para ser verdaderamente efectivos, deben influir
y conformar y fomentar una cultura organizacional ética, como complemento a los sistemas
formales existentes.
• La ética debe ser parte integrante de la estrategia de las empresas, que han de convencerse
de que aplicarla crea valor para ellas y todas las partes interesadas.
Módulo 3
Norma ISO 37301.

Sistemas de gestión de
Compliance. Requisitos
con orientación para su uso
MÓDULO 3 • NORMA ISO 37301. SISTEMAS DE GESTIÓN DE COMPLIANCE. REQUISITOS CON ORIENTACIÓN PARA SU USO
Módulo 3 Fue la primera norma internacional que

recopilaba las mejores prácticas en cuanto al
Norma ISO 37301. diseño y operación de los CMS. El adecuado
Sistemas de gestión de seguimiento de sus recomendaciones
Compliance. Requisitos
buscaba asegurar conductas de cumplimiento
desde varias perspectivas.
con orientación para su
uso Publicada en diciembre de 2014, fue
incorporada como norma española en 2015
bajo la denominación UNE-ISO 19600.
Objetivos
Esta norma permitió el diseño y la evaluación
de un sistema de gestión de Compliance
adaptado a las características y circunstancias
particulares de cada organización, implicando
• Conocer los aspectos más relevantes de la ISO
a todos los miembros de la organización,
37301, así como los antecedentes de dicha
independientemente de su categoría
norma y sus diferencias con su predecesora, la
ISO 19600. profesional, en su correcta ejecución.
• Comprender los factores que promueven una

Posteriormente, en abril de 2021, se publicó
cultura corporativa de compliance.
la Norma ISO 37301 Sistemas de gestión
• Entender el modelo o ciclo PHVA descrito por la
de Compliance. Requisitos con orientación
norma y sus elementos.
para su uso.
• Familiarizarse con los conceptos incluidos y las
definiciones. La norma ISO 19600 ha sido retirada
• Distinguir entre los tipos de obligaciones de y reemplazada oficialmente
compliance. por la ISO 37301.
• Interiorizar los principios de buen gobierno de
la gestión de compliance.
Ambas normas ISO (19600 y 37301) se basan
en los mismos principios, el enfoque basado
• Diferenciar entre cultura, política, sistema,
en el riesgo (“risk-based approach”, RBA) y
objetivos y compromisos de compliance.
se centran en sistemas de gestión integral
de Compliance. La diferencia fundamental
3.1. Introducción entre ambas es que la ISO 37301 establece
requisitos orientados a la implantación de
Si bien ya existían en el mercado otros textos de
un CMS, mientras que la UNE-ISO 19600
directrices e incluso estándares que establecían
establecía recomendaciones.
recomendaciones para la adecuada implantación
de sistemas de gestión de Compliance Así pues, a diferencia de su predecesora, la
(Compliance Management Systems, CMS) en las norma ISO 37301 es certificable, lo cual
organizaciones, la aprobación de la norma ISO permite que la eficacia de los CMS que
19600, supuso un gran avance en la materia. implanten las organizaciones de conformidad
con esta norma pueda verificarse por un de Gestión del Compliance Penal y UNE-
tercero independiente, al contener requisitos ISO 19602:2019, sobre Sistemas de
medibles. Compliance Tributario), lo que facilita
su adopción y reduce esfuerzos a las
organizaciones que ya han implantado
dichos sistemas.
• Énfasis en el entorno: Aunque ya iniciado

con la ISO 19600, la nueva norma amplia
este aspecto, y requiere de un análisis
mayor del contexto social, político, etc de
A continuación, se señalarán cinco aspectos
la organización.
de la nueva ISO 37301:
• Fomenta el uso de los canales de
Cultura de Compliance: Quizá su cualidad
denuncia: Como forma eficaz de prevenir,
más destacable, siendo el centro de la
detectar y responder a tiempo fraudes,
norma. Fomenta la adopción de una cultura
abusos y otras actividades ilícitas.
empresarial ética, con definición de
responsabilidades en toda la organización, A lo largo de este módulo, se describirá
asegurando la sostenibilidad a largo plazo de y detallará el contenido de la Norma ISO
la empresa. 37301, siguiendo la estructura de la misma,
• Certificable: Como ya se ha mencionado, para mejor comprensión, así como para una
esta cualidad permitirá incorporar a mayor familiarización con las los conceptos y
terceros independientes que verifiquen terminología en su contenido.

que las compañías han adoptado medidas
3.2. Estructura
de debida diligencia de y cuidado para
identificar los riesgos que les afectan, 3.2.1. Estructura de alto nivel de los
estableciendo controles y procedimientos modelos de gestión de ISO
de mitigación adecuados. Igualmente,
podrán verificarse los demás aspectos ISO es el acrónimo de International
relacionados con el resto de las tareas de Organization of Standarization, una
Compliance. organización no gubernamental que opera
desde 1947.
• Basada en un enfoque de riesgos: Está
alineada y se integra con otras normas A su vez, está integrada por organizaciones
ISO relacionadas con riesgos (ISO 31000 nacionales dedicadas a emitir estándares
para la identificación de riesgos e ISO locales. Al ser una entidad privada, carece
31010 para su evaluación). de capacidad para legislar o imponer sus
Igualmente, es integrable con los demás criterios, aunque sus normas terminan
estándares de gestión de Compliance convirtiéndose de cumplimiento casi obligado

(UNE-ISO 19601:2017 sobre Sistemas desde una perspectiva práctica.
La estructura de alto nivel es una forma 3.2.2. Estructura de alto nivel en la

normalizada de preparar el sistema de ISO 37301
normas de gestión ISO de modo que todas
las normas mantengan una misma estructura El objeto de la norma ISO 37301 es especificar
y un contenido análogo. requisitos y proporcionar una guía de los

sistemas de gestión de Compliance y prácticas
Así, en la medida de lo posible, se pretende recomendadas.
que todas las normas ISO cuenten un índice
general común; esto es, contar con títulos de Tanto los requisitos como la guía que acompaña
capítulos, número de artículos, cláusulas y a la norma son adaptables, de forma que su
requisitos idénticos. aplicación pueda diferir dependiendo del tamaño

y el nivel de madurez del sistema de gestión de
A través de esta estructura, ISO busca Compliance y del contexto, la naturaleza y la
fomentar la compatibilidad entre las diversas complejidad de las actividades y los objetivos de
normas de sistemas de gestión para facilitar la organización.
su integración y su implementación por parte
de las organizaciones, así como garantizar
la calidad de la producción de sus propias
normas, configurándose como textos
coherentes que permanecen aplicables a
organizaciones de todos los tamaños, en Círculo Sistema de Gestión de Compliance. Elaboración propia
todos los sectores y operando en todas las

culturas. El estándar ISO 37301 ha adoptado la
estructura de alto nivel desarrollada por ISO
Por último, esta estructura permite que las para proporcionar un marco básico que sirva
normas creadas no sean excesivamente de ayuda en la implementación de cuestiones
prescriptivas, otorgando flexibilidad a las relacionadas con Compliance en cualquier
organizaciones para que puedan perfeccionar sistema de gestión.
sus sistemas de gestión sin la necesidad de
modificar sus políticas, normas o procesos de Gracias a esta estructura se facilita la
negocio. comprensión de los modelos de gestión y su
eventual integración en la organización.
Es precisamente esta permeabilidad de
los sistemas de gestión en los procesos Esta espiral de mejora continua81 busca
operacionales de las organizaciones la que que la organización pueda disponer de un
sitúa a las normas ISO como referentes en sistema de gestión que le permita mejorar
el mercado para dotarse de estructuras constantemente en lo relativo a sus cometidos
internas robustas. de Compliance.
81 Esta estructura de mejora continua se asimila al “círculo de con-

trol de Deming” o ciclo PHVA (planear-hacer-verificar-actuar) uti-
lizado en sistemas de gestión de calidad, entre otros.
A través de esta estructura, se busca además las obligaciones de la organización (tanto

integrar la cultura de cumplimiento de carácter obligatorio – requisitos – como
en el comportamiento cotidiano y en las de carácter voluntario – compromisos),
conductas de las personas que trabajan para evitando que los procedimientos relativos a
la organización, buscando mantener a la Compliance se desarrollen al margen de los
función de Compliance independiente de las procedimientos o procesos de negocio.
áreas de negocio, pero, a la vez, integrada en
los procesos operacionales y de gestión de la 3.3. Objeto y campo de
organización. aplicación
La norma ISO 37301 especifica los requisitos
y proporciona directrices para establecer,
desarrollar, implementar, evaluar, mantener
y mejorar un CMS eficaz dentro de una
organización.
Esta norma es aplicable a toda clase de

organizaciones independientemente de su
tipo, tamaño y naturaleza de su actividad. La
norma es aplicable tanto a organizaciones del
sector público, como del sector privado o del
tercer sector.
3.4. Definiciones
El estándar ISO 37301 incluye en su apartado
3 (“Términos y definiciones”) un listado
de conceptos necesarios para el correcto
entendimiento de su contenido.
A continuación, se acompaña un listado

resumido de algunos de los términos más
Elementos del CMS según el modelo PHVA. relevantes junto a su correspondiente
Fuente: ISO 37301
definición : 82
En otras palabras, la función de Compliance

• Organización: Persona o grupo de
busca empaparse de las funciones propias de
personas que tienen sus propias funciones
negocio y de los procesos que conforman la
con responsabilidades, autoridades y
rutina operacional de la organización.
relaciones para el logro de sus objetivos.
Así, podrá integrar en ellos los aspectos éticos
y de Compliance necesarios para cumplir con
82 Véase listado completo en ISO 37301 (apartado 3).
• Parte interesada: Persona u organización • Requisito: Necesidad o expectativa

que puede afectar, verse afectada, o establecida, generalmente implícita u
percibirse como afectada por una decisión obligatoria.
o actividad.
• Riesgo de Compliance: Probabilidad de
• Alta dirección: Persona o grupo de que ocurran y las consecuencias de los
personas que dirigen y controlan una incumplimientos de Compliance respecto
organización al más alto nivel. a las obligaciones de Compliance de una
• Órgano de gobierno: Persona o grupo organización.
de personas que tienen la última • Obligaciones de Compliance:

responsabilidad y autoridad en las Requisitos que una organización tiene
actividades, gobierno y políticas de una obligatoriamente que cumplir, así como
organización ante quienes la alta dirección aquellos que una organización elige
informa y rinde cuentas.
voluntariamente cumplir.
• Personal: Individuos en una relación
• Incumplimiento de Compliance: No
reconocida como laboral en la legislación
cumplimiento de las obligaciones de
o práctica nacional, o en cualquier relación
Compliance.
contractual cuya actividad dependa de la
organización. • No conformidad: Incumplimiento de un
requisito.
• Función de Compliance: Persona o
grupo de personas con responsabilidad y • Conducta: Comportamientos y prácticas
autoridad para la operación del CMS. que repercuten en los resultados para
los clientes, empleados, proveedores,
• Sistema de gestión: Conjunto de
mercados y comunidades.
elementos de una organización
interrelacionados o que interactúan para • Cultura de Compliance: Valores, ética,
establecer políticas, objetivos y procesos creencias y conductas que existen en
para lograr esos objetivos. una organización y que interactúan con
• Política: Intenciones y dirección de las estructuras y sistemas de control de
una organización como las expresa la organización para producir normas
formalmente su alta dirección. de comportamiento que conducen al

Compliance.
• Objetivo: Resultado a lograr.
• Seguimiento: Determinación del estado
• Proceso: Conjunto de actividades
de un sistema, un proceso o una actividad.
interrelacionadas o que interactúan, que
emplean o transforman elementos de • Acción correctiva: Acción para eliminar
entrada para obtener resultados. la(s) causa(s) de una no-conformidad y
evitar que vuelva a ocurrir.
• Procedimiento: Forma específica de
llevar a cabo una actividad o un proceso.
3.5. Contexto de la La siguiente figura muestra un ejemplo de
organización potenciales personas interesadas:
3.5.1. Comprensión de la
organización y su contexto
El apartado 4 del estándar ISO 37301 se

centra en el contexto de la organización,
en la determinación de objetivos de
Compliance atendiendo a las actividades o las
circunstancias concretas de la organización y
de su entorno.
Potenciales partes interesadas en el CMS de una organización.

Elaboración propia.
Determinación del alcance del

En este sentido, la organización deberá
sistema de gestión de Compliance
determinar en su CMS aquellos factores
(modelo de negocio, el contexto legal y Respecto de su alcance, la organización
regulatorio, las políticas, procedimientos y deberá determinar los límites objetivos y
recursos internos, la cultura de Compliance, territoriales del CMS.
etc.) que son relevantes para su propósito y
que afectan a su capacidad para lograr los Así, en el sistema deberá establecerse de
resultados previstos. forma expresa:
• Materias que regula (p. ej., si se trata de

3.5.2. Comprensión de las
un sistema de gestión para un ámbito
necesidades y expectativas de las específico);
partes interesadas
• A qué entidades afectará;
En los términos previstos por el apartado 4.2
• Sobre qué actividades de la organización
del estándar ISO 37301, la organización debería tendrá efectos su contenido (si tendrá
determinar las partes interesadas que son aplicación extraterritorial o sólo
pertinentes al CMS, los requisitos pertinentes nacional).
de estas partes interesadas y cuáles de esos
requisitos se abordarán en el CMS. Al determinar el alcance del CMS, es
importante que la organización tenga en
A los efectos de la ISO 37301, se entiende por cuenta sus circunstancias internas y los
“parte interesada” la definición ya dada de factores externos que le afectan, así como las
“persona u organización que puede afectar, expectativas de las partes interesadas y las
verse afectada, o percibirse como afectada obligaciones de Compliance que tienen cada
por una decisión o actividad”. una de ellas, en su caso.
3.5.3. Sistema de gestión de

Compliance
El CMS debería reflejar los valores, objetivos,

estrategia y riesgos de Compliance de la
organización teniendo en cuenta su contexto.
Para ello, es importante que, una vez Es fundamental que la organización
establecido e implementado el sistema, se identifique cuáles son sus obligaciones
mantenga y mejore continuamente. de Compliance y qué cometidos tienen
estipulados los miembros de la organización
A tales efectos, deberían tomarse en
-según su cargo y competencias asignadas-
consideración los siguientes principios, ya
para poder cumplirlas con éxito. La
conocidos, de buen gobierno:
organización debería tenerlas identificadas
Acceso directo de la función de y documentadas en todo momento,
Compliance al órgano de gobierno detectando las implicaciones que éstas
de la organización. tienen con las actividades, servicios y/o

productos que ofrecen.
Independencia de la función de
Compliance: la organización debería Igualmente, la organización debería contar
establecer canales de comunicación con procesos destinados a identificar aquellas
directos entre la función y el órgano novedades y modificaciones que puedan
de gobierno de la organización o darse en la legislación o normativa aplicable
una comisión delegada (comisión de a la organización y que puedan tener un
ética y cumplimiento, comisión de impacto en sus obligaciones de Compliance.
auditoría y control, etc).
3.5.5. Evaluación de riesgos de
Asignación de los recursos y Compliance
autoridad adecuados a la función
de Compliance, incluyendo los La apreciación de los riesgos de Compliance
recursos de carácter financiero, constituye la base para la implementación de
humanos y técnicos necesarios para un correcto CMS y es necesaria para planificar
el desarrollo de sus cometidos. la asignación de recursos y de procesos que
sean adecuados y apropiados para gestionar
3.5.4. Obligaciones de Compliance los riesgos identificados y evaluados.
Las obligaciones de Compliance incluyen A fin de poder identificar cuáles son sus
los requisitos que una organización obligaciones de Compliance, la organización
tiene obligatoriamente que cumplir, así debería identificar, analizar y evaluar, con
como aquellos que una organización carácter previo, cuáles son sus principales
elige voluntariamente cumplir (llamados riesgos en ese ámbito.
compromisos).
Los riesgos, de Compliance o de cualquier sus factores internos (estructura, actividad,

otro ámbito, incluyen los inherentes y etc.) y externos (sector en el que opera,
residuales. legislación aplicable, contexto sociocultural
y económico, etc.). Todo ello a efectos de
• Los riesgos inherentes hacen referencia
identificar también las situaciones concretas
a todos los riesgos a los que se enfrenta
en las que pueden ocurrir incumplimientos de
una organización en una situación sin
Compliance y las personas de la organización
control y sin ninguna de las medidas
o asociadas a la organización que pueden
correspondientes para su tratamiento.
verse más expuestas a dichos riesgos de
• Los riesgos residuales son los riesgos incumplimiento.
que no controlan de forma eficaz las
Finalmente, es importante que la organización
medidas existentes para su tratamiento.
revalúe los riesgos de forma periódica, así
La organización debería analizar los riesgos como cuando existan circunstancias que lo
de Compliance considerando las causas justifiquen:
fundamentales y las causas raíz de los
• Actividades, productos o servicios nuevos
incumplimientos de Compliance y sus
o modificados.
consecuencias, considerando al mismo
tiempo la probabilidad de que se produzcan • Cambios en la estructura o en la estrategia
estos efectos. Las consecuencias pueden de la organización.
incluir, por ejemplo, daños personales • Cambios externos significativos
y ambientales, pérdidas económicas, (condiciones de mercado, circunstancias
daños reputacionales y responsabilidades económico-financieras, pasivos, y
administrativas, civiles y penales. relaciones con los clientes).
En este proceso, la organización debería • Cambios en las obligaciones de

identificar: Compliance.
• Los bloques normativos o de obligaciones • Fusiones o adquisiciones.

que afectan a cada una de sus áreas,
• Incumplimientos de Compliance (incluso
• Las conductas de riesgo asociadas a un único caso de incumplimiento puede
cada uno de estos bloques; constituir un cambio material de las
circunstancias).
• Los controles (políticas, procesos y
procedimientos, etc) de los que se dispone En este sentido, una gestión eficiente y
para reducir la probabilidad de que se responsable del CMS implica, necesariamente,
manifiesten o sucedan. priorizar los riesgos a prevenir (aplicar un
enfoque basado en el riesgo, RBA).
Igualmente, tras esta fase de identificación, la
organización debería realizar una evaluación El RBA en la gestión de Compliance no
de riesgos de Compliance teniendo en cuenta significa que, para situaciones de riesgo
bajo de incumplimientos de Compliance, la que el compromiso de Compliance en la

organización acepte dichos incumplimientos. organización es plenamente eficaz.
Lo que permite es una priorización,
• Mensaje: Todos los niveles de la
orientando y ayudando a las organizaciones
dirección transmiten a todo el personal
a centrarse en asignar recursos a los riesgos
de forma consecuente un mensaje claro
más elevados. Pero, en última instancia,
(demostrado de palabra y acción) de
deberá gestionar el conjunto de riesgos
que la organización cumplirá con sus
identificados, pues todos ellos deben ser
obligaciones de Compliance.
objeto de seguimiento y tratamiento.
• Compromiso: El compromiso hacia
3.6. Liderazgo Compliance se comunica ampliamente a
todo el personal y a las partes interesadas
3.6.1. Liderazgo y compromiso
pertinentes en declaraciones claras y
Órgano de gobierno y alta dirección convincentes y apoyadas por actuaciones.
• Principios de la función respetados:

Para que el CMS sea efectivo es esencial
La función de Compliance tiene personal
que el órgano de gobierno y la alta dirección
con la competencia, la autoridad y la
demuestren de forma clara y visible su
independencia adecuadas que reflejan
compromiso con el logro de sus objetivos. Por
la importancia de que Compliance sea
ello, el órgano de gobierno y la alta dirección
eficaz.
deben reconocer la importancia estratégica
de una gestión del Compliance eficaz. • Acceso: La función de Compliance tiene
acceso directo al órgano de gobierno.
El órgano de gobierno y la alta dirección deben
asegurarse de que las responsabilidades • Formación y concienciación: Se
y autoridades para los roles pertinentes asignan recursos adecuados para
se asignan y comunican dentro de la establecer, desarrollar, implementar,
organización. evaluar, mantener y mejorar una cultura
de Compliance robusta a través de
La norma ISO 37301 enumera muchas actividades de concienciación y formación
formas en las que el órgano de gobierno y para todo el personal y las partes
de la alta dirección pueden demostrar su interesadas pertinentes.
compromiso con el CMS. Algunos indicadores
• Compromisos y valores: Las políticas, los
de compromiso podrían ser:
procesos y los procedimientos reflejan,
• Aprobación de la política: La política de no solo los requisitos legales, sino
Compliance no sólo existe, sino que está también códigos voluntarios y los valores
formalmente aprobada por el órgano de fundamentales de la organización.
gobierno.
• Aplicación: La organización asigna y
• Responsabilidad: La alta dirección exige responsabilidades de Compliance a
asume la responsabilidad de asegurar la dirección en todos sus niveles.
• Revisión: Se realizan revisiones La guía que se incluye en la ISO 37301, enumera

periódicas, al menos, una al año, del CMS. los factores que apoyan el desarrollo de
una cultura de Compliance, destacando:
• Mejora: El desempeño de Compliance
en la organización se mejora de forma • La publicación de los valores de la
continua. organización.
• Correcciones: Se toman acciones • La existencia de una dirección

correctivas se toman puntualmente. comprometida en el respeto de los
valores.
• Seguimiento: El órgano de gobierno
y la alta dirección no se desentienden • Igualdad en el tratamiento de los
o delegan el CMS, sino que hacen incumplimientos en toda la organización,

con independencia del puesto del infractor.
seguimiento periódico del mismo y
reciben información adecuada acerca de • Evaluación adecuada, incluida la
su desempeño y demás circunstancias. realización de un filtrado o proceso
de verificación (“screening”, “vetting”,
Cultura de Compliance “background check”, como son conocidos
estos procesos en inglés) de los candidatos,
Es responsabilidad de la organización
con carácter previo a su incorporación a
desarrollar, mantener y promover una
funciones críticas.
cultura de Compliance a todos los niveles
de la organización. • Programa de formación en Compliance,
reforzando los valores de la organización,
El órgano de gobierno, la alta dirección y la para los nuevos empleados.
dirección deben demostrar un compromiso
• Formación continua en Compliance, que
activo, visible, consecuente y sostenido
incluya actualizaciones de la formación a
con un estándar común de comportamiento
todo el personal y a las partes interesadas
y conducta que se requiere en toda la
relevantes.
organización. Para ello, la organización
debería: • Comunicación continua sobre los
aspectos de Compliance.
a. Medir su cultura de Compliance.
• Sistemas de evaluación del desempeño
b. Recabar aportaciones de todos los
que incluyan la evaluación del
empleados para determinar si perciben
comportamiento de Compliance y en
el compromiso de Compliance del órgano los que las retribuciones del desempeño
de gobierno, la alta dirección y la dirección se hagan en base al logro de objetivos y
intermedia. parámetros clave de Compliance.
c. Establecer planes de acción basados en • Medidas disciplinarias rápidas y

los resultados de los indicadores de la proporcionadas en caso de infracciones
cultura de Compliance de la organización de las obligaciones de Compliance
de acuerdo con el anexo. intencionadas o negligentes.
La evidencia de una cultura de Compliance la máxima autoridad para actuar. Para

se puede mide por el grado en que: ello, el responsable de la función de
Compliance podría, por ejemplo, tener
a. Se implementan los puntos señalados
una línea de dependencia directa al CEO
arriba;
y otra línea de dependencia indirecta al
b. Las partes interesadas (especialmente comité de auditoría, al presidente o al
los empleados) creen que se han órgano de administración.
implementado los puntos señalados
• Independencia: La función debe
arriba;
desarrollarse de forma independiente.
c. Los empleados comprenden la relevancia Deben evitarse los conflictos de interés
de las obligaciones de Compliance motivados por la jerarquía o distribución
relativas a sus propias actividades y a las de funciones en la organización.
de sus unidades de negocio; Compliance debe tener libertad para
d. Los empleados de todos los niveles actuar sin interferencias por parte de la
de la organización que deben ejercer línea de mando.
acciones correctivas para sancionar

• Autoridad: La función de Compliance
incumplimientos las asumen como
no debe ser ejercida por un empleado
propias y las gestionan adecuadamente;
subalterno, alguien fácilmente
e. Se valora el papel de la función de desautorizable, cuyo criterio se pueda
Compliance y sus objetivos; invalidar o corregir, o que esté sujeto
a la supervisión de otros con más
f. Se permite y se anima a los empleados
autoridad. Los responsables de la función
a que utilicen los canales de denuncias,
deben poder ordenar acciones a otros
llegando al nivel adecuado de la dirección,
empleados en caso necesario, y tener
incluso a la alta dirección y al órgano de
voz para defender y plantear cualquier
gobierno.
inquietud relativa a Compliance.
Gobierno de Compliance
• Recursos: Debe disponer de los
De acuerdo con la ISO 37301, Compliance recursos necesarios para realizar sus
debe apoyarse en los siguientes principios funciones y llevar a cabo, sin limitaciones
fundamentales: injustificadas, r las tareas que requiere el
CMS. Esto incluye el acceso a la tecnología,
• Acceso directo: La función de Compliance herramientas y el personal formado
debe tener acceso directo al órgano de que se requiera para que el CMS sea
gobierno y a la alta dirección, de manera operativo y contribuya de forma eficaz a
que, en caso de que sea necesario, puedan la organización en el logro de los objetivos
saltarse a los mandos intermedios y de Compliance.
acceder directamente a la persona con
3.6.2. Política de Compliance La política de Compliance no debería ser un

documento único, sino que debería estar
La política de Compliance establece los apoyado por otros documentos, incluyendo
principios generales y el compromiso de políticas específicas, procedimientos,
lograr los objetivos de Compliance en una procesos operacionales, etc. Además, debería
organización. estar traducida a otros idiomas en caso de
ser necesario.
Además, debe establecer el nivel de
responsabilidad y de desempeño requeridos Al desarrollar la política de Compliance, se
y los estándares de evaluación del logro de debería considerar lo siguiente:
los objetivos.
a. Obligaciones específicas internacionales,
El órgano de gobierno y la alta dirección regionales o locales.
deben establecer una política de Compliance
b. Estrategia, objetivos, cultura y enfoque de
que:
gobernanza de la organización.
a. Sea adecuada al propósito de la
c. La estructura de la organización.
organización.
d. La naturaleza y el nivel de riesgo asociado
b. Proporcione un marco de referencia a los incumplimientos de Compliance.
para el establecimiento de los objetivos
de Compliance. e. Normas, códigos, políticas internas y
procedimientos adoptados.
c. Incluya el compromiso de cumplir los
f. Estándares de la industria.
requisitos aplicables.
d. Incluya el compromiso de mejora

continua del CMS.
La política de Compliance debería especificar:
• La aplicación y el contexto del CMS en

relación con el tamaño, la naturaleza y
la complejidad de la organización y del
entorno en el que opera.
Política y Sistema de Gestión de Compliance. Elaboración propia
• El grado en el que Compliance se va a

El contenido de la política de Compliance
integrar con otras funciones, tales como
puede ser el siguiente:
gobernanza, riesgos, auditoría y asesoría
jurídica. • Una declaración de la misión.
• Los principios según los cuales se van • Una declaración de política general.
a gestionar las relaciones con partes
• Estrategias de gestión y asignación de
interesadas internas y externas.
responsabilidades y recursos.
• Procedimientos estándar de Compliance. objetivos de Compliance y ejercer la debida

supervisión sobre ella con relación al CMS.
• Auditoría, debida diligencia y Compliance.
Por su parte, la alta dirección debe:
3.6.3. Roles, responsabilidades y
autoridades en la organización • Asignar los recursos necesarios para
establecer, desarrollar, implementar,
Dado que existe una pluralidad de tipos de
evaluar, mantener y mejorar el CMS.
organizaciones (por su naturaleza, tamaño,
sector y factores externos que afectan a • Asegurar que existen procedimientos
su actividad), las responsabilidades de eficaces para informar puntualmente
Compliance de sus directivos variarán, sobre el desempeño de Compliance.
necesariamente, en función de sus niveles de
• Asegurar el alineamiento entre los
autoridad o influencia, entre otros factores.
objetivos estratégicos y operativos con las
No obstante, es probable que algunas
responsabilidades sean comunes en muchas • Establecer y mantener los mecanismos
de ellas. Así pues, analizaremos los siguientes de asunción de responsabilidades,
ámbitos: incluyendo medidas disciplinarias y
consecuencias de los incumplimientos.
• Órgano de gobierno y alta dirección
• Asegurarse de que se tiene en cuenta el
• Función de Compliance
desempeño en el ámbito de Compliance
• La dirección en las evaluaciones periódicas de los
• Los empleados empleados.
Órgano de gobierno y alta dirección La alta dirección debería revisar el desempeño

del CMS a intervalos periódicos (mensual,
El órgano de gobierno y la alta dirección trimestralmente, etc), teniendo en cuenta
deben asegurarse de que se asignan y los indicadores de rendimiento -KPIs- y otra
se comunican a toda la organización las información relevante, para asegurarse de
tareas y los responsables para llevar a cabo que el sistema de gestión del Compliance
las principales funciones. En concreto, se alcanza sus objetivos.
deberán asignar tareas y responsables para:
Función de Compliance
a. Asegurarse que el CMS cumple los
requisitos de este documento. Cada vez más organizaciones disponen de
al menos una persona (responsable u oficial
b. Informar al órgano de gobierno y a la alta de Compliance) con dedicación exclusiva
dirección sobre el desempeño del CMS. a esta función en el día a día. Otras, en
cambio, siguen optando por un comité de
El órgano de gobierno debe evaluar a la alta
Compliance multifuncional.
dirección teniendo en cuenta el logro los
Sea cual sea el sistema y las razones que lo • Establecer un canal de denuncias y
justifiquen, la organización debe asegurar en asegurarse de que las denuncias se
todo caso que la función de Compliance: gestionan adecuadamente.
• Dispone de acceso a las personas de la • Proporcionar el acceso de todos

organización que toman las decisiones al los empleados a las políticas, los
más alto nivel. procedimientos y los procesos de
Compliance.
• Participa en los procesos de toma de
decisiones en sus fases iniciales. • Proporcionar asesoramiento a la
• Tiene acceso a todos los niveles de la organización en materias relacionadas
organización y a todos los empleados. con Compliance.
• Dispone de acceso a toda la información y Por otro lado, la función de Compliance debe
datos necesarios de la organización. supervisar que:
• Tiene capacidad para recabar • Se asignan responsables en la organización

asesoramiento experto en legislación, para acometer todas las obligaciones de
normativa, códigos y normas organizativas Compliance que se hayan identificado.
relevantes.
• Las obligaciones de Compliance estén
La función de Compliance es responsable de integradas en las políticas, los procesos y
la implementación del CMS, que incluye lo los procedimientos.
siguiente:
• Todo el personal recibe la formación
• Facilitar la identificación de las adecuada.
• Se establecen indicadores de desempeño
• Documentar la evaluación de riesgos de en el ámbito de Compliance.
Compliance.
La dirección
• Alinear el CMS con los objetivos de
Compliance. La responsabilidad de la dirección en el
ámbito de Compliance se concreta en los
• Monitorizar y medir el desempeño de
siguientes aspectos:
Compliance.
• Cooperar y apoyar a la función de
• Analizar y evaluar el desempeño del CMS
Compliance y fomentar que los empleados
para identificar cualquier necesidad de
también lo hagan.
acción correctiva.
• Asegurar que todo el personal cumple
• Establecer un sistema de información y
documentación de Compliance. con las obligaciones, las políticas, los
procedimientos y los procesos de
• Asegurarse de que el CMS se revisa a Compliance de la organización.
intervalos planificados.
• Identificar y comunicar los riesgos de • Están obligados a participar en las

Compliance en sus actividades. correspondientes formaciones de
Compliance, bien sean generales o
• Integrar las obligaciones de Compliance
específicas de su puesto de trabajo.
en las prácticas de negocio y en los
procedimientos existentes en sus áreas
3.7. Planificación
de responsabilidad.
3.7.1. Acciones para abordar los
• Asistir y apoyar las actividades formativas
riesgos y oportunidades
de Compliance.
• Desarrollar la concienciación del personal Al planificar el CMS, la organización debe
sobre las obligaciones de Compliance considerar las cuestiones relacionadas
y asegurarse de que lleven a cabo las con el contexto de la organización y de
acciones de formación necesarias; las expectativas de las partes interesadas,

pero además debe determinar los riesgos
• Dar a conocer y fomentar entre los y oportunidades que necesitan abordarse
empleados el uso de los canales de para:
denuncia, apoyándoles e impidiendo
cualquier forma de represalia. • Asegurar que el sistema de gestión del
Compliance puede lograr los resultados
• Participar activamente en la gestión y previstos.
resolución de incidentes y cuestiones
relacionadas con Compliance cuando • Evitar o reducir los efectos no deseados.
corresponda. • Lograr la mejora continua.
• Garantizar que cuando se identifica la

Para ello, la organización debe considerar,
necesidad de una acción correctiva, se
en el ámbito concreto de Compliance: sus
recomienda y se implementa la acción
objetivos, las obligaciones identificadas y los
correctiva adecuada.
resultados de la evaluación de los riesgos.
Los empleados La organización debe planificar las acciones
Todos los empleados, independientemente para abordar los riesgos y oportunidades y la
de su posición en la organización, tienen tres forma de integrar e implementar las acciones
deberes en relación a Compliance: en sus procesos del CMS y de evaluar la

eficacia de estas acciones.
• Deben observar las obligaciones, las
políticas, los procesos y los procedimientos 3.7.2. Objetivos de Compliance y
de Compliance de la organización; planificación para lograrlos
• Han de informar sobre cuestiones o La organización debe establecer los objetivos

fallos de Compliance, o consultar las de Compliance, los cuales deben ser
dudas o inquietudes respecto de temas coherentes con la política de Compliance,
de este ámbito; ser medibles (si es posible), tener en cuenta
los requisitos aplicables, susceptibles de ser b. Asegurarse de que dichas personas sean
monitorizados, comunicarse, actualizarse competentes, basándose en su formación
cuando corresponda y estar disponibles y experiencia.
como información documentada.
c. Hacer lo necesario para que adquieran
Cuando se planifica cómo lograr sus objetivos la competencia necesaria y evaluar la
de Compliance, la organización debe eficacia de las acciones tomadas.
determinar qué se va a hacer, qué recursos
Antes de contratar personal o de promocionar
serán necesarios, quién será responsable,
al personal existente, la organización debería
cuándo se finalizará y cómo se evaluarán los
llevar a cabo la debida diligencia que podría
resultados.
incluir comprobaciones de referencias o de
3.7.3. Planificación de los cambios antecedentes (filtrado de personal).
Cuando la organización determine que es Por ello, la organización debe establecer

preciso realizar cambios en el CMS, estos procesos que garanticen que todos sus
deben llevarse a cabo de forma planificada. empleados cumplan con las obligaciones,
las políticas y los procedimientos de
3.8. Apoyo Compliance, que se les dé acceso a la política
de Compliance y a formación relacionada con
3.8.1. Recursos
esa política y que, en caso de que se infrinja
La organización debe determinar y lo anteriormente señalado, se tomen las
proporcionar los recursos necesarios acciones disciplinarias adecuadas.
para el establecimiento, implementación,
Por otro lado, la organización debe
mantenimiento y mejora continua del CMS.
proporcionar formación a sus empleados
Los recursos incluyen recursos financieros, de forma regular desde su incorporación y a
humanos y técnicos, así como el acceso intervalos planificados determinados por la
a asesoramiento externo y especializado, organización.
infraestructura organizativa, tecnología,
De acuerdo con la ISO 37301, la formación
información y documentación actualizada
debe:
sobre gestión de Compliance y sobre las
obligaciones legales. a. Ser adecuada a los roles del personal y a
los riesgos de Compliance a los que están
3.8.2. Competencia
expuestos;
Con respecto a las personas que tengan
b. Evaluarse en términos de eficacia;
asignadas funciones de Compliance, la
organización debe: c. Revisarse regularmente.
a. Determinar cuál es la competencia necesaria

para llevar a cabo la función asignada.
La norma establece que la formación debería: 3.8.3. Toma de conciencia

• Adaptarse a las carencias de conocimientos Los empleados de la organización deben
y competencias del empleado. tomar conciencia de:
• Ser lo suficientemente flexibles como

• La política de Compliance.
para adaptarse a las necesidades de la
organización. • Su contribución a la eficacia del CMS,
incluidos los beneficios de una mejora del
• Diseñarse, desarrollarse e impartirse por
desempeño de Compliance.
personal experimentado y cualificado.
• Las consecuencias de no cumplir los
• Impartirse en la lengua local cuando sea
requisitos del CMS.
necesario.
• Los medios y procedimientos para
• Ser evaluada, desde el punto de vista de
comunicar denuncias internas.
su eficacia, de forma periódica.
• La aplicación de la política de Compliance

La organización debería proporcionar
y las obligaciones de Compliance a la
formación en el ámbito en el que se han
posición de cada empleado.
producido malas prácticas. Asimismo, se
debería considerar la necesidad de impartir • La importancia de apoyar la cultura de
formación adicional de Compliance siempre Compliance.
que haya:
La toma de conciencia implica que las
• Cambios en la posición o en las políticas de Compliance sean accesibles,
responsabilidades de los empleados. estén disponibles y se comprendan por todo
• Cambios en las políticas, procesos y el personal.
procedimientos internos.
Lo anterior se puede lograr mediante
• Cambios en la estructura organizativa. métodos tales como:
• Cambios en las obligaciones de • Formación (presencial o virtual).

Compliance, especialmente en los
• Comunicación, desde la alta dirección.
requisitos legales y los requisitos de las
partes interesadas. • Acceso sencillo a materiales de referencia,
• Cambios en las actividades, productos y fáciles de seguir.
servicios.
• Actualizaciones regulares sobre
• Cuestiones identificadas en la cuestiones de Compliance.
monitorización, auditorías, reclamaciones,
incumplimientos e información de las
partes interesadas.
3.8.4. Comunicación • La asignación de roles y responsabilidades

de Compliance.
La organización debe realizar las
comunicaciones internas y externas necesarias • El registro de las obligaciones de
relativas al CMS. Para ello, deberá determinar: Compliance relevantes.
a. Mensaje: Contenido de la comunicación • Los registros de los riesgos de Compliance
a realizar; y la priorización del tratamiento basada

en el proceso de evaluación de riesgos de
b. Oportunidad: cuándo comunicar; Compliance.
c. Audiencia: a quién comunicar; • El registro de los incumplimientos,
d. Canal: cómo comunicar. conatos de incumplimientos y de las
investigaciones.
Los métodos o medios de comunicación
• Los planes anuales de Compliance.
pueden incluir páginas web y correos
electrónicos, comunicados de prensa, • Los registros personales, que incluyen,
anuncios y boletines periódicos, informes pero no se limitan a, los registros de
anuales (o con otra periodicidad), discusiones formación.
informales, jornadas de puertas abiertas,
• El proceso de auditoría, el calendario
grupos de trabajo, diálogo con la comunidad,
de auditoría y los registros de auditoría
involucración en eventos de la comunidad y
asociados.
líneas telefónicas directas.
• Materias relacionadas con los requisitos
Las comunicaciones deberían observar los
de información regulatorios.
principios de transparencia, adecuación,
credibilidad, capacidad de respuesta, La información documentada puede
accesibilidad y claridad. comprender todo tipo de medios (digitales
y no digitales) y se debe controlar para
3.8.5. Información documentada
asegurarse de que está disponible para su uso,
El CMS debería incluir documentación del dónde y cuándo se necesite, y está protegida
propio modelo (política de Compliance y adecuadamente para evitar la pérdida de
sistema de gestión), de su ejecución, y de las la confidencialidad, su uso inadecuado, o la
medidas adoptadas como consecuencia de pérdida de integridad.
su ejecución.
La información documentada puede incluir:
• La política y procedimientos de
Compliance de la organización.
• Los objetivos, metas, estructura y

contenido del CMS.
3.9. Operación 3.9.2. Establecimiento de controles

y procedimientos
3.9.1. Planificación y control
operacional La organización debe implementar
controles para gestionar sus obligaciones
A fin de disponer de un CMS efectivo (en lo de Compliance y los riesgos asociados. Estos
que se refiere a asegurar una conducta de controles se deben mantener, evaluar y
cumplimiento) y eficiente (en lo relativo a probar periódicamente para asegurarse de
minimizar gastos y esfuerzos organizativos que continúan siendo eficaces.
o burocráticos), la organización debería
planificar, implementar y controlar los Los controles pueden incluir:
procesos oportunos: • Políticas operativas, procesos,

procedimientos, e instrucciones de
a. para cumplir las obligaciones fijadas en
trabajo documentados, claros, prácticos y
el sistema (requisitos y compromisos)
fáciles de seguir.
b. para implementar las acciones
• Sistemas e informes de excepciones.
necesarias para prevenir o reducir
efectos indeseados y para lograr la mejora • Autorizaciones.
continua del sistema de gestión, en los • Segregación de roles y responsabilidades
términos previstos anteriormente. incompatibles.
En caso de uso de procesos de terceras • Procesos automatizados.

partes o de contratación externa de las
• Planes anuales de Compliance.
actividades de la organización, la organización
debería llevar a cabo una debida diligencia • Planes de desempeño de empleados.
eficaz para asegurar que no se reducen sus
• Evaluaciones de Compliance y auditorías.
estándares y compromisos con Compliance.
La organización debería garantizar que se • Compromiso demostrado de la dirección
formalizan acuerdos de nivel de servicio (SLA, y comportamiento ejemplarizante
por sus siglas en inglés) adecuados, en los que y otras medidas para promover un
se especifican las obligaciones de Compliance comportamiento cumplidor.
para el proveedor.
• Comunicación activa, abierta y frecuente
Al contratar con terceras partes, la sobre el comportamiento esperado de los
organización debería implementar empleados (estándares y valores, códigos
controles para garantizar que se gestionan de conducta).
adecuadamente los aspectos relativos
Al desarrollar los procedimientos que
a las compras, los aspectos operativos,
apoyan la gestión de Compliance, se debería
comerciales y otros aspectos no financieros
de sus actividades. considerar:
• Integración de las obligaciones de 3. Aceptar las denuncias anónimas;

Compliance en procedimientos, incluidos
4. Proteger de represalias a las personas
los sistemas informáticos, formularios,
que realizan las denuncias;
sistemas de información, contratos y otra
documentación legal. 5. Permitir al personal que reciba
asesoramiento sobre el proceso.
• Consistencia con otras funciones de
revisión y control de la organización. La organización debe asegurarse de que el
personal conoce los procedimientos del canal
• Monitorización y medición continua.
de denuncias y que conoce sus derechos.
• Evaluación e reporte (incluida la
supervisión de la dirección) para asegurar 3.9.4. Procesos de investigación
que los empleados cumplen con los
La organización debe desarrollar, establecer,
procedimientos;
implementar y mantener los procesos
• Disposiciones específicas para identificar, para valorar, evaluar, investigar y cerrar las
informar y comunicar a niveles superiores denuncias de infracciones. Para ello:
los casos de incumplimientos y sus
• La toma de decisiones debe ser justa e
riesgos.
imparcial;
3.9.3. Canales de denuncias • Los procesos de investigación deben

realizarse de forma independiente y sin
Este punto es de gran importancia para el
ningún conflicto de intereses por parte
desarrollo de un adecuado CMS- Debido
del personal competente;
a ello, habrá un módulo específico que lo
desarrolle. • La organización debe usar el resultado
de las investigaciones para la mejora del
La norma ISO 37301 también otorga un papel CMS;
principal a los canales internos de denuncia.
En este sentido, indica que la organización • Se debe informar regularmente sobre el
debe establecer, implementar y mantener número de denuncias realizadas y sobre
un proceso para fomentar y permitir que los resultados de las investigaciones al
se informe de infracciones potenciales, órgano de gobierno y a la alta dirección;
sospechosas o reales de la política o de las • Se ha de conservar la información

obligaciones de Compliance. documentada sobre la investigación.
Este proceso debe: Un mecanismo de investigación eficaz debe
1. Ser visible y accesible en toda la identificar las causas raíz de malas prácticas,
las vulnerabilidades del sistema de gestión del
organización;
Compliance y los fallos de responsabilidad,
2. Tratar las denuncias o informaciones incluso entre los directivos, la alta dirección y
confidencialmente; el órgano de gobierno.
3.10. Evaluación del • Revisiones de la estrategia de negocio
desempeño frente a los riesgos de Compliance,

con objeto de poder actualizarla según
3.10.1. Monitorización, medición, corresponda.
análisis y evaluación
• Incumplimientos y conatos (es decir,
La organización debe monitorizar el CMS incidentes sin efectos adversos).
para garantizar que se alcanzan los objetivos
• Casos en los que no se cumplen las
de Compliance.
Para ello, la organización debe determinar:
• Casos en los que no se alcanzan los
a. Qué debe ser objeto de monitorización y objetivos.
qué es necesario medir.
• Estado de la cultura de Compliance.
b. Los métodos de monitorización, medición,
análisis y evaluación para asegurar • Indicadores predictivos y reactivos
resultados válidos. establecidos.
c. Cuando se deberían llevar a cabo la La información debe analizarse y evaluarse

monitorización y la medición. críticamente para identificar las causas
fundamentales de incumplimiento de
d. Cuando se deberían analizar, evaluar
y comunicar los resultados de la Compliance, garantizar que se toman las
monitorización y la medición. acciones adecuadas y reflejar esta información

en la evaluación periódica de riesgos.
La monitorización del CMS puede incluir los
siguientes ámbitos: La organización debe establecer, implementar,
evaluar y mantener procedimientos para
• Eficacia de la formación.
buscar y recibir opiniones de su desempeño
• Eficacia de los controles (por ejemplo, a de Compliance de una serie de fuentes, entre
través de los resultados del análisis de otras:
una muestra).
• Personal: a través de canales de
• Asignación eficaz de responsabilidades
denuncias, líneas de ayuda, buzones de
para cumplir con las obligaciones de
opinión y de sugerencias;
Compliance.
• Clientes: a través de un sistema de
• Actualización de las obligaciones de
gestión de reclamaciones;
Compliance.
• Terceras partes (proveedores,
• Eficacia en la gestión de fallos de
contratistas, reguladores, etc): mediante
Compliance previamente identificados.
registros de control de procesos y
• Casos en los que no se llevan a cabo registros de actividad (incluidos tanto
inspecciones internas de Compliance electrónicos como en papel).
según lo previsto.
Por otro lado, la organización debe • Tendencias: De incumplimientos, como

desarrollar, implementar y mantener un por ejemplo la tasa de Compliance
conjunto de indicadores adecuados que le esperada basada en tendencias pasadas
ayuden a evaluar el logro de sus objetivos de (indicador predictivo).
Compliance y a cuantificar su desempeño en
Además, la organización debe establecer,
este ámbito.
implementar y mantener procesos para los
Algunos ejemplos de indicadores serían: informes de Compliance para asegurar que:
• Formación: El porcentaje de empleados a a. Se definen los criterios adecuados para la

presentación de informes.
los que se haya impartido la formación de
forma eficaz. b. Se establecen plazos para la presentación
periódica de informes.
• Contactos externos: La frecuencia de los
contactos con los reguladores. c. Se implementa un sistema de informes
de excepciones que facilita información
• Encuestas: La utilización de mecanismos
ad hoc.
para obtener opiniones (incluidos los
comentarios sobre el valor de dichos d. Se implementan sistemas y procesos que
mecanismos por parte de los usuarios). aseguren la exactitud y completitud de los
informes.
• Tipologías: Cuestiones e incumplimientos
identificados y comunicados, por tipo, e. Se facilita una información exacta y
área y frecuencia (indicador reactivo). completa a las funciones o áreas de la
organización afectadas, para permitir
• Actividad disciplinaria: Las
que se adopten de forma rápida acciones
consecuencias de los incumplimientos,
preventivas, y correctivas.
que pueden incluir una valoración del
impacto que resulte de compensaciones De conformidad con la ISO 37301, los
monetarias, multas y otras sanciones, informes de Compliance pueden incluir:
coste de remediación, pérdida de
reputación o coste del tiempo de los • Cualquier tema sobre el que la
empleados (indicador reactivo). organización deba informar a cualquier
organismo regulador.
• Tiempo de reacción: El tiempo utilizado
para informar y tomar acciones correctivas • Cambios en las obligaciones de
(indicador reactivo). Compliance, en su impacto en la
organización y en las propuestas para
• Riesgos de incumplimientos: medidos cumplir con las nuevas obligaciones.
como la pérdida/ganancia potencial de
los objetivos (ingresos, salud y seguridad, • Medición del desempeño de Compliance,
reputación, etc.) a lo largo del tiempo incluyendo los incumplimientos y la
(indicador predictivo) mejora continua.
• Número y detalles de los posibles 3.10.3. Revisión por la dirección

incumplimientos y su análisis.
El órgano de gobierno y la alta dirección
• Acciones correctivas adoptadas. deben revisar el sistema de gestión del
Compliance de la organización a intervalos
• Información sobre la eficacia del CMS,
planificados, para asegurarse de su
sus logros y tendencias.
idoneidad, adecuación y eficacia continuas.
• Contactos y desarrollo de las relaciones
La revisión por la dirección debe tener en
con los reguladores.
cuenta:
• Resultados de las auditorías, así como
• La adecuación de la política de
de las actividades de monitorización.
Compliance.
• Seguimiento de la ejecución completa
• La independencia de la función de
de los planes de acción, especialmente
Compliance.
aquellos derivados de informes de
auditoría y / o requisitos del regulador. • El grado en el que se han cumplido los
objetivos de Compliance.
Por último, se deben mantener registros
actualizados de las actividades de • La adecuación de los recursos.
Compliance de la organización con objeto de
ayudar en los procesos de monitorización • La adecuación de la evaluación de riesgos
y revisión y para demostrar la conformidad de Compliance.
con el sistema de gestión del Compliance.

• La eficacia de los controles e indicadores
3.10.2. Auditoría interna de desempeño existentes.
La organización debe llevar a cabo auditorías • Las comunicaciones a través del canal de
internas a intervalos planificados, para denuncias internas, las opiniones de las
proporcionar información acerca de si el partes interesadas y las reclamaciones.
sistema de gestión del Compliance cumple

• Las investigaciones.
los requisitos propios de la organización
para su sistema de gestión del Compliance y • La eficacia del sistema de informes.
que se implementa y mantiene eficazmente.
Los resultados de la revisión por la dirección
Las funciones de auditoría, ya sean internas deben incluir las decisiones relacionadas
o externas, deberían estar libres de conflicto con las oportunidades de mejora continua
de intereses y ser independientes para y cualquier necesidad de cambio en el CMS.
cumplir su tarea.
3.11. Mejora organización cambian con el tiempo, igual

que cambia la naturaleza de sus clientes y las
3.11.1. No conformidades y obligaciones de Compliance aplicables.
acciones correctivas
La adecuación y eficacia del CMS debería
Cuando ocurra una no-conformidad evaluarse de forma continuada y regular
(incumplimiento de requisito) o un mediante varios métodos, por ejemplo, con
incumplimiento de Compliance (de un revisiones en auditorías internas.
compromiso), la organización debe:
La organización debería establecer medidas
a. Reaccionar ante la no conformidad o
para revisar su CMS y asegurar que se
incumplimiento, llevando a cabo acciones
mantiene actual y adecuado a su propósito. Al
para su control y corrección y gestionando
determinar el alcance y el marco temporal de
las consecuencias.
las acciones que apoyan la mejora continua, la
b. Evaluar la necesidad de llevar a cabo organización debería considerar su contexto,
acciones para eliminar las causas, con el factores económicos y otras circunstancias
fin de que no vuelva a ocurrir. relevantes.
c. Implementar cualquier acción necesaria.
d. Revisar la eficacia de las acciones

correctivas tomadas.
e. Si es necesario, hacer cambios en el CMS.
La organización debería identificar las

causas raíz por las que no se han seguido
las políticas y/o los procedimientos, que
hayan contribuido a una conducta desviada
y actualizar la política y el procedimiento en
base a las lecciones aprendidas.
3.11.2. Mejora continua
Finalmente, de conformidad con el ciclo

de mejora continua, la organización la
organización debe mejorar continuamente la
idoneidad, adecuación y eficacia del CMS.
La eficacia de un CMS se caracteriza por

el hecho de tener la capacidad de mejorar
y evolucionar continuamente. El entorno
interno y externo y el negocio de la
• La Norma ISO 37301:2021 establece el estándar certificable que establece los requisitos para los
sistemas de gestión de Compliance (CMS. Es la norma que reemplaza a la ISO19600 que, pionera
en esta materia, establecía recomendaciones (no requisitos y, por tanto, no era certificable).
• Además de ser certificable, otros aspectos destacables de la ISO 37301 son el fomento de una
cultura de Compliance como núcleo de la norma; insistir en un enfoque basado en el riesgo
para permitir su alineamiento con otras normas del ámbito; la ampliación del análisis del entorno
de la organización y la importancia y énfasis puestos en el aprovechamiento de canales de
denuncia interna.
• La cultura de Compliance es el conjunto de valores, ética, creencias y conductas que existen en

una organización determinada y que interactúan con las estructuras y sistemas de control en este
ámbito (la forma de vivir el Compliance en una organización).Hay varios factores que contribuyen
a ella, como la publicidad de valores corporativos, el compromiso de la dirección, la percepción
de igualdad, la formación, la comunicación, la inmediatez de las acciones correctivas disciplinarias
y su proporcionalidad, etc
• La política de Compliance establece los principios generales y el compromiso de lograr los

objetivos de Compliance en una organización (constituye lo que hay que hacer).
• Los objetivos de Compliance son los fines a alcanzar en ámbitos concretos, que deben coadyuvar
al cumplimiento de la política de Compliance.
• Las obligaciones de Compliance incluyen básicamente dos tipos: los requisitos y los compromisos.
• Los requisitos son deberes que una organización tiene obligatoriamente que cumplir (por
cuestiones legales y normativas). Por otro lado, los compromisos son aquellos que una
organización elige voluntariamente cumplir.
• Cuando una organización vulnera alguna de sus obligaciones, se denomina no-conformidad (si
afecta a un requerimiento) o incumplimiento (si afecta a un compromiso).
• La norma estable los siguientes principios de gobierno: el acceso directo a los órganos de gobierno,
independencia de la función (libre de conflictos de interés), asignación de recursos (humanos,
técnicos, económicos) y autoridad (sin sometimiento a cargos subalternos o intermedios).
• La norma ISO 37301 sigue un ciclo PHVA (planear-hacer-verificar-actuar) en el que se van

englobando todos sus elementos: planificar (compromiso, alcance, política, roles, obligaciones y
riesgos); hacer (apoyo, competencia y toma de conciencia, comunicación y formación, operación,
controles, canales de denuncia); verificar (investigación, seguimiento y medición, auditoría
interna, revisión por la dirección); actuar (incumplimientos, no-conformidades, acciones
correctivas y mejora continua).
Módulo 4
Buenas prácticas de la
MÓDULO 4 • BUENAS PRÁCTICAS DE LA FUNCIÓN DE COMPLIANCE
Módulo 4 Por otro lado, la cultura corporativa emerge,

cada vez con más fuerza, como el factor crítico
Buenas prácticas de la que determina el comportamiento de los
función de Compliance individuos que integran una organización. De

hecho, podemos decir que la cultura de una
Objetivos organización es uno de los temas candentes
cuando se aborda el establecimiento y
desarrollo de un CMS.
La cultura corporativa, integrada por el
• Comprender el concepto de liderazgo, su conjunto de valores, creencias y actitudes de
tipología y su influencia en la cultura corporativa quienes integran una empresa, constituye lo
y en Compliance.
que normalmente se conoce como sistema
• Entender el concepto de cultura corporativa. informal. Determina la forma en la que en las
• Reconocer los elementos que influyen en organizaciones se hacen las cosas realmente,
el comportamiento y en la cultura de una por lo que ha de ser objeto de atención de
organización quienes dirigen y administran la empresa, y
• Identificar la estructura de tres líneas de en especial, de los que gestionan los riesgos
defensa, su estructura y ámbitos de actuación de Compliance.
de cada una.
• Conocer el proceso de elaboración del Plan La cultura corporativa está

Anual de Compliance, y su contenido. íntimamente relacionada
• Reconocer los tipos existentes de informes, con el liderazgo
estructura, contenido y propósito.
La cultura corporativa comienza con
líderes que imponen sus propios valores y
4.1. Introducción asunciones sobre un grupo83. Cuando esos
valores y asunciones consiguen ser integrados
Para que los programas de Compliance sean y “dados por sentado” por la mayoría de los
realmente eficaces, es necesario que se miembros de una organización, es cuando
integren en el día a día de la organización. habrán pasado a incorporado a su cultura,
Esto solo se consigue si existe un compromiso y constituirán una forma de hacer las cosas
real de quienes dirigen las organizaciones. que definirá, para futuras generaciones de
Además de la necesaria motivación extrínseca
miembros del grupo, el comportamiento que
que nace de la presión legal y regulatoria,
se considera aceptable.
es necesaria una motivación intrínseca
que nazca del compromiso ético de quienes A medida que el grupo se enfrente a
dirigen y gestionan las organizaciones. Se dificultades y deba adaptarse a cambios en
requiere, por tanto, de un liderazgo que el entorno que conviertan en obsoletas las
impulse desde la organización el desarrollo
de una función de Compliance. 83 Schein (2004)
asunciones y valores previos, el liderazgo detecte y, llegado el caso, remedie, las

habrá de entrar de nuevo en juego para una conductas ilícitas o contrarias a las normas y
redefinición de los mismos. compromisos que se den.
Liderazgo y cultura son dos caras de la Así, las organizaciones que establecen
misma moneda, y no pueden comprenderse un programa de Compliance cuentan, en
por separado. Dependiendo de cómo sea general, con elementos como códigos éticos
la cultura de una organización así será el y /o de conducta, políticas y procedimientos
liderazgo (p.ej., a quién se promociona o quien escritos, canales de denuncia, mecanismos
retiene la atención de seguidores). Incluso de identificación, análisis y evaluación de los
podríamos afirmar que lo verdaderamente riesgos, etc.
importante para un líder es crear y gestionar
Sin embargo, estos elementos corren el
la cultura de la organización84.
riesgo de convertirse en meros soportes de
Este módulo aborda estos dos elementos, unas normas cuyo contenido no sea aplicado
liderazgo y cultura corporativa, para en el día a día de la actividad empresarial (en
comprender su significado, su importancia en definitiva, un Compliance de papel).
el desarrollo y mantenimiento de programas
Los programas de Compliance, y en particular,
de Compliance, y cómo deben ejercerse
los elementos formales que contienen, deben
y desarrollarse para que Compliance no
integrarse y formar parte de los procesos y
quede en meras formalidades y documentos
decisiones de una organización.
escritos.
Pero los programas también requieren de

4.2. Liderazgo y cultura de
otra serie de elementos que, aun no siendo
Compliance tan perceptibles como un documento
4.2.1. Liderazgo y Compliance publicado en la intranet corporativa, por

ejemplo, pueden llegar a ser más relevantes
Quienes dirigen y administran una que los elementos a los que antes aludíamos.
organización son quienes facilitan, o deben
facilitar, los recursos para que se implementen Los líderes, con su conducta, y no solo con
los programas y estructuras organizativas que las políticas y documentos que aprueban y
permitan dar apoyo al desarrollo del modelo comunican, influyen en la forma que tiene la
o sistema de Compliance. organización de hacer las cosas.
Los programas de Compliance documentan Por ello, el impulso del programa por
formalmente los esfuerzos que realiza una parte de quienes dirigen y administran las
organización para establecer un modelo organizaciones (y su liderazgo) es, junto a
de organización y gestión que prevenga, la cultura corporativa, un intangible crucial,

sin el cual los programas de Compliance no
podrán ser eficaces en su cometido.
84 Schein (2004)
No podrán prevenir eficazmente y desarrollar El liderazgo es uno de los fenómenos

un sentido compartido por todos los más observados, pero menos
integrantes de la organización de “hacer comprendidos, del mundo85
lo correcto” y adoptar decisiones que
El término “liderazgo” (leadership) fue
estén alineadas con los requisitos legales
utilizado por primera vez en el siglo XIX, en
y regulatorios, y con los códigos éticos
textos sobre la influencia política y control
adoptados voluntariamente.
del Parlamento británico86. Las primeras
Es esencial que los miembros de los definiciones ya reconocen la capacidad de
consejos de administración, directivos, y influir en otros.
mandos intermedios, demuestren liderazgo
Según otros autores87, el liderazgo es un
y compromiso en relación con el CMS de la
proceso que tiene lugar en grupos en los
organización. Una forma de hacerlo sería
que un miembro influencia y controla el
definir -en colaboración con todos los
comportamiento de otros miembros hacia
empleados- los valores de la organización
algún objetivo común.
y, una vez hecho, defenderlos y practicarlos
abiertamente. Esta definición88 da a entender que el control
es un elemento imprescindible para liderar.
Además, también deberían comunicar la
La pregunta o reflexión que procede es si
importancia de una gestión de Compliance
el control es un elemento diferenciador
eficaz y establecer una política de Compliance
para que exista un liderazgo efectivo. La
que proporcione un marco de referencia, claro
respuesta exige profundizar algo más en la
y comprensible, para el establecimiento de los
propia definición de liderazgo y cuáles son las
objetivos de Compliance y que contribuya al
características de un buen líder.
compromiso de todos con su cumplimiento.
En definitiva, un buen programa de Liderar es la habilidad que tiene una persona de

Compliance requiere de líderes que lo influir, motivar, posibilitar a otros para contribuir a
consideren un elemento estratégico sin el la eficacia y éxito de las organizaciones de las que
cual la organización no podrá lograr sus son miembros.
objetivos. House et al., 2004:56
Qué es el “liderazgo” y por qué es

En cambio, esta otra definición va más allá del
importante en el desarrollo de una
concepto de influencia e incluye la motivación
adecuada función de Compliance
y la habilidad de posibilitar a otros para que
El liderazgo ha sido profusamente estudiado, contribuyan a la consecución de los objetivos
existiendo aún ideas encontradas respectos

a si los líderes “nacen o se hacen” o qué 85 McGregor Burns, J. Leadership (1978), página 2.
86 Bass (1990) citado por Jogulu y Wood (2006)

características convierten a alguien en un
87 Michener et al. (1990), citado por Denmark (1993:343)
líder. 88 Jogulu y Wood (2006)
de una organización. En esta definición no Cada una de estas formas de liderar tiene sus
aparece el ejercicio de control como un propias características y fortalezas:
elemento relevante.
ESTILO CARACTERISTICAS FORTALEZAS
Un líder será, por tanto, aquel que logre Ganar de cualquier forma. Buenos en
influir, motivar y poner los medios para que emergencias y
Oportunista Orientado a sí mismo.
oportunidades
otros contribuyan al éxito de la organización, Manipulativo. de venta
y que estos lo hagan por convencimiento y no

Evita el conflicto abierto.
por miedo a algún tipo de control o coerción. Ayuda a
Diplomático Obedece las normas del cohesionar
grupo. Quiere pertenecer personas
El control es sin duda un elemento esencial de al grupo.
un buen sistema de Compliance, pero la clave Bueno como

Se rige por la lógica y la
del buen liderazgo está en lograr que otros Experto colaborador
experiencia
individual
cumplan con los objetivos convencidos de que
Cumple los objetivos Muy adecuado
es lo mejor para el futuro de la organización y estratégicos. para roles de
su sostenibilidad en el largo plazo. Se las apaña para cumplir
gestión.
Triunfador
con sus obligaciones como Orientado a
gestor y las demandas del acciones y
Los líderes no nacen, se hacen, y cómo se desarrollan mercado. objetivos.
es crítico para el cambio organizacional.
Entreteje lógicas de la
acción personal y de la
Rooke y Torbert (2005:1) empresa, que compiten
entre sí.
Conscientes de un posible
Tipos de liderazgo: quién y cómo lo conflicto entre sus
Efectivo en
papeles de
Individualista principios y sus acciones,
ejerce o entre los valores de
consultoría y
negocios.
la organización y su
implementación.
Podemos analizar el fenómeno del liderazgo
Tienden a ignorar
de diferentes formas. Por un lado, podemos normas que consideran
preguntarnos qué habilidades técnicas y qué irrelevantes.
formas de liderar puede tener un líder. Por Genera transformaciones

personales y
otro lado, es necesario reflexionar sobre las
organizacionales.
conductas que un líder debe promover y cómo Efectivo
Para ellos, el cambio
Estratega como líder
(es decir, la dimensión ética del liderazgo). organizacional y social es
transformacional
un proceso de desarrollo
iterativo que requiere
Se distinguen siete formas o tipos de conciencia y una estrecha
atención del liderazgo.
liderazgo89, tomando en consideración las
diferentes formas en las que los líderes Genera transformaciones Bueno en liderar
sociales. transformaciones
interpretan su entorno y reaccionan cuando Alquimista
de toda la
Integra transformación
se cuestiona su poder o seguridad (action material, espiritual y social. sociedad.
logics).
Distintas formas de liderar, sus características y fortalezas.
Fuente: Basado en Rooke y Torbert (2005:3). Seven transformations of
89 Rooke y Torbert (2005) leadership. Harvard Business Review.
Los estilos menos efectivos90 para el liderazgo modelo de liderazgo que puede contribuir a
organizacional son el oportunista y el generar un impacto que exceda las fronteras
diplomático. Sin embargo, los más efectivos, de la propia organización (por ejemplo,
son el estratega y el alquimista. contribuyendo a los Objetivos de Desarrollo
Sostenible de la ONU).
Que un líder reconozca su propia lógica de
acción es el primer paso hacia el desarrollo Sin embargo, la realidad de las
de un estilo de liderazgo más efectivo. No organizaciones, y muy especialmente en
obstante, el descubrimiento más notable el mundo de la empresa, hace que quienes
y alentador es que los líderes pueden dirigen y gestionan lo hagan enfrentándose a
transformarse de una lógica de acción (action presiones de diversa índole (maximización del
logic) a otra. beneficio para los accionistas, por ejemplo),
y superando determinados sesgos (como el
Hasta aquí hemos visto como una persona
de atender al interés propio, o la tendencia
que esté al frente de una organización puede
a racionalizar o justificar determinadas
desarrollar distintas formas de liderar, y
conductas en beneficio de la organización).
que en función de las características de
esta forma de liderar puede impactar más o Todo ello hace necesario no caer en la
menos en la transformación y cambio de las ingenuidad de pensar que un buen líder solo
organizaciones. se caracteriza por sus habilidades y cualidades
técnicas. Se debe por tanto abordar también
Podríamos concluir que un programa
la dimensión ética del liderazgo, es decir, qué
de Compliance, contemplado desde la
tipo de transformación se persigue y cómo se
perspectiva del cambio y transformación
logra (¿qué conductas y actitudes caracterizan
inherente a su puesta en marcha y desarrollo
a ese líder?).
(con todo lo que hemos visto que conlleva,
sobre todo, desde un punto de vista de
Diferencia entre líder y jefe o superior
cultura corporativa), necesita del apoyo de
jerárquico (directivo)
profesionales que sean eficaces como líderes
transformacionales, como es el caso de los Si bien un jefe o superior jerárquico puede asumir a
líderes estratégicos. su vez un papel de liderazgo, una posición jerárquica
no genera automáticamente una cualidad de líder
Si tenemos en cuenta, además, que un buen (Schein, 2004)
Compliance no consiste solo centrarse en lo
que la ley permite a una organización, sino
en lo que ésta debe hacer para llevar a la
práctica los valores y principios éticos que
haya adoptado voluntariamente, la forma
de liderar del alquimista emerge como un
90 Rooke y Torbert (2005)
Liderazgo ético Liderazgo ético
La ética no es una declaración de buenas La demostración de conductas normativamente

apropiadas a través de acciones personales y de
intenciones en la web corporativa.
relaciones interpersonales, y la promoción de
Concretarla y llevarla a la práctica diaria de la dichas conductas hacia los seguidores a través de
empresa es lo verdaderamente importante, una comunicación de doble vía, refuerzo y toma de

decisiones.
y eso es lo que hacen los líderes éticos:
involucrarse en el día a día en todo aquello BROWN et al.,2005:120
que es clave para su organización y empresa.
Forma parte de su carácter y de su manera
Esta definición puede plantear el problema
de trabajar91.
de la vaguedad inherente a la expresión
La ética es un elemento intrínseco del normativamente apropiadas.
buen liderazgo.
Este término, como indican los autores de
Por tanto, la dimensión ética del liderazgo esta definición, ha sido elegido de forma
representa un pequeño componente que deliberada, dado que lo que puede ser
cae de lleno en el ámbito de conductas considerado como más apropiado en un
que conforman un liderazgo de tipo determinado contexto puede no serlo en
transformacional y carismático92. otro (relativismo ético).
En este sentido, podemos decir que es Además, esa referencia puede hacer pensar
necesario que el líder influya en el grupo que se limita a un ámbito legal o normativo.
de forma positiva, transmitiendo valores Sin embargo, debemos entender la
y aunando esfuerzos, y haciendo que los expresión normativamente apropiadas como
miembros del grupo (organización) crezcan moralmente aceptables. Es decir, un líder ético
como personas y profesionales. demuestra qué conductas son moralmente

aceptables a través de sus propias acciones
Para que un líder influya de forma positiva, y promocionando lo que dice a través
y sea capaz de transmitir valores y conseguir de la comunicación, el reconocimiento
el compromiso de otros, debe demostrar (recompensa) o la aplicación de disciplina
una serie de conductas y actitudes clave. (correctivo o sanción), y, por supuesto, en el
Los líderes deben servir de guía ética para proceso de toma de decisiones. Es decir, son
los empleados (ejemplificando aquellas líderes que ejemplifican lo que dicen.
conductas que predican).
Pero, ¿cómo distinguir a un líder que posee
esta cualidad? ¿Qué conductas y actitudes los
caracterizan?
Un instrumento o escala de medición del

91 Moreno Pérez (2006)
92 Treviño y Brown (2007) liderazgo ético (Ethical Leadership Scale,
en adelante ELS) fue desarrollado por unos valores corporativos (incluido, claro está,
investigadores93, donde se describen las el cumplimiento de la legalidad) y los
características y comportamientos presentes comportamientos expresados y exigidos en
en un liderazgo ético: el día a día de la actividad de la organización.
• Conduce su vida personal de una manera Tal y como apunta la Ethics & Compliance
ética; Initiative (2017), el liderazgo ético impacta
positivamente en la puesta en práctica de un
• Define el éxito no solo por los resultados
programa de Ética y Compliance:
sino por cómo se logran;
• Escucha a los empleados; • El liderazgo ético contribuye a reducir

los riesgos de Ética y Compliance.
• Aplica medidas disciplinarias a los
Aquellos altos directivos que lideran con
empleados que vulneran los estándares
ética reducen la presión y evitan poner
éticos;
en riesgo el cumplimiento de leyes y
• Adopta decisiones justas y equilibradas; normas éticas. Además, si los empleados
consideran que sus superiores son éticos,
• Genera confianza;
tenderán a denunciar los casos de mala
• Habla de ética en los negocios o de conducta que observen.
valores con los empleados;
• El compromiso de los altos directivos
• Sirve de ejemplo de cómo hacer las cosas con la integridad en el lugar de trabajo
de la forma correcta, en términos éticos; es relacionado con un mayor nivel de
permanencia de empleados (menor
• Tiene en mente el interés de los
rotación de personal).
empleados;
• Cuando toma decisiones se pregunta

El liderazgo ético es un tema clave, sin el cual todos
cuál es la acción correcta. los demás aspectos de una un programa de Ética
y Compliance es probable que sean una pérdida
Un líder ético, por tanto, no se limita a
de tiempo y dinero. La alta dirección comprende
identificar los comportamientos esperados cada vez más que evitar el mal no es suficiente;
y comunicarlos, sino que los ejemplifica y es necesario que den pruebas concretas de su
promueve. compromiso con la ética.
Emmanuel LULIN
Un programa de Compliance requiere de su
promoción e impulso por parte de líderes Senior Vice President, & Chief Ethics Officer,
L’Oréal (Ethics & Compliance Initiative, 2017)
que ilustren en el día a día el contenido de
dicho programa. Líderes que se preocupen
por la el alineamiento entre principios y
93 Brown et al. (2005)
4.2.2. Cultura corporativa y financieras, la exploración del papel del

Compliance “propósito” en la cultura o la valoración de las
prácticas de remuneración.
Una cultura corporativa en la que se prime
la integridad y la honestidad es fundamental Otra muestra de esta preocupación es
para que el programa de Compliance la publicación del Discussion Paper:
funcione. Transfroming Culture in Financial Services
(Financial Conduct Authority, 2018) donde el
El propio programa debe tener entre sus propio regulador reconoce que:
objetivos no solo prevenir y detectar los
riesgos de Compliance, sino contribuir al “...[la] regulación es solo una pieza del
desarrollo de una cultura corporativa ética. rompecabezas y el papel del regulador puede
estar limitado. Así que la pregunta se mantiene
Esta cultura debe evidenciarse, entre otros - ¿cómo pueden las empresas ir más allá de las
elementos, por un compromiso por parte normas y estándares para lograr un cambio
todos los integrantes de la organización con real en la cultura?”.
el cumplimiento de las leyes y regulaciones,
y también con los principios y valores éticos En definitiva, para que los programas de
corporativos. De esta manera, se fomentará Compliance corporativo influyan en el
una cultura corporativa positiva, donde la comportamiento de los individuos que
ética forme parte de los procesos de adopción conforman la organización, éstos deben ser
de decisiones. parte de un sistema cultural más amplio y
coordinado, que apoye la conducta ética en
En este sentido, y debido a los escándalos la empresa todos los días95.
que han protagonizado algunas empresas, la
cultura corporativa está desde hace un tiempo
en el punto de mira de algunos supervisores
y reguladores.
La Financial Conduct Authority (FCA) de

Reino Unido incluyó la cultura y la gobernanza
de las entidades entre las prioridades tanto
de su plan de actividades 2018/19 como de
2019/202094.
Entre otras cuestiones, la FCA deseaba

abordar cuestiones tales como el apoyo a la
transformación de la cultura en las entidades
94 Consultar: www.fca.org.uk/publication/business-plans/bu-
siness-plan-2019-20.pdf y www.fca.org.uk/publication/busi-
ness-plans/business-plan-2018-19.pdf 95 Treviño y Brown (2004)
Caso de estudio IV: El papel del liderazgo en los esfuerzos de Carlson para combatir el tráfico y
explotación de niños
La empresa hotelera Carlson es un ejemplo de compromiso ético llevado a la práctica, en este caso, para
proteger los Derechos Humanos y combatir la explotación sexual infantil en la industria de viajes y hospitalidad.
Las raíces de Carlson se remontan a 1938, cuando Curtis L. CARLSON tomó una idea para un programa de lealtad
y, con un préstamo de 55 dólares, fundó la Gold Bond Stamp Company en Minneapolis (Minnesota, EE.UU).
Carlson siempre ha impulsado y se ha basado en un sólido conjunto de valores que ejemplifican el espíritu
emprendedor y los altos estándares de calidad encarnados por su fundador, quien elaboró el Credo Carlson:
“Cualquier cosa que hagas, haz con integridad; a dónde vayas, ve como un líder; a quien sirvas, sirve
con cariño; cuando sueñes, sueña a lo grande; y nunca, jamás, te rindas”
Hoy, Carlson opera en casi 150 condados y territorios en todo el mundo, y lo dirige la tercera generación de
propiedad familiar. Además, hacer negocios de una manera socialmente responsable ha sido un principio rector
de Carlson durante sus más de ocho décadas de historia. Desde el punto de vista del liderazgo, esta empresa
ha ejemplificado como desde la dirección se puede impulsar un cambio que contribuya a que los propios
empleados de la empresa colaboren en la puesta en práctica de un programa de lucha contra el tráfico de
personas y la explotación sexual de menores en las instalaciones hoteleras de la empresa.
La presidenta y anterior CEO de la compañía, Marilyn CARLSON NELSON, hizo que su empresa fuese la
primera compañía hotelera y de viajes de EE.UU. en firmar, en 2004, el código de conducta internacional de la
industria dirigido a la protección de menores (Code of Conduct for the Protection of Children against Sexual
Exploitation in Travel and Tourism).
A pesar de que la firma de dicho código pudiera tener consecuencias negativas para el negocio, se decidió que
era más importante hacer lo posible para que la empresa impactara positivamente en este tema tan crucial y
contribuyera a la protección de los derechos humanos.
Al firmar el código, Carlson se comprometía a:
• Establecer una política clara en relación con la explotación sexual de menores.
• Facilitar formación a los empleados.
• Integrar una cláusula en los contratos como proveedor de no aceptación de explotación infantil en sus
instalaciones.
• Facilitar información a los clientes y personal clave en todos los destinos
• Reportar anualmente los progresos realizados.
Carlson puso en práctica todos estos compromisos y no lleva a cabo actividades con empresas sobre las que
tenga constancia que participan de algún modo en explotación sexual de menores. Además, puso en práctica
un sistema que involucra y hace parte del programa a todos los empleados, solicitándoles su colaboración
para comunicar cualquier conducta inapropiada. En este sentido puso en marcha un programa de formación
que incluso, inicialmente, llegó a ser liderado por un grupo de empleados comprometidos con la causa. Como
operativamente era necesario que un departamento concreto se responsabilizara de la gestión del programa,
en 2010 se decidió que lo liderara el departamento de Negocio Responsable (Responsible Business).
Carlson tiene además una política de compartir su conocimiento en este ámbito y compartir su programa de
formación con otras compañías para ayudarles a proteger y defender a los niños de todo el mundo.
Fuentes:
Zemke, E. (2011). Case Study: Carlson´s efforts to combat trafficking and exploitation of children
Qué es la cultura organizacional o La cultura, más que los manuales de normas,
la cultura corporativa determina cómo se comporta una organización.
Memorandum a los gestores de Berkshire

Cultura corporativa Hathaway
Warren BUFFETT (2010)
Orden social tácito de una organización: moldea las
actitudes y los comportamientos de manera amplia
y duradera.
Es decir, resulta evidente que sus efectos en
el día a día de una organización son palpables
The leader’s guide to corporate culture a pesar de que sea complicado definirla. En
Harvard Business Review
cualquier caso, hace referencia a algo común
GROYSBERG et al., 2018:4
que comparten los miembros de un grupo.
Las normas sociales tácitas son las que Cultura organizacional / cultura corporativa
realmente definen qué comportamientos
Conjunto de valores, creencias, suposiciones y
se fomentan o desalientan y se aceptan o
prácticas compartidas por quienes integran una
rechazan dentro del grupo de individuos que
organización y que marcan las normas implícitas
integran una organización96.
(no escritas) de cómo se hacen las cosas y cómo se
relacionan los individuos.
Pero cuando esas normas no están alineadas
con los valores éticos y los principios de
actuación que las organizaciones comunican En definitiva, la cultura de una empresa u
y dan a conocer a través de sus códigos éticos organización de otro tipo se evidencia a través
y de conducta, y de sus propias políticas de los comportamientos que son realmente
de Compliance (sistema formal de normas valorados y la forma en la que se hacen las
explícitas y procedimientos), la cultura que se cosas en una organización (cómo hacemos
genera se convierte en el peor enemigo de la las cosas por aquí). Es lo que los directivos y
integridad y la ética de la organización. empleados “dan por sentado” incluso fuera de

la vista de quienes supervisan y monitorizan
La cultura corporativa es, por tanto, un factor las actividades y conductas dentro de la
clave que determina el comportamiento de organización97.
los individuos que integran las empresas u
organizaciones de otro tipo. Todas las organizaciones tienen una cultura,
con independencia de que haya sido o no
La cultura es un concepto abstracto. Sin activamente cultivada. Y esa cultura influye
embargo, es habitual que aquellos que en el comportamiento de quienes integran
integran una organización o grupo de dicha organización. Pero para que esa cultura
cualquier tipo, coincidan en que la cultura de influya de manera positiva las organizaciones
la organización existe, “está ahí”. deben cultivar una cultura ética98:
97 Langevoort, 2016
96 Groysberg et al., (2018:4) 98 Kaptein (2009)
Cultura corporativa ética Merece la pena recordar en este punto el caso

de Wells Fargo (que comentaremos con más
La cultura ética abarca el conjunto de experiencias,
detalle en otros módulos) y el conflicto de
suposiciones y expectativas de directivos y
intereses que se generó por la organización a
empleados sobre cómo la organización evita
que se comporten de forma no ética y alienta a causa de un plan de incentivos mal diseñado
que se comporten éticamente. La cultura ética y el impacto en la conducta de los empleados.
puede considerarse como una parte de la cultura
organizacional general. Desde una perspectiva del establecimiento
de un sistema ético (incluido un sistema
Si la cultura organizacional representa "cómo de Compliance), crear y mantener una
hacemos las cosas por aquí", la cultura ética
sólida cultura ética es la clave para crear
representa "cómo hacemos las cosas por aquí en
una organización que apoye a las personas
relación con la ética y el comportamiento ético
que toman buenas decisiones éticas y se
en la organización". La cultura ética representa la
"personalidad ética" de la organización. comportan éticamente todos los días100.
Cultura corporativa y “cultura de

El primer paso para poder desarrollar una Compliance”
cultura ética, es que las organizaciones definan
claramente cuáles son los comportamientos Si entendemos la función de Compliance
y actuaciones que consideran moralmente como la encargada de la gestión del riesgo
aceptables99. Es decir, deben dar a conocer de Compliance (materialización de acciones
qué valores éticos, principios de actuación y o decisiones contrarias a las normas legales
normas de conducta integran su visión de la y/o a los propios valores éticos y normas de la
ética corporativa (y cumplir las leyes es uno organización), la cultura corporativa emerge
de ellos). como el primer riesgo que es necesario

gestionar.
El segundo paso será implementar los
Un buen modelo de Compliance debe
mecanismos necesarios para asegurar que
centrarse en prevenir ciertas conductas
la conducta que se produce realmente en
(por ejemplo, incumplir una norma que
el seno de la organización esté alineada
protege un derecho de un consumidor) y
con dichos valores, principios y normas de
fomentar otras (no sacrificar la reputación
conducta. Las organizaciones deben idear
de buen servicio de la empresa a cambio de
mecanismos (programa de Compliance) para
obtener un beneficio financiero). Eso implica
garantizar la integridad de las conductas
necesariamente comprender qué factores
en el seno de la empresa, por ejemplo,
influyen o determinan que se produzcan
asegurando que los objetivos comerciales y el
determinadas conductas.
plan de remuneración e incentivos promueve
comportamientos que son acordes con el 100 Ethical Systems es una organización liderada por uno de los psi-
cólogos sociales más prominentes, Jonathan HAIDT, con el fin
código ético y no lo comprometen. de promover la investigación en sistemas de ética en las orga-
nizaciones atendiendo a los factores que influyen en el compor-
tamiento de los individuos. Más información en su página web:
99 Hernández Cuadra (2018) https://www.ethicalsystems.org/content/corporate-culture.
No obstante, ya hace tiempo que el desarrollo Las culturas basadas en la intimidación (el
de una cultura ética se vincula al propio miedo a la detección y la sanción) no son
desarrollo de los programas de Compliance. precisamente el mejor camino hacia la
En el año 2004, las ya mencionadas USFSG honestidad y la rendición de cuentas101.
fueron actualizadas para incluir como
En este sentido, existe una profusa
objetivo de los programas de Compliance
literatura académica que ha contribuido a
de las organizaciones “promover una cultura
evidenciar que un enfoque basado solo en
organizacional que fomente la conducta
el cumplimiento de las leyes ve dificultado su
ética y el compromiso de cumplir con la ley”.
eficacia para mejorar conductas y decisiones
No obstante, en el ámbito del desarrollo debido al alcance limitado de las propias
e implementación de sistemas de gestión leyes y regulaciones para impactar en la
de Compliance, se suele indicar que este conducta102. Sin embargo, un enfoque basado
debe contribuir a una adecuada cultura de en la puesta en práctica de principios éticos y
Compliance. Así, podemos definir cultura de valores puede ser más efectivo en el logro de
Compliance como: la integridad de la organización103.
Por tanto, si lo que de verdad persigue una

Creencias compartidas dentro de una organización
organización es contribuir a desarrollar una
sobre la importancia o legitimidad del cumplimiento
legal, frente a otras presiones u objetivos.
adecuada cultura corporativa que impacte
positivamente en el logro de los objetivos de
Langevoort, (2017) Compliance, deberá desarrollar un programa
de Compliance. Y este programa no puede
En otras palabras, la cultura de Compliance limitarse al respeto la ley, sino que debe
hace referencia, en sentido estricto, a cómo ir más allá en hacer lo correcto de acuerdo
se hacen las cosas en una organización en con los principios y valores que la propia
relación con el cumplimiento de las leyes y organización haya adoptado voluntariamente
regulaciones. (compromisos) como parte de un proceso
de reflexión sobre cuál es su propósito y su
Sin embargo, en un sentido amplio (el buen identidad corporativa.
Compliance va más allá del cumplimiento
de la ley, que constituye un principio ético Así, conviene que las organizaciones no
en sí mismo), una cultura de Compliance adopten el enfoque de enfatizar el estricto y
debe quedar subsumida en el concepto de preciso cumplimiento de las leyes, olvidando
cultura ética que hemos mencionado, es el propósito por el que dichas leyes existen104.
decir, en cómo se hacen las cosas en relación
con la ética (incluido el cumplimiento de
la ley) y el comportamiento ético en la 101 Langevoort (2017),
organización. 102 Di Lorenzo (2007); Melé (2009); Michael (2006)
103 Paine (1994); Treviño et al., (1999)
104 Arjoon (2005)
Qué elementos o factores impactan Según este marco conceptual, la cultura ética
en la cultura de una organización está compuesta por cinco dimensiones:
Como hemos referido anteriormente, hablar • El contrato social, es decir, el conjunto

de cultura de una organización conduce de percepciones compartidas acerca de
habitualmente a pensar en algo abstracto y cómo la organización se relaciona con
etéreo, que es difícil de medir y apreciar. las personas y cómo las personas se
relacionan entre sí.
No obstante, las investigaciones en el ámbito
de las ciencias sociales han abordado • El comportamiento de los líderes de la
en numerosas ocasiones esta cuestión, organización.
y dado como resultado diversos marcos
La ética organizacional, que hace referencia
conceptuales, varios de ellos con un enfoque
a las creencias arraigadas que los miembros
multidimensional.
de la organización tienen sobre sí mismos y
Así, por ejemplo, entre los más recientes otros.
figura el trabajo realizado entre los años 2016
La percepción de los individuos, que hace
y 2017 por un grupo de investigadores105 a
referencia al nivel de percepción que cada
través de Ethical Systems, (una organización
individuo tiene sobre la existencia o no de
que fomenta la investigación y el acceso a
conocimiento en el ámbito de la ética de un dilema o cuestión ética (sensibilización
las organizaciones, vinculada al NYU Stern’s moral).
Business and Society Program).

La respuesta a una conducta indebida, es
Dicho trabajo de investigación dio como decir, cómo reaccionan las personas cuando
resultado la publicación de un interesantísimo observan una conducta no ética dentro de
documento titulado “A two-factor model of la empresa. Por ejemplo, ¿sienten miedo a
ethical culture106” en el que se identifican cinco comunicarlo y sufrir represalias?
elementos clave de una cultura ética, y diez
Cada una de estas áreas o dimensiones está
factores divididos en torno a aquellos que
caracterizada a su vez por un elemento que
impactan positivamente (elemento positivo)
impacta negativamente y un elemento que
y aquellos que impactan negativamente
impacta positivamente, según se muestra en
(elemento negativo) en la cultura ética de una
la siguiente tabla:
organización.
Estos diez elementos marcan, por tanto, lo

que debe hacerse y lo que no para construir
un enfoque ético en las organizaciones.
105 El equipo de investigación estaba formado por: Michael

Brown, Jonathan Haidt, David Mayer, Marshall Schminke,
Sean Stevens, Ann Tenbrunsel, Jeffrey Thomas, Linda Tre-
viño, y Siyu Yu.
106 Bulgarella (2018)
Elemento Elemento de sus funciones, o no reconocer los propios

Dimensión
negativo positivo sesgos, etc, incrementa el riesgo de que la
Contrato social
Injusticia Confianza cultura corporativa se vea perjudicada.
organizacional organizacional
Comportamiento Por el contrario, fomentar la empatía y la

Comportamiento
abusivo de los Liderazgo ético
de los líderes colaboración entre empleados contribuirá
directivos
a mejorar la cultura empresarial. Aplicar
Ética
organizacional Orientación estos elementos al diseño y desarrollo de
Orientación egoísta
(organizational benevolente
Compliance, junto con un programa que se
ethos)
centre en una adecuada formación, un plan
Falta de
Percepción de los
sensibilización Empatía de sensibilización sobre estas cuestiones
individuos
(moral)
y el establecimiento de mecanismos y
Respuesta Eficacia y
procedimientos que contribuyan a la
ante las malas Miedo a represalias comunicación
conductas abierta (speak out) identificación y gestión de conflictos
de intereses, contribuirá a mejorar
Ingredientes de una cultura ética y elementos que impactan en su
desarrollo. significativamente la cultura de Compliance
Fuente: Basado en Bulgarella (2018)
de la compañía.
En consecuencia, poner el foco en la cultura
Una cultura corporativa ética no se construye
corporativa requiere identificar previamente
únicamente elaborando y publicitando
la realidad de la organización en relación con
códigos éticos. La responsabilidad de las
cada uno de estos elementos.
empresas no termina con la publicación
Una organización que quiera fomentar una de códigos éticos, sino que, precisamente,
cultura ética deberá promover aquellos comienza en ese momento107.
elementos que contribuyan positivamente

Una empresa incrementa su responsabilidad
a mejorar y potenciar comportamientos
para con la sociedad en el momento en el que
alineados con los valores y principios de
da a conocer sus valores y principios, puesto
actuación recogidos en el código ético (y que tiene que demostrar que cumple con
también en las políticas y procedimientos ellos y que sus actividades están alineadas
que la empresa desarrolle para cumplir las con los mismos (“walk the talk…”).
normas y estándares de conducta requeridos
por la industria en la que desarrollen su 4.2.3. ¿Qué mueve el
actividad). comportamiento de los individuos
que integran una organización?
Así, por ejemplo, la no apreciación e
insensibilización de los individuos sobre El comportamiento de una persona
sobre ciertas cuestiones, juega un papel en una determinada situación no está
crucial. Ser incapaz de identificar dilemas influenciado únicamente por los documentos
éticos, de comprender de los conflictos de (comunicaciones) que abordan explícitamente
intereses que se producen en el desarrollo
107 Bulgarella (2018)
cómo actuar en esa situación (las normas de

conducta, políticas, procedimientos, etc.)
Nuestras decisiones también están afectadas

por valores y creencias que traemos al
trabajo, por una amplia gama de estímulos,
limitaciones y motivaciones sociales, y
también por señales en el entorno de trabajo
que impulsan nuestro comportamiento en
una dirección u otra108.
La cultura de una organización influye, como

hemos visto, en la conducta de quienes la
integran. Y en ese sentido un programa
formal de normas y procedimientos no Factores que influyen sobre la conducta en las organizaciones.
será eficaz sino existe la cultura adecuada. Fuente: Iscenko et al. (2016)
Pero al mismo tiempo, la cultura se crea y

puede cambiar en función de la conducta Análisis coste/beneficio: Un factor a tenerse
de los individuos, especialmente de quienes en cuenta es el análisis del beneficio esperado
la lideran. De un modo u otro, desarrollar por un incumplimiento y su comparación con
una cultura ética implica prestar atención a el coste esperado si ese incumplimiento es
los factores que influyen en la conducta de detectado.
quienes integran una organización.

Sin embargo, nuestras conductas no son
En este sentido, en diciembre de 2016 tan racionales, y el mero hecho de dar a
Financial Conduct Authority (FCA) del Reino conocer que una conducta está prohibida
Unido publicó un documento titulado por una ley (por ejemplo, haciendo firmar
Comportamiento y Compliance en las a los empleados un código de conducta o
Organizaciones (Behaviour and Compliance una política de Compliance), o conocer de
in Organizations) dando visibilidad a la antemano que existe un sistema de control
importancia de comprender que factores interno para detectar si se comete dicha
sociológicos, psicológicos e incluso morales conducta (el sistema de monitorización de
impacta en la forma de actuar de las personas los programas de Compliance) y conocer la
que trabajan en el seno de una organización. consecuencia disciplinaria, no garantiza que

dicha conducta no vaya a producirse.
Según este documento las personas llevamos
a cabo nuestras acciones y decisiones en el Por tanto, es necesario que quienes quieran
ámbito del cumplimiento o incumplimiento diseñar e implantar un sistema de Compliance
de las normas en función de cuatro factores: tengan en cuenta otros factores que influyen
en la conducta de las personas que integran
108 Killingsworth (2012) una organización.
Los sesgos de comportamiento: Tal y como No cabe duda de que el interés por agradar
se explica en el punto anterior, las personas y obtener la conformidad de otros (somos
no siempre respondemos a los mecanismos seres sociales) nos puede conducir en
de control, detección y castigo de una manera determinadas ocasiones al incumplimiento
estrictamente racional. del marco normativo establecido.
Los estudios en psicología demuestran que Las consideraciones morales: Cuando

los sesgos cognitivos y emocionales afectan adoptamos decisiones no solo tenemos
a nuestra toma de decisiones dentro de las en consideración incentivos externos
empresas, particularmente a nuestra propia (miedo a ser sancionado o identificación de
evaluación de los costes y beneficios que nos beneficios por incumplir), también recibimos
puede generar el incumplimiento de una norma. recompensas o motivaciones internas.
Esos mismos sesgos, además, influyen Solemos sentir satisfacción cuando hacemos
en la evaluación que hacemos de los lo que consideramos correcto y tenemos
controles que las empresas han puesto en sentimientos negativos (remordimiento,
marcha precisamente para minimizar dicho vergüenza, culpa, desasosiego, etc.) cuando
incumplimiento. hacemos algo que consideramos incorrecto.
Se entiende que los sesgos pueden afectar En definitiva, nuestros valores o principios
a, por ejemplo, nuestras preferencias morales también dirigen nuestra forma de
(preferencia por obtener algo ahora en lugar actuar. De ahí la importancia de cultivarlos a
de más tarde y, en consecuencia, percepción nivel organizativo y contribuir a la identidad
de un incremento de los beneficios obtenidos moral de la organización.
por un incumplimiento), o también a nuestro
El comportamiento humano en
proceso de adopción de decisiones.
Compliance
La presión de grupo: Una empresa es una
En relación al cumplimiento de normas y
comunidad de personas. En consecuencia,
estándares éticos, la experiencia demuestra
las potenciales decisiones que implican
que en grandes organizaciones conviven tres
el incumplimiento de una norma son
perfiles:
generalmente adoptadas por un grupo o por
individuos en un contexto grupal. 1. Las personas que difícilmente
incurrirán en una violación
Podemos decir, por tanto, que el contexto
consciente de las mismas;
social y la presión de grupo influye en nuestro
proceso de adopción de decisiones109. 2. Las susceptibles de hacerlo
dependiendo en gran medida
En definitiva, ser parte de un grupo puede
de las circunstancias;
cambiar nuestras creencias, nuestras
preferencias y nuestros comportamientos. 3. Las propensas a quebrantarlas,
normalmente guiadas por
109 Asch (1956) intereses personales.
La función de Compliance tratará de • La claridad: se refiere

consolidar y ampliar el grupo 1, evitando al grado en que la
las circunstancias que puedan condicionar organización establece
negativamente al grupo 2 y detectando abiertamente sus expectativas hacia los
y corrigiendo las conductas del grupo 3). directivos, gerentes y resto de empleados.
Mientras existan los grupos 2 y 3 será
Es importante que las organizaciones
especialmente difícil erradicar los riesgos de
no solo establezcan y comuniquen
incumplimiento.
valores, sino que deben impulsarlos de
Psicología social en el entorno de la manera que los empleados conozcan el
empresa comportamiento adecuado que se espera
de ellos. Esto puede hacerse, por ejemplo,
Es importante entender cuáles son las
a través de cursos de formación impartidos
motivaciones o factores que empujan a
de forma periódica, reconociendo logros
las personas honestas e inteligentes a
de empleados en este aspecto y dándolos
comportarse de manera poco ética o a cometer
a conocer, etc.
delitos dentro de su entorno profesional
ya que, cada vez con más frecuencia, nos Actualmente, los valores y principios
encontramos con situaciones en las que se que las empresas pretenden difundir
violan estándares éticos aparentemente sin entre sus empleados son, a menudo,
importancia que, en su conjunto, pueden difíciles de interpretar, y pueden tener
derivar en un grave problema como podría ser connotaciones e interpretaciones muy
la responsabilidad penal de la organización. personales (“integridad”, “sostenibilidad”,
“profesionalidad”, etc).
Los siete factores que influyen en el
comportamiento de los trabajadores son los La vaguedad e indeterminación
siguientes: intrínseca de esos conceptos facilita
su amplia aceptación, pero dificulta
su materialización debido a su
indeterminación. Por ello, deben tratar de
aclararse (ejemplos, casos prácticos) en
la medida de los posible para adecuar el
comportamiento de los empleados a las
finalidades de Compliance. Cuanto más
concreta sea la norma y su entendimiento,
más fácil será la estimulación cognitiva de
los empleados.
• El ejemplo: en las directivo de una empresa, podría tener

organizaciones, las repercusión mediática, acabar afectando
personas que forman a la reputación de la compañía e incluso
parte del órgano de gobierno o de la tener impacto económico (pérdida de
alta dirección son modelos a seguir, e clientes, caída de la cotización, etc).
influyen en el comportamiento de los
En resumen, un buen ejemplo fomenta
demás tanto dentro como fuera de la
un comportamiento ético; un mal
misma. Se espera de ellos que actúen
ejemplo, por desgracia, anima a un
como representantes de la organización,
comportamiento deshonesto.
y cuanto más alto se encuentran en
la jerarquía organizativa, mayor es el • Objetivos, tareas y
ejemplo que deben dar. responsabilidades
alcanzables: se refiere
Los líderes éticos tienen una guía moral;
a la libertad y a las oportunidades de
exploran su entorno, con una visión
las personas para tener en cuenta sus
extensa de lo que es el bien y el mal,
objetivos, funciones y responsabilidades.
trazan una línea clara entre lo que es y
También está relacionado con el poder
lo que no es admisible, estableciendo
que tiene la gente para cumplir con lo que
límites y elevando el listón tanto para
se espera de ella.
los demás trabajadores como para sí
mismos. La actitud y el comportamiento La gestión sirve para establecer las
de los directivos, en gran medida, metas de la organización, en cambio, el
determinan la ética y la integridad dentro liderazgo se encarga principalmente de
de las organizaciones. establecer los objetivos correctos. Por lo
tanto, los objetivos son esenciales tanto
Las personas situadas en la cumbre de
para la gestión como para el liderazgo;
la pirámide de una organización reciben
sin metas, los conceptos como “eficacia”
más atención, ya sea de los medios de
–progreso hacia un objetivo- y “eficiencia”
comunicación como de sus propios
–proporcionalidad del esfuerzo hacia la
trabajadores, y se espera de ellos que
meta- no tendrían sentido. Numerosos
tengan unos estándares morales más
estudios han demostrado que el
altos, de manera que, cualquier fallo
establecimiento de metas específicas
moral que cometan será más significativo
y medibles tiene un efecto positivo en
desde el punto de vista reputacional y
el esfuerzo, persistencia y logros de las
económico. Por ejemplo, si empleado
personas. El logro de los objetivos es
miente en su declaración de la renta, es
psicológicamente gratificante ya que
probable que pase desapercibido y no
mejora la autoestima y la satisfacción.
tenga impacto personal más allá de una
sanción de la administración tributaria.
Sin embargo, si el que lo hace es un alto
• El compromiso por parte salarios. Además, hace que los directivos

de todas las personas y gestores sean más abiertos acerca de
que forman parte de una sus puestos de trabajo, de los regalos que
compañía: El comportamiento deseable reciben y de las acciones que poseen.
en una organización no solo depende
El fomento de la transparencia es crucial
de la medida en que la gente sepa lo
para incrementar la percepción de la
que se espera (la claridad y el ejemplo)
probabilidad de ser atrapado y prevenir
y de la capacidad de adherirse a ella
las transgresiones.
(alcanzable), sino también en la medida
en que están motivados para cumplir con • Las discusiones francas,
las expectativas. abiertas: se refiere a la
libertad de las personas
El compromiso es la motivación para
que tienen al discutir opiniones,
invertir esfuerzos en interés de la
sentimientos, dilemas y transgresiones en
organización. Cuanto más respetuosa
el trabajo. Las organizaciones entran en
sea una organización en el trato a sus
“zonas peligrosas” cuando hay cuestiones
empleados, más se vean involucrados en
que no se pueden discutir por ser
la toma de decisiones y más se ofrezca
consideradas tabúes y son descartadas
en términos de identificación positiva con
como signo de debilidad, falta de
la empresa, más esfuerzo invertirán los
independencia e indecisión.
empleados.
La teoría de la comunicación demuestra

• La transparencia:
que las personas aprenden unas de
es la cualidad de una
otras a través de las discusiones que se
organización por la que
mantienen sobre temas controvertidos,
las personas son capaces de ver los
ya que se comprenden mejor y están más
efectos de su propio comportamiento, así
motivados para cumplir las expectativas
como el comportamiento de los demás.
y términos mutuamente acordados.
La transparencia hace que los ajustes
Las personas que se ven obligadas a
y las correcciones sean posibles ya que
considerar diferentes puntos de vista
aumenta la conciencia y el sentido de la
alcanzan un mayor compromiso.
responsabilidad entre los empleados,
clientes y terceros con los que se relaciona Es especialmente importante que los
la compañía. empleados estén abiertos a la discusión
de temas sensibles en los momentos en
La transparencia purifica y encauza el
que se toman las decisiones ya que un
ambiente. Por ello, las organizaciones
problema compartido es un problema
a menudo dan a conocer sus logros
dividido.
económicos y sociales, la composición
y origen de sus productos, e incluso los
• La ejecución: es la forma • Agotamiento o fatiga de Compliance

en que las personas dentro (Compliance fatigue): Término acuñado
de la organización son a consecuencia de la aprobación de la SOX
valoradas y recompensadas por exhibir del 2002, por la cantidad de procesos que
un comportamiento deseado o castigadas instaura para mejorar el control interno.
por realizar un comportamiento no
Estos nuevos procesos, que se unen a
deseado. Este factor sirve para aprender
los ya existentes para otras finalidades
de los errores, incidentes y accidentes
(optimización de procesos, calidad,
que ocurren dentro de la organización.
medio ambiente) sobrepasaron el
Con el fin de animar a los trabajadores umbral de lo que muchos empleados
y gerentes a hacer lo correcto, se debe consideraban razonable, pues el conjunto
recompensar por ello. Cuanto más visible de formalidades les impedía dedicarse
sea la recompensa por el comportamiento a las tareas para las que habían sido
ético dentro de una organización, más contratados y por las cuales se evaluaba
honestos serán los directivos y empleados. su desempeño.
La apreciación es importante, Estado de fatiga crónica, provocado

posiblemente el elemento más importante por la necesidad constante de
de la evaluación y recompensa. Cuando mantener el cumplimiento de una
las personas se sienten apreciadas, tienen creciente variedad de normas,
una mayor autoestima, sienten un vínculo reglamentos y procesos.
más fuerte con la organización y están más
En ocasiones, este síndrome lo provoca
motivadas para hacer un esfuerzo y crear
por la propia organización, cuando asigna
valor. El aprecio puede ser comunicado
a sus empleados nuevos cometidos de
con pequeños gestos: una observación,
Compliance o control interno, pero sin
un momento de atención, una sonrisa, un
facilitarles tiempo o recursos adicionales,
regalo o un mensaje de correo electrónico,
ni aligerar la carga de trabajo en otras
incluso un breve contacto físico puede ser
áreas. Además, a menudo se mantiene
eficaz.
la evaluación por las tareas que venían
Síndromes relacionados con realizando tradicionalmente, como
Compliance si nada hubiese cambiado. En estas
circunstancias, es comprensible que las
El cumplimiento de normas y estándares
personas perciban cualquier iniciativa de
éticos constituye un área muy propensa a
control, que consume su tiempo, como
generar síndromes con nombre propio. A
un lastre que impide la realización de las
continuación se describen algunos de ellos y
actividades que le permiten progresar
las causas que suelen motivarlos.
laboralmente, causándoles desgaste y,
por lo tanto, “fatiga”.
El síndrome se manifiesta de manera sencillos de cumplir y, sobre todo, que

muy visible, con reacciones adversas quienes se ven afectados por ellos
ante cualquier iniciativa para mejorar comprendan su finalidad.
procesos y controles que requiera la
• Compliance de boquilla: Se da
participación del personal. Constituyen
cuando personas de la organización
buenas prácticas unificar procesos y
son conscientes -o así lo afirman- de la
controles, evitar “picos” de reporte (que
importancia de las políticas o procesos
confluyan en el tiempo varios procesos
de cumplimiento, pero son incapaces de
de reporte) y diseñarlos con contenidos
esforzarse por adecuar su conducta a ello.
sencillos de interpretar y muy ceñidos a
También se da con personas hipócritas
la práctica de la organización. No hay que
y deshonestas, que conscientemente
obviar que los empleados solo aceptan
actúan de modo contrario al que
normas y procesos con los que realmente
defienden públicamente. Estos casos
se consideran conectados.
no exhiben una voluntad rebelde de
• “Formularismo” (box-ticking): Suele cumplimiento, sino todo lo contrario:
ser una consecuencia del “agotamiento exteriorizan comentarios alineados o
de Compliance”, aunque también puede neutros, pero actúan de manera distinta.
darse de forma independiente. Consiste
El Compliance de boquilla puede darse
en ejecutar los procesos definidos por
a muchos niveles de la organización,
la organización como un trámite o
siendo su manifestación más grave la
formalismo, pero sin detenerse en los
que afecta a la alta dirección, capaz de
contenidos que se están reportando.
impulsar Códigos éticos o de Conducta
El caso típico es el de completar una y de desarrollar, al mismo tiempo,
actividad como quien rellena un formulario comportamientos contrarios a su
(es decir, contestando o marcando contenido, en un ejercicio de hipocresía
aquellas respuestas u opciones que que invalida una supuesta actitud [ética]
garanticen no volver a ser interrogado). de la Dirección (“tone from the top”).
En definitiva, se trata de la identificación Es difícil erradicar el Compliance de

de las tareas y su ejecución como si boquilla cuando contamina a la cúpula
se tratasen de meros formalismos, sin directiva, siendo más fácil gestionar
atender a su verdadero propósito (ya sea episodios que afecten a mandos
de control, verificación, etc). intermedios o empleados, siempre que
se disponga del apoyo de la alta dirección.
Obviamente, cumplir procesos de
manera irreflexiva y con esta actitud, • Hipengiofobia: O miedo irracional a
los convierte en superfluos e inútiles o la responsabilidad. Es una fobia cuyo
incluso contraproducentes. Es importante origen puede deberse a una experiencia
esforzarse en que los procesos sean traumática pasada, cuando la adopción
de determinada decisión comportó miedo. Por este motivo, los estándares

consecuencias negativas. más modernos sobre Compliance ponen
énfasis en las acciones de formación
Las personas que sufren esta fobia
y concienciación como factores clave
experimentan un gran estrés cuando
para lograr una adecuada cultura de
se ven forzados a adoptar decisiones,
cumplimiento, que contribuya a adoptar
llegando a somatizarlo en náuseas y crisis
las decisiones correctas.
de ansiedad.
Igualmente, se observa la tendencia a
En el entorno de negocios del siglo XXI,
sustituir los entramados ininteligibles de
complejo y tendente a la aversión a los
políticas internas por textos sencillos y
riesgos, se ha empezado a constatar que
de fácil comprensión. No es más eficaz el
la hipengiofobia conduce a la esclerosis
modelo de con mayor número de políticas
de las organizaciones cuando cargos de
o más complejas, sino aquel capaz de
cierto nivel evitan adoptar decisiones por
transmitir y lograr que se asimilen sus
los riesgos que entrañan. De ahí que sea
mensajes clave.
coloquialmente conocida como “miedo a
decidir”. • La “teoría reaccionaria”: Desde que
nacemos imitamos lo que vemos a
La hipengiofobia afecta a todos y ataca el
nuestro alrededor, por desconocimiento o
corazón mismo de la iniciativa empresarial,
por hacernos la vida más fácil, de manera
que se asienta en la adopción continua de
que no siempre tenemos que pensar
decisiones con riesgos implícitos.
qué hacer en cada momento. Tenemos
Aunque es una materia muy poco una necesidad normativa que hace
estudiada, los pensadores más avanzados que pertenezcamos a un grupo, ya que
apuntan la importancia de que en todos aceptamos sus normas y las cumplimos.
los niveles de la organización se propicie

Por ello, las normas no pueden ser
un entorno razonable que favorezca la
asfixiantes ya que pueden crear la
toma de decisiones.
llamada “teoría reaccionaria” creada por el
La función de Compliance puede psicólogo Jack W. BREHM; una resistencia
contribuir a ello, ayudando a comprender contra las mismas por parte de los
el sentido de las normas en lugar de empleados en respuesta a una amenaza
remarcarlas, exhortar su cumplimiento y contra su libertad. Un ejemplo sería
castigar su vulneración. aquella norma que prohíbe navegar por

la red para uso personal del trabajador,
Cuando sus destinatarios interiorizan ya que puede producir una reacción que
el significado de las obligaciones de conducirá al mismo a no trabajar fuera de
Compliance, mejora notablemente su las horas laborales.
capacidad para adoptar decisiones sin
Es necesario, por lo tanto, encontrar trabajo, y que se enfrentan a una variedad

el equilibrio entre las normas y la de dilemas morales, (al igual que los
responsabilidad personal de los equipos de rescate, las fuerzas armadas
empleados. y los políticos) deben estar en alerta extra
ante el riesgo de tomar decisiones
La falta de sueño y la hipoglucemia:
morales más despacio y de manera
Dentro de una organización no faltan las
diferente de otras personas.
buenas intenciones como satisfacer los
deseos de los clientes, ofrecer buenas Lo mismo ocurre con los directores
condiciones de trabajo, hacer negocios y gerentes que trabajan largos días y
de manera honesta, lograr buenos descansan menos de lo recomendado.
resultados financieros y hacer un bien en Incluso las organizaciones enteras
la sociedad. pueden sufrir fatiga, por ejemplo, de
reorganizaciones frecuentes, y el proyecto
Todos estos objetivos están descritos en
y los cambios de personal. Esta fatiga se
el Código de Conducta de cada una de
produce a costa de la toma de decisiones
ellas constituyendo un punto de partida
éticas, ya que la toma de decisiones se
para el desarrollo de sus políticas. Pero
vuelve demasiado emocional e impulsiva,
como todos los buenos propósitos, es
e incluso demasiado racional y distante.
fácil decirlo, pero difícil llevarlo a cabo.
Esta teoría también se aplica a la falta
La implementación de las buenas
de alimentación, especialmente de la
intenciones a largo plazo no es solo una
glucosa. A menor nivel de glucosa, menor
cuestión de querer sino también de
autocontrol. Por ello, hay que evitar la
autocontrol y de disciplina para evitar la
hipoglucemia y asegurar un adecuado
desviación por impulsos o emociones.
descanso nocturno.
• El cansancio: Es una de las razones por
El perfil profesional del
la que los trabajadores tienen menos
responsable de Compliance
autocontrol, aumentan las posibilidades
de fraude, de engaño y de error. Según diferentes marcos de referencia
Además de la formación, el descanso es -tanto nacionales como internacionales-
importante, tanto para nuestra moral las obligaciones y responsabilidades que
como para nuestros músculos físicos. conforman el perfil del responsable de
Compliance (Compliance Officer) encuentran
La investigación realizada por el psicólogo
su razón de ser en la formación académica,
William D. KILLGORE y sus colegas muestra
en la experiencia práctica, en la posición
que la falta de sueño conduce a la toma
jerárquica, en el historial profesional, en las
de decisiones morales más lentamente.
competencias personales y profesionales,
Por lo tanto, las personas que y en la contratación coherente.
regularmente duermen poco debido a su
En primer lugar, el máximo responsable o enemistad con determinados cargos de la

de Compliance debe tener formación y organización pueden generar parcialidad en
conocimientos sobre el marco legal de su los responsables de Compliance y perjudicar
cometido y de los mecanismos de control su eficacia, entendida como la defensa
interno. En consecuencia, su formación de los valores por los que ha apostado
debe ser de tipo superior, relacionada con públicamente la organización.
su ámbito de cumplimiento y con formación
Siendo independientes e imparciales, los
adicional o experiencia en las restantes.
responsables de Compliance observarán una
En segundo lugar, debe tenerse en cuenta que conducta íntegra, en el sentido de actuar de
la función de Compliance es relevante para la manera ética y no desviarse de sus cometidos
organización y de su inadecuado desempeño a causa de beneficios personales. A tales
pueden derivarse daños económicos y efectos, es importante prestar atención a los
reputacionales. Por ello, es conveniente antecedentes de estas personas, dentro y
que el máximo responsable de Compliance fuera de la organización (empleos anteriores,
disponga de experiencia en el desarrollo por ejemplo).
de tal cometido, adquirida paulatinamente
La figura del responsable de Compliance
dentro de la propia organización o en puestos
es clave para influir en el modo de hacer
externos anteriores.
negocios de las organizaciones, siendo su
En tercer lugar, el responsable de Compliance deber el generar y consolidar una cultura
debe perseguir objetivos de independencia ética y de respeto a las leyes.
e imparcialidad. La independencia es
En cuanto a las competencias que se le
una situación de hecho, relacionada con la
exigen destacan, por un lado, la visión
cualidad de libertad de juicio. Por ello, el
estratégica del negocio y “sostenibilidad”,
responsable de Compliance no sólo no debe
ya que debe liderar y apoyar el logro de los
estar subordinado a personas u órganos que
objetivos estratégicos de la entidad y de sus
puedan verse afectados negativamente por
distintas líneas de negocio promoviendo la
sus acciones, sino que debería contar con
adaptación al cambio.
cualidades como capacidad de liderazgo,
autoridad y criterio propio, por lo que las En este sentido, otra cualidad propia
personalidades complacientes o sumisas de Compliance es la proactividad en la
no serían las más adecuadas para dicha os detección de riesgos. Un buen responsable
puestos. de Compliance no solo puede actuar de
“apagafuegos” y gestionar los riesgos a los
La imparcialidad (o neutralidad) se relaciona
que se enfrenta la entidad una vez que se
con un estado mental que permite actuar
han materializado, sino que debe anticipar
de forma ecuánime, sin estar afectado por
los riesgos y empezar a gestionar los “riesgos
el interés, simpatía o animadversión hacia
emergentes”.
algún colectivo. Lazos familiares, de amistad
Asimismo, se precisa que la persona

responsable de Compliance cuente con
aptitudes adecuadas de comunicación y
coordinación ya que, con frecuencia, se
mantiene diálogo directo con la alta dirección.
Igualmente, si lidera un equipo de Compliance
deberá tener competencias de liderazgo y
organización.
Y, por último, la contratación laboral o

mercantil con el responsable de Compliance
debe ser consistente con todo lo anterior. Estructura de líneas de defensa en una organización
Fuente: ENSEÑAT DE CARLOS, Sylvia. (2016). Manual del Compliance
Evidentemente, ello se traduce en un officer: guía práctica para los responsables de Compliance de habla
régimen económico acorde a la relevancia hispana.
y responsabilidades del cargo. La mayor

Inspirado en el concepto militar de defensa en
parte de estándares de Compliance exigen
profundad, se basa en la idea de que un sistema
tales recursos, debiendo evaluarse si la
es más eficiente si cuenta con una estructura
organización y sus administradores han
de varias líneas de defensa (dispuestas
observado una conducta razonable en este
secuencialmente, una tras otra, aun siendo de
sentido o, por el contrario, escatimado medios
una solidez media) que si dispone de una única
al no considerarlo un objetivo prioritario.
línea (aunque ésta sea mucho más resistente
4.3. Las tres líneas de defensa que cada una de las demás individualmente).
Para que un sistema de control funcione En cualquier sistema defensivo, de seguridad

de forma efectiva en una organización, o preventivo (seguridad física, ciberseguridad,
evitando lagunas o solapamientos, es operaciones militares, controles internos)
necesario que existan unas normas claras y se alcanza un punto en el que el coste
responsabilidades perfectamente definidas. (esfuerzo y recursos) para eliminar o reducir
vulnerabilidades excede el potencial beneficio,
Además de lo anterior, Compliance debe ser
o bien el coste es inasumible en relación a la
parte de la cultura de la organización y no
probabilidad de que la amenaza (riesgo) se
debe ser únicamente responsabilidad de los
materialice. Además, este coste suele ser muy
miembros de la unidad de Compliance, sino
superior al de disponer de varios sistemas,
de todos y cada uno de los empleados. Si no es
complementarios aunque imperfectos, pero
así, el entorno de control no podrá ser eficaz.
dispuestos de tal forma que las vulnerabilidades
Por ello, el sistema de control basado en tres de unos puedan ser mitigadas en gran medida
líneas de defensa (representado en el siguiente por el siguiente sistema o línea de defensa o, al
esquema) se configura como un modelo simple y menos, proporcionar información y alerta a un
efectivo, que ha sido adoptado como una buena nivel que pueda actuar a tiempo.
práctica por gran parte de las organizaciones.
También este concepto juega con la

existencia de diferentes estructuras (o incluso
proveedores) para eliminar otro tipo de riesgos
o dependencias.
Por último, contar con una única línea de

defensa significaría que una vez franqueada,
toda la organización estaría expuesta y sin
capacidad de reacción.
MODELO DE TRES LÍNEAS DE DEFENSA.

Tal y como se expresa en la introducción del
Fuente: The IIA’s Three Lines Model, An update of the Three Lines of
documento, existen numerosas funciones de Defense. Institute of Internal Auditors (IIA) (Julio 2020).
control en las empresas, tales como auditores

No obstante, hay que ser prudentes a la hora
internos, especialistas en gestión de riesgos,
de aplicar la actualización del modelo publicado
responsables de Compliance, inspectores de
por IIA en 2020, ya que se podrían vulnerar los
calidad, investigadores de fraude, expertos
principios fundamentales de independencia,
en seguridad, etc., cada uno de ellos con
autonomía y autoridad de la función de
una perspectiva propia y unas capacidades
Compliance.
específicas.
Consideramos más clara la versión del

Por ello, el reto consiste en asignar roles
específicos y en coordinar de forma efectiva y modelo de 2013, en el que las tres líneas y
eficiente a todas estas personas, de forma que sus respectivas funciones están claramente
no haya duplicidades ni áreas de control sin definidas. El modelo de 2013 se ha adoptado con
cubrir. Es, por tanto, necesario que se definan éxito por una gran parte de las organizaciones
claramente las funciones de forma que los a nivel internacional, por lo que se ha verificado
componentes de cada una de las áreas entiendan suficientemente en la práctica.
bien los límites de sus responsabilidades y
Por ello, haremos referencia al modelo de 2013
cómo encajan en la estructura de control del
y no al de 2020 cuando nos refiramos a las
riesgo global de la organización.
líneas de defensa de las organizaciones, ya
Este este modelo de control del riesgo fue que consideramos que está más alineado con
descrito en el documento The Three Lines of las características y principios que deben regir
Defense in Effective Risk Management and la función de Compliance.
Control, publicado por el Institute of Internal
Así, en el modelo de las tres líneas de defensa
Auditors (IIA) en enero de 2013110, y actualizado
tradicional nos encontramos con:
en julio de 2020. El nuevo modelo en vigor
se basa en el esquema que se reproduce a • Primera línea (Negocio): constituida por
continuación. las áreas responsables de llevar a cabo
las actividades propias de la empresa
110 The Three Lines of Defense in Effective Risk Management and
Control, (Altamonte Springs, FL: The Institute of Internal Auditors y las unidades operativas y que no
Inc, January 2013). Disponible en https://na.theiia.org/
forman parte de áreas de control. Son las sus funciones la supervisión y monitorización
funciones dueñas de los riesgos y las que de los controles que ejecutados por la primera
los gestionan. línea.
• Segunda línea (Control Interno): Las funciones de la segunda línea de defensa

formada por las áreas de control interno tienen cierto grado de independencia
que establece la dirección, entre las que respecto a la primera línea de defensa, pero
se incluye la función de Compliance. Son son por naturaleza funciones de gestión y,
las funciones que supervisan los riesgos. como tales, pueden intervenir directamente
• Tercera línea (Auditoría Interna): en el desarrollo o en la modificación de los
constituida por auditoría interna. sistemas de control interno.
Es la función que supervisa toda la
Por último, la tercera línea de defensa la
organización de forma independiente
componen los auditores internos, quienes
e informa directamente al órgano de
informan al órgano de administración y a la
administración.
alta dirección con unas garantías basadas en
De acuerdo con lo indicado en el documento los máximos niveles de independencia y de
de referencia, los componentes de la objetividad dentro de la organización. Los
primera línea de defensa son los “dueños” auditores internos aportan garantías sobre
de los riesgos y quienes deben gestionarlos, la efectividad de los sistemas de gobernanza,
implementando acciones correctoras para de gestión de riesgos y de control interno,
abordar las deficiencias que haya en controles que incluye la forma en la que las primera
y procesos. Son, por tanto, los responsables y segunda líneas alcanzan los objetivos de
de ejecutar los procedimientos de control de gestión del riesgo y de control.
riesgos en el día a día, debiendo identificar,
evaluar, controlar y mitigar los riesgos.
4.3.1. Órgano de administración y
alta dirección
La segunda línea de defensa está formada
por las funciones que establece la dirección Si bien ni el órgano de administración ni la alta
de la organización para ayudar a construir dirección se encuentran en ninguna de las
y/o monitorizar los controles de la primera tres líneas de defensa de este modelo, no hay
línea de defensa (o controles internos). duda de que son los responsables de fijar los
Normalmente esto incluye, al menos, a objetivos de la organización, de determinar las
una función de gestión de riesgos (junto estrategias para conseguir dichos objetivos y
con un comité, en su caso) y una función de establecer las estructuras de gobernanza
de Compliance, encargada de monitorizar y los procesos adecuados para gestionar los
determinados riesgos y que depende de la riesgos que surgen en la búsqueda de los
alta dirección o del órgano de administración. objetivos.
Compliance forma parte de la segunda línea Los miembros del órgano de administración
de defensa, por lo que tiene como parte de y de la dirección ejecutiva son los últimos
responsables de los riesgos y quienes deben a establecer claramente con el tiempo la

asegurarse de que existen procedimientos separación de las tres líneas.
bien documentados que definan las áreas,
Sin perjuicio de cómo sea la forma de
los departamentos y las personas que deben
implantación del modelo en la organización,
llevar a la práctica y ejecutar de forma efectiva
la alta dirección y los órganos de gobierno
los controles.
deberán comunicar claramente la
4.3.2. Coordinación de las tres necesidad de que han de estar informados
líneas de cómo se lleva a cabo la coordinación entre
los grupos responsables de la gestión de
Siguiendo al citado documento The
riesgos en ella.
Three Lines of Defense in Effective Risk
Management and Control, podemos decir 4.3.3. Auditores externos,
que no existe una manera única de llevar reguladores y supervisores
a cabo la coordinación de las tres líneas de
Fuera del perímetro de la organización, y
defensa, ya que cada organización tiene unas
por tanto no enmarcados en las tres líneas
características concretas.
de defensa, se encuentran los auditores
La gestión de riesgos es normalmente más externos, los supervisores y los reguladores.
fuerte cuanto más separadas y definidas se
Todos ellos pueden tener un papel importante
encuentren las tres líneas. Sin embargo, en
en la estructura de control de la organización,
determinadas ocasiones, y especialmente
especialmente en el caso de empresas de
en pequeñas organizaciones, los límites
sectores fuertemente regulados, como el
de algunas líneas pueden difuminarse o
financiero, asegurador o farmacéutico.
solaparse.
En ocasiones, los reguladores establecen

Así sucede, por ejemplo, en el caso de que
requerimientos para fortalecer los controles
la tercera línea (auditores internos) tenga
internos de la organización. A veces, pueden
atribuido el establecimiento y gestión
requerir el establecimiento de una función
del control de riesgos, o actividades de
objetiva e independiente para llevar a cabo
Compliance. Si así fuera, auditoría interna
las funciones, completas o parciales, de
deberá comunicar de modo claro al consejo
cualquiera de las tres líneas de defensa,
de administración y/o alta dirección el
según determinen.
impacto de dicha interrelación.
Cuando la coordinación es realmente

En otros supuestos, como en el caso de
efectiva, los auditores externos, reguladores,
que una persona o departamento de la
supervisores pueden ser considerados como
organización asuma varias responsabilidades
líneas de defensa adicionales, aportando
(ejercer funciones de dos o más líneas en
garantías a los accionistas, al órgano de
este modelo), se consideraría oportuno
gobierno y a la alta dirección.
una separación de funciones para llegar
Ejemplos de buenas prácticas en las 4.4. Plan anual de Compliance

organizaciones:
La planificación y organización son elementos
Establecer una estructura basada en las tres
fundamentales en el desarrollo de la función
líneas de defensa, con una coordinación
de Compliance. Es por ello por lo que su
apropiada que asegure eficiencia y eficacia.
responsable debe fijar unos objetivos anuales
Disponer de información documentada sobre que den garantía a las labores de supervisión
la estructura de control de la organización, que tiene como segunda línea de defensa.
indicando las áreas y departamentos
involucrados y los roles de cada uno. Dependiendo de la madurez de la función, los
objetivos anuales pueden ser más extensos,
Tener contratos laborales con la descripción pero con elementos comunes que se deben
de las responsabilidades que asumen
tener en cuenta. Estos son la identificación y
los responsables de las áreas de control
análisis de riesgos, incluyendo la evaluación
y, particularmente, las del responsable de
y respuesta a los mismos, monitorización,
Compliance.
formación interna e informes (a escalones
Disponer de definiciones de puestos de superiores).
trabajo de las personas que ejercen funciones
de control, en las que claramente se definan las Las empresas deben reflexionar sobre el
responsabilidades y funciones de cada uno. propósito del programa de Compliance
establecido y el plan anual que lo desarrolla.
Tener políticas y procedimientos en los
El propósito debe ser identificar y hacer
que se definan las personas y órganos que
seguimiento de manera ordenada todos
tienen atribuciones para tomar decisiones
los hitos establecidos por la unidad o
en nombre de la organización, detallando lo
más posible el alcance y la extensión de dichas departamento de Compliance como parte de
atribuciones. su función de control interno.
Disponer de términos de referencia de La dirección debe demostrar el liderazgo

todos los órganos y comités que existen en y compromiso en el CMS, de manera que
la organización, indicando su composición, deberán aprobar el plan establecido y
frecuencia de reuniones, funciones, forma asegurarse que se vaya cumpliendo a lo largo
de toma de decisiones, capacidad ejecutiva o del año.
simplemente consultiva, etcétera.
Insistimos de nuevo, como un principio de
Asegurar que las áreas que operan en las tres
buen gobierno y por pura lógica, que para
líneas de defensa comparten conocimientos e
poder garantizar que el plan establecido
información para ayudar a que todos cumplan
mejor su función y lo hagan de una forma es proporcionado y que cubre todos los
eficiente. elementos esenciales, el responsable de
Compliance debe disponer de los recursos
humanos y técnicos suficientes que
permitan que se realice el control para la
prevención de los riesgos de manera efectiva.
Una vez más, es un ejemplo de la importancia Compliance a lo largo del ejercicio111”

que tiene el órgano de Dirección a la hora
de prevenir la responsabilidad penal de la Una planificación adecuada y documentada es
persona jurídica, y de implementar una serie esencial, entre otras razones, para:
de buenas prácticas dentro de la empresa. • Permitir que la alta dirección conozca, apruebe
y se responsabilice de las prioridades
La función de Compliance no es ni debe ser una establecidas por el responsable de Compliance.
función aislada en las empresas. Es una función • Realizar una asignación de recursos eficaz y
que de manera independiente se integra en el enfocada a abordar los aspectos que conlleven
negocio para garantizar que todo lo que sucede un mayor riesgo.
en la empresa tiene el debido control. • Asignar las tareas a las personas concretas
que se van a responsabilizar de su ejecución.
• Realizar el seguimiento de que las tareas
La planificación realizada con un enfoque
planificadas se ejecutan correctamente.
basado en el riesgo es importante para:
• Analizar los riesgos de forma sistemática y
ordenada. El Plan Anual de Compliance y, en general,
• Identificar correctamente las prioridades. toda la actividad de Compliance debe estar
• Asignar los recursos existentes de forma eficaz. basada en el riesgo, centrándose en aquellos
• Identificar y asignar responsables en las de mayor probabilidad e impacto.
distintas áreas de negocio.
• Fomentar la participación y aceptación de los 4.4.1. Proceso de elaboración del
riesgos por parte del personal. Plan Anual de Compliance
• Fomentar la coordinación entre los distintos
Para elaborar el Plan Anual de Compliance,
departamentos implicados en un mismo riesgo.
intentando lograr el mayor aprovechamiento
de los recursos que poseen las empresas de
Por otro lado, no se debe confundir
una manera correcta, rápida y eficaz, se puede
independencia con el aislamiento; cuando
seguir el proceso que se resume en el siguiente
así sucede, se compromete la efectividad del
esquema:
programa de Compliance, y los objetivos del
plan anual se pueden ver afectados.
La monitorización es un punto esencial

dentro del plan anual. Para realizarla de
manera efectiva debe existir un conocimiento
exhaustivo de la actividad dentro de la
empresa, y una gran interacción con las
distintas áreas del negocio.
El Plan anual de Compliance “es un documento Fases del proceso de elaboración del plan anual
Fuente: Elaboración propia
estructurado en el que se describen con detalle
las tareas que va a realizar el [responsable de] 111 Enseñat de Carlos, S. Manual del Compliance Officer. (2016).
Planificación Este es un proceso que conviene realizar por

escrito, de manera que quede documentado.
Es “el proceso de seleccionar información y hacer
suposiciones respecto al futuro para formular La identificación de los objetivos generales,
las actividades necesarias para realizar los así como la estrategia para poder cumplirlos
objetivos organizacionales “ 112
son aspectos que se analizarán en esta fase.
En la planificación, deben tenerse en cuenta
En esta fase que probablemente es la
elementos como: recursos con los que cuenta
más importante del proceso, es donde se
la función de Compliance, herramientas de
establecen los objetivos y metas y también se
ayuda, apoyo externo…etc.
analizará la mejor manera de llevarlos a cabo.
Es importante medir las capacidades para
Los planes se clasifican inicialmente de
garantizar que el objetivo establecido es
acuerdo con los criterios siguientes113:
factible, y así evitar objetivos inalcanzables.
duración, función o uso, amplitud y alcance.
Organización
En cuanto a su contenido, la mayoría de ellos
incluyen objetivos, políticas, procedimientos, La organización es la forma coordinada
reglas y presupuestos . 114
de trabajar. En esta fase se identifica a los
responsables de cada tarea y se establece
La planificación se centra en a dónde
cómo se divide el trabajo.
queremos llegar, es decir, en el caso de
Compliance, las actividades que habría que Dentro de un plan de Compliance nos
realizar durante el año para la consecución
encontraremos con distintos aspectos que
de los resultados deseados de manera que
requieren que distintas capacidades para
estaríamos ante un plan a corto plazo.
llevarlo a cabo.
La planificación se realiza de manera más

En el caso de funciones unipersonales, será
efectiva siguiendo una sucesión lógica115:
la misma persona la encargada de todas las
• Definir el objetivo. fases y de su ejecución.
• Establecer premisas y restricciones.
En el caso de departamentos dotados de
• Analizar la información. cierta estructura, cada empleado tendrá una
• Desarrollar planes alternativos. o varias funciones según su puesto de trabajo
y perfil y, por lo tanto, darle un responsable a
• Elegir el mejor plan.
cada área será un elemento a tener en cuenta
• Desarrollar planes derivados. en esta fase.
• Atender a la ejecución.
Existen tres circunstancias que justifican la
112 Terry (1987) importancia de la fase de organización:
113 Henry Sisk citado por Eckles (1982)
114 Gorostegui (1989)
115 Eckles et al (1982)
• Por ser el elemento final del aspecto Control

teórico, la organización recoge,
complementa y lleva hasta sus últimos Última fase de proceso de administración.
detalles todo lo que se ha recogido en la Sus subfases componentes suelen ser:
fase de planificación.
• Su importancia es tal que, en ocasiones,

hace perder de vista a muchos autores que
no es sino una parte de la administración,
dando lugar a que la contrapongan a ésta
última, como si la primera representara lo
teórico y científico, y la segunda lo práctico
y empírico.
• Construye el punto de enlace entre los

aspectos teóricos y los aspectos prácticos
(lo que debe ser y lo que es).
• Establecer estándares. En esta fase
Dirección inicial se afinan y definen los parámetros
de medición o evaluación, sin los cuales
Es la tercera fase dentro del proceso de
sería imposible saber qué tan bien o mal
administración.
sale el producto. Esto implica cuatro tipos
Es probablemente la fase más dinámica de estándares: de cantidad (volumen de
del proceso, ya que requiere de acciones producción, cantidad de existencias, etc.),
concretas. de calidad (exactitud, logro del producto),
de tiempo (tiempos de producción) y
Se habrá de designar un responsable de la de costos (costo de ventas, costos de
consecución de los objetivos establecidos producción, etc.).
y planificados, y realizar una evaluación de
periódica sobre el grado de consecución de • Evaluación del desempeño. La medición
los objetivos con respecto a la planificación propiamente dicha de los procesos
inicial. organizacionales.
La dirección determinará que todas personas • Comparación de desempeño. Se cotejan

involucradas en la consecución del plan los márgenes esperados del desempeño
logren sus objetivos. Para ello, deberá con aquellos obtenidos, se los compara
desarrollar una buena coordinación y contar con los estándares iniciales para
con una gran empatía con todas las personas determinar el margen de éxito u error.
de la organización. • Acción correctiva. Se elabora un informe
que registre todo lo anterior y se arrojan
las acciones necesarias para mejorar o personal, plan de monitorización a realizar

perfeccionar el proceso, como determinar durante el ejercicio, aprobación de nuevas
a qué altura de la estructura empresarial políticas y procedimientos y revisiones de los
están los problemas y cuáles son sus existentes.
posibles soluciones.
El plan incluirá también el análisis de los
Existen los siguientes tipos de control recursos disponibles para la ejecución de
administrativo: las tareas descritas. En caso de que haya
insuficiencia de recursos (humanos, técnicos,
• Control previo o pre-control. Al ser
organizativos, informáticos) para poder
previos a la acción, aseguran que ésta
cubrir las necesidades que el responsable
responda a los recursos (humanos,
de Compliance considera imprescindibles, se
materiales y financieros) planificados.
deberá indicar este hecho en el plan anual,
• Control directivo o de dirección, supervisan con objeto de que se puedan adoptar las
el recorrido de los procesos organizacionales medidas necesarias para su subsanación.
antes de que acaben, para tener tiempo de
tomar medidas o forzar un cambio de ruta. Como hemos mencionado, el plan se tendrá
Estos controles sólo dan resultado si se que realizar de manera proporcionada tanto
posee una retroalimentación adecuada. a la estructura de la empresa como a la

madurez de la función de Compliance.
• Control a corriente. Este control se lleva
a cabo a lo largo del proceso empresarial, Sin embargo, no hay que olvidar la importancia
es decir, a la par que están transcurriendo. del debido control interno que se concreta en
la “vigilancia” interna con la finalidad que no
• Control posterior. Se llevan a cabo una
se produzca ninguna actividad criminal en su
vez finalizada la acción productiva y se dan
seno que pudiera dar lugar a responsabilidad
de manera retrospectiva, evaluando todo
penal de la persona jurídica, o a la comisión
el recorrido y extrayendo las conclusiones
de delitos que no siento susceptibles de
pertinentes de lo que salió bien y lo que
responsabilidad penal pudieran resultar en
no tanto. Luego se recoge un informe
detrimento de la organización.
que sirve para futuras gestiones y para
recompensar o alentar a los trabajadores.
Contenido del Plan Anual de Compliance
4.4.2. Contenido del Plan Anual de (listado orientativo no exhaustivo)
Compliance. • Análisis y planificación del equipo de

Compliance;
El contenido del Plan Anual de Compliance
• Sistemas de análisis, prevención, detección,
incluirá el detalle de las actividades
monitorización, reacción;
planificadas para el ejercicio, tales como:
• Estructura normativa interna;
evaluaciónderiesgos(parafijarlasprioridades),
participación de Compliance en comités y • Análisis regulatorios;
órganos de control, plan de formación del • Gestión de riesgos;
• Plan de monitorización (que incluya todas las contenido de este plan. Esto determinará
áreas de la organización); la involucración que tendrán durante todo
• Revisiones temáticas específicas (de las áreas el año en la consecución de objetivos. Será
que mayor riesgo tengan asociado); una tarea sustancial el asegurar que, en
la presentación del plan, se describen de
• Plan de formación;
manera clara y concisa tanto los objetivos
• Debida diligencia y seguimiento de socios de como lo que se espera de ellos.
negocio.
Será interesante asimismo que comprendan
el alcance de los objetivos y de qué manera
Cada uno de ellos debe estar definido, con un
se va a interactuar con las distintas áreas de
objetivo realista y correctamente especificado
negocio y que aporten todas aquellas ideas o
de manera que la persona responsable tenga
inquietudes que puedan tener con respecto
mucha claridad sobre lo que se espera en
al plan presentado. Esto determinará el nivel
cada uno de ellos.
de compromiso con el plan aprobado.
Todos ellos de manera conjunta tratan de dar
El plan puede modificarse a lo largo del
efectividad al programa de Compliance que se
ejercicio por diversas causas (restricción
haya establecido, y por lo tanto deberían ser
de recursos, incidencias surgidas que no
un indicador en el caso de que por ejemplo
estaban previstas, auditorías o inspecciones
en el proceso de monitorización se descubra
de los supervisores, aprobación de nuevas
que existen incumplimientos por parte de
leyes, etc.).
algunas unidades de negocio.
No obstante, cualquier modificación del plan

4.4.3. Revisión del Plan Anual de
(o, al menos, cuando exceda de ciertos límites
Compliance
o tolerancias previamente determinadas, si
El plan anual no es un documento que se se establecieran) debe ser aprobada por el
confecciona para uso interno de la unidad de mismo órgano encargado de aprobar el plan,
Compliance o del responsable de Compliance. es decir, la alta dirección.
Es un documento que ha de ser conocido y
Periódicamente el responsable de Compliance
aprobado por la Dirección.
informará a la alta dirección de la evolución
Habitualmente se aprobará en el último del plan anual y de las incidencias surgidas
comité de Compliance que se celebre en el durante su ejecución.
año y se debería entender en conjunto con
la memoria anual. El plan y su consecución
es responsabilidad tanto del responsable de
Compliance como de la Dirección.
Es necesario enfatizar que la Dirección debe

entender y conocer exhaustivamente el
4.5. Información y reporte A la hora de requerir la información a las

distintas áreas de negocio para confeccionar
4.5.1. Información de Compliance a estos informes, será mucho más eficiente si
la alta dirección pueden vincularse a políticas y procedimientos
bajo su control (como primera línea de
Un aspecto importante de la labor del
defensa).
responsable de Compliance es la supervisión
y control. Un informe puede confeccionarse en distintos
formatos. El responsable de Compliance
Para ejecutar esta tarea, dentro de la política de
debe determinar cuál es la mejor manera
Compliance se establecerá de qué manera la
de presentarlos para que la información se
función de Compliance se comunicará con los
refleje de forma clara y se destaquen aquellos
órganos de dirección, y con qué periodicidad.
puntos de mayor relevancia o requieran una
En el caso de organizaciones multinacionales, mayor atención por parte de la Dirección.
además del conjunto de informes locales a la
Puede resultar que se detecten incidentes
Dirección, existirá un informe de Grupo.
mayores de los sospechados en las revisiones
Dicho informe tendrá como finalidad previas al informe y que conlleven una
asegurar que en todas las filiales del Grupo modificación de los procedimientos existentes
se mantienen las buenas prácticas y el e incluso de los controles establecidos.
cumplimiento interno, así como posibilitar

En ocasiones, cuando no se ha realizado una
otros aspectos (comparativas de desempeño
revisión profunda de los procedimientos, el
o progreso en la implantación de nuevas
responsable de Compliance se encuentra
medidas, por ejemplo).
con que no existe un control determinado
y concordante con la documentación y o
Denominamos informe (o reporte) a un
explicaciones aportadas en este tipo de
conjunto estructurado de información
revisiones.
que tiene como objetivo servir de análisis
ante un tema determinado. Por lo tanto, En estos casos, resulta inevitable elevar este
cuando presentamos la información de hecho para que la dirección sea consciente de
manera estructurada en cualquier contexto, que el modelo debe cambiarse. Es este caso,
debería tener la denominación o categoría de no sólo estaríamos produciendo un informe,
informe. sino que estaríamos ante una elevación
(escalado) de un riesgo que debe conocido
De igual manera que tendremos un marco
por la dirección e, incluso, acompañado de
normativo interno estructurado, basado en
una propuesta de control compartida por el
políticas, procedimientos e instrucciones
área de negocio y Compliance.
de trabajo, tendremos los informes que
analizaran el nivel de cumplimiento de Las directrices ESMA establecen que los
estos y dan a conocerlo al órgano u órganos informes escritos de Compliance deben
correspondientes. constar, como mínimo, de estos epígrafes:
Este concepto obliga a que los

administradores desarrollen las funciones
inherentes a su cargo, organicen la
actividad del órgano de gobierno,
establezcan un sistema de control,
nombren a los directivos más adecuados
al cargo y soliciten asesoramiento cuando
la situación lo requiera, entre otros.
“los [informes] de Compliance devienen
una pieza clave para movilizar a los Asimismo, este deber se refiere a la
órganos de la entidad que disponen de las obligación de actuar de conformidad con
capacidades jurídicas y fácticas para actuar. las leyes aplicables y con los estatutos
Estas herramientas permiten señalar, entre sociales y, en su caso, el código de
otras cosas, las deficiencias en materia conducta interno.
de Compliance y sugerir las acciones para
corregirlas116” • Deber de información: El administrador
debe hacer todo aquello que le sea posible
La razón de ser de los informes deriva para disponer de toda la información
fundamentalmente de la obligación que tienen relevante para emitir un juicio informado,
los administradores de estar informados debiendo contar con una justificación de
adecuadamente para la toma de decisiones sus decisiones.
(informadas). En este caso, las cuestiones del
ámbito de Compliance son relevantes para • Deber de supervisión: Los
esa toma de decisiones, debido a los riesgos administradores deben ejercer una labor
asociados a este ámbito. de supervisión y control razonables sobre
las políticas y actividades de la sociedad,
Algunos de los deberes principales que deben
así como sobre las personas en las
guiar la actuación de los administradores
cuales han delegado sus facultades (por
son: el deber de diligencia, el deber de
ejemplo, el consejero delegado). Por ello,
información, el deber de supervisión de la
el exceso de confianza en los directores o
organización y el deber de investigación.
las personas en las que han delegado sus
• Deber de diligencia: Se refiere a la facultades puede considerarse como una
obligación de los administradores de actuación negligente cuando no existe
desempeñar el cargo y cumplir los deberes supervisión sobre los actos de los mismos.
impuestos por las leyes y los estatutos con
De igual forma, el administrador que, por
la diligencia de un “ordenado empresario”.
ejemplo, imprudente o intencionadamente
Este concepto jurídico abstracto hace
descuida la obligación de supervisar la
referencia a actuar según una pauta de
marcha del funcionamiento de la sociedad
conducta y un cuidado razonable.
incumple su obligación de actuar con
116 Alain CASANOVAS. cuidado razonable.
• Deber de investigación: Estrechamente En estos casos serán informes específicos

relacionado con el deber de informarse organizados, de manera que se
y consistente en que los administradores establecerá un cronograma para las
deben investigar activamente con el fin de distintas fases de la revisión que dará
gestionar convenientemente el negocio de lugar al informe específico y las temáticas
la sociedad (por ejemplo, un administrador seleccionadas para los mismos.
puede requerir asesores para ciertas
materias contables, financieras, etc.).
Por todo lo anterior, Compliance debe

realizar informes periódicos y específicos,
configurándose ambos como elementos de
control, de manera estructurada y con fines
concretos.
Informes específicos
Se entiende por informes específicos

aquellos que “evalúan los controles en un
momento concreto o a lo largo de un periodo
de tiempo específico” y “que pueden utilizar
todas las técnicas usadas en la monitorización Habrá una primera fase de auditoría
continua, pero se realizan de forma menos en la que se analizarán a través de una
frecuente y a menudo se basan en una muestra muestra los aspectos más importantes
de casos en los que operan controles117”. del proceso según la documentación que
lo regula.
Por tanto, se trata de una monitorización
concreta de un área o tema en particular y Seguidamente se analizarán todos los
podría ser en respuesta a un riesgo actual o aspectos que se hayan evaluado, así como
emergente. las incidencias detectadas en el curso del
proceso analizado.
Este tipo de informes pueden surgir por
varios motivos: Finalmente se realizará un informe
• Informes específicos planificados: con recomendaciones, que serán
Identificación, en el plan anual, de áreas compartidas tanto con el área que haya
determinadas de mayor riesgo y que sido auditada como con la dirección de la
requieran de informes específicos que compañía.
profundicen en los aspectos operativos y

Este proceso se tiene que realizar de
los controles que se hayan establecido.
manera exhaustiva, ya que es crítico
117 Guidante on Monitoring Internal Control Systems (Committee of

determinar si nos encontramos con
Sponsoring Organizations of the Treadway Commission Coso)
January 2019
incumplimientos que puedan conllevar
responsabilidad para la organización, es Contenido de Informes Periódicos de

por ello, que los plazos de cada fase tienen Compliance a la Alta Dirección y Órgano de
que ser realistas con la exhaustividad del Gobierno (ejemplo orientativo)
ejercicio. • Nuevas normativas: principales novedades

normativas publicadas en el período,
• Informes específicos urgentes: Son previsión de nuevas normativas, estado
aquellos que surgen como reacción a de implementación de las normativas que
eventos de riesgos. impactan en la organización.
• Políticas y procedimientos internos: nuevas

En el momento en el que se detecta
políticas y procedimientos publicados en
un evento de riesgo alto, aunque sea
el período, actualización de los existentes,
inicialmente emergente, la función de incidencias acontecidas con las políticas
Compliance debe iniciar un informe sobre internas.
lo acaecido.
• Formación: cursos realizados en el período,
En éste, se debe determinar el alcance y el universo de personas que han sido formadas,
acciones de concienciación y sensibilización
impacto de lo sucedido, y siempre en estos
realizadas, incidencias producidas, etc.
casos se debe producir la elevación a la
Dirección en el momento en el que se haya • Supervisores: contactos mantenidos con
los organismos supervisores en el período,
realizado por completo la investigación y
compromisos adquiridos, estado de
se Hay que tener en cuenta en este tipo
implementación de los compromisos.
de informes el principio de prudencia y
de proporcionalidad. Es decir, hay que • Monitorización: revisiones realizadas en el
período, deficiencias encontradas, medidas de
recabar siempre todos los detalles antes
remediación propuestas.
de alertar del riesgo con objeto de tomar
las decisiones con información fundada. • Medidas correctoras: estado de
implementación de las medidas de
A su vez, el principio de proporcionalidad remediación de revisiones anteriores,
es importante ya que el evento de riesgo informe sobre su evolución, incidencias
que provoca el informe se tiene que surgidas en la implementación de las medidas

correctoras pendientes de completar, acciones
medir con respecto a la actividad de la
comprometidas no realizadas.
organización.
• Resultados obtenidos en las mediciones
Informes periódicos realizadas de los indicadores de riesgo (KRI) y
de desempeño (KPI).
Los informes periódicos son aquellos que se
• Reclamaciones recibidas: número, tipo de
programan con antelación y se acuerdan en
reclamaciones, objeto de las reclamaciones,
base a los riesgos principales que tengan las
análisis de sus causas raíz.
organizaciones.
• Canal de denuncias: denuncias recibidas,
investigaciones realizadas, conclusiones
obtenidas, resoluciones adoptadas.
La periodicidad de los informes se establecerá 4.5.2. La información documentada

de forma proporcional y adecuada al tamaño
y a la forma de operar de la empresa (por La información documentada es un concepto
ejemplo, informes semanales o quincenales deliberadamente amplio que suele utilizarse
en empresas de un tamaño significativo, o en los estándares sobre modelos de gestión
informes mensuales o trimestrales en el caso y que engloba las evidencias de su propia
de empresas de menor tamaño). existencia y eficacia.
No solo facilita su gestión ordenada, sino

Los informes periódicos podrán tener un
que también permite que un tercero
contenido y un formato estándar en la
independiente constate su realidad e incluso
organización, incluyendo todos los datos
emita una opinión profesional sobre el
necesarios para que los miembros de la alta
mismo.
dirección puedan tomar decisiones bien
fundadas. En este aspecto, disponer de un buen sustrato
de información documentada permite emitir,
Participación de Compliance en
por ejemplo, un certificado de conformidad o
comités y órganos de control
una opinión de aseguramiento.
Otra de las formas en las que el responsable
La Australian Standard 3806-2006 sobre
de Compliance puede informar a la alta
Compliance Programs, en su Principio nº 11
dirección es a través de su participación en
se pronuncia acerca de la monitorización
los comités internos y órganos de control que
y medición de la eficiencia de dichos
existan en la organización o, incluso, siendo
programas: “la Organización debe ser capaz
miembro de éstos (del Comité de Dirección,
de demostrar su programa de Compliance
por ejemplo).
a través de la documentación y de la
La incorporación de un punto fijo en los práctica”.
órdenes del día de las reuniones de dichos

Dada su importancia, los sistemas de gestión
órganos, en el que el responsable de
basados en la estructura de alto nivel de
Compliance informe sobre las principales
ISO/IEC (High Level Structure –HLS-)118 llegan
cuestiones en el ámbito de su competencia,
incluso a señalar qué tipo de documentos o
es una buena forma para que los miembros
evidencias forman necesariamente parte de
de la alta dirección reciban la información
la información documentada a mantener.
-y quede constancia de ello- de una forma
Por tanto, esta documentación no solo debe
sistemática y reglada, que puedan a su vez
estar a disposición de la organización, sino
preguntar cualquier duda que puedan tener
también de terceros evaluadores del modelo.
y que reciban las respuestas, comentarios y
opiniones directamente del responsable de
Compliance.
118 Tanto la ISO 9001 (Sist. de Gestión de la Calidad) como la ISO
14001 (Sist. de Gestión Ambiental) establecen – punto 7.5- la
creación, actualización y control de la información documentada.
Las normas de auditoría, por ejemplo, b. Desarrollo del Modelo: El desarrollo

precisan que el auditor desarrolle su labor del modelo de Compliance dará lugar
con escepticismo profesional (es el caso, a estructuras organizativas y políticas
por ejemplo, de la Norma Internacional documentadas. La aplicación consistente
de Auditoría NIA 200), cuestionándose de estas últimas se degrada rápidamente
las evidencias que observa, a menos que cuando no se documentan.
sean completamente persuasivas. Desde
c. Documentación de la ejecución: La
esta perspectiva, existe el aforismo de que
actividad de las estructuras organizativas
“control no documentado equivale a control
y la ejecución de las políticas relacionadas
inexistente”.
con Compliance deberían dejar traza, en
Por ello, un revisor independiente ignorará forma de muy variados documentos: la
las circunstancias etéreas como la aparente propia valoración de riesgos en materia de
profesionalidad u honradez del equipo cumplimiento, los informes de Compliance
directivo o de quienes encarnan la función de y monitorización, etc. Tan importante
Compliance si no evidencian su actividad. es documentar el motivo por el cual se
adoptan determinadas decisiones como
Puesto que son muchos los perfiles de el motivo por el cual no se actúa.
organizaciones que pueden dotarse de
un modelo de Compliance, los estándares d. Documentación colateral: Existen otras
internacionales genéricos no suelen imponer evidencias documentales que corroboran

la aplicación de los principios que se
estructuras de archivo de la información
están tratando, aún sin ser documentos
documentada, de modo que puedan
específicos de Compliance:
adoptarse aquellos criterios que mejor se
adapten a su individualidad. No obstante, en • los comunicados de la alta dirección
ocasiones, se recogen algunas sugerencias manifestando su compromiso con los
para facilitar la localización de su contenido, objetivos de Compliance;
conservación por motivo de materias o
• los documentos organizativos que
tipología, cronología, etcétera.
legitiman y respaldan la función de
Las materias a documentar en cualquier Compliance;
modelo de gestión de cumplimiento son las
• las actas de órganos sociales y
siguientes (ya explicadas con anterioridad): comités donde queda constancia de
la intervención/opinión del área de
a. Diseño esencial del Modelo: El CMS
Compliance;
puede describirse en un documento
que, según su nivel de detalle, será una • los documentos de evaluación del
referencia acerca de su diseño general, desempeño del personal que también
o realmente detallará cada uno de sus contemplan positiva o negativamente
componentes con voluntad de constituirse su sensibilidad en materias de
en el pilar del modelo. Compliance, etcétera.
Un tercero independiente que vaya a evaluar • El lugar y fecha de celebración de la

el Modelo de Compliance de forma crítica, sesión que se documenta.
comenzará por solicitar evidencia documental
• Asistentes a la reunión e intervenciones
no solo de su existencia, sino también de su
puntuales de terceros consideradas
aplicación práctica.
en la deliberación. Se pueden adjuntar
Como se ha apuntado con anterioridad, informes o documentos elaborados o
existen tres niveles de análisis119 del facilitados tanto por miembros del órgano
control interno del modelo de Compliance como por terceros.
que, según principios de cumplimiento
• Asuntos tratados, incluyendo
generalmente aceptados - como el estándar
descripción de los mismos, las acciones a
IDW AssS 980 -, son:
impulsar, así como los órganos a los que
• La evaluación del diseño. informar o elevar la cuestión. Se puede
adjuntar el plan de acción como anexo del
• La evaluación tanto del diseño como de la
documento.
implementación.
• Fecha y firma (y, en su caso, evidencia
• Análisis y validación del diseño,
digital) de elaboración del documento.
implementación y efectividad.
• Fecha y firma (y, en su caso, evidencia
Por otro lado, es positivo que figuren las digital) de la recepción del documento,
propias actas del órgano de Compliance – o cuando se estime oportuno dejar constancia
memorándums, si es unipersonal- dentro de su traslado a otros órganos o cargos.
de la información documentada, dejando
constancia de sus actividades, deliberaciones,
Contenido de Plan de Acción
etc. (ejemplo orientativo)
No se trata tanto de un requisito que • Tipo de incidente o deficiencia (categorización).

aparezca habitualmente en los estándares de
• Descripción del incidente o de la deficiencia,
Compliance, sino más bien de una cuestión
explicitando no solo sus desencadenantes
de sentido común con consecuencias aparentes sino también sus causas raíz. Indicar
positivas evidentes: contribuye a una gestión el canal de detección suele ser útil para su
ordenada de los cometidos de Compliance y eficacia.
deja evidencia documental de su diligencia.
• Entidad, línea de negocio o jurisdicción
afectada, cuando se trata de organizaciones
Evidentemente, el contenido sustantivo de
que desarrollan diferentes actividades u operan
actas y memorándums variará según los
en varios países.
asuntos tratados. Sin embargo, deberían
recoger aspectos importantes como: • Consecuencias reales o potenciales
(estimación) que se pueden derivar del incidente
o deficiencia, contemplando las económicas y
119 El nivel de análisis depende del riesgo aceptado por cada organi-
zación (principio de proporcionalidad). también las reputacionales.
• Personas desencadenantes o involucradas Sin perjuicio de lo anterior, el plan de

en el incidente o la deficiencia. Puede ser acción es tan solo una herramienta que te
una información importante para aplicar permite corregir incidentes o deficiencias de
mecanismos de medición de riesgos (“risk
Compliance, pero que debe ejecutarse y, por
metrics”) respetuosos con la normativa laboral,
lo tanto:
que permitan premiar o sancionar a quienes
observen comportamientos adecuados o
• Es indispensable realizar su seguimiento;
inadecuados de Compliance.
• Debe obtenerse la traza documental de
• Acción de corrección propuesta, indicando
su ejecución;
sus diferentes hitos, en caso de existir, así como
el horizonte temporal de ejecución. También
• Debe también evaluarse su efectividad
las áreas, funciones o cargos responsables
para modificarlo o sustituirlo tan pronto
de su ejecución, intentando la mayor
concreción posible para evitar la dilución de se constate su falta de idoneidad.
responsabilidades al respecto.
• Órgano o cargo que ha aprobado la acción de

corrección, y fecha en que lo ha hecho.
• Resultado del plan, para dejar constancia

finalmente de la remisión del incidente o
deficiencia, gracias a su ejecución.
Por su parte, documentar correctamente los

planes de acción facilita la reflexión sobre
su contenido. También es útil para dejar
constancia de los mismos y poder realizar el
seguimiento de su evolución.
Además, es posible que en algún momento se

requiera conocer cómo actuó la organización
ante determinada situación y valorar su
diligencia debida en aquel momento, en cuyo
caso ayudará no solo disponer de un plan
de acción bien documentado sino también
evidenciar su ejecución. Algunas empresas
han sufrido dificultades a la hora de acreditar
que actuaron diligentemente, no porque
no lo hicieran, sino por carecer de pruebas
acreditativas de ello.
• El liderazgo es un concepto muy estudiado, tanto históricamente como en el contexto militar, político o
de las organizaciones en general. Liderar es la habilidad de una persona para influir, motivar, posibilitar a
otros para contribuir a la consecución de los objetivos de las organizaciones.
• Existen siete tipos de liderazgo, cada uno con su características y fortalezas: oportunista, diplomático,
experto, triunfador, individualista, estratega y alquimista.
• La ética forma parte intrínseca de un buen liderazgo. Un liderazgo ético pone en práctica lo que predica,
y promociona dichas conductas. El liderazgo ético reduce los riesgos de Compliance.
• La cultura corporativa es la estructura (u orden) social tácito de una organización. Es la combinación

de los valores, creencias, suposiciones y prácticas compartidas por los integrantes de una organización.
Puede modificar y determinar las actitudes y los comportamientos de los empleados, incluso más que las
normas existentes. Por ello, es esencial que exista una correspondencia y alineamiento entre las normas
y la cultura existente, y que la cultura corporativa sea, además, ética.
• La cultura [corporativa] ética tiene cinco dimensiones: contrato social, comportamiento de los líderes,
ética organizacional, percepción de los individuos y respuesta a una conducta indebida.
• La cultura influye en la conducta de quienes la integran, en función de cuatro factores: Análisis coste/
beneficio; sesgos de comportamiento; presión de grupo y las consideraciones morales. Otros factores
que influyen en el comportamiento de los empleados son: la claridad; el ejemplo; los objetivos, tareas y
responsabilidades (si son realistas y alcanzables o no); el compromiso; la transparencia; las discusiones
francas y ausencia de temas tabú; la ejecución, como percepción de sistema justo, proporcionado y
carente de arbitrariedad.
• Las tres líneas de defensa es un modelo de sistema de control simple y efectivo. Como su nombre indica,
está basado en una estructura de tres líneas que ejercen labores de control (1ª, negocio), supervisión (2ª,
control interno) y verificación o aseguramiento (3ª, auditoría interna).
• Un elemento esencial del modelo es la separación entre líneas (cuanto más definida, mejor) y su
coordinación (dependiente de la tipología de organización que se trate). Debe evitarse que se ejerzan
funciones de varias líneas por una misma persona, pero si así sucediera, debe quedar reflejado
documentalmente.
• La gestión de riesgos es normalmente más fuerte cuanto más separadas y definidas se encuentren las
tres líneas.
• El Plan anual de Compliance es un documento estructurado en el que se describen con detalle las tareas
que va a realizar el responsable de Compliance a lo largo del ejercicio. Sus fases de elaboración son:
planificación, organización, dirección y control.
• Su contenido no está regulado, si bien debería incluir: evaluación de riesgos; plan de formación del
personal; plan de monitorización; nuevas políticas, procedimientos y revisiones; participación de
Compliance en comités y órganos de control; estructura de la función; recursos, etc.
• El plan anual se aprueba por la alta dirección. Es modificable, si bien las modificaciones deberán ser
aprobadas por el mismo órgano que aprobó el plan.
• Los informes de Compliance son esenciales para varios propósitos, desde demostrar la actividad
desarrollada por la función hasta apoyar la toma de decisiones informada, como parte de los deberes de
la alta dirección y los órganos de administración.
• Dentro de los diferentes informes existentes, podemos identificar los específicos (planificados o urgentes)
y los periódicos.
• Los informes específicos tienen como propósito la evaluación de controles. Los informes periódicos
están programados y tienen un contenido normalizado ajustado a las necesidades de la organización.
Módulo 5
Responsabilidad
social y buen gobierno
corporativo
MÓDULO 5 • RESPONSABILIDAD SOCIAL Y BUEN GOBIERNO CORPORATIVO
Módulo 5 Recomendación Nº R (88) 18, de 20 de octubre,

uno de los primeros instrumentos europeos
Responsabilidad social y en dar respuesta a la responsabilidad penal
buen gobierno corporativo de las personas jurídicas, que poco a poco ha

ido regulando cada Estado por medio de su
normativa interna.
Objetivos
Pero Compliance no ha sido el único concepto
de origen anglosajón que se ha importado en
el ámbito de las organizaciones. Este módulo
tratará de otros dos conceptos con los que
• Comprender el concepto de responsabilidad
Compliance no sólo comparte origen, sino
social corporativa (RSC), reconocer sus
evolución y desarrollo: responsabilidad
antecedentes y las normas internacionales
relacionadas. social corporativa y buen gobierno
corporativo.
• Conocer el estado de la RSC en España.
• Explicar el concepto de buen gobierno Ambos conceptos ya han sido mencionados

corporativo, su origen, desarrollo y estado actual. con anterioridad. Sin embargo, en este
• Describir las referencias del desarrollo del buen módulo se desarrollarán más en detalle, así
gobierno corporativo en España. como la relación que les vincula a Compliance.
• Indicar los cambios normativos más importantes
Ya se ha comentado que, como función,
en España y familiarizarse con sus aspectos más
Compliance ha asumido la tarea de gestionar
relevantes.
los riesgos de este ámbito, mediante
medidas de control, registro y supervisión
5.1. Introducción que de manera estructurada se establecen
para el cumplimiento de obligaciones y
Se ha mencionado ya en repetidas ocasiones
compromisos.
el origen anglosajón de la función de
Compliance. Se ha descrito cómo los grandes
No obstante, cada vez existe una mayor
escándalos de corrupción de los años setenta
conciencia y necesidad por parte de las
cuestionaron cómo se estaban gestionando
empresas en asumir y demostrar su
las empresas y que, con el fin de mostrar una
compromiso con el entorno y la sociedad.
reacción ante la opinión pública y de recuperar
la confianza de ciudadanos, inversores y Ahí es donde existe un punto de contacto,
países aliados, se aprobó la Ley de Prácticas e incluso de solape, entre Compliance y la
Corruptas en el Extranjero (Foreign Corrupt responsabilidad social corporativa, ya que el
Practices Act) en 1977. concepto de la RSC nos permite vincularlo
a otros conceptos como desarrollo
En Europa, la evolución fue diferente y
sostenible, buen gobierno, cumplimiento
más tardía: el Consejo de Europa dictó la
normativo, grupos de interés, entre otros.
En este sentido, la RSC se enmarca en lo la legalidad a nivel interno, para cumplir

que hemos definido en módulos anteriores con la ley y con los compromisos con los
como los compromisos de las organizaciones grupos de interés (política, RSC, código ético),
(obligaciones que se asumen con carácter configurándose como un instrumento de
voluntario, y no por imposición legal). contribución a la responsabilidad y objetivos
empresariales de la sociedad.
Pero la RSC no es el único concepto del que
tratará este módulo. Igualmente vinculado Con el Compliance se puede acreditar el
a los compromisos de las organizaciones, cumplimiento normativo que, junto con
aparece el de buen gobierno corporativo, los objetivos de la RSC, permitirá dotar a la
también de origen anglosajón, como forma empresa de la implantación de métodos de
una de administrar las empresas más ética, control y detección de riesgos necesarios,
y basada principios y normas de conducta adoptando controles y medidas de
que permiten una mayor transparencia y prevención y, si fuera necesario, permitirá
creación de valor, mediante una gestión que sancionar conductas que se aparten de los
contribuye al desarrollo social, económico, procedimientos de control establecidos.
medioambiental, etc.
El Compliance permite la gestión de los riesgos
5.2. Responsabilidad social legales de la sociedad, así como los derivados

del incumplimiento de otros compromisos
corporativa
que no son legalmente vinculantes (sociales,
5.2.1. Compliance y la RSC ambientales). En este sentido, existiría un área
potencial de solape entre RSC y Compliance
En general, podemos definir la RSC como o, al menos, de necesaria coordinación y
la forma en que las empresas integran las colaboración.
preocupaciones sociales, ambientales y
económicas en sus valores, cultura, toma Por todo ello es importante que las empresas
de decisiones, estrategia y operaciones, de implementen una estrategia que aproveche
manera transparente y responsable, con el las sinergias entre RSC y el Compliance, para
fin de establecer mejores prácticas dentro de un mayor logro de los objetivos.
la empresa, crear valor, en definitiva, mejorar
Ambas comparten varios de los objetivos
la sociedad.
corporativos, entre los que podemos
El Compliance y la RSC están estrechamente destacar:
relacionados y son complementarios. Sin • Cumplir con la normativa;
embargo, el Compliance no es suficiente para
• Proporcionar valores éticos y de
la RSC, que va más allá del cumplimiento
transparencia;
de las leyes. Mientras que la RSC diseña y
coordina las políticas y directrices tendentes a • Identificar y gestionar los posibles riesgos
la sostenibilidad y al progreso de la sociedad, que se generen;
el Compliance vela por el cumplimiento de • Garantizar la sostenibilidad de la sociedad.
Como ya se ha señalado en módulos empresariales, normativas y sociales, a través

anteriores, es esencial crear una cultura de la confección y promoción de las debidas
ética con el fin de fomentar el respeto a la políticas y medidas de actuación.
legalidad, el compromiso con los grupos de
Una colaboración e integración plena del RSC
interés y que proporcione al trabajador las
y Compliance ayudará a las organizaciones
herramientas necesarias para contribuir en
a cumplir con todos sus compromisos y a
la organización a través de su actividad en
mejorar su relación con los grupos de interés,
la empresa, así como promover las buenas
asegurando la sostenibilidad y competitividad
prácticas.
del negocio. Tanto la RSC como el Compliance
Además, se insiste en que las organizaciones deben de imponerse en todo el seno de la
no deben limitar su responsabilidad al empresa, siendo la máxima responsabilidad
cumplimiento de la legislación. Este es solo de sus altos cargos.
uno de los muchos deberes que tienen, por
5.2.2. Antecedentes de la
el impacto que su actividad puede tener en el
responsabilidad social corporativa
entorno. Si bien, la sociedad puede servirse
a nivel internacional
del cumplimiento normativo para hacer más
efectiva la funcionalidad que tiene la RSC. La responsabilidad social corporativa (RSC),
De esta manera, la RSC deberá crear los también conocida como RSE (Responsabilidad
procedimientos para cumplir con las políticas Social Empresarial), es un concepto en
y códigos internos del Compliance. evolución que carece actualmente de una
definición universalmente aceptada.
También puede asesorar a este último sobre
los riesgos que acarrearán la comisión de Se trata de una contribución activa y
infracciones y crear una cultura que asegure voluntaria al desarrollo social, económico y
que las prácticas sean tanto legales como medioambiental de su entorno por parte de las
responsables. organizaciones, potenciando su generación
de valor añadido para la comunidad.
Las organizaciones cada vez son más
conscientes de todas estas cuestiones, lo El concepto de RSC, por su extensión y
que hace que la función de cumplimiento dinamismo, puede dar lugar a numerosas
normativo o Compliance, así como las interpretaciones de su significado, que nos
políticas de RSC, hayan proliferado en los permite vincularlo a distintos conceptos
últimos años. como desarrollo sostenible, buen gobierno,
cumplimiento normativo, grupos de interés,
Así, se facilita que las sociedades se adapten
entre otros.
al entorno regulatorio y se eviten los
riesgos y costes derivados de la comisión A este respecto, podemos recurrir al concepto
de infracciones, ya que tanto el Compliance que aporta el Grupo de Trabajo sobre
como la RSC tienen como misión garantizar Responsabilidad Social de la ISO 26000, que
el cumplimiento de las responsabilidades la define como:
“El compromiso de una organización ante • Participación y respeto de las diversas

los impactos que sus decisiones y actividades culturas y pueblos desfavorecidos;
ocasionen en la sociedad y el medio ambiente
• La filantropía empresarial y el voluntariado
mediante un comportamiento ético y
de los empleados;
transparente que contribuya al desarrollo
sostenible, incluyendo la salud y bienestar de la • La satisfacción del cliente y la adhesión a
sociedad”. los principios de la competencia leal;
A medida que las cuestiones relacionadas • Medidas contra el soborno y la corrupción;

con el desarrollo sostenible adquieren mayor • La rendición de cuentas, la transparencia
importancia, la cuestión de cómo el sector y la presentación de informes sobre el
empresarial se dirige a ellos también se está desempeño; y
convirtiendo en un elemento de la RSC. Por lo
que hay una tendencia a referirse a ella como • Relaciones con los proveedores, tanto
“Sostenibilidad corporativa”. para las cadenas de suministro nacionales

como internacionales.
El Consejo Empresarial Mundial de
Desarrollo Sostenible ha descrito la RSC Estos elementos de la RSC están
como la contribución de las empresas al frecuentemente interconectados y
desarrollo económico sostenible. Sobre la son interdependientes, además se
base del cumplimiento de la legislación y los aplican a cualquier tipo de empresa
reglamentos, la responsabilidad social de independientemente del lugar o ámbito en el
las empresas suele incluir compromisos y que operen.
actividades “más allá de la ley”:

Se puede ver una creciente tendencia a
• La gobernanza y la ética empresarial; la publicación de informes no financieros
por parte de las empresas, que incluyen
• Salud y seguridad;
vertientes sociales y ambientales. Cada vez
• Administración del medioambiente; más grupos de interés deciden solicitar a las
empresas información sobre el ejercicio de
• Derechos humanos (incluidos los
su responsabilidad social, lo que ha hecho
derechos laborales básicos);
que diferentes organizaciones y grupos de
• Desarrollo sostenible; interés hayan desarrollado recomendaciones
o normas para la elaboración de estos
• Condiciones de trabajo (incluidas la
informes. Como resultado, existen varias
seguridad y la salud; las horas de trabajo;
iniciativas internacionales, entre las que
los salarios);
figuran el Pacto Mundial, SA 8000, AA 1000, o
• Relaciones laborales; la norma ISO 26000.
• Participación comunitaria, desarrollo e A continuación, se indican algunas de las

inversión; principales normas y estándares que regulan
la RSC a nivel internacional. Estos estándares, Esta organización puede desempeñar

a los que pueden acceder las sociedades para un papel importante en el ámbito de la
implantar la RSC, están constituidos por una responsabilidad social, dado que las normas
serie de documentos, guías y compilaciones de trabajo constituyen uno de los aspectos
de normas que establecen los requisitos que fundamentales de la responsabilidad social
deben cumplir los informes presentados corporativa y éste es el tema del que se ocupa
por las empresas en materia de RSC, que principalmente la OIT.
entroncan con el cumplimiento normativo
La mayoría de las iniciativas llevadas a cabo
(Compliance), que expondremos en el
por la responsabilidad social en materia
siguiente epígrafe.
de derecho del trabajo, se remiten a los
• 1977 Declaración Tripartita sobre empresas principios internacionales del trabajo, que
multinacionales y política social de la
han sido elaborados por la OIT.
OIT
(revisada en 2000, 2006 y 2017)
Desde el año 2000 en el que la OIT participó
• 1997 Norma SA8000 - Social Accountability en el Pacto Mundial de la ONU, cada vez
International
(revisada en 2000, 2006 y 2017)
se ha implicado más en el ámbito de la
responsabilidad social. Esta organización
• 1999 Norma AA1000AP - Institute for Social
cumple una función de ayudar a promover el
and Ethical Accountability
(revisada en 2000, 2006 y 2017) diálogo entre los gobiernos, las organizaciones
de trabajadores y las empresas, así como de
• 1999 Principios de Gobierno Corporativo de
la OCDE proporcionar las herramientas necesarias
(revisada en 2000, 2006 y 2017) para comprender mejor la dimensión laboral
• 2000 Normas GRI - Global Reporting Initiative de la RSC.

(revisada en 2000, 2006 y 2017)
• 2010 Norma ISO 26000 – Responsabilidad Definición OIT de la RSC

Social
Reflejo de la manera en que las empresas toman en
Cronograma de referencias internacionales en RSC
Elaboración propia consideración las repercusiones que tienen sus actividades
sobre la sociedad, y en la que afirman los principios y
Declaración Tripartita sobre empresas valores por los que se rigen, tanto en sus propios métodos
multinacionales y política social de la OIT. y procesos internos como en su relación con los demás
actores.
La Organización Internacional
La responsabilidad social de la empresa es una iniciativa de
del Trabajo (OIT) es un
carácter voluntario y que sólo depende de la empresa, y
organismo especializado de la
se refiere a actividades que se considera rebasan el mero
ONU que se ocupa de los
cumplimiento de la legislación.
asuntos relativos al trabajo y a las relaciones
laborales. Fue fundada el 11 de abril de 1919,
en virtud del Tratado de Versalles.
En este sentido, tenemos que hablar de Norma SA8000:2014

la Declaración Tripartita de principios
sobre las empresas multinacionales y la Dentro de los diversos
política social (Declaración EMN), que es estándares relativos a la
el instrumento de la OIT que “proporciona gestión de la responsabilidad
orientación directa a las empresas en lo social de las empresas, se
que respecta a la política social y a prácticas encuentra la norma SA8000
incluyentes, responsables y sostenibles en el que surgió en EE.UU.
lugar de trabajo”.
Fue desarrollada en 1997 por la entidad
Los principios recogidos en la Declaración no gubernamental SAI (Social Accountability
proporcionan orientación en materia de International) con la participación de un
empleo, formación, condiciones de trabajo y consejo asesor compuesto por sindicatos,
de vida, así como las relaciones de trabajo. organizaciones no gubernamentales,

organizaciones de la sociedad civil y empresas,
Según el propio Director General de la OIT, con el objetivo de promocionar una mejora en
“la Declaración EMN ofrece una orientación las condiciones laborales de los trabajadores
clara sobre cómo las empresas, a través de sus a nivel mundial. Los criterios de esta norma
operaciones, pueden contribuir a la consecución se desarrollaron a partir de varios códigos
del trabajo decente. Sus recomendaciones, industriales y corporativos para constituir un
basadas en las normas internacionales del estándar común.
trabajo, reflejan buenas prácticas para todas
las empresas, y además ponen de manifiesto El estándar SA 8000 es una norma auditable
el papel de los gobiernos para incentivar las y certificable, que establece los requisitos
buenas prácticas empresariales, así como el voluntarios a ser cumplidos por las empresas
papel fundamental del diálogo social”. en el centro de trabajo, incluyendo los

derechos de los trabajadores, las condiciones
Por lo tanto, las partes interesadas pueden en el lugar de trabajo y los sistemas de
utilizar estos principios como guías para gestión.
potenciar los efectos sociales y laborales
positivos de las operaciones de las empresas Surge con el objetivo de ofrecer una norma
y mejorar su gobernanza. Asimismo, se basada en acuerdos internacionales, por lo
ofrecen orientaciones de política social en un que se apoya en los principios y derechos
sector de actividades complejo. laborales internacionales conformes a la OIT,

la Declaración Universal de los Derechos
En conclusión, la adhesión a esta Declaración Humanos y la Convención sobre los
por parte de los interesados contribuye a Derechos del Niño.
“crear unas condiciones más propicias para
el trabajo decente, un crecimiento económico La norma SA 8000 ha sufrido varias revisiones
inclusivo y el desarrollo social”. y la que está actualmente en vigor es la cuarta
revisión120 de la norma, y data de 2014 (tras lugar de trabajo, la empresa quedará sujeta
las de 2001, 2004 y 2008). a supervisión periódica para comprobar
que continúa cumpliendo con los requisitos
Junto con la norma SA
exigidos.
8000, se auditan los
requisitos del Anexo de Las ventajas fundamentales de implantar
Indicadores de este estándar son, entre otras, crear
Desempeño (Performance confianza entre sus socios y la sociedad;
Indicator Annex SA 8000), garantizar la armonía social; mejorar la
que contiene las eficiencia mejorando la motivación del
expectativas de desempeño que, como personal, compromiso y fidelidad; apoyo
mínimo, deberá cumplir aquella empresa que de la sostenibilidad del negocio, así como el
afirme cumplir con los requisitos este acceso a nuevos mercados.
estándar. Ambos documentos forman parte
Esta norma es aplicable globalmente,
de la certificación SA8000 que, tal y como
sin perjuicio del sector industrial o ámbito
hemos indicado anteriormente, es una norma
geográfico. No obstante, teniendo en cuenta
voluntaria y auditable, para la obtención de la
que está totalmente orientada al ámbito
certificación de un sistema de gestión de
del trabajo, suele utilizarse en industrias
responsabilidad social corporativa.
conocidas por tener malas condiciones
Entre los principales objetivos de la laborales, así como en países en los que es
certificación SA8000 se encuentran el frecuente encontrar estos problemas.
establecimiento de unas condiciones mínimas
AA 1000
para alcanzar un ambiente de trabajo seguro
y saludable, la libertad de asociación y El conjunto de normas
negociación colectiva, y la implantación de Accountability 1000 (AA
una estrategia empresarial para tratar los 1000) fue publicado en
aspectos sociales relacionados con el trabajo. 1999 por el ISEA
También contiene reglas sobre la duración (Institute for Social and
de la jornada laboral, los salarios o la lucha Ethical Accountability),
contra la discriminación en el ámbito laboral, una organización
entre otros muchos aspectos. internacional sin ánimo
de lucro fundada en 1996 con la participación
Para que las empresas puedan obtener esta
de ONGs, académicos, empresas consultoras
certificación es necesario que la soliciten a
y multinacionales, con la finalidad de
través de una de las agencias de certificación
proporcionar a cualquier tipo de organización
aprobadas por la SAI. La agencia realizará
unos estándares de mejora de la
una inspección inicial y una vez se certifica el
sostenibilidad. Esta norma pretende ser muy
completa en su tratamiento de los aspectos
120 www.mites.gob.es/ficheros/rse/documentos/monitoreo/
SA8000.pdf de la RSC.
La norma de Principios de Accountability • Cubre el desempeño sostenible, esto

proporciona un conjunto de principios es, los resultados de la organización,
reconocidos internacionalmente para económicos, sociales y ambientales.
enmarcar y estructurar la forma en la
• Examina cómo una organización
que entienden, gobiernan, administran,
comprende e integra a los diferentes
implementan, evalúan su “accountability”
grupos de interés.
frente a sus grupos de interés. Asimismo,
aporta los fundamentos para entender y • Se centra en las partes interesadas
alcanzar la sostenibilidad, de acuerdo con la y evalúa la información que se les
Norma de Aseguramiento de Sostenibilidad proporciona, así como en las políticas de
y el compromiso con los grupos de interés, organización y en el cumplimiento de las
conforme con la Norma de Compromiso con regulaciones obligatorias.
los grupos de interés.
• Establece los criterios que permitan
La serie se compone de la norma de Principios fomentar la credibilidad de los informes
de Accountability (AA1000APS), la norma de de sostenibilidad.
Aseguramiento de Sostenibilidad (AA1000AS)
y la norma de Compromiso de los Grupos de Este estándar identifica cuatro principios:
Interés (AA1000SES).
• De inclusividad: Compromiso de ser
Los principios proporcionan un marco para responsable con aquellos sobre los
que una sociedad identifique y responda a los que se genera un impacto y con los que
desafíos de su sostenibilidad, de acuerdo con generan un impacto en la organización,
la AA1000AS, y orientan el compromiso con permitiendo su participación para
los grupos de interés conforme a AA1000SES. identificar asuntos y encontrar soluciones.
La norma de aseguramiento AA1000AS es un Este principio es necesario para alcanzar

estándar de aplicación general para “evaluar, los dos principios que exponemos a
atestiguar y fortalecer la credibilidad y la continuación de Relevancia y Capacidad
calidad del informe de sostenibilidad de una de Respuesta.
organización y de sus principales procesos,
• De relevancia: Determina la relevancia
sistemas y competencias”.
e importancia de un asunto para la
La norma de compromiso con los grupos de organización y sus grupos de interés.
interés, sirve para ayudar a las organizaciones
• De capacidad de respuesta: Capacidad
a reforzar el diseño, la ejecución y la evaluación
de una organización para dar respuesta a
de la participación de los grupos de interés y
los asuntos relevantes para los grupos de
la comunicación con ellos.
interés que afectan a su desempeño en
Las principales características de la serie materia de sostenibilidad.
AA1000 son las siguientes:
• De impacto: las organizaciones deben proceso de aseguramiento conforme al

monitorizar, medir y ser responsables AA1000 Assurance Standard (AA1000AS),
de cómo sus acciones afectan sus deberán utilizar la AA1000AP (2018), y se
ecosistemas más amplios. está trabajando en la próxima versión del
AA1000AS.
En mayo de 2018, la firma Accountability lanzó
su marco y guía de gestión de la sostenibilidad Estas normas son compatibles con otras
de la próxima generación, esto es, los iniciativas y la organización ha manifestado
Principios de Accountability 2018 (AA1000 su interés en preparar una guía para ayudar
AP 2018), que reemplaza la versión vigente a los vínculos entre las normas AA1000 y la
hasta el momento del año 2008. Se trata de ISO.
“una actualización del enfoque basado en
Norma ISO 26000:2010
principios de la gestión de sostenibilidad para
el siglo XXI, internacionalmente aceptados”. La Organización Internacional de
Normalización (International Standarisation
Con ello, se pretende que las organizaciones
Organization –ISO–) se dedica al estudio de
tengan una mayor flexibilidad y agilidad en
normas voluntarias a nivel internacional,
la gestión de la sostenibilidad para mejorar
que produce normas internacionales
el rendimiento general. Además, añadió
industriales y comerciales. Es una federación
el último de los principios (“impacto”) a los
de organismos de normalización nacionales
tres originales, en apoyo de la gestión y la
(entidades encargadas de desarrollar las
responsabilidad basadas en resultados.
normas voluntarias en sus respectivos
En este sentido, D. Robert HERTZ, miembro países), y está integrada organismos de
de la Junta Asesora de Accountability afirma normalización de alrededor de 160 países.
que, “al agregar un cuarto principio general
Las normas desarrolladas por la ISO son
–Impacto- a los principios existentes de
de carácter voluntario y conforman los
Inclusividad, relevancia [materialidad] y
estándares no gubernamentales más
Capacidad de respuesta, y al establecer una
respetados y utilizados en el mundo. Dentro
guía clara sobre cómo implementar estos
de la ISO se forman distintos grupos de
principios, la AA1000AP (2018) proporciona
trabajo, cada uno de los cuales estudian
un marco integral y práctico para las
una norma o conjunto de normas sobre un
organizaciones que buscan mejorar todos los
determinado tema.
aspectos de su gestión y desempeño de su
sustentabilidad”. En el marco de la responsabilidad social,
a finales del año 2004, se formó un
Se estableció un período de transición
grupo encargado de estudiar una guía de
de modo que los informes publicados
responsabilidad social, que dio lugar a
después del 01/01/2019, en aquellas
la Norma ISO 26000. Tras varios años de
organizaciones que quieran someterlos al
trabajo, la publicación de la Norma ISO 26000
Responsabilidad Social en noviembre de

2010 supuso la creación de un estándar
global no certificable que serviría de guía en
materia de responsabilidad social, alineado
con el concepto de desarrollo sostenible.
Se ha desarrollado como una guía práctica

para diseñar e implantar sistemas de
responsabilidad social en organizaciones de
todo tipo. También elabora otras normas
orientadas a la actividad empresarial, tales
Principios fundamentales de la RSC
como las normas de gestión de la calidad o Elaboración propia
las normas de gestión medioambiental. Fuente: ISO2600
Sobre cada uno de estos temas, se incluye una

El ISO también depende de los grupos de
descripción, las actividades y las expectativas
interés y de las partes interesadas, para que
relacionadas. Además, se aporta orientación
proporcionen los recursos que los expertos
sobre cómo poner en marcha en la sociedad la
necesitan para desarrollar la norma, ya que
responsabilidad social, dando asesoramiento
aquellos serán los grupos que finalmente
sobre cómo integrarla en el ámbito de la
implementarán tales medidas o que, en su
empresa, cómo revisar el progreso y cómo
caso, se verán afectados por las mismas.
mejorar los resultados del mismo.
Los objetivos de ISO 26000 son: “desarrollar
Los principios en los que se basan el estándar
un consenso internacional sobre qué significa
ISO 26000 son los siguientes:
la responsabilidad social y qué asuntos de la
responsabilidad social tienen que abordar • Rendición de cuentas: Toda organización
las organizaciones, proporcionar orientación “debe rendir cuentas por los impactos
sobre la puesta en práctica de los principios económicos, sociales y ambientales de
mediante acciones efectivas, así como su actuación, lo cual también implica
perfeccionar y divulgar información sobre asumir responsabilidad por sus impactos
mejores prácticas”. negativos y el compromiso de tomas las
medidas pertinentes para repararlos y
Para cada materia, la norma presenta una evitar repetirlos”.
visión general, así como su vínculo a la
• Transparencia: Aportar a las partes
responsabilidad social y una gama de temas.
toda la información que requieran en un
lenguaje sencillo y en formatos accesibles.
• Comportamiento ético: El
comportamiento de las organizaciones
debe basarse en los valores de
“honestidad, equidad e integridad”.
• Respeto a los intereses de las partes Principios OCDE

interesadas: Las organizaciones han
de tener en cuenta los intereses y las La Organización para la
Cooperación y el
necesidades de todos aquellos que
Desarrollo Económico
interactúan con la empresa.
(OCDE) es una
• Respeto al principio de legalidad: Toda organización de
organización debe cumplir las leyes y cooperación internacional
regulaciones aplicables. El principio de que nace en 1961 con los
legalidad es de cumplimiento obligatorio. PRINCIPIOS DE
objetivos de promover el
LA OCDE
(Versión 1999) empleo, el crecimiento
• Respeto a la normativa internacional
económico y la mejora de los niveles de vida
de comportamiento: Las organizaciones
en los países miembros, ayudar a la expansión
tienen que completar las normativas
económica y ampliar el comercio mundial
de comportamiento internacional en el
multilateral, sin criterios discriminatorios, de
ámbito de la responsabilidad social.
acuerdo con los compromisos internacionales.
• Respeto a los DDHH: Las organizaciones
En 1999, los miembros de la OCDE aprobaron
tienen que respetar los DDHH,
los Principios de Gobierno Corporativo, que
reconociendo su universalidad. Son
ofrecieron normas no vinculantes y buenas
aplicables a todos los individuos en todos
prácticas internacionales, con una guía para
los países y culturas.
su implantación.
Esta norma es compatible con otras iniciativas
Según su preámbulo, la finalidad de estos
internacionales, como las declaraciones de la
principios consiste en asistir a gobiernos
ONU, la OIT, la OCDE, así como con el Pacto
de países miembros y no miembros en sus
Mundial.
esfuerzos por evaluar y mejorar los marcos
En definitiva, este estándar tiene como fin legales, institucionales y normativo, sobre el
prioritario contribuir a que las organizaciones gobierno corporativo, así como proporcionar
se orienten hacia criterios de desarrollo directivas y sugerencias a los inversores,
sostenible más allá del preceptivo sociedades y otras partes implicadas en el
cumplimiento de la ley, y trata de establecer proceso de desarrollo de buenas prácticas.
unas pautas de actuación y recomendaciones

Los principios de la OCDE
para las empresas, para implementar y fueron objeto de una
mejorar las estructuras de responsabilidad profunda revisión en
social, incrementar las garantías en materia 2004. Su última
de responsabilidad social y facilitar una publicación data de 2016,
comunicación transparente, entre otros. resultado de una segunda
revisión realizada sobre
PRINCIPIOS DE
LA OCDE los principios de 2004,
(Versión 2016)
conservando y fortaleciendo valores Estos principios están actualmente bajo

fundamentales. Previa a la publicación de revisión, y se espera que ésta se publique
esta revisión, los líderes del G20 respaldaron durante 2023121.
estos principios, que ya entonces se
Los principios de la OCDE proporcionan
publicaron como los principios “de la OCDE y
un marco de referencia para favorecer la
del G20”.
eficiencia económica, la estabilidad financiera
Estos nuevos principios mantienen muchas y el crecimiento económico sostenible. Se
de las recomendaciones de la versión identifican las bases de un buen gobierno
anterior, pero introducen significativas corporativo y ofrecen una orientación práctica
novedades fruto de la evolución del gobierno para su aplicación. Para ello, también es
corporativo. Cabe destacar algunas de ellas: imprescindible que las normas de gobierno
corporativo se adapten a la realidad del
• Se ensalza el papel del gobierno país en que deban aplicarse. La prioridad es
corporativo para fomentar mercados fomentar un buen uso de estos principios y
justos y transparentes, la asignación que los países y las empresas recojan los
eficiente de recursos y el rol esencial del beneficios de un mejor gobierno corporativo.
mercado bursátil en la promoción del
buen gobierno corporativo. Esta norma es compatible con las
declaraciones de la ONU, la Organización
• Avances en el derecho a la información
Internacional del Trabajo (OIT) y la OCDE y el
y a la participación en las decisiones
Desarrollo Económico, así como con el Pacto
importantes de las organizaciones. Se
Mundial.
introduce un nuevo capítulo relativo a
inversores institucionales, mercados Estándares GRI
bursátiles y otros intermediarios.
Con el objetivo de crear un modelo universal
• Reconocimiento de la cooperación de memorias de sostenibilidad, en 1997, de
activa entre la sociedad y los grupos de la mano de las ONG CERES y Tellus Institute con
interés para defender y reconocer sus la colaboración del Programa de las Naciones
derechos, esto es, el papel de los grupos Unidas para el Medio Ambiente (PNUMA), se
de interés en el gobierno corporativo. fundó “Global Reporting Initiative (GRI)” una
• Identificación de las áreas en las que se ha institución que creó los estándares GRI.
de proporcionar información al mercado.

El origen del organismo fue, como tantas
• Responsabilidades del consejo de veces hemos visto a lo largo de este material,
administración de las sociedades. reactivo: en marzo de 1989, el petrolero
Se deberá garantizar la orientación Exxon Valdez encalló en Alaska y provocó un
estratégica de la empresa, el control desastre ecológico al verter al mar miles de
efectivo por parte del consejo y la toneladas de crudo.
responsabilidad de este frente a la
121 Más información en la web de la OCDE, en el enlace: www.oecd.
empresa y los accionistas. org/corporate/principles-corporate-governance/
Una vez más, la opinión pública clamó Actualmente existen 38 estándares GRI, que
por cambios que potenciaron el derecho tras las recientes actualizaciones se han
medioambiental, exigencias mayores en el estructurado en tres bloques o series122.
trasporte marítimo (eliminación progresiva de
Las tres primeras, denominadas Universales,
petroleros monocasco) y mayor transparencia
deben utilizarse por todas las organizaciones
en asuntos de sostenibilidad.
que proporcionen información no financiera.
Los estándares GRI surgen, por tanto, como Son el GRI 1 (Fundamentos), el GRI 2
necesidad identificada en el ámbito de (Contenidos generales) y el GRI 3 (Temas
la transparencia, sostenibilidad y medio materiales1).
ambiente.
Las normas GRI constituyen un sistema

modular diseñado para ser usados en
conjunto a la hora de elaborar informes de
sostenibilidad centrados en temas materiales.
Estas normas crean un lenguaje común para

las organizaciones y los grupos de interés,
mediante el cual los impactos económicos,
ambientales y sociales de las organizaciones
puedan ser comunicados y comprendidos. Clasificación de las normas GRI.
Fuente: Global Reporting Initiative (2021)
Es decir, estas normas o estándares han sido
elaborados para que las empresas puedan Por otro lado, las normas GRI numeradas con
presentar información sobre sus efectos en doble dígito, como GRI 11 (petróleo y gas), GRI
la economía, medioambiente y la sociedad. 12 (carbón), GRI 13 (agricultura, acuicultura
y pesca), etc, denominadas Sectoriales,
Publicadas por primera vez en el 2000, Global
constituyen normas aplicables a sectores
Reporting Initiative las directrices GRI se
concretos.
convirtieron en pioneras, siendo el primer
marco de referencia global para informar en Por último, las numeradas con triple dígito,
sostenibilidad. como GRI 201 (desempeño económico),
GRI 301 (materiales) o GRI 401 (empleado),
En 2001, la institución se
y denominadas Temáticas, se centran en
transformó en el
temas específicos.
organismo independiente
y sin ánimo de lucro que Asimismo, las normas de triple dígito o que
es en la actualidad, y siguió afecta a las normas temáticas, se estructuran
desarrollando y actualizando sus estándares. en series:
122 www.globalreporting.org/how-to-use-the-gri-standards/gri-stan-
dards-spanish-translations/
• Estándares temáticos Serie 200, que Como hemos descrito antes, los estándares
informan de los impactos materiales universales son aplicables a cualquier tipo
de una organización en cuanto a temas de organización que prepare un informe
económicos. de sostenibilidad. Además, se ajustan a la
tipología de las organizaciones, que pueden
• Estándares temáticos Serie 300, que seleccionar entre las normas temáticas que
informan de los impactos materiales más se ajusten a su actividad.
de una organización en cuanto a temas
ambientales. Conclusiones
• Estándares temáticos Serie 400, que A pesar de que la existencia de múltiples
informan de los impactos materiales normas e iniciativas internacionales que

promueven la responsabilidad social
de una organización en cuanto a temas
de las empresas puede ser hasta cierto
sociales.
punto confuso, la mayoría de ellas son
Desde su publicación, los estándares GRI son compatibles y pueden servir en diferentes
el modelo más utilizado 123
para comunicar de etapas del proceso hacia una organización
información no financiera. más sostenible. Todas tienen influencia y se
aplican en los distintos ámbitos y/o materias
Actualmente, la mayoría de compañías en en las que están enfocadas.
todo el mundo publica información sobre
su estrategia de sostenibilidad. Es decir, No obstante, podemos encontrarnos con que
realizan un ejercicio de transparencia para unos estándares pueden ser más utilizados
explicar cuál es el impacto de sus actividades en algunas zonas geográficas, debido a la
sobre el entorno económico, la sociedad y el legislación nacional o a que la norma enfatiza
medioambiente. cuestiones propias de algunas zonas.
En todo caso, estas normas suponen un

Asimismo, debemos tener en cuenta que los
valor añadido para las organizaciones, ya que
Estándares GRI constituyen un marco para
ofrecen un punto de partida para empezar
la presentación de memorias a través de la
a reflexionar sobre las cuestiones sociales y
orientación para su elaboración, pero no son
medioambientales.
un estándar de sistema de gestión, ya que no
especifica requisitos ni elementos sobre los 5.2.3. La responsabilidad social
procesos en las diferentes áreas de gestión, corporativa en España
ni se configuran como un código de conducta
que establezca pautas de actuación. Además, La RSC es un concepto que, aplicado al
ámbito empresarial, incluye un tipo de
pueden combinarse con otras normas, tales
responsabilidad de las sociedades de carácter
como el Pacto Mundial y la AA1000.
ético, no normativo.
123 The KPMG Survey of Sustainability Reporting 2020, elaborado a par-
tir de una encuesta a 5.200 organizaciones de 52 países sygris. Así, se podría afirmar que es un tipo de
com/2021/08/10/estandares-gri-que-son-como-usarlos-en-espa-
nol/ gestión responsable de las empresas, basado
en la gestión de los impactos que su actividad competitividad, de sostenibilidad y de

genera sobre sus clientes, empleados, cohesión social.
accionistas, administraciones públicas,
La RSC permite entender el negocio como algo
comunidades locales, medioambiente y
sobre la sociedad en general, en definitiva, que no solo tiene en cuenta los resultados,
sus grupos de interés o partes interesadas sino también la forma de obtenerlos, lo que
(“stakeholders”, término ya definido sobre el se materializa en la generación de valor
que también se seguirá profundizando más compartido y confianza en el largo plazo a
adelante). través de la integración y gestión de los riesgos

y oportunidades derivados del desarrollo
Por tanto, las actividades enmarcadas dentro económico, social y medioambiental.
de la RSC de la empresa deberán estar
vinculadas a su actividad, tener vocación de En sede de cotizadas especialmente, la
permanencia e involucrar a la dirección de política de RSC debe incluir, conforme al

detalle que se realiza en la Recomendación
la sociedad y a aquellas personas de quien
54 del Código de Buen Gobierno (CBG), todos
depende la gestión.
aquellos principios o compromisos que la
Como señala la Estrategia Española empresa asuma de forma voluntaria en su
de Responsabilidad Social de las relación con los distintos grupos de interés,
Empresas para el período 2014-2020124, la así como en relación con el medioambiente
responsabilidad social puede servir como y la sociedad en su conjunto, identificando al
herramienta para contribuir a mejorar la menos los siguientes aspectos:
capacidad de recuperación de la economía
• Los objetivos de la citada política de
española, teniendo en cuenta la necesaria
responsabilidad social corporativa y el
flexibilidad para innovar con que deben
desarrollo de instrumentos de apoyo.
contar las pequeñas y medianas empresas.
• La estrategia corporativa relacionada
La Estrategia va dirigida a la promoción de con la sostenibilidad, el medio ambiente
la responsabilidad social al mayor número y las cuestiones sociales.Las prácticas
de organizaciones, de forma que todas ellas concretas relacionadas con: accionistas,
incorporen las iniciativas en esta materia empleados, clientes, proveedores,
en su propia cultura y valores, y debe servir cuestiones sociales, medio ambiente,
además como instrumento eficaz para el diversidad, responsabilidad fiscal, respeto
cumplimiento de los principios de la Ley de los derechos humanos y prevención
20/2013, de Garantía de la Unidad de Mercado de conductas ilegales.
en esta materia.
• Los métodos o sistemas de seguimiento
Con ello se pretende que los ciudadanos de los resultados de la aplicación
identifiquen la RSC como vehículo de de las prácticas concretas señaladas
anteriormente, los riesgos asociados y su
124 Aprobada por acuerdo del Consejo de Ministros de 24 de octubre
de 2014. gestión.
• Los mecanismos de supervisión del gobierno corporativo.

riesgo no financiero, la ética y la conducta
La citada ley, en su disposición transitoria
empresarial.
única, que regula su aplicación, establece las
• Los canales de comunicación, condiciones en vigor tras tres años desde su
participación y diálogo con los grupos de aprobación en 2018 (es decir, las condiciones
interés. que están ya en vigor desde el 30 de diciembre
de 2021). Estas condiciones están vinculadas
• Las prácticas de comunicación
al número de trabajadores, partidas de activo,
responsable que eviten la manipulación
cifra anual de negocio de la organización.
informativa y protejan la integridad y el
honor. Así pues, desde finales de 2021, las
sociedades obligadas a presentar el Estado
La Ley 11/2018125, establece en su
de Información No Financiera (EINF) son
preámbulo I, que la divulgación de
aquellas sociedades de capital que tengan
información no financiera o relacionada
más de 250 trabajadores, siempre que sean
con la responsabilidad social corporativa
empresas de interés público, o bien cumplan
contribuye a medir, supervisar y gestionar el
al menos uno de los siguientes dos criterios
rendimiento de las empresas y su impacto en
durante dos años consecutivos:
la sociedad.
• Volumen de activos superior a 20M de
RSC y gobierno corporativo
euros;
constituyen un binomio
indisociable • Cifra de negocio superior a 40M de euros.
El gobierno corporativo es un pilar de la RSC, Además, las empresas que realmente aplican
pues mediante la limitación de riesgos y estos modelos y programas de Compliance,
una gestión más adecuada de las empresas esta denominada cultura ética y del
se crea confianza en el mercado y crece la cumplimiento, y a través de ellos crean sus
competitividad empresarial. códigos de conducta, podrán demostrar en
su EINF a su compromiso con la sociedad, sus
A continuación, analizará brevemente la Ley prácticas éticas y su mitigación de los riesgos
11/2018, de 28 de diciembre, de Información ESG.
No Financiera y Diversidad, y la modificación
que la misma introduce en la llevanza de las Como señala la Ley 11/2018, la divulgación
sociedades, en las nuevas obligaciones de su de información no financiera o relacionada
con la responsabilidad social corporativa
contribuye a medir, supervisar y gestionar el
125 Ley que modifica: (1) el Código de Comercio, (2) el texto refun-
dido de la Ley de Sociedades de Capital (aprobado por el R.D rendimiento de las empresas y su impacto en
Legislativo 1/2010, de 2 de julio), y (3) la Ley 22/2015, de Audi-
toría de Cuentas (que lleva a cabo la transposición a nuestro or- la sociedad.
denamiento jurídico de la Directiva 2014/95/UE,que modifica la
Directiva 2013/34/UE respecto de la divulgación de información
no financiera e información sobre diversidad por parte de deter- El preámbulo de la Ley 11/2018 establece
minadas grandes empresas y determinados grupos).
que las empresas obligadas deben las empresas multinacionales y la política

facilitar información adecuada sobre los social de la OIT;
aspectos respecto de los que existen más
• Iniciativa Mundial de Presentación de
probabilidades de que se materialicen los
Informes de Sostenibilidad del GRI (GRI
principales riesgos de efectos graves.
Sustainability Reporting Standards);
También deben hacerlo de los aspectos
• Otros marcos internacionales
respecto de los que dichos riesgos ya se han
reconocidos.
materializado y que pueden derivarse de
actividades propias de la empresa o pueden En el caso de las organizaciones que hayan
estar vinculados a sus actividades (esto obtenido el registro EMAS, se considerará
no debe entrañar cargas administrativas válida y suficiente, para cumplir con el
adicionales innecesarias para las PYMEs, en apartado del informe dedicado a información
los términos definidos en la Ley 22/2015, medioambiental, la información contenida
de 20 de julio, de Auditoría de Cuentas). en la declaración ambiental validada por
el verificador acreditado en la medida que
Al facilitar esta información, las empresas
este certificado no sólo opere por centro de
obligadas deben basarse en algún marco de
trabajo y cubra la totalidad de la actividad de
referencia, ya sean marcos nacionales, de la
la sociedad.
UE126, o internacionales tales como:
No obstante, la acreditación EMAS en
• Pacto Mundial de la ONU;
ningún caso puede dispensar a la entidad de
• Objetivos de Desarrollo Sostenible de la informar sobre la actividad medioambiental
ONU; en el informe no financiero, con el objetivo
de que en un solo documento figure toda la
• Acuerdo de París sobre cambio climático,
información no financiera requerida por la
los Principios Rectores sobre las empresas
Directiva.
y los derechos humanos que ponen
en práctica el marco de la ONU para Las empresas que dispongan de estudios más
“proteger, respetar y remediar”; detallados de huella de carbono, de políticas
• Líneas Directrices de la OCDE para de adaptación a los impactos del cambio
Empresas Multinacionales; climático o de otros ámbitos ambientales

podrán aportar esta información como
• Norma (ISO) 26000 de la ISO; complemento al resto de la información
• Norma (SA) 8000 de la Responsabilidad ambiental requerida.
Social Internacional;
Por tanto, las cuentas anuales, a partir de la
• Declaración tripartita de principios sobre entrada en vigor y con sujeción a las normas
reguladoras para ello incluirán, cuando
126 Puede utilizarse el Sistema de Gestión y Auditoría Medioambien- proceda, el EINF, introduciendo la Ley 11/2018
tales, EMAS, adaptado a nuestro ordenamiento jurídico a través
del R.D.239/2013, de 5 de abril.
modificaciones a artículos correspondientes Información sobre cuestiones

en la normativa que modifica. medioambientales
Con carácter previo hay que señalar que, tal Información detallada sobre los efectos
como indica el Código de Comercio (CCo) en actuales y previsibles de las actividades de la
la nueva redacción de su artículo 49: empresa en el medio ambiente y en su caso,
• El informe ha de ser presentado como la salud y la seguridad, los procedimientos
punto separado del orden del día para de evaluación o certificación ambiental; los
su aprobación por la Junta general de recursos dedicados a la prevención de riesgos
accionistas. ambientales; la aplicación del principio de

precaución, la cantidad de provisiones y
• Puede tener forma de informe separado, garantías para riesgos ambientales.
pero expresamente formando parte
del informe de gestión, y, por tanto, • Contaminación: medidas para prevenir,
sometidos a sus mismos requisitos de reducir o reparar las emisiones de
aprobación, depósito y publicación. carbono que afectan gravemente el medio

ambiente; teniendo en cuenta cualquier
• Ha de ser verificada por un prestador forma de contaminación atmosférica
independiente de servicios de específica de una actividad, incluido el
verificación. ruido y la contaminación lumínica.
• Se pondrá a disposición del público de • Economía circular y prevención y

forma gratuita y será fácilmente accesible gestión de residuos: medidas de
en el sitio web de la sociedad dentro de prevención, reciclaje, reutilización, otras
los seis meses posteriores a la fecha de formas de recuperación y eliminación
finalización del año financiero y por un de desechos; acciones para combatir el
período de cinco años. desperdicio de alimentos.
Respecto a su contenido, el artículo 49 del • Uso sostenible de los recursos: el

CCo determina que el EINF consolidado consumo de agua y el suministro de
incluirá información significativa sobre agua de acuerdo con las limitaciones
cuestiones: locales; consumo de materias primas y
las medidas adoptadas para mejorar la
eficiencia de su uso; consumo, directo e
indirecto, de energía, medidas tomadas
para mejorar la eficiencia energética y el
uso de energías renovables.
• Cambio climático: los elementos

importantes de las emisiones de gases
de efecto invernadero generados como
resultado de las actividades de la empresa,
incluido el uso de los bienes y servicios • Organización del trabajo: organización

que produce; las medidas adoptadas del tiempo de trabajo; número de horas
para adaptarse a las consecuencias del de absentismo; medidas destinadas a
cambio climático; las metas de reducción facilitar el disfrute de la conciliación y
establecidas voluntariamente a medio y fomentar el ejercicio corresponsable de
largo plazo para reducir las emisiones de estos por parte de ambos progenitores.
gases de efecto invernadero y los medios
• Salud y seguridad: condiciones de salud
implementados para tal fin.
y seguridad en el trabajo; accidentes de
• Protección de la biodiversidad: medidas trabajo, en particular su frecuencia y
tomadas para preservar o restaurar la gravedad, así como las enfermedades
biodiversidad; impactos causados por profesionales; desagregado por sexo.
las actividades u operaciones en áreas
• Relaciones sociales: organización del
protegidas.
diálogo social, incluidos procedimientos
Información sobre cuestiones para informar y consultar al personal y
sociales y relativas al personal negociar con ellos; porcentaje de empleados
cubiertos por convenio colectivo por país;
• Empleo: número total y distribución el balance de los convenios colectivos,
de empleados por sexo, edad, país y particularmente en el campo de la salud y
clasificaciónprofesional; total ydistribución la seguridad en el trabajo.
de modalidades de contrato de trabajo
• Formación: las políticas implementadas
(promedio de contratos indefinidos,
en el campo de la formación; la cantidad
temporales y a tiempo parcial por sexo,
total de horas de formación por categorías
edad y clasificación profesional), número
profesionales.
de despidos por sexo, edad y clasificación
profesional; las remuneraciones medias • Accesibilidad universal de las personas
y su evolución desagregados por sexo, con discapacidad.
edad y clasificación profesional o igual
• Igualdad: medidas adoptadas para
valor; brecha salarial, la remuneración
promover la igualdad de trato y de
de puestos de trabajo iguales o de
oportunidades entre mujeres y hombres;
media de la sociedad, la remuneración
planes de igualdad127, medidas adoptadas
media de los consejeros y directivos,
para promover el empleo, protocolos
incluyendo la retribución variable, dietas,
contra el acoso sexual y por razón de sexo,
indemnizaciones, el pago a los sistemas
la integración y la accesibilidad universal
de previsión de ahorro a largo plazo y
de las personas con discapacidad; la
cualquier otra percepción desagregada
política contra todo tipo de discriminación
por sexo, implantación de políticas de
y, en su caso, de gestión de la diversidad.
desconexión laboral, empleados con
discapacidad. 127 Capítulo III de la Ley Orgánica 3/2007, de 22 de marzo, para la
igualdad efectiva de mujeres y hombres.
Información sobre el respeto de los en las relaciones con proveedores y

DDHH subcontratistas de su responsabilidad
social y ambiental; sistemas de supervisión
Aplicación de procedimientos de diligencia y auditorías y resultados de las mismas.
debida en materia de DDHH; prevención de los
• Consumidores: medidas para la salud
riesgos de vulneración de DDHH y, en su caso,
y la seguridad de los consumidores;
medidas para mitigar, gestionar y reparar
sistemas de reclamación, quejas recibidas
posibles abusos cometidos; denuncias por
y resolución de las mismas.
casos de vulneración de DDHH; promoción
y cumplimiento de las disposiciones de • Información fiscal: los beneficios
los convenios fundamentales de la OIT obtenidos país por país; los impuestos
relacionadas con el respeto por la libertad sobre beneficios pagados y las
de asociación y el derecho a la negociación subvenciones públicas recibidas.
colectiva; la eliminación de la discriminación
• Cualquier otra información que sea
en el empleo y la ocupación; la eliminación
significativa
del trabajo forzoso u obligatorio; la abolición
efectiva del trabajo infantil. Por lo que respecta a la diversidad, cabe
destacar las siguientes modificaciones en la
Información relativa a la lucha
LSC:
contra la corrupción y el soborno
• Modificación del apartado 2 del artículo
Medidas adoptadas para prevenir la 529 bis relativo a la obligación de las
corrupción y el soborno; medidas para luchar sociedades cotizadas de ser administradas
contra el blanqueo de capitales; aportaciones por un consejo de administración: el
a fundaciones y entidades sin ánimo de lucro. consejo de administración deberá velar
porque los procedimientos de selección
Información sobre la sociedad
de sus miembros favorezcan la diversidad
• Compromisos de la empresa con el respecto a cuestiones, como la edad, el
desarrollo sostenible: el impacto de la género, la discapacidad o la formación y
actividad de la sociedad en el empleo y el experiencia profesionales y no adolezcan
desarrollo local; el impacto de la actividad de sesgos implícitos que puedan implicar
de la sociedad en las poblaciones locales y discriminación alguna y, en particular,
en el territorio; las relaciones mantenidas que faciliten la selección de consejeras
con los actores de las comunidades locales en un número que permita alcanzar
y las modalidades del diálogo con estos; una presencia equilibrada de mujeres y
las acciones de asociación o patrocinio. hombres.
• Subcontratación y proveedores: la • Modificación del 529 ter j: se incluye, entre

inclusión en la política de compras de las facultades indelegables del consejo
cuestiones sociales, de igualdad de de administración, la supervisión del
género y ambientales; consideración proceso de elaboración y presentación de
la información no financiera preceptiva, informes, así como las medidas que,

así como presentar recomendaciones en su caso, hubiera acordado respecto
o propuestas al consejo dirigidas a de estas cuestiones la comisión de
salvaguardar su integridad. nombramientos.
• Artículo 514: De acuerdo con el principio 2. Asimismo, las sociedades deberán

de igualdad de trato de los accionistas informar si se facilitó información
en la junta general, se exige que las a los accionistas sobre los criterios
sociedades den cobertura a los requisitos y los objetivos de diversidad con
de accesibilidad de las personas con ocasión de la elección o renovación
discapacidad y personas mayores, de los miembros del consejo de
que garanticen su derecho a disponer administración, de dirección y
de información previa y los apoyos de las comisiones especializadas
necesarios para ejercer su voto. constituidas en su seno.
• Asimismo, queda modificado128 el artículo 3. En caso de no aplicarse una política

540.4.c), subapartado 8º, relativo al de este tipo, se deberá ofrecer
contenido mínimo que ha de tener el una explicación clara y motivada al
informe de gobierno corporativo, que respecto.
será:
Se determina por lo demás que, para
1. Una descripción de la política de los supuestos de entidades pequeñas y
diversidad aplicada en relación con el medianas, de acuerdo con la definición
consejo de administración, de dirección contenida en la legislación de auditoría de
y de las comisiones especializadas que cuentas, únicamente estarán obligadas a
se constituyan en su seno, por lo que proporcionar información sobre las medidas
respecta a cuestiones como la edad, el que, en su caso, se hubiesen adoptado en
género, la discapacidad o la formación materia de género.
y experiencia profesional de sus
miembros; incluyendo sus objetivos, A continuación, se profundizará en aspectos
las medidas adoptadas, la forma en relevantes del gobierno corporativo, tales
la que se han aplicado, en particular, como la protección de la discrecionalidad
los procedimientos para procurar empresarial, instrumentos de gobierno
incluir en el consejo de administración corporativo en informe anual del mismo,
un número de mujeres que permita haciendo al final una referencia al gobierno
alcanzar una presencia equilibrada de corporativo con especialidades sectoriales
mujeres y hombres y los resultados (entidades financieras, aseguradoras, MAB).
en el período de presentación de
128 Modificado (renumerado del 6º al 8º) por la Ley 5/2021, , por la

que se modifica el texto refundido de la Ley de Sociedades de
Capital.
5.3. Buen Gobierno 2. al equipo directivo de las propias
Corporativo entidades, ambos en su calidad de centros

de toma de decisiones empresariales.
5.3.1. Introducción al buen
gobierno corporativo A pesar de poder remontarnos varias décadas
atrás, el origen inmediato del auge del
Buen gobierno corporativo es el término concepto de buen gobierno corporativo se
empleado para referirse a una concreta sitúa en la crisis financiera y económica de la
forma de administrar las empresas, basada primera década del siglo XXI, y especialmente
en el cumplimiento de determinados la caída de grupos empresariales y financieros
principios y reglas de conducta que persiguen como consecuencia de determinadas
la transparencia en la gestión, con la finalidad prácticas de gestión empresarial ocultas al
de garantizar el interés social y promover la mercado. A raíz de ésta, no sólo los gobiernos
creación de valor. Para ello, es muy relevante o los reguladores, sino también los distintos
alinear las relaciones entre los accionistas, el grupos de interés o partes interesadas, han
órgano de administración y la dirección de la comenzado a valorar cada vez más el buen
empresa. gobierno de las empresas, situándolo en el
foco de expertos y analistas.
Por el contrario, la responsabilidad social
corporativa se basa en la integración Como consecuencia de este proceso, se ha
voluntaria por parte de la empresa, en su generado un debate a nivel internacional
gobierno, gestión, estrategia, políticas y acerca de las distintas iniciativas legislativas
procedimientos, etc de las preocupaciones o principios de actuación a seguir en relación
sociales, laborales, ambientales y de respeto con la gestión de las sociedades.
a los DDHH que surgen de la relación y el
diálogo transparentes con sus grupos de Todas las iniciativas concebidas para este
interés. Así, las empresas se responsabilizan fin han sido desarrolladas sobre la base
de las consecuencias y de los impactos comúnmente aceptada de que la gestión de
que derivan de sus acciones. La RSC las empresas debe ser responsable, eficaz
contribuye al desarrollo social, económico y y transparente. El fin de esta gestión es la
medioambiental por parte de las sociedades, confianza de los inversores y maximizar la
y crean valor añadido. creación de valor. El gobierno corporativo

debe jugar un papel fundamental como
Ambos términos surgen como consecuencia instrumento para lograr tal fin y evitar
de una nueva visión de la gestión empresarial situaciones vividas en los últimos años.
que se ha ido gestando lentamente, y que
pretende involucrar: El buen gobierno corporativo se ha
configurado como un gran activo para las
1. a los administradores, en el desarrollo de empresas, pues las hace más eficientes,
las funciones de gestión y representación más competitivas y con mejores resultados.
que les confiere la ley,
Además, facilita evitar riesgos, o encauzarlos. diferenciación entre la titularidad de la

También aquilata la reputación de las compañía y quién la gestiona, al menos en
compañías y, en suma, transmite confianza al compañías abiertas.
mercado.
En este sentido, con carácter general se
Por todo ello, cada vez son más los inversores puede afirmar que la propiedad del capital
que a la hora de optar entre una u otra decisión social corresponde a los socios o accionistas,
de inversión, prestan especial atención a como titulares de las participaciones sociales
las políticas de buen gobierno corporativo o acciones en las que se divide el capital social.
y de responsabilidad social corporativa
El papel de los socios o accionistas, en lo
incorporadas a la gestión de la compañía,
que al gobierno corporativo se refiere, es
así como a los programas de Compliance en
la correcta elección de los miembros que
sentido amplio.
integran el órgano de administración, así
Tanto es así que incluso determinados como el seguimiento de la gestión de la
inversores institucionales han incluido entre compañía realizada por aquellos.
sus políticas de inversión la prohibición de
No obstante lo anterior, existen distintos
invertir en aquellas empresas que no hayan
posicionamientos en referencia al papel que
implementado de forma adecuada estos
debe desempeñar la junta general de socios
estándares.
o accionistas en la gestión de la sociedad, así
Los propios asesores de voto toman en como cuál debe ser su relación con el órgano
consideración el grado de avance de las de administración.
recomendaciones de gobierno corporativo
Por un lado, hay autores que consideran
para aconsejar a los inversores institucionales
necesario, sobre la base de lo acontecido en
sobre el sentido del voto en la junta general.
los últimos años, reforzar la posición de los
No hay que perder de vista que incluso en las
socios y especialmente su participación en la
bolsas de valores hay índices específicos en
gestión de la sociedad, limitando la capacidad
los cuales únicamente podrán formar parte
de actuación del órgano de administración.
empresas adheridas al ESG (“environmental,
social and corporate governance”). El principal argumento de esta tesis se
basa en que, por ostentar la propiedad de
5.3.2. Debates sobre gobierno
la sociedad, su interés es superior al de los
corporativo
miembros del órgano de administración
Las distintas teorías relativas al gobierno y, consecuentemente, es necesaria su
corporativo, elaboradas en la década de participación en la adopción de determinados
1970, abrieron un debate doctrinal cuyo eje asuntos con mayor impacto en el interés
central pivotaba sobre el órgano en el que social.
debe radicar la toma de decisiones en las
sociedades, toda vez que existe una clara
Como posteriormente se expondrá, este Actualmente también se pone enfatiza el papel

planteamiento ha sido parcialmente recogido de las partes interesadas. Este concepto, cuyo
en la LSC, al incluir entre las competencias origen se remonta al pensamiento político de
de la junta general la preceptiva autorización la socialdemocracia, las identifica como las
de la junta general para la disposición de personas o grupos que pueden afectar o ser
determinados activos considerados como afectados por el logro de los propósitos de la
esenciales para la sociedad y la posibilidad de organización .
dar instrucciones al órgano de administración
y de someter, como regla, a la autorización de Esta identificación permite incluir multitud
la junta determinadas decisiones o acuerdos de categorías diferenciadas (alta dirección,
que versen sobre determinadas materias de trabajadores, clientes, proveedores,
gestión. administraciones, etc) y, en definitiva, todos

aquellos sujetos que, relacionados directa o
En contraposición, existe una corriente indirectamente con la empresa, ostentan un
de autores que entiende que la gestión interés confluyente con el interés social.
de la sociedad debe estar en todo caso
encomendada a un órgano profesionalizado. Consecuentemente, todas las corrientes que
Este órgano debe contar con independencia comparten los criterios anteriores tratan de
y libertad de criterio suficientes para involucrar también a los grupos de interés en la
adoptar tanto las decisiones de ordinaria toma de decisiones y/o control de los órganos
administración, como aquellas decisiones corporativos de las sociedades, encontrando
empresariales relevantes. Por tanto, el caso paradigmático en el modelo dualista
estos autores circunscriben el gobierno alemán que posteriormente será analizado y
corporativo a la creación de sistemas que que, de momento, no ha sido incorporado con
controlen la idoneidad, profesionalización carácter general en nuestro ordenamiento
e independencia de los miembros de los jurídico.
órganos de administración de las sociedades
5.3.3. Antecedentes del buen
y que monitoricen su actuación con base
gobierno corporativo: la influencia
en estándares de diligencia en la gestión y
anglosajona y europea
lealtad.
Reino Unido y EE.UU
De este modo, el órgano de administración
se convierte en el adecuado para centralizar En la década de los años setenta diversos
la gestión empresarial, encargado además autores anglosajones, sobre la base de
de funciones deliberativas, así como de la la dicotomía existente entre propiedad y
supervisión y fiscalización de las personas y representación en las sociedades mercantiles,
órganos que tengan delegadas las funciones así como de los distintos papeles que juegan
ejecutivas y de alta dirección, que serán socios o accionistas y administradores,
las encargadas de ejecutar las decisiones comenzaron a estudiar los problemas y las
de gestión aprobadas por el órgano de necesidades originados por la formación de
administración. grandes corporaciones empresariales.
Fue en Reino Unido donde las teorías sobre El informe, conocido popularmente con el
buen gobierno corporativo tuvieron y tienen nombre de su autor (Informe Cadbury), fue
un mayor impulso, convirtiéndose en uno de publicado en 1992.
los países con más tradición en esta materia.
En él se definieron por primera vez las líneas
Sus códigos e informes han constituido
de evolución de las teorías sobre el gobierno
una referencia para el resto de los países
corporativo, tales como la de responsabilidad
europeos.
del órgano de administración frente a los
En la década de 1990, algunos de los autores socios y accionistas, el papel relevante de la
anglosajones más relevantes ya identificaron auditoría, tanto externa como interna o la
cuáles eran los principales retos de gobierno supervisión de los sistemas retributivos del
corporativo pendientes de cubrir por la órgano de administración, creando al efecto
normativa de sociedades británica, a saber: comisiones especializadas integradas por
consejeros.
• Las sociedades no estaban obligadas
a tener comisiones de auditoría que Los objetivos de este informe estaban
facilitaran a los consejeros no ejecutivos orientados a obtener seguridad en cuanto a
fuentes alternativas de información la eficiencia en las operaciones, control en la
contable y financiera de la sociedad. auditoría de las empresas, transparencia en
la información y cumplimiento de las normas
• No existían comisiones de remuneración
para una correcta gestión empresarial.
independientes que definieran los
sistemas retributivos de los consejeros. Con posterioridad al Informe Cadbury,
se promulgó el Código Combinado, que
• Las sociedades no tenían comisiones
incorporó por primera vez el principio
especializadas independientes que
“cumplir o explicar” (“comply or explain”),
controlaran la actuación del órgano de
y que impone a las sociedades cotizadas la
administración en su conjunto.
obligación de informar periódicamente a los
• La transparencia en la información que organismos supervisores y a los mercados
las sociedades suministraban o ponían a acerca de la aplicación interna de las políticas
disposición del mercado era insuficiente. de gobierno corporativo y el cumplimiento
de las recomendaciones en la materia o, en
Las escasas normas existentes sobre
caso contrario, explicar las razones de su
transparencia no resultaban vinculantes y
incumplimiento.
eran susceptibles de modificación.
Alemania
Paralelamente, en el año 1990 se organizó,
también en Reino Unido, un comité presidido En la Europa continental, destaca el sistema
por Adrian CADBURY para la elaboración de de gobierno societario, denominado sistema
un informe sobre la evolución que debía tener dualista. En síntesis, desmiembra el gobierno
el gobierno corporativo de las sociedades en de las sociedades mercantiles en dos órganos
el mercado británico. diferenciados:
a. Órgano de administración, encargado de sociedad, evitando valoraciones acerca de si

la dirección y gestión de la compañía; se ajustan a los deberes inherentes al propio
cargo de administrador.
b. Órgano de supervisión, que asume el
control y la monitorización del órgano de Por este motivo ciertos autores han venido
administración y, en algunos –limitados- a defender que el control que realiza dicho
casos, de “co-gestión”. El órgano de gestión órgano se reduce a un control meramente
queda supeditado al de supervisión, y “formal”.
este, a su vez, al control de la junta general
Algunos autores han visto la influencia del
de socios.
sistema dualista en la incorporación a los
Como limitaciones en la composición del sistemas jurídicos nacionales de comisiones
órgano de supervisión, no cabe que esté que se constituyen en los consejos de
formado por miembros del órgano de administración con competencias sobre
administración, ni que los integrantes de aquel determinadas materias (comisiones
órgano estén presentes al mismo tiempo en de auditoría, o de nombramientos y
más de diez órganos de supervisión. retribuciones).
Además, en este sistema es habitual que Unión Europea

entre los miembros del órgano de supervisión
Dentro de las facultades normativas de la
haya representantes de los trabajadores de la
UE y, especialmente, de la mano del impulso
sociedad en cuestión.
de homogeneización legislativa de los países
Independientemente de su capitalización miembros, esta organización supranacional
bursátil o tamaño, la dualidad de órganos es ha venido desarrollando diversas políticas y
una obligación para las sociedades cotizadas normas para la armonización de las normas
alemanas. de gobierno corporativo y de participación de

accionistas en el gobierno de las sociedades.
Si la determinación de las funciones
principales del consejo de administración La Comisión Europea considera prioritario
no plantea dudas -funciones ejecutivas y de el desarrollo del gobierno corporativo,
gestión de la sociedad-, la delimitación de las prioridad que se ha visto encumbrada ante la
correspondientes al consejo de supervisión crisis y sus causas, destacando las siguientes

iniciativas:
encuentra mayores dificultades.
• Recomendación sobre la estructura y

Aun cuando sus funciones son las de control y
transparencia de las retribuciones de
el nombramiento y cese de los miembros del
los administradores de las sociedades
consejo de administración, en la práctica, dicha
cotizadas (3177/2009/CE), como
supervisión versa sobre la comprobación
complemento a las dos anteriores
de que las actuaciones se han llevado a
emitidas en diciembre de 2004 (913/2004/
cabo cumpliendo la ley y los estatutos de la
CE) y en febrero de 2005 (2005/162/CE).
• Libros verdes en materia de gobierno de Acción” de diciembre de 2012, sobre los

corporativo: cuales la Comisión Europea ya ha dictado
determinadas propuestas de directiva con la
- Corporate Governance in financial
intención de favorecer la involucración a largo
institutions and remuneration policies
plazo de los accionistas y una recomendación
(junio 2010).
sobre la calidad de los informes de gobierno
- The EU Corporate Governance corporativo (siempre bajo el principio
framework (abril 2011). “cumplir o explicar”).
• “Plan de acción”: Derecho de Sociedades
Otro antecedente de las iniciativas
Europeo y Gobierno Corporativo: un
comunitarias en este ámbito es el desarrollo
marco jurídico moderno para una mayor
de un tipo societario de carácter europeo, la
participación de los accionistas y la
denominada sociedad anónima europea (SE),
viabilidad de las empresas (diciembre
regulada en el Reglamento (CE) 2157/2001
2012).
del Consejo, de 8 de octubre de 2001.
• Directiva 2014/95/UE del Parlamento
Este tipo societario permite que una empresa
europeo y del Consejo, de 22 de octubre
opere en distintos países de la UE con un único
de 2014, por la que se modifica la Directiva
estatuto, definido en el derecho sustantivo de
2013/34/UE en lo que respecta a la
la UE y de manera común en todos los países
divulgación de información no financiera
miembros.
e información sobre diversidad por parte
de determinadas grandes empresas y Su principal novedad en materia de buen
determinados grupos. gobierno corporativo es la posibilidad de
que sus estatutos sociales determinen una
• Directiva 2014/56/UE del Parlamento
estructura de gobierno corporativo dualista
europeo y del Consejo, de 16 de abril de
o monista, abriendo la posibilidad de que
2014, que modifica la Directiva 2006/43/
en nuestro país una sociedad de estas
CE, sobre auditoría legal de las cuentas
características opte por el modelo dualista.
anuales y de las cuentas consolidadas.
• Directiva 2017/828/UE del Parlamento OCDE

europeo y del Consejo, de 17 de mayo de
Dentro de las iniciativas de índole
2017, que modifica la Directiva 2007/36/
internacional hay que subrayar los principios
CE en lo que respecta al fomento de la
de la Organización para la Cooperación y el
implicación a largo plazo de los accionistas. Desarrollo Económico (OCDE).
Algunas de las iniciativas más interesantes Los miembros de la OCDE (entre ellos España,
en materia de gobierno corporativo desde su creación en 1961) aprobaron en
desarrolladas por la Comisión se incluyeron 1999 los Principios OCDE de Buen Gobierno
en los mencionados “Libros Verdes”, Corporativo, que ofrecieron normas no
posteriormente desarrollados por el “Plan vinculantes y buenas prácticas internacionales,
con una guía para su implantación, que incluyó • el ejercicio de los derechos de los
una serie de directrices sobre los derechos accionistas.
de los accionistas, revelación de datos, o
funciones de los consejos de administración, No obstante lo anterior, los principios
entre otros. de 2004 no fueron modificados, pero se

declaró como prioridad incentivar su grado
La finalidad de estos principios, según su de implantación. Por ello, el tercer informe
preámbulo, consiste en asistir a gobiernos incluye recomendaciones y buenas prácticas
de países miembros y no miembros en sus dirigidas a empresas, órganos supervisores y
esfuerzos por evaluar y mejorar los marcos gobiernos, con el objetivo de mejorar el grado
legales, institucionales y normativos, sobre el de implementación de aquellos.
gobierno corporativo, así como proporcionar
directivas y sugerencias para las bolsas de La última publicación de estos principios se
valores, los inversores, las sociedades y otras hizo en el año 2016 y es el resultado de una
partes implicadas en el proceso de desarrollo segunda revisión que se llevó a cabo en 2014 y
de “buenas prácticas” del gobierno de las 2015. La revisión se realizó sobre los principios
empresas. de 2004, conservando y fortaleciendo valores
fundamentales.
Los principios de la OCDE fueron objeto de una
profunda revisión en 2004. Sin embargo, la En esencia, estos principios de gobierno
crisis financiera posterior puso de manifiesto corporativo establecen las líneas de evolución
graves deficiencias. Por esta razón, en 2008 se y desarrollo que, de forma común, deberían
aprobó un plan de acción para desarrollar un seguir los estados y las sociedades para una
conjunto de recomendaciones en áreas como adecuada regulación del gobierno corporativo
la política de remuneración, la gestión del y, en particular:
riesgo, las prácticas del consejo y el ejercicio
de los derechos de los accionistas, así como • Garantizar la base de un marco eficaz
para proponer instrumentos para la mejora para el gobierno corporativo: para
en la aplicación de las recomendaciones ya promover la transparencia y eficacia de
publicadas. los mercados, ser coherente con el estado
de derecho y articular de forma clara
Las lecciones de la crisis fueron divulgadas en el reparto de responsabilidades entre
tres informes entre febrero de 2009 y febrero las distintas autoridades supervisoras,
de 2010, identificando las siguientes como reglamentarias y ejecutivas.
las principales debilidades de gobierno de las
empresas con mayor impacto en el desarrollo • Los derechos de los accionistas y
de la crisis: funciones clave en el ámbito de la
propiedad: amparar y facilitar el ejercicio
• las retribuciones;
de los derechos de los accionistas.
• la gestión de riesgos;
• Tratamiento equitativo de los
• las prácticas del consejo; accionistas: garantizar un trato equitativo
a todos los accionistas, incluidos los experiencias con el fin de promover el

minoritarios y los extranjeros. desarrollo de los mercados nacionales; unir
los esfuerzos para establecer estándares y
• El papel de los grupos de interés en
una vigilancia efectiva sobre transacciones de
el ámbito del gobierno corporativo:
valores internacionales; y facilitar la asistencia
reconocer los derechos de estos grupos
mutua, con el propósito de promocionar
establecidos por ley o a través de acuerdos
la integración de los mercados con una
mutuos y fomentar la cooperación activa
rigurosa aplicación de los estándares y con
entre sociedades y sus grupos de interés
una efectiva actuación inspectora contra las
con vistas a la creación de riqueza y
infracciones, por parte de sus participantes,
empleo y a facilitar la sostenibilidad de
en los mercados de valores”.
empresas sanas desde el punto de vista
financiero. La CNMV, como representante de España, se
incorporó como miembro de la organización
• Divulgación de datos y transparencia:
en 1990.
garantizar la divulgación oportuna y
precisa de todas las cuestiones materiales
Esta organización publica una serie de
relativas a la sociedad, incluida la situación
recomendaciones globales en el ámbito del
financiera, los resultados, la titularidad y
sector de valores.
el gobierno de la empresa.
Plantea objetivos y principios de regulación
• Las responsabilidades del consejo:
de valores, que en su mayoría velan por la
garantizar la orientación estratégica de la
protección del inversor, con el fin de que los
empresa, el control efectivo de la dirección
mercados se desarrollen en un sistema justo,
ejecutiva del consejo y la responsabilidad
eficiente y transparente. Asimismo, estos
de este frente a la empresa y los
principios tendrán que adecuarse al marco
accionistas.
legal de cada país.
IOSCO
Sus recomendaciones, junto a los principios
La Organización Internacional de Comisiones emitidos por los comités equivalentes para
de Valores (en inglés, IOSCO) se constituyó en las áreas de banca y seguro, son tomados en
1983 y reúne a los reguladores de valores del cuenta por el Fondo Monetario Internacional
mundo y los mercados de futuros. y el Banco Mundial en los Programas de
Evaluación de los Sistemas Financieros.
Los objetivos de esta organización son,
tal y como ella misma refleja, “cooperar Generalidades sobre el buen
conjuntamente en la promoción de altos gobierno corporativo en España
estándares de regulación con el fin de
El buen gobierno corporativo se vio
mantener unos mercados equitativos,
impulsado en nuestro país a través de los
eficientes y sólidos; el intercambio
primeros códigos y recomendaciones -que
de información sobre sus respectivas
veremos más adelante- elaborados por la El gobierno de una sociedad mercantil,

Comisión Nacional del Mercado de Valores de acuerdo con el derecho de sociedades
(“CNMV”) en su calidad de organismo garante español, se encuentra encomendado al
de la transparencia de los mercados de órgano de administración.
capitales y de la correcta formación de precios
En sociedades cotizadas, este órgano de
en los mismos.
administración adopta de manera obligatoria
A pesar de haber centrado gran parte del la forma de consejo de administración, de
interés de los autores especializados en conformidad con lo dispuesto en el artículo
Derecho mercantil durante los últimos años, 529 bis del Texto Refundido de la Ley de
no resulta sencillo encontrar un concepto Sociedades de Capital (en adelante, la “LSC”),
unitario de buen gobierno corporativo. Ni siendo el referido órgano el encargado de
siquiera el Código de Buen Gobierno de las organizar el ejercicio de sus competencias
sociedades cotizadas (CBG), que veremos y de estructurar el reparto de poder a nivel
más adelante, recoge una definición clara y interno. Como contrapartida, los miembros
precisa de este concepto en su texto actual, de este órgano asumen responsabilidad en el
sino que lo concibe como aquel sistema ejercicio de sus funciones.
mediante el cual las sociedades mercantiles
son dirigidas y controladas bajo unos La distribución de las funciones dentro de
estándares determinados. una sociedad varía enormemente según las
circunstancias y características particulares
A este respecto, se ha de tener en cuenta
de esta.
que con el objetivo de mejorar la eficacia
y responsabilidad en la gestión de las Así, en empresas de gran tamaño,
sociedades españolas y, situar los estándares particularmente en las sociedades cotizadas,
nacionales a los principios internacionales a pesar de que la junta general es el órgano
de buen gobierno, se modificó el código que encargado de designar a los miembros del
se tomaba como referencia, dando lugar al órgano de administración, la dispersión de
actual CBG, de fecha 18 de febrero de 2015, su accionariado impide que en la práctica
para la mejora del buen gobierno corporativo todos los accionistas participen activamente,
en España. no ya en la formulación de iniciativas, sino en
la propia elección de las personas que van
Definición de buen gobierno corporativo a desempeñar el cargo de consejero y en la
supervisión y control de dicho órgano.
Ejercicio consciente de gestión de una organización
mediante la aplicación de un conjunto de normas La ausencia de un grado razonable de
y principios, que rigen el adecuado y equilibrado
implicación por parte de los accionistas, junto
funcionamiento de los órganos de gobierno de
con fenómenos como el de la sindicación de
una sociedad, asegurando su organización eficaz,
voto, provoca que en ocasiones el control real
transparente y justa, a fin de salvaguardar el interés
social, y con el objetivo de maximizar el valor de la de las sociedades cotizadas se concentre en
empresa a medio y largo plazo. manos de accionistas o grupos de accionistas
de referencia, aunque relativamente El Compliance también opera aguas abajo,

minoritarios en relación con la totalidad del verificando la aplicación práctica de dichas
capital social. políticas y procedimientos.
Estos inversores, sin embargo, aúnan El punto de arranque de estos programas

gran parte de los derechos políticos que enlaza con la Ley Orgánica 5/2010, de 22
ejercitan los accionistas y en ocasiones en de junio, que modifica el Código Penal e
el desempeño de sus derechos cuentan con introduce en el ordenamiento español la
la asistencia de los asesores de voto (proxy responsabilidad penal de las personas
advisors). jurídicas por medio de un artículo 31 bis,
modificado por la Ley Orgánica 1/2015, de 30
Esta situación se traduce en que estos
de marzo.
accionistas dan cierta estabilidad a la
compañía e indirectamente controlan Estos hitos normativos han incentivados
la gestión de la sociedad a través de las el diseño, implantación y aplicación de los
competencias que se atribuyen a la junta, programas de Compliance y de prevención
en particular, la elección o reelección como de responsabilidad penal, como sistemas
consejeros de personas afines a los intereses para la prevención de conductas y para el
que representan. control del cumplimiento tanto de leyes como
de recomendaciones, reglas, directrices y
• 1997 Código Olivencia
estándares, no solo en materia penal, sino
• 2002 Informe Aldama
en multitud de ámbitos concernientes a la
• 2006 Código Unificado de Buen Gobierno de actividad propia de la empresa.
las Sociedades Cotizadas
• 2015 Código Unificado de Buen Gobierno de En el ámbito societario, la LSC impulsa que las
las Sociedades Cotizadas sociedades establezcan procedimientos de
Cronograma de referencias de Buen Gobierno Corporativo en España
toma de decisiones y concreten el alcance de
Elaboración propia
las competencias de los distintos órganos, los
El modelo de buen gobierno corporativo, mecanismos de delegación de competencias
entendido como el conjunto de normas, y el contenido de las facultades indelegables
principios y recomendaciones de actuación de los órganos de administración para facilitar
de las sociedades, trata de evitar, entre otras, el desarrollo de sus atribuciones sobre ellas.
las situaciones de conflictos de intereses en
pro del interés social. Evolución y desarrollo del buen
gobierno corporativo en España
El gobierno corporativo guarda relación
directa con los programas de Compliance. El desarrollo de la materia en España ha
De hecho, en muchas ocasiones los sistemas sido progresivo. No obstante, el avance
de gobierno corporativo son respuestas a más notable se ha producido mediante los
las exigencias normativas, que cristalizan en códigos de buen gobierno de las sociedades
políticas y procedimientos internos. cotizadas, de cumplimiento voluntario
(“soft law”) y la posterior consagración figura de los consejeros independientes.

normativa (“hard law”) de algunas de sus Estos debían desempeñar sus funciones sin
recomendaciones. verse condicionados por vinculación alguna
con la dirección de la empresa o con los
Código Olivencia accionistas de control y su acceso al cargo
debía responder a motivos profesionales
El 28 de febrero de 1997 el Consejo de Ministros
acordó la creación de una comisión de expertos, basados en la experiencia y en el prestigio
presidida por D. Manuel OLIVENCIA, con el objetivo profesional.
de elaborar un código ético para los consejos de
administración de las sociedades cotizadas.
Algunas de las principales recomendaciones
incluidas en el Código Olivencia fueron las
siguientes:
Los diversos escándalos financieros que se
vivieron en la década de 1990 provocaron • Delimitación de la actuación de los
un mayor compromiso en los mercados consejeros, encaminada a la toma de
respecto de la mejora de los sistemas de decisiones que mejoren la gestión de
buen gobierno de las sociedades y se sitúan la empresa y el fomento de la defensa
por tanto en la génesis del Código Olivencia. de los intereses del pequeño y mediano
inversor.
El Código Olivencia, publicado en el año 1998,
se asienta sobre tres pilares fundamentales: • Creación de comisiones delegadas de
• la necesidad de independencia de los control como garantía de la función de
consejeros; supervisión del órgano de administración:

de auditoría (encargada de verificar
• la mejora de los sistemas de control y la contabilidad), de nombramientos
fiscalización;
(selección de consejeros) y de retribuciones
• la transparencia en la publicación y (supervisión de la remuneración). Estas
difusión de información al mercado. comisiones estarían integradas por
consejeros externos.
El objetivo del código es mejorar la
credibilidad, eficiencia y transparencia de las • Limitación del cargo a un único mandato
empresas cotizadas frente al mercado. de cuatro o cinco años.
El código recoge una serie de • Limitación del número máximo de
recomendaciones de las que no se deriva consejos de administración de los que
obligación jurídica alguna, sino que sus puede formar parte un consejero a tres y
destinatarios pueden elegir entre adoptarlas jubilación a los setenta años.
o no. • Atribución de responsabilidad al
consejo en relación con la difusión de
Una de las principales aportaciones del
código Olivencia fue separar la gestión de información al mercado y los inversores.
la propiedad de la empresa por medio de la
Informe Aldama de gobierno corporativo, en el

que se describieran las políticas
La Comisión especial para el fomento de la adoptadas por la sociedad a este
transparencia y la seguridad en los mercados respecto, así como el seguimiento
financieros y en las sociedades cotizadas, de su implantación durante el
constituida mediante acuerdo del Consejo año;
de Ministros de 19 de julio de 2002, bajo la
presidencia de D. Enrique de ALDAMA y Página web corporativa:
MIÑÓN, dio un paso más en el desarrollo del Creación de la página web
buen gobierno corporativo en España. corporativa de las sociedades.
Algunas de las conclusiones contenidas en En conclusión, el informe Aldama puso

el Informe Aldama fueron incorporadas especial atención en la transparencia y el
al ordenamiento jurídico mediante la suministro de información a los mercados
aprobación de la Ley 26/2003, de 17 de julio y a los accionistas en materia de gobierno
Ley 26/2003, de 17 de julio, por la que se corporativo.
modifican la Ley 24/1988, de 28 de julio, del
El Código Unificado de Buen Gobierno de las
Mercado de Valores, y el texto refundido de
Sociedades Cotizadas de 2006
la Ley de Sociedades Anónimas, aprobado
por el Real Decreto Legislativo 1564/1989, El Consejo de Ministros, mediante acuerdo
de 22 de diciembre, con el fin de reforzar la de fecha 29 de julio de 2005, encomendó a la
transparencia de las sociedades anónimas CNMV la actualización de las recomendaciones
cotizadas. contenidas en los informes Olivencia y
Aldama.
El informe Aldama no se configuró como un
código de recomendaciones, pese a que sí El Consejo de la CNMV aprobó el 22 de mayo
que contiene recomendaciones. Su origen se de 2006 el Código Unificado de Buen Gobierno
encuentra en el traslado de ahorro privado a de las Sociedades Cotizadas (CUBG), también
las bolsas de valores y en la preocupación por conocido como “Código Conthe”, en atención
la protección de los accionistas minoritarios. a la persona que presidía la CNMV a la sazón
(D. Manuel CONTHE).
Entre las recomendaciones más importantes
destacan, por un lado, la delimitación de los El CUBG se basa en el principio de cumplir
deberes de los administradores y, por otro, o explicar, ya referido con anterioridad y
las recomendaciones relacionadas con la recoge 58 recomendaciones sobre los
difusión de información: estatutos sociales y Junta General, Consejo
de administración, los consejeros y las
Informe anual de gobierno
comisiones.
corporativo: La publicación por
las sociedades cotizadas, con Las principales novedades del CUBG 2006
carácter anual, de un informe fueron las siguientes:
• Otorga gran relevancia al informe cuantificando su probabilidad y

anual de gobierno corporativo como diseñando sistemas de control;
vehículo en que las sociedades cotizadas
- cree un sistema que permita a los
explican si cumplen o se apartan de las
empleados comunicar, de forma
recomendaciones.
anónima o confidencial, cualquier
• Establece el principio de indisponibilidad irregularidad que adviertan.
de las definiciones, bajo el cual no
• Potencia los sistemas de auditoría
es posible que un concepto pueda
interna y externa, con la comisión de
interpretarse de una manera distinta a la
auditoría como órgano garante de la
definición contenida en el CUBG (como,
máxima transparencia en la función de
por ejemplo, el carácter de independiente
auditoría y el control del riesgo.
de un consejero).
• Apuntala la transparencia en los cambios
• Se desarrolla y delimita la figura del
de auditor.
consejero independiente, definiendo
cuál es su misión principal: mientras los El Código de Buen Gobierno de las
consejeros dominicales representan Sociedades Cotizadas de 2015
a los accionistas significativos, los
El 10 de mayo de 2013, el Consejo de Ministros
independientes defienden a los
acuerda la creación de la Comisión de
minoritarios (al “free float” o capital
Expertos en materia de gobierno corporativo
flotante), debiendo oponerse a
con la finalidad de “mejorar la eficacia y
aquellos acuerdos que perjudiquen
responsabilidad en la gestión de las sociedades
injustificadamente a los accionistas
españolas y, al tiempo, situar los estándares
minoritarios.
nacionales al más alto nivel de cumplimiento
• Establece cuáles son los requisitos para comparado de los criterios y principios
que un consejero pueda ser considerado internacionales de Buen Gobierno”.
independiente. Entre ellos, se cita que
este haya sido designado a través de un La comisión de expertos inició su trabajo
proceso institucionalizado, a propuesta distinguiendo las mejoras de gobierno
de la comisión de nombramientos, cuya corporativo que debían ser incorporadas a
mayoría de miembros a su vez deben ser normas jurídicas de aquellas otras que debían
consejeros independientes. mantenerse como recomendaciones de buen

gobierno sujetas al principio de “cumplir o
• Refuerza las funciones y responsabilidades explicar”.
del comité de auditoría para que dicho
órgano: Los trabajos cristalizaron en el ya citado
anteriormente Código de Buen Gobierno de
- apruebe una política de control y
las Sociedades Cotizadas (el “CBG”) aprobado
gestión de los riesgos a los que se
por el Consejo de la CNMV el 18 de febrero de
enfrenta la sociedad, identificándolos,
2015, que se basa en 25 principios y establece establecerse las medidas adecuadas para
64 recomendaciones. proteger los intereses legítimos de todas
las partes involucradas y solventar los
El CBG se centra en los siguientes
eventuales conflictos de intereses.
aspectos:
• Las sociedades deben informar con
• Identificar, para su exclusión del
claridad en la junta general sobre el grado
régimen del propio CBG (al tratarse de
de cumplimiento de las recomendaciones
una norma con el carácter voluntario),
del CBG.
aquellas recomendaciones contenidas
en el CUBG que fueron incorporadas • Los administradores deben realizar un
al derecho imperativo y, por tanto, de uso limitado de la facultad delegada de
obligado cumplimiento, con motivo del emitir acciones o valores convertibles
mencionado informe de 14 de octubre con exclusión del derecho de suscripción
de 2013 de la comisión de expertos preferente y facilitar adecuada
y mediante la aprobación de la Ley información a los accionistas sobre dicha
31/2014,de 3 de diciembre, por la que se utilización.
modifica la Ley de Sociedades de Capital
para la mejora del gobierno corporativo Junta general de accionistas:
(“Ley 31/2014”). • La junta general de accionistas debe
• Incorporar los principios de buen gobierno funcionar bajo principios de transparencia
de los que se derivan las concretas y con información adecuada.
recomendaciones que recoge el CBG.
• La sociedad debe facilitar el ejercicio de
• Introducir recomendaciones específicas los derechos de asistencia y participación
en materia de responsabilidad social en la junta general de accionistas en
corporativa. igualdad de condiciones.
Principios más relevantes del CBG: • La política sobre primas de asistencia a

la junta general de accionistas debe ser
• Aspectos generales.
transparente.
• Junta general de accionistas.
Consejo de administración:
• Consejo de administración.
• El consejo de administración
Aspectos generales:
asumirá, colectiva y unitariamente,
• Como regla general, deberían evitarse la responsabilidad directa sobre la
las medidas estatutarias cuya finalidad administración social y la supervisión de la
esencial sea dificultar las posibles ofertas dirección de la sociedad, con el propósito
públicas de adquisición. común de promover el interés social.
• Cuando coticen varias sociedades • El consejo de administración tendrá una

pertenecientes a un mismo grupo deben composición equilibrada, con una amplia
mayoría de consejeros no ejecutivos Principales recomendaciones del

y una adecuada proporción entre CBG:
consejeros dominicales e independientes,
representando estos últimos, con 1. Relativas a la junta general.
carácter general, al menos a la mitad de 2. Relativas al consejo de administración.

los consejeros. 3. Relativas a la comisión de auditoría.
• El consejo de administración se reunirá 4. Relativas a la/s comisión(es) de

con la frecuencia necesaria para el nombramientos y retribuciones.
correcto desarrollo de sus funciones de
1. Recomendaciones relativas a la junta
administración y supervisión y con la
general:
presencia de todos o una amplia mayoría
de sus miembros. • Que las sociedades cotizadas que elaboren
los informes que se citan a continuación,
• Los consejeros contarán con información
ya sea de forma preceptiva o voluntaria,
suficiente y adecuada para el ejercicio
los publiquen en su página web con
de sus funciones y tendrán derecho a
antelación suficiente a la celebración
obtener de la sociedad el asesoramiento
de la junta general ordinaria, aunque su
preciso.
difusión no sea obligatoria:
• La sociedad promoverá una política
- informe sobre la independencia del
adecuada de responsabilidad social
auditor;
corporativa, como facultad indelegable
del consejo de administración, ofreciendo - informes de funcionamiento de
de forma transparente información las comisiones de auditoría y de
suficiente sobre su desarrollo, aplicación nombramientos y retribuciones;
y resultados. - informe de la comisión de auditoría

sobre operaciones vinculadas; e
• La remuneración del consejo de
administración será la adecuada para - informe sobre la política de
atraer y retener a los consejeros del responsabilidad social corporativa.
perfil deseado y retribuir la dedicación,
• Que la sociedad transmita en directo, a
cualificación y responsabilidad que
través de su página web, la celebración de
exija el cargo, pero sin comprometer
las juntas generales de accionistas.
la independencia de criterio de los
consejeros no ejecutivos, con la intención • La sociedad debe facilitar el ejercicio de
de promover la consecución del interés los derechos de asistencia y participación
social, incorporando los mecanismos en la junta general de accionistas en
precisos para evitar la asunción excesiva igualdad de condiciones, como ya se ha
de riesgos y la recompensa de resultados remarcado.
desfavorables.
• Que la sociedad haga públicos en su reputación de la sociedad y, en particular,

página web, de manera permanente, los les obliguen a informar al consejo de
requisitos y procedimientos que aceptará administración de las causas penales
para acreditar la titularidad de acciones, en las que aparezcan como imputados,
el derecho de asistencia a la junta general así como de sus posteriores vicisitudes
de accionistas y el ejercicio o delegación procesales.
del derecho de voto. Y que tales requisitos
• Que todos los consejeros expresen
y procedimientos favorezcan la asistencia
claramente su oposición cuando
y el ejercicio de sus derechos a los
consideren que alguna propuesta
accionistas y se apliquen de forma no
de decisión sometida al consejo de
discriminatoria.
administración puede ser contraria al
2. Recomendaciones relativas al consejo interés social. Y que otro tanto hagan,
de administración: de forma especial, los independientes y
demás consejeros a quienes no afecte el
• Que el consejo de administración
potencial conflicto de intereses, cuando se
desempeñe sus funciones con unidad de
trate de decisiones que puedan perjudicar
propósito e independencia de criterio,
a los accionistas no representados en el
dispense el mismo trato a todos los
consejo de administración.
accionistas que se hallen en la misma
posición y se guíe por el interés social, • Que el consejo de administración se
entendido como la consecución de un reúna con la frecuencia precisa para
negocio rentable y sostenible a largo desempeñar con eficacia sus funciones
plazo, que promueva su continuidad y la y, al menos, ocho veces al año, siguiendo
maximización del valor económico de la el programa de fechas y asuntos que
empresa. establezca al inicio del ejercicio, pudiendo
cada consejero individualmente proponer
• Que el consejo de administración tenga
otros puntos del orden del día inicialmente
una composición equilibrada, con
no previstos.
una amplia mayoría de consejeros no
ejecutivos y una adecuada proporción • Que los consejeros sean periódicamente
entre consejeros dominicales e informados de los movimientos en el
independientes, representando estos accionariado y de la opinión que los
últimos, con carácter general y como ya accionistas significativos, los inversores y
se ha expresado, al menos a la mitad de las agencias de calificación tengan sobre
los consejeros. la sociedad y su grupo.
• Que las sociedades establezcan reglas que • Que la remuneración de los consejeros
obliguen a los consejeros a informar y, en sea la necesaria para atraer y retener a
su caso, a dimitir en aquellos supuestos los consejeros del perfil deseado y para
que puedan perjudicar al crédito y retribuir la dedicación, cualificación y
responsabilidad que el cargo exija, pero 3. Recomendaciones relativas a la

no tan elevada como para comprometer comisión de auditoría:
la independencia de criterio de los
• Que los miembros de la comisión
consejeros no ejecutivos.
de auditoría, y de forma especial su
• Que, en caso de remuneraciones variables, presidente, se designen teniendo en
las políticas retributivas incorporen los cuenta sus conocimientos y experiencia
límites y las cautelas técnicas precisas en materia de contabilidad, auditoría
para asegurar que tales remuneraciones o gestión de riesgos, y que la mayoría
guardan relación con el rendimiento de dichos miembros sean consejeros
profesional de sus beneficiarios y no independientes.
derivan solamente de la evolución general
• Que, bajo la supervisión de la comisión
de los mercados o del sector de actividad
de auditoría, se disponga de una unidad
de la compañía o de otras circunstancias
que asuma la función de auditoría interna
similares.
que vele por el buen funcionamiento de
• Que un porcentaje relevante de la los sistemas de información y control
remuneración variable de los consejeros interno y que funcionalmente dependa
ejecutivos esté vinculado a la entrega de del presidente no ejecutivo del consejo o
acciones o de instrumentos financieros del de la comisión de auditoría.
referenciados a su valor.
• Que la comisión de auditoría sea
• Que los acuerdos contractuales incluyan informada sobre las operaciones
una cláusula que permita a la sociedad de modificaciones estructurales y
reclamar el reembolso de los componentes corporativas que proyecte realizar la
variables de la remuneración cuando sociedad para su análisis e informe previo
el pago no haya estado ajustado a las al consejo de administración sobre sus
condiciones de rendimiento o cuando condiciones económicas y su impacto
se hayan abonado atendiendo a datos contable y, en especial, en su caso, sobre
cuya inexactitud quede acreditada con la ecuación de canje propuesta.
posterioridad.
4. Recomendaciones relativas a la/s
• Que los pagos por resolución del contrato comisión(es) de nombramientos y
no superen un importe establecido retribuciones:
equivalente a dos años de la retribución
• Que los miembros de la comisión de
total anual y que no se abonen hasta que
nombramientos y de retribuciones –o
la sociedad haya podido comprobar que el
de la comisión de nombramientos y la
consejero ha cumplido con los criterios de
comisión de retribuciones, si estuvieren
rendimiento previamente establecidos.
separadas– se designen procurando que
tengan los conocimientos, aptitudes y
experiencia adecuados a las funciones participación accionarial; y, (ii) el órgano de

que estén llamados a desempeñar y que administración (principalmente el consejo
la mayoría de dichos miembros sean de administración), al objeto de impregnar
consejeros independientes. de mayor transparencia el desarrollo de sus
competencias y garantizar el tratamiento
• Que las sociedades de elevada
equitativo de todos los accionistas, la gestión
capitalización cuenten con una comisión
de los riesgos o la independencia o la mejora
de nombramientos y con una comisión de
de la participación y profesionalización de los
remuneraciones separadas.
consejeros.
• Que la comisión de nombramientos
En relación con las medidas dirigidas al
consulte al presidente del consejo de
órgano de administración, resulta de especial
administración y al primer ejecutivo de la
relevancia la redefinición de los deberes de
sociedad, especialmente cuando se trate
los administradores: el deber de diligencia,
de materias relativas a los consejeros
que se completa con la “business judgment
ejecutivos.
rule”, y el deber de lealtad.
• Que la comisión de retribuciones consulte
al presidente y al primer ejecutivo de la Junta General
sociedad, especialmente cuando se trate
La reforma de los artículos relativos a la
de materias relativas a los consejeros
junta general busca otorgar un papel más
ejecutivos y altos directivos.
activo a socios y accionistas, de tal manera
5.3.4. Principales aspectos de la que su participación en la actividad ordinaria
normativa de gobierno corporativo y de gestión de la sociedad sea mucho
en España mayor. A continuación, se detallan las
principales medidas incorporadas al régimen
En línea con las prácticas de países en nuestro anteriormente previsto en la LSC:
entorno, el legislador dota de eficacia jurídica
vinculante recomendaciones tradicionales Competencias de la Junta General
como reacción a las causas de la crisis, que
Las competencias de la junta general se han
anuda a la asunción excesiva de riesgos, la
visto ampliadas con la modificación de los
indebida composición de los consejos de
artículos 160 y 161 de la LSC. El artículo 161 de
administración y órganos de dirección y las
la LSC amplía la posibilidad de la junta general
desproporcionadas retribuciones de los
de participar en la gestión que anteriormente
administradores.
se encontraba prevista exclusivamente para
La Ley 31/2014 incluye medidas concretas sociedades de responsabilidad limitada.
que afectan a los órganos de gobierno
Por tanto, los accionistas de sociedades
de las sociedades de capital: (i) la junta
anónimas –a través de la junta general-
general de socios, con el fin de reforzar
pueden impartir instrucciones al órgano
su papel y abrir cauces para fomentar la
de administración, así como someter a su Para intentar dotar de una cierta seguridad
autorización la adopción de determinadas jurídica a la indeterminación del término
decisiones o acuerdos que versen sobre “activo esencial”, la norma establece una
determinadas materias de gestión, salvo presunción sobre el carácter esencial
disposición contraria de los estatutos sociales. de los activos cuando su importe supere
En consecuencia, para evitar este control será el veinticinco por ciento (25%) del valor de
necesario que la propia junta lo acuerde vía los activos que figuren en el último balance
modificación estatutaria. Esta circunstancia aprobado.
podrá ser conocida por cualquier tercero,
Esta presunción no impide que un activo
toda vez que los estatutos sociales y sus
cuyo valor sea inferior al referido porcentaje
modificaciones deben ser inscritos en el
no pueda ser considerado esencial por otros
Registro Mercantil.
motivos no relacionados con su valoración
Además, hay que tener en cuenta que el (por su carácter estratégico, comercial o
hecho de ejecutar una instrucción recibida potencial de desarrollo).
de la junta general de socios no exonera a
Por el contrario, un aspecto más discutible es
los administradores del cumplimiento de sus
si un activo que supere el porcentaje pudiera
deberes si dicha ejecución produce un daño
no considerarse un activo esencial. La doctrina
al patrimonio social.
entiende que la presunción de esencialidad
Por otro lado, la nueva redacción del artículo es de naturaleza iuris tantum, admitiéndose,
160 de la LSC amplía las competencias de por tanto, prueba en contrario.
la junta general, exigiendo su autorización
No obstante, ante la posición de los
para la (i) adquisición, (ii) enajenación o (iii)
autores más reacios a considerar que dicha
aportación a otra sociedad de aquellos activos
presunción puede ser destruida, parece
considerados como esenciales.
previsible que será necesaria una sólida y
Esta autorización se ha introducido con excesiva argumentación para su admisión en
el fin de controlar por parte de los socios sede registral y jurisprudencial.
o accionistas aquellas operaciones que,
Derecho de información
por su volumen y relevancia patrimonial,
puedan tener un impacto similar al de una La reforma ha modificado parcialmente el
modificación estructural. derecho de información regulado en el artículo
197 de la LSC, exclusivamente en relación con
En primer lugar, el tenor literal del artículo
las sociedades anónimas, quedando intacto
ha dado lugar a debate doctrinal en cuanto
el régimen del derecho de información para
al límite de los conceptos “adquisición,
las de responsabilidad limitada previsto en el
enajenación o aportación” (por ejemplo, el
artículo 196 de la LSC.
establecimiento de cargas o gravámenes
sobre determinados activos, cesiones de La reforma del derecho de información en
derechos, etc.). sociedades anónimas se debe a los abusos
producidos al invocarlo por parte de los Votaciones en la junta general

accionistas, principalmente en el seno de
sociedades cotizadas. Otro de los aspectos reseñables es la
introducción de un nuevo artículo 197 bis,
Por esta razón, la reforma amplió los que exige una votación separada para
supuestos de exclusión de dicho derecho, esto aquellos asuntos que sean sustancialmente
es, aquellos en los que no resulta necesario independientes.
poner a disposición y facilitar la información
De este modo, se pretende evitar que
solicitada por el accionista:
mediante la agrupación de distintas materias
• si resulta innecesario para la tutela de en una única votación se altere el sentido
los derechos del accionista; del voto por parte de los socios (socios que
votarían a favor de un determinado acuerdo
• si existen razones objetivas para
y en contra de otro, pero que al agruparse en
considerar que podría utilizarse para
una única votación se ven obligados a votar a
fines ajenos al interés social; o
adoptar un único sentido del voto).
• si su publicidad puede perjudicar a la
sociedad. El citado artículo, además, establece qué
materias deberán votarse obligatoriamente
Esta denegación de información no podrá de manera separada:
realizarse cuando la petición esté
• el nombramiento, ratificación, reelección
sustentada por el veinticinco por ciento
o separación de los administradores;
(25%) del capital, con la posibilidad de
establecer en los estatutos un porcentaje • las modificaciones estatutarias de cada
menor, siempre que este sea superior a un artículo o grupo de artículos que tengan
cinco por ciento (5%). autonomía propia129; y
Las consecuencias ligadas al quebrantamiento • todos aquellos asuntos de obligada

de dicho derecho dependerán del momento votación separada por los propios
en que este se ejercite, pudiendo el accionista estatutos de la sociedad.
a quien se hubiera denegado la información
impugnar la junta general si el derecho Conflictos de intereses
de información hubiera sido ejercitado
La nueva regulación de las situaciones de conflicto de
con carácter previo a su celebración o, si intereses de los socios ha reforzado las obligaciones
lo fuera durante el desarrollo de la junta y limitaciones en esta materia, extendiendo el
general, facultando al accionista a reclamar régimen de las sociedades de responsabilidad
la realización de su derecho y los daños y limitada a las sociedades anónimas, con ciertas
perjuicios sufridos. particularidades.
129 No obstante, podrán figurar en el mismo punto del orden del día.
Así, se prohíbe el ejercicio de los derechos de Órgano de administración

voto a aquellos socios o accionistas que se
encuentren en alguna situación de conflicto En relación con el órgano de administración,
de intereses. la Ley 31/2014 ha transformado
sustancialmente su régimen, con el fin de
La Ley presume que existe situación de obtener una mayor transparencia en la
conflicto de intereses cuando el acuerdo gestión social mediante, principalmente, la
que se pretende adoptar verse sobre alguna independencia y profesionalización de sus
de las siguientes materias: miembros. Las modificaciones de mayor
• la autorización para la transmisión de relevancia son las que atañen a las siguientes
acciones o participaciones sociales materias:
sujetas a restricción legal o estatutaria o
Régimen de responsabilidad
la exclusión de la sociedad;
Los administradores de las sociedades
• la liberación de una obligación o el
otorgamiento de derechos al socio mercantiles, de conformidad con el artículo
o accionista en que se encuentre en 236 de la LSC, son responsables frente a la
situación de conflicto; sociedad, frente a los socios o accionistas y

frente a los acreedores sociales de posibles
• la prestación de asistencia financiera; daños que puedan causar por actos u
• la dispensa de las obligaciones del deber omisiones que sean contrarios a la Ley o
de lealtad si el socio o accionista fuera a los estatutos sociales, así como aquellos
también administrador. realizados incumpliendo los deberes
inherentes al desempeño de su cargo,
En el caso de sociedades anónimas, el siempre que medie dolo o culpa.
deber de abstención en la votación
relativa a la adopción de acuerdos cuyo Todos los miembros del órgano de
objeto sea autorizar al accionista afectado administración que hubiera adoptado el
para la transmisión de acciones sujetas a acuerdo o realizado el acto lesivo responderán
restricciones o la exclusión del accionista de solidariamente, salvo los que prueben que,
la sociedad, solo resultará aplicable cuando no habiendo intervenido en su adopción
así se prevea expresamente en los estatutos. y ejecución, desconocían su existencia o,
conociéndola, hicieron todo lo conveniente
En el resto de los supuestos no se prevé el
para evitar el daño o, al menos, se opusieron
mencionado deber de abstención, si bien
expresamente a aquel.
se presume la infracción del interés social
cuando un acuerdo ha sido tomado con Las modificaciones más destacables
el voto decisivo de un socio o accionista en del régimen de responsabilidad de los
una situación de conflicto de intereses, lo administradores son las siguientes:
cual facilita que el acuerdo sea impugnado,
debiendo probar la situación de conflicto el • Se exige la concurrencia de dolo o culpa
socio que inste la impugnación. en la actuación de los miembros del
órgano de administración para que pueda Consejo de administración

ser apreciada la responsabilidad de
aquellos, presumiéndose la culpabilidad Se impone al consejo de administración la
en aquellos actos que contravengan la ley obligación de reunirse, al menos, una vez
o los estatutos sociales. por trimestre. No obstante, no se prevé

ningún tipo de sanción específica en caso de
• Se delimita el concepto de “administrador incumplir dicha previsión legal, pudiéndose
de hecho”, entendiendo por tal aquella derivar únicamente responsabilidad
persona que actúa como si fuera el para los administradores con base en un
administrador de la sociedad en el tráfico incumplimiento de su deber de diligencia,
jurídico, sin tener un título o siendo este siempre y cuando se cumplan los restantes
nulo o vencido; o aquellas personas que, requisitos exigidos para ello.
sin desempeñar el cargo, instruyan a
las que figuran como administradores En materia de delegación de facultades
formales de la sociedad (como meros por parte del consejo de administración se
“testaferros” u “hombres de paja”). establecen las siguientes especialidades:
• En caso de consejo de administración, • En la propia delegación debe indicarse

el contenido y alcance de las facultades
siempre que no exista delegación
delegadas, incluyendo los límites en el
permanente de facultades en favor de
ejercicio de las mismas;
alguno de sus miembros, se extiende
el régimen de responsabilidad siendo • Aquellos consejeros en los que se deleguen
aplicable a la persona, cualquiera que sea funciones ejecutivas y, principalmente, el
su cargo o título, que asuma las facultades consejero delegado, deberán suscribir
de más alta dirección de la sociedad. un contrato con la sociedad, que deberá
ser aprobado por dos tercios de sus
• Se extienden los deberes del administrador
miembros, debiendo abstenerse el
a la persona física que sea designada para
consejero afectado de participar en la
el ejercicio permanente de las funciones
deliberación y votación del acuerdo. El
propias del cargo de administrador que
contrato aprobado, que debe incluir
ostenta la persona jurídica representada,
necesariamente todos los conceptos
respondiendo la persona física y la jurídica
retributivos que percibirá el consejero130,
solidariamente.
así como los derechos, obligaciones y
• Se modifica el cómputo del plazo de funciones asumidos, deberá incorporarse
prescripción de cuatro años para el como anejo al acta de la sesión.
ejercicio de la acción de responsabilidad
• Se han incorporado nuevas facultades que
frente a los administradores, el cual
tienen la consideración de indelegables
comenzará a contar desde el día en que
del consejo de administración, mediante
hubiera podido ejercitarse.
130 El consejero ejecutivo no podrá percibir ninguna retribución que
no esté explícitamente contemplada en dicho contrato.
la modificación del artículo 249 bis de la j. convocar la junta general de

LSC, cuyo texto actual es el siguiente: accionistas y la elaboración del orden
a. Supervisar el efectivo funcionamiento del día y la propuesta de acuerdos;
de las comisiones que hubiera k. definir la política relativa a las acciones

constituido, así como la actuación o participaciones sociales propias;
de los órganos delegados y de los
l. asumir aquellas facultades que la
directivos que hubiera designado;
junta general hubiera delegado en el
b. determinar las políticas y estrategias consejo de administración, salvo que
generales de la sociedad; hubiera sido expresamente autorizado
c. autorizar o dispensar de las por ella para subdelegarlas.
obligaciones derivadas del deber de
• Por su parte, el artículo 529. ter de la
lealtad conforme a lo dispuesto en el
LSC establece un particular régimen
artículo 230;
de facultades indelegables en sede de
d. facultades sobre su propia sociedades cotizadas, cuyo consejo de
organización y funcionamiento; administración no podrá delegar las
e. formular las cuentas anuales, así como facultades de decisión a que se refiere el
su presentación a la junta general; artículo 249 bis, ni específicamente, las
siguientes:
f. formular cualquier clase de informe
exigido por la Ley al órgano de a. aprobar el plan estratégico o de
administración; negocio, objetivos de gestión y
presupuesto anuales, la política de
g. nombrar y destituir a los consejeros
inversiones y de financiación, política
delegados de la sociedad, así como el
de responsabilidad social corporativa
establecimiento de las condiciones de
y la política de dividendos;
su contrato conforme a lo establecido
en el artículo 249; b. determinar la política de control y
gestión de riesgos, incluida la política
h. nombrar y destituir a los directivos
y estrategia fiscal y supervisar los
que tuvieran dependencia directa
sistemas internos de información y
del consejo de administración o de
control;
alguno de sus miembros, así como
el establecimiento de las condiciones c. determinar la política de gobierno
básicas de sus contratos de alta corporativo de la sociedad y del grupo
dirección y su retribución; del que sea entidad dominante;
i. adoptar todas las decisiones relativas d. aprobar la información financiera

a la remuneración de los consejeros, que, por su condición de cotizada,
dentro del marco estatutario y, en su deba hacer pública la sociedad
caso, de la política de remuneraciones periódicamente;
aprobada por la junta general;
e. definir la estructura del grupo de casos, los consejeros afectados o

sociedades del que la sociedad sea que representen o estén vinculados
entidad dominante; a los accionistas afectados deberán
abstenerse de participar en la
f. aprobar las inversiones u operaciones
deliberación y votación del acuerdo
de todo tipo que, por su elevada
en cuestión.
cuantía o especiales características,
tengan carácter estratégico o especial j. La determinación de la estrategia
riesgo fiscal131; fiscal de la sociedad.
g. aprobar la creación o adquisición de k. La supervisión del proceso de

participaciones en (i) entidades de elaboración y presentación de
propósito especial o (ii) domiciliadas la información financiera y del
en países o territorios que tengan la informe de gestión, que incluirá,
consideración de paraísos fiscales, cuando proceda, la información no
y cualquier otra transacción que financiera preceptiva, y presentar
pudiera afectar a la transparencia de recomendaciones o propuestas al
la sociedad y su grupo; órgano de administración, dirigidas
h. Este apartado también ha sido objeto a salvaguardar su integridad.
de debate doctrinal a propósito del (introducido por Ley 11/2018 que se

concepto de “entidades de propósito analiza más adelante.)
especial”. Algún autor se ha planteado
Deberes de los administradores
si la participación de la sociedad en
un acuerdo de “joint venture” con la La Ley 31/2014 reformuló el régimen de
creación de vehículo para la inversión, deberes de los administradores, reduciendo
por ejemplo, puede considerarse los mismos a la obligación de actuar de
una participación en una entidad de manera diligente y leal en el desarrollo de
propósito especial y, en consecuencia, las funciones de gestión y representación
es una facultad indelegable por de la sociedad, obligación que se manifiesta
el consejo de administración. La en dos deberes diferenciados y con distinto
doctrina mayoritaria se pronuncia en tratamiento legal:
el sentido de que es una competencia
indelegable del consejo; • Deber de diligencia: Los administradores
desempeñarán su cargo con la diligencia
i. aprobar, previo informe de la comisión
de un “ordenado empresario”.
de auditoría, las operaciones que la
sociedad o sociedades de su grupo Se define así el deber de diligencia
realicen con consejeros. En estos como una pauta de conducta para los
administradores. El punto de partida para
131 La propia norma aclara que lo previsto en la letra f) de dicho ar-

cumplir con el deber de diligencia es el
tículo será aplicable siempre que la operación no tenga que ser
aprobada por la junta general de accionistas, según lo exigido
cumplimiento, en sus actuaciones, de la
por el artículo 160 apartado f) analizado anteriormente.
Ley, los estatutos y las restantes normas el deber de dotarse de procedimientos

internas de conducta de la sociedad (por adecuados en la toma de decisiones.
ejemplo, los reglamentos de la junta
• Deber de lealtad: Se configura como un
general y del consejo).
deber que exige que el administrador
A la hora de concretar el contenido del desempeñe las funciones que tiene
deber de diligencia de los administradores encomendadas, en todo momento,
hay que tener en cuenta que “actuar actuando de buena fe y velando por el
como un ordenado empresario” es un interés de la sociedad, anteponiendo el
concepto jurídico indeterminado. interés social al suyo propio o al de alguna
persona especialmente relacionada con
Dicha expresión pretende servir de
él.
referente en el modo de actuar del
administrador, como un modelo de El legislador establece unas pautas, al
conducta: están obligados a hacer lo igual que con el deber de diligencia, que
que en cada caso haría un ordenado ayudan a delimitar este concepto: los
empresario. administradores deben ejercer su cargo
como un representante fiel, ajustándose
Si ya resulta insuficiente, per se, la
al mandato recibido y con fidelidad hacia
concreción del deber de diligencia, por
los intereses de quien representan132.
su propia naturaleza, se añade además
Para ello, se entiende necesario que el
que la responsabilidad exigible por la
administrador actúe en todo momento
contravención del mismo dependerá de
bajo el principio de responsabilidad
la estructura del órgano, de la naturaleza
personal, con libertad de criterio o juicio e
del cargo y de las funciones atribuidas a
independencia respecto de terceros.
cada administrador.
Es en la nueva regulación del deber de
De este modo, y unido al tratamiento legal
lealtad, donde se manifiesta con mayor
de la “business judgment rule” objeto
claridad el buen gobierno corporativo.
de análisis en el siguiente apartado, se
Dentro de las distintas vertientes del
puede afirmar que el deber de diligencia
deber de lealtad, recogidas en los artículos
tiene distintas vertientes, entre las que
228 y 229 de la LSC, han sido recogidas y
cabe destacar: (i) el deber de ejercer
sistematizadas distintas recomendaciones
efectivamente el cargo; (ii) el deber de
incluidas en los diferentes códigos de
vigilancia o supervisión de los altos
gobierno corporativo. A este respecto,
directivos o, en el caso de que el órgano
cabe distinguir las obligaciones derivadas
de administración asuma la forma de
del mismo:
consejo, a aquellos de sus miembros que
tengan delegadas funciones ejecutivas; (iii)
el deber de informarse adecuadamente
132 Un claro ejemplo jurisprudencial de la necesidad de actuar ante-
sobre la evolución de la sociedad; y, (iv) poniendo el interés social a cualquier otro puede verse en la STS,
de la Sala de lo Civil, rec. 2141/2013, de 11/12/2015.
• Deber general de no ejercitar sus que suponga un perjuicio injustificado a los

facultades “con fines distintos” para los acreedores y socios externos de la sociedad
que han sido otorgadas. filial.
• Deber de secreto sobre la información a Cuando se produzcan conflictos entre el

la que se haya tenido acceso en el ejercicio interés del grupo y el interés particular
del cargo de administrador. de una de las sociedades que lo integran,
debe buscarse un equilibrio razonable entre
• Deber de abstención en situaciones de
un interés y otro y realizar un balance de
conflicto de intereses (se prohíbe participar
las ventajas facilitadas o las prestaciones
en la “deliberación y en la votación” de
realizadas en ambas direcciones (de la
los acuerdos correspondientes). En este
sociedad al grupo y del grupo a la sociedad)
sentido, se exige, además, informar de
y concluir si existe o no un resultado negativo
manera inmediata acerca de cualquier
para la sociedad filial.
situación de conflicto de intereses,
así como la adopción de las medidas
Las ventajas o prestaciones realizadas por el
convenientes que eviten incurrir en
grupo a favor de la sociedad filial deben ser
situaciones de conflicto de intereses.
verificables, con valor económico y guardar
proporción con el daño sufrido.
Ante cualquier supuesto de incumplimiento
del deber de lealtad, junto con la restitución
Por último, a diferencia del de diligencia,
de los daños y perjuicios causados, el
el deber de lealtad no es modulable por
administrador deberá devolver a la sociedad
circunstancias relacionadas con el cargo o
el enriquecimiento injusto obtenido como
sociedad administrada (estructura del órgano
consecuencia de su actuación.
de administración, funciones desempeñadas
por el administrador, existencia de órganos
De forma adicional, resulta conveniente
de control y supervisión, etc.).
tener en cuenta que nuestro ordenamiento
jurídico no prevé un “interés del grupo”,
5.3.5. La “business judgment rule”
por lo que en ningún caso podrá prevalecer
el interés de la sociedad dominante o el La Ley 31/2014 consagró legalmente, por
supuesto interés del grupo de sociedades por primera vez, la “business judgment rule”
encima del interés de la sociedad en cuestión. mediante su inclusión en el artículo 226
de la LSC bajo el título “protección de la
El deber de lealtad de los administradores
discrecionalidad empresarial”. No obstante, la
se refiere al interés de la sociedad que
regla incorporada a la LSC venía aplicándose
administran, no a otras, aunque pertenezcan
desde hacía años por la jurisprudencia.
al mismo grupo, ni a otros intereses
formalmente ajenos. La razón de ser de esta regla se encuentra en la
necesidad de garantizar a los administradores
Por tanto, el interés del grupo no es absoluto y
de las sociedades una esfera de libertad en su
no puede justificar un daño a la sociedad filial
actuación.
El fin es que los posibles errores en la toma en relación al deber de diligencia, evitando la
de decisiones empresariales no deriven de revisión judicial de las decisiones estratégicas
forma automática en una infracción de sus y de negocio.
deberes y, por tanto, en responsabilidad.
Lo anterior no significa que se excluya
Ello es debido a que en la gestión de cualquier por completo la responsabilidad del
negocio interviene un factor de riesgo administrador, sino que la actuación del
relevante que escapa del control absoluto administrador queda amparada siempre
de los administradores. Así, un régimen de y cuando se siga una forma de proceder
responsabilidad excesivamente riguroso concreta en la adopción de dichas decisiones
resultaría contraproducente, provocando estratégicas y de negocio. Los elementos
que los administradores evitaran tomar configuradores de la regla son los siguientes:
decisiones que desde el punto de vista
estrictamente empresarial pudieran resultar
Decisiones estratégicas y de
muy beneficiosas, por involucrar algún riesgo. negocio
Sobre la base indiscutida de lo anterior, Las decisiones empresariales amparadas son
el legislador ha incluido, a través de la las decisiones estratégicas y de negocio, esto
reforma del artículo 226 de la LSC, un es, las limitadas al ámbito técnico‑empresarial.
estándar de actuación en virtud del cual los

Cualquier otro tipo de decisiones (como,
administradores, en caso de que se cumplan
por ejemplo, las corporativas) o la inacción,
determinados requisitos, puedan adoptar
entendida no como la decisión de no
las decisiones empresariales que estimen
hacer, sino la falta misma de formación
convenientes, sin que su actuación pueda ser
de juicio sobre un aspecto concreto, no se
considerada como negligente (que no pueda
encontrarían amparadas por la aplicación
considerarse que se ha actuado mediando
de esta regla.
dolo o mala fe), independientemente del
éxito o fracaso empresarial de dicha decisión. Información suficiente y
procedimiento de decisión
De esta forma, los administradores cuentan
adecuado
con un espacio de inmunidad en virtud del
cual podrán tomar decisiones equivocadas – Para que se entienda cumplido el estándar de
desde el punto de vista empresarial- sin ser diligencia es necesario que el administrador
declarados responsables por las pérdidas haya actuado “con información suficiente y
causadas a la sociedad administrada con con arreglo a un procedimiento de decisión
motivo del error de juicio cometido, siempre adecuado”.
que dichas decisiones se ajusten a los
estándares recogidos en la LSC. Se trata de que, con carácter previo a la toma
de la decisión en cuestión, el administrador
La protección de la discrecionalidad haya recabado por todos los medios
empresarial únicamente resulta de aplicación pertinentes (y si fuera necesario contar con
el asesoramiento técnico de expertos en la Por último, es preciso señalar que la

materia de que se trate) toda la información inaplicabilidad de la “business judgment
necesaria que un administrador diligente rule” por no concurrir las condiciones
hubiera recabado antes de adoptar la anteriormente mencionadas no implica que
decisión. los administradores deban ser considerados
responsables de manera automática. Sólo
En todo caso, debe observarse que, valorar si
un juez podrá entrar a analizar la concreta
la información recabada por el administrador
conducta realizada por los administradores,
ha sido suficiente, implica un juicio sobre la
sus circunstancias específicas, y valorar si se
diligencia previa del administrador que no
ajustó o no al estándar de diligencia exigible
alcanza a la decisión tomada finalmente (esto
al amparo de esta regla.
es lo que garantiza la business judgment rule),
sino precisamente a sus actuaciones previas 5.3.6. Instrumentos de gobierno
en relación con la obtención de información y corporativo
de asesoramiento especializado.
Tipología de consejeros
Asimismo, también debería verificarse y funciones. El consejero
que la información fue analizada de modo independiente
apropiado y que la decisión adoptada resultó
La LSC, en su artículo 529 duodecies, ubicado
conforme a las conclusiones de los referidos
entre las mejoras que la Ley 31/2014 reserva
estudios y análisis.
a las sociedades cotizadas, establece las
Buena fe y falta de interés personal siguientes categorías de consejeros:
El administrador solo gozará de inmunidad • Consejeros ejecutivos: aquellos que

en la medida en que, al adoptar la decisión desempeñen funciones de dirección en
estratégica o de negocio, haya actuado de la sociedad o en su grupo, cualquiera que
buena fe. sea el vínculo jurídico que mantengan con
ella.
La buena fe se entiende como la creencia
• Consejeros no ejecutivos: todos los
de que la decisión es conveniente al mejor
restantes consejeros de la sociedad,
interés de la compañía, sin ser contraria a
pudiendo ser dominicales, independientes
la ley ni a los estatutos sociales, y sin que
u otros externos.
exista interés personal en el asunto objeto de
decisión (en realidad, ambas condiciones son - Consejeros dominicales: aquellos que
manifestaciones u obligaciones relacionadas posean una participación accionarial
con el deber de lealtad cuyo incumplimiento, igual o superior a la que se considere
como es lógico, no puede ampararse en legalmente como significativa o que
ninguna circunstancia133). hubieran sido designados por su
133 Se trataría de una manifestación de la severidad con que la re- deber de lealtad, que contrasta con la flexibilización que la regla
forma operada por la Ley 31/2014 trata el incumplimiento del de discrecionalidad empresarial imprime al deber de diligencia.
condición de accionistas, aunque su • Quienes perciban de la sociedad, o de

participación accionarial no alcance su mismo grupo, cualquier cantidad o
dicha cuantía, así como quienes beneficio por un concepto distinto de la
representen a accionistas de los remuneración de consejero, salvo que no
anteriormente señalados. sea significativa para el consejero.
- Consejeros independientes: aquellos • Quienes sean o hayan sido durante los

que, designados en atención a últimos tres años socios del auditor
sus condiciones personales y externo o responsable del informe de
profesionales, puedan desempeñar auditoría, ya se trate de la auditoría
sus funciones sin verse condicionados durante dicho período de la sociedad
por relaciones con la sociedad o su cotizada o de cualquiera otra sociedad de
grupo, sus accionistas significativos o su grupo.
sus directivos. • Quienes sean consejeros ejecutivos o

altos directivos de otra sociedad distinta
en la que algún consejero ejecutivo o alto
directivo de la sociedad sea consejero
externo.
• Quienes mantengan, o hayan mantenido

durante el último año, una relación de
negocios significativa con la sociedad o
con cualquier sociedad de su grupo, ya
sea en nombre propio o como accionista
significativo, consejero o alto directivo
de una entidad que mantenga o hubiera
mantenido dicha relación.
Categorías de consejeros de las empresas cotizadas
Elaboración propia
• Quienes sean accionistas significativos,
consejeros ejecutivos o altos directivos de
La LSC, en su artículo 529 duodecies, ha una entidad que reciba, o haya recibido
establecido un listado exhaustivo en virtud durante los últimos tres años, donaciones
del cual no podrán ser considerados en de la sociedad o de su grupo.
ningún caso como consejeros independientes
• Quienes sean cónyuges, personas ligadas
quienes se encuentren en alguna de las
por análoga relación de afectividad o
siguientes situaciones:
parientes hasta de segundo grado de un
• Quienes hayan sido empleados o consejero ejecutivo o alto directivo de la
consejeros ejecutivos de sociedades del sociedad.
grupo, salvo que hubieran transcurrido • Quienes no hayan sido propuestos, ya sea
tres o cinco años, respectivamente, desde para su nombramiento o renovación por
el cese en esa relación. la comisión de nombramientos.
• Quienes hayan sido consejeros durante un • La remuneración de los administradores

período continuado superior a doce años. deberá, en todo caso, guardar una
proporción razonable con la importancia
• Quienes se encuentren respecto de algún
de la sociedad, la situación económica que
accionista significativo o representado
tuviera en cada momento y los estándares
en el consejo en alguno de los supuestos
de mercado de empresas comparables.
señalados en las letras a), e), f) o g)
El sistema de remuneración establecido
anteriores. En el caso de la relación de
deberá estar orientado a promover la
parentesco señalada en la letra g), la
rentabilidad y sostenibilidad a largo plazo
limitación se aplicará no solo respecto al
de la sociedad e incorporar las cautelas
accionista, sino también respecto a sus
necesarias para evitar la asunción excesiva
consejeros dominicales en la sociedad
de riesgos y la recompensa de resultados
participada.
desfavorables. El régimen de retribución
Retribución de los consejeros de los administradores que desempeñan
funciones ejecutivas deberá reflejarse en
Sociedades de capital (arts. 217 a 219
un contrato entre estos y la sociedad.
y 249 LSC):
Sociedades cotizadas (arts. 529
• Existe una presunción de que el cargo
sexdecies a novodecies):
será gratuito, salvo disposición contraria
en los estatutos sociales. • Existe una presunción de que el cargo será
retribuido, salvo disposición contraria de
• Los estatutos deberán contener el sistema
de remuneración de los administradores los estatutos.
por sus funciones como tales, debiendo • Se atribuyen a la junta general facultades
ser aprobada por la junta. decisorias en la materia más allá de la
• El sistema de remuneración establecido aprobación con carácter consultivo del
en los estatutos deberá determinar el informe anual sobre remuneraciones
concepto o conceptos retributivos, que de los consejeros. De esta forma,
podrán consistir en uno o varios de corresponde a la junta la aprobación
los siguientes: a) una asignación fija, b) de la política de remuneraciones de los
dietas de asistencia, c) participación en consejeros, de conformidad con el sistema
beneficios, d) retribución variable con de remuneración estatutariamente
indicadores o parámetros generales previsto, con base en la propuesta del
de referencia, e) remuneración en consejo y previo informe de la comisión
acciones o vinculada a su evolución, f) de nombramientos y remuneraciones.
indemnizaciones por cese, siempre y
• Régimen distinto para la retribución de
cuando el cese no estuviese motivado
los consejeros en función del desempeño
por el incumplimiento de las funciones de
o no de funciones ejecutivas.
administrador, y g) los sistemas de ahorro
o previsión que se consideren oportunos.
Consejeros como tal: Información, formación y

evaluación de los consejeros
• La política de remuneraciones deberá
incluir necesariamente el importe La LSC ha recogido expresamente en su
máximo a satisfacer a los consejeros en artículo 529 quinquies el derecho a la
su condición de tal. información que corresponde a los consejeros
en el ejercicio de sus funciones.
• A diferencia de la regla general, la
determinación de la remuneración Con la finalidad de reforzar este aspecto, en
individual de cada consejero el CBG se recomienda que los consejeros
corresponderá al consejo, que habrá conozcan con la debida antelación los
de tener en cuenta las funciones y asuntos que van a ser tratados en las sesiones,
responsabilidades atribuidas a cada de forma que puedan valorar si la información
consejero, la pertenencia a comisiones con la que cuentan es suficiente y, en su caso,
del consejo y las demás circunstancias recabar la información precisa134.
objetivas que considere relevantes.
Dicho CBG establece135 además que, dada
Consejeros ejecutivos: la complejidad de las diferentes cuestiones
que los consejeros deben atender, estos
• La retribución deberá constar en el podrán requerir en ocasiones asesoramiento
contrato correspondiente y deberá
especializado, incluyendo el externo con
ajustarse a la política de remuneraciones
cargo a la empresa.
aprobada.
La eficacia del funcionamiento del consejo
• La política de remuneraciones deberá
y el ejercicio del deber de diligencia de los
contemplar (i) la cuantía de la retribución
consejeros están ligados a que estos cuenten
anual fija y su variación en el período
con la debida formación. A tal fin, pueden ser
al que la política se refiera, (ii) los
necesarios programas de actualización de
distintos parámetros para la fijación
conocimientos, en línea con la Recomendación
de los componentes variables, y (iii) los
30 del CBG.
términos y condiciones principales de sus
contratos comprendiendo, en particular,
Finalmente, según el artículo 529 nonies de
su duración, indemnizaciones por cese
la LSC, el consejo de administración debe
anticipado o terminación de la relación
evaluar cada año su funcionamiento y el de
contractual y pactos de exclusividad,
sus comisiones y establecer un plan de acción
no concurrencia postcontractual y
que corrija las deficiencias detectadas. El
permanencia o fidelización.
CBG136 prevé que el consejo de administración
• La fijación de la retribución de los
consejeros ejecutivos y los términos
134 Recomendación 31.
y condiciones de sus contratos con la 135 Recomendación 29.
sociedad corresponde al consejo. 136 Recomendación 36.
sea auxiliado en esta evaluación cada tres Su contenido funcional mínimo es el previsto
años por un consultor independiente. en la LSC, lo cual no es óbice para que
cada sociedad pueda añadir competencias
Delegación de facultades, comisiones
adicionales.
especializadas y limitaciones en su desarrollo
• Comisión de auditoría. Las funciones
Delegación de facultades (arts. 249, 249 bis,
legalmente encomendadas a este órgano
529 ter LSC):
son las siguientes:
Existe una ampliación de la lista de facultades - informar a la junta general sobre

indelegables (en mayor medida para materias de su competencia;
cotizadas).
- proponer al consejo de administración
La delegación de facultades cuenta con un para que este someta a la junta general
reforzamiento de requisitos: el nombramiento de auditores de

cuentas anuales;
• El consejo deberá establecer el contenido,
- supervisar la eficacia del control
los límites y las modalidades de delegación.
interno de la sociedad, la auditoría
• Necesidad de suscribir un contrato interna y los sistemas de gestión de
entre la sociedad y el consejero que sea riesgos;
designado consejero delegado o al que se
- supervisar el proceso de
atribuyan funciones ejecutivas.
elaboración y presentación de la
Comisiones especializadas (arts. información financiera y presentar
529 terdecies, quaterdecies, recomendaciones para salvaguardar
quindecies): su integridad;
- mantener las relaciones con los

El consejo de administración podrá constituir
auditores externos para recibir
en su seno comisiones especializadas,
información sobre aquellas
determinando su composición, designando a
cuestiones que pudieran amenazar su
sus miembros y estableciendo las funciones
independencia;
que asume cada una de ellas.
- emitir informe sobre la independencia
La LSC establece con carácter obligatorio la del auditor de cuentas;
creación de dos comisiones: la de auditoría
- informar al consejo en los términos
y la comisión de nombramientos y
del artículo 529 quaterdecies.4 g)
retribuciones.
de la LSC. (información financiera
Ambas estarán compuestas exclusivamente que la sociedad deba hacer pública
por consejeros no ejecutivos y al menos dos periódicamente, la creación o
de ellos han de ser independientes, de entre adquisición de participaciones en
los que se elegirá al presidente. entidades de propósito especial o
domiciliadas en países o territorios que - Informar las propuestas de

tengan la consideración de paraísos nombramiento y separación de altos
fiscales y las operaciones con partes directivos y las condiciones básicas de
vinculadas), salvo que estas funciones los contratos.
estén atribuidas estatutariamente a
- Examinar y organizar la sucesión
otra comisión y esta esté compuesta
del presidente del consejo de
únicamente por consejeros no
administración y del primer ejecutivo
ejecutivos y por, al menos, dos
de la sociedad.
consejeros independientes, uno de
los cuales deberá ser el presidente. - Proponer al consejo de administración
la política de retribuciones de los
• Comisión de nombramientos y consejeros y de los directores
retribuciones. Las funciones legalmente generales o de aquellos que
encomendadas a este órgano son las desarrollan sus funciones, así como
siguientes: la retribución individual y las demás
- Evaluar competencias, conocimientos condiciones contractuales de los
y experiencia necesarios en el consejo consejeros ejecutivos.
de administración.
Normas orgánicas
- Establecer un objetivo de
representación para el sexo Las sociedades anónimas cotizadas deberán
menos representado en el consejo aprobar un reglamento de normas de
de administración y elaborar régimen interno y funcionamiento del
orientaciones sobre cómo alcanzar consejo de administración, de acuerdo con
dicho objetivo. los artículos 528 y 529 LSC, que contendrá las
- Elevar al consejo de administración medidas concretas tendentes a garantizar la
las propuestas de nombramiento de mejor administración de la sociedad.
consejeros independientes para su

Dicho reglamento representa en buena
designación por cooptación o para
medida la concreción por el propio consejo
su sometimiento a la decisión de la
de su modelo de gobierno, es decir, su
junta general, así como las propuestas
organización, estructura, competencia y
para su reelección o separación por la
funcionamiento dentro de los límites legales
junta.
y estatutarios, constituyendo el instrumento
- Informar las propuestas de a través del cual el consejo ejercita su facultad
nombramiento de los restantes de autoorganización.
consejeros para su designación por
cooptación o para su sometimiento a El reglamento deberá regular, entre otros, los
la decisión de la junta general, así como siguientes aspectos del Consejo:
las propuestas para su reelección o
separación por la junta.
• Composición: tanto cuantitativa impartir instrucciones al órgano de

(número de miembros) como cualitativa administración o someter a su autorización
(proporción de consejeros ejecutivos y la adopción por dicho órgano de decisiones
consejeros externos, y entre dominicales o acuerdos sobre determinados asuntos de
e independientes). gestión (artículo 161 LSC), sin perjuicio de
que la representación de la sociedad por
• Estructura: información relativa a la
los administradores se extienda a todos
distribución de cargos dentro del mismo
los actos comprendidos en el objeto social
y la regulación de las funciones del
delimitado por los estatutos, siendo ineficaz
presidente, vicepresidente, consejero
frente a terceros cualquier limitación de estas
delegado, secretario y vicesecretario.
facultades representativas, aunque se halle
• Comisiones: información relativa a la inscrita en el Registro Mercantil (artículo 234
organización y funciones de las diferentes LSC).
comisiones creadas por el consejo en su
Por otro lado, conviene recordar que el
seno.
apartado f) del artículo 160 LSC reserva
• Funcionamiento: información relativa a a la junta general la facultad de adoptar
la frecuencia, convocatoria y desarrollo cualquier acuerdo relativo a la adquisición,
de las reuniones y a la forma de las enajenación o aportación a otra sociedad de
votaciones. activos esenciales, presumiéndose el carácter
• Información del consejero: en su doble esencial del activo cuando el importe de la
vertiente de derecho (regulando la forma operación supere el veinticinco por ciento del
y manera en que el consejero puede valor de los activos que figuren en el último
acceder a la información) y obligación. balance aprobado de la sociedad.
• Deberes y retribución de los consejeros. Difusión de información al

mercado. Especial relevancia de la
El reglamento será objeto de comunicación a página web corporativa
la CNMV, acompañándose del documento en
que conste. Efectuada esta comunicación se La regulación de la página web corporativa se
inscribirá en el Registro Mercantil con arreglo encuentra estipulada en los artículos 11 bis,
a las normas generales y, una vez inscrito, se ter y quater LSC:
publicará por la CNMV.
• Para las sociedades de capital es opcional y
Control interno societario. Límites obligatoria para las sociedades cotizadas.
a la actuación del órgano de • La creación de la página web corporativa

administración por la junta general deberá acordarse por la junta general
de la sociedad, debiendo figurar
Como ya ha sido analizado, la junta general
expresamente en el orden del día de la
de las sociedades de capital podrá, salvo
reunión. Salvo disposición estatutaria
disposición contraria de los estatutos,
en contrario, la modificación, el traslado que la interrupción se deba a un caso

o la supresión de la página web de la fortuito o de fuerza mayor.
sociedad será competencia del órgano de
• Si la interrupción de acceso a la
administración.
página web fuera superior a dos días
• El acuerdo de creación, modificación, de consecutivos o cuatro alternos, no podrá
traslado o de supresión de la página web celebrarse la junta general que hubiera
será publicado en el Boletín Oficial del sido convocada para acordar sobre el
Registro Mercantil (BORM). asunto a que se refiera el documento
inserto en esa página, salvo que el total
• Hasta que la publicación de la página web
de días de publicación efectiva fuera
en el BORM tenga lugar, las inserciones
igual o superior al término exigido por la
que realice la sociedad en la página web no
ley.
tendrán efectos jurídicos. En este sentido,
hasta la publicación en el BORM del Todas las sociedades cotizadas cuentan en sus
nuevo régimen seguirá siendo aplicable el páginas web con un apartado denominado
régimen anterior en los estatutos sociales. “accionistas e inversores” o similar, que
incluye la información exigible por la LSC, por
Respecto de las publicaciones en la página
la legislación del mercado de valores, por la
web:
Orden ECC/461/2013 y por la Circular de la
• La sociedad deberá garantizar la seguridad CNMV 4/2013, de 12 de junio.
de la página web, la autenticidad de los
documentos publicados en la misma, así
5.3.7. Informe anual de gobierno
como el acceso gratuito con posibilidad
corporativo
de descarga e impresión de lo insertado
El informe anual de gobierno corporativo se
en ella.
encuentra regulado en el artículo 540 de la
• Corresponderá a la sociedad la carga de LSC.
la prueba del hecho de la inserción de
Las sociedades cotizadas deben hacer
documentos en la página web y de la
público con carácter anual un informe
fecha en que esa inserción haya tenido
de gobierno corporativo. Este informe se
lugar.
comunica a la CNMV, acompañando copia
• Los administradores tienen el deber del documento en que conste y es objeto de
de mantener lo insertado en la página publicación como hecho relevante.
web durante el término exigido por la
El contenido y la estructura del informe se
ley, y responderán solidariamente entre
regulan por Orden ECC 2575/2015, de 30
sí y con la sociedad frente a los socios,
de noviembre, por la que se determina el
acreedores, trabajadores y terceros de los
contenido, la estructura y los requisitos de
perjuicios causados por la interrupción
publicación.
temporal de acceso a esa página, salvo
El informe debe ofrecer una explicación como hemos visto en punto 4 anterior del
detallada de la estructura del sistema presente Módulo, el informe de gobierno
de gobierno de la sociedad y de su corporativo ha de contener (artículo 540,4.c),
funcionamiento en la práctica, con el siguiente subapartado 6º) una descripción de la política
contenido mínimo: de diversidad aplicada en relación con el
consejo de administración, de dirección y
• Estructura de la propiedad.
de las comisiones especializadas que se
• Cualquier restricción a la transmisibilidad constituyan en su seno.
de valores y cualquier restricción al
derecho de voto.
• Estructura de la administración de la
sociedad.
• Operaciones vinculadas de la sociedad con

sus accionistas y administradores y cargos
directivos y operaciones intragrupo.
• Sistemas de control de riesgo, incluido el

fiscal.
• Funcionamiento de la junta general, con

información relativa al desarrollo de las
reuniones que celebre.
• Grado de seguimiento de las

recomendaciones de gobierno
corporativo, o, en su caso, la explicación
de la falta de seguimiento de dichas
recomendaciones. En este punto, hay que
seguir la Guía técnica de la CNMV de 15
de julio de 2016, sobre buenas prácticas
para la aplicación del principio “cumplir o
explicar”.
• Una descripción de las principales

características de los sistemas internos de
control y gestión de riesgos en relación con
el proceso de emisión de la información
financiera.
Recordemos a este respecto que como

consecuencia de la Ley 11/2018, y tal y
• La responsabilidad social corporativa, es un concepto de origen anglosajón que está vinculado

a las obligaciones de carácter voluntario de las organizaciones (los compromisos que adquieren
ante sus partes interesadas y la sociedad en general).
• La RSC es la manera en que las empresas integran las preocupaciones sociales, ambientales y
económicas en su cultura corporativa, con el fin de establecer mejores prácticas, crear valor y,
en definitiva, contribuir a mejorar la sociedad.
• Se destacan como normas y documentos de referencia de la RSC la Declaración Tripartita

EMN de la OIT, la Norma SA8000, la Norma AA1000AP, los Principios de Gobierno Corporativo
de la OCDE (2016), las Normas GRI y, por supuesto, la Norma ISO 26000 – Responsabilidad Social
• En España, es de especial interés conocer las obligaciones que derivadas de la Ley 11/2018, de 28
de diciembre, de información no financiera y diversidad, a la hora de determinar los obligados
a proporcionar el EINF (Estado de Información No Financiera), su contenido (informaciones
sobre cuestiones medioambientales; sobre cuestiones sociales y relativas al personal; sobre el
respeto de los DDHH; relativa a la lucha contra la corrupción y el soborno; sobre la sociedad;
cualquier otra información significativa) y presentación (de acuerdo con marcos nacionales,
de la UE, EMAS o internacionales, como las normas y estándares mencionados anteriormente).
• Otro concepto de origen foráneo es el de buen gobierno corporativo, como ejercicio consciente
de gestión de una organización, aplicando normas y principios para un adecuado y equilibrado
funcionamiento de los órganos de gobierno, asegurando su organización eficaz, transparente
y justa, para salvaguardar el interés social, y maximizar el valor de la empresa a medio y largo
plazo.
• Las bases del buen gobierno se establecieron por primera vez en la década de 1990 en Reino
Unido, con el denominado Informe CADBURY (1992), tras la identificación de varias deficiencias
existente en el ámbito del gobierno corporativo.
• A raíz de anterior, surgieron otras iniciativas a diferentes niveles. En el ámbito internación,

destaca los Principios de Gobierno Corporativo de la OCDE (1999).
• En España, destacan las iniciativas como el Código Olivencia (1997), el Informe Aldama (2002),
el Código Unificado de Buen Gobierno de las Sociedades Cotizadas o Código Conthe (2006) y el
más reciente Código de Buen Gobierno de las Sociedades Cotizadas (2015)
• Cabe destacar que la Ley 31/2014 integró la conocida como “business judgment rule” al incluirla
en a LSC bajo el título protección de la discrecionalidad empresarial. Esta regla garantiza a
los administradores de las sociedades libertad en la tome de decisiones empresariales sin temor
a que deriven de forma automática en una infracción de sus deberes y en responsabilidad,
siempre que se cumplan con unos requisitos.
Módulo 6
El Compliance Officer
MÓDULO 6 • EL COMPLIANCE OFFICER
Módulo 6 de la cultura de Compliance, para identificar

los elementos estandarizados y abstraernos
El Compliance Officer de los específicos.
Si bien encontraremos puntos comunes de

Objetivos
este perfil, ha de indicarse que asuntos tales
Tras completar este módulo, el alumno como la dependencia orgánica o funcional137 o
deberá ser capaz de: los contenidos específicos de tareas/materias
asignadas al responsable de Compliance
• Familiarizarse con la diferente nomenclatura dependen de la gobernanza e idiosincrasia

y ámbito de los puestos vinculados al ejercicio de las entidades (p. ej. un Compliance Officer
de la función de Compliance. del sector minero requerirá un conocimiento
• Conocer la definición y estructuras especializado de asuntos medioambientales,
organizativas más comunes de Compliance. mientras que el de una entidad financiera
• Identificar las tareas y responsabilidades requerirá conocimientos de prevención de
más habituales asociadas a puestos de blanqueo de capitales y financiación del
Compliance.
terrorismo).
• Referir casos reales de interés vinculados a la
actividad del Compliance Officer. También ha de tenerse en cuenta el
• Identificar las habilidades y competencias, principio de proporcionalidad ya que, en
necesarias y deseables, de un Compliance ocasiones debido al tamaño de la empresa, el
Officer. Compliance Offcier puede llegar a combinar
• Enumerar las características de la función su función principal con otras secundarias no
de Compliance y sus elementos. relacionadas con Compliance.
• Reconocer las interacciones y áreas de
solapamiento de Compliance y otras Las organizaciones que tengan asignado
funciones de control en las organizaciones. un responsable de Compliance o un
departamento de Compliance, no deben de
llevarse a engaño pensando que todas las
6.1. Introducción tareas de Compliance se concentran en esa
persona o departamento: todos y cada uno
A lo largo de este módulo estudiaremos la
de los miembros de la entidad tienen tareas
figura del Compliance Officer tanto desde el
que están relacionadas con el Compliance.
punto de vista de elementos necesarios para
serlo, como de las dependencias jerárquica y Compliance no es sólo cumplir con las
funcional, expectativas del rol, funciones o su leyes, sino seguir principios y actuar
evolución a lo largo del tiempo. conforme a ellos.
Veremos los elementos comunes de la

función, independientemente del sector, 137 La dependencia orgánica se refiere a la unidad/departamento en
la que se está encuadrado en la organización. La dependencia
tamaño de la empresa o nivel de desarrollo funcional se refiere a aquella del órgano unipersonal o colegiado
que dispone los objetivos y asigna las tareas (funciones).
De ahí que muchas entidades (sobre todo El desarrollo de nuevas líneas de negocio
las americanas) hablan del “We are all en entornos digitales ha conllevado que
Compliance Officers” o lanzan mensajes a las para su asesoramiento y gestión desde el
plantillas conteniendo ideas-fuerza que les punto de vista de riesgos de Compliance,
hagan ser conscientes de que ellos también los responsables de Compliance hayan
forman parte del universo de Compliance evolucionado hacia nuevos perfiles técnicos
(“Compliance starts with C and ends with YOU” (IT Compliance).
(Encore) o “Do the right thing”).
A diferencia de otros entornos en los que
6.2. Puestos y estructuras existen equivalencias normalizadas (por
relacionadas con la función de ejemplo, la administración pública, o en las

diferentes categorías de empleos militares
Compliance
en países de la OTAN), los puestos de
6.2.1. Puestos de Compliance trabajo en el ámbito corporativo carecen
de estandarización, y por ello existe una
El papel del Compliance Officer puede estar
considerable variedad de denominaciones
claramente definido dentro de las entidades
para puestos de Compliance. Difícilmente
(contando con una unidad o departamento
se puede establecer una equivalencia exacta
específico), o puede ser una función
entre dos organizaciones diferentes, más aún
descentralizada que depende de un órgano
si operan en distintos sectores.
colegiado, en cuyo caso el presidente de dicho
órgano será el principal responsable de la En este sentido, el sector y la regulación
implantación de un programa de Compliance condicionarán notablemente la
adecuado. organización de Compliance: si hablamos
del sector asegurador o financiero, se hará
En casos en los que se requiera unos
imprescindible contar con alguna estructura
conocimientos específicos de los que el
relacionada con el fraude y la prevención
responsable o su equipo carezcan, podrá
de blanqueo de capitales y financiación del
apoyarse en externos (p. ej., consultores o
terrorismo (PBC/FT).
abogados) para cubrir esa materia, siempre y
cuando se entienda como algo puntual. Sin embargo, si nos trasladamos al sector
farmacéutico o sanitario, es más probable
De convertirse en una necesidad recurrente,
que el énfasis se sitúe sobre las estructuras
la entidad ha de plantearse formar o actualizar
antisoborno relacionadas con la prevención
los conocimientos del departamento de
de la corrupción, por ejemplo.
Compliance o ampliar dichos equipos con
expertos en la materia. Un ejemplo de Por tanto, incluimos el siguiente listado a
estos casos ha sido el impacto de nuevas modo de guía, con las denominaciones más
tecnologías. frecuentes (suelen ser en inglés) de los puestos
de trabajo de la función de Compliance:
• Compliance Officer (CO): Se trata la actividad relacionada con la lucha

del puesto de trabajo responsable de contra el blanqueo de capitales. Ha de
desarrollar las tareas de Compliance en ser un alto cargo, tener libertad para
una organización. actuar bajo su propia autoridad y tener
conocimiento o estar informado de
En los casos en los que exista más de
cualquier relevante del sujeto obligado”.
una persona dedicada a estas tareas,
de forma que se constituya un equipo, De acuerdo con este manual, aunque el
departamento o similar, CO haría MLRO formase parte de una estructura
referencia genérica a los miembros de esa de Compliance o se encontrase bajo la
unidad que no la dirigen. El responsable supervisión de otro cargo de Compliance
recibiría, en cambio la denominación de (Head of Compliance o CCO), debería
Head of Compliance, Chief Compliance, o contar con independencia y autoridad
denominaciones similares). propias, puesto que su responsabilidad
(incluida la penal) es individual.
En ocasiones, el término CO engloba, sin
más distinciones, puestos y categorías de • Head of Compliance: Es la persona
mayor o menor responsabilidad: Técnico, nombrada como responsable de la
Ayudante o Analista de Compliance. función de Compliance y de cualquier
comunicación o informe de Compliance
En otras ocasiones, se reemplaza la
que sea requerido por los reguladores del
referencia a Compliance en el título por
país e industria en la que se enmarque.
la función o área específica, como puede
ser: responsable de de PBC/FT (también Este órgano unipersonal aglutina los
conocido como MLRO, o Money Laundering cometidos relacionados con Compliance
Reporting Officer en inglés), Técnico KYC y adquiere sentido en pequeñas o
(Know Your Customer), y/o su experiencia medianas organizaciones donde el elenco
(junior, senior), etc. normativo es acotado.
Las posibilidades y tipologías son muy También es viable en posible encontrarlo

amplias y están en permanente evolución. en grandes organizaciones, cuando se le
Así, en algunas jurisdicciones, como es la encomienda vigilar de manera exclusiva
británica, se ha desarrollado el perfil del cierto ámbito específico o esté a cargo de
ya el mencionado MLRO, configurándose una entidad (p. ej. sucursal o filial) dentro
como un puesto especializado clave de de un marco organizativo y jerárquico
Compliance en entidades financieras, tal superior.
y como señala el Manual de la FCA . 138
Así, por ejemplo, el responsable de

“La tarea del MLRO es actuar como Compliance Global sería el CCO, mientras
referencia, dentro del sujeto obligado que el CO responsable de la función para
[empresa], para la supervisión de toda una demarcación nacional/regional, sería
el Head of Compliance.
138 Manual de la Autoridad de Conducta Finaciera del Reino Unido
(UK FCA). Obtenido de: www.handbook.fca.org.uk/handbook
• Chief Compliance Officer (CCO): En Según algunos autores, este enfoque

organizaciones complejas o grupos cuenta con los siguientes beneficios140:
empresariales, este puesto corresponde
- Mejor rendimiento: Una buena imagen
a personas con visión de conjunto y
y reputación condiciona cada vez más
dependencia directa al máximo órgano
a los inversores, por lo que mejora los
de decisión en aspectos relativos a
resultados a medio y largo plazo.
Compliance.
- Imagen favorable: Las entidades con
Por lo general suelen cubrir regiones imagen de transparencia atraen a
(CCO Europa o EMEA, CCO Americas, etc) potenciales socios, clientes, inversores y
o varias entidades en un mismo país (p.ej. empleados. Un escándalo o una imagen
CCO para un conglomerado). negativa crea barreras de entrada en
proyectos, negocios e incrementa el
• Chief Ethics and Compliance Officer
coste de retención de talento.
(CECO): Se trata de una función similar
a la anterior, si bien subrayando la - Satisfacción de los empleados:
importancia interna que el grupo le dé los empleados orgullosos de la
al desarrollo de negocios de una manera organización para la que trabajen
ética y pensando en la relación con dudarán más a la hora de plantearse
clientes a largo plazo. un cambio laboral. Sin embargo,
entidades con escándalos de
Esta denominación del puesto surge
corrupción o mala praxis no sólo
en organizaciones en las que se ha
tendrán dificultades en retener el
evolucionado de un enfoque regulatorio
talento, sino en atraerlo, dado la
(cumplir con los requerimientos legales)
reticencia común de empleados con
hacia un enfoque intrínseco.
prestigio profesional a ser vinculados
• Chief Integrity Officer (CIO): que la a entidades problemáticas.
evolución del CCO hacia un perfil más
• Compliance Liaison Officer/ Business
amplio, hace que surja la necesidad de una
Liaison Compliance Officer (CLO/ BLCO
nueva figura: el Chief Intergrity Officer139.
por sus siglas en inglés): esta figura
Este rol apoyaría al máximo órgano de surge debido a que varios reguladores a
decisión en el diseño de una cultura nivel internacional (p. ej. inglés, alemán
corporativa adecuada, contribuyendo a y holandés) establecen que, dentro del
crear un entorno en el que las personas modelo de tres líneas de defensa, la
estén satisfechas y orgullosas del trabajo primera línea de defensa ha de encargarse
que realizan por aportar valor a la de los controles dentro del día a día del
sociedad, y no solo porque cumplir con negocio, y la segunda línea no ha de verse
las normas. involucrada en estos procesos salvo que
concurran indicadores de riesgo.
139 Enrique Aznar y Antonino Vaccaro (2015) 140 Aznar y Vaccaro (2015).
La necesidad de que la primera línea

• Responsable de referencia (para el
cuente con controles robustos (por supervisor) en materia de PBC/FT
ejemplo, funciones de control en mesas MLRO • Requiere independencia y
de tesorería). Facilita el surgimiento de autoridad.
estos CLO/ BLO, que se hacen cargo • Debe ser puesto de alto nivel.
de las labores de Compliance de esta • Compliance Liaison Officer/
Business Liaison Compliance
primera línea, así como de la coordinación
Officer (Oficial de enlace en la
y escalado con el departamento de primera línea)
Compliance. Así, se refuerza la función de • Surge por presión regulatoria,
Compliance en primera línea, creando y vinculada a las tres líneas de
CLO/BCLO defensa.
crea un puente de comunicación efectiva
• Es una especialización de las
con el departamento de Compliance.
labores de Compliance, pero en la
primera línea (negocio).
• Denominación general de un
• Refuerza coordinación y enlace
empleado que desarrolla labores
entre Negocio y Compliance.
de Compliance.
• En organizaciones pequeñas, • Denominación específica de un
Técnico,
puede ser la denominación del CO que desarrolla labores de en
Compliance Analista,
responsable de la función. un ámbito o área concreta, como
Officer Especialista
puede ser KYC, PBC/FT, riesgos.
• En ocasiones, está especializado
en funciones concretas (PBC/
Cuadro resumen de puestos habituales de la función de Compliance.
FT, KYC, etc), por lo que recibe la Elaboración propia.
denominación de técnico, analista
o especialista.
6.2.2. Estructuras de Compliance
• Órgano unipersonal que aglutina
los cometidos de Compliance Como se ha señalado en el epígrafe anterior,
• En pequeñas o medianas la función de Compliance dentro de una
organizaciones donde el elenco
Head of normativo es acotado. organización puede desplegarse de varias
Compliance maneras, siguiendo un modelo o estructura
• También en organizaciones
mayores, para ejercer labores en de gestión distinto. Estas estructuras variarán
un ámbito específico dentro de un
en función de varios parámetros, como
marco organizativo y jerárquico
superior. pueden ser:
• Responsable de Compliance en • Tamaño de la organización;
organizaciones complejas o grupos
empresariales
• Sector en el que opera;
• Por lo general suelen cubrir
regiones (CCO Europa o EMEA, CCO • Complejidad de la regulación general o
Americas, etc) o varias entidades
CCO, CECO, sectorial aplicable;
en un mismo país (p.ej. CCO para
CIO
un conglomerado).
• Organización interna (concentración o
• Pueden referir varias
denominaciones en función separación respecto de otras funciones);
del énfasis que quiera poner la
organización (Ética, Integridad) o • Cultura organizacional y tradición en
su enfoque.
Compliance.
Así pues, en función de las características y responsables de Compliance de varias

del entorno donde opera la organización, áreas geográficas o de diferentes áreas
podemos encontrar unas u otras modelos de de actividad).
organización de Compliance.
Fomenta la cultura de Compliance e
Se describen a continuación algunas de las identifica y gestiona sus riesgos. Asimismo,
estructuras más habituales que pueden supervisa el sistema de Compliance, revisa
darse en las organizaciones para la gestión resultados, riesgos y establece planes de
de Compliance: acción correctivos.
• Comisión de Compliance: También En organizaciones complejas o

puede recibir otras denominaciones, pertenecientes a sectores muy regulados,
como Comisión de Ética y Compliance, o es habitual que exista esta estructura
de Auditoría y Compliance, etc. como parte del gobierno corporativo
de las entidades. En organizaciones
Se trata de una estructura de carácter
pequeñas, este rol se identifica con el
colegiado para el seguimiento de la función
máximo órgano de administración (p. ej.
de Compliance en una organización.
Consejo de Administración).
En ella se tratan los asuntos relevantes

• Departamento de Compliance: Es la
relacionados con esta función, antes de
unidad funcional responsable de la gestión
ser elevados al Consejo de Administración,
operativa del sistema de Compliance, así
así como la promoción de la cultura de
como de las políticas y procedimientos de
Compliance.
Compliance.
Entre otras funciones, discute, realiza

Entre sus actividades habituales se
modificaciones y propone políticas de alto
encuentra el establecimiento de
nivel para presentación y aprobación en
programas, redacción de normas y políticas
el Consejo de Administración, así como
escritas, desarrollo de la estructura de
el seguimiento del Plan y programas de
Compliance, labores de formación y/o
Compliance, análisis del impacto de las
concienciación, actividades de control y
nuevas regulaciones, etc.
supervisión, acciones correctivas y gestión
• Comité [de Dirección] de Compliance: del canal de denuncias.
Se trata de otro órgano colegiado, que

Está integrado por diferentes perfiles
se reúne de manera periódica y toma
de puestos de Compliance, que varían
decisiones relativas a gestión de la
según la organización, sector y normativa,
función.
responsabilidad ejercida, ámbito
También puede ser un grupo de trabajo funcional o territorial de responsabilidad,
multidisciplinar en el seno de la estructura madurez de la función en la organización,
de Compliance (por ejemplo, de los etc.
• Equipos de Compliance: Se trataría

• Revisa resultados, riesgos y
de la estructura funcional básica en los establece planes de acción
departamentos de Compliance. correctivos.
• En organizaciones complejas
Realizar las evaluaciones de riesgos de o pertenecientes a sectores
regulados, es habitual que exista
Compliance orientados a una actividad
la figura del comité de Compliance
concreta (KYC, PBC/FT, fraude, denuncias, como parte del gobierno
etc), y también informes de evaluación corporativo de las entidades. En
organizaciones pequeñas, este rol
y resultados. Lo eleva al responsable se identifica con el máximo órgano
funcional (o de ámbito específico). de administración (p. ej. Consejo
de Administración).
• Estructura colegiada superior • Es la unidad funcional responsable

de seguimiento específico de la de gestión del sistema de
función de Compliance en una Compliance, sus políticas y
organización. procedimientos para la gestión de
• Puede recibir otras denominaciones: los riesgos de este ámbito.
Comisión de Ética y Cumplimiento, • Entre otras actividades, puede
Auditoria y Complimiento, de establecer programas, redactar
Control Interno, etc normas y políticas, realizar
• Actúa como órgano asesor del actividades de formación, auditoría
Consejo de Administración en y supervisión, ejecutar acciones
Departamento
materia de Compliance. correctivas y gestionar el canal de
de Compliance
denuncias.
Comisión de • Discute, realiza modificaciones y
Compliance propone políticas de alto nivel para • Compuesto por personal de
presentación y aprobación en el diferentes perfiles en función de las
Consejo de Administración. circunstancias de la organización
(responsabilidad, regulación,
• Supervisa y evalúa el sistema o ámbito funcional o territorial,
modelo de Compliance, así como
madurez de la función, etc).
las políticas clave en ese ámbito.
• No confundir con la función de • Estructura funcional básica en los

Compliance ejercida por un órgano departamentos de Compliance.
colegiado (Comité de Compliance) • Realizar las evaluaciones de riesgos
de Compliance orientados a una
• Órgano colegiado que se reúne actividad concreta (KYC, PBC/FT,
de manera periódica y toma
fraude, denuncias, etc).
decisiones relativas a Compliance.
También puede ser un grupo de Equipos de • Realiza los informes de evaluación y
trabajo multidisciplinar en el seno
Compliance resultados. Lo eleva al responsable
de la estructura de Compliance funcional (o de área).
(por ejemplo, de los responsables • Pueden denominarse Equipos,
Comité de de Compliance de varias áreas Unidades, Grupos, etc.
Dirección de geográficas o de diferentes áreas
Compliance de actividad). Puestos y estructuras de la función de Compliance.
• Funciona como extensión del
responsable de Compliance.
• Supervisa la ejecución de los

programas de Compliance.
Caso de estudio V: Dieselgate de Volkswagen 6.3. Roles y responsabilidades

En mayo de 2017, un mes después de ser condenada del CO
por el escándalo de las emisiones, Volkswagen (VW)
anunciaba el nombramiento de una nueva Chief El Compliance Officer (CO) ha de asesorar
Compliance Officer en EE.UU, como parte de un sobre cómo llevar a cabo una adecuada
paquete de medidas mitigadoras acordadas con las
gestión de los riesgos de Compliance dentro
autoridades estadounidenses. (amplias reformas,
auditorias, someterse a supervisión). Además, de la organización, incluyendo asesoramiento
como parte del acuerdo, la multinacional alemana en decisiones de carácter estratégico o de
aceptó un periodo de monitorización de tres años. modelos de negocio.
Para entonces, VW ya había acordado el pago
de 25.000M de dólares en compensaciones a los Puede darse el caso que las recomendaciones
clientes, distribuidores, reguladores y diferentes del CO no sean seguidas (p. ej. decisión de
administraciones. Al final del escándalo, el coste un consejo de administración de aceptar un
total se calculó en unos 35.000M de dólares.
riesgo que el CO desaconseja). Si esto sucede,
El CEO del grupo en EE.UU declaró que la nueva el CO ha de preocuparse en documentar este
CCO sería parte del equipo ejecutivo y que contaba hecho en sus informes, dejando evidencia y
con un “historial comprobado de avances en los
trazabilidad del asesoramiento, decisiones
objetivos relacionados con el cumplimiento a través
de soluciones pragmáticas que logran resultados tomadas, y elementos tenidos en cuenta para
medibles". llegar a esa conclusión.
Es evidente que estas declaraciones reforzaban

Algunos autores identifican al Chief
la autoridad del nombramiento y reconocían la
importancia que las autoridades estadounidenses Compliance Officer (CCO) como la persona
daban a Compliance y a otras medidas de control responsable del liderazgo diario de la cultura
interno. ética de la organización141. Si bien se reconoce
El coste económico y reputacional del escándalo que el consejero delegado o los miembros
tuvo una dimensión desconocida hasta entonces, del máximo órgano decisorio han de liderar
llegando a cuestionarse la viabilidad del propio
con el ejemplo, es necesaria una persona que
grupo VW (Porsche, Audi, Volkswagen, Skoda, Seat,
haga seguimiento diario de la cultura ética de
etc).
la empresa e iniciativas relacionadas con ésta.
Fuente:
Así pues, esta figura sería la específica del CO
• Volkswagen U.S. unit names Compliance Officer (o CCO en organizaciones más complejas),
after diesel scandal. Reuters. www.reuters.com/
que debe liderar la cultura ética de la entidad
article/volkswagen-emissions/volkswagen-u-s-unit-
names-Compliance-Officer-after-diesel-scandal- para la que trabaja, por lo que ha de proponer
idUSL1N1ID1SJ formas de transformar los grandes mensajes
• New chairman sees emissions scandal as threat to e ideas en acciones y realidades.
VW's viability: paper. www.investing.com/news/stock-
market-news/new-chairman-sees-emissions-scandal- Igualmente, como integrante de la segunda
as-threat-to-vw's-viability:-paper-364493
línea de defensa, llevará a cabo funciones
• Critical Lessons from the Volkswagen Scandal. https:// de control interno siguiendo un enfoque
www.corporatecomplianceinsights.com/lessons-
volkswagen-scandal-ethical-failings/ 141 Boehme (2014).
basado en riesgos, siendo responsable de la de desarrollo de políticas, formación,

supervisión del desarrollo e implementación revisiones, proyectos e iniciativas. El plan
de los programas de Compliance en las de Compliance ha de seguir un enfoque
organizaciones. basado en riesgos teniendo en cuenta los
medios con los que se cuenta.
A este respecto, se considera que el CO ha es
de tener incluso mayores responsabilidades • Identificar riesgos de Compliance y
de supervisión que otros ejecutivos asesoramiento al órgano responsable:
corporativos142. Sobre posibles opciones de gestión de
los mismos. Por riesgos de Compliance
El CO tendrá responsabilidades específicas entenderemos los siguientes:
dependiendo de la estructura de gobierno
- De incumplimiento de principios
corporativo de la entidad. En general
éticos y normativa interna tanto por
podríamos decir que se estructuran desde un
los empleados como por la propia
enfoque de prevención (responsabilidades
entidad/ grupo, incluyendo nuevos
cuya finalidad es evitar un incidente) y un
productos, nuevas operaciones de
enfoque de detección (responsabilidades
negocio o geografías.
cuya finalidad es la gestión y escalado de
incidentes). - De incumplimiento regulatorio,
contractual o de prácticas
6.3.1. Áreas y actividades profesionales (p. ej. mal interpretación
habituales del CO de cierta regulación).
A continuación, se enumeran ejemplos de - Reputacional.

responsabilidades habituales del puesto
- Operacionales, que hayan tenido
(listado no exhaustivo):
como causa o consecuencia alguno de
• Promoción de valores éticos: Apoyando los casos anteriormente indicados.
al máximo órgano de decisión y
• Coordinar la evaluación de riesgos
promoviendo la adherencia a los mismos
de Compliance: Compliance es una
por parte de las plantillas.
función esencialmente de gestión de
• Establecer regulaciones internas de riesgos, por lo que debe trabajar en
Compliance: Apoyando y asesorando estrecha colaboración con los distintos
sobre al máximo órgano de decisión a la departamentos de la entidad.
hora de establecer estas regulaciones.
En determinados sectores, si la función
• Plan de Compliance: Diseñando, de Compliance incluye delincuencia
desarrollando y ejecutando un plan que financiera, también estará encargado de
incluya las actividades programadas la elaboración específica de la ficha de
para el próximo año fiscal en términos autoevaluación en materia de PBC/FT.
142 Susan Lorde Martin, (2015)
• Plan de monitorización y controles; trabaje y de otros factores, como puede ser la

Responsable de la supervisión de la intensidad de cambios normativos que se den
implementación de normativas internas sobre un sector en un periodo determinado.
de Compliance mediante el desarrollo
A efectos orientativos, se incluye a
de un plan de monitorización y pruebas
continuación un listado de tareas semanales
siguiendo un enfoque basado en riesgos.
habituales de los Compliance Officer, basado
La monitorización incluye la evaluación de en una encuesta de 2019143.
la eficacia y la eficiencia de los controles
de Compliance implantados en la primera Tareas semanales de un Compliance Officer
línea de defensa. (English y Hammond, 2019)
• Asesoramiento en asuntos relacionados 1. Seguimiento e implantación de cambios

con Compliance: A todos aquellos regulatorios
departamentos que puedan requerirlo, 2. Informes al órgano jerárquico superior

alertando y guiando en el posible impacto 3. Políticas y procedimientos
de nuevas regulaciones que puedan 4. Relación con funciones de control
impactar a la entidad o el asesoramiento
5. Otros:
en caso de incidentes.
• Régimen de responsabilidades
• Seguimiento periódico de la evolución • Controles internos
de los planes de acción: Relacionados • Alineación con requerimientos globales de
con medidas correctoras necesarias Compliance
para la mejora del marco de control de • Evaluación y monitorización de riesgos de
Compliance en la organización. conducta
• Brexit
• Comunicación, formación y • Ciberseguridad
sensibilización: De empleados, alta • Control de costes de Compliance
dirección y departamentos específicos, en • Proyectos de implementación de cambios
materias de Compliance. regulatorios
• Mejora de la cultura de Compliance en la
• Contacto con supervisores y reguladores
organización
en asuntos de Compliance: Cuando
• Monitorización de crimen financiero,
así lo requiera la normativa o bien no sanciones y conducta de mercados
especifique otros responsables o canales. • Outsourcing
• Escalado de incumplimientos. • Supervisión de la estrategia corporativa y de

negocio
• Gestión de canales de denuncia. • Supervisión de privacidad y protección de
datos
No obstante, las tareas del Compliance
Officer variarán en función de su perfil, de 143 Resultados de una encuesta de casi 900 Compliance Officer acer-
ca de la distribución de actividades en su jornada laboral. “Cost
las características de la entidad para la que of Compliance 2019: 10 years of regulatory change”, English y
Hammond (2019).
• Informes regulatorios exposición máximo concurre al confluir

• Planes de remediación tres actividades sujetas a riesgos distintos:
• Revisión de nuevos productos y servicios, el diseño del modelo de Compliance, su
gobierno de productos operación razonable, y la adopción y
• Establecer estándares de gobierno corporativo ejecución de las decisiones apropiadas”.
• Formación
En conclusión, el CO sería responsable por la
mala praxis o negligencia en el desempeño de
las funciones que se le hayan sido asignadas.
En caso de que asesore, pero la toma de
decisiones corresponda a un nivel jerárquico
superior, éste sería el responsable de las
consecuencias derivadas de dicha toma de
decisiones.
El CO ha de convertirse no sólo en un gestor

Semana del Compliance Officer. de riesgos y en un asesor para la organización.
Fuente: Basado en English y Hammond (2019) “Cost of Compliance 2019:
10 years of regulatory change” Thomson Reuters Regulatory Intelligence
Ha de encontrar un equilibrio entre estos
roles y el papel de poner en cuestión
La figura del CO ha ido adquiriendo cada vez planteamientos o decisiones que pueden ir
mayor peso en las compañías durante los en contra de la cultura de la empresa y de
últimos años. Como consecuencia, los CO se los principios éticos de ésta. Este rol suele
han ido responsabilizando cada vez de un adquirir importancia sobre todo con respecto
mayor número de tareas y han asumido más a la relación de los CO con la primera
áreas de las que inicialmente estaba dentro línea de defensa145.
de su ámbito de cobertura. El crecimiento de
los equipos de Compliance ha implicado una
Caso de estudio VI: MoneyGram
expansión de sus negociados o mandatos.
En mayo de 2017 el Compliance Officer de
En ciertas ocasiones, el CO puede pasar de ser
MoneyGram acordó pagar una multa de 250.000
un asesor a tomar decisiones, dependiendo dólares y una condena de 3 años de inhabilitación
del nivel de autoridad y reconocimiento por falta de diligencia en controles de prevención
asignado e las organizaciones. En estos de blanqueo de capitales.
casos144:
Las autoridades estadounidenses habían
“(…) a medida que este cometido esencial denunciado al responsable de Compliance en 2014,
se complementa con la potestad de proponiendo inicialmente una multa de 1.000.000
adoptar decisiones, obviamente aumenta de dólares. El caso, lógicamente, fue seguido con
gran atención por la comunidad de responsables
su exposición personal por la diligencia
de Compliance en EE.UU.
esperable en esta faceta. (…) el nivel de
144 Casanovas (2018). 145 Financial Conduct Authority (2017).
El director de la Unidad de Inteligencia Financiera El CO debe lograr persuadir de que esas malas
de EE.UU (FinCEN, Financial Crimes Enforcement praxis pueden reportar beneficios a corto plazo
Network), Jamal EL-HINDI declaró que “hacerlo en el mejor de los casos, pero comprometen
personalmente responsable refuerza a la profesión
el futuro de la organización a medio y largo
de Compliance, demostrando que este tipo de
plazo. Esto es debido al alto impacto que las
comportamientos no serán tolerados en los rangos
de los profesionales de Compliance”.
sanciones o riesgos reputacionales pueden
tener, y su naturaleza diferida (son riesgos
Fuentes: con impacto de efectos significativos, pero
Nathan Layne (4 de mayo de 2017). Former MoneyGram

no inmediatos), lo que impiden en ocasiones
executive settles closely watched U.S. money laundering percibir su verdadera dimensión.
case. Reuters. Recuperado de www.reuters.com/article/
us-moneygram-intl-moneylaundering-idUSKBN1802P3 6.4. Competencias y
habilidades del CO
El CO ha de velar por que el comportamiento
En este epígrafe nos centraremos en
del personal sea alineado no sólo con
relacionar una serie de competencias
la regulación, sino con los principios
técnicas y personales que se consideran
establecidos en la organización. Por
adecuadas para cualquier miembro de un
ese motivo, reguladores como el inglés
equipo o departamento de Compliance, tanto
hablan del CO como gestor de riesgo de
más cuanto mayor sea la responsabilidad
conducta (conduct risk) o gestor de riesgos
desempeñada por éste.
de integridad (integrity risk). Así, los puestos
comentados anteriormente de CECO (Chief Obviamente, lo que es válido para cualquiera
Ethics Compliance Officer) o CIO (Chief Integrity de los miembros del departamento, tanto
Officer) parecen ser la evolución natural del más lo será para quien encabece y dirija al
CO de cara a cumplir con las expectativas de mismo.
los supervisores. Este gestor de riesgos de
Si, en otro escenario, la función de Compliance
conducta buscará la interiorización de valores
se ejerce por una sola persona, debería
de honestidad e integridad en las plantillas,
dotarse de mecanismos para complementar
liderando con el ejemplo.
aquellas competencias de las que pueda
El CO habrá que enfrentarse al reto de la carecer.
denominada resistencia al cambio, ya que
Si, en vez de un departamento, la función
habrá prácticas o formas de trabajar que
de Compliance esté ejercida mediante un
no encajarán con los principios éticos de la
órgano colegiado (Comité de Compliance
organización, y será labor del CO el reconducir
o denominación/estructura similar),
estas prácticas. En muchas ocasiones oirá la
cabrá esperar que sus integrantes cubran
expresión “así es como hacemos las cosas
razonablemente, como grupo, dichas
aquí” o “es algo habitual y de no hacerlo de
competencias, aunque no concurran a nivel
este modo perdemos negocio”.
individual en cada uno de ellos.
6.4.1. Competencias técnicas • Conocimientos en gestión de riesgos: el

CO ha de tener experiencia en la gestión
Las competencias personales sobre de los principales riesgos que afronte
conocimientos y experiencia han de ser la entidad para la que trabaja. De poco
suficientes para poder desempeñar su sirve ser un experto en regulaciones y
función de forma efectiva, siendo capaz de no ser capaz de valorar y asesorar su
evaluar los riesgos de Compliance inherentes importancia, y considerar si el marco
a las circunstancias de la entidad. de control existente es adecuado con el
apetito de riesgo de la entidad.
El Libro Blanco sobre la función de
Compliance146 indica que: • Capacidad y conocimientos de gestión
de proyectos regulatorios: en ciertos
“La organización se cuidará de que las
sectores, el entorno regulatorio cada vez
personas que integran la función de
más exigente ha empujado a que los
Compliance dispongan de una formación
departamentos de Compliance cuenten
o acreditación profesional coherente con
con gestores de proyectos, con capacidad
sus cometidos esenciales, y aquellos otros
de filtrado de la regulación y coordinación
que pueda determinar el Programa de
de proyectos regulatorios, aplicando las
Compliance que deben operar. […]
estructuras de trabajo y herramientas
La organización se cuidará de que las típicas de los gestores de proyecto. Esta
personas que asumen cometidos relevantes figura facilita la implantación de proyectos,
en la función de Compliance reciban su seguimiento y documentación.
formación recurrente de calidad, que
las capacite para el desempeño de sus
Habilitación, formación,
cometidos esenciales y, en particular, operar
acreditación y registro
adecuadamente el Programa de Compliance En ciertas jurisdicciones y sectores, el CO
que tenga asignado”. ha de acreditar algún tipo de certificación,
formación o aprobar algún tipo de evaluación.
Por lo general las entidades evalúan los
siguientes aspectos: A este respecto, OICU-IOSCO presentó los
resultados de un estudio147 sobre el papel del
• Conocimiento de la regulación aplicable
Compliance Officer en distintas jurisdicciones.
al sector y expectativas de autoridades
Este documento destaca que en jurisdicciones
supervisoras. En el caso de tratarse de
como la inglesa el papel del CCO ha de ser
un grupo empresarial, es deseable que
aprobado por el regulador (actualmente se
tenga conocimiento de la regulación de
conoce como “Senior Management Regime”).
las jurisdicciones con más peso dentro del
grupo.
147 The function of Compliance Officer. Study on What the Regulations
of the Member’s Jurisdictions Provide for the Function of Compliance
Officer. SRO Consultative committee of the International Organiza-
146 Asociación Española de Compliance- ASCOM, 2017 tion of Securities Commissions (2003).
En Japón, las personas han de pasar una o registro, más allá de la adecuación
formación que el propio regulador provee. genérica en el sector financiero en cuanto
En EE.UU, el personal de Compliance de a la formación, experiencia y capacidad
ciertos sectores (p.ej. valores) ha de pasar (adecuación al puesto) que, como parte de
por formaciones y pruebas (en remoto) que la Alta Dirección, debe tener el Compliance
ciertas plataformas de formación proveen. Officer en una entidad financiera (banco, caja
de ahorro o entidad de crédito).
Asimismo, hay casos en los que el CO ha de
estar registrados ante las autoridades (p. En este sector, la implantación del Compliance
ej. el New York Stock Exchange requiere que se ha venido centrando, entre otros asuntos
dos tipos de perfiles de Compliance Officer clave, en PBC/FT, por lo que a los profesionales
estén registrados: i) Perfil de supervisor de en dicho ámbito se les está normalmente
Compliance que ha de ser un cargo ejecutivo exigiendo ciertas acreditaciones,
o de alta dirección; ii) Perfil de profesionales ampliamente reconocidas por el sector. No
de Compliance a cargo de 10 o más personas). obstante, dado que se han desarrollado
para el mercado anglosajón (y, por tanto,
La experiencia requerida dependerá del si se
centradas en la normativa y especificidades
trata de un perfil más experimentado o bien
estadounidenses), en ocasiones pueden ser
uno “junior” dentro de los departamentos
inespecíficas o irrelevantes para el desarrollo
de Compliance, y del nivel de complejidad
de la función en otras regiones o países.
de la organización y sus negocios. A mayor
experiencia, mayor bagaje, que facilitará Tampoco existe la necesidad de registrarse
que el Compliance Officer pueda tener en alguna entidad profesional. El único
el conocimiento necesario para tomar registro del que se tiene constancia
decisiones adecuadas y conseguir los apoyos relacionado con el ámbito de Compliance es
precisos para mover proyectos de una forma el del Banco de España en relación a aquellos
eficiente, mediante toma de decisiones que pueden realizar el Informe de Experto
pragmáticas. Externo regulado por el artículo 28 de la Ley
10/2010. Sin embargo, nada se regula sobre
Además, la experiencia permite comparar
la experiencia, acreditaciones o formación
con situaciones similares que haya vivido
de aquellos que se registran, por lo que
en el pasado, así como tener una mayor
cualquier persona puede hacerlo sin que
red de contactos. Básicamente ha de contar
exista condicionante alguno.
con el nivel de experiencia necesario para
desempeñar las funciones que se le asignen Esta carencia de requisito legal ha supuesto,
de una manera efectiva. como en otros ámbitos, que los propios
profesionales del sector hayan recurrido a
Situación actual en España
iniciativas como la de la Asociación Española
En la actualidad, en España no existe ninguna de Compliance (ASCOM) y su certificación
exigencia respecto de habilitación, titulación CESCOM®. Esta certificación es la que
goza de mayor reconocimiento en España, sean coherentes con los mensajes de

habiéndose convertido en la referencia o Gold alineación ética y de respeto a las normas
Standard en el ámbito de Compliance. Así, es que promueven. Ejercerán un liderazgo
frecuentemente solicitada como requisito en ético desde el ejemplo, confirmando con
perfiles relacionados con Compliance, tanto su conducta los principios que hacen
para cubrir puestos del sector privado como valer en la organización y difundiéndolos
en concursos públicos. con claridad.
6.4.2. Competencias personales • Empatía: Capacidad de comprender la

situación tanto de la organización como
Cubiertas las competencias técnicas de las personas que la integran, para
anteriores, se valora positivamente que interactuar eficazmente con ellas. Se debe
quienes lideran y representan a la función actuar pretendiendo siempre el bien de la
de Compliance dispongan, además, de organización y el crecimiento individual de
las siguientes competencias de carácter las personas que la integran, ayudando a
personal: cultivar sus valores éticos y de respeto a
• Capacidad de generar confianza: Perfil las normas.
adecuado para generar confianza en Sin perjuicio de lo anterior, la empatía

su organización, sobre la base de una no justificará poner en riesgo la cultura
trayectoria profesional y reconocimiento ética y de respeto a las normas de las
de la misma que refuerce la ascendencia organizaciones. Se precisa asertividad
sobre sus personas. para comunicar adecuadamente los
Se precisan unos antecedentes laborales o mensajes, evitando que las actitudes
profesionales que avalen su compromiso empáticas se confundan con la tolerancia
con la ética y el respeto a las normas, hacia comportamientos que entrañen
mostrando capacidad para liderar riesgo penal.
desde el ejemplo en estas materias. • Dotes organizativas: Habilidades para

La existencia, dentro o fuera de la gestionar recursos tanto materiales
organización, de episodios no alineados o (económicos, asesoramiento externo,
contradictorios con sus responsabilidades etc.) como inmateriales (equipo humano
en Compliance pueden derivar en pérdida y tiempo para el desarrollo de sus
de credibilidad y confianza, tanto dentro cometidos) para desempeñar su rol de
de la organización como frente a terceros. manera adecuada.
• Liderazgo ético: Personas honestas y • Neutralidad y capacidad analítica:

percibidas como tales en el seno de Desarrollo de sus cometidos sin
las organizaciones, profundamente condicionantes que provoquen conflictos
conocedoras de sus valores éticos. de intereses o falta de neutralidad en sus
Su comportamiento será íntegro, de labores.
modo que sus conductas individuales
Sus actividades estarán basadas en el análisis 6.5. Características y

de hechos desde el escepticismo profesional requisitos de la función de
y sin influencia de prejuicios o preferencias
Compliance
que conculquen su imparcialidad y pongan
en riesgo su recto proceder. Con el fin de evitar zonas grises o falta de
claridad en cuanto a las expectativas respecto
• Habilidades de comunicación: Habilidad
al CO, siempre es recomendable establecer
para informar y transmitir los mensajes
por escrito el mandato de la función de
clave a todos los niveles de la organización,
Compliance (en ocasiones pueden estar
tanto de forma verbal como escrita, y de
integrados en la denominada “política de
ejercitar de forma proactiva dicha labor.
Compliance”). Este mandato (o términos de
Capacidad de comunicarse de forma
referencia) se deben plasmar por escrito y
ordenada y clara.
ser aprobado por el órgano del que el CO
dependa (Comisión de Compliance, por
Competencias y habilidades del CO
ejemplo).
Personalidad y habilidades
• Integridad, honestidad y comportamiento ético El documento suele incluir datos básicos como:
• Capacidad de comunicación • Líneas de dependencia jerárquica y

• Independencia e imparcialidad funcional.
• Asertividad y resistencia a la presión
• Características y principios de actuación
• Resolución de problemas y pensamiento
de la función de Compliance (p. ej.
innovador
independencia, autonomía, recursos,
• Visión de riesgo y capacidad de juicio
etc.).
• Compromiso y lealtad
• Descripción específica de labores o tareas
• Mentalidad enfocada en retos futuros
de la función de Compliance.
• Proactividad
• Paciencia e insistencia • Descripción de tareas delegadas o
• Liderazgo, gestión e innovación compartidas con otras funciones.
Conocimiento y experiencias • Ámbitos o materias específicamente

• En regulación excluidas -de existir- del ámbito de la
• En gestión de riesgos función (p. ej, protección de datos, si
• En gestión de proyectos regulatorios existe un DPO con suficientes recursos).
• Con certificación o formación

Otra herramienta similar y complementaria
• Registro ante autoridades al mandato son las descripciones de puesto
• Experiencia de trabajo.
• Idiomas
Este documento suele diseñado o requerido
Fuente: Chief Compliance Officer: Role and Responsibility Assessment
Tool. IFC Advanced Methodology for Financial Institutions por las funciones de RRHH, y completado
por el departamento solicitante del nuevo caso, requerirá de un esfuerzo conjunto y

empleado o puesto de trabajo a cubrir. coordinado, independientemente de quien
Contiene información sobre el perfil del CO lidere, en cada organización, actividades o
(desde formación y experiencia requerida ámbitos como el descrito.
a hasta habilidades personales). También
Esta metodología puede aplicarse a
contendrá las principales tareas del CO y las
otros proyectos de Compliance, como la
dependencias orgánicas y funcionales.
implantación de un programa de defensa
Esta documentación permitirá al CO establecer corporativa en relación con el Código Penal.
un ámbito específico de actividades, funciones
En estos casos de áreas compartidas con
y responsabilidades, independientemente de
varios departamentos, es recomendable la
la industria o el tamaño de la entidad para
implantación de las denominadas matrices de
la que trabaje. Contar con un documento
asignación de responsabilidades o “matrices
como este evitará lagunas, malentendidos y
RACI”, en las que se plasma de forma clara,
disputas entre departamentos, así como una
con mayor o menor nivel de detalle, quién se
adecuada rendición de cuentas y distribución
encarga de qué. A continuación, se indica la
de la carga de trabajo.
estructura de estas matrices:
No obstante, es habitual que, a pesar de estos
• Responsable: persona o departamento
esfuerzos, sigan dándose zonas grises en las
que realmente lleva a cabo la tarea que
que los roles y responsabilidades sobre un
se indica.
ámbito quedan claras o se pueda establecer
una evidente separación. • Aprobador: Este rol del responsable de
la tarea que se realice, es la persona que
Un ejemplo podría ser protección de datos
aprueba la tarea.
y qué tareas corresponden a negocio,
Compliance, asesoría legal, tecnología, DPO, • Consultado: persona o departamento
etc. que ha de ser tenido en cuenta, por lo
que se comparte información para recibir
En este ámbito, parece evidente que las
retroalimentación (bidireccional).
decisiones sobre como cumplir la normativa
de conservación y eliminación de registros, • Informado: Se le informa del avance y
por afectar al departamento legal y el de resultados de la tarea o proceso, no se
negocio (datos incluidos en contratos, de recibe retroalimentación de estas partes
clientes), Compliance (respecto del regulador interesadas (sólo es unidireccional).
de turno) y tecnología (para el diseño y
Las principales características de la función
proceso de eliminación de registros de forma
de Compliance se resumen en la siguiente
manual, automática o bien para diseñar
figura:
la obtención de evidencias o gestionar
los accesos autorizados). En cualquier
hacer profesional. La “potestas” dependerá

del respaldo de la dirección de la organización
y el posicionamiento en el organigrama de
esta, además de las herramientas facilitadas
al CO y del buen hacer de éste.
La autoridad es palpable en las organizaciones

en los mensajes de apoyo del máximo órgano
decisorio, que puede ser muestra de respeto
de las opiniones y mensajes lanzados por
Compliance (conocido como el “tone at the
top”). El respeto y reconocimiento de la labor
de Compliance es elemento clave del nivel
de cultura de Compliance presente en una
entidad.
Principales características de la función de Compliance. Elaboración
propia Por otro lado, la autoridad, al igual que la
independencia y la autonomía, son factores
6.5.1. Autoridad
que contribuyen a que el CO pueda hacer
Tradicionalmente, lo que se conoce como valer su opinión. Sin un nivel de autoridad
autoridad en la actualidad estaría compuesto adecuado, la efectividad de los mensajes
por dos elementos entre los romanos de Compliance se podrían ver mermados,
distinguían: “auctoritas” y “potestas”. cayendo de nuevo en un “Compliance de
papel”.
Auctoritas hace referencia a un poder
socialmente reconocido, de carácter informal, El nivel de autoridad otorgado por las
que no es vinculante, pero es seguido como entidades se refleja en indicios tales como:
guía moral por parte de los miembros de • Quién ha nombrado al CO (p. ej. dirección
una organización. Potestas, en cambio, general, consejero delegado, notificación
haría referencia a un poder formalmente formal al consejo de administración).
establecido.
• Línea dependencia jerárquica o
La autoridad es la capacidad funcional del CO (otro departamento,
de hacer valer sus opiniones y un mando intermedio, el consejero
recomendaciones en los niveles más delegado, un comité de Compliance, un
altos de la organización. comité ejecutivo, alta dirección, etc).
El CO, como cualquier líder en una En el caso de entidades con de carácter

organización, debería cultivar y poseer multinacional, la tendencia actual es que
ambas. La “auctoritas” se obtiene con el los departamentos de Compliance tengan
prestigio, experiencia, conocimientos y buen dependencia funcional directa al CCO de
la región, y que la dependencia local sea A este respecto, la mayoría de las entidades
meramente orgánica. globales ya han integrado dentro de sus
programas de comunicación, el mensaje
En ciertas jurisdicciones la dependencia
anual de apoyo a Compliance o de código
está establecida por la regulación. Este es
de conducta. Este ejercicio ha pasado a
el caso de entidades financieras en Países
ser un mero trámite, y por este motivo, los
Bajos, en las que el CCO debe tener acceso
supervisores americanos ahora evalúan
directo al Consejo de Administración, y en
todos los mensajes de la alta dirección
el caso de que éste esté comprometido, se
para identificar si es apoyo a la cultura de
escala al Consejo o Junta de Supervisión.
Compliance es real o si simplemente se ve
Como ya se ha visto anteriormente, como una obligación formal a cubrir cada
la dependencia del CO depende en cierto periodo de tiempo.
gran medida del grado de madurez,
• Peso de indicadores de desempeño
sofisticación y compromiso de las
relacionados con Compliance que se
organizaciones con esta función. En
hayan asignado los mandos intermedios
etapas iniciales, es común que el CO esté
de la organización y que éstos, a su
integrado dentro de otros departamentos
más, pero en sectores regulados el CO vez, hayan establecido indicadores de
deviene en una figura independiente con desempeño relacionados con Compliance
equipo propio. al personal de sus equipos. Efecto de

estos en la toma de decisión de subidas
• Tipos de informes producidos para el salariales, promociones y bonus.
órgano del que dependen (p. ej. escalados,
monitorizaciones, actividades, etc.) y su • Presencia del CO comités clave para
periodicidad. la toma de decisiones y estrategia de

la entidad, así como etapa o fase de
Los informes escritos deberían tener al incorporación de la función en proyectos
menos los siguientes bloques:
estratégicos.
1. información general,
A este respecto el Departamento de Justicia
2. tipo de monitorización o revisión
estadounidense en su guía Evaluation of
llevada a cabo,
Corporate Compliance Programs (2020) plantea
3. riesgos o deficiencias detectadas, las siguientes cuestiones a modo de ejemplo:
4. acciones tomadas
• Comparación con otras funciones
5. otros. estratégicas en la compañía en términos
de carácter, niveles de compensación,
• Mensajes de apoyo del máximo órgano
rango/ título, dependencia jerárquica,
decisorio dentro de la entidad a las labores
recursos y acceso a personas clave de la
de Compliance, seguimiento y apoyo en
organización;
situaciones de falta de cooperación de
otros departamentos.
• Ratio de rotación de personal de Comité de Supervisión Bancaria de Basilea

Compliance (2005):
• Participación de Compliance en toma de • Independencia jerárquica dentro de la

decisiones estratégicas y operacionales; entidad, también ligada al elemento de
autoridad previamente descrito en este
• Reacción de la compañía ante casos
epígrafe.
en los que Compliance ha presentado
objeciones; • Asignación de una persona con
responsabilidad general para
• Existencia de transacciones o negocios no
coordinación y gestión del riesgo de
se hayan completado después de que el
Compliance en la entidad.
CO haya presentado reparos u objeciones.
• Evitar situaciones en las que se pueda
6.5.2. Independencia
incurrir en conflicto de intereses entre
La independencia puede definirse como : las responsabilidades de Compliance u

otras responsabilidades asignadas (p. ej.
“la neutralidad de juicio que garantiza el responsabilidades relativas a generación
recto proceder de la función de Compliance. de negocio). Cabe aclarar que ha de
Se vincula este concepto con la distancia seguirse un principio de proporcionalidad,
respecto de los objetivos de negocio y por lo puede darse el caso en el que
ausencia de represalias por el desarrollo personas desarrollando funciones de
de sus cometidos. Estos factores son los Compliance en entidades de menor
que permiten a la función de Compliance tamaño, puedan llevar a cabo otras tareas,
desarrollar sus actividades, incluyendo la siempre y cuando no presenten conflicto
emisión de recomendaciones, con la libertad de intereses o interfieran en la esfera de
y neutralidad precisas ”. 148
Compliance.
De acuerdo con las guías de ESMA sobre la • Libre acceso a la información y

función de Compliance, las organizaciones personal necesario para llevar a cabo
han de asegurarse que otras funciones de las tareas asignadas, incluyendo informes
negocio no emitan instrucciones o puedan de calidad al órgano del que dependan
influir a personal de equipos de Compliance jerárquicamente. Esto implica la
o sus actividades. capacidad de la función de Compliance de
realizar investigaciones relacionadas con
Los elementos asociados con el concepto de
posibles incumplimientos de Compliance
independencia de la función de Compliance,
y la capacidad de solicitar apoyo de
es decir, los principios imprescindibles para
determinados especialistas (p. ej. legal,
que esta función tenga la consideración
auditoría interna o sistemas).
de independiente, vienen indicados por el
En este escenario, Compliance ha de
148 Casanovas (2018) informar a la máxima autoridad en
la organización, por lo que cabe la esta independencia, el regulador establece

posibilidad de que pueda saltarse al medidas extra de blindaje hacia la función
órgano a quien inicialmente informe (requerimientos reforzados bajo el escenario
(p.ej. si se dependen de un comité de en el que una entidad se plantee el despido
Compliance y se detectan irregularidades de un CO). De este modo se posibilita que
en alguno de sus miembros, se podrá el CO pueda tomar decisiones con libertad
acudir directamente al consejo de y sin considerar posibles circunstancias que
administración o equivalente). le hagan perder su imparcialidad, como por
ejemplo el temor a posibles represalias si su
¿Cómo probar esta independencia de la
criterio va en contra aquel del órgano al que
función de Compliance? Para resolver esta
reporta o si pueden implicar un impacto en
pregunta hemos de buscar indicadores de
los planes de negocio.
independencia efectiva de la función, que se
pueden traducir en los siguientes aspectos:
Compromiso con la independencia de
• Presupuesto propio de Compliance, sin Compliance
sujeción a los de otros departamentos; Como ejemplo paradigmático de compromiso con
la función de Compliance, podemos citar la del
• Objetivos desvinculados de los
BaFin alemán (Autoridad Federal de Supervisión
resultados de negocio;
Financiera).
• Paquete retributivo (sueldo y bonus) En su documento de referencia de la función de

y subidas salariales desvinculado de Compliance, el MaComp (“Requisitos mínimos para
resultado de negocio y ligado a objetivos la función de cumplimiento y otras obligaciones
de conducta, organización y transparencia”)
de control previamente establecidos;
implementó medidas para asegurar la
• Dependencia del máximo órgano independencia de los CO, tales como asegurarse de
decisorio y del comité de Compliance, que la contratación es por un periodo mínimo de
24 meses.
sin intermediarios que condiciones la
actividad (p. ej. Compliance solicitando Asimismo, en el caso de querer prescindir de sus
aprobaciones a finanzas en temas servicios, el CO ha de recibir un preaviso de 12
meses.
relacionados con apoyo de externos para
trabajos de investigación forense);
6.5.3. Autonomía
• En el caso de dependencia de un consejo
de administración o algún comité de El CO ha poder operar sin pasar por filtros de
Compliance, un indicador de buena praxis sistemas de aprobación, excesiva burocracia
es la existencia de miembros externos o cualquier circunstancia que entorpezca el
o independientes y su peso sobre la día a día de la función.
totalidad del órgano o comité.
Este elemento puede verse reflejado
En determinadas jurisdicciones (como es en capacidades como las de disponer
el caso alemán), con el fin de garantizar de un presupuesto propio o el acceso a
documentación, informes o datos. Es esencial 4. ¿Se presentan los miembros habitualmente?

asimismo que la función pueda desarrollarse (porcentaje de asistencia, y si las faltas se
sin subordinación o dependencia a otros concentran en personas clave).
departamentos o procesos (por ejemplo, Evaluation of Corporate Compliance Programs

la necesidad de obtener aprobación (versión actualizada de 2020)
Departamento de Justicia de EE.UU
de gastos por otro departamento, o de
obtener autorización de la dirección general
para acceder a documentos de otros 6.5.4. Recursos
departamentos).
Los recursos necesarios han de ser
Respecto de la importancia de contar con adecuados para cumplir con el rol dentro de
presupuesto propio, una vez obtenido y la organización de una forma efectiva y no tan
asignado, es esencial que no requiera de más solo formal (tener un CO asignado pero que
procesos que los necesarios para justificarlos en realidad no pueda desarrollar la función).
ante el órgano del que dependa jerárquica Dichos recursos han de ser suficientes
y/o funcionalmente. para poder cubrir el mandato asignado al
Compliance eficientemente y siguiendo un
Filtros como el de un departamento
enfoque basado en riesgos derivado de los
administrativo o financiero pueden implicar
resultados arrojados por la valoración de
una mayor burocratización de los procesos,
riesgos de Compliance que se haya llevado a
un impacto en la capacidad de independencia
cabo.
de la función para la gestión de sus proyectos
y por tanto el presupuesto inicialmente Por este motivo, ha de tenerse en cuenta que
aprobado sobre el papel no sería real, ya que la función ha de proveerse de los siguientes
no se podría gastar en las necesidades que recursos:
surgen al departamento.
Valoración de la autonomía de Compliance
El Departamento de Justicia estadounidense

indicó en 2020, las preguntas que deben hacerse
las organizaciones respecto a la autonomía de • Recursos humanos adecuados: Y no
Compliance:
sólo por cantidad, sino también por
1. ¿Existe dependencia jerárquica directa de conocimientos, experiencia y capacidad.
Compliance a algún miembro del Consejo de
Los equipos de Compliance han de estar
Administración o Comisión de Auditoria?
compuestos de un conjunto equilibrado
2. ¿Con qué frecuencia se reúne esta función con de personal que reúna los conocimientos
los miembros del Consejo?
y experiencia adecuados, centrados en el
3. ¿Hay miembros de la alta dirección presentes sector o industria en que la entidad para la
en estas reuniones? que estén trabajando realice su actividad.
En casos puntuales en los que no se Hammond (2019), los motivos por los que
tenga los conocimientos o experiencia se realizan delegaciones de funciones de
necesarios dentro de los equipos, cabe Compliance suelen ser:
la posibilidad de solicitar ayuda o apoyo
- Necesidad de mayor evaluación de
externo (p. ej. consultores). No obstante,
procesos de Compliance.
cabe señalar que en determinados casos
- Falta de conocimientos o habilidades
y sectores muy regulados, este apoyo
en el equipo interno.
puede convertirse en una subcontratación
o externalización de una función crítica - Ahorro de costes.
que requeriría aprobación previa del
Este mismo estudio indica que las
regulador (como es el caso del sector
entidades han de estar preparadas
financiero).
para posibles preguntas de reguladores
Esta delegación de funciones no respecto a porqué no se ha invertido en
conlleva delegación de responsabilidad los equipos internos (p. ej. formación o
ni por parte del CO, ni por parte de la contratación), ya que casos en los que
entidad, tal y como viene indicado en el conocimiento es requerido y falta de
ciertas regulaciones (p. ej. la relativa a la manera persistente dentro de los CO
prevención de blanqueo y financiación suponen un riesgo en sí mismos.
del terrorismo, o MiFID II).
• Recursos económicos suficientes:
Las decisiones de externalización o presupuesto para poder contratar al
subcontratación total o parcial de personal adecuado, formación de plantillas
funciones de Compliance han de ser y mantenimiento de conocimientos de
debidamente documentadas. Asimismo, los equipos de Compliance, asistencia a
se ha garantizar que no afectarán al conferencias, cuotas de pertenencia a
principio de permanencia, por el cual, asociaciones y publicaciones relacionadas
las entidades han de asegurarse que la con Compliance (revistas especializadas).
función de Compliance desarrolle sus
labores de forma constante y permanente. En su guía149 de la función de Compliance
bajo MiFID II (General guideline 5), la
ESMA considera que, si una entidad
ESMA establece que los presupuestos de
de servicios de inversión debido a su
Compliance en entidades que presten
naturaleza, tamaño y tipo de negocio
servicios de inversión (si estas desglosan
es incapaz de contratar personal de
presupuestos por funciones o unidades),
Compliance independiente para que
ha de ser coherente con el nivel de riesgo
monitorice, la externalización podrá verse
de Compliance al que esté expuesta la
como una posible solución.
Según el estudio “Cost of Compliance 2019: 149 Guidelines on certain aspects of MiFID II Compliance function requi-
rements, ESMA, (2021), www.esma.europa.eu/sites/default/files/
10 years of regulatory change”, de English y library/guidelines_on_certain_aspects_of_mifid_ii_compliance_
function_requirements.pdf
entidad. El CO ha de ser consultado antes de revisión de contratos haga que no se

de que su presupuesto sea asignado disponga de tiempo suficiente como para
y cualquier decisión que implique dedicarse a tareas propias de la función (p. ej.
reducciones significativas con respecto al monitorización).
presupuesto solicitado por el Compliance
Esta es una forma de relegar el Compliance
Officer ha de ser documentado por
a un papel secundario, supeditado a una
escrito, incluyendo las razones de dicha
función más consolidada o de mayor
reducción.
tradición. Se trata de un ejemplo de mala
• Recursos tecnológicos apropiados: praxis, ya que no se dota al Compliance de
herramientas de monitorización, la importancia necesaria (para caer en el
autonomía en la extracción de datos de ya comentado “Compliance de papel”). Se
los sistemas de otros departamentos, puede entender que en estos casos se está
controles automáticos de conflictos de dando más tareas o priorizando asuntos no
interés, reconciliaciones automáticas, relacionados con Compliance para que no
sistemas de reporte y registro de los se realicen evaluaciones de la eficacia y la
procesos de trabajo y documentación eficiencia de los procesos.
Estos tres elementos están relacionados

Caso de estudio VIII: Siemens
entre sí, ya que la falta de sistemas implicará
la necesidad de mayores controles manuales, La multinacional alemana Siemens puede
y, por tanto, más personas, factor para tener considerarse como referencia de acciones de
en cuenta en los presupuestos que sean redimensionamiento y evolución respecto del papel
de Compliance, tras su sonado escándalo de 2008.
asignados a Compliance.
El Departamento de Justicia y la SEC estadounidenses
6.5.5. Tiempo acusaron a Siemens del pago sistemático de
sobornos (más de 1.000M de dólares) en todas
Aunque obvio, no hay que dejar de señalarlo:
las jurisdicciones en las que operaba. Las multas
el CO debe disponer del tiempo adecuado
impuestas alcanzaron los 1.600M de dólares.
para dedicarse a las tareas propias de la
función. Siemens pasó de un “Compliance de papel”, a
principios del 2000, con seis empleados para
La concurrencia, en un Compliance Officer, monitorizar el comportamiento de otros 400.000 a
de otras labores no relacionadas esta función tomar, entre otras, las siguientes medidas:
no puede servir de excusa para retrasar • Nombrar como asesor a un cofundador de
o entorpecer la ejecución de las tareas de Transparencia Internacional.
cumplimiento. Este punto ha de tenerse en
• Contratar a más de 500 responsables de
cuenta especialmente en aquellos casos en
Compliance a tiempo completo.
que la función de Compliance se fusiona o
combina con otras funciones (p. ej. Legal • Realizar más de 900 acciones disciplinarias a
y Compliance). En estos casos, se puede nivel mundial, incluyendo despidos.
caer en la problemática de que el día a día
Nombrar a un antiguo alto cargo de Interpol Por lo tanto, Compliance ha de considerar su

(Organización Internacional de Policía Criminal) estrategia de colaboración y comunicación
como responsable de monitorizaciones e con las partes interesadas que se pueden ver
investigaciones de Compliance.
en la siguiente figura:
Nombramiento de un Ombudsman externo con
cobertura mundial.
Creación de canales de denuncias a nivel mundial

(whistleblowing).
Fuentes:
• Effective Corporate Compliance: A Holistic Approach

for the SEC and the DOJ Serena Hamann,
Washington Law Review, Vol 94, # 2(2019)
• Slammed for Bribery, Siemens Continued to Ignore

Red Flags, Ben Knight (https://100r.org/2021/07/
siemens/)
6.5.6. Capacidad de interacción

(partnership)
Partes interesadas o “stakeholders” de Compliance. Elaboración
propia
En el artículo “The Compliance function in
banks150” se habla de la falta de referencia Desde el punto de vista operativo, es
al enfoque de interacción con distintas importante estructurar y documentar la
contrapartes (partnership approach) tanto relación con estas partes interesadas.
internas como externas, y la necesidad
Si se trata de partes interesadas internas
de cambiar la imagen tradicional del
como pueda ser el caso de departamentos,
Compliance en pos de una que ensalce su
se ha de acordar la periodicidad de reuniones
rol como facilitador de buenas prácticas que
de seguimiento que se puedan tener y las
contribuyan a la reducción de exposición
personas que deban de atender a las mismas.
a sanciones, riesgos reputacionales o
Es también recomendable considerar las
regulatorios.
personas sustitutas en caso de que la principal
En dicho artículo se pone de relieve la persona asignada no pueda atender, con el
conveniencia de que el CO pase de tener una fin de evitar retrasos o discontinuidad de las
relación reactiva con los reguladores a tener reuniones de seguimiento (especialmente
una mayor interacción de forma proactiva, importante en casos de gestión de proyectos
buscando un enfoque colaborativo y de regulatorios).
transparencia.
Si hablamos de partes interesadas externas,
y más en concreto en casos de contacto con
150 Jonathan Edwards y Simon Wolfe (2004) autoridades (reguladores o supervisores), ha
de existir un sistema de registro de contacto También se ha de considerar que, en ciertas

con los mismos, que incluya puntos tales tareas, será necesario un trabajo conjunto,
como canales, temas tratados, si requiere independientemente de que exista un
acción por parte de la entidad, si requiere responsable que lidere, sea de una u otra
escalado (p. ej. de una sucursal a su matriz función (Compliance, Legal, Protección de
regional), departamento responsable, Datos, Seguridad, Riesgos, etc).
seguimiento realizado y cierre.
6.6.1. El CO combinado con otras
Como parte de la relación con estas funciones
contrapartes, uno de los ejercicios a realizar
es la retroalimentación respecto a lo que En base al principio de proporcionalidad,
estos esperan del CO, las competencias en ocasiones el Compliance Offficer no
que el CO esté actualmente desarrollando realiza sus funciones en exclusiva (a tiempo
(consideradas por las partes interesadas) completo) o bien sus tareas están incluidas
y la percepción de las tareas por parte del en un departamento que combina varias
Compliance Officer151. funciones (por ejemplo, Legal y Compliance,
Auditoría Interna y Compliance, Seguridad y
Compliance).
En este punto, hay que indicar que quizá

la combinación de funciones quizá más
conflictiva sea aquella en la que la organización
Elementos el proceso de retroalimentación del Compliance Officer. ha decidido fusionar Auditoría y Compliance.
Elaboración propia
La organización ha de ser conscientes de que,
por entendible y sinérgica que pueda resultar
6.6. Relación de Compliance
esta decisión, elimina de facto una de las
con otros departamentos
líneas de defensa (agrupando funciones de
La relación del Compliance Officer con otros control interno de la segunda y tercera ya que,
departamentos, en particular con aquellos en el esquema de las tres líneas de defensa,
que realizan otras funciones de control, ha de Auditoría Interna supervisa a Compliance).
ser fluida, tratando de coordinarse mediante
Si la toma de decisión de la entidad ha sido
una comunicación efectiva.
la de combinar Compliance con otra función,
Esta coordinación no sólo es conveniente, sino ha de documentarse los motivos por los
necesaria, dado que los solapamientos en que se considera que no se compromete la
ciertas actividades se darán inevitablemente, efectividad y la independencia de la función de
tanto más cuanto las funciones de todos Compliance. En estos casos, ha de asegurarse
estos departamentos no estén claramente que estas combinaciones no comprometan la
definidas o delimitadas. misión del CO, debilitando la eficacia de los
controles de Compliance y cayendo en un
151 IACA Research paper series No.3. The Compliance Role: A Proposal
for Improved Understanding, Han-Kyun Rho (2018). Compliance más teórico que real.
También ha de tenerse en cuenta que estas Por este motivo, el Comité de Supervisión
combinaciones pueden generar conflictos de Bancaria de Basilea (2015) recomienda
interés, que han de documentarse, incluyendo que auditoría interna esté separada de
medidas tomadas para minimizarlos. Compliance.
6.6.3. Relación de Compliance con

Conflictos de intereses en la
combinaciones de funciones de control Riesgos
interno y cómo identificarlos
Siguiendo el principio de proporcionalidad,
Para identificar la existencia o no de conflictos de cabe la posibilidad de que se integren las
intereses, el DOJ estadounidense establece en su
funciones de segunda línea para entidades
guía Evaluation of Corporate Compliance Programs,
de menor tamaño (departamento de Riesgos
las siguientes preguntas:
y Compliance).
1. ¿Tiene otros roles dentro de la compañía la
persona responsable? En todo caso, ha de existir un enfoque
2. De desarrollar otras funciones, ¿están colaborativo entre estas dos funciones, ya
relacionadas con Compliance? que los riesgos detectados por Compliance
3. ¿Por qué la compañía ha escogido ese tipo de han de integrarse en los informes de la
estructura de Compliance? función de riesgos, y casos escalados a dicho
departamento, pueden tener ramificaciones
Evaluation of Corporate Compliance Programs
(versión actualizada de 2020)
en el universo de Compliance.
Departamento de Justicia de EE.UU
Asesoría Jurídica
Auditoría Interna En ocasiones es frecuente que Compliance
y Legal estén integradas en la misma
Las actividades desarrolladas por la función
función (“Legal y Cumplimiento” o “Legal y
de Compliance como segunda línea de
Compliance”). No obstante, la función de legal
defensa están sometidas a evaluación por la
presenta a menudo situaciones de conflictos
tercera línea de defensa (esto es, auditoría
de intereses con el ámbito de Compliance.
interna), quien evaluará aspectos tales como,
La Asesoría Legal o Jurídica se enfoca en los
por ejemplo:
límites de lo que legalmente se puede hacer o
• Adecuación del personal de Compliance no se puede hacer, sin embargo, el rol del CO
• Eficacia y eficiencia de su programa de implica asesorar al órgano de administración
monitorizaciones y testeos sobre los riesgos no sólo legales, sino también
de carácter ético o reputacional, basándose
• Evaluación de las políticas
no sólo en la regulación existente, sino
• Iniciativas de formación también en los principios y valores éticos de
• Evaluación del seguimiento e implantación la organización.
de proyectos regulatorios
Por ello, no es recomendable que las funciones Art 104.8

de Legal y de Compliance estén integradas en “(…)
el mismo departamento o persona. a. Materias clasificadas.
b. Infraestructuras críticas.
c. Seguridad de la información y las
Seguridad
comunicaciones.
En España, no existe una normativa que d. Blanqueo de capitales y financiación del
impida la fusión de estas funciones, si bien terrorismo.
la Ley 5/2014 de Seguridad Privada y su e. Protección contra incendios.
Reglamento establecen que debe existir un f. Seguridad laboral.
Departamento de Seguridad para ciertos g. Intercambio de información con las
sujetos obligados (por ejemplo, bancos, cajas Fuerzas y Cuerpos de Seguridad sobre
de ahorro y entidades de crédito). cuestiones relativas a delincuencia, de las
que se tuviesen indicios o conocimiento
Ambas funciones presentan áreas claras en su entidad.
de solape, siendo las más significativas las h. Actuación ante situaciones de emergencia
relativas a las relaciones e interlocución con que afecten a la propia empresa o
las autoridades y administraciones en casos cuando ésta aporte recursos en caso de
de comisión de delitos, gestión de riesgos situaciones de catástrofe o emergencia
de seguridad (incluidos, posiblemente, los pública.
relacionados con la integridad de los datos i. Cualquier acción de colaboración público-
y registros), tareas como las investigaciones privada en el marco de la Estrategia de
internas, prevención y detección de la Seguridad Nacional.
corrupción, la gestión del canal de denuncias, j. Cualquier otro que afecte a la seguridad
etc. de su organización y contribuya a la
persecución de delitos e infracciones”.
También cabría solapamiento -o, al menos,
coordinación- entre las que se podrían Asimismo, el artículo 205 insiste en este
considerar exclusivas de Seguridad, como aspecto y designa al Director de Seguridad
la comunicación con los supervisores como el responsable no sólo de esa relación
relacionados con la seguridad privada y e interlocución con la Administración, sino
la responsabilidad de cumplimiento de la de elaboración y actualización los planes de
normativa en la materia. prevención en dichos ámbitos.
Especialmente interesante a este respecto En todo caso, como se ha mencionado con
puede ser el borrador del nuevo reglamento otras funciones con las que existen ámbitos
de seguridad privada que, de ser aprobado, claros de solapamiento, se ha de afrontar
atribuirá al Director de Seguridad la esta situación ha de existir con un enfoque
interlocución con la Administración en los colaborativo y una adecuada distribución de
siguientes ámbitos: tareas y responsabilidades.
6.6.6. La función de Compliance en

grupos multinacionales
En los casos en los que el CO trabaje para

grandes grupos corporativos multinacionales,
existirán líneas de dependencia entre los
equipos locales y los equipos de Compliance
de las casas matrices (regionales o mundiales).
Por lo general, los equipos regionales o

mundiales suelen funcionar como grandes
centros de estandarización de criterios
(Compliance hub) y soporte a los CO de cada
jurisdicción. Estos equipos suelen acometer
misiones de control o de revisión sobre el
marco de Compliance local.
Un indicador de la independencia de los CO

en este tipo de grupos sería, por ejemplo, una
línea jerárquica directa al CCO de la región o
del grupo, quien también se encargaría de
decidir sobre evaluaciones finales de los CO
locales, o subidas de sueldos.
De esta forma se evita presión de la alta

dirección de la jurisdicción en la que se
encuentre el CO, pero tiene como desventaja
que puede tener un cierto riesgo de
desconexión con las personas que son
responsables localmente.
• Más allá de un entendimiento comúnmente aceptado de la función de Compliance, los

puestos de trabajo en este ámbito reciben denominaciones no normalizadas. Así, los
responsables de Compliance en las organizaciones pueden ostentar el cargo de Compliance
Officer (Compliance Officer, CO), Jefe de Compliance (Head of Compliance), Chief Compliance
Officer (Director o Jefe Global, CCO, habitual en organizaciones estructuras complejas o
multinacionales) y evoluciones de nomenclatura de estos cargos (Chief Integrity Officer,
Chief Ethics and Compliance Officer) más relacionadas con el mensaje que las organizaciones
pretenden transmitir que con distinciones entre las funciones efectivas a desarrollar.
• Además, de forma genérica, cualquier miembro de una unidad o departamento de Compliance

puede recibir la denominación genérica de Compliance Officer, aunque también es muy
frecuente que se haga referencia a sus tareas concretas (especialista de Diligencia Debida,
analista KYC, analista PBC/FT, Especialista de Fraude, etc)
• Al igual que con la nomenclatura, algo parecido sucede con las estructuras de Compliance,
existiendo un amplio rango de ellas: desde el Compliance ejercido por una única persona
(unipersonal) al liderado por un responsable (órgano unipersonal) que cuenta con un equipo,
unidad o departamento, o al Comité de Compliance (órgano colegiado) participado por
diversos miembros de la organización.
• La amplia nomenclatura es, en parte, debida a la abundancia de tareas y responsabilidades del

ámbito de Compliance, que incluyen, entre otras: promoción de valores éticos; establecimiento
de normas internas, elaboración y seguimiento del Plan de Compliance; gestión de riesgos de
Compliance y asesoramiento; monitorización y controles; seguimiento de los planes de acción;
comunicación, formación y sensibilización; interlocución con supervisores y reguladores;
escalado de incumplimientos y gestión de canales de denuncia.
• Compliance tiene una carga de trabajo significativa, pero su importancia queda aún más
evidenciada por las consecuencias que puede llegar a tener: los casos de Siemens, MoneyGram
o Volkswagen son ejemplo del impacto económico, reputacional e incluso personal de una
labor descuidada o inexistente de Compliance en las organizaciones, llegando incluso a
amenazar la propia existencia o viabilidad de éstas.
• Para desarrollar adecuadamente sus quehaceres, un Compliance Officer debe contar

con las siguientes habilidades: Integridad; capacidad de comunicación; independencia;
imparcialidad; resistencia a la presión; resolución de problemas; visión de riesgo y capacidad
de juicio; proactividad; liderazgo, etc. Como competencias, cabe disponer de conocimiento
y experiencia en regulación; gestión de riesgos; gestión de proyectos regulatorios; estar
certificado o contar con titulación específica; registrado ante las autoridades y conocer varios
idiomas vinculados a sus funciones.
• Aunque aplicable a todas las funciones críticas de una organización, es especialmente

relevante ante los supervisores y para asegurar un adecuado desarrollo de sus tareas
(evitando un “Compliance de papel”), demostrar que en la función de Compliance están
presentes las características principales identificadas por éstos, en relación a su autoridad,
independencia, autonomía, recursos, tiempo, proporción e interacción.
• Es especialmente importante identificar aquellas circunstancias que pueden poner en peligro

cada una de estas características, y así poder evitarlas, eliminarlas o minimizarlas.
• Hay que ser consciente de la realidad de cada organización y asumir las tareas y áreas de
solapamiento entre diversas funciones de control interno, que pueden generar tensiones.
Por ello, ya se trate de solapes con Auditoría Interna como con Riesgos o Seguridad, el
Compliance Officer deberá asegurarse de que se establece una adecuada separación y
colaboración con dichas funciones, siempre bajo una definición, lo más precisa posible, de
las tareas y funciones que se atribuyen a cada departamento y en cuales, de existir, se dará
una responsabilidad compartida o colaboración estrecha.
• Cuando Compliance se combine con alguna otra función de las anteriores, será necesario
mantener cierta separación e identificación clara entre las tareas de cada función,
documentando las circunstancias y razones de la organización para optar por esta estructura.
Asimismo, será aconsejable evitar la combinación de Auditoría Interna y Compliance en
la medida de lo posible, por significar la supresión de una de las líneas de defensa.
Módulo 7
Gestión de riesgo
de Compliance
MÓDULO 7 • GESTIÓN DE RIESGO DE COMPLIANCE
Módulo 7 o puntos de vista) y ello complica que los

administradores y directivos se hagan una
Gestión del riesgo de idea acertada del conjunto de riesgos a los
Compliance que se enfrenta su organización, priorizarlos

y evitar que se solapen las distintas medidas
implementadas para prevenir los riesgos.
Objetivos
Por ello, las empresas deben estar
preparadas y contar con recursos suficientes,
así como con un marco de gobernanza de
los riesgos que sea suficiente y adecuado
• Entender por qué Compliance debe
para identificarlos, medirlos, tratarlos y
considerarse como una función de gestión de
riesgos. monitorizarlos debidamente.
• Conocer los conceptos básicos de la gestión de Así, los riesgos de Compliance deben
riesgos e identificar las normas y estándares
contemplarse como un grupo dentro del
más empleados.
universo de riesgos que una empresa debe
• Describir las fases de la gestión de riesgos de identificar y gestionar.
Compliance.
Desde esta perspectiva, Compliance es una
• Definir el concepto de riesgos de Compliance,
identificar sus categorías y causas. función de gestión de riesgos que requiere
identificar en qué casos puede producirse
• Conocer la ISO 31001 y su aplicación a la gestión
un incumplimiento de una obligación
de riesgos de Compliance.
legal o regulatoria (tanto de su letra como
• Conocer la relación entre los conceptos de
de su espíritu) o una vulneración de los
riesgo inherente, controles, riesgo residual
compromisos adquiridos por la organización
y apetito de riesgo.
(valores y principios de actuación).
7.1. Introducción Para ello, debe analizar y evaluar el nivel de

riesgo al que se enfrenta la empresa, asesorar
Las organizaciones actuales necesitan sobre las medidas apropiadas para mitigar
gestionar los riesgos en un entorno dicho riesgo, establecer mecanismos para
(económico, social, regulatorio, etc.) en detectar con prontitud su materialización o
constante cambio y en el que los riesgos, cualquier debilidad existente en los controles
tanto tradicionales como emergentes, son establecidos, y canalizar adecuadamente
cada vez más impredecibles. la información (informar) para que llegue
correctamente (en tiempo y forma) a los
Además, la percepción del riesgo que existe
órganos de decisión y control interno de las
en cada una de las diferentes funciones o
organizaciones (por ejemplo, a las comisiones
departamentos dentro de la organización
de auditoría y control interno o comités de
puede variar (existen distintas perspectivas
riesgos).
Gestionar los riesgos de Compliance se

ha convertido a su vez en un importante
reto para las organizaciones: por un lado,
por un entorno legal y regulatorio cada
vez más complejo y cambiante; por otro,
porque las dificultades económicas y
presiones financieras, como las que han
tenido que sufrir las empresas españolas
en estos últimos años, han incrementado
significativamente los riesgos de comisión de
actividades ilegales al aumentar el incentivo
(o la necesidad) de obtener un beneficio
económico más inmediato (corto plazo)
para poder hacer frente y superar dichas Actividades desarrolladas por la función de Compliance en las
organizaciones. Elaboración propia.
dificultades financieras.
A esta situación se le añade otro ingrediente

7.2. El papel estratégico de
que complica más aun la situación actual: el la gestión de riesgos y cómo
incremento del uso de las nuevas tecnologías abordarla
y la imparable globalización de las actividades
Cada elección que toman las organizaciones
económicas y de las comunicaciones.
para alcanzar sus objetivos y metas tiene sus
Hoy en día, las operaciones de la mayoría de riesgos. Así pues, lidiar con el riesgo es una
las empresas dependen de tecnologías de parte de los procesos de toma de decisiones:
la información y la comunicación (TIC) y del desde la gestión operativa (el día a día de una
uso de dispositivos inteligentes. Además, empresa) hasta la adopción de decisiones
vivimos en un mundo digital, donde la valiosa estratégicas en el seno de los consejos de
información sobre lo que hacemos, decimos administración.
y, compramos, etc. fluye libremente a través
Cuando se tratan los riesgos, se necesita
de las redes y se almacena en grandes bases
tanto una metodología como una adecuada
de datos.
estructura organizativa y de gobierno
En este módulo se abordará el alcance de la corporativo. En este sentido, el concepto
función de Compliance en las organizaciones Gestión de Riesgos Empresariales
desde una perspectiva de gestión de riesgos, (Enterprise Risk Management, ERM) describe
y se tratarán cada uno de las distintas el conjunto de actividades que las empresas
fases y conceptos que son necesarios para deben realizar frente a la diversidad de
identificarlos, evaluarlos y gestionarlos riesgos a los que se enfrentan.
adecuadamente.
Este marco de gestión puede basarse en
distintos enfoques o modelos, pero el más
habitual es la ISO 31000 Gestión del riesgo. integrado de gestión de riesgos evita que
Directrices, norma de 2009 (actualizada en se produzcan “silos de riesgo” dentro de las
2018), y el enfoque aportado por COSO-ERM . 152
organizaciones, visualizando las conexiones
entre ellos.
El marco integrado COSO Enterprise Risk
Management de 2004 (cuyo elemento más Podemos concluir así que la gestión del riesgo
significativo es el conocido cubo -ahora tiene una función estratégica muy significativa,
espiral- COSO- ERM), y el más reciente marco ya que a las empresas les interesa considerar
COSO- ERM, publicado como actualización del (y sobre todo comprender) sus riesgos clave
anterior en 2017153, son ejemplos de marcos para poder adoptar decisiones informadas.
de referencia para la gestión de riesgos
corporativos.
7.2.1. Responsabilidades en
materia de gestión de riesgos
Por otro lado, resulta también indispensable
La responsabilidad última de que una empresa
que las organizaciones cuenten con
mecanismos adecuados de dirección y control establezca un marco adecuado de gestión del
interno, y aseguren una actuación íntegra y en riesgo y que éste funcione eficazmente, recae
cumplimiento con el marco normativo externo en el consejo de administración.
e interno que les es de aplicación (modelo o

Debe existir por tanto una política de gestión
estructura de Gobierno, Riesgos y Compliance
del riesgo en la que se detalle, entre otros:
(GRC).
• El planteamiento acordado (¿cuál es la
Así, mientras ERM proporciona una metodología estrategia de la empresa en materia de
para identificar, evaluar y gestionar los riesgos, gestión de riesgos?)
GRC es el paraguas que cubre la forma en que
la organización debe ser dirigida y controlada. • El apetito de riesgo (concepto analizado
Podríamos decir que ERM aporta el método más adelante), en relación con cada
y GRC la filosofía. ERM tiene su enfoque en la uno de los principales grupos de riesgo,
estrategia y GRC en la gobernanza. ERM puede algo fundamental para concretar el
considerarse, por tanto, como un subconjunto nivel de riesgo aceptado y el nivel
dentro de un modelo GRC154. de respuesta que hay que dar para

alcanzarlo (implementación de controles
Además, no existe un modelo único para adicionales).
categorizar los riesgos, pero la idea importante
• Las distintas responsabilidades en materia
es que todos están entrelazados. Un enfoque
de gestión del riesgo que deben asignarse
152 Committee of Sponsoring Organizations of the Treadway Commis- a lo largo de toda la organización.
sion (COSO), iniciativa de organizaciones del sector privado para
liderar el desarrollo de marcos de referencia y orientación sobre
ERM, control interno y prevención del fraude. Todo lo anterior no significa que la
153 The Institute of Risk Management (2018), pp 4-5, From the cube to
the rainbow double helix: a risk practitioner’s guide to the COSO ERM
responsabilidad de la gestión del riesgo en el
Frameworks (Revisión de los marcos ERM de 2004 y 2017).
día a día no recaiga sobre las distintas unidades
154 Mont, J., (2015), Parsing the difference between GRC & ERM,Com-
pliance Week. de negocio (primera línea de defensa); al
contrario, es fundamental que cada unidad de de la empresa. Este es el punto de

negocio tenga una visión clara y comprenda partida para construir la cultura de riesgo
los riesgos inherentes a su actividad, y tengan adecuada y es lo que posiciona a la gestión
claras sus responsabilidades sobre su gestión de riesgos como una función importante y
y control. estratégica dentro de las organizaciones.
De lo contrario, se acaba minusvalorando
7.2.2. La importancia de contar con dicha función, y se perjudica seriamente
una adecuada “cultura de riesgo” la cultura del riesgo de la organización.
en la empresa
b. La actitud ante el riesgo: Esto implica
Para que la política de gestión de riesgos comprender cómo responden los
de la empresa funcione (incluida, la gestión individuos ante los riesgos (por ejemplo,
del riesgo de Compliance) es fundamental con aversión). La actitud ante el riesgo se
disponer de los recursos necesarios para ve influenciada por sesgos conductuales
ponerla en práctica y tener una definición clara (cognitivos o emocionales). Es importante
y precisa de las responsabilidades. Además, es identificar y comprender esos sesgos y
necesario contar con el compromiso y el apoyo tenerlos en cuenta a la hora de adoptar
de los miembros del consejo de administración decisiones: por ejemplo, la existencia
y de todos los integrantes de la estructura de un exceso de optimismo sobre los
directiva y de gestión de la empresa. impactos que puede tener determinada

acción, o la existencia de un conflicto
La gestión del riesgo no puede ser efectiva sin entre un interés particular y el del cliente.
una cultura de riesgo “saludable’” en toda la
c. El apetito de riesgo: Es decir, la cantidad
organización.
de riesgo que la compañía considera
La cultura del riesgo es el término utilizado aceptable tomar. No debe confundirse con
para describir “los valores, creencias, la capacidad de riesgo (el ‘amortiguador o
conocimiento y comprensión sobre el riesgo, que colchón’ que tiene la organización en caso
son compartidos por un grupo de personas con de que las cosas vayan mal) o la tolerancia
un propósito común (por ejemplo, los empleados al riesgo (la desviación aceptada del
de una organización, o su equipo directivo)”155. apetito de riesgo).
Puede considerarse un subconjunto de la La cultura está determinada por la manera

cultura corporativa, y está influenciado por: en que los consejos de administración y los
directivos comunican los riesgos. Una vez más,
a. La concienciación sobre el riesgo:
no se trata solo de publicar procedimientos y
Comprender que la empresa opera en
normas internas, sino de que los empleados
un entorno de riesgo y que la gestión
comprendan cómo contribuyen al riesgo y
de riesgos es necesaria para lograr los
cuáles son las medidas que pueden tomar
objetivos y poner en práctica la estrategia
para reducirlos, mejorando el desempeño
general de la empresa y contribuyendo a su
155 The Institute of Risk Management (2012), p.7, Risk culture: Under
the microscope. sostenibilidad a largo plazo.
Los profesionales de gestión de riesgos el norte de Escocia. Su valoración bursátil cayó por
(incluidos los Compliance), deben contribuir debajo de 100M de libras (112M de euros), después
a crear conciencia sobre los riesgos en los de que sus acciones bajasen un 90% más.
miembros de los consejos de administración, Dichos contratos resultaron ser mucho menos
y educarlos en los aspectos esenciales de la lucrativos de lo anticipado, lo que redujo ingresos
gestión de riesgos (terminología, metodología, y aumentó sus deudas (alto nivel de deuda y bajos
conceptos, etc.). márgenes de negocio). La compañía necesitaba una

inyección de efectivo, pero los bancos se negaron
Uno de los riesgos a los que se enfrentan las a prestar más y el gobierno rechazó intervenir
organizaciones es precisamente la “ceguera y rescatar a la empresa. Eso dejó a la compañía
incapaz de continuar operando y la forzó a entrar en
de riesgo” en el seno de sus órganos de
liquidación.
gobierno.
Algunos argumentan que Carillion se extralimitó,
Un ejemplo de ello fue el escándalo de Wells asumiendo demasiados contratos arriesgados
Fargo en 2016 (ver caso de estudio específico que resultaron no ser rentables. Se cuestionó la
en el módulo 8). Los administradores y polítrica de ofertar proyectos a bajo precio para
directivos de esta entidad financiera no conseguir contratos. Todo ello induce a pensar en
supieron -o no quisieron- ver el riesgo para una negligente gestión de los riesgos. Precisamente,
una de las cuestiones que los expertos apuntaron
sus propios clientes y para la calidad del
fue la incapacidad del consejo de administración
servicio prestado, el establecimiento de
de Carillion de gestionar sus principales riesgos
unos exigentes objetivos de venta cruzada
estratégicos, aquellos que amenazaban su modelo
de productos en los que basaban el plan de de negocio, su desempeño futuro, su solvencia o su
incentivos económicos a los empleados. liquidez.
Una lección que se pueden sacarse de este caso es la

Caso de estudio IX: Errores en la gestión de importancia de una adecuada gestión de los riesgos
sus riesgos estratégicos de sus proyectos (contratos) por parte de los órganos
El grupo británico Carillion, un importante contratista de gobierno y dirección de este tipo de empresas (de
de construcción y servicios del gobierno británico, contratos de servicio con el sector público).
anunció a comienzos de 2018 su entrada en Fuentes:
“liquidación forzosa con efectos inmediatos”. Su
• ACCA (2018), The governance lessons of Carillion's
colapso se precipitó tras el fracaso en las negociaciones
collapse, accesible en www.accaglobal.com/us/en/
con sus bancos acreedores (HSBC, Santander UK y
member/member/accounting-business/2018/04/
RBS, entre otros) que se negaron a otorgar una nueva
corporate/carillions-collapse.html
línea de crédito de 300M de libras (338M de euros sin
la implicación directa del gobierno. • El País (2018), La constructora británica
Carillion quiebra y entra en liquidación
La lucha de Carillion por su supervivencia se (https://elpais.com/economia/2018/01/15/
remonta a julio de 2017, cuando su situación actualidad/1516013214_980732.html)
financiera se vio debilitada, en gran medida, debido
• The Guardian (2018),The Guardian view on Carillion’s
a los sobrecostes en tres importantes proyectos de collapse: no hiding place (Editorial), www.theguardian.
construcción para el sector público: un hospital en com/commentisfree/2018/jan/16/the-guardian-view-
Birmingham, otro en Liverpool y una carretera en on-carillions-collapse-no-hiding-place
7.3. Definición de riesgos de “Una función de Compliance independiente
Compliance es un componente esencial de la segunda

línea de defensa de la organización.
Uno de los documentos de los que se ha citado Esta función es responsable, entre otras
en diversas ocasiones, y que es una referencia cuestiones, de asegurar que la organización
en el ámbito de Compliance es el publicado por opera con integridad y cumpliendo con las
el Comité de Supervisión Bancaria de Basilea leyes, normativas y políticas internas que le
(CSBB) en el año 2005, titulado “Compliance sean de aplicación”.
y la función de Compliance en bancos ”. Por 156
su interés y extensión (apenas 9 páginas de Vemos, por tanto, que el riesgo de Compliance
contenido), se recomienda su lectura. va mucho más allá del cumplimiento

normativo, entendido éste como la adhesión
En dicho documento se aportó la siguiente al marco legal y regulatorio que es de
definición del riesgo de Compliance: aplicación.
“El riesgo de Compliance es el riesgo de que El riesgo de Compliance abarca también el

una organización pueda sufrir sanciones, cumplimiento de aquellos compromisos que,
multas, pérdidas financieras o pérdida como resultado de la adopción de un enfoque
de su reputación como resultado de ético de la gestión de las organizaciones, se
incumplimientos de las leyes, regulaciones, autoimponen las empresas a través de sus
normas de autorregulación o códigos de propios códigos éticos y de conducta y de
conducta que se apliquen a su actividad”. las políticas internas que los desarrollan. Un
ejemplo de este enfoque, que va más allá de la
Aunque dicho documento está
gestión de un riesgo estrictamente regulatorio,
específicamente dirigido a la banca, las
lo hemos visto en con la introducción del
definiciones y principios recogidos en
concepto “riesgo de conducta” en el ámbito
el mismo son aplicables a la función de
de la industria financiera.
Compliance en general, independientemente
de la organización o sector del que se trate. 7.3.1. Las consecuencias de los
riesgos
Una década más tarde, en julio de 2015, el
CSBB157 ratificó y completó dicha definición Desglosando los elementos indicados en
del riesgo de Compliance, añadiendo un la definición dada al comienzo de este
concepto fundamental: la necesidad de que apartado, nos encontramos con los siguientes
la función de Compliance se asegure, entre efectos que producen los riesgos en caso
otras cuestiones, de que la organización de materializarse y que, en su conjunto,
opera con integridad, afirmando que: contribuyen a definir a envergadura o
materialidad del riesgo de Compliance:
156 Compliance and the Compliance function in Banks (CSBB, abril

2005).
157 Principios de Gobierno Corporativo para bancos (CSBB, Julio 2015).
conductas de las organizaciones

(publicación en los medios de
comunicación y en las redes sociales de
noticias negativas), derivan en el impacto
negativo más difícil de cuantificar, pero
sin duda el más grave de todos.
El valor de la marca de la empresa y su

reputación, basada en la confianza, son
• Sanciones (incluye sanciones de carácter
los mayores activos de una organización.
pecuniario): una empresa puede recibir
Se tarda años en conseguir una reputación
sanciones administrativas (dictadas por
y en forjarse la confianza de los clientes y
organismos supervisores) o penales
los mercados, pero se pueden perder en
(dictadas por tribunales de justicia). Las
cinco minutos. La pérdida de la reputación
sanciones pueden ir desde las más leves
motivada por escándalos corporativos ha
hasta las más graves, llegando incluso a
dañado en cuestión de días la reputación
la pérdida de la licencia, prohibición de
y cuestionado la viabilidad de grupos
contratar con la Administración Pública
empresariales globales, levantados a lo
o al cierre de sus actividades. En muchos
largo de décadas.
casos, la sanción, incluso en el ámbito
penal, consiste en la imposición de una • Daños, pérdidas o detrimento para
multa, por importes en, en ocasiones, terceros: Otra de las consecuencias
muy elevados. de una mala gestión de los riesgos de
Compliance, es el daño o detrimento
• Pérdidas financieras: las pérdidas
causado a sus grupos de interés, entre
financieras que pueden sufrir las
ellos sus clientes. Así, el concepto de
empresas no son únicamente motivadas
“riesgo de conducta”, vinculado a la
por las multas que se les imponga. En
industria financiera, se orienta a los
ocasiones, por ejemplo, tienen que pagar
clientes y a la integridad de los mercados
compensaciones a los clientes para
financieros. El objetivo es velar porque los
subsanar malas prácticas comerciales
clientes no obtengan un mal resultado y
que pueden alcanzar cifras millonarias.
no se dañe la integridad de los mercados.
Además, la fuga de clientes, consecuencia
de la pérdida de confianza que generan los 7.3.2. Las posibles causas de los
escándalos corporativos, es otro ejemplo riesgos de Compliance
de importantes pérdidas económicas que
A la hora de determinar cuál es la causa de
pueden sufrir las empresas.
que se materialice un riesgo de Compliance,
• Daño reputacional: la difusión pública es importante hacer una distinción entre
que habitualmente conllevan los un error humano y una mala conducta
escándalos ocasionados por malas o comportamiento deshonesto. La
identificación y gestión de los factores que • Incumplimiento de las políticas

impulsan o motivan una mala conducta internas: con objeto de prevenir los riesgos
es clave cuando lo que se persigue es la de Compliance, las empresas deben
implementación de sistemas y controles de dotarse de normas de autorregulación
Compliance eficaces. (políticas y procedimientos internos)
que vayan más allá de lo estrictamente
legal y que persigan altos estándares de
comportamientos éticos.
El incumplimiento de dichas políticas y

procedimientos son causas que conducen
a que los riesgos de Compliance se
puedan materializar.
• Violación de los códigos éticos y de

conducta: Las empresas formulan
habitualmente códigos éticos y de
conducta, lo que debería ser el resultado
de una reflexión previa acerca del propio
Causas de los riesgos de Compliance. Elaboración propia. propósito empresarial y la determinación
de los valores y principios que deben regir
Así, cualquiera de los impactos detallados en la conducta de la empresa para servir a
el epígrafe anterior, pueden producirse por dicho propósito.
una mala conducta de uno o varios individuos
de una organización, que implique: Dicho código es desarrollado a su vez
a través de pautas de conducta y de
• Vulneración de leyes y normativa las políticas internas mencionadas
de desarrollo: el cumplimiento de la en el epígrafe anterior. Entre dichos
legislación que afecta a la actividad de principios debería incluirse, obviamente,
una empresa es su primera obligación el cumplimiento con el marco legal y
antes de abrir sus puertas. regulatorio vigente.
Cualquier incumplimiento de las leyes y Las conductas contrarias a los códigos

demás normas, consciente o inconsciente, éticos y de conducta derivan en un riesgo
puede derivar en un riesgo de Compliance de Compliance para la entidad. Cuando la
para la organización. vulneración de esos valores, principios y
pautas de conducta además procede de
Como se ha indicado a lo largo de este
los propios miembros de los órganos de
material, un responsable de Compliance
gobierno y dirección de la organización, se
debe velar no sólo porque se cumple la
produce un gran impacto negativo en el
letra de la ley, sino también su espíritu.
desarrollo de la cultura de la organización.
Esto es debido a que, tradicionalmente, el 7.4. Gestión de riesgo de

liderazgo se ha asociado con la capacidad Compliance según la norma
de influir y motivar a los demás.
ISO 31000
Una cultura corporativa inadecuada es
Una vez definido en qué consiste el riesgo
el principal impulsor de riesgos de mala
de Compliance y entendidos los distintos
conducta de los integrantes de una
elementos que debemos considerar, iremos
organización. Por ello, sus líderes son los
explorando las distintas fases que debemos
primeros que deben involucrarse en la
seguir gestionar los riesgos de acuerdo con
realización de conductas que fortalezcan
el proceso definido en la norma UNE-ISO
la orientación ética de una empresa158.
31000:2018 Gestión del riesgo. Directrices159,
• Fallo en los controles establecidos: que se resume en el siguiente cuadro:
Además, un riesgo de Compliance
puede materializarse (por ejemplo, el
incumplimiento de las normas, antes
referido) por un deficiente funcionamiento
de los controles establecidos. Es decir,
errores, no intencionados, que pueden
derivar de un mal diseño o implementación
de los sistemas y controles establecidos
para cumplir, por ejemplo, con un
determinado requerimiento regulatorio.
De ahí la importancia de establecer

mecanismos suficientes de monitorización
de las políticas y procedimientos Fases de la gestión de riesgos corporativos.
Fuente: ISO 31000:2018 Gestión del riesgo. Directrices.
establecidos y ser diligentes en el proceso
de diseño e implementación de los El proceso indicado en la mencionada norma
controles, involucrando no solo al equipo internacional puede utilizarse en cualquier
de Compliance , sino también a otras tipo de organización- ya sea entidad pública,
áreas o departamentos corporativos, empresa privada, asociación, o cualquier
según proceda, tales como Legal, Gestión otra- y para todo tipo de riesgos, cualquiera
de Riesgos, Tecnología, etc., y a los propios que sea su naturaleza. En nuestro caso,
equipos de auditoría interna que pueden aplicaremos este proceso para la gestión de
contribuir en gran medida a asesorar los riesgos de Compliance.
sobre cómo mejorar el entorno de control
de la entidad. Los componentes específicos de la evaluación
de los riesgos son los enmarcados en el
158 Filabi, A. y Bulgarella, C. (2018), Organizational Culture Drives
Ethical Behaviour: Evidence From Pilot Studies, OCDE Global Antico-
rruption & Integrity Forum. Accesible en www.oecd.org/corrup- 159 Norma UNE-ISO 31000 Gestión del riesgo. Directrices (UNE, Mar-
tion/integrity-forum/academic-papers/Filabi.pdf zo 2018).
recuadro azul claro (identificación, análisis y En este proceso se pueden reunir a

valoración), precedidos por la comprensión diferentes áreas de la organización para
de la organización y su contexto y seguidos concluir una idea más completa del contexto
por el tratamiento de los riesgos. y de los riesgos existentes, así como de su
tratamiento. Se deberá contar también con
En paralelo, no conviene perder de vista
todas las opiniones y tenerlas presentes para
la necesidad permanente de consultar y
la definición de los criterios de riesgo y de su
comunicarse en todas las fases del proceso
evaluación.
con las partes interesadas, tanto internas
como externas, para recabar sus opiniones Este proceso de comunicación y consulta
sobre todos los aspectos relacionados con ayudará a realizar un ejercicio más real
los riesgos: identificación de nuevos riesgos, y exacto, tanto en el establecimiento del
causas y consecuencias, medidas para su contexto, como en la identificación de los
gestión, etc. Sin esta comunicación el ejercicio riesgos o en su análisis y evaluación. Por otro
no sería completo. lado, este proceso contribuirá a involucrar a
todas las partes interesadas en el proceso, de
Por último, en relación al seguimiento y
forma que lo comprendan y asimilen mejor.
revisión de los riesgos, se analizarán en
detalle en otro módulo de este material. 7.4.2. Comprensión de la
organización y su contexto
En los siguientes apartados se detallarán los
componentes de la evaluación de riesgos de El primer paso necesario, antes de entrar
Compliance, siguiendo el esquema indicado a identificar, analizar y evaluar los riesgos,
previamente. es conocer muy bien la organización y su
contexto, analizando y entendiendo de
7.4.1. Comunicación y consulta
forma completa todos los factores internos y
sobre los riesgos
externos que le impactan.
A lo largo de todo el proceso de gestión
Alcance, contexto, criterios
de los riesgos, deberían realizarse
comunicaciones y consultas sobre los La norma UNE-ISO 31000 distingue entre el
Comunicación y consulta
riesgos a todas las partes interesadas, contexto externo, referido al entorno en el

(internas o externas a la organización) que se mueve la organización; y el contexto
interno, referido al entorno interno en el que
Las partes interesadas internas
la organización busca conseguir sus objetivos.
incluyen a los administradores,
empleados, directivos y, en definitiva, En los siguientes puntos vamos a ir analizando
a todo el personal de la organización. algunos de los principales factores, internos
Las partes interesadas externas y externos, que será necesario analizar en
incluyen, por ejemplo, a clientes, esta fase del proceso de gestión de riesgos
proveedores y accionistas. de Compliance. Lógicamente, no se trata de
una relación exhaustiva, sino que en cada toma de decisiones; la relación de las
caso se deberán analizar los factores que personas con poderes y autorizadas
se consideren relevantes para identificar para tomar riesgos; las atribuciones y
correctamente los riesgos. competencias de los directivos (¿existe
una política clara y definida de gestión
Gobierno y estructura de la
de riesgos?); los procesos detallados de
organización
toma de decisiones, en casos de grupos
Para comprender el contexto es esencial corporativos; el grado de implicación
conocer y entender bien, en primer lugar, de las estructuras corporativas de la
el gobierno y la estructura interna de la matriz en la toma de decisiones y en los
organización. En particular, es muy relevante órganos internos de la empresa. Como
entender cuál es el proceso de toma de ya sabemos, uno de los elementos
decisiones y quiénes son las personas clave para el éxito de un programa de
responsables de adoptarlas en cada caso. Del Compliance es precisamente el apoyo y
mismo modo, es fundamental comprender la compromiso de los órganos de gobierno
cultura de riesgo existente y conocer si existe y dirección. Desde esta perspectiva uno
o no concienciación en materia de gestión del de los riesgos estratégicos que deberían
riesgo y cuál es la actitud, así como el apetito contemplarse a la hora de elaborar un
de riesgo. modelo de organización y gestión de los

riesgos de Compliance de la organización,
Para ello, entre otros aspectos, deberemos es precisamente analizar si los miembros
analizar los siguientes: del consejo de administración, o al
menos uno de ellos , tiene suficientes
• Estructura societaria y propiedad,
conocimientos y experiencia en el ámbito
incluyendo la forma jurídica que adopta la
de gestión de riesgos empresariales así
organización (sociedad limitada, sociedad
como un adecuado nivel de independencia
anónima, etc.); la composición de la
(el número de consejeros no ejecutivos
propiedad de la empresa; el órgano de
independientes es un factor clave para
administración (composición, frecuencia
garantizar el buen gobierno y gestión de
de sus reuniones, etc.); las relaciones con la
los riesgos).
matriz, en caso de grupos empresariales.
• Estructura organizativa, incluyendo Actividad de la organización

el número y perfil de los empleados; el
Para comprender el contexto, es necesario
organigrama (equipo directivo, áreas
que entendamos bien la actividad de la
y departamentos, funciones de cada
organización, es decir, a qué se dedica y cómo
área, líneas jerárquicas existentes,
desarrolla sus objetivos.
etc.); los órganos y comités existentes
(composición, competencias, frecuencia Entre otros aspectos, deberemos analizar los
de sus reuniones, etc.); el proceso de siguientes:
• Características de la actividad, incluyendo o corrosivas o sustancias tóxicas y

el objeto social; todas las actividades que asfixiantes, manejar materiales que
se realizan; los productos que se ofrecen emitan radiaciones ionizantes, manejar
y los servicios que se prestan; los canales información privilegiada de empresas
de distribución que se utilizan (puntos de cotizadas; manejar datos personales
venta, agentes, distribuidores, canales a de personas físicas, tener antecedentes
distancia, etc.); las zonas geográficas en de imputación penal de empleados,
las que se actúa. directivos o administradores, etc.
• Partes interesadas, es decir, las Normativa de aplicación

personas físicas y jurídicas con las
que la organización se relaciona en el Uno de los elementos fundamentales del
ejercicio de sus actividades, incluyendo establecimiento del contexto para la gestión
los accionistas, los socios de negocio, los de los riesgos de Compliance es el análisis
proveedores de bienes o servicios, los del marco normativo al que está sujeto la
clientes o los ciudadanos. organización, es decir, el conjunto de leyes, y
otras normas externas o internas, que le son
• Relaciones con las administraciones
de aplicación.
públicas, tanto nacionales como
internacionales, incluyendo si la Entre otros aspectos, deberemos analizar los
organización tiene necesidad de siguientes:
disponer de licencias o autorizaciones
• La legislación vigente, incluyendo las
administrativas previas para poder
leyes y otras normas legales que son de
ejercer su actividad, los contratos
aplicación a la organización, así como las
con administraciones públicas o las
circulares, guías y recomendaciones de los
ayudas o subvenciones recibidas de
supervisores y/o reguladores, cuando la
administraciones públicas.
empresa pertenece a un sector regulado;
• Procesos operativos, incluyendo el
• Las normas internas, es decir, los
detalle de todos los procesos operativos
códigos éticos y de conducta y las políticas
que existan, así como las personas y
internas, manuales y procedimientos
departamento que intervienen en cada
internos;
uno de ellos y las tareas que se realizan,
y el detalle de los flujos económicos • Las normas y los estándares nacionales
existentes. e internacionales aplicables a la actividad
de la organización: los códigos de conducta
• Actividades de riesgo, como, por
sectoriales, las mejores prácticas emitidas
ejemplo: realizar actividades con impacto
por organizaciones internacionales (por
medioambiental, recibir o realizar pagos
ejemplo, directrices de la OCDE) o las
en metálico de forma habitual, manejar
normas de estandarización emitidas por
explosivos, sustancias inflamables
terceros independientes (UNE-ISO 31000)
Prioridades de los reguladores y Ámbitos habituales de Compliance

supervisores Los ámbitos típicamente incluidos bajo la
responsabilidad de Compliance son aquellos
En el caso de empresas que actúen en sectores
relacionados con las normas de conducta que deben
regulados, es muy importante conocer
aplicarse a las distintas actividades desarrolladas
también cuáles son las prioridades de los por la entidad.
reguladores y supervisores competentes.
Caben significativas variaciones en cada organización
Dichas prioridades pueden cambiar y según la normativa sectorial aplicable. Además, a
periódicamente, en función de determinados causa de frecuentes solapamientos con Riesgos,
factores de riesgo o de otras cuestiones, por Legal y Seguridad, sólo se pueden mencionar
a modo de ejemplo las siguientes tareas como
lo que se deberá actualizar la información
habituales de Compliance, sin ánimo exhaustivo:
y estar permanentemente atentos a las
publicaciones y anuncios al público y a la • Programas de prevención de riesgos penales
industria que realizan dichos organismos. empresariales.
• Códigos éticos o de conducta.

Alcance y responsabilidades de la
función de Compliance • Prevención de blanqueo de capitales y de
financiación del terrorismo.
Por último, es importante y necesario
delimitar las competencias y los ámbitos de • Normas de conducta en los mercados de
valores.
riesgo que quedan bajo la responsabilidad de
la función de Compliance. • Prevención del fraude y la corrupción.
Los ámbitos de gestión que están bajo la • Prevención de conflictos de intereses.

responsabilidad de Compliance no son
• Canal de denuncias interno e investigaciones
siempre los mismos, y varían en cada empresa disciplinarias.
u organización.
• Contactos con reguladores y supervisores.
Por ello, para evitar malentendidos o que
• Prevención del riesgo reputacional.
se generen lagunas o duplicidades, es
importante que exista un documento por • Supervisión de la gestión de reclamaciones de
escrito que recoja y describa las competencias clientes.
de Compliance. • Prevención del abuso de mercado.
Este documento debería ser adoptado y • Protección de Datos.

aprobado por el consejo de administración,
• Defensa de la libre competencia.
como responsable último de establecer un
programa de Compliance, y posteriormente • Transparencia y buenas prácticas publicitarias.
debe ser difundido, y comprendido por todos
los miembros de la organización.
7.4.3. Evaluación del riesgo de Para que la identificación de los riesgos

Compliance sea adecuada, debe hacerse en base al
conocimiento que se tiene de la organización,
La evaluación del riesgo es el proceso global de pero también a través de la comunicación

identificación del riesgo, de análisis del riesgo y de con todas las partes interesadas, internas y
valoración del riesgo. externas, así como de los resultados de las
Definición UNE-ISO 31000 revisiones, monitorizaciones o auditorías que
se hayan realizado. Las reclamaciones de los
En los siguientes apartados vamos a ir viendo clientes o las denuncias recibidas por el canal
cada una de estas fases del proceso. de denuncias son también fuentes valiosas
para la identificación de potenciales riesgos
Identificación de los riesgos de en la organización.
Compliance
Por otro lado, se trata de un ejercicio que debe
Una vez analizado el contexto y conocidos a ser dinámico y no estático. El universo de
fondo todos los aspectos de la organización, riesgos de Compliance debe ser actualizado
se debe pasar a realizar la identificación de siempre que se identifique un nuevo riesgo y,
los riesgos de Compliance, es decir, el listado en todo caso, debería realizarse un ejercicio
detallado de los acontecimientos o escenarios de verificación periódica (al menos una vez al
que, en caso de que sucedieran o se produjeran,
año) para comprobar o descartar que existan
podrían dar lugar a alguna de las tipologías de
nuevos riesgos que no estén ya identificados.
impacto que se han analizado anteriormente.
El universo de riesgos de Compliance varía en
Lógicamente, no todos los riesgos llegan a
cada organización, en función de su actividad,
materializarse, de hecho, afortunadamente,
su tamaño, las áreas geográficas en las que
muy pocos llegan a hacerlo, pero sí es
opera y otros factores. Copiar en este caso no
importante identificarlos, analizarlos y
es válido. Una empresa tiene necesariamente
evaluarlos. Este ejercicio es una de las
que identificar y analizar convenientemente
actividades más importantes y sensibles
los riesgos específicos a los que se enfrenta
del Compliance Officer, ya que cualquier
para poder responder adecuadamente.
error de apreciación en este punto puede
De otro modo nunca podremos hablar de
tener consecuencias muy negativas en las
‘gestión efectiva de los riesgos’
siguientes fases del proceso y en la eficacia
de la función de Compliance en su globalidad. Por ello, el proceso de identificación de riesgos
de una organización debe consistir en un
Una adecuada identificación de los riesgos
ejercicio exhaustivo en el que el Compliance
es, sin duda, la fase más importante de
Officer debe plantearse cuestiones que le
todo el proceso, dado que si los riesgos
ayuden a realizarlo. En el cuadro siguiente se
no se identifican la organización estará
plantean algunas de ellas.
aceptándolos por defecto, y sin establecer
ningún mecanismo de control.
Cuestiones para ayudar a identificar • ¿Se comercia con países en conflicto o

riesgos de Compliance con los que existan sanciones financieras
(listado de ejemplo no exhaustivo) internacionales?
• ¿Existe obligación de obtener autorizaciones • ¿Existen potenciales conflictos de intereses

o licencias para el ejercicio de la actividad o entre la empresa, sus administradores y
para operar con determinados productos o empleados y otras terceras personas (clientes,
servicios? proveedores), que no están siendo gestionados
ni prevenidos?
• ¿Se dispone de mecanismos y procedimientos
para conocer la nueva legislación y normativa • ¿Existen vinculaciones familiares, profesionales
que afecta a la organización? o empresariales de administradores o directivos
de la empresa con funcionarios públicos?
• ¿Se cumple con la normativa exigible en otras
jurisdicciones en las que se opera? • ¿Existen mecanismos y procedimientos que
prevengan y detecten el fraude interno y
• ¿Existen procedimientos para ejercer el debido externo en la empresa?
control sobre las personas en las que se
externalizan servicios?
Análisis de los riesgos
• ¿Existen contratos o contacto habitual con
alguna Administración Pública? Una vez identificados y listados los riesgos
• ¿Se realizan actividades con impacto de Compliance de la organización, se debe
medioambiental? proceder a su análisis.
• ¿Se reciben/realizan pagos en metálico de
forma habitual? El propósito del análisis del riesgo es comprender
la naturaleza del riesgo y sus características,
• ¿Se presta un asesoramiento adecuado a los
clientes sobre los productos y servicios que se incluyendo, cuando sea apropiado, el nivel de
ofrecen? riesgo.
Definición UNE-ISO 31000
• ¿Se cumplen con todos los requisitos
regulatorios con relación a la publicidad de
productos y servicios? Realizar un análisis del riesgo implica
• ¿Los clientes pueden presentar reclamaciones

la consideración de sus causas sus
a la empresa de forma sencilla y sin trabas de consecuencias positivas y negativas
ningún tipo? (impactos), y la probabilidad de que dichas
• ¿Se manejan datos de carácter personal de consecuencias puedan producirse.

personas físicas?
A la hora de analizar los riesgos, es
• ¿Existen controles que garanticen que no se fundamental identificar y comprender las
vulnera la legislación ni los principios de libre
fuentes u origen de los posibles “eventos” de
competencia?
riesgo. Solo así podremos realizar el ejercicio
• ¿Se distribuyen productos a través de agentes
exhaustivo al que nos referimos antes.
o prescriptores?
• ¿Se distribuyen productos o servicios mediante Como veremos en el epígrafe siguiente, el

canales a distancia, por vía telefónica o internet? riesgo se puede analizar determinando su
impacto y su probabilidad y, para ello, vamos sanciones que se pudieran imponer por
a introducir el concepto de riesgo inherente. un evento de riesgo) o el impacto en su
En esta fase deberemos medir o valorar el reputación (por ejemplo, la existencia
riesgo inherente de cada uno de los riesgos de publicidad negativa a nivel nacional e
que componen el universo de riesgos de internacional).
Compliance de la organización.
También puede medirse a través de la
Riesgo inherente valoración del impacto causado en sus
clientes (por ejemplo, número de clientes
Es importante tener en cuenta que, para llevar afectados, o perdida financiera o daño
a cabo este análisis, únicamente se toma en causado a los mismos).
consideración el riesgo inherente, es decir, el
Para valorar los impactos, se pueden
riesgo propio de las actividades y los servicios
utilizar criterios cualitativos (por
que presta la empresa, sin considerar
ejemplo, ¿cuál es la preocupación del
los posibles controles o mecanismos de
regulador sobre un riesgo concreto del
prevención existentes.
sector al que pertenece la empresa?),
Por tanto, el riesgo inherente 160
es aquel que o cuantitativos (por ejemplo, ¿cuál es
por su naturaleza no se puede separar de la el importe de la sanción que podrían
actividad que realiza la organización. Es decir, imponer el organismo supervisor?), o una
es intrínseco a sus distintas actividades y combinación de ambos.
áreas de negocio, sin considerar los sistemas
• Probabilidad: Se refiere a la expectativa
de control que se hayan implantado.
puramente teórica de que se produzca
El riesgo inherente se mide por la combinación el evento de riesgo, sin considerar las
de dos parámetros: la probabilidad y el medidas mitigantes que puedan estar
impacto. implantadas o que se puedan implantar,
y teniendo en cuenta exclusivamente
• Impacto: Se refiere a las consecuencias
las características y el contexto de la
que la materialización del riesgo tiene
organización, es decir, el sector económico
para la empresa, o, como se indicaba
en el que opera, las actividades que
anteriormente, también puede medirse
realiza, las zonas geográficas en las que
desde la perspectiva del daño o
presta sus actividades, el tamaño y otras
detrimento causado a terceros, tales
características relevantes.
como los clientes.
Para medir la probabilidad pueden utilizarse
Para valorarlo se suele tener en cuenta la
criterios de frecuencia (número de veces en un
pérdida financiera para la empresa (por
periodo de tiempo determinado en las que se
ejemplo, el importe o naturaleza de las
ha materializado el riesgo en el pasado) o de
factibilidad, es decir, cuáles son expectativas
160 Enseñat, S. (2016), p 80, Manual del Compliance Officer, Thomson de que se materialice en el futuro.
Reuters.
Cada organización dispondrá de sus propios Elementos de una matriz de riesgos

procedimientos internos y metodología para inherentes (ejemplo)
medir el riesgo. Existen distintas fórmulas • Denominación del riesgo.
para realizar, medir y diseñar una matriz • Detalle del escenario de riesgo concreto que se
de riesgo. Lo que es fundamental es que la está analizando.
metodología se defina antes de empezar el • Impacto.
análisis. En la definición de dicha metodología • Probabilidad.
se deberá determinar la forma en la que se va
• Riesgo inherente resultante.
a medir la probabilidad, el impacto y, como
• Persona responsable de cada riesgo.
veremos más adelante, la evaluación de los
• Departamento/s implicado/s.
controles.
• Fecha de inclusión del riesgo en el registro.
En el cuadro siguiente se incluye un ejemplo • Persona/departamento que ha sugerido la
de metodología de evaluación del riesgo inclusión del riesgo en el registro.
inherente:
Este documento deberá ser objeto de
revisión y verificación periódica, por ejemplo,
una vez al año, con objeto de determinar si
existen riesgos adicionales que no se habían
considerado, que habría que añadir, o si
hubiera que modificar el análisis de los que
se han identificado, ajustando su impacto o
probabilidad.
El riesgo inherente es el punto de partida
para realizar la evaluación de riesgos, de ahí Valoración de los riesgos
la importancia de que se realice de forma
rigurosa y concienzuda. La principal finalidad de realizar la valoración
de los riesgos es la toma de decisiones
El resultado de la identificación y el análisis informadas en cuanto a su tratamiento, es
de los riesgos de Compliance deberá decir, decidir en cada caso si hay que actuar
ser convenientemente documentado. o no, qué tipo de actuación tenemos que
En la plantilla o matriz en la que queden realizar, con qué urgencia o prioridad se debe
documentados los distintos riesgos actuar, etc.
identificados y sus correspondientes riesgos
inherentes, se pueden añadir todos los
El propósito de la valoración del riesgo es apoyar a la
aspectos que se consideren convenientes toma de decisiones. La valoración del riesgo implica
para completar o enriquecer la información. comparar los resultados del análisis del riesgo con
los criterios del riesgo establecidos para determinar
cuándo se requiere una acción adicional
Definición UNE-ISO 31000
La valoración es la fase que nos permitirá el enfoque basado en el riesgo aplicado al

determinar un nivel de riesgo y, en función ámbito de la prevención del blanqueo de
de dicho nivel, nos permitirá determinar cuál capitales y de la financiación del terrorismo
es el nivel de respuesta que resulta necesario, (PBC/FT), implica la identificación, valoración
priorizando y focalizando la asignación y comprensión previa de dichos riesgos, y que
de mayores recursos a aquellos riesgos las medidas que se adopten para mitigarlos
evaluados como “nivel alto”’. sean proporcionales a los mismos (es decir,
se adecúen el nivel de riesgo determinado).
Si no evaluamos correctamente los riesgos,
la organización no podrá adoptar un enfoque Por lo tanto, la valoración de riesgo
basado en el riesgo (ver cuadro incluido más proporciona la base para una correcta
abajo) y, además de conducir a la inefectividad aplicación de los controles. Sin embargo,
del modelo de gestión de riesgos, puede es importante tener en cuenta que el RBA
conducir al colapso de los procedimientos de no implica en ningún caso que se elimine
la propia organización al adoptarse medidas el riesgo (riesgo cero), y aunque gracias al
preventivas o de detección innecesarias (por mismo las entidades financieras adopten
ejemplo, si el resultado de la valoración de medidas razonables para identificar y mitigar
un riesgo es “nivel bajo”, no debería resultar los riesgos PBC/FT, siempre podrá existir la
necesario adoptar controles adicionales). posibilidad de que se utilice dicha entidad
para esos fines.
En los siguientes apartados iremos viendo
los conceptos y elementos necesarios para Este mismo enfoque es extensible a la gestión
poder elaborar una matriz de riesgos de de cualquier otro riesgo, y es el concepto que
Compliance. subyace en la norma UNE-ISO 31000 y en la
ISO 9001:2015 sobre Sistemas de Gestión de
El enfoque basado en el riesgo (RBA) Calidad.
El éxito o eficacia de cualquier programa

El concepto del “apetito de riesgo”
o modelo de gestión de riesgos (por
ejemplo, un programa de Compliance) pasa Un concepto clave, que es necesario conocer y
necesariamente por lo que se conoce como entender cuando se está gestionando cualquier
adopción de un enfoque basado en el riesgo. riesgo, incluido el riesgo de Compliance,
especialmente en la fase de valoración del
De acuerdo con el documento publicado por
riesgo residual, es el de apetito de riesgo.
el Grupo de Acción Financiera o GAFI161 en
2014, titulado “Guía para el sector bancario De acuerdo con el Instituto de Auditores
sobre el enfoque basado en el riesgo” , 162
Internos163, “toda empresa lleva a cabo sus
operaciones con un fin último, la creación de
161 Organismo intergubernamental independiente que desarrolla y
valor. Pero este fin no puede alcanzarse sin
promueve políticas contra el blanqueo de capitales, la financia-
ción del terrorismo y la proliferación de armas de destrucción
masiva. Sus recomendaciones son reconocidas como la norma
global de referencia en el ámbito PBC/FT.
163 Definición e implantación de Apetito de Riesgo, La Fábrica de Pensa-
162 Risk-based approach guidance for the banking sector, GAFI (2014): miento, Julio 2013. Instituto de Auditores Internos.
asumir ciertos riesgos. Por ello, para obtener los Otros dos conceptos relacionados con el
resultados deseados, gestionar una empresa apetito de riesgo que es necesario conocer y
implica gestionar riesgos, y para poder hacerlo maneja, son:
con garantías, las empresas deben definir su
sistema de gestión de riesgos”. • Tolerancia al riesgo: Los límites del
riesgo, fuera de los cuales la organización
Por ello es resulta fundamental determinar no está preparada para aventurarse en la
cuál es la cantidad de riesgo que la búsqueda de sus objetivos a largo plazo.
organización desea asumir en la consecución Por ejemplo, una organización puede
de sus objetivos. La fijación de este umbral tener, con carácter general, un apetito
permite mantener los riesgos en los niveles de riesgo bajo hacia el incumplimiento
deseados, y, en consecuencia, contribuye de las leyes y normas legales y puede
a la generación de valor (el beneficio o tener una tolerancia cero al riesgo de
rentabilidad obtenida por una organización
determinadas violaciones de la ley (por
no deja de ser el premio por una adecuada
ejemplo, la comisión de un delito) y una
gestión de los riesgos).
tolerancia ligeramente superior hacia
El apetito de riesgo se puede definir por tanto violaciones de otros preceptos legales.
como la cantidad de riesgo, a nivel global, que Para ampliar la información sobre este
los órganos de administración y dirección de tema se puede consultar el documento
una organización están dispuestos a aceptar Understanding and Communicating Risk
en su búsqueda de valor y de cumplimiento Appetite, publicado por COSO164.
con los objetivos a largo plazo de la
organización (los objetivos de una empresa • Capacidad de riesgo: Es la cantidad
deberían ir más allá de los estrictamente máxima de riesgo que una organización
económicos y de negocio). es capaz de tolerar.
Identificación y definición de los

Definición de “apetito de riesgo”
controles
La cantidad de riesgo, a nivel global, que una entidad
está dispuesta a aceptar en su búsqueda de valor. Para comprender y medir el nivel de riesgo al
que se enfrenta realmente una organización,
Refleja la filosofía de gestión del riesgo de la entidad
es imprescindible identificar, clasificar y
y al mismo tiempo influye en la cultura y el estilo en
el que opera (…) evaluar los controles ya existentes.
El apetito de riesgo determina la asignación de Es conveniente categorizar los controles en

recursos (…) El apetito de riesgo ayuda a alinear
función de su principal finalidad. Así, podemos
la organización, las personas y los procesos para
distinguir fundamentalmente entre:
diseñar la infraestructura necesaria para responder
y monitorizar los riesgos de forma efectiva.
Enterprise Risk Management Integrated Framework

(1992), COSO 164 Understanding and Communicating Risk Appetite, (Committee of
Sponsoring Organizations of the Treadway Commission COSO,
January 2012). Disponible en: www.coso.org/
• Preventivos: Aquellos que “actúan” antes canal de denuncias interno, prevención del
de que se materialicen los riesgos con una blanqueo de capitales, prevención del uso
finalidad de evitarlos o mitigarlos (ex ante). de información privilegiada, segregación
de funciones, seguridad de la información,
• De detección: Aquellos que “actúan” ex
etc.) que deben ser respetadas por
post, es decir, una vez se ha materializado
todos los empleados y directivos de la
el riesgo y que tienen como finalidad
organización. Se formulan con objeto
detectarlo de forma diligente y
de prevenir los riesgos de Compliance
oportuna y /o monitorizar el adecuado
y deben de ser aprobadas por la alta
funcionamiento de los controles
dirección de la entidad. Al responsable de
implantados.
Compliance le corresponde proponerlas,
• De reacción165: A esta tercera categoría difundirlas, supervisarlas y monitorizar su
pertenecerían aquellos controles cuya cumplimiento.
finalidad es premiar o castigar las

• Formación: La formación del personal
malas conductas que conducen a la
en las materias propias de Compliance,
materialización del riesgo (existencia
incluyendo las normas legales que les
de un plan de incentivos que fomente y
son de aplicación, las políticas internas,
premie las conductas que son acordes
los códigos de conducta, etc., constituye
con el código ético y de conducta de la
un eficaz control de prevención, ya
organización, y un régimen disciplinario
que ayuda a que los miembros de la
que sancione las conductas contrarias a
organización conozcan las pautas con las
dicho código ético y de conducta).
que deben actuar y sean conscientes de
Entre los distintos controles que se pueden las consecuencias de los incumplimientos.
implantar para gestionar los riesgos de

• Controles organizativos y de procesos:
Compliance podemos citar los siguientes:
Existen numerosos controles
• Políticas y procedimientos: Las políticas organizativos y de procesos que se
y procedimientos de Compliance son pueden implantar para prevenir los
normas internas de la empresa que riesgos de Compliance, tales como las
pueden venir motivadas por obligaciones obligaciones de segregación de funciones,
legales o establecerse como controles las dobles firmas, los procesos internos de
internos voluntarios en la empresa (es aprobación, los controles en los sistemas
decir, como desarrollo de su código ético). de retribución variable de los empleados

y directivos, los dobles chequeos por
Las políticas de Compliance contienen distintas personas en los procesos, las
pautas de actuación en distintos ámbitos medidas de diligencia debida, etc.
(prevención de conflictos de intereses,
• Indicadores de riesgo: Los indicadores de
165 Enseñat, S. (2016), pp 82-83, Manual del Compliance Officer,
riesgo constituyen un control de detección
Thomson Reuters.
y una herramienta útil para evaluar el control o malas prácticas en la organización.

estado de un riesgo determinado que, por Para ello, es necesario analizarlas y buscar
cualquier razón, interese seguir más de la causa raíz de aquellas reclamaciones
cerca. Sirven para medir “la temperatura” que sean reiterativas o que se produzcan
de un riesgo de forma periódica y constante. repetidamente en un período.
Su definición y el establecimiento de los
• Canal de denuncias: El canal de denuncias
umbrales de tolerancia son factores clave
interno y las investigaciones derivadas
a la hora de extraer conclusiones fiables.
de las denuncias de prácticas irregulares
Los indicadores de riesgo que se definan constituyen una importante fuente
variarán en función, entre otros factores, de información y controles válidos
del tipo de negocio que se trate, del marco para detectar fallos de control en la
regulatorio aplicable, de las prioridades organización. Su importancia determina
de los supervisores o de otras situaciones que en este material contenga un módulo
coyunturales relevantes. específico (el módulo 9) en el que se
detalla y desarrolla su marco normativo,
Una vez definidos, los indicadores se
conceptual y operativo.
deberán medir con una periodicidad
corta, por ejemplo, una vez al mes, y se irá • Medidas disciplinarias e incentivos: Las
monitorizando su evolución. consecuencias para los miembros de
la organización que tienen las prácticas
Cuando el resultado de la medición de un
irregulares y los incumplimientos de
indicador de riesgo se distancie del umbral
las normas, en forma de medidas
de tolerancia que previamente se haya
disciplinarias o de otro tipo, así como las
definido, se deberá vigilar más de cerca y
medidas favorables e incentivadoras que
si la desviación persiste en las siguientes
puedan tener las conductas positivas,
mediciones, este hecho supondrá una
también son controles de reacción.
señal de alarma que permitirá identificar y
corregir posibles deficiencias de controles En el ejercicio de identificación de los
en un estadio muy temprano. controles es necesario también identificar
a los responsables de su ejecución.
• Monitorización de Compliance: Las
Normalmente las personas responsables de
revisiones de Compliance sobre
la ejecución de los controles no pertenecen
potenciales riesgos o controles constituyen
al departamento de Compliance, aunque en
también controles de detección eficaces
algún caso concreto pueda ser así, sino que
que analizaremos con detalle en el
pertenecen a las áreas de operaciones o de
módulo 11 de estos materiales.
negocio en las que se ejecutan los procesos
• Análisis de las reclamaciones: Las vinculados al control. Por ello, es muy
reclamaciones de clientes, proveedores y conveniente identificar y documentar al lado
otras partes interesadas son una fuente de cada control quiénes son las personas y
muy válida para detectar posibles fallos de departamentos responsables del mismo.
Evaluación de los controles
Una vez identificados y definidos los controles

asociados a cada riesgo (riesgo inherente), es
necesario proceder a su evaluación. Para ello
es necesario analizar su diseño, la efectividad
de su funcionamiento y la automatización
o no del control (un control manual, por
ejemplo, será generalmente menos seguro
que uno automático).
Muchas veces, los controles están bien

diseñados (por ejemplo, una política interna
sobre cómo actuar en el ámbito de la recepción Como ocurre con la fase de identificación y
u ofrecimiento de regalos e invitaciones a medición del nivel de riesgo inherente, el

eventos), pero su funcionamiento no es eficaz resultado de la identificación y análisis de
debido a deficiencias en la forma en la que se los controles deberá ser convenientemente
esté ejecutando (por ejemplo, dicha política documentado. Cada control se aplicará
exige una autorización previa sobre aquellos para prevenir uno o varios de los riesgos
regalos o invitaciones cuyo valor supere cierto identificados y, de la misma forma, un mismo
importe monetario, pero nadie lo cumple). riesgo puede tener asociados varios controles
diferentes, tanto de prevención, como de
De la misma forma, un control puede estar
detección o de reacción.
siendo ejecutado correctamente, pero estar
mal diseñado. En ambos casos el resultado En la plantilla (mapa de riesgos) en la
de la evaluación global del control (efectividad que queden documentados los distintos
del control) será deficiente. controles que se aplican a cada uno de los
riesgos identificados se pueden añadir todos
Atendiendo a estos criterios, los controles se
los aspectos que se consideren convenientes
pueden evaluar como sigue:
para completar o enriquecer la información.
Elementos de un registro de controles

(ejemplo)
Denominación y detalle del riesgo al que va asociado

el control.
Denominación del control.
• Detalle del control que se va a aplicar.

• Tipo de control (Prevención, Detección o
Reacción).
• Efectividad del diseño del control.
• Efectividad del funcionamiento del control. Cada organización dispondrá de sus propios
• Efectividad global del control. procedimientos internos para medir el riesgo
residual, como cruce entre el riesgo inherente
• Persona responsable de cada control.
y la efectividad de los controles asociados a
cada riesgo. En el cuadro siguiente se facilita
• Fecha de inclusión del control en el registro. un ejemplo como referencia.
• Personas/departamentos responsables de la
ejecución del control.
• Frecuencia de ejecución del control.
• Evidencias de la ejecución del control.
Este documento deberá ser objeto de revisión

Ejemplo de matriz de evaluación del riesgo residual.
y verificación periódica, por ejemplo, una vez Elaboración propia
al año, con objeto de determinar si existen

De igual forma que se hizo con el riesgo
controles adicionales que no se habían
inherente y con los controles identificados, el
considerado, de añadir nuevos controles que
resultado de la evaluación del riesgo residual
se hayan implementado durante el período
deberá ser convenientemente documentado.
o de actualizar la efectividad de los controles
que se hayan mejorado o que se hayan
En la plantilla en la que queden documentados
deteriorado, tanto en cuanto a su diseño o
los distintos riesgos identificados y sus
como a su funcionamiento.
correspondientes riesgos residuales se
Riesgo residual pueden añadir todos los aspectos que se

consideren convenientes para completar o
El riesgo residual es aquel riesgo remanente enriquecer la información.
tras haber aplicado los controles ya existentes
(tomado en consideración, lógicamente, el
Elementos de un registro de riesgos
resultado de la evaluación realizada sobre los residuales (ejemplo)
mismos).
• Denominación del riesgo.
Es decir, dependiendo de la cantidad,
• Detalle del escenario de riesgo concreto que se
robustez y calidad de los controles, el riesgo está analizando.
inherente se reducirá en una proporción
• Impacto.
mayor o menor, dando como resultado un
determinado riesgo residual. • Probabilidad.
• Riesgo inherente resultante.

El riesgo residual es el riesgo que la
• Denominación y detalle de los controles que se
organización está aceptando asumir y, por lo
aplican.
tanto, debe ser necesariamente conocido y
aceptado por sus órganos de administración • Efectividad del diseño de los controles.
y dirección. • Efectividad del funcionamiento de los controles.
• Efectividad global de los controles. • Evitar el riesgo: eliminando la posibilidad

• Riesgo residual resultante. de que éste se materialice al adoptar
la decisión de abandonar o no iniciar la
• Persona responsable de cada riesgo.
prestación de un determinado servicio o
actividad
• Fecha de inclusión del riesgo en el registro.
• Reducir o mitigar el riesgo: Estableciendo
• Persona/departamento que ha sugerido la
controles para reducir la probabilidad y/o
inclusión del riesgo en el registro.
el impacto del riesgo. También se puede
eliminar la fuente u origen del riesgo
Este documento deberá ser objeto de revisión sin entorpecer la continuidad de las
y verificación periódica, por ejemplo, una vez actividades y servicios.
al año, con objeto de modificar el estado del
• Compartir el riesgo, transfiriéndolo a
riesgo residual que por cualquier razón se
terceros o suscribiendo una póliza de
hubiera visto alterado.
seguros.
La siguiente figura sintetiza el proceso • Aceptar el riesgo: Para aceptarlo habrá

definido anteriormente: que tener en cuenta cual es el apetito de
riesgo de los responsables últimos de la
empresa (Consejo de Administración) y
habrá que establecer mecanismos para
seguir su evolución.
En la misma línea, la norma UNE-ISO 31000

indica que las posibilidades de respuesta
Fases del análisis y evaluación de riesgos. Elaboración propia
ante los riesgos son:
7.4.4. Tratamiento de los riesgos • Evitar el riesgo decidiendo no iniciar o

continuar con la actividad que genera el
El tratamiento de los riesgos implica riesgo.
la adopción de decisiones sobre
• Aceptar o aumentar el riesgo en busca de
Tratamiento del riesgo
cómo responder ante los riesgos

identificados. una oportunidad.
• Eliminar la fuente de riesgo.

Así, una vez identificado el nivel de
riesgo al que se enfrenta la empresa • Modificar la probabilidad.
(riesgo residual), siguiendo, por
• Modificar las consecuencias.
ejemplo, la metodología COSO II166,
deberá procederse a adoptar las • Compartir el riesgo (por ejemplo, a través
medidas que resulten necesarias para: de contratos o compra de seguros).
• Retener el riesgo con base en una

166 Marco integrado COSO Enterprise Risk Management de 2004. decisión informada.
En cualquiera de los casos, tendremos que los controles, el riesgo residual supera al
realizar un ejercicio de análisis y de adopción apetito de riesgo de la organización, se
de decisiones con relación a la necesidad de abre la necesidad de implementar controles
implementar medidas adicionales, bien sea adicionales o de mejorar la efectividad de los
para evitar el riesgo (impidiendo la realización existentes.
de determinadas actividades), para reducirlo
De forma esquemática podemosrepresentarel
(eliminando la fuente del riesgo, reduciendo su
proceso de la siguiente forma:
probabilidad o su impacto), para compartirlo
o transferirlo (modificando contratos con
terceras artes, suscribiendo pólizas de
seguros), o para aceptarlo (monitorizando su
evolución).
El tratamiento continuo de los riesgos incluye

tareas tales como las siguientes:
• Realizar evaluaciones periódicas de los

riesgos y controles
Esquema para la evaluación del riesgo corporativo.
• Establecer e implantar controles Fuente: Sylvia Enseñat (2016), p 87, Manual del Compliance Officer
(Thomson Reuters)
adicionales cuando sea necesario
• Supervisar de forma continua de los De acuerdo con la norma UNE-ISO 31000, los
riesgos y controles (monitorización de planes de tratamiento del riesgo consisten
Compliance) en documentar la manera en la que se
implantarán las opciones de tratamiento
• Establecer indicadores de riesgo (KRI) que
elegidas. Estos planes de tratamiento
permitan su monitorización permanente.
deberían incluir, entre otros aspectos, los
• Recomendar medidas de remediación de siguientes:
las deficiencias identificadas
• El fundamento de la selección de
• Realizar el seguimiento de la opciones para el tratamiento, incluyendo
implementación de las medidas de los beneficios esperados.
remediación acordadas
• Las personas que rinden cuentas y
• Informar a la alta dirección sobre las aquellas responsables de la aprobación e
deficiencias relevantes identificadas implementación del plan.
y las principales incidencias en la
• Las acciones propuestas.
implementación de medidas correctoras
• Los recursos necesarios, incluyendo las
Así, cuando por cualquier razón, por ejemplo,
contingencias.
porque se incrementa la probabilidad o el
impacto del riesgo o porque se debilitan • Las medidas del desempeño.
• Las restricciones. • Identificar riesgos emergentes o cambios

en los riesgos ya identificados que puedan
• Los informes y seguimiento requeridos.
requerir la revisión de los tratamientos de
• Los plazos previstos para la realización y los riesgos o de las prioridades.
la finalización de las acciones.
Los resultados de los ejercicios de revisión
En todo caso, las personas responsables de la y seguimiento se deben registrar e incluir
toma de decisiones deberían estar enteradas en informes internos y externos, según se
de la naturaleza y amplitud del riesgo residual considere adecuado.
después del tratamiento del riesgo. Como
En otro Módulo de este documento veremos
hemos indicado anteriormente, el riesgo
con mayor detalle los mecanismos y
residual se debe documentar y someter a
herramientas para realizar la supervisión,
seguimiento y revisión.
monitorización y revisión de los riesgos y
7.4.5. Seguimiento y revisión controles de Compliance.
7.4.6. Registro del proceso de

El propósito del seguimiento y la revisión es
asegurar y mejorar la calidad y la eficacia del diseño,
gestión de los riesgos
la implementación y los resultados del proceso.
La última fase del proceso de gestión de
Definición UNE-ISO 31000 riesgos, de acuerdo con la norma UNE-ISO
31000, es la que asegura que las actividades
realizadas sean trazables. De esta forma, los
El seguimiento y la revisión
registros proporcionan además la base para
debe planificarse en el proceso
la mejora de los métodos, de las herramientas
Seguimiento
y revisión
de tratamiento del riesgo. Las

y del proceso en su conjunto.
responsabilidades del seguimiento
y de la revisión deben estar Como hemos ido señalando a lo largo de
claramente definidas y el proceso todo este módulo, es necesario documentar
debe tener la finalidad de: y registrar las tareas y actividades que hemos
llevado a cabo en el proceso de gestión de
• Asegurar que los controles son eficaces y riesgos de Compliance. De hecho, al igual
eficientes, tanto en su diseño como en su que la fase de identificación de los riesgos
funcionamiento. es esencial para diseñar y desarrollar un
• Obtener información adicional para programa o modelo de Compliance eficaz en
mejorar la apreciación del riesgo. su cometido, la documentación y trazabilidad

de todas las acciones y decisiones en el ámbito
• Analizar y sacar conclusiones de los de la gestión de los riesgos de Compliance
incidentes que se produzcan. resulta esencial para poder demostrar la
• Detectar cambios en el contexto, tanto responsabilidad ejercida por el Compliance
interno como externo de la organización. Officer y su diligencia.
El creciente escrutinio que se hace sobre la

función de Compliance, tanto por parte de
los organismos supervisores como desde
dentro de la propia organización, conduce a
una mayor necesidad de evidenciar que el
trabajo realizado por el Compliance Officer
es el adecuado. Contar con un proceso
debidamente documentado ayudará sin
duda a proteger a los profesionales de
Compliance en las organizaciones frente a
acusaciones infundadas de mala gestión o
falta de diligencia en sus cometidos.
Según se indica en los estándares ISO de

referencia, la decisión sobre la amplitud y el
número de los registros se tomará teniendo
en cuenta, entre otros, los siguientes factores:
• Las necesidades de la organización en

materia de aprendizaje continuo.
• Los beneficios de reutilizar la información

para fines de gestión.
• Los costes y los esfuerzos que suponen

la creación y el mantenimiento de los
registros.
• Las necesidades legales, reglamentarias y

operacionales para elaborar los registros.
• Las formas de acceso, la facilidad de

recuperación de la información y los
medios de almacenaje.
• El periodo de conservación de la
información.
• El carácter sensible de la información.
• Compliance es una función de gestión de riesgos, y la gestión de éstos es una tarea

fundamental en las organizaciones actuales, debido a un entorno legal y regulatorio cada vez
más complejo y cambiante, a las dificultades económicas y presiones financieras, así como al
impacto de las nuevas tecnologías.
• Los riesgos de Compliance no están aislados. Su gestión debe formar parte de un enfoque
integrado, que permita ser consciente y visualizar no sólo todos los riesgos a los que se
enfrentan las organizaciones, sino cómo están conectados e interactúan entre ellos.
• Los riesgos de Compliance son aquellos relacionados con las acciones u omisiones que pueden
llevar a una organización a sufrir sanciones, multas, pérdidas financieras o reputacionales
por (y a causa de) incumplimientos de las leyes, regulaciones, normas de autorregulación o
códigos de conducta que se apliquen a su actividad, así como por la implantación de controles
deficientes o fallos en los mismos.
• Para la gestión de riesgos, las normas y estándares más conocidos y empleados son el ISO
31000 Gestión del riesgo. Directrices, actualizada en 2018, y el marco integrado COSO- ERM
(Enterprise Risk Management), actualizado en 2017.
• En la gestión de sus riesgos, Compliance ejecutará las mismas actividades que cualquier otra
función en este ámbito: identificar, analizar, evaluar, responder, detectar (monitorizar) e
informar.
• De acuerdo con lo anterior, y siguiendo como referencia la norma ISO 31000, aplicable a
cualquier tipo de organización, la gestión de riesgos de Compliance se realizará llevando a
cabo las siguientes fases y actividades:
- Comunicación y consulta sobre los riesgos;

- Comprensión de la organización y su contexto (gobierno, estructura, actividad, normativa,
supervisores, etc);
- Evaluación del riesgo (identificación, análisis y valoración);
- Tratamiento de los riesgos (a los que la ISO añade, a los tradicionales evitar, compartir,
reducir, aceptar, los de eliminar la fuente de riesgo y retener);
- Seguimiento y revisión;
- Registro del proceso de gestión de los riesgos.
• Las organizaciones actúan en el mundo real, en el que todos nos enfrentamos a cambios,
incertidumbres y riesgos en nuestra toma de decisiones. Por tanto, el riesgo es consustancial
a la actividad, y no cabe ignorarlo, sino gestionarlo adecuadamente.
• Este riesgo consustancial a la actividad, es el riesgo inherente. Este riesgo se mide como
combinación de dos parámetros: la probabilidad de que el riesgo se manifieste o materialice,
y el impacto que éste tendría. Si se aplican controles de cualquier naturaleza (preventivos, de
detección o de reacción) para evitarlo, prevenirlo, reducirlo o mitigarlo, la cantidad de riesgo
resultante es la denominada riesgo residual.
• Una vez completadas las fases de gestión de riesgos, el resultado (riesgo residual) ha de ser
una cantidad de riesgo aceptable. La categorización de aceptable o no estará determinada por
el concepto de “apetito de riesgo”, o cantidad de riesgo, a nivel global, que una entidad está
dispuesta a aceptar en su búsqueda de valor. Para una adecuada gestión, el riesgo residual
siempre ha de ser igual o menor que el apetito de riesgo.
Módulo 8
Normativa interna
de las organizaciones
MÓDULO 8 • NORMATIVA INTERNA DE LAS ORGANIZACIONES
Módulo 8 de la responsabilidad de la prevención a las

propias organizaciones.
Normativa interna de las Por otro lado, como ya hemos señalado y
organizaciones seguiremos haciendo a lo largo de estos
materiales, tanto la opinión pública como los
Objetivos inversores tienen cada vez más en cuenta las
características éticas y la reputación de las
organizaciones, por lo que éstas deben realizar
esfuerzos y cambios en este ámbito que les
orientar su actividad y comportamiento en la
• Identificar la estructura de un sistema
dirección adecuada.
normativo interno.
• Diferenciar las características de un código Así pues, estas circunstancias obligan a las
ético y uno de conducta y los principios que
organizaciones a modificar sus estructuras
deben incluir.
y sus procedimientos para incluir normas y
• Distinguir entre política y procedimiento,
procesos que aseguren un comportamiento
describiendo sus diferencias principales.
no sólo legalmente admisible, sino lo más
• Comprender en que consiste la autorregulación
éticamente comprometido posible.
• Entender los elementos básicos de la gestión
de conflictos de intereses y los factores que Para ello, es preciso que las organizaciones
intervienen.
no solo dispongan de normas internas y
• Reconocer casos reales de conflictos de procedimientos asociados, sino que las
intereses.
estructuren y doten de formalidades similares
• Comprender el concepto de Diligencia Debida
a las de cualquier sistema jurídico, con
y detallar sus fases.
descripciones de las causas que las originan,
su ámbito objetivo y subjetivo de aplicación,
8.1. Introducción el momento de su entrada en vigor, etcétera.
El creciente tamaño de las organizaciones De ese modo, las organizaciones lograrán

y la complejidad del entorno legal de sus establecer un modelo normativo que les
actividades ha conducido a la necesidad permitirá producir, gestionar y ordenar
de establecer instrucciones cada vez más sus políticas internas, así como establecer
detalladas acerca de las conductas que se directrices para asegurar su cumplimiento.
esperan de su personal y de las personas que
Dentro de este módulo, repasaremos no
se vinculan con ellas (esto es, proveedores,
sólo cómo debe estructurarse esa normativa
clientes, socio de negocio, etcétera).
interna y la forma que deben adoptar las
No solo eso, sino que la evolución del políticas y procedimientos, sino también el
contexto normativo ha puesto un énfasis concepto de autorregulación y ejemplos, la
especial en el control interno de las manera de regular, prevenir y afrontar los
organizaciones, transfiriéndose gran parte conflictos de intereses y los procedimientos
de diligencia debida, y cómo estas normas y Árbol de políticas

procesos se incardinan e interactúan con la
dinámica de las organizaciones. A partir de un modelo normativo vertebrado
por una norma de alto nivel, resulta más fácil
8.2. Código de conducta, desarrollar contenidos mediante políticas
políticas y procedimientos que concretarán las materias enunciadas a
través de directrices adicionales, si conviene,
8.2.1. Estructura de la normativa así como de procedimientos para aplicarlas.
interna
Un aspecto clave a revisar en materia de

políticas de empresa no es tanto su volumen,
que por sí solo es un dato poco indicativo, sino
el hecho de que se encuentren incardinadas
dentro de un sistema normativo estructurado
que facilite su conocimiento y gestión general.
En relación con ello, es difícil disponer de él
cuando no se ha definido un marco jerárquico
de normas.
Árbol n–ario de normativa interna. Elaboración propia
Los sistemas normativos de empresa se

desenvuelven de forma análoga a los Por eso, un primer aspecto a considerar en
ordenamientos jurídicos, cuya vertebración, el análisis de los modelos normativos de
muy similar a la prevista en la pirámide de empresa es la existencia de una norma de
Kelsen, parte de una norma de máximo máximo nivel que otorgue sentido al resto,
nivel que otorga legitimidad y coherencia al con independencia de su denominación
resto del conjunto, sin que normas de rango (Código Ético, Código de Conducta, Valores,
inferior puedan contravenir los valores y Misión, etc.).
directrices fijadas en las de rango superior,

Obviamente, cualquier contenido no es
y así sucesivamente hasta llegar al nivel
idóneo para encabezar el sistema normativo,
jerárquico más elevado.
precisándose que aborde determinadas
materias, como puedan ser los pilares de
buen gobierno y Compliance. A tal respecto,
conviene destacar que no es mejor Código
Ético el más extenso, sino aquel que, siendo
más sucinto, recoja y regule las materias que
debe.
El diseño y mantenimiento de un modelo

normativo estructurado es lo que se conoce
como “Gestión de políticas”, siendo la gestión organización, quién debe encargarse de velar
de políticas uno de los cometidos que está por su cumplimiento, revisar su contenido
asumiendo la función de Compliance. A tal y, en su caso, modificarlas, o cómo deben
respecto, lo primero que debe procurarse organizarse y ordenarse estas normas para
es un entorno jerárquico definido para garantizar el cumplimiento de todas ellas,
establecer, dentro de ese contexto, el proceso entre otras cuestiones.
de creación, aprobación, difusión y archivo
Este procedimiento destinado a ordenar
de las normas, en los términos descritos más
la producción normativa es lo que
adelante.
informalmente se conoce como “Norma
Por consiguiente, una primera evidencia Cero” o “Norma de Normas”.
para valorar la “Gestión de políticas” de una
empresa es la existencia de una norma de Contenido esencial de la Norma Cero
alto nivel capaz de vertebrar el conjunto.
Aunque las organizaciones podrán desarrollarla
En su ausencia, será difícil ponerle orden
con el formato interno y denominación acorde
y dotarlo de consistencia, especialmente
con su terminología interna, debería responder las
cuando crezca de manera descontrolada.
siguientes ocho cuestiones esenciales:
Esta norma, que además de existir debe ser 1. Quién tiene la capacidad de impulsar la creación
idónea en cuanto a sus contenidos y el modo de una norma o su revisión.
en que los dispone, debería tratarse de una
2. Quién debe valorar inicialmente la idoneidad
mezcla perfectamente aquilatada entre de su creación.
los valores propios de la organización y las
3. Qué personas o funciones deben estar
directrices de gestión ética moderna.
involucradas en el proceso de su creación.
Cuando no se dispone de dicho texto o su 4. Qué categoría y formatos de normas existen.

contenido es pobre o claramente inadecuado
5. Qué cargos o funciones tienen capacidad
para enmarcar el modelo normativo de la
suficiente para aprobarlas.
empresa, posiblemente falte el fundamento
más importante para disponer de un modelo 6. Quién se responsabilizará de su difusión
(incluyendo formación y sensibilización).
razonable de “Gestión de políticas”.
7. Quién se ocupará de su archivo para asegurar
La Norma Cero como base para la que el acervo normativo está a disposición de
elaboración de políticas internas quien lo precise.
A fin de disponer de un sistema de “Gestión 8. Quién supervisará todo este procedimiento

de políticas” adecuado, es necesario que la para que se desarrolle de manera adecuada.
organización disponga de un procedimiento

destinado a ordenar la producción normativa, A través de este procedimiento definido
esto es, saber quién puede y bajo qué criterios para la ordenación de normas, se evitarán
puede producir y aprobar normas en la modelos normativos caóticos y disfunciones
tales como el solapamiento de normas, que las políticas de Compliance (general o

la ausencia de regulación para algunos específicas) destinadas a todos ellos estén
aspectos, la inconsistencia o contradicción escritas en un lenguaje sencillo. De este modo,
entre normas del mismo o distinto rango, todos ellos podrán entender fácilmente qué
diversas versiones de normas coexistiendo y se espera de ellos en cada momento.
generando obligaciones distintas, etcétera.
Igualmente, aquellas organizaciones
Gestión interna de las presentes en distintos mercados deberán
políticasDocumentación traducir estas políticas a los distintos idiomas
oficiales de los países en los que operen de
modo que todos los empleados puedan
comprender sus principios y objetivos.
Comunicación
No sirve de mucho disponer de políticas de

empresa cargadas de buenas intenciones
cuando quienes deben alinear su
Elementos de la gestión interna de las políticas. Elaboración propia comportamiento con ellas desconocen su
contenido. Un objetivo obvio de todo modelo
Documentación normativo es que las políticas se apliquen,
para lo cual se precisa que sean conocidas.
Un sistema de “Gestión de políticas”
adecuado pasa por la documentación de Para ello, es necesario que la máxima dirección
todas las normas que lo integran, así como, de la organización promueva su difusión
obviamente, por reflejar por escrito el modo entre el personal y, cuando corresponda,
en que interactúan y se complementan dichas entre las personas que se relacionan con la
normas; esto es, la existencia de una Norma organización (proveedores, clientes, socios de
Cero o Norma de Normas. negocio, etc.), impulsando además campañas
formativas y de sensibilización que ayuden a
No obstante, además de documentar las
sus destinatarios a asimilar y hacer propios los
normas, procedimientos y otros controles
principios y valores éticos de la organización.
asociados, es preciso también documentar su
ejecución, los modos de difusión y formación, Archivo y acceso
y las medidas adoptadas como consecuencia
de su ejecución. Es importante que las normas de empresa
sean fácilmente accesibles por quienes
Lenguaje puedan necesitarlas, por lo que es necesario
que sus destinatarios puedan localizarlas de
Dado que las organizaciones cuentan entre
manera rápida e intuitiva. El almacenamiento
sus empleados con perfiles y niveles de
ordenado de las políticas en repositorios
formación muy diversos, es fundamental
fácilmente accesibles es una condición derivadas de las normas externas aplicables

necesaria en un modelo de “Gestión de a la organización (requisitos) así como
políticas” moderno, si bien será también aquellas normas autoimpuestas por ella
necesario que estas normas no deberán (compromisos). Cabe recordar, en este punto,
estar aisladas de los procesos de negocio la tabla ya comentada en el módulo 3:
existentes en la organización.
Obligaciones
Atendiendo a la estructura de árbol explicada Requisitos Compromisos
anteriormente, es recomendable mantener Naturaleza Externa

Interna,
autoimpuesto
un sistema de archivo que replique dicha
Cumplimiento Obligatorio Voluntario
estructura mediante carpetas y subcarpetas
Incumplimiento No conformidad Incumplimiento
(físicas y lógicas) convirtiéndose el archivo
de políticas en el espejo de su estructura de
En cualquier caso, estas políticas deberán
árbol. Además, aplicando este método de
estar siempre alineadas con las normas
archivo se logra también una visión global del
externas vigentes en todo momento y con
perímetro normativo que es útil para valorar
las versiones más actualizadas de las políticas
su razonabilidad y detectar lagunas.
de alto nivel existentes en la organización,
de forma que su contenido siempre sea el
Sin perjuicio de la necesidad de que todo el
apropiado.
personal de la organización cumpla con sus
obligaciones de Compliance a la hora de Igualmente, es necesario mantener registros
llevar a cabo sus funciones en la organización, exactos y actualizados de dichas políticas y
es posible que no todas las normas sean de cualquier actividad relativa a Compliance,
aplicables a todos ellos, debiendo abogar la incluyendo los ciclos de formación que,
organización por sistemas de archivo y acceso como no puede ser de otra forma, deberán
o visualización eficientes dependiendo del adaptarse a eventuales modificaciones
perfil de los destinatarios. internas o externas que puedan afectar a las
obligaciones de Compliance asumidas por la
En cualquier caso, es importante que la
organización.
organización mantenga un repositorio
unificado de políticas, a cuyos contenidos se Integración en los procesos de negocio
pueda acceder mediante vinculaciones, para
evitar disfunciones tales como la coexistencia Los marcos de referencia más actuales
de varias versiones de un mismo documento en materia de Compliance reconocen la
(una antigua y otra nueva, por ejemplo) necesidad de integrar las obligaciones de
accesibles al mismo tiempo. cumplimiento en los procesos de negocio.
Actualización Es evidente que, si dentro del flujograma

para desarrollar determinada actividad se
Las políticas de Compliance deben reflejar contemplan explícitamente los requisitos de
aquellas obligaciones de cumplimiento Compliance asociados a la misma, no podrá
completarse correctamente su recorrido sin Políticas de Alto Nivel

haber reflexionado sobre los mismos y, en
su caso, consultado las políticas relacionadas Características
con ellos.
Un buen sistema de gestión y organización
Así pues, recordar la existencia de normas debe contar con una norma básica que
o directrices en el momento de ejecutar recoja los principios y valores éticos de la

determinados hitos de un proceso de negocio organización, a los efectos de difundir entre
es un modo de evitar que no se recuerden empleados y colaboradores el compromiso
justo cuando se necesitan. Es, sencillamente, de la organización de cumplir con la ley y los
una técnica de activación cognitiva. estándares éticos existentes.
Los recursos informáticos actuales permiten Por ello, es necesaria la implementación de

establecer con facilidad repositorios de un Código Ético o de Conducta como seña de
políticas como los indicados en epígrafes identidad de una organización en lo que se
anteriores, e insertar mensajes de activación refiere a su comportamiento profesional, que
cognitiva en los momentos críticos de cada recoja sus principios éticos y valores y se erija
proceso. como la principal norma de la que deberán
emanar las demás políticas internas de la
También permiten definir métricas de organización.
consulta, que permitirán a la función de
Compliance y/o a la máxima dirección de la Siguiendo la estructura de árbol explicada
organización conocer el nivel de acceso a anteriormente, la organización debe dotarse
las políticas por colectivos, los tiempos de también de políticas de Alto Nivel adicionales
acceso, las materias más consultadas, etc. a que, de forma transversal, establezcan
los efectos de trazar acciones (por ejemplo, medidas que ayuden a mejorar la cultura
campañas de formación o sensibilización) de cumplimiento corporativa y a reducir,
enfocadas a mejorar las carencias detectadas. consecuentemente, la probabilidad de
comisión de ciertas conductas contrarias a
En términos de Compliance, es fundamental
los valores de la organización.
que las políticas relativas al cumplimiento de
normas y los procesos vinculados a negocio No existe un listado tasado de políticas de
cohabiten de forma armónica, de manera Alto Nivel, si bien es frecuente encontrar
que los destinatarios de aquellas puedan entre estas políticas, la Política de Compliance
desarrollar su actividad normalmente, sin de la organización, las normas relativas a la
añadir una carga burocrática innecesaria evaluación y aceptación de proveedores y
que pueda desviarles de sus cometidos socios de negocio, en la que se establecen
profesionales y, en el peor de los casos, los criterios técnicos y éticos a los que debe
provocarles una sensación de incomprensión atender la organización cuando selecciona
y fatiga normativa que les lleve a actuar al a los terceros con los que se relaciona, o las
margen de dichas políticas. políticas sobre segregación de funciones, que
detallan los criterios que sigue la organización En este mismo sentido, es fundamental
para tomar decisiones corporativas. también que la organización lleve a cabo
tareas de comunicación, formación y
También es común encontrar entre estas
sensibilización sobre su contenido.
políticas de Alto Nivel normas que regulan el
funcionamiento de los canales de denuncia de La Política de Compliance
la organización, tanto desde un punto de vista
La Política de Compliance se configura
organizativo como desde una perspectiva
como una de las políticas de Alto Nivel de la
normativa, estableciendo la obligación de los
organización, en la que se incluyen:
empleados de comunicar cualquier incidencia
que pueda entrañar responsabilidad para la 1. los objetivos de Compliance acordados
organización o los derechos que amparan por la organización;
a denunciantes y denunciados, entre otras
2. el principio de compromiso e involucración
cuestiones.
de todo el personal en su consecución;
No obstante, debido a que estas políticas 3. las estructuras de Compliance dispuestas
son aprobadas por el órgano superior de la para auxiliar en esa labor. El órgano
organización (Consejo de Administración), de administración de la organización
y sólo pueden modificarse por el mismo, es debe encargarse de aprobar y brindar la
conveniente mantener b ajo el número de máxima difusión a este documento.
éstas. Así, sólo políticas verdaderamente
de alto nivel (por el ámbito, la autoridad Esta norma define el marco de principios
y el mensaje a transmitir, su estabilidad y de cumplimiento, desarrollando los valores
otras razones similares) deben elevarse y principios previstos en el Código Ético o
a esta categoría, evitando las rigideces de Conducta de la organización. Con ello se
de tener que recurrir a este órgano para promueve una cultura de integridad y respeto
cuestiones de menor entidad o de impacto hacia las normas que tiene en consideración
no verdaderamente estratégico. no solo los intereses de la propia organización

sino también las necesidades y expectativas
Por otro lado, desde una perspectiva de sus grupos de interés.
de Compliance, es fundamental que los
empleados de la organización tengan acceso al Políticas específicas
Código Ético o de Conducta y a las de políticas
Características
de Alto Nivel con las que la organización se
haya dotado, siendo cada vez más frecuente A diferencia de las políticas de Alto Nivel,
que la organización solicite a todos ellos su las políticas específicas buscan reducir la
compromiso de conocer, ratificar y cumplir probabilidad de comisión de conductas
en todo momento los valores éticos y normas ilícitas concretas.
de actuación contemplados en todas ellas.
Se trata de normas con un alcance más
limitado -y, en determinados casos, dirigidas
a una parte del personal- que deberán Los patrones de conducta que se promueven
implementarse para prevenir la comisión (o rechazan) una organización, suelen hallarse
de aquellos riesgos concretos sobre los que reflejados en sus políticas. Siguiendo el mismo
la organización, tras evaluar sus riesgos, esquema que el del Ordenamiento Jurídico,
ha detectado una mayor probabilidad de este tipo de política emanará directamente
comisión. del Código Ético o de Conducta o de la Política
de Compliance con la que se dote.
Tampoco existe un listado tasado de políticas
específicas en materia de Compliance, en La política de prevención penal pone en valor
tanto en cuanto cada organización deberá la importancia de todas estas normas como
implantar aquellas que le ayuden a minorar medio de ejercer la prevención de conductas
los riesgos concretos a los que se expone en el ilícitas.
ejercicio de su actividad, si bien es común que
las organizaciones se doten de una política en Los patrones de conducta exigidos por
materia de prevención penal (como parte de la legislación, así́ como por las políticas
un Modelo de Compliance Penal) o de una internas que tienen incidencia en materia de
política robusta sobre usos informáticos (ante prevención penal, conformarán el marco de
el creciente uso de dispositivos corporativos), referencia que el personal de la organización
entre otras. debe observar y que serán objeto de vigilancia.
Algunas políticas específicas Las políticas de prevención penal están ligadas

a los mapas de riesgos penales elaborados
Exclusivamente a modo de ejemplo y sin por la organización, identificando aquellas
ningún carácter exhaustivo, señalamos a conductas que puedan conllevar la comisión
continuación algunas políticas específicas de un ilícito imputable a la organización. En
que suelen elaborar las organizaciones, como este sentido, y como desarrollo de este tipo
pueden ser las de: de políticas, procede establecer procesos y
controles que ayuden a reducir el riesgo de
comisión de delitos.
Política de usos informáticos
La Política de usos informáticos establece

Política de prevención penal los estándares mínimos de utilización de
los recursos y dispositivos electrónicos que
La política de prevención penal, como reflejo
pone la organización a disposición de sus
de los valores de la organización, define los
miembros.
patrones de conducta esperados por parte
de la organización en materia de riesgos El principal fundamento de la política, más
asociados a la comisión de delitos imputables allá de la protección física y garantizar el buen
a la persona jurídica. funcionamiento de los bienes materiales de
la organización, reside en la protección de los En este contexto, esta política debe

datos e información que es accesible desde entenderse fundamentalmente desde su
un dispositivo electrónico. vertiente de seguridad de la información, ya
que los datos han pasado a constituir uno de
En efecto, cada vez más organizaciones
los activos esenciales, si no el más importante,
centralizan sus sistemas de gestión de la
de un gran número de organizaciones.
información por las ventajas que ello supone
(mejor gestión de la información, facilidad Así, la política establecerá las pautas de
de control de acceso a esta, herramientas uso dirigida que permitan una utilización
de búsqueda y diseño de información para operativa pero seguro de los dispositivos,
que los empleados puedan desempeñar su mientras se protege el acceso, integridad
función de manera más ágil), abandonando y disponibilidad de los datos. Por tanto, el
el sistema de gestión de la información contenido de la política se dirigirá a evitar que
almacenada en papel. Ello supone que cualquier miembro de la organización, a través
toda la información de la que dispone una de acción u omisión, pueda comprometer la
organización se almacena en un único lugar, seguridad de la información o los dispositivos
accesible desde múltiples dispositivos. mediante los que se accede a esta.
Pues bien, la proliferación de dispositivos Política anticorrupción

(que, en su mayoría, son móviles) con acceso a
El objetivo fundamental de una política
los activos de información de la organización
anticorrupción en el seno de una organización
ha incrementado exponencialmente el
es prevenir y castigar cualquier conducta que
riesgo de que terceros ajenos puedan
pueda entenderse como soborno, ya sea con
tener acceso al sistema y, por tanto, a la
funcionario público o en el entorno privado.
información contenida en éste. Eso supone
una vulnerabilidad y un riesgo que hay que
gestionar, dada la probabilidad e impacto que Caracteristicas y contenido de un programa
antisoborno
tendría el acceso a información confidencial,
así como los riesgos asociados a ese acceso
Carácter global
(indisponibilidad, difusión pública, borrado,
cifrado, etc)
Designación de responsable
No se trata únicamente de proteger la
información de carácter comercial o Establecimiento de taxonomía
inteligencia corporativa, operaciones y
negocios, sino que también y sobre todo
Medidas de vigilancia y control
se trata de proteger la información
personal de empleados, clientes y otras
Formación y sensibilización
partes interesadas que interactúan con la
organización.
La política anticorrupción, que podrá - Gastos de promoción.

formar parte de un Modelo de Gestión - Patrocinios.
Anticorrupción -siguiendo las pautas
- Pagos en beneficio de la comunidad.
organizativas previstas en el estándar ISO
- Costes de formación.
37001 – Sistemas de Gestión Antisoborno,
puede estar incluida o derivar de la política - Membresía a clubes.
de prevención penal de la organización. - Favores personales, etc.
La política anticorrupción debe extenderse • Fijar medidas de vigilancia y control,
a todas las operaciones que realice la incluyendo medidas de alto nivel y

organización en cualquier parte del específicas, de carácter preventivo y
mundo, incluyendo las realizadas por los de detección, de índole financiera y no
empleados de sus filiales o sucursales, por financiera.
sus agentes, vendedores, consultores u otros • Establecer programas de formación y
representantes, así como por los miembros
sensibilización que conciencien al personal
de empresas con los que se asocie para algún
acerca de los riesgos y las consecuencias
proyecto concreto (“joint venture”).
del soborno en el seno de la organización.
La política anticorrupción debe incluir

En cualquier caso, se precisa que la política
la designación de una persona de la
anticorrupción declare de forma explícita
organización encargada de supervisar su
la tolerancia cero hacia las conductas que
correcto desarrollo y su debido cumplimiento.
puedan implicar soborno, así como acciones
En cuanto a su contenido, la política formativas y de concienciación que difundan
anticorrupción como mínimo debe: y refuercen ese mensaje entre sus grupos de
interés.
• Establecer una taxonomía de pagos
relacionados con el soborno. A efectos
de Compliance, las organizaciones deben
implementar procesos destinados a
prevenir el ofrecimiento o aceptación de
atenciones en las que, dicha aceptación u
ofrecimiento pueden ser susceptibles de
ser entendidas como objeto de soborno.
La norma ISO 37001 incluye, a modo de

ejemplo, las siguientes:
- Regalos, actividades de
entretenimiento y hospitalidades. Ubicación de una política anticorrupción en una superestructura de
Compliance. Elaboración propia
- Donaciones a partidos políticos.
- Viajes a clientes y funcionarios.
8.2.2. El Código de Conducta En este sentido, tiene un enfoque en valores

y principios, es decir, recoge los valores y
Un código ético corporativo consiste en un principios éticos que la organización decide
documento formal, escrito y diferenciado adoptar y que marcan la referencia para el
de otro tipo de documentos, en el que se desarrollo del resto de normas que regulen
establecen los estándares morales que sirven la conducta de la empresa (es decir, el resto
de guía para el comportamiento tanto de la de las políticas que se establezcan deben
empresa como de sus empleados . 167
estar alineadas con los principios, valores
y compromisos que se especifiquen en el
Su elaboración por parte de las empresas es
código ético).
un fenómeno que se generalizó en los años 80
y 90 en EE.UU168. Actualmente constituyen un Esos valores y principios éticos incluyen
elemento habitual de los llamados programas el cumplimiento de la Ley y normativa de
formales de ética y/o Compliance . 169
desarrollo. Sin embargo, un código de
conducta entra a regular conductas en más
Diferencias entre código ético y
detalle y tiene un enfoque más normativo (p.
código de conducta
ej., es habitual que los códigos de conducta
Aunque los términos “código ético” y “código se redacten en términos de “obligaciones” y/o
de conducta” suelen utilizarse indistintamente “prohibiciones).
y se sugiere que son intercambiables, lo
En segundo lugar, derivado de lo anterior, un
cierto es que existen matices importantes
código ético es un documento más general
que hacen que se pueda diferenciar entre
y de alcance amplio. Por el contrario, un
uno y otro.
código de conducta tiene una naturaleza más
específica (regula conductas concretas) y un
alcance, por tanto, más limitado y acotado.
En tercer lugar, un código ético suele ser un

documento no muy extenso, mientras que un
código de conducta, al desarrollar conductas
en más detalle, tiene comparativamente más
Principales diferencias entre un código ético y uno de conducta. longitud.
Elaboración propia
Por último, un código ético sirve de “brújula”

En primer lugar, un código ético, en sentido en los procesos de adopción de decisiones
estricto, tiene como propósito establecer las y resolución de dilemas éticos, permitiendo
aspiraciones morales de la organización. reflexionar no solo sobre lo que las leyes y
regulaciones permiten hacer a la organización
(responsabilidades legales), sino en si la
167 Schwart ( 2001; 2005)
decisión es la correcta desde un punto de vista
168 Stevens (2008)
169 Helin et al. (2011); Kaptein (2010) moral (dimensión ética de la organización).
Cómo ya se indica en otros módulos de este general de la organización con respecto de

material, las empresas no solo deberían la actividad de negocio de que se trate. Por
cuestionarse si “pueden” hacer algo sino tanto, debe ser aprobado por el Consejo de
si “deben” hacerlo. No olvidemos que hay Administración, aunque es recomendable
decisiones que pueden ser irreprochables que se someta también a aprobación por
desde un punto de vista legal, pero parte de la Junta General de Accionistas.
cuestionables moralmente y, además, una
El código ético y/o de conducta debe ser de
empresa que haya decidido aprobar un código
aplicación no solo a todos los empleados
ético y darlo a conocer públicamente no debe
(incluidos, por supuesto, los directivos) sino
solo alinear su conducta con las obligaciones
también a quienes integran el órgano de
derivadas del marco legal y regulatorio, sino
gobierno.
también con su propio código ético.
Además, algunas partes del documento

Aspectos relevantes del código de
pueden ser exigibles a terceros y
conducta
representantes (por ejemplo, es habitual que
Partimos por tanto de la idea de que un las empresas elaboren códigos específicos
buen sistema de gestión y organización para proveedores).
debe contar con una norma básica que
De hecho, es recomendable que los directivos
recoja los principios y valores éticos de la
y empleados confirmen formalmente su
organización y las normas de conducta que
lectura, compresión y aceptación de manera
los desarrollan, a los efectos de difundir entre
periódica (anual, por ejemplo), motivo por
empleados y colaboradores el compromiso
el que debe ser un documento redactado
de la organización de cumplir con la ley y los
en un lenguaje, claro y conciso, adaptado al
estándares éticos existentes.
receptor y evitando que sea excesivamente
En este sentido, un Código Ético y/o de legal (evitar a ser posible un formato o
Conducta se erige como seña de identidad terminología excesivamente jurídico).
de una organización en lo que se refiere a su
Es fundamental que el plan anual de
conducta en el desempeño de las distintas
formación de la compañía incluya formación
actividades que lleve a cabo, dando a
sobre el código de ético y/o de conducta.
conocer, interna y externamente, cuáles son
sus principios éticos y valores, constituyendo
Estos códigos éticos y/o de conducta son
así la principal norma de la que deberán
asimismo claves en la relación organización
emanar las demás políticas internas de la
y empleado: una vez firmados por los
organización.
empleados en el proceso de contratación y
en las sucesivas declaraciones (aceptaciones)
Además, es importante tener en cuenta que
periódicas cuya formalización se requiera,
se trata de un documento que da a conocer,
se convierten en un acuerdo legal entre el
formalmente, cual es el tono y la posición
empleado y el empleador.
Pero, además, no hay que olvidar que el código Para que un código ético o de conducta sea
ético y/o de conducta implica un compromiso eficaz y cumpla con su finalidad es relevante
de la organización que lo aprueba y publicita. que en este documento o en la normativa de
desarrollo posterior se establezcan de forma
Las organizaciones que aprueban un
clara y concisa las siguientes medidas:
código ético y/o de conducta, asumen
voluntariamente una deuda ética hasta que • Sensibilizar a todos los empleados y partes
pueden probar que están cumpliendo con interesadas de la organización sobre
los estándares éticos que han adoptado la importancia del cumplimiento de los
oficialmente . Y no debemos olvidar, que no
170
principios generales de comportamiento,
hay mayor pérdida de confianza que la que para llevar a cabo su ejercicio profesional
se produce cuando alguien no es capaz de de un modo correcto.
cumplir con sus propios compromisos.
• Informar a todos los empleados y partes
Por tanto, es fundamental que las empresas y interesadas que una infracción de los de
organizaciones de otro tipo, sean conscientes los principios marcados en el código de
del importante papel que puede tener el conducta o en otras normativas internas
código ético que adopten y tomar las medidas establecidas puede implicar medidas
necesarias para que no queden en meros disciplinarias. Esto podría llegar a suponer
papeles y documentos elaborados para cuidar la resolución del contrato de trabajo (para
la imagen corporativa, pero sin aplicación real
directivos y empleados), o la resolución de
en el día a día de sus actividades.
los contratos (para proveedores u otras
Recomendaciones para que los partes afectas con relación contractual
códigos de conducta cumplan con mercantil).
su finalidad • Dejar constancia expresa y clara de la
La adopción de códigos éticos o de conducta condena tajante de la organización a
puede responder a diversas finalidades, cualquier tipo de comportamiento ilegal
como, por ejemplo: o que infrinja los estándares éticos
determinados por la misma.
• Ser una herramienta interna de gestión
para declarar los valores y estándares • Adoptar las medidas necesarias para
éticos de la organización; permitir a la organización una actuación
rápida, en caso de que se identifique
• Ser una vía para ejercer influencia sobre las
la materialización de un riesgo de
prácticas de sus socios o negocios globales;
Compliance.
• Ser un medio para informar a clientes y
• Establecimiento de canales de denuncia
proveedores de los principios seguidos
y una cultura de comunicación abierta
en la elaboración y fabricación de sus
en la que no exista miedo a represalias
productos.
por comunicar incumplimientos o
170 Bulgarella, (2018 sospechas fundadas de malas conductas
en el seno de la organización mediante

el establecimiento de las garantías de
indemnidad que incentiven la formulación
de denuncias.
• Establecer mecanismos de supervisión

y control de los comportamientos de la
organización, así como del funcionamiento
y actuación respetuosa con el Código de
Conducta y normativas de desarrollo.
• Actualización de las políticas y

procedimientos tras los cambios en
la normativa vigente o en las mejores
prácticas de mercado.
• Definición de un órgano de seguimiento y

supervisión del Código.
Código Ético
Contenido y alcance del código de
Herramienta esencial a través de la cual conducta
la organización da a conocer, interna y
A continuación, sin carácter exhaustivo,
externamente, los principios de actuación y
incluimos algunos ejemplos de secciones que
valores que espera de sus directivos y resto de
empleados, y que puede sin duda contribuir pueden incluirse en un Código de Conducta.
a un adecuado desarrollo de la cultura y la Sus contenidos deberán crearse en base al

identidad corporativa. contexto particular de cada empresa.
• Confidencialidad de la información;
Además, como mínimo, este documento • Conflictos de intereses;
debe cumplir los siguientes principios:
• Conducta interna;
• Cumplimiento de leyes, regulaciones y

estándares de la industria;
• Aceptación u ofrecimiento de regalos

e invitaciones para actividades de
entretenimiento;
• Contratación de familiares;
• Riesgos relacionados con sistemas de

información (IT);
• Sobornos; interna y de auto cumplimiento, por tanto,

esta no puede en ningún caso entrar en
• Información recibida de terceros (p. ej.
conflicto con la legislación aplicable. Aunque
datos de carácter personal);
una empresa puede fijar códigos de conducta
• Comunicación externa (medios de
de forma unilateral, éstos no pueden ir en
comunicación, RRSS, etc…);
contra de la legislación, el diálogo social o la
• Seguridad e higiene el lugar de trabajo negociación colectiva.
y medidas de prevención de riesgos
laborales. Sentencia de la Audiencia Nacional de 6 de
marzo de 2018
El contenido de estos códigos hace
referencia, entre otros temas, a la protección Esta sentencia establece límites al contenido de
de los derechos fundamentales, laborales, estos códigos, ya que considera vulneraciones de

varios derechos intimidad, dignidad, libertad de
medioambientales y prácticas contra la
expresión, de información) y un exceso del poder
corrupción y el soborno. Asimismo, como
de dirección y vigilancia de la empresa establecer:
hemos mencionado anteriormente, deben
establecer las sanciones en caso de la • El deber de comunicación previa a RRHH la
realización o de la participación como ponentes
realización de ciertos comportamientos que
en cursos/seminarios externos;
van en contra de los valores y principios
estipulados por la empresa. • La obligación de obtener la autorización previa
para cualquier interacción con periodistas y
Así, por ejemplo, pueden incluirse: medios de comunicación para toda divulgación
e información sobre la entidad, incluyendo
• Prohibiciones de actividades ilegales; noticias, informes, datos económicos y/o
• Expectativas sobre confidencialidad; financieros, datos contables, etc.;
• Tolerancia cero a determinadas • La obligación de obtener la previa autorización

actividades. de la dirección de RRHH y la del responsable
de la persona afectada para intervenir en
Como hemos señalado anteriormente, esta conferencias, congresos, jornadas, reuniones,
norma se encuentra en la cúspide de todo el seminarios…, etc, así como las clases en
bloque normativo que regula las actuaciones universidades o instituciones de enseñanza, de
carácter puntual o permanente, público como
en la empresa (derivadas tanto de imperativos
privado, onerosa o gratuita.
legales como de compromisos asumidos
voluntariamente por la organización), y de Por lo tanto, estas estipulaciones exceden lo
ella caerían en cascada, respetando sus legalmente permitido y son nulas. Así, dice la
principios, el resto de las políticas específicas sentencia que “(..) un código ético complementa la
regulación de las relaciones laborales en la medida
aplicables a cada ámbito concreto.
en que establece unos principios para implementar
Sin embargo, y pese a tratarse de la norma conductas socialmente responsables, pero que no
puede sustituir ni suplantar la legislación laboral, ni
más importante dentro de la organización,
el diálogo social o la negociación colectiva. Por tanto,
no podemos olvidar su condición de norma
los principios de actuación del código ético sólo serán 8.2.3. Políticas y procedimientos
vinculantes en la medida que encajen plenamente en los
principios constitucionales, legales y contractuales que Un programa de Compliance es un marco a
regulan las relaciones laborales y, en consecuencia, las través del que se planifica y desarrollan las
previsiones de infracciones y sanciones que contenga responsabilidades de Compliance. Dichas
un código ético deben encajar en las disposiciones que obligaciones pueden ser de índole legal y
sobre esta materia estén previamente determinadas
regulatorio (aquellas que una organización
en el convenio colectivo de aplicación, en consecuencia
debe cumplir), u obligaciones que la empresa,
esta referencia a la imposición de sanciones por no
u organización de otro tipo, elige cumplir (es
observar las actuaciones contenidas en el código
decir, adoptadas de forma voluntaria, como,
ético, solo puede ser entendido en el sentido de que
la no observancia de los criterios de actuación que por ejemplo, un código ético).
se recogen en Código Ético y de Conducta podrá ser
Hay que tener en cuenta que establecer un
sancionado conforme al régimen disciplinario vigente
programa de Compliance implica centrarse en
(…)”.
gestionar riesgos, no en elaborar normativa
innecesaria.
En este sentido, los sistemas de Compliance de

Sentencia de la Tribunal Superior de Justicia
una compañía no deben ser un mero ejercicio
de Andalucía, 2017
de cumplimiento de una formalidad, y, por
La importancia de los Códigos éticos y su estricto tanto, una vez implantados hay que someterlos
cumplimiento por los trabajadores de la empresa
a revisiones periódicas, no solo para adaptarlos
ya ha tenido reflejo en la jurisdicción social, en la
a los nuevos requerimientos legales que pueden
que el Tribunal Superior de Justicia de Andalucía
aparecer, sino también a los nuevos riesgos de
ha dictado la sentencia nº 1511/2017 en la que se
estima procedente el despido disciplinario de un
incumplimiento que surjan en la organización
trabajador al haberse constatado incumplimientos como consecuencia de cambios en su actividad,
continuados consistentes en haber realizado en el entorno en el que opera, etc.
comentarios ofensivos, difamatorios y humillantes
Entre los elementos esenciales de un programa
contra la empresa en redes sociales y sitios webs
ampliamente conocidos en Internet sin que tales de Compliance eficaz figura la existencia de
afirmaciones tuvieran el más mínimo atisbo de políticas y procedimientos escritos, que son
veracidad. la parte más visible de cualquier programa
de Compliance y son necesarios para que los
Uno de los argumentos principales esgrimidos
empleados entiendan cómo deben realizar
por el Tribunal Superior de Justicia para confirmar
que el despido es procedente es que al trabajador ciertas actividades y qué comportamiento se
se le había entregado para su conocimiento y espera de ellos.
cumplimiento, y lo había firmado: por tanto, era
Las políticas y procedimientos escritos
conocedor de su contenido y se había comprometido
a cumplirlo en su desempeño profesional.
deberían aprobarse para promover el
conocimiento y comprensión por parte de los
empleados de la organización de las leyes y
normas que aplican a la misma.
Por este motivo, es importante que estos

Deben actualizarse
documentos no solo estén redactados de cuando sea
necesario. Es Se actualizan y
manera que sean fácilmente comprensibles, REVISIÓN recomendable su modifican más a
revisión anual. No menudo.
sino que también deben ser fácilmente se modifican con
mucha frecuencia.
accesibles por todos los empleados y que
siempre estén actualizados. Deben animar Generales. Declaran
Declaran cómo,
CONTENIDO objetivos y propósito
cuándo y/o quién
a los empleados y directivos a comunicar (qué y/o porqué)
cualquier incumplimiento de las políticas y

Principales diferencias entre un política y procedimiento.
procedimientos sin temor a consecuencias Elaboración propia
de ningún tipo.
Dependiendo del sector de actividad en
el que se encuentra la organización y de
Política
otros factores, será necesario asegurarse
Declaración de normas que los empleados deben de que la organización cuenta con las
seguir; debe ser clara y sencilla de entender.
políticas necesarias para cumplir con los
Procedimiento requerimientos y recomendaciones de los
reguladores correspondientes, en su caso.
Documento que detalla los métodos utilizados para
poder dar cumplimiento a las políticas en el día a
En este sentido, la organización tiene que
día. Los empleados deben tener las herramientas
ser activa en todo lo relativo al seguimiento
necesarias para poder cumplir las políticas que les
aplican. de las novedades regulatorias y normativas
que le puedan ser aplicables, para identificar
las políticas, procedimientos o guías que
Aunque estas definiciones nos pueden
puedan llegar a ser necesarias.
aclarar las diferencias, no siempre es sencillo
distinguir entre una política (o cuando debe Todos estos temas son objeto de estudio
establecerse) y un procedimiento a la hora de en otros módulos de este material, y en
elaborar y aprobar un documento. otros módulos se encuentran mucho más
detallados, por lo que no se ampliará más
En el cuadro a continuación, se resumen
detalle aparte de señalar y hacer hincapié
algunas de las diferencias esenciales entre
ambos: en que la normativa indica la necesidad de
tener políticas y procedimientos que sirvan
POLÍTICAS PROCEDIMIENTOS como medida de control de los riesgos de
Recogen normativa Compliance.

de aplicación
general en toda la
organización.
Más concreto que el Su incumplimiento, en sectores regulados
de una política.
OBJETO
Dan respuesta
como el financiero, pueden llegar a
Detallan un proceso.
a cuestiones
operacionales de alto
considerarse infracciones graves o muy
nivel. graves según los casos, imponiéndose
sanciones por parte de los reguladores.
Ideas y consejos para gestionar las políticas Por su parte, el Departamento de Justicia de
y procedimientos los EE.UU actualizó en junio de 2020171 su
1. Asegurar que la gestión de políticas es una guía u Orientaciones para la evaluación de
responsabilidad centralizada. Programas de Compliance, donde se incluyen
2. Identificar las versiones vigentes, garantizando una serie de preguntas sobre las políticas y
y facilitando acceso a estas y su disponibilidad procedimientos para evaluar si un Programa
(plataformas, formatos, medios…)
de Compliance se puede considerar “efectivo”.
3. Prever la desactualización de políticas. Puede
ser peor que carecer de ella. Según este documento (ya mencionado en el
4. Toda política ha de tener un propietario módulo 1), las tres cuestiones fundamentales
responsable, con conocimientos y experiencia que un fiscal utilizará para evaluar el Programa
en el área o temática concreta. de Compliance de una organización serán:
5. Acompañar los procedimientos y procesos
para implementar una política de un plan de a. ¿Está bien diseñado el Programa de
monitorización, para control y seguimiento de Compliance de la organización?
su cumplimiento.
El fiscal revisará si el programa es
6. Vincular las políticas con la regulación y los
comprensible, verificando si existe
estándares que las originan.
un mensaje de tolerancia cero hacia
7. Incluir en la gestión de políticas y procedimientos
determinados incumplimientos, sino
la confirmación de su conocimiento por los
empleados y, en su caso, la certificación. también si las políticas y procedimientos
están debidamente integradas en la
8. Organizar las políticas: fecha, numeración,
ámbito, departamento alfabéticamente, etc. operativa de la organización y son
conocidas por parte de los empleados.
9. Establecer un sistema y calendario de revisión,
actualización y aprobación de las políticas y
Un programa de Compliance bien diseñado
procedimientos.
implica políticas y procedimientos que
10. Instaurar un sistema de seguimiento periódico
dan contenido y efecto a las normas de
(p. ej, mensual, bimestral…) del desarrollo y
tipo ético. Los fiscales analizarán si la
estado de las políticas internas
organización dispone de un código de
11. Establecer y documentar un sistema de
conducta que manifieste su compromiso
delegaciones de aprobación.
con el cumplimiento de las normas, su
12. Adoptar la claridad y la concisión como
principios básicos.
accesibilidad y aplicación a todos los
empleados. Los procedimientos deben
13. Registro de toda versión y modificación: cuándo,
cambios realizados, motivo, etc.
llevar la cultura de Compliance a la
operativa del día a día.
14. Establecer revisiones periódicas
15. Comunicar e informar acerca de las También son esenciales la formación y la

actualizaciones (medios para hacerlo). comunicación para dar a conocer entre los
16. Documentar formación y comunicación empleados el programa de Compliance.
internas.
171 Evaluation of Corporate Compliance Programs, Departamento de
17. Promover retroalimentación de empleados. Justicia de EE.UU, junio de 2020.
b. ¿Se está implementando el Programa de b. No solo los empleados, sino también los
Compliance de manera efectiva? directivos, han de conocer y entender
las políticas de Compliance, ya que éstos
En este caso los fiscales analizarán:
son también una pieza clave, y deben ser
• El papel de la Alta Dirección. capaces de dar consejo y guiar a quienes
• La autonomía y los recursos dedicados pregunten dudas o consulten al respecto.
al Compliance. c. Los tres mayores desafíos en la gestión de
• Las medidas disciplinarias para los políticas de Compliance son:
que no cumplen, e incentivos para los • La formación de empleados en
que cumplen la normativa. políticas.
c. ¿Funciona en la práctica el Programa de • La adecuación de políticas a los

Compliance de la organización? cambios regulatorios.
• El control de sus diferentes

En este sentido, los fiscales analizarán
versiones para evitar redundancias y
si el Programa de Compliance se ha ido
confusiones.
actualizando y revisando periódicamente:
• Mejora continua, comprobaciones y d. La gestión de políticas y procedimientos
revisiones periódicas. de Compliance es una de las áreas

más proclives para la utilización de
• Cómo se gestionan los
herramientas digitales, pero sorprende
incumplimientos.
que el uso de programas de gestión
automatizada de políticas no sea muy
En el cuestionario indicado se ponen de
común, ni siquiera en las empresas
manifiesto las siguientes conclusiones
multinacionales. Sin embargo, para el
relevantes:
control de distribución y aceptación de
a. No es suficiente con documentar la políticas, la gran mayoría de empresas
existencia de políticas y procedimientos de la encuesta dijeron usar alguna
para convencer a los reguladores herramienta tecnológica.
que la compañía posee un Programa
de Compliance efectivo. Debe poder 8.3. Autorregulación y
demostrarse un razonable proceso de su Compliance
diseño, la participación de las unidades
8.3.1. Introducción
de negocio en su redacción y su efectiva
implementación, el conocimiento y Dentro de las posibles definiciones de
entendimiento de empleados, y que Compliance, ya hemos destacado la
existe un responsable de supervisar proporcionada por el Comité de Supervisión
su aplicación, acceso sencillo y revisión Bancaria de Basilea en 2005 y contenida en su
periódica. documento “Compliance and the Compliance
Function in Banks”172, donde define riesgo del decretos, etc. Su característica común
Compliance como el riesgo de que: es la obligatoriedad de cumplimiento
para todos los sujetos, tengan o no
“(…) una organización pueda sufrir
conocimiento de esta, y además de poder
sanciones, multas, pérdidas financieras o
ser coercitiva (por ejemplo, un impuesto)
pérdidas en su reputación como resultado
está bajo control judicial directo.
del incumplimiento de las leyes, regulaciones,
normas de autorregulación o códigos de Pautas o normas no vinculantes (Soft law),
conducta que se apliquen a su actividad”. conformado por las pautas y normas que
rigen en empresas e instituciones, adoptadas
Esta definición aúna Compliance y riesgos, así
de forma voluntaria.
como las consecuencias de no cumplir, pero
no acaba de definir qué es Compliance como Su adopción puede tener un carácter
función. individual, principalmente a través de un
Código Ético o un Código de Conducta, o
Compliance es la capacidad que una
sectorial, fundamentalmente a través de la
organización tiene, a través de los
adhesión a un sistema de autorregulación
procedimientos implementados, de
elaborado por un conjunto de empresas
demostrar la intencionalidad de la actividad
de un sector de actividad determinado, y
previa a su ejecución cumpliendo con toda
que, una vez aprobado, es de cumplimiento
la normativa vigente (leyes, sistemas de
obligatorio para las partes.
autorregulación y códigos de conducta)173.
Esta definición sitúa el concepto de Así, el concepto de normativa vigente de la
autorregulación dentro del núcleo de la definición de Compliance integra a ambas.
definición de Compliance. Para profundizar

en este elemento esencial dentro del propio
contexto del Compliance es importante
destacar qué se entiende por normativa
vigente.
Desde el ámbito anglosajón se ha acuñado

una terminología que ayuda a entender qué
abarca la definición de normativa vigente: los
términos “hard law” (legislación) y “soft law”
(pautas):
• Legislación (Hard law), constituida por

todo el cuerpo normativo emanado de los
órganos legislativos, como las leyes, reales
Clasificación de la normativa vigente. Elaboración propia
172 Disponible en www.bis.org/publ/bcbs113.pdf
173 Zamarriego (2018).
La autorregulación es una herramienta Según el profesor Norman (2012), la

determinante para gestionar riegos. No hay autorregulación ayuda a distinguir entre qué
que olvidar que los conceptos de riesgo y exactamente las organizaciones piensan que
Compliance son inseparables. éticamente están obligadas a realizar más allá
del cumplimiento de las leyes por un lado y
8.3.2. Concepto de autorregulación
por otro, qué deberían hacer cuando incluso
no están obligadas a ello.
Definición de autorregulación
La capacidad que posee una entidad o institución- Código de la International Federation

en adelante, una organización- para regularse a sí Pharmaceutical Manufacturers &
misma. Associations (IFPMA)
Este código se elaboró por primera vez en 1981

Ya hemos apuntado el posible carácter y ha ido evolucionando hasta que, hoy en día, se
individual o colectivo de la autorregulación. ha adoptado un nuevo enfoque basado en la
integridad, los valores y la confianza del paciente.
Así, si es la autorregulación de una empresa,
estaremos ante un Código Ético o un Código Los valores en los que se basa este código se
de Conducta; si es una autorregulación denominan “Ethos” y sustentan las reglas del
Código de Conducta, además de proporcionar
colectiva o sectorial estamos ante un sistema
un marco para comportarse con integridad
de autorregulación como ocurre en la
independientemente de las circunstancias.
industria farmacéutica innovadora174.
Un aspecto relevante de este código es la prohibición
La autorregulación es, en su esencia, una de obsequios a los profesionales sanitarios que
supongan un beneficio personal para los mismos,
decisión voluntaria de adhesión a unas
como, por ejemplo: entradas de espectáculos o
normas. Esta característica es determinante
eventos deportivos, artículos de electrónica, etc.
en sus objetivos.
Para evitar que este tipo de prácticas se produzca,
La primera pregunta básica sería porqué una también se ha creado un sistema de denuncias en
aras de garantizar el cumplimiento de este Código.
organización quiere regularse a sí misma
si ya tiene un entorno normativo donde Fuente: IFPMA (2019). Código de buenas prácticas.
opera y se autoimpone normas adicionales Obtenido en
que aumentan sus exigencias ante uno www.ifpma.org/wp-content/uploads/2018/11/IFPMA_
mismo y ante terceros, en definitiva, ante Code_of_Practice_2019_SP.pdf
la sociedad en su conjunto. La respuesta es

poliédrica y engloba beneficios en múltiples 8.3.3. Tipos de autorregulación y
esferas destacando la sostenibilidad de la cómo se ponen en práctica
organización y de forma muy relevante, su
reputación, debiendo buscar como objetivo
La autorregulación individual
último la excelencia y la ejemplaridad. Si nos atenemos a la primera clasificación de
la autorregulación, la que hace referencia a
174 Más información en https://www.ifpma.org/ su forma individual, un Código Ético establece
los principios y valores que una organización implementación efectiva. Casos como Enron,
decide adoptar. Siemens, Volkswagen o Facebook son bien
conocidos.
Un Código de Conducta desarrolla las normas
que regulan los principios y valores éticos Por tanto, partiendo de la base de que la
definidos, principalmente a través de políticas asunción voluntaria de compromisos a través
y procedimientos. No hay que minusvalorar de una autorregulación se realiza no sólo
el efecto positivo, integrador y generador de de buena fe sino demostrando, según la
riqueza que tiene dentro de una organización, definición de Compliance, la intencionalidad
contar con un Código Ético y/o de Conducta – de la actividad previa a su ejecución cumple
en adelante Códigos -, ya que son parte crítica con la normativa vigente, hay que señalar
a la hora de implementar una cultura de cuáles son los requisitos que deben cumplirse
Compliance dentro de la propia organización. y que, de forma simplificada, serían los
siguientes:
Está ampliamente demostrado – por su
generalización en las organizaciones- que • Ámbito de aplicación: Ser aplicado a
tener un Código ha sido, entre otras medidas, todos los miembros de la organización,
una herramienta fundamental para tener estableciendo mecanismos que permitan
éxito en esta compleja sociedad. Tener confirmar su lectura y comprensión
un Código es condición necesaria pero no (habitualmente requiriendo la firma del
suficiente para realmente poder cumplir documento). Estos Códigos pueden ser
con sus objetivos ya que éstos deben ser aplicados a terceros si se incluyen en
legítimos y si se utiliza indebidamente tiene los contratos (por ejemplo, contratos
consecuencias muy negativas. con proveedores). Además, dada la
Un Código Ético es la semilla del importancia que tiene que el documento
Compliance sea comprendido por quienes integran

la organización, es fundamental la
Es más, los tribunales cada vez tienen en formación y concienciación a miembros
mayor consideración que estos Códigos se de los Consejos de Administración, y a
estén cumpliendo por parte de la organización los directivos y resto de los empleados,
ya que si no fuera así y quedara demostrado, sobre el alcance, significado y contenido
incluso sería un agravante en la pena o del Código.
sanción porque se ha intentado utilizar un
mecanismo voluntario con la intención de • Definiciones: Debe definir
engañar bajo el paraguas de un compromiso inequívocamente los principios y valores
que se demuestra aparente y ficticio. de la organización.
• Autoridad: Ser aprobado por los máximos

Son numerosos los casos de empresas muy
órganos de gobierno de la organización
importantes que tenían en el momento
(Asamblea General, Consejo de
de cometer irregularidades Códigos muy
Administración, etc.)
bien redactados, pero sin su control e
• Lenguaje: Lenguaje claro, sencillo y evitar requisitos necesarios para generar la

un estilo jurídico. reiterada confianza y credibilidad de los
partícipes ante todos grupos de interés
La autorregulación colectiva o
y en general ante la sociedad en su
sectorial
conjunto. Los sectores más regulados son
La autorregulación colectiva o sectorial – en también muy dinámicos y estratégicos
adelante sistemas de autorregulación – ha – de ahí su notable regulación – y en
sido mayor en sectores como el financiero o continua evolución. Esta ventaja es una
la industria farmacéutica. consecuencia de la colaboración activa

y leal con las Autoridades Competentes
Esto es debido al alto nivel de regulación de y permite a los sectores ajustarse más
estos sectores productivos, aunque cada vez rápidamente a cambios en el entorno
hay más sectores que se están sumando a competitivo. Se anticipa a las necesidades
esta iniciativa voluntaria. Las ventajas de un del regulador.
sistema de autorregulación son:
• Proporciona herramientas para que la
• Fomenta la competitividad: normas claras organización pueda abordar problemas
para operar bajo las mismas condiciones más específicos no desarrollados por la
siempre bajo el principio de legalidad. legislación para la toma de decisiones.
• Genera credibilidad y confianza a • Gestiona las denuncias cuando hay un

través de la transparencia cuyo objetivo posible incumplimiento. Esta actividad
fundamental es mejorar la imagen y la es determinante para la credibilidad del
reputación del sector. propio sistema de autorregulación. Para
ello se debe de dotar de órganos de
• Colabora con las Autoridades
control acreditadamente independientes
Competentes – sean estas internacionales,
para resolver la denuncias o controversias
nacionales o regionales – ya que el sistema
que los partícipes o un tercero puedan
de autorregulación es complemento
realizar y con la debida transparencia en
de la regulación y por tanto debe estar
todo el proceso.
en estrecha cooperación con quien
tiene la responsabilidad de velar por el • Refuerza la labor preventiva intrínseca
cumplimiento de la legislación aplicable. a la propia naturaleza del Compliance.
La prevención es un principio básico y
• Evita la regulación. No constituye una
ayuda a evitar o minimizar, si se realiza
contradicción desarrollar sistemas de
adecuadamente, el deterioro de la imagen
autorregulación en los sectores más
de la organización o del sector. No hay
regulados a la par que tratar de evitar
Compliance sin prevención.
mayores niveles de regulación. Esta
ventaja sólo será real si el sistema de
autorregulación cumple con todos los
Código de la European Federation Medicamentos Dirigidos al Público, Publicidad

of Pharmaceutical Industries and con Argumentos Ambientales, Publicidad de las
Associations (EFPIA) Actividades del Juego, Publicidad de los Productos
Dietéticos Infantiles, Publicidad de Perfumes
El Código EFPIA de Transparencia fue aprobado en
y Cosméticos, Publicidad en Cine, Publicidad
2013 y en él se estipuló que todas las compañías
de Aguas de Bebidas Envasadas, Publicidad de
deberán documentar y publicar las transferencias
Medicamentos Genéricos, Publicidad de Actividades
de valor que efectúen de forma directa o indirecta,
de Fundraising, Publicidad del Vino, Publicidad de
a los profesionales sanitarios y organizaciones
Toallitas Húmedas
sanitarias. El cumplimiento de este Código es
obligatorio para los miembros, por ello el EFPIA Fuente: www.autocontrol.es
Codes Committee –comité creado específicamente
dentro del sistema de autorregulación de EFPIA-
ayudará a las Asociaciones Nacionales a cumplir Uno de los factores del desarrollo de
con sus obligaciones. la autorregulación es la necesidad de
armonizar estándares para dar respuesta
En lo referente a organizaciones de pacientes,
cada compañía también debe hacer pública una al comercio nacional e internacional175. Esta
lista con las organizaciones de pacientes a las que armonización debe fijar niveles comunes de
proporcionan ayuda, ya sea económica o no. Esta exigencia para los productos y servicios que
lista debe incluir una descripción lo suficientemente
se comercializan en el mercado, sin olvidar el
detallada de la naturaleza de ese apoyo como para
desarrollo de mecanismos que aseguren su
permitir al lector entender su relevancia.
cumplimiento. A través de la armonización
Fuente: www.efpia.eu/
de estándares se busca ser más competitivo,
beneficiando la eficiencia, y la seguridad en
las relaciones comerciales. De esta manera,
Asociación para la Autorregulación de la
la autorregulación se complementa con la
Comunicación Comercial (Autocontrol)
regulación establecida, ayudando a crear
Es un organismo independiente de autorregulación confianza.
de la industria publicitaria en España y tiene como
objetivo trabajar por una publicidad responsable: Un ejemplo muy relevante de este proceso
veraz, legal, honesta y leal.
de autorregulación es el desarrollado
Existen dos códigos de conducta en los que se por la Organización Internacional de la
basan: Código de Conducta Publicitaria y Códigos Estandarización (en inglés ISO, International
de Conducta Sectoriales.
Standardization Organization)176 integrado
Dentro de los Códigos de Conducta Sectoriales, por representantes de institutos de
estos son los sectores donde tienen alcance: estandarización nacionales de 164 países.
Confianza Online, Promoción de Medicamentos Sus estándares – conocidos por sus siglas
de Prescripción, Publicidad de Cerveza, Publicidad ISO – son la referencia en múltiples ámbitos
de Bebidas Espirituosas, Publicidad de Juguetes, con el objetivo de asegurar que los bienes y
Defensa de la Marca, Publicidad de Alimentos y servicios sean seguros, fiables y de calidad.
Bebidas dirigida a Niños, Publicidad de Videojuegos,
Publicidad de Tecnología Sanitaria, Publicidad 175 Carmen Otero (2008)
de Productos de Nutrición Enteral, Publicidad de 176 Más información en https://www.iso.org/home.html
En nuestro entorno de la disciplina del • Concordancia de los sistemas de

Compliance destaca la ISO 37301 de Sistemas autorregulación con las políticas
de Gestión de Compliance emitida en 2021 y de gubernamentales: Esta concordancia
la que se ha tratado en el módulo 3. El ejemplo puede consolidar y fortalecer el
de las ISO es tan notable que en los tribunales apoyo de las autoridades regulatorias
de justicia se utilizan estos estándares para gubernamentales, o al menos su
discernir si hay o no infracción o delito y reconocimiento.
delimitar responsabilidades.
• Bases legales: Los sistemas de
autorregulación que ayuden a la puesta
Nace el Consejo ICAS: el nuevo organismo
internacional de autorregulación de la en marcha de leyes y políticas tienen
publicidad lanzado por la EASA mayor posibilidad de obtener un amplio
Esta nueva plataforma internacional pretende

apoyo externo. El principio de legalidad
promover la autorregulación publicitaria de forma siempre debe presidir un sistema de
eficaz, con el fin de crear un organismo que facilite autorregulación.
el establecimiento de nuevas SRO (Organizaciones
de Autorregulación) en los mercados emergentes • Liderazgo: Una gestión fuerte e
y ayude a su desarrollo. Asimismo, pretende independiente en la autorregulación
constituir un foro de discusión que permita trabajar aumenta la credibilidad y la efectividad
sobre los retos globales a los que se enfrenta la
de esta. Un sistema de autorregulación
industria publicitaria.
sin órganos independientes de control
Tanto ICAS (Consejo Internacional de y sin un procedimiento de gestión de
Autorregulación Publicitaria) como EASA (Alianza
denuncias es un documento de buenas
Europea de Normas de Publicidad) afirmaron
intenciones. En otras palabras, un
que continuarán con su misión de promover las
buenas prácticas en publicidad, enriqueciendo sistema de autorregulación debe tener
de esta forma las iniciativas internacionales sobre un procedimiento de resolución de
autorregulación de la publicidad y respetando, al controversias o conflictos eficaz, riguroso
mismo tiempo, la cultura y las costumbres locales.
y transparente para generar credibilidad
Fuente: y confianza.
/www.europapress.es/sociedad/noticia-nace-consejo-icas-
nuevo-organismo-internacional-autorregulacion-publicidad- • Aprovechar el conocimiento del sector
lanzado-easa-20161107142649.html
en la configuración de normas. La
participación activa en la adopción de
Tomando como referencia a la OCDE (2015),
normas puede fomentar un mayor
las características que deben tener los
sentimiento de propiedad de éstas, en
sistemas de autorregulación son, al menos,
comparación con la legislación impuesta
las siguientes:
por la administración. Esto puede mejorar
• Objetivos bien definidos y delimitados. su aceptación y cumplimiento, algo
Debe potenciar la participación del sector especialmente importante en mercados
y facilitar las evaluaciones que se lleven a con productos complejos o en mercados
cabo. dinámicos (sujetos a avances tecnológicos).
• Supervisión, transparencia y Los órganos responsables de velar por la efectiva

responsabilidad pública: estas aplicación de este código son: la Unidad de
características son determinantes para Supervisión Deontológica, la Comisión Deontológica

y el Jurado de Autocontrol.
construir sistemas de autorregulación
fiables. Para ello, también existe un sistema de denuncias
con el fin de que las compañías que estén sujetas al
• Aplicación y sanciones: Estas medidas son
Código cumplan con las disposiciones de este.
necesarias para fomentar el Compliance.
Incluso las propias autoridades En lo relacionado a la transparencia, las empresas
sujetas a las disposiciones del Código deberán
competentes pueden fomentar el uso
documentar y publicar los pagos y transferencias
de estos canales sancionadores cuando
de valor que realicen, directa o indirectamente,
su eficacia es mayor que la regulación
en beneficio de los destinatarios: profesionales
establecida. sanitarios, organizaciones sanitarias y
organizaciones de pacientes.
• Resolución de conflictos e indemnización:
Estos mecanismos permiten desarrollar Fuente:
www.codigofarmaindustria.org/servlet/sarfi/home.html
la confianza de los grupos de interés ya
que repara el daño causado y a la vez es
un medio de apoyo para la supervisión En algunas ocasiones, el gobierno adquiere
preventiva. una gran importancia en lo que se refiere al

diseño de los sistemas de autorregulación.
• Participación de los grupos de interés: Concretamente, en los casos en los que
Informar y exponer a todos los grupos se trata con servicios de financiación. Por
de interés, el contenido y dimensión ejemplo, se puede exigir a las empresas que
del sistema de autorregulación, para se adhieran a los programas a cambio de
incorporar sus aportaciones al proceso de otorgarles la licencia de explotación.
mejora continua, mejorando la calidad de
los sistemas de autorregulación.
Ley de autorregulación de la prensa en
• Concienciación pública: Fomentar el Reino Unido
uso de los sistemas de autorregulación A raíz del escándalo de las escuchas ilegales del
por parte de los grupos de interés e dominical News of the World se abrió un debate
incluso generar presión pública para la sobre las prácticas de la prensa en Reino Unido. El
adherencia a estos cuando proceda. juez Brian Leveson fue encargo de llevar a cabo una
investigación pública acerca de la cultura, practicas
y ética de la prensa, que resultó en un informe
Código Farmaindustria conteniendo conclusiones y propuestas.
El sistema de autorregulación de los laboratorios En dicho informe, conocido como Informe Levison,
farmacéuticos innovadores (materializado en se recomienda la creación de un organismo
el Código de Buenas Prácticas de la Industria supervisor de la prensa que garantice que los
Farmacéutica) se sustenta sobre seis principios medios pueden autorregularse con eficacia. Este
fundamentales: confianza, integridad, respeto, sistema debería garantizar la calidad del periodismo,
legalidad, transparencia y prevención. así como proteger la intimidad de las personas.
El informe consideraba que la nueva ley que se Si un sistema de autorregulación no es

apruebe debe salvaguardar la libertad de expresión, eficaz o sus resultados no están en sintonía
impidiendo cualquier interferencia del Gobierno.
con las expectativas creadas, entonces las
También cuestionaba la relación entre los políticos
probabilidades de intervención del regulador,
y los medios, la cual consideraba muy estrecha y
perjudicial. Por ello, el Informe Leveson proponía en cualquiera de sus formas, se convierten
la publicación trimestral de todas las reuniones en realidad. Estas situaciones tienen especial
celebradas entre políticos y periodistas, directores repercusión pública y demuestran hasta
y propietarios de medios, así como el contenido de qué punto la capacidad de anticipación de
las conversaciones.
un sistema de autorregulación ante riesgos
El primer ministro de entonces, David Cameron, sistémicos, es decir reputacionales, debe ser
rechazó la necesidad de promulgar una ley para la contemplada.
creación de esa nueva institución, aunque coincidió
con el resto de las recomendaciones del informe. La autorregulación es un compromiso
Consideraba asimismo que legislar en torno a los real y exigible para todos los partícipes y
medios otorgaría a los políticos la capacidad para
constituye la piedra angular en la generación
imponerles obligaciones, lo que supondría un
de confianza en la organización. Nada es
ataque a la libertad de expresión.
más frágil que la confianza y si se quiebra
Fuente: es muy difícil su reparación. Es más, lo único
www.lavanguardia.com/
que no tiene garantía cuando se rompe es la
internacional/20121129/54356793519/leveson-cameron-
ley-prensa.html confianza.
8.4. Prevención de conflictos

La era de la autorregulación de las redes
de intereses
sociales ha terminado
8.4.1. Qué es un conflicto de
Debido a la incapacidad de las grandes redes sociales intereses y por qué es importante
por ejercer el autocontrol, países como Reino gestionarlo
Unido, Australia o Nueva Zelanda preparan leyes
para poner fin a la autorregulación de tecnológicas En sentido estricto, consideramos que existe
como Facebook o Google tras la retransmisión en
un conflicto de intereses cuando se produce
directo de la matanza de Nueva Zelanda.
una situación en la que “un interés interfiere
Partiendo de la base de que las plataformas sociales o puede interferir con la capacidad de una
son responsables de lo que comparten sus usuarios, persona, organización o institución para actuar
estas leyes contemplan multas de hasta un 10% de los
de acuerdo con el interés de otra parte, siempre
ingresos anuales a las compañías tecnológicas que
que aquella persona, organización o institución
posibiliten la transmisión de contenidos violentos,
dañinos u ofensivos, además de penas de prisión de tenga una obligación (legal, convencional,
hasta 3 años para los ejecutivos de estas compañías. fiduciaria o ética) de actuar de acuerdo con el
interés de la otra parte”177.
Fuente:
www.economiadigital.es/tecnologia-y-tendencias/
177 Argandoña, A. (2004), Conflicto de intereses: el punto de vista
la-era-de-la-autorregulacion-de-las-redes-sociales-ha-
ético, p 3-4, IESE Business School, Universidad de Navarra. Acce-
terminado_617024_102.html sible en www.iese.edu/research/pdfs/DI-0552.pdf.
En definitiva, un conflicto de intereses en el momento de preparar una evaluación

puede llegar a materializarse cuando existen formal de las prácticas contables del cliente179.
factores (como relaciones personales o
El razonamiento humano puede verse
intereses económicos) que afectan al nivel
presionado fácilmente al servicio de los
de objetividad, neutralidad o independencia
propios intereses. Por ejemplo, cada vez que
de un individuo, poniendo en riesgo su
una persona se encuentra en una situación
capacidad de actuar en cumplimiento de sus
en la que puede obtener recompensas
obligaciones y deberes profesionales.
por recomendar que se lleve a cabo una
Investigaciones en el ámbito de la psicología determinada acción, es más probable
han demostrado que nos cuesta reconocer que recomiende esa acción, aunque crea
que, a veces, estamos cegados por nuestros honestamente (pero incorrectamente) que
intereses particulares. Los conflictos de ha actuado de forma objetiva.
intereses son problemáticos no solo porque
Algunos resultados de las investigaciones
estén muy extendidos, sino porque la mayoría
realizadas en este campo sugieren que los
de las personas creen (incorrectamente) que
problemas de conflicto de intereses pueden
quienes sucumben a ellos son solo unas
ser más profundos de lo que comúnmente
pocas “manzanas podridas” y por tanto
se supone. No es suficiente contrarrestar
es resultado de la corrupción intencional
conscientemente un determinado sesgo
cuando en realidad es más probable que sea
en el momento de emitir un juicio; las
consecuencia de un sesgo involuntario178.
personas podrían no ser capaces de corregir
Además, debido a que los profesionales adecuadamente su parcialidad. Eliminar
deben cumplir habitualmente múltiples determinadas filiaciones o vinculaciones
funciones dentro de las organizaciones, es (“lealtades partidistas”), puede ser la única
fácil encontrar situaciones en las que sus forma de eliminar eficazmente el conflicto de
diferentes roles exijan que persigan objetivos intereses180.
en conflicto.
En ocasiones, sin embargo, el conflicto es
La incapacidad de las personas para cambiar meramente aparente. En dichos casos,
de una función a otra sin que éstas se influyan aunque no exista un riesgo real de que
mutuamente puede explicar en parte el efecto se lesione el principio de imparcialidad y
corrosivo de los conflictos de intereses en la objetividad, hay que tener en cuenta que la
emisión de un juicio profesional. Por ejemplo, mera apariencia puede lesionar otro principio
el auditor que desea desesperadamente tanto o más importante: la confianza en quien
retener el negocio de un cliente puede tener emite un juicio, toma una decisión o presta
problemas para actuar con total imparcialidad un servicio.
179 Moore, Tanlu y Bazerman (2010), Conflict of interest and the in-
trusion of bias, Judgment and Decision Making, Vol. 5, No. 1, pp.
178 Cain DM and Detsky AS (2008), Everyone's a Little Bit Biased
37–53, journal.sjdm.org/10/91104/jdm91104.pdf.
(even Physicians), JAMA, 299(24), pp. 2893–5. doi: 10.1001/
jama.299.24.2893. 180 Moore, Tanlu y Bazerman (2010),
Por último, es muy importante tener claro Ejemplo: Vinculación familiar del
que la mera existencia de un conflicto de responsable de compras de una
intereses en el desempeño de la actividad empresa con un directivo de una
profesional no debe suponer, a priori, un empresa proveedora de servicios que
comportamiento censurable o sancionable. ha presentado oferta para prestar sus
Así, es importante no confundir la existencia servicios.
de un conflicto de intereses con un acto de
b. Potenciales: Una persona tiene un
corrupción.
interés particular que podría influir a la
No obstante, las situaciones de conflictos de hora de hacer un juicio profesional desde
intereses mal identificadas y no gestionadas la posición o cargo que ocupa, pero aún
pueden poner en riesgo la integridad de la no se encuentra en una situación en la que
empresa (y del propio individuo). tenga que ofrecer este discernimiento.
Ejemplo: Vinculación familiar del

Ejemplos de riesgos de Compliance en responsable de compras de una empresa
conflictos de intereses con un directivo de una empresa
Algunos ejemplos de riesgos de Compliance proveedora de servicios que no presta
que pueden materializarse si no se identifican y servicios a la empresa, ni ha mostrado
gestionan los conflictos de intereses: interés actual, pero podría presentar
• Mala venta de productos y servicios oferta en un futuro.
• Fraude c. Aparentes: La persona no tiene

• Soborno y corrupción un conflicto de intereses -ni real ni
potencialmente- pero alguien podría
• Blanqueo de capitales
llegar a concluir, razonablemente, que
• Abuso de mercado (mercados de valores)
sí lo tiene. Un conflicto de intereses es
aparente cuando se puede resolver
8.4.2. Tipología de conflictos de ofreciendo toda la información necesaria
intereses para demostrar que no hay ningún
conflicto de intereses, ni real ni potencial.
Con carácter general podemos distinguir
tres tipos de conflictos de intereses: reales, Ejemplo: El responsable de compras
potenciales y aparentes: referido en los ejemplos anteriores
resulta tener mismos apellidos que el
a. Reales: Una persona tiene un interés
directivo de la empresa proveedora de
particular en relación con un determinado
servicios. Sin embargo, estas personas
juicio o discernimiento profesional y
no comparten vínculo familiar alguno,
se encuentra ya efectivamente en una
ni siquiera se conocen. Un tercero
situación en la que tiene la obligación de
podría pensar que existe una relación
ofrecer este juicio (riesgo actual).
de parentesco, dada la coincidencia de
apellidos, pero este conflicto de intereses 8.4.3. Identificación de los

aparente se resolvería fácilmente conflictos de intereses
presentando la documentación
Cualquiera puede verse incurso en un conflicto
demostrativa de ausencia de relación
de intereses por causas ajenas a su voluntad.
familiar.
Ese podría ser el caso de un responsable de
Los conflictos de intereses aparentes, aunque adjudicar una contratación a la que opta, por
no son exactamente un riesgo de Compliance pura coincidencia, una empresa propiedad
(por ejemplo, de corrupción), sí son riesgos de un familiar suyo.
reputacionales para la organización ya que
En este escenario, ni el empleado ni el
conducen a una idea equivocada sobre la
posible contratista tienen por qué albergar
seguridad o la fiabilidad de una actuación
intenciones aviesas, a diferencia de un
profesional determinada. Por ello, hay que
soborno donde, desde un principio, al menos
detectarlos siempre y ofrecer la información
una de las partes pretende un resultado
necesaria para aclarar esta apariencia de
anticompetitivo o injusto.
conflicto de intereses.
Pero sucumbir a un conflicto de intereses es
Tanto el conflicto aparente como el potencial
fácil, y no identificar una situación de estas
deben incluirse en el concepto de conflicto de
características impedirá que una adecuada
intereses, y han de ser objeto de regulación, gestión del conflicto. En este caso, una vez
aunque ninguno de los dos constituya un identificada la situación (es fundamental
conflicto real o presente. que las empresas establezcan protocolos al
efecto), se debe alejar al responsable de la
adjudicación del proceso de toma de decisión.
Real Potencial Aparente
Esta sería la forma de garantizar una decisión

No tengo
neutra, al tiempo que se evitan eventuales
Tengo un interés interés
Interés particular que podría particular que suspicacias de terceros respecto del proceso
particular influir en mi juicio pueda influir
profesional en mi juicio desarrollado. Se evita así que se materialice
profesional. el conflicto y se protege la confianza en el
proceso de adjudicación.
Ya estoy en
Aún no situación de
Ya estoy estoy en ofrecerlo y A la hora de identificar la envergadura o
en situación de alguien podría
Juicio niveles de riesgo en este ámbito, hay que
situación ofrecerlo, razonable-
profesional
de pero podría mente pensar tener en cuenta que los riesgos son mayores
ofrecerlo producirse que tengo un
en el futuro interés que cuando estos conflictos afectan a las personas
podría influir que se encuentran en la dirección o consejo
de administración de una empresa, pues sus
Tipología de conflictos de intereses. Fuente: Oficina Antifraude de
Cataluña, www.antifrau.cat/es/ actos tienen más trascendencia y pueden
afectar a toda la organización- al poder tomar
decisiones por cuenta o en nombre de ésta-, o
bien cuando afectan a aquellos trabajadores consejero, directivo o empleado con

que desempeñan tareas comerciales o de terceros (personas físicas o jurídicas):
negocio (compras o ventas). • Familiares: Cónyuge, pareja, pariente
por consanguinidad o afinidad.
Una vez más, es importante adoptar un
enfoque basado en el riesgo y establecer • Económicas: Participación económica
procedimientos que permitan identificar y / control de una sociedad
gestionar conflictos que tengan en cuenta • De otro tipo: Antiguas amistades,
aquellos procesos o actividades donde los amistades o enemistades manifiestas,
riesgos sean mayores (mayores impactos y litigios pendientes. En este grupo
probabilidades). podemos incluir la recepción de
regalos o invitaciones a eventos por
A la hora de determinar donde existe el riesgo
parte de un tercero como una de las
de que se materialicen situaciones de conflicto
fuentes de conflicto de intereses más
de intereses es importante comprender que
habituales en el mundo empresarial
cualquier profesional de la organización
y factor de riesgo clave en materia de
(miembros del consejo de administración,
corrupción.
directivos y resto de empleados) puede verse
afectado. b. Factores internos a la empresa
(organizativos) como, por ejemplo:
Sin embargo, como ya hemos comentado,
el riesgo variará dependiendo del puesto • Dependencia jerárquica inadecuada
o función desempeñado por el individuo (por ejemplo, dependencia de una
en cuestión (por ejemplo, riesgo de que se unidad de control interno de una
materialice un delito de corrupción entre dirección de negocio)
particulares o el riesgo de que se produzca • Realización de actividades o prestación

una mala venta de un producto financiero). de servicios que entran en conflicto;
8.4.4. Factores vinculados a • Sistema de remuneración (plan
situaciones de conflictos de de incentivos económicos a los
intereses en una organización empleados) y de promoción interna

basado exclusivamente en objetivos
Podemos distinguir, desde el punto de vista financieros;
de la organización, entre factores externos
• Vinculado al anterior, el establecimiento
(derivados de circunstancias ajenas a la
de objetivos comerciales muy
entidad), y factores internos (generados por
exigentes (mucha presión comercial).
circunstancias organizativas y de gestión
interna): 8.4.5. Ámbitos o tipos de conflictos
de intereses en las organizaciones
a. Factores ajenos o externos a la empresa.
En este ámbito se encontrarían las Los conflictos de intereses pueden afectar a
siguientes tipologías de vinculación del cualquiera de los individuos que integran una
organización. Otra cuestión, como hemos Conflictos de intereses que

visto, es la envergadura o nivel de riesgo afectan a la prestación del
inherente a dicha situación (por ejemplo, servicio (protección del cliente). El
riesgo de que se materialice una mala venta ejemplo de las empresas del sector
de un producto o se adopte una decisión financiero
con gran impacto para la organización, que
se haya visto influenciada por intereses Este ámbito hace referencia a los conflictos de
particulares). intereses que ponen en riesgo los intereses
del cliente de recibir un servicio adecuado.
En este sentido podemos distinguir distintas Este es uno de los principales riesgos que
tipologías o ámbitos de conflicto, que afectan pretende minimizar la regulación, por
a distintos sujetos vinculados, de una forma ejemplo, del sector financiero. En este caso
u otra, a las organizaciones, y a distintos “no se considerará suficiente que a empresa
ámbitos de toma de decisiones (emisión pueda obtener un beneficio, si no existe
de juicio). Estos conflictos de intereses, también un posible perjuicio para un cliente;
mal gestionados, pueden ocasionar que se o que un cliente pueda obtener una ganancia
materialicen distintos tipos de riesgos de o evitar una pérdida, si no existe la posibilidad
Compliance. de pérdida concomitante de un cliente”.
Conflictos de intereses que afectan

al buen gobierno de la empresa
(miembros de los consejos de
administración)
La gestión de esta tipología de conflictos tiene

como objetivo prevenir que los miembros
Tipología de conflictos de intereses en empresas que prestan
del consejo de administración no ejerzan un servicios de inversión. Elaboración propia
buen gobierno de la empresa.
Conflictos de intereses que afectan
Existe una variada regulación en este ámbito, a la relación empresa-empleado
cuya finalidad es precisamente garantizar
que dichos conflictos de intereses son A este grupo de conflictos pertenecen, con
debidamente identificados y mitigados. carácter general, aquellos que pueden poner
Un Compliance Officer debe conocer los en riesgo los deberes de fidelidad y lealtad del
requisitos normativos que son de aplicación y empleado (relación laboral) hacia la empresa
asegurar que el programa de Compliance que y el desempeño de sus obligaciones como
diseñe y/o desarrolle establece las medidas empleado.
necesarias (controles) para cumplir con esta
En este ámbito podemos incluir, por ejemplo,
finalidad.
las situaciones en las que un empleado o
funcionario tiene vinculaciones económicas,
familiares o de otro tipo que cuestionarían 8.4.6. Cómo gestionar

el desempeño de sus obligaciones adecuadamente los conflictos de
profesionales de forma honesta e imparcial. intereses
Estos conflictos mal gestionados pueden La proactividad en la gestión (incluida la

derivar en importantes riesgos de prevención) de los conflictos de intereses,
Compliance para la organización (por se manifiesta en la implantación y desarrollo
ejemplo, corrupción, o uso indebido de de una política corporativa de prevención
información obtenida en el desempeño de y gestión de conflictos de intereses en la
las funciones). que deben constar medidas que faciliten la
identificación y la gestión de dichos conflictos.
Conflictos de intereses que
afectan a las actividades Los elementos básicos que debe contemplar
desarrolladas por el sector público una política de gestión de conflictos de
intereses son los siguientes:
En el marco de la identificación y gestión
de los conflictos de intereses merece una
mención especial la importancia que tiene
la identificación y adecuada gestión de los
conflictos de intereses, reales o potenciales,
en el ámbito de la gestión pública y la
prestación de servicios a los ciudadanos.
a. Comunicación y registro: Han de

Los conflictos de intereses pueden generar
establecerse mecanismos que permitan
un riesgo de corrupción, común a todas las
a determinados profesionales que
organizaciones públicas. Este riesgo debe ser
integran la organización (enfoque basado
gestionado para asegurar la imparcialidad
en el riesgo), comunicar y actualizar de
de los servidores públicos, que resulta
forma periódica la existencia de vínculos
necesaria para actuar con objetividad en
(familiares, económicos, etc) con terceros,
la consecución del interés general y para
que pongan o puedan poner en peligro
preservar la confianza ciudadana en las
su imparcialidad en el desempeño de sus
instituciones.
funciones.
Deben por tanto identificarse y gestionarse Un ejemplo habitual es la existencia de
los conflictos de intereses que pongan formularios de declaración de conflictos
en riesgo la adecuada prestación de un de intereses o la existencia de una política
servicio público, previniéndose que se específica de declaración, prohibición y/o
materialicen casos de corrupción y se autorización previa de ciertas actividades
vulneren los principios de igualdad de trato (por ejemplo, para recepción o realización
de proveedores o de libre competencia. de regalos e invitaciones a partir de un
importe).
Sin perder de vista el enfoque basado que las políticas de gestión de conflicto
en el riesgo antes mencionado, estas de intereses adviertan claramente de la
obligaciones han de resultar de aplicación obligación que tiene cualquier profesional
a todos los individuos (consejo de de la organización de inhibirse o
administración, directivos y resto de abstenerse de actuar o cuando su juicio
empleados) que de un modo u otro profesional pueda verse afectado por un
puedan verse inmersos en situaciones de interés particular.
conflicto de intereses que comprometan
No obstante, la obligación de no actuar
los objetivos de Compliance de la empresa
no es suficiente para evitar que se
(por ejemplo, la lucha contra la corrupción
materialicen conflictos de intereses y es
en todas sus formas).
por ello necesario que se establezcan
Una forma efectiva de prevenir que se medidas adecuadas para remediar y
materialicen situaciones de conflicto de gestionar los conflictos que se identifiquen
intereses en un el desarrollo de un proyecto (según se explica en el punto siguiente).
o actividad corporativa (por ejemplo,
c. Mecanismos o medidas específicas para
el asesoramiento en una operación
gestionar el conflicto, real o potencial,
de adquisición de otra compañía, o la
una vez identificado: Bajo este apartado
contratación de proveedores para un
se incluirían todas aquellas medidas
proyecto de infraestructura), es solicitar
tendentes a prevenir un impacto negativo
una declaración de conflictos de intereses
derivado de una situación en la que
por defecto al comienzo del mismo.
la emisión de un determinado juicio
De este modo, desde una perspectiva profesional o la adopción de una decisión
“conductual” y de utilización práctica corporativa se vea finalmente influenciada
de las evidencias obtenidas en el por intereses particulares. Ejemplos de
ámbito del estudio de las ciencias del algunas medidas serían:
comportamiento de los individuos, se crea
• La implantación de procedimientos
una predisposición a que desde el principio
eficaces que impidan o controlen
todos los participantes en el proyecto
el intercambio de información
sean conscientes de la importancia de
entre personas que participen en
identificar intereses particulares que
actividades cuyos intereses entren en
puedan influir indebidamente en las
conflicto.
decisiones que adopten181.
• Por ejemplo, en una entidad bancaria,
b. Obligación de abstención de actuar en
el establecimiento de una barrera
caso de involucración en una situación
informativa entre el área de análisis
de conflicto de intereses: Es importante
bursátil (equities research) y el área que
asesora en operaciones corporativas
181 OCDE (2018), La integridad pública desde una perspectiva conduc-
tual. El factor humano como herramienta anticorrupción, p 8, Public tales como fusiones y adquisiciones.
Governance Reviews.
• La existencia de políticas de los conflictos de intereses se encuentran

segregación de funciones así como entre los riesgos de Compliance menos
normas claras sobre apoderamiento comprendidos. Un plan de formación
(con sistemas de doble firma para y comunicación apropiados son, por lo
determinadas transacciones y tanto, fundamentales para la mitigación.
limitaciones de poderes atendiendo a
Entre los contenidos de la formación
operaciones y/o importes), suelen ser
que debería impartirse en esta materia
buenas prácticas que redundan en un
figurarían, por ejemplo, de acuerdo con el
mecanismo propicio para tratar de
informe anteriormente mencionado:
evitar estas situaciones de riesgo.
• Implicaciones personales del conflicto
• Apartar a un empleado, directivo o
de intereses: ¿qué significa para el
consejero del proceso de toma de una
decisión (por ejemplo, en la selección consejero, directivo o empleado? ¿Por
de un proveedor). qué debe el consejero, directivo o

empleado revelar el conflicto?, ¿Qué
• Limitación en las funciones del información? ¿Cuándo? ¿A quién?
empleado o administrador: Cuando
es previsible que el conflicto de • Explicación de las posibles
intereses se repita y no es suficiente consecuencias negativas
con la abstención, debe contemplarse (materialización de riesgos de
la posibilidad de limitar el ámbito de Compliance) de los conflictos de
actuación de todas o algunas de sus intereses (reales, potenciales, o
funciones. aparentes) mal gestionados. Por
ejemplo: vulneración de las leyes
• InvolucracióndelequipodeCompliance
anticorrupción, daño a la reputación de
en el diseño y aprobación de planes
la organización, pérdida de confianza
de incentivos a los empleados. En este
por parte de los proveedores,
sentido, Compliance deberá vigilar
percepción de los empleados de
cuestiones tales como la existencia
que trabajan para una organización
de un incentivo mayor a un producto
“injusta”, etc.
frente a otros (ver Caso de estudio X).
d. Prevenir la materialización de situaciones • Explicación de los diversos tipos
de conflicto real a través de la formación y de conflicto de intereses, incluidas
la concienciación de los empleados: Tal y las relaciones personales entre

como recuerda el informe elaborado por responsables y subordinados,
la “Ethics & Compliance Initiative (2016)”182, relaciones con proveedores, recepción
por su complejidad y amplia variedad, o realización de obsequios inapropiados
y cortesías comerciales, vinculaciones
familiares o económicas, etc.
182 Ethics & Compliance Initiative, 2016, pp 13-16, Report of ECI’s con-
flicts of interest benchmarking group, patrocinado por Kaplan &
Walker LLP.
8.4.7. Los conflictos de intereses en Por ello, es importante separar, siempre que
la función del Compliance Officer sea posible, la función de Compliance de otras
funciones, particularmente la de Asesoría o
Cualquier persona puede verse Departamento Legal, cuando estén unificadas
potencialmente incursa en conflictos de o exista alguna dependencia entre ambas. No
intereses , incluido el propio Compliance
183
debemos dejar de insistir, una vez más, en la
Officer, como empleado. importancia de mantener independientes
la función de Compliance y la de auditoría
En ocasiones puede ser una buena práctica
interna para evitar el solapamiento de la 2ª
que la función se configure como un órgano
y 3ª línea de defensa, con la consecuente
colegiado, de manera que si cualquiera de sus
pérdida de una de ellas.
integrantes –incluido el máximo responsable
de la función- está incurso en una situación
de conflicto de intereses que comprometa su
imparcialidad, pueda gestionarse por el resto
de los miembros.
Otra cuestión diferente es que el entorno de

conflicto no sea puntual o sobrevenido, como
en los casos anteriores, sino propiciado por las
distintas funciones de quien asume también
el cargo de Compliance Officer (conflictos de
intereses generados por la propia estructura
organizativa de la empresa).
Esto ocurre, por ejemplo, cuando el

responsable de Compliance combina esta
función con el asesoramiento jurídico y/o
funciones de defensa legal, o lo compatibiliza
con labores de auditoría interna. Esto suele
ocurrir en organizaciones cuyo tamaño
les impide disponer de una función de
Compliance ad hoc, por lo que suelen
encomendar estos cometidos a otras
funciones existentes, circunstancia que
puede predisponer a conflictos de intereses,
especialmente cuando están centradas en
labores de defensa.
183 Casanovas, A. (2015), Serie tests de Compliance –12 – Cinco cues-

tiones clave sobre: El rol del Compliance Officer, KPMG, assets.kpmg.
com/content/dam/kpmg/es/pdf/2016/12/Test_Compliance_12.pdf.
Caso de estudio X: Wells Fargo. Conflictos de intereses y plan de incentivos a los empleados.
Wells Fargo es una de las mayores compañías financieras de EE.UU, así como uno de los cuatro
grandes bancos de ese país. Entre 2009 y 2016, 5.300 empleados (un 1% de la plantilla) abrieron
cerca de 1.5M de cuentas bancarias y asignaron 565.000 tarjetas de crédito a clientes sin su
autorización. En 2017 se descubrió un total de 2,1M de cuentas cuya existencia sólo conocieron los
clientes al cargárseles las comisiones.
Los empleados del banco norteamericano habían realizado ventas cruzadas y abierto cuentas falsas
a sus clientes para cobrarles comisiones, debido a la presión ejercida por el banco por aumentar
sus resultados: querían cumplir los objetivos de ventas, de los que dependían sus “bonus” a final
de año.
El 08/09/2016, la Oficina Financiera para la Protección del Consumidor norteamericana (CFPB),

sancionó a la entidad con una multa de 185M de dólares por estos hechos.
Como en otros casos ya comentados, Wells Fago contaba con programas de Compliance. También
disponía de un código ético y otro de conducta del negocio, donde se enfatizaba el deber de guiarse
en todas las actuaciones “por lo que es correcto para los clientes”. Por último, también existía un
documento, “Visión y Valores”, firmado por el CEO, donde se destacaba la importancia de la ética y
la integridad.
Este caso ejemplifica, entre otras cuestiones, cómo una empresa que establece objetivos comerciales
poco realistas y una fuerte presión para alcanzarlos (el mantra comercial utilizado era ‘eight is great’,
haciendo referencia al número de productos que deberían contratarse por cada cliente), influye
negativamente en la forma en la que los empleados prestan su servicio y venden productos a sus
clientes. En consecuencia, se genera un riesgo de Compliance (mala venta de productos y fraude)
que la mera existencia de un código ético y de conducta no impide. Si el mensaje trasladado es que
el comportamiento que se incentiva es únicamente lograr objetivos económicos, pero no el prestar
un servicio de calidad y atender debidamente a los intereses y necesidades del cliente (requisitos
básicos para garantizar un nivel adecuado de protección del cliente de los servicios financieros),
se crea un conflicto de intereses en el que la balanza se inclinará hacia el interés particular del
empleado (beneficio económico o mantenimiento de su puesto de trabajo).
Debido a este riesgo, la regulación financiera exige a las entidades que gestionen adecuadamente
sus conflictos de intereses. Así, en 2013, el regulador europeo ESMA (European Securities and
Markets Authority) emitió unas directrices sobre “sobre políticas y prácticas de remuneración” para
garantizar la implementación coherente y mejorada de los requisitos en materia de gestión de
conflictos de interés ya existentes de MiFID I, y el cumplimiento con las normas de conducta. En
esta línea, el regulador del Reino Unido (por aquel entonces, la “Financial Services Authority” o FSA),
publicó ese 2013 una guía específica titulada “Riesgos para los clientes derivados de los incentivos
financieros”. En ella revela una serie de fallos en la industria financiera a la hora de establecer
planes de incentivos, tales como no ser capaces de identificar correctamente cómo los esquemas
de incentivos pueden conducir a una mala venta, y comprender cómo la complejidad de su diseño
dificulta muchas veces la posibilidad de controlarlos adecuadamente. En cualquier caso, advierte

que el problema no radica en la existencia de esos planes, sino en un diseño en el beneficio del
empleado se obtiene a costa del interés del cliente. Y no debemos olvidar que el cliente debe tener
la confianza de que le ofrecen un producto por las razones correctas.
Este caso es ejemplo evidente de cómo los objetivos de Compliance han de estar presentes en
el diseño de la estrategia empresarial y la aprobación de objetivos de negocio. Es fundamental
asegurar que en los mensajes enviados a los empleados (en este caso, a la red comercial), existen
una coherencia entre los comportamientos intencionados o esperados (código ético, políticas de
Compliance etc.) y los expresados por otros medios (por ejemplo, en comunicaciones y mensajes
de la dirección y mando intermedios, o mediante el propio plan de incentivos). Además, para que
la labor de Compliance resulte eficaz y pueda velar por la prevención del riesgo de mala conducta
derivado de un plan de incentivos (conflicto de intereses), Compliance debe ser involucrados y
participar en el proceso de su diseño y aprobación.
Fuentes:
• Cavanna, J., 2016,5.300 cómplices y un liderazgo sin agallas: a propósito de Wells Fargo, Revista digital
Compromiso Empresarial, artículo accesible en https://www.compromisoempresarial.com/rsc/2016/11/5-
300-complices-y-un-liderazgo-sin-agallas-a-proposito-de-wells-fargo/
• Forbes, The Wells Fargo account scandal, a timeline, https://www.forbes.com/pictures/ejhj45fjij/where-wells-

went-wrong/#1f46de5654b4
• European Securities and Markets Authority (ESMA), 2013, Guidelines on remuneration policies
and practices (MIFID), ESMA/2013/606, accesible en https://www.esma.europa.eu/sites/default/files/
library/2015/11/2013-606_en.pdf
• Financial Conduct Authority (FSA), 2013, Risks to customers from financial incentives, final guidance,
accesible en https://www.fca.org.uk/publication/finalised-guidance/fsa-fg13-01.pdf
8.5. Procedimientos de Con carácter general, los procedimientos de

diligencia debida en la esfera de Compliance
diligencia debida
hacen referencia a los procesos de selección
Los profesionales de Compliance se enfrentan (por ejemplo, de empleados o de proveedores
al reto de facilitar a la empresa el acceso a de servicios) y al mantenimiento de las
nuevas oportunidades de negocio, al tiempo relaciones con las personas (que pueden
que también deben gestionar los riesgos ser físicas o jurídicas) que se vinculan con la
de Compliance inherentes a esas nuevas organización (ya sea interna o externamente),
actividades y oportunidades. de modo que su comportamiento esté
alineado con los valores de aquélla,
Esta circunstancia, unida al complejo e
incluyendo, lógicamente, el respeto a las
impredecible entorno de riesgos en el que
leyes y los estándares éticos.
operan, exige que las empresas extremen
su diligencia en el control de los riesgos de Los procedimientos de diligencia debida son
Compliance a los que se enfrentan. Por ello, clave en todo modelo de Compliance, pues
deben gestionarlos a través de medidas garantizan que la voluntad de la organización
de prevención y detección apropiadas y en hacer valer sus valores es correctamente
adecuadas al nivel de riesgo identificado en seguida, tanto en sus relaciones a nivel
el proceso de evaluación de riesgos. externo e interno.
En este epígrafe se abordarán dos mecanismos

Diligencia debida
de control de carácter preventivo, que son
fundamentales a la hora de desarrollar un Cuando el análisis del riesgo penal realizado por la
organización tenga por resultado un riesgo penal
programa de Compliance eficaz. Se trata de
superior a bajo en relación con transacciones
los llamados procedimientos de diligencia
o proyectos, relaciones de negocio actuales o
debida, y los mecanismos de identificación y personal en posiciones específicas dentro de la
gestión de conflictos de intereses. organización, deberá llevar a cabo procedimientos
de diligencia debida.
8.5.1. Concepto de diligencia debida
Si RPenal > bajo → DD
El concepto de “diligencia debida” (“due
El alcance y tipo de diligencia debida seguida,
diligence” o DD) puede tener varios significados, dependerá́ de factores tales como la capacidad
dependiendo del contexto en que se utilice. para obtener la información necesaria por parte
de la organización, el coste de obtención de dicha
Así, de acuerdo con la norma UNE información y el propio nivel de riesgo penal
19601:2017184, específica de la Gestión de asociado. En este sentido, los procedimientos de
Sistemas de Compliance penal, la DD es diligencia debida implantados por la organización
el “proceso operativo que pretende obtener deberían ser consistentes para los mismos tipos
o niveles de riesgo, requiriendo análisis más
y evaluar la información para contribuir a la
profundos y detallados para aquellas actividades o
evaluación del riesgo”. situaciones que supongan un mayor riesgo para la
organización.
184 Norma española UNE 19601:2017, Sistemas de gestión de
Compliance penal Requisitos con orientación para su uso, p. 29. Norma UNE 19601:2017
8.5.2. Fases de la diligencia debida • Lateral, donde encontraremos

empresarios con los que se alcanzan
El proceso de diligencia debida atraviesa, acuerdos de colaboración empresarial,
normalmente, por tres etapas consecutivas, como “joint ventures”, agentes y
cada una de las cuales otorga sentido a la distribuidores y consultores, entre otros.
siguiente. Las fases de la diligencia debida Los conceptos de associated person,
son: selección y evaluación, formalización de business associate o business partner,
la relación, y seguimiento y reevaluación. presentes en algunas normas relativas a
la prevención del soborno, se proyectan
sobre estas esferas.
Fases del procedimiento de diligencia debida. Elaboración propia
Fase de selección y/o evaluación
La diligencia debida en la
fase de selección afecta al
propio personal de la
organización (procedimiento
conocido como filtrado de Distintos ámbitos en los que se llevan a cabo procedimientos de
diligencia debida. Elaboración propia
personal o “Know Your Employee”, KYE), pero
también a terceros. En todos estos ámbitos procede que la
organización ponga cuidado en seleccionar
Este último grupo es más voluminoso de lo
a personas –físicas o jurídicas- alineadas
que aparenta, al considerarse tercero todo
con sus objetivos de Compliance (carece de
aquel con quien se mantiene algún vínculo
sentido la pulcritud en lo referente a la propia
de negocios, pero que no ostenta la cualidad
empresa, pero la laxitud en lo que afecta a
de empleado.
terceros que se vinculan de algún modo con
Por ello, siguiendo la terminología anglosajona, ella mediante una nueva relación, ya sea de
estos terceros pueden hallarse por arriba carácter laboral o mercantil).
(“upstream”), por abajo (“downstream”) o a los
lados (“lateral”). Las medidas de vigilancia y control que
se aplican para gestionar los riesgos
• Por arriba, donde se hallarán inherentes en cada uno de estos ámbitos de
principalmente los clientes (también relaciones de la empresa son asimétricas.
podrían ubicarse allí patrocinadores y Así, normalmente existirá mayor capacidad
otras figuras análogas); de vigilancia y control sobre proveedores
• Por abajo, se localizarán los proveedores que sobre clientes, considerando la mayor
y subcontratistas; capacidad de negociar que normalmente
se tiene sobre los primeros y la atomización perspectiva de Compliance, una alineación

de los segundos, por ejemplo, aunque con los valores de la organización y sus
atendiendo al tipo de negocio o sector de la objetivos de Compliance (determinados a su
organización, la situación puede ser justo a la vez en función del apetito de riesgo aprobado
inversa (en el sector financiero, la banca debe por el consejo de administración)
cumplir con exigentes procedimientos de DD
Un apetito de riesgo que sea “cero” en
en el proceso de aceptación de clientes).
cuanto a involucración de la empresa en
Sin embargo, esta asimetría no justifica la posibles casos de corrupción, conllevará el
ausencia de procedimientos de diligencia establecimiento de controles suficientes y
debida que se apliquen con carácter previo adecuados.
al establecimiento de una relación o vínculo
Dichos controles estarán orientados
con un tercero, como medida de vigilancia y
a prevenir que la empresa establezca
control básica en materia de Compliance.
relaciones de negocio con terceros sobre los
Así, por ejemplo, un proveedor o que existan sospechas razonables de mala
subcontratista puede aparentar e incluso ser praxis o conducta inapropiada en ese ámbito
técnicamente adecuado, pero no observar y no existan evidencias de que han tomado
conductas alineadas con los objetivos de medidas para reconducir y solventar dichas
Compliance de la organización. Por ello, el irregularidades.
uso de parámetros técnicos para su selección
Desde esta perspectiva, conocer la conducta
no es necesariamente lo adecuado desde la
de quienes quieren vincularse con la
perspectiva de Compliance.
organización constituye una cautela mínima
Es importante tener en cuenta que los marcos de negocio.
de referencia en materia de Compliance
A efectos de dar cumplimiento a esta
no abogan por generar procedimientos
precaución, pueden utilizarse diferentes
de validación adicionales, sino por utilizar
fuentes de información, entre las cuales se
los existentes para incardinar en ellos los
encontrarían:
elementos de juicio apropiados (por ejemplo,
incluir entre los elementos de juicio la • Fuentes abiertas: La información accesible
confirmación de si la dirección comercial de mediante consulta de registros oficiales
un proveedor efectivamente existe y no es un o visitando contenidos digitales de
mero apartado de correos) acceso público. Desde la perspectiva de
Compliance, la utilidad de la información
En la etapa de selección o evaluación se
así obtenida puede ser limitada ya que
indaga, por tanto, sobre los antecedentes
algunos buscadores de Internet aplican
de la persona, accediendo para ello a
políticas de privacidad que restringen los
información o referencias públicas, para
resultados de las búsquedas.
comprobar si su trayectoria avala, desde la
• Fuentes restringidas o cerradas: Compliance de utilidad, aunque con

Proporcionan datos o información que limitaciones que deben conocerse y
puede ser pública o no, pero el acceso a compensarse por otros medios.
esta se encuentra protegido o restringido.
• Contratar servicios de investigaciones
Por ejemplo, la consulta de bases de
ad hoc para descartar que una persona
datos especializadas sobre integridad de
u organización aparentemente
terceros, es una práctica común de este
“limpia” encubra colectivos de
ámbito.
riesgo: tanto las personas como las
Así, dada la generalización de los organizaciones perseguidas nacional o
procedimientos de diligencia debida, se internacionalmente suelen conocer de
han desarrollado BBDD de integridad la existencia de los recursos anteriores
que aglutinan información pública y y suelen actuar a través de individuos o
proporcionan un resultado normalizado entidades interpuestas.
y comúnmente aceptado, aunque en
Estos y otros recursos deberán aplicarse con
ciertos casos sea bastante incompleta.
sentido común y sobre la base del principio
Estas BBDD suelen integrar diferentes de proporcionalidad. Los procedimientos
fuentes: medios (prensa), información más gravosos (en tiempo requerido y coste
registrada en BBDD datos oficiales económico) se darán cuando se justifique
que impulsan plataformas estatales esa inversión. Este es un ejemplo de lo que
(hacienda, con sus listados de significa aplicar un enfoque basado en el
contribuyentes morosos, o los listados riesgo: a mayor riesgo mayor amplitud de
de personas sancionadas, o terroristas) o la respuesta y, en consecuencia, mayor
supranacionales (Interpol, por ejemplo). utilización de recursos.
De este modo, estos sistemas o No obstante, cabe señalar en este punto que,
plataformas ofrecen a sus clientes una en España, los servicios de investigación están
forma rápida y normalizada de obtener enmarcados en la normativa de seguridad
resultados a través de una sola búsqueda, privada, que establece varias limitaciones
encargándose dichos sistemas de respecto de quienes están habilitados para
alimentar y mantener actualizados esos realizar investigaciones privadas y en qué
listados de entidades (personas físicas y circunstancias. En cualquier caso, no es ilegal
jurídicas). recabar información pública sobre un tercero,
tanto por medios propios como a través de
Algunos de estos sistemas arrojan
un profesional.
resultados por proximidad fonética
o incluso con transliteración en caso Si este fuera el caso (la contratación de un
de caracteres no latinos. El coste de profesional), habrá de quedar constancia
suscripción a BBDD de integridad ha documental del interés legítimo invocado
disminuido gracias a su popularización, y asegurarse de que el tercero contratado
constituyendo una herramienta de cuente con los permisos, esté inscrito en
los registros que previene la normativa Se recomienda, por ejemplo, incluir cláusulas que
y se comprometa a no utilizar medios contemplen el derecho a realizar auditorías. En caso
de no ser posible, considerar esta imposibilidad en
o procedimientos no amparados por la
la propia evaluación del riesgo.
normativa.
Otro tipo de cláusulas a incluir, por ejemplo, en la
Estas prevenciones no son baladí. Los contratación de agentes o de proveedores para
escándalos vinculados a investigaciones realizar un proyecto o trabajo de gran alcance,
privadas irregulares han salpicado a entidades serían:
y cargos de alto nivel de empresas tan • Prohibición expresa de comisión de delitos;
conocidas como Iberdrola, Repsol, CaixaBank,
• Exigencia de que exista un sistema de gestión
BBVA, Mutua Madrileña, Grupo Planeta, de Compliance;
Generali, Legalitas, Alcampo, Citibank, Societe
• Incluir el derecho de resolución de la relación
General, Coca-Cola (Asturbega y Casbega)185y contractual en caso de incumplimiento de lo
muchas otras, lo que ha supuesto no sólo indicado anteriormente.
consecuencias reputacionales, sino también
La propia UNE 19601:2017 reconoce que, en
penales.
ocasiones, la organización no tendrá́ suficiente
influencia para incluir estas cláusulas en contratos
Fase de formalización y/o
con socios de negocio.
contratación
Si finalmente se firma un contrato en ausencia de
La etapa de formalización tales cláusulas, este hecho debería ser considerado
de la relación (laboral o como un factor en la evaluación del riesgo que
mercantil) o contratación supone dicha contratación. De hecho, las reticencias
sólo tiene sentido cuando de un proveedor a firmar ciertas cláusulas deberían

ser consideradas como un indicador de riesgo.
los antecedentes de la
persona (física o jurídica) estén alineados con
los valores de la organización y los objetivos En esta fase del procedimiento el tercero en
de Compliance. cuestión deberá asumir contractualmente,

dichos valores y objetivos. Un ejemplo sería
la inclusión de cláusulas contractuales, por
La fase de formalización de la relación ejemplo, exigiendo a un proveedor formar
según Norma UNE 19601:2017
a sus empleados (los que vayan a prestar el
La organización debe incluir en sus relaciones servicio a la empresa) en materias tales como
contractuales los contratos cláusulas orientadas a el cumplimiento de los derechos humanos o
reducir el riesgo penal con socios de negocio que prevención de la corrupción.
supongan un riesgo penal “superior” a “bajo” (tras
realizar el correspondiente análisis). Muchas organizaciones reducen el
procedimiento de diligencia debida a esta
etapa de formalización, como si la mera
185 Decenas de medianas empresas de distintos sectores contra-
taron al comisario Villarejo www.elindependiente.com/politi- existencia de un documento legal que exija el
ca/2018/10/16/decenas-medianas-empresas-sectores-contrata-
ron-comisario-villarejo/ cumplimiento de determinados compromisos
por parte de un tercero fuera suficiente para producir alteraciones en su accionariado o

prevenir una mala praxis. estructura de dirección que pueden provocar
variaciones drásticas en su cultura y forma de
Así pues, esta fase no tiene sentido si no se
hacer negocios.
han aplicado con carácter previo los filtros o
procedimientos de selección explicados en el Puede suceder, por ejemplo, que una persona
epígrafe anterior. u organización evaluada en el momento
de formalizar la vinculación y clasificada
El objetivo de esta fase no es otro que dificultar,
entonces como “perfil bajo”, deba ser
mediante la suscripción de compromisos
clasificada más adelante como perfil de riesgo
legales, la existencia o mantenimiento
alto, o viceversa. Para que este mecanismo
de determinadas relaciones de negocio
resulte viable vuelve a ser necesario que
o laborales contrarias a los objetivos de
la determinación de la periodicidad de la
Compliance de la organización, aun cuando
reevaluación se realice con un enfoque
afecten a personas que hayan superado los
basado en el riesgo.
filtros previos de selección.
Esta fase es un refuerzo de la anterior y el Ejemplo: Reevaluación y seguimiento de

mecanismo de prevención en este caso, no empleados
reside en un análisis del perfil o antecedentes
Se aconseja obtener una confirmación periódica
de un tercero, sino en la naturaleza de la
de los compromisos de los empleados (recabando
relación y el establecimiento de determinados su compromiso con código ético y de conducta
compromisos de cumplir con ciertos anualmente, por ejemplo) y el establecimiento
requisitos. La naturaleza de las cláusulas de indicadores de riesgo (KRI) y desempeño (KPI)
podrá variar en función del perfil de riesgo que permitan monitorizar su alineamiento con
del tercero con el que se establece la relación los objetivos de Compliance y su adhesión a las
(una vez más: enfoque basado en el riesgo). políticas y procedimientos internos para cumplir
con dichos objetivos.
Fase de reevaluación y seguimiento
Este seguimiento debe completarse con:
El seguimiento de las • Un mecanismo de medición del perfil de riesgo

personas que ha (según puesto o labor desarrollada)
normalizado una relación
• Un programa o plan de remuneración a
con la organización es empleados (o proveedores de servicios) que
fundamental para contribuir incentive las conductas adecuadas.
a la eficacia del sistema de Compliance, ya
• Mecanismos correctivas (medidas que permitan
que las circunstancias o conductas de dichas
modificar los procedimientos establecidos
personas pueden variar con el transcurso del
o establecer nuevos para reducir o mitigar
tiempo, y en consecuencia, el nivel de riesgo. riesgos).
Esto es especialmente aplicable en el caso • Mecanismos de reacción (régimen disciplinario),

de personas jurídicas, ya que se pueden si el seguimiento detecta incumplimientos
y conductas contrarias a los protocolos competencias” debe entenderse con un

y procedimientos establecidos por la significado extenso. No se limita a la formación
organización. Las medidas disciplinarias deben
técnica sino también a la alineación con los
ser proporcionales a las conductas detectadas y
compromisos asumidos por la organización.
propiciar un sentido de “justicia organizacional”
(aplicación coherente y trato equitativo).
La diligencia debida en su proyección interna
Estas medidas se han de contemplar desde la
debe hacerse, como ya hemos insistido con
perspectiva de dar valor a las normas internas
vulneradas y garantizar que dicho valor es anterioridad, con un enfoque basado en el
respetado. riesgo, identificando previamente aquellos
colectivos susceptibles de participar en
Tanto el procedimiento de seguimiento periódico
como el de medición de perfil de riesgo deben actividades que impliquen un riesgo de
respetar lo establecido en el marco legal de Compliance mayor que bajo y aplicar distintos
aplicación, especialmente la normativa laboral (en niveles de exigencia a la hora de recabar
este punto, existirá una coordinación entre los información y realizar comprobaciones en
equipos de Compliance y RRHH). función del nivel de riesgo.
8.5.3. Proyección interna: Diligencia Contratación negligente

debida en la selección y promoción
Es esencial conocer hasta dónde se puede llegar en
de personal
las comprobaciones a candidatos a empleados en
función de la jurisdicción.
La proyección interna de los procedimientos
de diligencia debida implica aplicar dichos En algunos países se requiere, para llevarlas a cabo,
procedimientos o protocolos a la selección el consentimiento informado previo del candidato,
de las personas que se incorporan a la lo que constituye una buena práctica en todo caso.
organización- normalmente en régimen Por otro lado, es habitual que los departamentos
laboral- desde una perspectiva de Compliance. de Compliance con responsabilidad sobre varias
jurisdicciones tomen como referencia y extiendan a
El objetivo es cerciorarse de que las las demás el procedimiento más exigente de todas
personas de la organización disponen de las ellas. Sin embargo, en ocasiones esto no es posible,
competencias necesarias para desarrollar debido a que existen comprobaciones que, siendo
su trabajo y asumir sus obligaciones ilegales en unas jurisdicciones, no llevarlas a cabo
de Compliance. Y ello hace referencia a en otras puede suponer un riesgo adicional.
cualquier persona que, bajo el control de la Así, por ejemplo, en España sería ilegal (en general)
organización, realizan un trabajo que afecta solicitar a un candidato sus antecedentes penales.
al desempeño de Compliance. Abarca por En cambio, en el estado de Florida (EE.UU) no
tanto también a quienes se encuentran en la sólo sería aconsejable, sino que, de no hacerlo,
la organización contratante se arriesgaría a ser
primera línea de defensa y no solo a quienes
responsable de cualquier daño a terceros causado
ocupan funciones en la segunda o tercera.
por su empleado en el ejercicio de sus funciones,
si éste contaba con antecedentes penales previos
Por otro lado, la expresión ”disponer de las
relacionados con el delito o daños producidos. Esto
se debe al concepto de contratación negligente positivos (asistencia a cursos, participación en

(negligent hiring). comités que evalúan o gestionan riesgos de
La ley de ese estado (2012 Florida Statutes, Title cumplimiento, etc.) y negativos (generación
XLV, Chapter 768, Section 096) presume que no de riesgos de incumplimiento, inobservancia
existirá negligencia en la contratación “(…) si, antes de procedimientos de la empresa, etc.), cuyo
de contratar al empleado, el empleador realizó una balance debería determinar también si una
investigación de los antecedentes del posible empleado promoción o ascenso procede o no.
y la investigación no reveló ninguna información que
demostrara razonablemente la inadecuación del
posible empleado para el trabajo particular a realizar Paquetes de bienvenida (welcome packs)
o para el empleo en general (…)”. en los procesos de diligencia debida para
nuevas incorporaciones
Si esta diligencia debida no se puede demostrar,
la organización asumirá la responsabilidad que, En el plano laboral, puede desempeñar un papel
en otras circunstancias, sería únicamente del importante el contenido de la habitual carpeta o
empleado. paquete de bienvenida y el modo en que se decide
tanto su contenido como se gestiona su entrega.
Forma parte de este procedimiento revisar,
Desde una perspectiva de prevención, exigir al
por ejemplo (en cumplimiento del marco
inicio de la relación laboral la firma por parte del
legal que sea de aplicación), los antecedentes
empleado de un compromiso de cumplimiento con
de los candidatos. Hay que tener en cuenta
lo establecido en el código ético y de conducta de la
que, en función de la legislación aplicable, ya
organización, contribuye a enfatizar la integridad y
que puede existir normativa en materia de
conducta ética como una norma común y aceptada
contratación, privacidad o no discriminación de comportamiento en la organización (las
que limite el alcance de la información que personas orientan sus acciones de acuerdo con su
puede recabarse (por ejemplo, restricciones percepción sobre el comportamiento considerado
para obtener certificados de antecedentes aceptable dentro de su entorno social)
penales) o, incluso, haya comprobaciones
Los valores generales, el lenguaje utilizado y los
obligatorias.
ejemplos proporcionados deben poder activar
Sin embargo, en general no suelen existir y recordar al destinatario su propio punto de
restricciones para recopilar y valorar con referencia moral. El impacto en el empleado será
objetividad información exhibida pública y aún mayor si los valores, el lenguaje y los ejemplos
voluntariamente por el propio sujeto en RRSS utilizados son personalmente significativos.
u otras fuentes abiertas de información. Behavioural insights for public integrity, harnessing
the human factor to counter corruption, Public
En el ámbito de la promoción de los empleados, Governance Reviews,
además del desempeño profesional, la OCDE (2018)
organización deberá tener en cuenta una serie

de factores para decidir sobre una promoción
del empleado o directivo: los indicadores
8.5.4. Proyección externa: Todo ello hace posible que organizaciones

Diligencia debida en las relaciones reputadas puedan verse afectadas –
comerciales o de negocio. económica y/o reputacionalmente- por la
conducta de los terceros con los que se
Las organizaciones comprometidas realmente vinculan, dando lugar a lo que coloquialmente
con una gestión responsable de sus actividades se conoce como riesgo de “contaminación” o
no sólo tratan de cumplir con la ley y los “contagio”. Los procedimientos de diligencia
compromisos éticos asumidos para realizar debida, en su proyección externa, tratan de
sus actividades de negocio, sino también de prevenir estos riesgos, evitando la tolerancia
que dichos compromisos sean respetados por ante comportamientos contrarios a los
los terceros con los que se vinculan. fundamentos de Compliance, desarrollados
por terceros.
Rara vez en organizaciones con notoriedad
se desarrollan directamente conductas En este sentido, debe tenerse en cuenta
radicalmente contrarias a sus propios valores. que, según el informe de la OCDE186 sobre el
Cuando se producen, suelen canalizarse a Cohecho Internacional en “tres de cada cuatro
través de terceros independientes. casos de cohecho internacional se realizaron
pagos a través de intermediarios”.
En el ámbito del soborno, por ejemplo, es
sabido que la mayor parte de los casos A diferencia de los procedimientos de diligencia
investigados implica a terceros interpuestos, debida de proyección interna, que suelen
que, bajo el halo de una legítima colaboración gestionarse por un número relativamente
profesional, canalizan parte de los acotado de áreas (normalmente RRHH),
emolumentos percibidos a pagos ilegales. los de proyección externa pueden residir
en diferentes ámbitos de la organización.
En la voluntad de evitar la impunidad de
Además, podemos distinguir tres ámbitos o
quienes realmente los promueven, cada
alcances: clientes, proveedores o socios de
vez más normas persiguen explícitamente
negocio.
modalidades de comisión indirecta, esto es,
a través de terceros que reciben calificación Diligencia debida de clientes
jurídica diversa: business partners (FACTA),
associated parties (UK Bribery Act), business El riesgo cliente o upstream procede de
associates (ISO 37001) o partes asociadas quienes se vinculan con la organización por
(PNE 307101). ser destinatarios de sus bienes y/o servicios.
Guarda relación, por lo tanto, con el modo
Lo mismo es predicable respecto de otras en que clientes los utilizan con fines o en
conductas contrarias a valores generalmente contextos contrapuestos a los compromisos
admitidos en la comunidad empresarial, o valores de la organización.
como el rechazo a modalidades de trabajo
inapropiadas, incluyendo el trabajo infantil o
186 Informe de la OCDE sobre Cohecho Internacional. Análisis del delito
el trabajo esclavo. de cohecho de servidores públicos extranjeros.
Los clientes de una empresa pueden • Proceso de contratación: Un adecuado

desarrollar malas praxis que la afecten no sólo proceso, estableciendo cláusulas dentro
desde la perspectiva civil o administrativa, sino de las condiciones generales de los
incluso la penal. La organización puede verse contratos relativas a la veracidad de la
implicada en la extensa cadena de participación información suministrada y compromiso
en un delito, incluidas las modalidades de con la legalidad en el uso de los productos
colaborador necesario o encubridor. o servicios contratados. Evidentemente,
se evitará el mantenimiento de relaciones
Por eso, conocer a los clientes es un proceso
de negocio inapropiadas a los objetivos de
de negocio que justifica las políticas y
Compliance, aunque vengan solicitadas
procedimientos de KYC (Know Your Customer).
por clientes que hayan superado los
Hay quien erróneamente considera que
procedimientos de aceptación.
estas cautelas incumben exclusivamente
a organizaciones obligadas legalmente • Seguimiento: De la evolución del cliente,
a disponer de ellas, como les sucede en actualizando y valorando periódicamente
muchos países a los sujetos obligados por la información que determinó su
la normativa en materia de prevención del aceptación, y actuando en consecuencia.
blanqueo de capitales y la financiación del
Diligencia debida de proveedores
terrorismo, por ejemplo. Pero conocer con
quien nos relacionamos es un ejercicio que El riesgo proveedores (downstream) está
todos realizamos en nuestra esfera personal, asociado con la conducta de quienes facilitan
y que no tiene sentido desatender en el bienes y servicios a la organización para
entorno de los negocios. integrarlos en su cadena de valor, esto es, a
sus proveedores.
En este sentido, es importante definir el
procedimiento de alta de clientes en la A diferencia de lo que sucede en el
organización y determinar quiénes son sus caso anterior (clientes), la capacidad de
responsables. A partir de ahí, se debe verificar supervisión sobre los proveedores suele ser
si se cubren las tres etapas de diligencia mayor, brindando opciones de control que
debida. Por ejemplo: difícilmente se pueden imponer a clientes.
• Incorporación o aceptación de clientes:
Así, el seguimiento de proveedores puede
Un adecuado proceso de aceptación
ser más exhaustivo cuando, por ejemplo,
en el que se valore información pública
queda contractualmente obligado a ciertas
no circunscrita al análisis de su salud
revisiones o auditorías.
financiera, sino también de antecedentes
frente a las administraciones Los procedimientos de diligencia debida de
(especialmente judiciales), involucración proveedores tratan de asegurar que la cadena
en reclamaciones o escándalos, o de suministro está alineada con los objetivos
cualquier otra que pueda cuestionar la de Compliance y ESG de la organización,
información facilitada por el cliente. circunstancia clave cuando se interactúa
en jurisdicciones tolerantes con prácticas Diligencia debida lateral: socios de

inadecuadas en ámbitos medioambientales, negocio
de corrupción y condiciones de trabajo. Ha de
definirse un procedimiento de homologación El riesgo lateral se puede generar en las
y alta de proveedores de la organización, así relaciones con terceros que operan en igualdad
como de identificación de los responsables de condiciones con la organización. Son socios
de ejecutarlo. de negocio o colaboradores con los cuales se
pretenden objetivos comunes frente a terceros.
De nuevo, deben concurrir las tres etapas de
En esta categoría se hallarían los socios en
diligencia debida. Es decir:
“joint ventures” (societarias o contractuales),
• Selección proveedores adecuada, empresarios en régimen de colaboración
donde se valore información pública comercial, agentes, asesores, comisionistas,
no circunscrita al análisis del precio o grupos de cabildeo o presión, etc.
la calidad de sus productos o servicios,
sino también antecedentes frente a Una parte de este colectivo constituye una
las administraciones (especialmente fuente de riesgo a considerar por diversas
judiciales) o involucración en razones. Una de ellas es la creencia de que,
reclamaciones o escándalos corporativos. siendo empresarios independientes, no cabe
adoptar medidas de control sobre ellos.
• Contratación, fijando, dentro de las
Aunque son conocidas las restricciones a
condiciones generales, cláusulas
atentar contra la autonomía de un empresario
adecuadas y relativas al sometimiento de
valores adecuados (desde los Principios independiente, tal circunstancia no debe
Global Compact de la ONU187 hasta los convertirse en la excusa perfecta que ampare
valores recogidos en el código ético). De la ignorancia deliberada (ceguera voluntaria)
hecho, cuando el peso de los proveedores en cuanto a las conductas que desarrollan.
es relevante en las actividades de la
Otro motivo para extremar precauciones
empresa, se llega a disponer de un
es que el nivel de control sobre “joint-
código ético especial para ellos, donde
ventures” donde participan otros socios,
únicamente se abordan las materias que
puede llegar a ser inferior al que desarrollan
son de su incumbencia y al que se obligan
individualmente cada uno de ellos. Esta
contractualmente. Además, se regula
cómo se verificará su cumplimiento o situación es especialmente patente cuando
incluso las necesidades de formación. ningún socio dispone de una posición clara de
dominio en materia de toma de decisiones. Si,
• Seguimiento: De la evolución del
además, su nivel de sensibilidad en materia
proveedor, actualizando y valorando
de Compliance es dispar, aumenta el riesgo
periódicamente la información que
de que las malas praxis prevalezcan sobe las
condicionó su selección, actuando en
correctas.
consecuencia.
Debe definirse un procedimiento de
187 Para más información consultar: www.pactomundial.org/cate-
gory/aprendizaje/10-principios/ aprobación de relaciones de negocio con
terceros, así como a las personas que se En el ámbito del ejercicio de los procedimientos
ocuparán de él. Debe contrastarse también de diligencia debida (tanto los de proyección
aquí la concurrencia de las tres etapas de interna como externa), las aproximaciones
diligencia debida: basadas en el perfil de riesgo consisten en
condicionar el trato que se dispensa a una
• Selección de socios de negocio:
persona o entidad (incluido el nivel de control
Una adecuada selección, valorando
antecedentes frente a las administraciones sobre ella) de acuerdo con su perfil de riesgo,
(especialmente judiciales) o involucración el cual se infiere de ciertos indicadores.

en reclamaciones o escándalos.
Si se quiere promover una cultura de
• Salvaguardas contractuales: La inclusión Compliance se debe premiar y fomentar
de salvedades contractuales suficientes, las conductas alineadas con ella, y corregir
incluyendo el rechazo a conductas las que no lo están. Esta premisa es válida
contrarias a Compliance, la asunción de tanto para empleados, como para terceros
compromisos de vigilancia y control, y la que se vinculen con la organización, y
posibilidad de ser objeto de auditoría o su implementación práctica dará lugar a
verificación. mecanismos de medición del perfil de riesgo
• Seguimiento de la relación: En particular, que permitan evaluar a unos y otros, y
de la evolución del socio de negocio, adoptar después las medidas que procedan
actualizando, valorando periódicamente para premiar o repudiar sus conductas.
la información que determinó su elección,
y actuando en consecuencia. Actividad en zonas de riesgo
Procedimientos de medición y Si la organización opera en regiones proclives a

segmentación del perfil de riesgo los riesgos de Compliance (debido, por ejemplo, a
la ausencia de cultura de respeto hacia derechos
Los procedimientos de diligencia permiten
básicos o a prácticas corruptas generalizadas),
detectar y clasificar el nivel de riesgo que se espera que las organizaciones situadas fuera
entraña mantener determinadas relaciones de esos perímetros desempeñen un rol activo en
o situaciones desde una perspectiva de mejorar la situación y contribuyan al progreso de las
Compliance. condiciones locales. De hecho, suele ser un objetivo
presente en sus Códigos Éticos o de Conducta
Tal circunstancia puede implicar decisiones
que, cuando se incumple, puede ocasionar daños
drásticas: las Líneas Directrices para
reputacionales y también económicos.
Empresas Multinacionales de la OCDE (1999)
consideran una respuesta apropiada ante Es aconsejable que los planes de acción derivados
terceros suspender la relación contractual de los procedimientos de diligencia debida se
con ellos hasta que se consiga mitigar su documenten. Esto permitirá monitorizar su nivel de
ejecución y disponer de evidencias documentales
riesgo, o discontinuar la relación cuando lo
acreditativas del buen hacer de la organización
anterior no resulte posible188.
(principio de información documentada).
188 OCDE (2011), Líneas Directrices para Empresas Multinacionales.
Medición del perfil de riesgo 8. Hitos del plan de acción.
interno 9. Responsables de la ejecución del plan de acción,

distinguiendo por hitos.
La organización debe contar con métodos
10. Estado actual de ejecución del plan y etapas,
destinados a comprobar que el trabajador no
actividades o pasos pendientes.
solo acepta los valores éticos de la compañía,
11. Documentos vinculados al plan.
sino que los cumple y promueve. Algunos
12. Valoración de la efectividad del plan.
ejemplos podrían ser:
• Confirmación de la realización de
Medición del perfil de riesgo
cursos de formación periódicos sobre
externo
cumplimiento ético y prevención penal –
presencial u online. En el momento de formalizar la vinculación
jurídica con una persona u organización, se
• Ausencia de sanciones disciplinarias.
debe pensar en mecanismos que amparen
• La comunicación de algún una posterior validación o confirmación
comportamiento sospechoso mediante el de la información que facilitó inicialmente.
canal de denuncias. A continuación, se desarrollan algunas
opciones:
Contenido de un Plan de acción
• La confirmación periódica de la
Aunque varían en función de la organización, la información facilitada inicialmente por
siguiente información deberían encontrarse en
parte del sujeto implicado. Suele ser una
cualquier plan de este tipo:
cautela para sujetos de bajo riesgo.
1. Naturaleza de la incidencia. Puede establecerse
una taxonomía, para efectos estadísticos, de • La autoevaluación periódica del propio
seguimiento y control. sujeto sobre la base de una batería
2. Descripción de la incidencia, facilitando de preguntas. Puesto que este control
información que permita su adecuado descansa nuevamente en la credibilidad
conocimiento. del sujeto que se autoanaliza, sólo es
3. Forma o canal de conocimiento de la incidencia, recomendable frente a perfiles de riesgo
que permitirá valorar la eficacia de dichos bajo.
canales.
• La verificación periódica de las cualidades
4. Entidad jurídica en cuyo seno se ha producido
la incidencia, identificando a la línea de negocio del sujeto por la organización que
afectada. pretende vincularse con él o por una
5. Departamento o Área en la que se ha generado. tercera parte independiente. Es una
cautela frecuente en los procedimientos
6. Personas relacionadas con la incidencia y su
papel en ella. de diligencia debida de proyección
externa, y es muy recomendable que
7. Plan de acción establecido para mitigar la
incidencia. conste expresamente en la relación
contractual (el derecho a realizar
auditorías recogido como cláusulas de los

contratos). Esta modalidad es frecuente
en perfiles de riesgo superior a bajo.
Segmentación por perfiles de

riesgo
Cuando se trabaja con poblaciones muy

extensas de sujetos, aplicar los mismos
procedimientos de diligencia debida a todos
ellos puede ser un propósito inalcanzable.
Siguiendo un enfoque basado en el riesgo,

se deben segmentar los colectivos según su
perfil de riesgo y aplicar procedimientos de
diligencia debida diferentes según proceda:
más livianos ante sujetos o circunstancias
de menor riesgo, pero más complejos y
exigentes en los de mayor riesgo.
Un enfoque basado en el riesgo requiere que

se reevalúen aquellas relaciones que más
exponen a la organización (riesgo más alto).
Se recomienda elaborar un plan de acción
para priorizar la reevaluación de registros y
priorizar los grupos que entrañan un mayor
riesgo.
• Las organizaciones se gobiernan a través de un sistema normativo. Entre las normas que
conforman ese sistema, debe existir una estructura, una jerarquía definida, donde las normas
de rango inferior deben alinearse con las de rango superior. En la cúspide, la norma cero, de la
que parten el resto, comenzando su desarrollo desde las políticas de alto nivel y descendiendo
en rango hasta las instrucciones o denominación equivalente, de acuerdo con los usos de cada
organización.
• Aunque aparentemente intercambiables o sinónimos, “código ético” y “código de conducta”

son dos documentos diferentes, tanto por enfoque (más en aspectos éticos el primero;
adoptando un enfoque más normativo el segundo), como por contenido (principios y valores
vs normas de conducta), ámbito (general vs específico), extensión (breve vs más extenso) o uso
(guía moral vs guía conductual).
• Cabe distinguir entre política, como declaración de normas que los empleados deben seguir,
clara y sencilla de entender; y procedimiento, como documento que detalla los métodos
utilizados para poder dar cumplimiento a las políticas en el día a día.
• Parte del sistema normativo debe estar alineado con la legislación vigente en la jurisdicción de
la organización. Pero existen otras normas de la organización que no proceden de la imposición
exterior, sino que forman parte de la autorregulación, es decir, la capacidad que tiene una
entidad u organización para regularse a sí misma. La autorregulación debe entenderse como la
voluntaria adhesión de una organización a unas normas no impuestas ni obligatorias.
• Parte de la normativa interna está orientada a evitar y gestionar los denominados conflictos
de intereses. Estos conflictos se dan cuando un empleado de una organización se enfrenta
a situaciones en las que un interés propio interfiere o puede interferir con su capacidad para
actuar de acuerdo con el interés de otra parte, cuando exista una obligación de actuar en
beneficio de esa parte.
• Los conflictos de intereses pueden estar condicionados o generarse por factores externos
(circunstancias ajenas a la entidad, como vínculos familiares, económicos o de otra naturaleza),
o factores internos (generados por circunstancias organizativas y de gestión interna, como
dependencias jerárquicas inadecuadas, concurrencia de actividades o responsabilidad que
entran en conflicto, deficiente diseño de sistema de remuneración o incentivos, etc).
• Toda organización debería contar con una política de gestión de conflictos de intereses, de la
que formen parte, como mínimo, los siguientes elementos: forma de comunicación y registro
de conflictos de intereses; ámbito de obligación de abstención y difusión a los empleados;
definición y detalle de los mecanismos de gestión de los conflictos de intereses.
• Igualmente, la normativa interna incluye políticas y procedimientos que regulan una actividad
cada vez más esencial, como es la diligencia debida. Dependiendo del contexto, puede
tener varios significados, pero se puede entender como un proceso operativo de obtención y
valoración de información que contribuye a la evaluación de riesgos.
• La diligencia debida consta de tres etapas secuenciales, cada una de las cuales otorga sentido a
la siguiente: selección y evaluación, formalización de la relación, y seguimiento y reevaluación.
Esto es debido a que la diligencia debida es un proceso de naturaleza dinámica y continua, que
no finaliza mientras exista la relación entre las partes, puesto que las circunstancias de cada
una son susceptibles de variar a lo largo del tiempo.
Módulo 9
Canales de denuncia
e investigaciones
MÓDULO 9 • CANALES DE DENUNCIA E INVESTIGACIONES
Módulo 9 valorar la cultura ética en una organización es

precisamente cuando nadie está mirando.
Canales de denuncia e En la búsqueda de este entorno ideal, uno
investigaciones de los valores que más retroalimentan
esta cultura ética es la proactividad de sus
Objetivos miembros.
Tras completar este módulo, el alumno En este sentido, la existencia de políticas,

procedimientos y controles destinados a
prevenir, detectar y gestionar las conductas
• Conocer la evolución y definir los conceptos clave
de sus empleados es una evidencia trazable
de los canales de denuncia de irregularidades:
denuncia y denunciante. de que la organización premia y facilita a los
miembros alineados con sus valores, sea
• Identificar los referentes de la evolución
normativa en España y la UE. a través de beneficios, sea simplemente a
través de la ausencia de sanción alguna por
• Describir el contenido relevante de la Directiva
2019/1937. su desempeño profesional.
• Diferenciar los diferentes tipos de canales de

Del mismo modo que es importante valorar
denuncia.
en su justa medida a los miembros alineados
• Distinguir las fases de la gestión de canales de
con los valores de la organización, es igual
denuncia.
de importante que aquellos que priman sus
• Identificar las medidas de protección del
intereses individuales por delante de los
denunciante y denunciados, así como otros
relacionados con la denuncia. valores de la organización no se beneficien
de esta situación, generando una sensación
• Comprender los beneficios de disponer de un
canal de denuncias interno. de impunidad que, en el mejor de los casos,
cuestionará la voluntad de la organización
• Conocer la ISO 37002, identificar los elementos
fundamentales y sus características principales. de mantener unos valores y principios,
aunque sea a costa de evitar determinadas
oportunidades de negocio.
9.1. Introducción
Las organizaciones deben promover
El cometido de la función de Compliance
entornos donde las conductas de
no radica en contribuir a un entorno de
cumplimiento deriven de un acto
obediencia ciega a normas e instrucciones
consciente y no de una disciplina
implantadas en la organización, sino a formar
sujetos que las comprendan y puedan dirigir
irreflexiva o el temor a la sanción.
rectamente sus decisiones.
La interiorización de esta actitud se impulsa,
Si bien el control sobre las conductas de los en un primer momento, con formación
miembros de la organización es necesario, y sensibilización recurrente por parte de
lo cierto es que el momento idóneo para la organización a todos sus miembros. Es
fundamental entender, al formar parte de personas jurídicas en España ha ganado

una organización, qué se espera de cada protagonismo la necesidad de establecer
miembro en el ejercicio de su profesión, bajo toda clase de vías para detectar actividades
qué criterios debe actuar y qué debe hacer en constitutivas de delito y medidas para
caso de duda. generar, mantener o incrementar el tono
ético empresarial.
Si esta sensibilización va unida a la percepción
de los nuevos miembros de la organización de 9.2. Denuncia de
que los valores predicados como propios por irregularidades: antecedentes
la organización son respetados y seguidos, y definiciones
estos se alinearán rápidamente con el resto,
creando un ambiente de “buen hacer” que La denuncia de irregularidades en el seno de
genera una presión frente al incumplimiento. las empresas u organizaciones de cualquier
tipo ha sido un asunto que ha afectado y
Una organización en la que la cultura de afecta profundamente a la cultura ética de
cumplimiento ha permeado correctamente las organizaciones, a su reputación y a cómo
dispone de está compuesta por personas son percibidas.
que no solo van a guiar sus comportamientos
tomando como base los valores de la Denuncia de irregularidades
organización, sino que van a fomentar que (whistleblowing)
otros miembros también lo hagan, y evitar
“Es el acto de informar sobre la sospecha de una
que otros caigan en comportamientos
infracción o el riesgo de una infracción”.
deshonestos.
“Información sobre sospechas de irregularidades o
Ante las evidentes dificultades prácticas que irregularidades reales aportada por un denunciante”.
tendría el hecho de que un miembro de la
UNE-ISO 37002
organización pudiera decidir por su cuenta Sistemas de gestión de denuncia de irregularidades
qué comportamientos están alineados con
los valores de la organización.
Tradicionalmente, cualquier denuncia interna
Se plantea, por tanto, la necesidad de que pudiera implicar costes o pérdidas, o
disponer de vías a través de las cuales los asumir por parte de la organización que se
miembros puedan solicitar información o había producido un comportamiento ilegal
consejo sobre determinadas situaciones o o reprochable, era silenciad, eliminado o
sobre la interpretación de los valores de la simplemente desatendido.
organización, así como, en su caso, poner de

En caso de ser identificado, el denunciante
manifiesto aquellas situaciones que puedan
habitualmente sufría todo tipo de represalias
ser constitutivas de alguna irregularidad.
(ver caso de estudio XI).
Ni que decir tiene que en el contexto del Como se puede apreciar de la definición de
régimen de responsabilidad penal de las la ISO37002, la denuncia de irregularidades
incluye tanto la sospecha como el riesgo, lo Denunciante de irregularidades

que refuerza la idea mencionada a lo largo (whistleblower)
de este material acerca de Compliance como
“Persona que informa sobre sospechas de
una función de gestión de riesgos.
irregularidades o sobre irregularidades reales y tiene
una creencia razonable de que la información es
verdadera en el momento de informar”.
UNE-ISO 37002
Sistemas de gestión de denuncia de
irregularidades
Una gran parte quizá mayoritaria, de

los mayores casos de corrupción suelen
iniciarse por algún tipo de denuncia o
información facilitada por una fuente con
acceso a información interna (empleados, ex
empleados, proveedores, antiguos socios, etc)
o bien de familiares o allegados de éstos. La
propia ISO 30072 que veremos más adelante
en este módulo, indica al respecto que:
“los estudios y la experiencia demuestran

que una gran proporción de irregularidades
llega al conocimiento de la organización
afectada a través de la información que
Origen y evolución del concepto anglosajón de whistleblower. proporcionan personas de dentro de la
Fuente: Professional Evaluation and Certification Board (PEBC) organización o cercanas a la misma”.
No obstante lo anterior, la definición dada en En general, es muy complicado que actividades

el cuerpo de la norma, en su epígrafe 3, se como la corrupción u otros comportamientos
centra en la información, que constituye el ilícitos pasen desapercibidos o sólo sean
núcleo sustantivo de la una denuncia y que conocidos por los perpetradores. Además,
quedará sujeto a la evaluación como paso es un hecho contrastado en diversos
necesario en su gestión e investigación. ámbitos (terrorismo, violencia doméstica,
acoso laboral, etc) que el establecimiento,
Sin embargo, no podemos olvidar el otro
publicidad y fomento del de canales o vías
aspecto clave: el informador o denunciante,
de denuncia incrementa notablemente la
sin duda el más importante elemento a
concienciación, la obtención de información
proteger.
relevante y, como consecuencia, facilita la
labor investigativa.
Recordemos casos como el Watergate Tampoco habrían debido sufrir las

(vinculado íntimamente al origen de la función consecuencias y represalias laborales,
de Compliance), originados tras la confidencia reputacionales o amenazas a su seguridad
de un agente del FBI a unos periodistas del derivadas de sus denuncias. Y es que la
Washington Post. protección del denunciante está en el centro
mismo de la normativa y gestión de los
Sobre la misma época (principios de los 70)
canales de denuncias como responsabilidad
tenemos el caso de Stanley Adams (Comisión
superior.
Europea y Roche), que se describe en el caso
de Estudio XI. En años posteriores, podemos El legislador ha querido, con la normativa
recordar varios escándalos corporativos ya que desarrolla los canales de denuncia, hacer
mencionados en este material, como los partícipes a todas las partes interesadas
denunciados por Sherron Watkins (Enron) o (empleados, clientes, proveedores, etc),
Cynthia Cooper (Worldcom) o los de Hervé en la mejora de la gobernanza de las
Falciani (evasión fiscal facilitada por el HSBC) organizaciones, tanto públicas como privadas.
y el del anónimo John Doe (Papeles de Somos testigos del inicio de una nueva
Panamá). época en la que se facilitará la denuncia
de irregularidades mientras se asegura la
En España sucede algo similar. Un simple
protección al denunciante.
repaso por los casos de corrupción más
sonados de los últimos años revela la
participación de denunciantes e informantes:
Gerardo Gimeno (Púnica), Xavier Colinas
(Palau), Pedro Sánchez Cuerda y José Ignacio
de Rojas (casos Mercasevilla y ERE), Montse
Gasull (caso 3%), Ainhoa Alberdi (caso de
Miguel). Los ejemplos son numerosos, como
lo es también el perfil de los denunciantes
(proveedores, clientes, ex empleados, etc).
Sin embargo, todos estos casos tienen en

común la desprotección y la exposición de
los denunciantes, cuya identidad se ha hecho
pública o han debido hacer pública para
realizar la denuncia. Posiblemente no era
el deseo de los denunciantes de los casos
citados el exponerse pública en los medios,
sino más bien lo contrario (como fue la
expresa voluntad en los casos de Mark Felt o
Stanley Adams).
Caso de estudio XI: Stanley Adams y la necesidad de prevenir las represalias
Actualmente se tiende a ver a la Unión Europea (y a su predecesora, la Comunidad Económica

Europea o CEE) como paradigma de la defensa de los valores democráticos, de la protección de los
derechos y libertades individuales, de los derechos de los consumidores, de la libre competencia,
etc, No obstante, su devenir histórico guarda también algunas sombras.
A principios de la década de los 70 del siglo pasado, Stanley Adams (nacido Stanislao Formosa)
era un alto ejecutivo de origen anglo-maltés que trabajaba para la farmacéutica suiza Hoffmann-
La Roche (Roche), donde había ejercido puestos de responsabilidad en Europa y América Latina.
Después de varios años de ejercicio profesional en esta multinacional, Adams descubrió que su
empresa estaba involucrada en actividades de fijación de precios y otras infracciones que violaban
las leyes de competencia, las normas de la CEE y el acuerdo de libre comercio entre Suiza y la CEE.
Tras reflexionar sobre esta situación, decidió revelar los detalles del cártel y demás actividades
ilegales, infracciones, etc a las autoridades de la competencia de la Comisión Europea (CE) en
Bruselas. Para ello, el 25 de febrero de 1973 escribió una carta dirigida a Albert Borschette, un
diplomático luxemburgués que ostentaba el puesto de Comisario Europeo de Competencia en
aquellos años.
En su carta, Adams se identificó y explicó su denuncia. Reveló los pormenores y se ofreció a

proporcionar evidencias, quedando a disposición del Comisario Borschette y la CEE. No buscaba
nada a cambio o, al menos, expresaba claramente en la misiva su falta de interés en obtener beneficio,
reconocimiento o recompensa alguna de la CE: (…) “No busco ningún puesto en las instituciones de
la C.E.E., ni estoy interesado en recompensa de ninguna clase”). En la misiva al Comisario Borschette,
Adams sólo condicionaba su ayuda a mantener el anonimato, lo que le solicitaba textualmente: “(…)
le solicito que no permita que mi nombre se relacione con este asunto (…)”.
Pero la CE cometió una serie de gravísimas negligencias: permitió que un empleado de Roche
fotocopiase algunos de los documentos incriminatorios facilitados por Adams, los cuales le
señalaban como el denunciante. Por si no fuera suficiente, poco después, un empleado de la
CE confirmó a un abogado de Roche que Adams era el informante. Para finalizar, la CE tuvo
conocimiento de que las autoridades suizas habían abierto un proceso penal contra dos
empleados suyos y Adams, pero no se molestaron en alertarle.
La vida de Adams dio un vuelco completo: de denunciante a denunciado. Las autoridades suizas
ni le protegieron a él, ni la libre competencia, ni a los consumidores. No tomaron medidas contra
Roche. Detuvieron a Adams, acusándole y procesándole por robo y espionaje industrial. A su
esposa le advirtieron de que su marido se enfrentaba a una pena de 20 años de cárcel; ante esta
perspectiva, acabó suicidándose.
El caso Adams es el un triste recordatorio de la necesidad de proteger de las represalias a los

denunciantes. Como consecuencia directa de su denuncia Adams perdió a su esposa, su empleo,
su libertad y gran parte de su patrimonio en procesos judiciales. Ante las autoridades suizas
prevalecieron los intereses corporativos, siendo Adams finalmente condenado y llegando a cumplir
seis meses de prisión. Ya libre, denunció a Suiza y a la CEE, y tras 10 años de litigio, en 1985, acabó
recibiendo una indemnización de la CE de apenas 200.000 libras, alrededor de un 40% de sus
gastos en el proceso.
La Unión Europea, por su parte, aún tardaría más de 45 años desde la denuncia original en legislar
sobre el asunto, con la aprobación en 2019 (un par de años después del fallecimiento de Adams)
la Directiva UE 2019/1937, relativa a la protección de las personas que informen sobre infracciones
del Derecho de la Unión.
Con todo, quizá lo más sorprendente es la descripción del caso que, aún hoy, hace la propia
Roche en su página web, donde la autocrítica, asunción de una mala praxis o cualquier señal de
arrepentimiento brillan por su ausencia. El caso Adams se despacha en apenas dos líneas, de
pasada. Pero posiblemente lo más discutible sea cómo Roche se victimiza, al describir la acción
de Adams como una “filtración” de información confidencial y no como una denuncia de sus
actividades ilegales: “(…) en 1973, cuando salió a la luz un escándalo de colusión en los precios de las
vitaminas. Un empleado de Roche, Stanley Adams, había filtrado acuerdos confidenciales a la CE, [lo] que
desencadenó un escándalo que condujo a una acción legal por parte de la Comisión Europea en 1974”.
Fuentes:
• Blowing the final whistle, Nick Mathiason, 25/11/2001. The Guardian, www.theguardian.com/business/2001/
nov/25/businessofresearch.research
• The Price of Whistle blowing: the flawed ECJ Decision in Stanley Adams vs. Commission of the European
Communities (1985), David Fabri
• Página web de Roche. assets.cwp.roche.com/f/126832/x/c1785d186e/histb2016_d.pdf
9.3. Regulación de los canales protejan la identidad del denunciante e
de denuncias en España y en incluso, si se considera oportuno, permitan

su anonimato. El Código parte de que tales
la UE
mecanismos, se destinarán preferentemente
9.3.1. Antecedentes y evolución a la denuncia de irregularidades financieras
y contables y, sobre todo, que respetarán
En España, la implantación de mecanismos escrupulosamente las limitaciones
que imponen la obligación de informar establecidas en la Ley Orgánica de Protección
de posibles incumplimientos en las de Datos (...)”.
organizaciones tiene un origen anterior a las
reformas de 2010 y 2015 del Código Penal Posteriormente, en 2007, la Agencia Española
(CP), ya que la primera referencia a estos de Protección de Datos (AEPD) emitió un
mecanismos en el ordenamiento jurídico extenso informe189 a raíz de una consulta,
español se sitúa en el ámbito de las entidades en el que se refería, entre otras cuestiones,
cotizadas. a la legitimación para tratar los datos de los
intervinientes en el proceso, de las medidas
El artículo 50 del Código de Buen Gobierno
técnicas y organizativas necesarias a implantar
de las Sociedades Cotizadas, emitido por la
para que su funcionamiento responda a
Comisión Nacional del Mercado de Valores
las exigencias normativas españolas, y a
(CNMV) en 2006, decía que correspondía
algunas cuestiones específicas derivadas de
el Comité de Auditoría “establecer y
la aplicación de los principios relativos a la
supervisar un mecanismo que permita a los
protección de datos en las investigaciones
empleados comunicar, de forma confidencial
que se deriven de estas comunicaciones.
y, si se considera apropiado, anónima las
No obstante, descartaba expresamente la
irregularidades de potencial trascendencia,
posibilidad de denuncias anónimas (a pesar
especialmente financieras y contables, que se
de contradecir abiertamente el informe-
adviertan en el seno de la empresa”.
opinión del 2006 elaborado por el GT29 de
La CNMV lo justificaba del siguiente modo: 2006, que se comentará a continuación).
“(...) Como novedad procedente de la A nivel europeo, su existencia es ligeramente
Recomendación de la Comisión Europea anterior. En 2006, el Grupo de Trabajo creado
–inspirada a su vez, en la experiencia de al amparo de lo dispuesto en el artículo 29 de
EE.UU, Reino Unido, y otros países cuyas la Directiva 95/46/CE (conocido como GT29),
compañías tienen establecidos cauces emitió un informe-opinión190 analizando la

internos para que sus empleados puedan
denunciar irregularidades (Whistleblowing)–, 189 Informe 128/2007 sobre creación de sistemas de denun-
cias internas en las empresas y mecanismos de “whistle-
el Código recomienda que las sociedades blowing”.
cotizadas encomienden al Comité de 190 Dictamen 1/2006 sobre la aplicación de las normas de pro-
tección de Datos de la Unión Europea a los mecanismos
Auditoría el establecimiento y seguimiento internos de “whistleblowing” en el ámbito de la contabilidad
y los controles internos de auditoría, la lucha contra la esta-
de mecanismos de esa naturaleza, que fa y los delitos bancarios y financieros.
implantación de estos sistemas, derivados Con todo, su generalización en España

de la entrada en vigor de la Ley Sarbanes- fue posterior, produciéndose tras sendas
Oxley (SOX) en compañías europeas y filiales reformas del Código Penal (CP) en los
europeas de compañías sitas en terceros años 2010 y 2015, con la introducción de la
estados. No obstante, el objeto del informe responsabilidad penal de las personas
se limitaba a determinados ámbitos. jurídicas, como mecanismo para minorar
o incluso eximir de dicha responsabilidad.
Efectivamente, la SOX de 2002, nacida como Así, en su actual redacción el apartado 4º del
ya hemos tratado previamente como una artículo 31.bis 5 reza lo siguiente:
respuesta normativa a como respuesta a
una serie de escándalos financieros, disponía “Los modelos de organización y gestión
la obligación de las empresas sujetas a la […] impondrán la obligación de informar
norma de una vía de denuncia interna para de posibles riesgos e incumplimientos
empleados. al organismo encargado de vigilar el

funcionamiento y observancia del modelo
A través de esta vía o canal, el personal de prevención”.
debería tener la posibilidad de informar
En otras palabras, no basta únicamente con
sobre actuales o potenciales conductas
disponer de un modelo de organización y
delictivas, sin temor a represalias. Dichos
gestión efectivo, sino que es necesario que
mecanismos debían permitir el anonimato o
todos los empleados de la organización
la confidencialidad.
colaboren en la detección temprana de
El ámbito de aplicación de la SOX alcanza a aquellos riesgos que precisamente el modelo
todas las organizaciones filiales, asociadas de prevención penal trata de evitar.
o subsidiarias a una organización que esté
Como consecuencia, y aunque el CP no exija
inscrita en la “Securities Exchange Commision”
la implantación de un canal de denuncias
(SEC), lo que supone que sus exigencias se
en estos términos, el mecanismo habitual
extienden a empresas estadounidenses que
para cumplir con la obligación de informar
cuenten con filiales en territorio europeo,
de posibles incumplimientos será el
así como las empresas europeas que tienen establecimiento de dicho canal, que sirva
presencia en EE.UU. como vía de comunicación estable y accesible
para los empleados.
Por ello, y dejando a un lado las discusiones
acerca de la capacidad de EE.UU de legislar más Pero la regulación específica y concreta
allá de sus fronteras, su aplicación provocó de los canales de denuncia en la Unión
no pocas dudas entre las organizaciones en Europea se ha producido con la aprobación
territorio europeo y, especialmente, por su de la Directiva (UE) 2019/1937 del Parlamento
posible conflicto con la normativa europea en Europeo y del Consejo de 23 de octubre de 2019
materia de protección de datos. Precisamente relativa a la protección de las personas que
estas dudas fueron las que llevan al GT29 a informen sobre infracciones del Derecho de la
emitir el citado dictamen o informe-opinión. Unión (en adelante “Directiva 2019/1937”),
que reiteradamente nombraremos en los manera efectiva y siempre que el denunciante

diferentes apartados de este módulo. considere que no hay riesgo de represalias.
La Directiva 2019/1937 debía haber sido Asimismo, la Directiva establece la obligación

traspuesta al ordenamiento jurídico español de los EEMM de imponer sanciones efectivas,
antes del 17 de diciembre de 2021. El proporcionadas y disuasorias aplicables a las
Gobierno aprobó 191
y remitió a las Cortes personas físicas o jurídicas que:
el 13 septiembre de 2022 el Proyecto de Ley
a. Impidan o intenten impedir las denuncias.
reguladora de la protección de las personas
que informen sobre infracciones normativas b. Adopten medidas de represalia contra las
y de lucha contra la corrupción por la que personas que denuncien.
se transpone la Directiva (UE) 2019/1937. c. Promuevan procedimientos abusivos
No obstante, fecha de elaboración de estos contra las personas que denuncien.
materiales, aún no está aprobado.
d. Incumplan el deber de mantener la
Por ello, en estos materiales haremos confidencialidad de la identidad de los
referencia a lo dispuesto en la Directiva. denunciantes.
9.3.2. Tipología y características de Por otro lado, la Directiva también obliga a

los canales de denuncia los EEMM a establecer sanciones efectivas,
proporcionadas y disuasorias aplicables
Atendiendo al receptor de la denuncia, el canal a denunciantes cuando se establezca que
de denuncias puede ser interno o externo: habían comunicado o revelado públicamente
información falsa a sabiendas, así como para
Canal de denuncias interno:
indemnizar los daños y perjuicios derivados
Aquel en el que las denuncias se
de dichas denuncias o revelaciones públicas
producen dentro de la organización
de conformidad con el Derecho nacional.
(pública o privada).
9.4. Canales de denuncias

Canal de denuncias externo:
Aquel en el que las denuncias se
externos
producen ante las autoridades La Directiva 2019/1937 exige que los EEMM de
competentes. la UE designen a las autoridades competentes
para recibir las denuncias, darles respuesta y
De acuerdo con Directiva 2019/1937, los
realizar el seguimiento y dotarles de recursos
Estados miembros (EEMM) promoverán la
adecuados.
comunicación a través de canales de denuncia
interna antes que la comunicación a través de Estos canales de denuncias externos deben ser
canales de denuncia externa, siempre que se independientes y autónomos para la recepción
pueda tratar la infracción internamente de y el tratamiento de la información sobre
infracciones, y cumplir los siguientes requisitos:
191 www.lamoncloa.gob.es/consejodeministros/resumenes/Pagi-
nas/2022/130922-rp-cministros.aspx
a. Gestionar las denuncias con prontitud, ella al personal no autorizado de la

y en cualquier caso en un plazo de siete autoridad competente;
días a partir de su recepción, acusen b. permitan el almacenamiento duradero
recibo de ella salvo que el denunciante de información, de conformidad con el
solicite otra cosa expresamente o que artículo 18, para que puedan realizarse
la autoridad competente considere nuevas investigaciones.
razonadamente que el acuse de recibo de
la denuncia comprometería la protección 2. Los canales de denuncia externa permitirán
de la identidad del denunciante. denunciar por escrito y verbalmente.

La denuncia verbal será posible por vía
b. Seguir las denuncias diligentemente. telefónica o a través de otros sistemas de
c. Responder al denunciante en un plazo mensajería de voz y, previa solicitud del
razonable, no superior a tres meses, denunciante, por medio de una reunión
o a seis meses en casos debidamente presencial dentro de un plazo razonable.
justificados. 3. Cuando se reciba una denuncia por canales
d. Comunicar al denunciante el resultado que no sean los canales de denuncia a
final de toda investigación derivada de la que se refieren los apartados 1 y 2 o por
denuncia, conforme a los procedimientos los miembros del personal que no sean
previstos en el Derecho nacional. los responsables de su tratamiento, las

autoridades competentes garantizarán
e. Transmitir en tiempo oportuno la que los miembros del personal que la
información contenida en la denuncia reciban tengan prohibido revelar cualquier
a las instituciones, órganos u información que pudiera permitir identificar
organismos competentes de la Unión, al denunciante o a la persona afectada y
según corresponda, para que se siga que remitan con prontitud la denuncia, sin
investigando, cuando así esté previsto por modificarla, a los miembros del personal
el Derecho de la Unión o nacional. responsables de tratar denuncias.
De acuerdo con la Directiva 2019/1937 4. Los Estados miembros velarán por que las
respecto al diseño de los canales de denuncias autoridades competentes designen a los
externos: miembros del personal responsables de
tratar denuncias, y en particular de:
1. Se considerará que los canales de denuncia
externa son independientes y autónomos, a. informar a cualquier persona interesada
siempre que cumplan todos los criterios sobre los procedimientos de denuncia;
siguientes: b. recibir y seguir denuncias;
a. se diseñen, establezcan y gestionen de c. mantener el contacto con el denunciante
forma que se garantice la exhaustividad, a los efectos de darle respuesta y de
integridad y confidencialidad de la solicitarle información adicional en caso
información y se impida el acceso a necesario.
5. Los miembros del personal a que se refiere el 7. Una declaración que explique y recoja con
apartado 4 recibirán formación específica claridad las condiciones de protección de
a los efectos de tratar las denuncias.” aquellos que denuncien ante la autoridad
competente en relación a su posible
Estos canales de denuncia externos deberán responsabilidad por una infracción de
ser conocidos y, para ello, las autoridades confidencialidad.
competentes deberán publicar en una
sección separada, fácilmente identificable y 8. Los datos de contacto del centro
accesible de sus sitios web, como mínimo, la de información o de la autoridad

administrativa única independiente que
siguiente información:
podrán prestar medidas de apoyo a los
1. Las condiciones para poder acogerse a la denunciantes, incluido apoyo psicológico,
protección del denunciante. en el marco de un proceso judicial.
2. Los datos de contacto para los canales

9.5. Canales de denuncias
de denuncia externa, en particular, las
internos
direcciones electrónica y postal y los
números de teléfono para dichos canales, 9.5.1. Establecimiento de un canal
indicando si se graban las conversaciones de denuncias
telefónicas.
La implantación de un canal de denuncias
3. Los procedimientos aplicables a la posee múltiples ventajas para una
denuncia de infracciones, incluida la organización.
manera en que la autoridad competente
puede solicitar al denunciante aclaraciones Un canal de denuncias actúa (como señala la
sobre la información comunicada o ISO 37002) como una herramienta de alerta
proporcionar información adicional, el temprana, permitiendo una mejor gestión
plazo para dar respuesta al denunciante de riesgos y permite a las organizaciones
y el tipo y contenido de dicha respuesta. combatir infracciones en materia de
cumplimiento normativo de una manera
4. El régimen de confidencialidad aplicable más efectiva (alcanzando incluso a descubrir
a las denuncias y, en particular, la un porcentaje significativo de las pérdidas
información sobre el tratamiento de los económicas)192.
datos de carácter personal.
5. La naturaleza del seguimiento que deba Beneficios de los canales de denuncia

darse a las denuncias.
La ISO 37002 identifica una serie de beneficios
6. Las vías de recurso y los procedimientos derivados de la implantación de canales de

denuncia de irregularidades:
para la protección frente a represalias,
y la disponibilidad de asesoramiento
confidencial para las personas que 192 C. Hauser, J.Bretti-Rainalter, H.Blumer; Informe sobre la denun-
cia de irregularidades 2021, Universidad de Ciencias Aplicadas de
contemplen denunciar. Graubünden (Suiza)
1. Permitir que la organización identifique y inevitablemente influye en el comportamiento

aborde las irregularidades lo antes posible; de todos los empleados.
2. Ayudar a prevenir o minimizar la pérdida de

No obstante, la visión de Compliance va mucho
activos y ayudar a la recuperación de activos
más allá de la mera represión de actividades
perdidos;
contrarias a las normas de una organización;
3. Asegurar el cumplimiento de las políticas y un programa de Compliance incluye también,
los procedimientos organizacionales y las y, sobre todo, el establecimiento de medidas
obligaciones legales y sociales;
de vigilancia y control de carácter preventivo
4. Atraer y retener al personal comprometido con y reactivo tendente a mitigar los riesgos
los valores y la cultura de la organización; identificados.
5. Demostrar la aplicación de prácticas de La organización siempre tiene libertad para

gobernanza sólidas y éticas a la sociedad, los
implantar el canal de denuncias a través
mercados, los reguladores, los propietarios y
de diferentes vías: físicamente (por correo
otras partes interesadas
postal), a través de un portal web o correo
UNE-ISO 37002 - Sistemas de gestión de denuncia de electrónico, de manera telefónica, presencial,
irregularidades etcétera, o de una combinación de ellas.
Asimismo, el canal de denuncias se puede

Quizá el beneficio más intangible sea la gestionar internamente en la propia
posibilidad de comprobar la permeabilidad organización o se puede externalizar su
los empleados a los valores y principios gestión, recibiendo soporte de un tercero
impulsados por esta: si existe una verdadera independiente para la recepción de las
cultura ética en el seno de la organización, denuncias y su investigación.
la proactividad de sus miembros será una
consecuencia necesaria, y ello se reflejará Independientemente del procedimiento, un
en el uso del canal de denuncias, tanto para canal de denuncias efectivo debe funcionar de
consultar dudas o manifestar inquietudes en tal manera que permita al órgano competente
cuanto a conductas que puedan suponer una tomar conocimiento del contenido de la
vulneración de normas o políticas internas, comunicación, o estar involucrado en la
como para poner de manifiesto actividades gestión de dichas comunicaciones. En otras
que permitan prevenir la comisión de delitos. palabras, es posible establecer diferentes
mecanismos para comunicar irregularidades,
Por supuesto, también existe un componente pero todas ellas deben terminar siendo
disuasorio que condiciona la conducta de gestionadas de manera que permita al
los empleados: el hecho de que cualquier órgano competente intervenir respecto de
miembro de una organización pueda poner las materias de su competencia.
de manifiesto un incumplimiento que,
además, puede ser constitutivo de delito, La Directiva 2019/1937 establece, en este
genera una sensación de monitorización que sentido, que todas las entidades jurídicas
del sector privado que tengan 50 o más informativos y/o en la documentación que se
trabajadores deberán establecer canales facilita tanto a la hora de incorporarse como
de denuncias internos. Asimismo, establece empleado (dentro de lo que se conoce como
que los canales de denuncia podrán paquete de bienvenida o welcome pack) como
gestionarse internamente por una persona o durante los ciclos de formación periódica.
departamento designados al efecto o podrán
Cada organización puede estructurar el canal
ser proporcionados externamente por un
como considere conveniente. Teniendo en
tercero. Todas las salvaguardas y requisitos
cuenta esta libertad, es aconsejable que el
que establece la Directiva también se aplicarán
acceso al canal sea lo más sencillo posible,
a los terceros a los que se encomiende la
fijando vías de acceso, adaptadas al idioma
gestión de los canales de denuncia de una
local en las organizaciones multinacionales, y
entidad jurídica del sector privado.
huyendo de extensos formularios y de otras
Las entidades jurídicas del sector privado cuestiones que puedan frenar la intención
que tengan entre 50 y 249 trabajadores inicial del denunciante.
podrán compartir recursos para la recepción
También existe la posibilidad, cuando no
de denuncias y toda investigación que
obligación, de establecer varias vías para la
deba llevarse a cabo, sin perjuicio de las
recepción de las comunicaciones, siempre que
obligaciones impuestas a dichas entidades
el órgano competente reciba la información.
de mantener la confidencialidad, de dar
respuesta al denunciante y de tratar la Las vías de acceso al canal de denuncias más
infracción denunciada. utilizadas son el canal telefónico, a través del
que se pueda denunciar de manera inmediata
Lo anterior será también de aplicación a todas
una posible irregularidad, plataformas o
las entidades jurídicas del sector público,
sistemas específicos y el correo electrónico, si
incluidas las entidades que sean propiedad o
bien este último está siendo progresivamente
estén sujetas al control de dichas entidades.
sustituido por sistemas o plataformas
9.5.2. Acceso al canal de denuncias específicas.
y publicidad
También es relevante determinar el colectivo
Para que el canal de denuncias cumpla de personas que puede acceder a este canal.
su función de manera efectiva, debe ser Es evidente que todos los empleados de una
fácilmente accesible a todos los empleados organización deben poder acceder, pues
de la organización. a ellos va dirigido en primer lugar y son los
que tienen mayor probabilidad de presenciar
A este respecto, cuando el canal de denuncias las presuntas actividades irregulares que
esté informatizado, es recomendable que se deberían comunicar. No obstante, en
exista un enlace directo y fácilmente visible una organización también se producen
en la intranet de la organización, así como interacciones con terceros (clientes, accionista,
convenientemente situado en carteles proveedores, etc.) de manera eventual o
estable y en el curso de estas relaciones • Un acuse de recibo de la denuncia al

también se pueden dar situaciones contrarias denunciante en un plazo de siete días a
a las normas (internas o externas) aplicables, partir de la recepción.
lo que se debería poderse comunicar a través
• La designación de una persona o
del canal de denuncias.
departamento imparcial que sea
Lo anterior lleva a considerar deseable abrir competente para seguir las denuncias,
el canal de denuncias para dichos terceros, que podrá ser la misma persona o
de manera que éstos puedan poner de departamento que recibe las denuncias
manifiesto comportamientos contrarios a las y que mantendrá la comunicación con
normas de la organización. el denunciante y, en caso necesario,
solicitará a éste información adicional y le
Para que estas comunicaciones sean dará respuesta.
efectivas, es necesario que los terceros que
• El seguimiento diligente por la persona o
puedan acceder al canal conozcan (y, si es
el departamento designados.
posible, se adhieran a) las normas y principios
a través de los cuales la organización actúa en • Un plazo razonable para dar respuesta,
el desarrollo de sus actividades. que no será superior a tres meses a partir
del acuse de recibo o, si no se remitió un
Por descontado, la apertura del canal
acuse de recibo al denunciante, a tres
también hará que puedan ser denunciados
meses a partir del vencimiento del plazo de
estos terceros por los empleados de la
siete días después de hacerse la denuncia.
organización si observan irregularidades en
su comportamiento (por ejemplo, actividades • Información clara y fácilmente accesible
irregulares para conseguir contratos o malas sobre los procedimientos de denuncia
prácticas en su desarrollo). externa ante las autoridades competentes.
En este sentido, la Directiva 2019/1937

establece que los procedimientos de
denuncia interna y seguimiento deberán
incluir lo siguiente:
• Canales para recibir denuncias

que estén diseñados, establecidos
y gestionados de forma segura, que
garantice que la confidencialidad de la
identidad del denunciante y de cualquier
tercero mencionado en la denuncia esté
protegida, e impida el acceso a personal
no autorizado.
Requisitos de los procedimientos de denuncia interna.
Elaboración propia.Fuente: Directiva UE 2019/1037
Asimismo, la Directiva 2019/1937 indica que normativa interna de la organización, no

los canales de denuncias internos permitirán siendo suficiente una mención genérica a, por
denunciar por escrito o verbalmente, o de ejemplo, “los comportamientos contrarios a
ambos modos. La denuncia verbal será posible nuestros valores y principios”.
por vía telefónica o a través de otros sistemas
El escenario ideal es que los comportamientos
de mensajería de voz y, previa solicitud del
tipificados estén íntimamente relacionados
denunciante, por medio de una reunión
con materias de Compliance (respeto a los
presencial dentro de un plazo razonable.
valores éticos, lucha contra la corrupción,
9.5.3. Asuntos denunciables conflictos de intereses, etc.), para facilitar
la investigación y evitar, en la medida de lo
A través de los canales de denuncias
posible, que un empleado con la intención de
se debe poder comunicar, con carácter
denunciar un comportamiento incorrecto no
general, cualquier actividad que pueda
tenga claro a qué canal específico dirigirse.
ser considerada contraria a la ley y a las
normas y procedimientos internos de la Por otro lado, dar libertad a la hora de
organización. Poniendo esto de manifiesto, comunicar todo tipo de incidencias permitiría
cada organización deberá determinar qué a los empleados notificar determinadas
cuestiones se pueden poner de manifiesto a actividades que, si bien en sentido
través del canal de denuncias y cuáles tienen estricto no forman parte del catálogo
otras vías de poner en conocimiento a la de comportamientos tipificados por la
organización. organización, podrían ser contrarias a sus
normas internas.
Así, las organizaciones pueden optar por:
Esto permitiría a la organización detectar
1. establecer un numerus clausus o listado
otras actividades no previstas inicialmente,
cerrado de cuestiones que puedan
descubriendo riesgos y amenazas no previstas
ser comunicadas a través del canal de
y, en definitiva, tener una información
denuncias, o
adicional para la actualización de sus políticas
2. abrir el canal de denuncias a cualquier internas en esta materia.
cuestión que, a juicio de los posibles
No obstante, esta apertura del canal a
denunciantes, merezca ser puesta de
todo tipo de cuestiones puede provocar un
manifiesto.
aumento desmesurado de las denuncias que,
Un listado cerrado o taxonomía de si bien no tienen por qué haber sido realizadas
comportamientos, acciones o hechos de mala fe, pueden ser improcedentes
denunciables ofrece claridad y sencillez o no relevantes a los efectos del canal
a los denunciantes. En este sentido, todo de denuncias, suponiendo un esfuerzo
canal de denuncias debe tener previamente añadido para las personas de la organización
identificadas y tipificadas las acciones que encargadas de recibir y analizar la viabilidad
son consideradas como contrarias a la de las comunicaciones.
Por último, y complementariamente a dicha otorgadas por los Estados, así como las
dualidad, también cabe la posibilidad de infracciones relativas al mercado interior
estructurar canales específicos por materias: en relación con los actos que infrinjan las
financiero/contable, cuestiones relacionadas normas del impuesto sobre sociedades.
con la discriminación y el acoso laboral o
sexual, penal o vinculado en general con lo 9.6. Derechos del denunciante
establecido en el código ético o de conducta y denunciado
de la organización, etc.
El principal objetivo de cualquier norma
En este sentido, la Directiva 2019/1937 referente a los canales de denuncias es la
establece un catálogo mínimo de cuestiones protección de los denunciantes, como medida
que deben contemplarse en los canales de imprescindible para garantizar el uso efectivo
denuncias. Así, se deberán incluir infracciones de los mismos.
sobre:
No obstante, también es importante
• Contratación pública. garantizar los derechos de los denunciados, en
la medida en la que una simple comunicación
• Servicios, productos y mercados
no debería penalizarles en modo alguno hasta
financieros, y prevención del blanqueo de
comprobar la veracidad de las acusaciones y
capitales y la financiación del terrorismo.
se recaben las pertinentes pruebas.
• Seguridad de los productos y conformidad.
Los denunciantes deberán tener derecho
• Seguridad del transporte. a protección siempre que tengan motivos
razonables para pensar que la información
• Protección del medio ambiente.
sobre infracciones denunciadas es veraz en
• Protección frente a las radiaciones y el momento de la denuncia.
seguridad nuclear.
9.6.1. Protección del denunciante
• Seguridad de los alimentos y los piensos,
sanidad animal y bienestar de los animales.
establece las siguientes medidas de
• Salud pública. protección del denunciante:
• Protección de los consumidores.
• Protección de la privacidad y de los datos

personales, y seguridad de las redes y los
sistemas de información.
• Infracciones que afecten a los intereses Confidencialidad

financieros de la Unión Europea.
La identidad del denunciante y cualquier
• Infracciones relativas al mercado interior otra información de la que se pueda deducir
en materia de competencia y ayudas directa o indirectamente la identidad del
denunciante no se deben revelar nunca de Protección de Datos Personales y garantía

sin su consentimiento expreso a ninguna de los derechos digitales, establece en su
persona que no sea un miembro autorizado artículo 24 lo siguiente:
del personal competente para recibir o seguir
Artículo 24. Sistemas de información de
denuncias.
denuncias internas.
Como excepción a lo anterior, esa información
1. Será lícita la creación y mantenimiento de
solo podrá revelarse cuando constituya
sistemas de información a través de los
una obligación necesaria y proporcionada
cuales pueda ponerse en conocimiento de
impuesta por el Derecho de la Unión o
una entidad de Derecho privado, incluso
nacional en el contexto de una investigación
anónimamente, la comisión en el seno de
llevada a cabo por las autoridades nacionales
la misma o en la actuación de terceros que
o en el marco de un proceso judicial, en
contratasen con ella, de actos o conductas
particular para salvaguardar el derecho
que pudieran resultar contrarios a la
de defensa de la persona afectada. Estas
normativa general o sectorial que le fuera
revelaciones estarán sujetas a salvaguardias
aplicable. Los empleados y terceros deberán
adecuadas en virtud de las normas de la
ser informados acerca de la existencia de
Unión y nacionales aplicables. En particular,
estos sistemas de información.
se informará al denunciante antes de revelar
su identidad, salvo que dicha información 2. El acceso a los datos contenidos en estos
pudiera comprometer la investigación o el sistemas quedará limitado exclusivamente a
procedimiento judicial, y cuando la autoridad quienes, incardinados o no en el seno de la
competente informe al denunciante, le entidad, desarrollen las funciones de control
remitirá una explicación escrita de los motivos interno y de cumplimiento, o a los encargados
de la revelación de los datos confidenciales del tratamiento que eventualmente se
en cuestión. designen a tal efecto. No obstante, será lícito
su acceso por otras personas, o incluso su
La Directiva 2019/1937 también establece comunicación a terceros, cuando resulte
que no se deberán recopilar datos personales necesario para la adopción de medidas
cuya pertinencia no resulte manifiesta para disciplinarias o para la tramitación de los
tratar una denuncia específica y que, si se procedimientos judiciales que, en su caso,
recopilan por accidente, se deberán eliminar procedan.
sin dilación indebida.
Sin perjuicio de la notificación a la autoridad
A este respecto, la normativa de protección competente de hechos constitutivos de
de datos de carácter personal también se ilícito penal o administrativo, solo cuando
modificó en España en el año 2018 para pudiera proceder la adopción de medidas
permitir las denuncias anónimas, algo que no disciplinarias contra un trabajador, dicho
estaba reconocido en la legislación anterior. acceso se permitirá al personal con funciones
Así, la Ley Orgánica 3/2018, de 5 de diciembre, de gestión y control de recursos humanos.
3. Deberán adoptarse las medidas necesarias Prohibición de represalias

para preservar la identidad y garantizar la
confidencialidad de los datos correspondientes La Directiva 2019/1937 exige que se adopten
a las personas afectadas por la información las medidas necesarias para prohibir todas las
suministrada, especialmente la de la formas de represalias contra las personas que
persona que hubiera puesto los hechos en realicen denuncias, incluidas las amenazas de
conocimiento de la entidad, en caso de que se represalias y las tentativas de represalia, en
hubiera identificado. particular, en forma de:
4. Los datos de quien formule la comunicación • Suspensión, despido, destitución o

y de los empleados y terceros deberán medidas equivalentes.
conservarse en el sistema de denuncias
• Degradación o denegación de ascensos.
únicamente durante el tiempo imprescindible
para decidir sobre la procedencia de • Cambio de puesto de trabajo, cambio de
iniciar una investigación sobre los hechos ubicación del lugar de trabajo, reducción
denunciados. salarial o cambio del horario de trabajo.
En todo caso, transcurridos tres meses desde la • Denegación de formación.

introducción de los datos, deberá procederse • Evaluación o referencias negativas con
a su supresión del sistema de denuncias, salvo respecto a sus resultados laborales.
que la finalidad de la conservación sea dejar
evidencia del funcionamiento del modelo • Imposición de cualquier medida
de prevención de la comisión de delitos por disciplinaria, amonestación u otra sanción,
la persona jurídica. Las denuncias a las que incluidas las sanciones pecuniarias.
no se haya dado curso solamente podrán • Coacciones, intimidaciones, acoso u

constar de forma anonimizada, sin que sea de ostracismo.
aplicación la obligación de bloqueo prevista
• Discriminación, o trato desfavorable o
en el artículo 32 de esta ley orgánica.
injusto.
Transcurrido el plazo mencionado en el
• No conversión de un contrato de trabajo
párrafo anterior, los datos podrán seguir
temporal en uno indefinido, en caso de
siendo tratados, por el órgano al que
que el trabajador tuviera expectativas
corresponda, conforme al apartado 2 de
legítimas de que se le ofrecería un trabajo
este artículo, la investigación de los hechos
indefinido.
denunciados, no conservándose en el
propio sistema de información de denuncias • No renovación o finalización anticipada
internas. de un contrato de trabajo temporal.
5. Los principios de los apartados anteriores • Daños, incluidos a su reputación, en

serán aplicables a los sistemas de denuncias especial en los medios sociales, o
internas que pudieran crearse en las pérdidas económicas, incluidas la pérdida
Administraciones Públicas. de negocio y de ingresos.
• Inclusión en listas negras sobre la base de u omisiones que no estén relacionados

un acuerdo sectorial, informal o formal, con la denuncia o la revelación pública
que pueda implicar que en el futuro la o que no sean necesarios para revelar
persona no vaya a encontrar empleo en una infracción en virtud de la Directiva
dicho sector. seguirán rigiéndose por el Derecho de la
Unión o nacional aplicable.
• Finalización anticipada o anulación de
contratos de bienes o servicios. • En los procedimientos ante un órgano
jurisdiccional u otra autoridad relativos
• Anulación de una licencia o permiso.
a los perjuicios sufridos por los
• Referencias médicas o psiquiátricas. denunciantes, y a reserva de que dicha
persona establezca que ha denunciado
Por otro lado, la Directiva también establece
o ha hecho una revelación pública y que
la necesidad de adoptar medidas de
ha sufrido un perjuicio, se presumirá que
protección frente a represalias, que incluirán,
el perjuicio se produjo como represalia
en particular, las siguientes:
por denunciar o hacer una revelación
• No se considerará que las personas pública. En tales casos, corresponderá a
que utilicen los canales de denuncias la persona que haya tomado la medida
hayan infringido ninguna restricción de perjudicial probar que esa medida se basó
revelación de información, y estas no en motivos debidamente justificados.
incurrirán en responsabilidad de ningún
• Los denunciantes tendrán acceso a
tipo en relación con dicha denuncia o
medidas correctoras frente a represalias,
revelación pública, siempre que tuvieran
según corresponda, incluidas medidas
motivos razonables para pensar que la
provisionales a la espera de la resolución
comunicación o revelación pública de
del proceso judicial, de conformidad con
dicha información era necesaria para
el Derecho nacional.
revelar una infracción.
• En los procesos judiciales, incluidos
• Los denunciantes no incurrirán en
los relativos a difamación, violación de
responsabilidad respecto de la adquisición
derechos de autor, vulneración de secreto,
o el acceso a la información que es
infracción de las normas de protección de
comunicada o revelada públicamente,
datos, revelación de secretos comerciales,
siempre que dicha adquisición o acceso no
o a solicitudes de indemnización basadas
constituya de por sí un delito. En el caso de
en el Derecho laboral privado, público o
que la adquisición o el acceso constituya
colectivo, los denunciantes no incurrirán
de por sí un delito, la responsabilidad
en responsabilidad de ningún tipo
penal seguirá rigiéndose por el Derecho
como consecuencia de denuncias o de
nacional aplicable.
revelaciones públicas. Dichas personas
• Cualquier otra posible responsabilidad tendrán derecho a alegar en su descargo
de los denunciantes derivada de actos el haber denunciado o haber hecho una
revelación pública, siempre que tuvieran protección frente a represalias, incluida,

motivos razonables para pensar que cuando así se contemple en el Derecho
la denuncia o revelación pública era nacional, la certificación de que pueden
necesaria para poner de manifiesto acogerse a protección al amparo de la
una infracción en virtud de la presente Directiva.
Directiva.
• Asistencia jurídica en los procesos
• Cuando una persona denuncie o revele penales y en los procesos civiles
públicamente información sobre transfronterizos, de conformidad con la
infracciones que entran en el ámbito Directiva (UE) 2016/1919 y la Directiva
de aplicación de la Directiva, y dicha 2008/52/CE del Parlamento Europeo y
información incluye secretos comerciales, del Consejo y, de conformidad con el
y cuando dicha persona reúna las Derecho nacional, asistencia jurídica en
condiciones establecidas en la Directiva, otros procesos y asesoramiento jurídico o
dicha denuncia o revelación pública se cualquier otro tipo de asistencia jurídica.
considerará lícita.
• También se podrá prestar asistencia
• Se deberán adoptar las medidas necesarias financiera y medidas de apoyo a los
para garantizar que se proporcionen denunciantes, incluido apoyo psicológico,
vías de recurso e indemnización íntegra en el marco de un proceso judicial.
de los daños y perjuicios sufridos por
9.6.2. Protección del denunciado
los denunciantes de conformidad con el
Derecho nacional. Por último, en lo que respecta a la protección
de los denunciados, la Directiva 2019/1937
Medidas de apoyo
establece que éstos deberán gozar
Otro grupo de medidas de apoyo que la plenamente de su derecho a la tutela judicial
Directiva establece que se deberán adoptar efectiva y a un juez imparcial, así como a la
para proteger a los denunciantes son las presunción de inocencia y al derecho de
siguientes: defensa, incluido el derecho a ser oídos y el
derecho a acceder a su expediente.
• Información y asesoramiento
completos e independientes, que sean Asimismo, establece que la identidad
fácilmente accesibles para el público y de las personas afectadas deberá estar
gratuitos, sobre los procedimientos y protegida mientras cualquier investigación
recursos disponibles, protección frente desencadenada por la denuncia o la revelación
a represalias y derechos de la persona pública esté en curso y que todas las normas
afectada. referidas a la protección de la identidad de los
denunciantes se deberán aplicar también a la
• Asistencia efectiva por parte de las
protección de la identidad de las personas
autoridades competentes ante cualquier
afectadas.
autoridad pertinente implicada en su
9.7. ISO 37002 - Sistemas de que obliga a las empresas con más de 50
gestión de la denuncia de trabajadores y determinados sectores a

implantar un canal de denuncias interno.
irregularidades. Directrices.
9.7.2. Estructura y características
9.7.1. Antecedentes y generalidades
Estructura
La importancia adquirida por los sistemas
de denuncia, y la proliferación de normas La ISO 37002 adopta la “estructura
nacionales y legislación al respecto, han armonizada” (secuencia de capítulos, un
motivado el desarrollo de una norma texto común y una terminología común)
internacional por parte de la Organización desarrollada por ISO para mejorar la
Internacional e Normalización (ISO). alineación entre las Normas Internacionales
para los sistemas de gestión.
La ISO 37002:2021 Sistemas de gestión de la
denuncia de irregularidades. Directrices se Por tanto, se estructura en los diez capítulos
publicó en su versión original el 27/07/2021. o epígrafes con los que ya debemos estar
En en octubre del mismo año, vio la luz su familiarizados:
versión en español.
1. Objeto y ámbito de 5. Liderazgo
Se incorpora esta norma a las existentes en aplicación
6. Planificación
el ámbito de Compliance, con las que está
2. Referencias
íntimamente relacionada y que ya se han 7. Apoyo
normativas
mencionadas y detallado en este material: 8. Operación
3. Términos y
• ISO 37001 Sistemas de gestión definiciones 9. Evaluación del
Antisoborno desempeño
4. Contexto de la
• ISO 37301 Sistemas de Gestión de organización 10. Mejora
Compliance
Características
• ISO 31000 Sistemas de Gestión de riesgos.
La ISO 37002 sistema de gestión de tipo B,
Hasta su publicación de esta norma, el es decir, no certificable. Es una norma que
canal de denuncias solo se había tratado establece directrices o recomendaciones.
tangencialmente en otras normas, como la No obstante, se puede utilizar conjunta
ISO 37001 (Sistemas de Gestión Antisoborno) e integradamente con otras normas ISO
o la ISO 37301 (Sistemas de Gestión de certificables, como la ISO 37001 o la ISO37301.
Compliance).
Dichas directrices deben servir para
La ISO 37002 llega para llenar ese vacío, en implementar, gestionar, evaluar, mantener y
un momento clave para los países miembros mejorar un sistema de gestión de denuncias
de la UE, los cuales están transponiendo a su de irregularidades, sólido y eficaz, dentro de
normativa interna la Directiva (UE) 2019/1937, las organizaciones.
A través de los que se recogen las principales Definiciones

características de la ISO 37002, que son:
La norma facilita la definición, para un mejor
• Orientar a las organizaciones para entendimiento, de los siguientes conceptos:
implantar un canal de denuncias interno
eficiente, que proteja al denunciante y • Sistema de gestión: Conjunto de
genere confianza para denunciar actos elementos de una organización
ilícitos dentro de la organización. interrelacionados o que interactúan para
establecer políticas y objetivos, así como
• Guiar en la forma en que debe abordarse
procesos para lograr estos objetivos.
la gestión de las denuncias, para
garantizar un adecuado tratamiento en • Organización: Persona o grupo de
todo el proceso. personas que tiene sus propias funciones
con responsabilidades, autoridades y
• Reforzar la transparencia del tratamiento
relaciones para lograr sus objetivos.
de las denuncias, ya se trata de denuncias
públicas, confidenciales o anónimas. • Personal: Directores, funcionarios,
empleados, personal temporal o
• Protección de los derechos del
trabajadores y voluntarios de la
denunciante, del denunciado y de
organización.
terceros, destacando la necesidad de
proteger a los denunciantes que hagan • Alta Dirección: Persona o grupo de
sus denuncias y, en general, a todos personas que dirige y controla una
aquellos que pueden sufrir represalias organización.
con motivo de la denuncia (testigos, • Órgano de gobierno: Persona o grupo
compañeros, etc). de personas que tiene que rendir cuentas
en última instancia en nombre de toda la
9.7.3. Contenido de la Norma
organización.
Objeto y ámbito de aplicación
• Política: Intenciones y dirección de
La norma se basa en tres principios: confianza, una organización según lo expresado
imparcialidad y protección formalmente por su alta dirección.
Asimismo, establece las cuatro fases o pasos • Irregularidad: Acción u omisión que
en la gestión de un sistema de denuncia de puede causar daño.
irregularidades en los que se ha estructurado • Denunciante: Persona que informa
este módulo, y que son: sobre sospechas de irregularidades o
a. Recepción de las denuncias de sobre irregularidades reales y tiene una
irregularidades creencia razonable de que la información
es verdadera en el momento de informar.
b. Evaluación de las denuncias;
c. Tratamiento (gestión) de las mismas; • Denuncia de irregularidades
d. Conclusión de los casos. información sobre sospechas de
irregularidades o irregularidades reales • Conformidad: cumplimiento de un

aportada por un denunciante. requisito.
• Función de gestión de la denuncia • No conformidad: Incumplimiento de un

de irregularidades: Personas con la requisito.
responsabilidad y autoridad para el
• Acción correctiva: Acción para eliminar
funcionamiento del sistema de gestión de
la causa de una no conformidad y para
la denuncia de irregularidades.
prevenir la recurrencia.
• Evaluación de las denuncias de
• Mejora continua: Actividad recurrente
irregularidades (triaje): Evaluación
para mejorar el desempeño.
inicial de las denuncias de irregularidades
para los propósitos de categorización, Contexto de la organización
adopción de medidas preliminares,
priorización y asignación para su manejo Así pues, la norma ISO 37002, norma
posterior, organización y parte interesada, recomienda definir claramente el contexto
incluidos los daños a la reputación, daños de la organización. Deben determinar los
financieros, ambientales, humanos o de factores externos e internos que sean
otro tipo. relevantes para su propósito, y que afecten o
puedan afectar a su capacidad para lograr el
• Conducta perjudicial: Acto u omisión resultado previsto por su sistema de gestión
bajo amenaza, propuesto o real, directo de denuncias, por ejemplo:
o indirecto que pueda resultar en daño
a un denunciante u otra parte interesada • Tamaño y la estructura;
pertinente, relacionado con la denuncia • Lugares y sectores en los que la
de irregularidades. organización opera u operará;
• Investigación: Proceso sistemático, • La naturaleza, cultura, y complejidad de
independiente y documentado para las actividades que desarrolla;
establecer los hechos y evaluarlos
objetivamente para determinar si hubo • La naturaleza y necesidades del personal;
irregularidades, están ocurriendo o es • Modelo de negocio;

probable que ocurran, y su alcance.
• Socios comerciales;
• Auditoría: Proceso sistemático e
• Su exposición al interés público;
independiente para obtener evidencia y
evaluarla objetivamente para determinar • Obligaciones y deberes legales,
en qué medida se cumplen los criterios de reglamentarios, contractuales y de otro
auditoría. tipo aplicables a la organización en
concreto.
• Competencia: Capacidad para aplicar
conocimientos y habilidades para lograr Por otro lado, la organización debe
los resultados previstos.
determinar y comprender las necesidades y
expectativas de las partes interesadas, que Respecto al papel del órgano de gobierno
sean igualmente relevantes para el sistema establece las siguientes responsabilidades:
de gestión de denuncias.
a. Aprobar la política de denuncias de la
También ha de determinar el alcance concreto organización y transmitir mensajes claros
de este sistema de gestión de denuncias, sobre su existencia y su uso;
haciendo en este particular un especial
b. Demostrar su compromiso adoptando
hincapié en la identificación de quién puede
la política y el sistema de gestión de
informar (empleados, clientes, proveedores,
denuncias;
otros grupos), desde dónde, y qué tipos de
ámbitos o irregularidades están cubiertas por c. Recibir y revisar, a intervalos planificados,
el sistema. información sobre el contenido y el
funcionamiento del sistema de gestión de
Por último, la norma recomienda establecer,
denuncias de la organización;
implementar, mantener y mejorar
continuamente su sistema de gestión de d. Garantizar la asignación de recursos
denuncias, incluidos los procesos necesarios adecuados y necesarios para el
y sus interacciones, de acuerdo con sus funcionamiento eficaz del sistema de
pautas y recomendaciones. gestión de la denuncia;
Liderazgo e. Ejercer una supervisión adecuada de la

implementación, integridad y mejora del
En este capítulo, la norma se centra en las sistema de gestión de denuncias de la
labores que ha de ejercer tanto el órgano de organización.
gobierno como la alta dirección en relación a
sistema de gestión de denuncias y sobre los En relación al papel de la alta dirección,
siguientes aspectos: la ISO 37002, debe ejercer su liderazgo
garantizando:
a. Que la política de denuncia y los objetivos

del sistema de gestión de la denuncia que
se establezcan sean compatibles con los
valores, y objetivos de la organización;
b. La accesibilidad del sistema de gestión de
Liderazgo y compromiso denuncias y fomentar su utilización;
c. La integración de las recomendaciones

La norma otorga una gran importancia al
del sistema de gestión de denuncias
papel desempeñado tanto por el órgano de
en los procesos empresariales de la
gobierno como de la alta dirección en sistema
organización;
de gestión de denuncias.
d. Que los recursos necesarios para el organización conozca, comprenda y aplique

sistema de gestión de la denuncia lo que corresponda a su rol en la organización
estén disponibles, sean adecuados, y respecto del sistema de gestión.
apropiados.
La función de gestión de denuncias debe
Política de denuncia de irregularidades tener la responsabilidad y la autoridad para:
Respecto a la política de la organización sobre a. Diseñar, implementar, operar y mejorar el

este sistema, la norma establece una serie de sistema de gestión de la denuncia;
requisitos que debería cumplir:
b. Garantizar que el sistema de gestión
• Ser desarrollada con la participación del de la denuncia esté diseñado y con
personal y otras partes interesadas; recursos para garantizar una evaluación
exhaustiva de los informes y los riesgos
• Estar disponible como información
de investigaciones perjudiciales,
documentada;
imparciales y oportunas de los informes
• Ser comunicada periódicamente, en los y los mecanismos de protección y apoyo;
idiomas adecuados, tanto dentro como
c. Garantizar en la organización, en la
fuera de la organización;
medida de lo posible, que las funciones
• Permanecer a disposición de las partes de investigación y protección se presten
interesadas, teniendo en cuenta de forma independiente;
aspectos relacionados con el acceso y
d. Proporcionar asesoramiento y
la comprensión: edad, el idioma, las
orientación sobre el sistema de gestión
discapacidades, etc.;
de denuncias y cuestiones relacionadas
• Ser revisada de forma periódica. con la notificación de irregularidades;
Roles, responsabilidades y autoridades e. Garantizar que el sistema de gestión de

la denuncia se ajuste a las orientaciones
La norma contempla que la función de gestión contenidas en la norma;
de denuncia de irregularidades pueda llevarse
f. Informar sobre una base planificada
a cabo total o parcial fuera de la organización.
y ad hoc del rendimiento del sistema
De hecho, esto será algo habitual en muchas
de gestión de la denuncia al órgano de
organizaciones.
gobierno, a la alta dirección y a otras
Si se elige opción, la organización debe funciones pertinentes.
asegurar que alguien de su personal sea el
La función de gestión de la denuncia debe
responsable y disponga de autoridad sobre
asignarse a personal con las características,
las actividades externalizadas
capacidades y habilidades adecuadas
Debido a las diferentes posibilidades, la (competencia, integridad, autoridad e
norma recomienda que todo miembro de la independencia), que cuente con acceso
directo, sin restricciones y confidencial, a la • Determinar, los riesgos y oportunidades

alta dirección y, de ser necesario, al órgano que necesitan afrontarse para:
de gobierno. - Garantizar que el sistema de gestión
de denuncia de irregularidades logra
En organizaciones en las que no exista ningún
los resultados previstos;
empleado dedicado a esta función, se podrá
designar para ella a una o más personas, - Fomentar y facilitar la denuncia de
asegurándose de que no se den conflictos de irregularidades;
intereses, de confianza o se pueda cuestionar - Apoyar y proteger a los denunciantes;
la imparcialidad.
- Garantizar la adecuación y oportunidad
Otro aspecto que se trata en este capítulo de en la gestión de las denuncias;
la ISO37002 es la delegación en la toma de - Mejorar la cultura organizativa,
decisiones. la gobernanza y la prevención de
irregularidades;
Esta posibilidad existe en la gestión de las
denuncias, y puede abarcar la delegación - Prevenir o reducir los efectos no
deseados;
en decisiones tales como: recibir el informe
de irregularidades, realizar evaluaciones, - Conseguir una mejora continua.
implementar acuerdos de protección, iniciar
Objetivos del sistema de gestión de
investigaciones y concluir casos.
la denuncia de irregularidades y
La organización debe establecer y mantener planificación para alcanzarlos
un proceso claro y definido en la toma de
La organización establecer los objetivos
decisiones, donde los responsables tengan un
de su sistema de gestión de denuncia en
nivel adecuado de autoridad y estén libres de
las funciones y niveles pertinentes. Estos
conflictos de intereses reales o potenciales. objetivos han de :
Planificación a. ser coherentes con la política establecida;
Acciones para abordar los riesgos y las b. ser medibles (si es posible);
oportunidades
c. tener en cuenta los requisitos aplicables;
La organización ha de tener presente en su d. ser objeto de seguimiento (monitoreados);

planificación:
e. ser evaluados;
• Sus políticas, procesos y funciones
f. ser comunicados;
existentes;
g. actualizarse y/o revisarse cuando sea
• A sí misma, su entorno y contexto,
necesario;
• Las necesidades y expectativas de las
h. garantizar que el sistema de gestión de
partes interesadas;
denuncias pueda facilitar la detección
temprana y la prevención de las etc, pudiendo ser proporcionados por

irregularidades. la organización o externamente (total o
parcialmente).
Como no puede ser de otra forma, estos
objetivos deben documentarse. Competencia
Una vez concretados los objetivos, el siguiente Respecto a este punto, la norma indica que la
paso para la organización es determinar la organización debe:
forma de alcanzarlos. Así pues, la organización
a. Determinar las competencias requeridas
deberá determinar:
de cualquier persona que realice tareas
a. qué se va a hacer; que afecten al sistema de gestión
de denuncias de irregularidades, su
b. qué recursos se van emplearán;
rendimiento y sus operaciones;
c. quién será el responsable;
b. Asegurar que toda persona que participe
d. plazo o calendario para su finalización; en el sistema de gestión disponga de
la educación, formación o experiencia
e. cómo se supervisarán y evaluarán los
precisas;
resultados;
c. Garantizar que el personal sea capaz de
f. cómo se actualizará (en su caso);
trabajar con la adecuada imparcialidad y,
g. cómo se comunicarán los resultados. en su caso, tomar medidas para adquirir
la competencia necesaria, y evaluar la
Apoyo al sistema de gestión de la
eficacia de las acciones adoptadas;
denuncia de irregularidades
d. Conservar la información documentada
En este capítulo, la norma se centra en las adecuada como prueba de la competencia.
necesidades del sistema de gestión, en
relación a recursos, competencia, labores de Concienciación
sensibilización y formación, la comunicación
En este epígrafe, la norma indica las medidas
y la documentación de la información.
de medidas de formación, concienciación y
Recursos sensibilización del personal que se han de
adoptar, así como la formación que han de
La organización ha de proporcionar los recibir los líderes y otros roles específicos.
recursos necesarios para el establecimiento,
desarrollo, implementación, evaluación, Comunicación
mantenimiento y mejora continua del sistema
En este punto, la ISO 37002 realiza
de gestión de denuncias y sus objetivos.
recomendaciones sobre comunicaciones
Esos recursos pueden incluir los financieros, internas como externas, relevantes para el
humanos, tecnológicos, de conocimientos sistema de gestión de denuncias, incluyendo
especializados, infraestructura, investigadores, el mensaje a comunicar, la oportunidad
(cuándo), quién y , cómo, así como el idioma una adecuada comunicación con el
en el que se hará dicha comunicación. denunciante. Al mismo tiempo, debe
prever la evaluación del riesgo de perjuicio
Información Documentada
y el nivel de protección necesario para
La norma insiste de nuevo en su los denunciantes y el resto de personas
recomendación de crear, actualizar y controlar involucradas.
la información documentada, proteger los Se hace hincapié y se recomienda que el

datos y su confidencialidad. personal encargado de la función tenga a
su disposición los recursos necesarios, así
Funcionamiento
como acceso a la alta dirección y cuente
En este capítulo, la norma hace referencia con varias habilidades y competencias
a las diferentes fases de la operación de un (confiabilidad, inteligencia emocional,
canal de denuncias, por lo que sigue, como el diplomacia, imparcialidad, integridad,
lógico, las cuatro fases que se describieron: liderazgo, confidencialidad y un juicio
adecuado).
• Recepción: La norma establece las
recomendaciones sobre la forma en la • Tratamiento: Incluye las pautas a
que se podrán realizar y se recibirán las seguir durante esta fase, el desarrollo
denuncias, lo que debe incluir formación de las investigaciones internas que se
e información al personal y terceros sobre inicien (respetando principios como
el uso adecuado del canal de denuncias; la imparcialidad, confidencialidad y
el objeto o razón de su uso; los múltiples debido proceso, involucrando un equipo
canales disponibles y sus características; multidisciplinario193, por ejemplo), así
la utilización de medios tecnológicos (que como el otorgamiento de medidas
permitan, por ejemplo, comunicación de protección del denunciante y de
confidencial entre investigadores y seguimiento de las personas involucradas,
denunciante), entre otros. entre otras cuestiones.
• Evaluación: La ISO 37002 recomienda Por tanto, en esta fase no sólo se incluyen
que el sistema que se establezca recomendaciones acerca de la ejecución
especifique la forma en la que se realizará de una investigación imparcial y oportuna,
la clasificación/catalogación y priorización sino también de aquellas las tareas
de las denuncias, con un enfoque basado relacionadas con la protección y apoyo
en el riesgo. al sujeto denunciante en sentido amplio
(denunciante y personas relacionadas
Igualmente, en esta fase se debe
con la denuncia).
evaluar la integridad de la información
proporcionada, la relevancia de los hechos,
las medidas preliminares o provisionales 193 Las investigaciones internas, pueden ser realizadas por personal
interno, personal externo (actuando en nombre de la organiza-
y la asignación interna, manteniendo ción) o una combinación de ambos, algo frecuente en casos com-
plicados o con requerimientos especiales.
• Conclusión: Tras la finalización de la de la irregularidad denunciada, porcentaje

fase previa, que se concentra la actividad de informes basados en una investigación vs
investigativa, la organización deberá aquellos que no lo están, etc.
identificar los hallazgos, de los que se
Por otro lado, también se deberían elegir las
derivarán las conclusiones.
fuentes de información para llevar a cabo esta
La norma establece que en la organización evaluación, e incluir en el plan de auditoria la
debe existir un procedimiento para revisión periódica de la gestión del canal.
concluir las investigaciones, así como
proponer recomendaciones y decisiones Mejora
basadas en los resultados y conclusiones.
Por último, la ISO 37002 establece la
Además, debe garantizarse la eficacia y necesidad de valorar con frecuencia la
continuación de las medidas de protección idoneidad, adecuación y eficacia del sistema
adoptadas, que se supervisarán. para conseguir una mejora continua del
mismo.
Por último, los resultados podrán utilizarse
para informes de gestión, lecciones
aprendidas, formación y concienciación,
propuesta de modificaciones y mejoras de
la que se realice un posterior seguimiento.
Por último, como en el resto de fases, la

documentación de las actuaciones deberá
producirse, conservarse y protegerse
debidamente, si bien mediante un sistema
o soporte que asegure su integridad y
acceso sencillo.
Evaluación del desempeño
La norma recomienda que los sistemas de

gestión de denuncia incorporen medidas para
seguimiento, medición, análisis y evaluación
del rendimiento del sistema.
Para ello, las organizaciones han de considerar

la forma de realizar estas actividades y
seleccionar una serie de indicadores, tanto
cuantitativos como cualitativos, tales como
el número de denuncias de irregularidades
recibidas por ámbito geográfico, naturaleza
Representación conceptual de los elementos de un Sistema de Gestión de la denuncia de irregularidades.

Fuente: ISO 37002:2021
9.8. Proceso de gestión del de medios tecnológicos; las opciones de
canal de denuncias confidencialidad y protección, etc.
La gestión del canal de denuncias debe Tanto en los canales de denuncias externos
documentarse en un procedimiento interno, como en los internos, se deberá llevar

un registro de todas las denuncias para
en que se regule todo el ciclo de vida de una
documentar su recepción.
denuncia, desde su comunicación inicial hasta
su resolución final, cualquiera que pueda ser
En dicho registro se deberá recoger toda la
esta.
información y documentación anexa a la
denuncia. Posteriormente, conforme avance
Una vez establecido el canal con sus diferentes
el proceso (evaluación, investigaciones
vías de comunicación, y las normas que los
y análisis realizados, conclusiones, las
gobiernan, es el momento de detallar cómo
recomendaciones a la alta dirección, las
se opera y se gestiona. Para ello, en este
medidas adoptadas, etc), se incorporará esta
material seguiremos la pauta establecida
información al expediente donde se registre
en la ISO 37002, que contempla las cuatro
la denuncia.
siguientes fases:

establece al respecto lo siguiente:
“Registro de las denuncias
1. Los Estados miembros velarán por que las

Fases en la gestión de denuncias de irregularidades.
Fuente: ISO 37002
entidades jurídicas de los sectores privado
y público y las autoridades competentes
9.8.1. Fase 1: Recepción de lleven un registro de todas las denuncias
denuncias recibidas, en cumplimiento de los requisitos
de confidencialidad contemplados en el
En esta fase se ejecuta, como hemos dicho,
artículo 16. Las denuncias se conservarán
sobre un modelo predefinido, donde se
únicamente durante el período que sea
establezca claramente cómo realizar y recibir
necesario y proporcionado a efectos de
las denuncias.
cumplir con los requisitos impuestos por
Este modelo, deberá darse a conocer la presente Directiva, u otros requisitos
(incluyendo no sólo información, sino impuestos por el Derecho de la Unión o
formación) al personal que ha de utilizarlo. nacional.
También deberá informarse a terceros y, en 2. Cuando para la denuncia se utilice

ambos casos, incluyendo: información sobre una línea telefónica u otro sistema de
el uso adecuado del canal de denuncias; mensajería de voz con grabación, a reserva
el objeto del mismo; los diferentes canales del consentimiento del denunciante, las
disponibles y sus características; la utilización entidades jurídicas de los sectores privado
y público y las autoridades competentes garantizarán, a reserva del consentimiento

tendrán derecho a documentar la denuncia del denunciante, que se conserven registros
verbal de una de las maneras siguientes: completos y exactos de la reunión en un
formato duradero y accesible.
a. mediante una grabación de la
conversación en un formato duradero y Las entidades jurídicas de los sectores privado y
accesible, o público y las autoridades competentes tendrán
b. a través de una transcripción completa derecho a documentar la reunión de una de las
y exacta de la conversación realizada maneras siguientes:
por el personal responsable de tratar la a. mediante una grabación de la conversación

denuncia. en un formato duradero y accesible, o
Las entidades jurídicas de los sectores privado b. a través de un acta pormenorizada de
y público y las autoridades competentes la reunión preparada por el personal
ofrecerán al denunciante la oportunidad de responsable de tratar la denuncia.
comprobar, rectificar y aceptar mediante su Las entidades jurídicas de los sectores privado y
firma la transcripción de la llamada. público y las autoridades competentes ofrecerán
al denunciante la oportunidad de comprobar,
3. En los casos en que para la denuncia se
rectificar y aceptar mediante su firma el acta de
utilice una línea telefónica u otro sistema
la reunión.”
de mensajería de voz sin grabación, las
entidades jurídicas de los sectores privado En gran parte de los sistemas no telefónicos
y público y las autoridades competentes o de audio (plataformas de formularios), que
tendrán derecho a documentar la denuncia son los más habituales para la recepción de
verbal en forma de acta pormenorizada denuncias esta fase de recepción de denuncia
de la conversación escrita por el personal incluirá normalmente tres actividades:
responsable de tratar la denuncia. Las
1. Registro automático de la denuncia en
entidades jurídicas de los sectores privado
el sistema.
y público y las autoridades competentes
ofrecerán al denunciante la oportunidad de • Envío de respuesta al denunciante
comprobar, rectificar y aceptar mediante su (a modo de acuse de recibo de la
firma el acta de la conversación. denuncia), comunicación que lo que
suele incluir:
4. Cuando una persona solicite una reunión
con el personal de las entidades jurídicas • Identificación de la denuncia
de los sectores privado y público o de las mediante asignación de código,
autoridades competentes con la finalidad localizador o referencia, para
de denunciar en virtud del artículo 9, seguimiento.
apartado 2, y del artículo 12, apartado 2, las 2. Comunicación al denunciante, con

entidades jurídicas de los sectores privado información adicional, como; recordatorio
y público y las autoridades competentes de opciones y derechos; datos de
contacto; advertencia sobre materias c. la designación de una persona o

objeto de denuncia o queja; plazos de departamento imparcial que sea
resolución y posibles resultados; avisos competente para seguir las denuncias,
sobre tratamiento, protección de datos que podrá ser la misma persona o
y confidencialidad; posibilidad de ser departamento que recibe las denuncias
contactado para recabar información y que mantendrá la comunicación con
adicional o aclarar algunos aspectos de la el denunciante y, en caso necesario,
denuncia, etc. solicitará a esta información adicional y
le dará respuesta;
3. Asignación de un responsable interno.
Dependiendo de la organización y su (…)
distribución de tareas, la denuncia g) información clara y fácilmente accesible

podrá preasignarse o asignarse a una sobre los procedimientos de denuncia
persona o departamento de manera externa ante las autoridades competentes
general, o en función de la opción elegida de conformidad con el artículo 10 y, en
por el denunciante en la taxonomía o su caso, ante las instituciones, órganos u
listado cerrado de ámbitos o acciones organismos de la Unión.
denunciadas, si esa fuese la distribución 2. Los canales previstos en el apartado 1,
de tareas y responsabilidades. letra a), permitirán denunciar por escrito
o verbalmente, o de ambos modos. La
Dichas actividades cumplirían con los
denuncia verbal será posible por vía
regulado por el artículo 8 (registro) y las
telefónica o a través de otros sistemas de
diferentes disposiciones del artículo el 9.1,
mensajería de voz y, previa solicitud del
particularmente los apartados a),b),c) y g), y
denunciante, por medio de una reunión
el 9.2
presencial dentro de un plazo razonable.”
1. "Los procedimientos de denuncia interna
y seguimiento a que se refiere el artículo 8
9.8.2. Fase 2: Evaluación (triaje)
incluirán lo siguiente: Una vez recibida una comunicación a
a. a) canales para recibir denuncias través del canal de denuncias, debe ser
que estén diseñados, establecidos y correctamente evaluada.
gestionados de una forma segura que
Situándonos en el inicio de este proceso,
garantice que la confidencialidad de la
es decir, en el momento en que se ha
identidad del denunciante y de cualquier
hecho uso del canal y se ha recibido una
tercero mencionado en la denuncia esté
denuncia, y cumplimentadas las obligaciones
protegida, e impida el acceso a ella al
normativas de acuse de recibo y asignación
personal no autorizado;
(preliminar) de un responsable, cabe iniciar
b. un acuse de recibo de la denuncia al el seguimiento diligente, del que formará
denunciante en un plazo de siete días a parte la correspondiente evaluación de la
partir de la recepción; denuncia.
Fase de evaluación (triaje) sospechas de irregularidades en el personal,

organización y partes interesadas, incluidos
Evaluación inicial de las denuncias de irregularidades
los daños a la reputación, daños financieros,
para los propósitos de categorización, adopción de
ambientales, humanos o de otra clase.
medidas preliminares, priorización y asignación
para su manejo posterior.
Una vez realizada estas acciones, en la
UNE-ISO 37002 - Sistemas de gestión de denuncia de finalización de la evaluación o triaje pueden
irregularidades darse tres resultados:
• Solicitud de información adicional: En

Así pues, esta fase incluye las siguientes los casos en los que se determina que
actividades: la información con la que se cuenta es
insuficiente para valorar su pertinencia,
• Categorización: Estableciendo el ámbito
credibilidad o fundamentación real (lo que
específico en el que se pueda enmarcar la
justificaría la propuesta de tramitación
irregularidad denunciada.
y apertura de expediente), pero
• Medidas preliminares: Propuesta o existan elementos o circunstancias que
adopción de medidas, en función de las desaconsejen una propuesta de archivo.
circunstancias, urgencia, gravedad; para En función de la respuesta del denunciante
proteger al denunciante; detener, evitar y datos adicionales aportados, se abriría
o minimizar un daño a la organización o expediente o se archivaría (en caso de ser
terceros; proteger evidencias o por otras insuficientes o no recibir respuesta).
circunstancias análogas.
• Propuesta de archivo: En los casos en
• Priorización: Variable según el ámbito, los que la denuncia se considerada no
urgencia, gravedad u otros factores a pertinente, improcedente, o no incluida
considerar. entre las materias a comunicar a través
del canal. Si así fuera, se propondrá
• Asignación: Aunque la denuncia deba
remisión de comunicación al denunciante
estar pre-asignada a un departamento
para informarle de la dicha decisión,
o persona específica que lleve a cabo
archivando de la denuncia (ya como parte
la evaluación o triaje, dependiendo de de las fases de tramitación y conclusión).
la organización, esta puede requerir En su caso, se redirigirá al denunciante al
una confirmación de la asignación canal adecuado.
y reasignación, por separación o
distribución de tareas. • Propuesta de apertura de expediente:
En caso de una denuncia que contenga
En la valoración de las actividades anteriores datos, evidencias o sospechas de
pueden influir diversos factores, pero lo apariencia fundamentada y suficientes,
indicado es que se considere el riesgo asociado se procederá a proponer la apertura de
a cada denuncia, como la probabilidad y expediente y la consecuente comunicación
gravedad del impacto de las irregularidades o al denunciante esta circunstancia.
En cualquiera de los supuestos anteriores, verificación y análisis de las evidencias que

deben documentarse los motivos concretos apoyen la denuncia, recopilación de otras
que se han considerado para proponer nuevas (en su caso), así como toda clase de
archivo o apertura de expediente, de manera comprobaciones para contrastar o descartar
que pueda probarse posteriormente la la veracidad de los hechos denunciados,
actuación del órgano en esta materia. su alcance, gravedad, etc. En definitiva, las
labores de investigación.
No obstante, no son las únicas tareas a

desarrollar. Es recomendable que este
procedimiento se lleve a cabo habiendo
predefiniendo un reparto de tareas y
responsabilidades, donde se asegure que
ninguno de los participantes (en caso de
existir varios) se encuentre ante una situación
de conflicto de intereses.
Por último, todos los involucrados en la

investigación han de ser conscientes del
deber de confidencialidad reforzado que
se les impone respecto de la información
conocida en el desarrollo del procedimiento.
También debe dotarse al personal

responsable, de la autoridad suficiente
como para solicitar y obtener la colaboración
de otras áreas de la organización cuya
aportación pueda ser imprescindible,
Flujograma parcial de las fases iniciales del proceso.

necesaria o relevante en materias propias
Elaboración propia. de su especialidad (por ejemplo, el área de
Fuente: Basado en Directiva 1937/2022 e ISO 37002
IT, de seguridad o la de RRHH). Este deber
9.8.3. Fase 3: Tratamiento. de colaboración se deberá incluir en el
documento que recoja el procedimiento y
Aunque el tratamiento o gestión per se
deberá ser comunicado al resto de áreas de
comienza desde la misma recepción de
la organización, y no debe interpretarse como
la denuncia, se considera que esta fase
un derecho de los colaboradores a acceder a
es posterior tanto a este hecho como a la
toda la información obrante en el expediente,
evaluación inicial de la denuncia.
sino únicamente a la mínima imprescindible
Así pues, esta fase incluye fundamentalmente que necesiten conocer.
las actividades de relacionadas con la
Es conveniente, en aras de preservar la depender de la voluntad del denunciante.

confidencialidad y proteger la información, Se evita así el uso interesado o de mala fe
que el procedimiento de investigación se del canal por parte del denunciante para
gestione mediante algún tipo de sistema de obtener ventajas a cambio de retirar una
gestión documental (con acceso limitado, denuncia.
restringido y auditado), una base de datos
• Contradicción: El procedimiento
(que permita garantizar la confidencialidad,
de investigación requiere permitir al
integridad y acceso de la información obrante
denunciado que, ante la imputación
en la investigación) o sistema equivalente.
de unas conductas, pueda ejercer su
Para ello, será necesario implantar las
derecho de defensa y alegar todo aquello
medidas de seguridad que correspondan en
que a su derecho convenga (principio
función de la tipología de datos tratados.
de contradicción). Así, no se debería
Principios rectores adoptar ninguna medida o decisión
irreversible sobre el investigado sin un
El tratamiento de las denuncias y su trámite previo de audiencia, en el que se
investigación, teniendo en cuenta la le imputen hechos o comportamientos y
potencial vertiente penal de las actividades pueda alegar o justificarse (incluyendo un
que pueden tener, debe estar alineado con periodo de tiempo suficiente para ello).
los principios rectores fundamentales de
los procedimientos judiciales, que son los Actividades de investigación
siguientes:
Es deseable que, en el momento del inicio
• Carácter escrito del proceso: Sea cual de las actividades de investigación, se realice
sea la vía de entrada, las actuaciones de un informe completo sobre la denuncia que
toda clase deben quedar adecuadamente contenga todos los extremos que puedan
documentadas por escrito, sin perjuicio ser necesarios para que el responsable de
de que determinadas acciones en el la misma realice su labor en condiciones
curso del proceso tengan carácter verbal óptimas. Este informe debería contener,
(por ejemplo, la primera información al entre otras, las siguientes cuestiones:
denunciado o la necesidad de realizar
• Información descriptiva de la denuncia,
entrevistas individuales con testigos o
con indicación de su fecha de recepción.
con el denunciante para esclarecer los
hechos). • Datos aportados en la denuncia, con
la discriminación de los datos que sean
• Impulso de la investigación por parte
objetivos y los datos que puedan ser
de la organización: Una vez el órgano
subjetivos, adjuntando los documentos,
competente recibe, por cualquier vía, una
grabaciones, vídeos o cualquier otro
comunicación de hechos susceptibles de
medio que haya sido aportado como
ser contrarios a las normas internas de la
prueba.
organización, la investigación no puede
• Informe de evaluación (triaje), En el momento de la comunicación, se debe

incluyendo la categorización, medidas tener presente ciertas buenas prácticas para
preliminares propuestas o adoptadas evitar malentendidos con los roles y derechos
(por razón de urgencia) y priorización. del empleado denunciado en la investigación
(la denominada Advertencia Upjohn, también
• Valoración del contenido de la denuncia
conocida como Advertencia Corporativa
y de la fiabilidad del denunciante.
Miranda o Corporate Miranda Warning194).
• Análisis de la información con expresión
A continuación, se llevará a cabo la
de las hipótesis más probables y las de
investigación exhaustiva de la denuncia, que
mayor riesgo.
consistirá, principalmente, en el análisis de la
Se debe insistir en la importancia de que, al documentación obrante en el expediente, en
igual que en fases anteriores, si durante el la recolección de todo tipo de pruebas que
desarrollo de las actividades de investigación permitan contrastar los hechos denunciados
se descubren hechos o circunstancias cuya y en su análisis exhaustivo. En definitiva, el
gravedad aconseje la adopción inmediata objetivo de este ejercicio de investigación es
o urgente de medidas, dicha situación debe determinar la veracidad o no de los hechos
ser documentada y trasladada sin demora a objeto de la denuncia.
la alta dirección de la organización u órgano
En este momento sí se deberá dar oportunidad
decisor correspondiente. Todo ello, por
al denunciado para que pueda exponer los
supuesto, con independencia del desarrollo
hechos que considere relevantes y aportar
posterior del procedimiento de investigación
todas aquellas pruebas que puedan probar
de la denuncia.
su inocencia en lo que a la denuncia se refiere.
Por último, es necesario informar a Una vez ofrecida al denunciado la posibilidad
denunciante y denunciado sobre el inicio de defenderse de todos los hechos que se
de la investigación. Si la comunicación al le imputan y de rebatir las evidencias en su
denunciado pudiera comprometer las contra, se puede dar por cerrada la fase de
indagaciones, se deberá justificar por escrito investigación.
y de manera detallada los extremos que
Como se ha indicado anteriormente, en un
han llevado al órgano responsable a tomar
número considerable de organizaciones, el
dicha decisión. No obstante, la falta de
departamento de Compliance suelen estar al
comunicación al denunciado de ser objeto de
frente de la investigación, aunque no siempre
la investigación no deberá, en ningún caso,
es así.
imposibilitar o limitar injustificadamente sus
derechos.
Sea como fuere, es habitual que están
apoyados por otras áreas de la organización
194 Joy, Peter & Mcmunigal, Kevin. (2010). Corporate “Miranda” War-
nings. Paper 10-07-02. Legal Studies Reasearch Paper Series. Was-
hington University in St Louis.
que pueden aportar y colaborar constituyen un ámbito de solapamiento

significativamente a la obtención, análisis e con Compliance de gran relevancia, por
interpretación de las evidencias, o apoyo en lo que será necesario establecer entre
la toma de decisiones. ambos un reparto de funciones, tareas e
interlocución con la administración.
Aunque dependerá de la estructura interna y
de la distribución de tareas, podrían ser las • Asesoría Jurídica: Encargada, entre
siguientes: otras cuestiones, de analizar las posibles
consecuencias jurídicas derivadas de la
• Seguridad Corporativa: Quizá
investigación. También intervendrán en
desconocida para muchos, constituye
los supuestos en los que la investigación
sin duda la primera opción en aquellas
proceda de o vaya dirigida a un tercero
organizaciones que cuentan con un
con el que se mantiene una relación
Departamento de Seguridad.
contractual.
En España, su existencia formal se remonta
• Área de tecnología o de sistemas
a 1992, con la aprobación de la primera Ley
de información: Colaborarán en la
de Seguridad Privada. Desde entonces,
obtención e investigación de evidencias
la normativa ha impuesto en ciertos
digitales.
sectores la creación de un Departamento
de Seguridad a cargo de un Director de • Alta dirección: Interviene, principalmente,
Seguridad habilitado, sin posibilidad en la fase de conclusiones y toma de
de externalización del departamento decisiones, pero su intervención puede
o la función. Tanto el Director como la ser necesaria también para facilitar al
estructura de dicho departamento y sus responsable de Compliance el acceso a
modificaciones sucesivas, han de quedar determinados recursos adicionales para
inscritos en el registro establecido a los poder completar el procedimiento.
efectos en el Ministerio del Interior.
• Recursos Humanos: Colaborará en la
En dichas organizaciones (bancos, cajas decisión de las medidas disciplinarias a
de ahorro y demás entidades de crédito, adoptar, para ajustarlas a la normativa
etc), no es extraño que el Departamento laboral aplicable. Además, en función
de Seguridad lleve a cabo las pesquisas del tipo de empleado investigado,
internas, bien de forma independiente o su involucración será necesaria (por
en colaboración con Compliance. ejemplo, si el investigado ostenta algún
puesto sindical o es representante de los
Además, las atribuciones del Director de
trabajadores).
Seguridad (ver módulo 6), de acuerdo con
la Ley 5/2014, de Seguridad Privada195, Sin perjuicio de todo lo anterior, es
importante señalar que las áreas que
195 Esta norma reemplazó a la ya veterana LSP de 1992. La Seguri-
dad Privada es un ámbito muy regulado y que puede solaparse colaboran en el proceso de investigación no
en sus funciones con las tareas que, en otros sectores no regula-
dos por la LSP, suelen atribuirse a Compliance. tienen por qué conocer su contenido exacto
ni todos sus extremos. Es responsabilidad de comunicados ponga de manifiesto la

Compliance limitar el acceso a la información ausencia de incumplimiento, el órgano
estrictamente necesaria para que las áreas a competente informará al denunciante y al
las que solicita colaboración puedan cumplir denunciado de dicha decisión, junto con
con su cometido. los motivos que la sustenten.
Para un correcto desarrollo de la fase 2. Denuncia procedente: En el supuesto
de investigación, los responsables de en el que se pruebe que los hechos
Compliance deben contar con los recursos denunciados son ciertos, se deberán
detallar los extremos que sustentan
suficientes para dicha tarea. En este sentido,
dicha conclusión y proceder a preparar el
es una buena práctica que exista una partida
informe de conclusiones.
presupuestaria específica, asignada al órgano
competente con capacidad de investigar Respecto del contenido, el informe de
las denuncias, que deje constancia de su conclusiones reflejará el resultado de toda la
existencia en los estados financieros de la investigación y servirá de base para la toma
organización. La cuantía de dicha partida de las decisiones que procedan. El informe
presupuestaria será un reflejo de la prioridad debe contener, como mínimo, los siguientes
real que otorga la organización a la vigilancia extremos:
e investigación de irregularidades en su seno.
• Aspectos formales y técnicos: Título,
9.8.4. Fase 4: Conclusión autor, fecha, origen, clasificación de
seguridad del documento (restricciones o
La organización debe contar con limitaciones de acceso al mismo).
un procedimiento para concluir las
investigaciones, así como proponer • Antecedentes del expediente desde
el momento en el que se produjeron los
recomendaciones y decisiones basadas en
hechos, junto con los datos de contexto del
los resultados y conclusiones.
caso y de las personas o departamentos
Esta fase finaliza el proceso, y comprende objeto de la investigación.
la puesta a disposición de los hechos del
• Objeto de la investigación y finalidad.
denunciado, el análisis de las pruebas
aportadas y de la propia versión del • Enumeración y descripción de
denunciado, y la posterior redacción del actuaciones y aspectos analizados,
informe de conclusiones dirigido al órgano indicando los hechos relevantes
competente para tomar la decisión. Las investigados y detectados. En todos estos
conclusiones del informe, respecto de la casos se debe conservar, disponible
denuncia, se orientarán en uno de estos dos y referenciada, cualquier evidencia o
sentidos: documentación que se haya utilizado
en el proceso de investigación, haya
1. Denuncia no procedente: En el supuesto sido relevante o no. Es recomendable
en el que la investigación de los hechos que se haga una relación de toda la
documentación utilizada y anexada. Toda 9.9. Medidas disciplinarias e

esta información es conveniente que se incentivos
detalle siguiendo un orden cronológico.
9.9.1. Propuesta y adopción de
• Conclusiones del equipo investigador.
decisiones
• Propuesta de medidas a adoptar o a
La toma de decisiones dentro de un proceso
mantener, tanto disciplinarias, como
de investigación se suele separar del resto
protectoras (del denunciante, personas
relacionadas, etc), correctoras o del procedimiento, principalmente por dos
preventivas. razones:
• Graduación de las infracciones, de • Porque es necesario que la alta dirección
acuerdo con la legislación laboral y el intervenga en el procedimiento, ya que
convenio colectivo vigente, si procediera. son los máximos responsables de la

prevención de actividades irregulares en
Las conclusiones deben recogerse de manera la organización.
clara y concisa, siempre referenciadas a las
• Porque para preservar la imparcialidad y
pruebas obtenidas durante la investigación y
objetividad, es aconsejable que el órgano
su correspondiente análisis.
responsable de realizar las pesquisas
Cualquier conclusión que basada no en (órgano investigador), redactar las
las evidencias, sino en el conocimiento y conclusiones y proponer las actuaciones
experiencia del equipo investigador, debe acciones disciplinarias, no sea el mismo
ir acompañada de una advertencia en tal que decidirá sobre ellas.
sentido. Si ha existido, asimismo, alguna
Por ello, la decisión sobre las medidas a
limitación en el trascurso de la investigación
o no se ha podido obtener alguna de las adoptar deberá corresponder a un órgano,
evidencias solicitadas, también debe quedar normalmente con carácter multidisciplinar
reflejado en el informe de conclusiones. (quizá un comité disciplinario, por ejemplo,

donde haya representantes de RRHH,
Las conclusiones de esta fase han de trabajadores, directivos), en el que participen
servir igualmente para informes de personas con altos niveles de responsabilidad
gestión, lecciones aprendidas, formación y en la organización, quienes tomarán la
concienciación, propuesta de modificaciones decisión basándose en la información
y mejoras de la que se realice un posterior recogida en el informe y, en su caso, podrán
seguimiento. tener en cuenta las recomendaciones o
graduarlas con libertad.
Como en todas las fases, las actuaciones
quedarán documentadas y se conservarán En este punto es importante establecer
y protegerán debidamente, mediante n mecanismos que eviten posibles conflictos
sistema o soporte que garantice su integridad de intereses en los miembros del órgano
y acceso. decisorio por afectar a su área de
responsabilidad o por cualquier circunstancia cliente o socio de negocio), las medidas se

que pueda poner en peligro su objetividad o limitarán al ámbito mercantil. Por ejemplo,
su imparcialidad. las medidas pueden incluir la limitación de
actuaciones, la adopción de procedimientos
9.9.2. Sanciones
de diligencia debida reforzada o, en casos
Entre las decisiones que se pueden adoptar, graves, la rescisión unilateral de relación
se encuentran evidentemente los correctivos contractual por parte de la organización.
o sanciones disciplinarias a los empleados

9.9.3. Monitorización de las
afectados.
decisiones adoptadas
Como es evidente, las sanciones deberán ser
Siguiendo las directrices de los estándares
siempre aquellas previamente contempladas
internacionales aplicables, es recomendable
por la normativa interna o sectorial,
que el órgano competente, respaldado
proporcionales a las irregularidades cometidas
por la alta dirección, se asegure de que
y limitadas en el tiempo. Normalmente se
las decisiones adoptadas se llevan a cabo
podrán adoptar desde apercibimientos y
debidamente. Además, se cerciorarán de
amonestaciones (de carácter formal) hasta la
que el modelo de gestión se modifica para
suspensión de salario y/o empleo, e incluso el
corregir posibles deficiencias provocadas por
despido disciplinario.
los incumplimientos (mejora continua).
En ocasiones, atendiendo a la política de la

Dicho seguimiento no solo promoverá la
organización, al perfil del empleado y a las
mejora continua del modelo de gestión de la
circunstancias, aun siendo formalmente
organización, sino que también reforzará su
sancionado y constando dicha circunstancia
cultura de Compliance, en tanto en cuanto
en el expediente del empleado, puede
transmitirá un mensaje claro a todas las
ofrecerse a éste la suspensión condicionada
personas concernidas de que la organización
de la ejecución de dicha sanción o de alguno
no aceptará ninguna conducta que suponga
de los efectos más graves de esta.
la contravención de las leyes y de las normas
La condición suele vincularse a cambio internas.
o con el compromiso de realizar ciertas

Sin perjuicio de la necesidad de sancionar
actividades formativas, de concienciación de
aquellas conductas que supongan un
otra naturaleza similar, relacionada con el
incumplimiento o un riesgo de incumplimiento
hecho reprobado. Para el estudio de dichas
en la organización, es conveniente que la alta
sanciones puede ser conveniente recurrir a
dirección disponga también de un sistema
un asesoramiento jurídico interno o externo.
interno de recompensa que reconozca y
En el supuesto en el que el investigado sea premie a los que colaboran y promueven
un tercero con el que no se mantiene una una cultura de Compliance en su entorno
relación laboral (por ejemplo, un proveedor, profesional.
9.10. Resumen de módulo
• Una parte esencial de la mejora de la cultura de Compliance y la lucha contra la corrupción y las
irregularidades en las organizaciones se basa en la prevención y la obtención de información
relevante. Para ello, es esencial facilitar involucrar a los empleados y partes interesadas en esta
labor y obtener su colaboración.
• La denuncia de una irregularidad es “el acto de informar sobre la sospecha de una infracción o el
riesgo de una infracción”, o bien proporcionar “información sobre sospechas de irregularidades o
irregularidades reales aportada por un denunciante”.
• En estas definiciones existen varios elementos: la información (contenida en la denuncia),

el denunciante y el riesgo. No se trata únicamente de informar de hechos acaecidos, sino
de circunstancias que suponen o pueden suponer un riesgo (un daño potencial aún no
materializado).
• Los canales de denuncia se configuran como una herramienta esencial para recibir la
información de los denunciantes (personas que informan sobre sospechas de irregularidades
o irregularidades reales y tiene una creencia razonable de que la información es verdadera en
el momento de informar).
• En España y la UE la normativa relacionada con los canales de denuncia es relativamente nueva

y se encuentra en desarrollo. Existen antecedentes en el Código de Buen Gobierno (2006) pero
como recomendaciones y limitadas a sociedades cotizadas. También hay referencias vinculadas
a la interpretación de la LOPD (AEPD, 2007), pero contraproducentes (por no permitir las
denuncias anónimas). Por último, se pueden mencionar las modificaciones del CP 2010 y 2015
en relación a la responsabilidad penal de las personas jurídicas. No obstante, todas ellas con
efectos y progreso muy limitado hasta y la aprobación de la Directiva UE 2019/1937, verdadera
impulsora de esta medida.
• De acuerdo con la Directiva 2019/1937, existen fundamentalmente dos tipos de canales

de denuncia. Los internos, en los que las denuncias se producen dentro de la organización
(pública o privada); y los externos, en los que las denuncias se producen ante las autoridades
competentes. De forma general, se deben priorizar los primeros frente a los segundos.
• La Directiva UE 2019/1937 regula en detalle todos los aspectos relacionados con las obligaciones
y requisitos de implantación de los canales, las vías de contacto y acceso, su publicidad, los
asuntos denunciables, la protección del denunciante, la gestión de las denuncias, etc.
• La ISO 37002 - Sistemas de gestión de la denuncia de irregularidades. Directrices es una

norma internacional que se ha incorporado recientemente (julio 2021) al ámbito de Compliance.
• La ISO 37002 es totalmente compatible con la Directiva UE 2019/1937. Eso sí, contiene
recomendaciones, por lo que no es certificable. La norma se basa en tres principios: confianza,
imparcialidad y protección, y establece cuatro fases en la gestión de un sistema de denuncia

de irregularidades: Recepción, Evaluación, Tratamiento (gestión) y Conclusión.
• La protección del denunciante (y de aquellos relacionados con las denuncias que puedan
ser objeto de represalias) es un elemento clave tanto de la ISO 37002 como de la Directiva
2019/1937. La primera lo establece como uno de los principios que debe gobernar el sistema. La
segunda establece medidas de protección que van desde la confidencialidad, a la prohibición
de represalias (las cuales disfrutan de una amplia interpretación) y medidas de apoyo de
varios tipos (protección jurídica por sus revelación y ausencia de responsabilidad derivada, así
como presunción de constituir represalia cualquier perjuicio posterior que se le cause).
• Disponer de un canal de denunciar no es una cuestión meramente de cumplimiento normativo.

Bien configurado, proporciona múltiples beneficios, incluso más allá de los mencionados por
la ISO 37002, que son: (1) Alerta temprana (para identificación y reacción de la organización);
(2) Prevenir o minimizar la pérdida de activos y su recuperación; (3) Asegurar las labores de
Compliance (cumplimiento de obligaciones y compromisos); (4) Atracción y retención de talento
comprometido; (5) Demostrar buenas prácticas de gobernanza.
Módulo 10
Comunicación, formación
y sensibilización
MÓDULO 10 • COMUNICACIÓN, FORMACIÓN Y SENSIBILIZACIÓN
Módulo 10 En los últimos años se ha consolidado el

entendimiento de que Compliance guarda
Comunicación, formación mayor relación con la mejora de la conducta
y sensibilización de las personas que con limitarse a su

control (sobre todo en organizaciones con
Objetivos un número elevado de empleados y/o que

actúan en diferentes jurisdicciones).
deberá ser capaz de: La cultura de Compliance no se adquiere
solo vigilando el comportamiento de
los individuos sino, especialmente,
• Diferenciar los conceptos y características
individuales de la comunicación, formación y logrando que interioricen una serie de
sensibilización en la cultura de Compliance. valores y compromisos para luego ser
consecuentes con ellos en su quehacer
• Distinguir las diferentes tipologías de
comunicación y sus métodos.
diario. Evidentemente, siempre existirán
personas no dispuestas a aceptar esa
• Comprender cómo se comunica dentro de las
responsabilidad, pero, seguramente,
organizaciones y los factores clave.
serán las mismas que tampoco aceptarían
• Entender la influencia de la formación en la controles sobre su conducta y buscarían
cultura corporativa y conocer las diferentes
el modo de vulnerarlos. En este contexto,
opciones, tipos y herramientas disponibles.
la formación y sensibilización devienen
• Comprender el concepto de sensibilización en herramientas esenciales para la función de
el ámbito de Compliance. Compliance, con ciclos formativos internos
cada vez más completos y estructurados,
10.1. Introducción así como campañas de sensibilización más
enfocadas y eficaces.
El funcionamiento y el éxito de las
organizaciones derivan, entre otras En este módulo se tratarán la comunicación,
cuestiones, de la necesidad de que sus la formación y la sensibilización como
miembros tengan acceso a información conceptos clave dentro de la cultura de
que les permita saber cómo actuar. Esa Compliance.
información es variada y generalmente se
Así pues, en un primer bloque se examinará
origina en los estratos con mayor poder
la comunicación, como herramienta
decisorio dentro de una organización. Por
fundamental de cara a informar sobre las
ello, las organizaciones precisan contar con
canales de comunicación apropiados para novedades que se van produciendo en
asegurar que el flujo de información llega a una materia tan cambiante como la de
todos los niveles, contribuyendo así a una Compliance. En este módulo se realiza un
mejora de la conducta de sus receptores. estudio de la comunicación en tanto que
instrumento básico para la implementación 10.2. Comunicación

de un marco de Compliance adecuado.
Los procesos de comunicación pretenden
El segundo bloque se centra en la formación, ordenar un flujo de información recurrente
un proceso continuo, planificado y periódico desde las áreas funcionales o unidades de
que sirve para adquirir y afianzar los negocio de la organización que, como primera
conocimientos necesarios para desempeñar línea de defensa, gestionan materias con
las funciones, así como para adquirir valores trascendencia que deben ser comunicadas a
y transmitir los principios de la organización. la función de Compliance, para que esta pueda
detectar a tiempo riesgos de incumplimiento
Por último, la sensibilización, se encuentra
u oportunidades de mejora. Evidentemente,
íntimamente relacionada con la formación,
los procesos de comunicación son una pieza
ya que se centra en la aprehensión de ciertas
clave para la prevención.
pautas de comportamiento relacionadas con
el Compliance. Para generar una comunicación fluida, es
fundamental crear protocolos o herramientas
En definitiva, cuando el personal de una de comunicación específicos para el ámbito
organización interioriza el significado de de Compliance en los cuales se especifiquen
las obligaciones de Compliance, mejora las líneas básicas de la comunicación, su
notablemente su capacidad para adoptar contenido mínimo, el momento en el que se
decisiones sin miedo. Por este motivo, los debe comunicar, las personas a las que debe
estándares más modernos sobre Compliance ir dirigida dicha comunicación y los canales
(la norma ISO 37301 sobre Sistemas de adecuados para comunicar.
Gestión de Compliance y la norma ISO 37001
sobre Sistemas de Gestión Anti Soborno) La inexistencia de un buen protocolo o
enfatizan en las acciones de comunicación, herramienta de comunicación en el seno de

la organización aumenta las probabilidades
formación y sensibilización como factores
del fracaso del modelo de Compliance, o al
clave para lograr una adecuada cultura de
menos, disminuye su eficacia.
Compliance que contribuya a adoptar las
decisiones correctas. La mayor parte de organizaciones fijan
ciertas pautas de comunicación con la
Por ello, la comunicación, la formación y la
función jurídica interna, aunque pocas las
sensibilización, son componentes decisivos
tienen procedimentadas, y menos aún
de la cultura de Compliance, ya que no
sustentadas además por herramientas. Son,
sólo fomentan una más rápida gestión de
normalmente, procesos de comunicación
los recursos y procesos, sino también la
informales.
transmisión de los valores y objetivos de la
organización. Este déficit formal propicia algunas
disfunciones:
• Las reuniones, conferencias o cada materia crítica. Lo contrario podría

videoconferencias informales corren dar lugar a pensar que aparte de la función
el riesgo de que terminen sufriendo de Compliance, se están asumiendo como
inconsistencias: varía su periodicidad, propias más obligaciones de vigilancia y
su composición, llegando a desaparecer control y que no le corresponden.
durante periodos de tiempo o
Este escenario, que bien podría darse en
definitivamente.
algunas organizaciones, conllevaría dotar a la
• Se desdibuja su objetivo, de manera función de Compliance de un nutrido número
que la finalidad última de mantener la de personas especializadas en las diferentes
comunicación se diluye o incluso cambia materias críticas sobre las que se reciben
de sentido, migrando a propósitos que estos informes.
poco o nada tienen que ver con el control
interno en materias de Compliance. Por ello, al elaborar estas herramientas
de comunicación, se plantea como
• Produce ineficiencias, al no existir un
recomendable, hacer partícipes a las áreas
guion (proceso) acerca de su composición,
implicadas que deberán cumplimentar
objetivos y modo de desarrollo, ni tampoco
los informes y, asimismo, buscar un tipo
un documento (herramienta) donde se
de preguntas que, con cierta amplitud y
plasmen los resultados, propiciando la
libertad, permita poner en conocimiento de
falta de enfoque y vaguedades.
la función de Compliance aquellas cuestiones
que, realmente, gocen de la trascendencia
Estas disfunciones dificultan obtener y
suficiente.
manejar información de calidad, de ahí que
los procesos de comunicación informales
Por otro lado, hay que destacar el fuerte
deban siempre verse desde una perspectiva
componente psicológico que rodea a todas las
crítica.
comunicaciones que tienen lugar en el seno
de la empresa, desde aquellas que provienen
Sin embargo, el proceso de comunicación
de las esferas con mayor poder decisivo hacia
formal pondrá cuidado en la composición,
sus empleados, como las que estos últimos
periodicidad, áreas involucradas (funciones,
puedan trasmitir a sus superiores o a otros
unidades de negocio, etc.), materias a tratar y
compañeros. La teoría de la comunicación
objetivos últimos pretendidos. Para garantizar
demuestra que las personas aprenden unas
todo ello, lo aconsejable es que derive en una
de otras de discusiones que se mantienen
herramienta específica.
sobre temas controvertidos ya que se
No obstante, estas herramientas de comprenden mejor y están más motivados
información o comunicación no deberían para cumplir las expectativas y términos
buscar suplir el criterio experto que, como no mutuamente acordados. Las personas que se
puede ser de otro modo, reside en la primera ven obligadas a considerar diferentes puntos
línea de defensa que ya está gestionando de vista alcanzan un mayor compromiso.
Una cultura de integridad y cumplimiento, buenas relaciones con y entre sus

así como la consideración de las necesidades miembros, a través del uso de diferentes
y expectativas de las partes interesadas, medios de comunicación que los
son la base y la oportunidad para que una mantengan informados, integrados y
organización logre tener éxito y sostenibilidad motivados para contribuir con su trabajo
a largo plazo. Para ello, hay que inculcar los al logro de los objetivos organizacionales.
valores y el compromiso con la cultura de
• Comunicación externa: Conjunto de
integridad y cumplimiento de la organización,
mensajes emitidos por la organización
en las personas que trabajan en ella por
hacia sus diferentes públicos externos,
medio de numerosos factores, entre los que
encaminados a mantener o mejorar
destaca la comunicación.
sus relaciones con ellos, a proyectar
10.2.1. La comunicación interna y una imagen favorable o a promover sus
externa productos o servicios. Abarca lo que en
términos generales conocemos como
Como se ha mencionado anteriormente, la
Relaciones Públicas, como la Publicidad.
comunicación en el seno de una empresa
es un pilar fundamental para su correcto En definitiva, la comunicación interna
funcionamiento. La comunicación fomenta pone en contacto a todos los miembros y
la coordinación y relación adecuadas entre departamentos de una entidad, con el fin de
los distintos departamentos de una empresa, cumplir con los objetivos por ella marcados.
promueve el flujo comunicativo desde la alta El flujo de información y comunicación en el
dirección al resto de empleados y favorece seno de una organización es un indicador del
la transmisión rápida y eficiente de la su correcto funcionamiento.
información, entre otras funciones.
De la misma manera, aquellas organizaciones
Los dos tipos de comunicación principales en las que no existe un protocolo de
son la comunicación interna y la externa. comunicación interno presentan mayores
Cabe destacar que algunas empresas de dificultades comunicativas entre el personal
mayor tamaño cuentan con departamentos (tanto de manera vertical como horizontal).
especializados tanto en comunicación Evidentemente, este hecho crea incertidumbre
interna (en el seno de la organización) en la organización, ya que el personal no sabe
como en comunicación externa (relación de el medio o la forma por la cual va a recibir la
la organización con un tercero). En líneas comunicación, y la alta dirección tampoco
generales se definen como196: conoce el canal más eficaz para hacer llegar
la información a sus empleados. La falta de
• Comunicación interna: Conjunto de
este flujo comunicativo conlleva un aumento
actividades efectuadas por la organización
del riesgo operacional de la empresa.
para la creación y mantenimiento de
Un aspecto para destacar dentro de la
196 Andrade, H. Comunicación organizacional interna: proceso, discipli-
na y técnica. Netbiblo, Madrid, 2005. comunicación interna es el “boca a boca”.
Esta forma de comunicación informal puede • Registrable y medible. Las comunicaciones

variar la versión del mensaje que inicialmente deben archivarse, para dejar constancia
se quería transmitir. Es por ello por lo que hay del contenido y fecha de su recepción;
que tener especial cuidado con este medio, y también para facilitar acceso a la
sobre todo no transmitir información sensible información en ellas contenida. Asimismo,
por medio de este tipo de comunicación no facilita el control (dado que, puesto que,
formal. en la mayoría de las ocasiones, el registro
es digital).
Una comunicación adecuada y eficiente
debería cumplir, como mínimo, los siguientes La necesidad de registrar las
requisitos: comunicaciones no obedece solo a facilitar
el acceso a las mismas, sino también por
• Que sea fácilmente accesible por el
requisitos legales (como es el caso de
conjunto de la organización.
comunicaciones que contienen cambios
• Que la información sea identificable. en los protocolos de la organización).
Esto conlleva que los canales sean
los adecuados y que las tipologías de
comunicación estén distinguidas. Por
ejemplo: Si una empresa con una Intranet
(de acceso universal para el personal, y
dedicada la publicación de información
relevante) decide hacer un comunicado
importante, y este se publica en la Intranet
pero a continuación se envía por correo-e,
fomentará que se deje de consultar
la intranet, al darse por hecho que la
información será enviada por correo-e.
• Cuando, si contiene información

clasificada, esta es identificable (ya
sea confidencial, de uso interno o con
cualquier limitación de difusión). Las
comunicaciones internas o sujetas a
restricciones deben identificarse como
tales, para evitar su divulgación a terceros
que no autorizados.
Requisitos para una comunicación eficiente. Elaboración propia.
• Concisión. Es fundamental que el objeto
de la comunicación esté bien identificado, En la actualidad, las organizaciones disponen de
así como que se proporcione el rápido numerosos medios tecnológicos que facilitan la
acceso a información más detallada. coordinación y efectividad de estas tareas.
Sin embargo, las aplicaciones tecnológicas potenciales, otras partes interesadas, etc.),
pueden resultar un arma de doble filo, ya que tiene como objetivo último beneficiar a la
se tiende a abusar de las mismas. Un ejemplo propia organización.
común es el elevado número de correos
Generalmente, la comunicación externa se
electrónicos que se envían a diario, y que
realiza principalmente por tres motivos:
pueden acabar dificultando la comunicación
-por saturación- en lugar de favorecerla. • Proyectar una imagen favorable. En esta
categoría se encuadran una gran variedad
Así, a pesar del boom de la mensajería en
de comunicaciones, entre las que cabe
tiempo real, el correo electrónico sigue
destacar la publicidad, los eventos
consumiendo gran parte de nuestro tiempo.
corporativos o las promociones.
A partir de aquí, hay que plantearse si este
sistema de comunicación es el más efectivo o • Desarrollar aspectos operativos. Esta
si por el contrario termina siendo una carga. categoría, aunque es obligatoria por
De ahí la importancia de saber elegir el canal normativa, también contribuye a la
adecuado para enviar las comunicaciones mejora de la imagen de una organización.
internas en el seno de una empresa, así como Las comunicaciones más habituales que
las personas a las que van dirigidas. pertenecen a este grupo son aquellas
relacionadas con las transacciones, los
En lo que respecta a las comunicaciones
recibos, la posición, etc. que agrupan
externas, se podría afirmar que existen tres
el grueso de la actividad del cliente o
vías principales de informar:
proveedor con la entidad en cuestión.
• Comunicación personalizada: Se envía
• Mantener la relación con el cliente.
a los clientes por medio de correo
Es evidente que las organizaciones
electrónico u otros canales similares, o
empresariales deben atender a sus
correspondencia en su domicilio.
clientes. Un ejemplo típico de esta
• Comunicaciones y promociones: categoría de comunicaciones son las
Colectivas, no personalizadas, que promociones de los bienes o servicios
se envían a los proveedores, clientes que oferta la organización.
o clientes potenciales, otras partes

De cara al envío de comunicaciones externas,
interesadas, etc. de la organización.
hay que subrayar la importancia que tiene el
establecimiento de un protocolo de actuación.
• Web y RRSS: A través de la información en
la página web corporativa y otros canales En este sentido, es fundamental que todos
digitales. los actores externos tengan claras las vías
de comunicación con la entidad en un doble
La comunicación externa, entendida esta
sentido: de entrada (para comunicarse con la
como el conjunto de mensajes emitidos
empresa); y de salida (para que la empresa
por la organización hacia el público externo
pueda comunicarse con el público exterior).
(bien sean proveedores, clientes o clientes
La imagen externa de una empresa es vital, 10.2.2. Los flujos internos de

no solo para la conservación de los clientes, comunicación
sino también para transmitir confianza a
potenciales consumidores, así como al resto En la actualidad, los valores y principios que las
de partes interesadas. empresas desean transmitir a sus empleados
son a menudo difíciles de interpretar.
En cuanto al protocolo de comunicación Nociones como “integridad”, “sostenibilidad”,
externa que se menciona más arriba, este “profesionalidad” o “trasparencia” son
debe estar alineado con las características conceptos indeterminados que deben ser
y objetivos principales de la corporación. aclarados para adecuar el comportamiento de
El mensaje debe ser nítido y efectivo y los empleados a las finalidades de Compliance.
los canales bien definidos. Los aspectos Una de las vías para aclarar estos conceptos es
principales de este protocolo deben al menos
la comunicación en el seno de la organización.
tratar los siguientes puntos:
Atendiendo a la direccionalidad, existen
• Una descripción clara de la identidad
fundamentalmente tres modelos de
corporativa, que explique: a qué se dedica
comunicación:
la empresa, cuáles son sus objetivos,
principios, valores, etc • Vertical descendente (“top down”).
• Y, por otro lado, una definición de la • Vertical ascendente (“bottom-up”).

estrategia de medios, canales y mensajes
• Horizontal.
que mejor se adapten a la consecución de
los objetivos previamente definidos. Modelos de comunicación interna
La comunicación vertical descendente es el

flujo de información que se produce desde
la alta dirección o desde un estrato superior,
hacia el resto de los empleados que se
encuentran en un estamento inferior.
Gran parte de la comunicación que se lleva

a cabo en el seno de una organización es
Diagrama de gestión de la comunicación. Elaboración propia. comunicación escrita del primer tipo (vertical
descendente, mediante comunicados, La idea básica de los círculos de calidad consiste

correos-, etc) que los directivos dirigen en concienciar en calidad y productividad en todos
a los miembros de la organización. Sin y cada uno de los miembros de una organización,
a través del trabajo en equipo y el intercambio de
embargo, cuando se piensa en insertar
experiencias y conocimientos, así como fomentar
este procedimiento, las organizaciones se
el apoyo recíproco. Todo ello, para el estudio y
enfrentan a dos cuestiones fundamentales:
resolución de problemas que afecten al adecuado
• Si los directivos sabrán decidir desempeño y la calidad de un sector de trabajo,
proponiendo ideas y alternativas con un enfoque
correctamente qué tipo de información
orientado al progreso continuado.
comunicarán a sus trabajadores.
• Si dichas comunicaciones influirán el

En tercer lugar, se sitúa la comunicación
comportamiento y la productividad de
horizontal. Esta, como su propio nombre
sus empleados.
indica, es aquella que ocurre entre personas
Desgraciadamente, la comunicación vertical del mismo o similar nivel jerárquico. Se trata
ascendente es la gran olvidada por muchas generalmente del flujo de información entre
entidades a pesar de ser uno de los elementos empleados, responsables y departamentos
de éxito dentro de la misma. o funciones sinérgicas dentro de la

organización.
Este tipo de comunicación circula desde
sectores con menos autoridad hacia aquellos Por último, cabe mencionar la existencia
que tienen un mayor peso en la toma de de canales internos y menos formales de
decisiones. Si bien este flujo se produce para comunicación. Un ejemplo típico de este
tipo de comunicación son las reuniones
comunicar los resultados de un trabajo, para
periódicas directas con las distintas unidades
notificar incidencias o realizar consultas,
de negocio o sectores, dedicadas a comentar
sería recomendable que sirviera como un
novedades o resolver dudas. Sin embargo,
mecanismo de mejora continua.
este medio requiere mayores esfuerzos para
En este sentido, resultan eficaces estructuras poder mantenerse en el tiempo.
de que facilitan la comunicación como
pueden ser los círculos de calidad197.
10.2.3. La comunicación en materia
de Compliance según la norma ISO
37301
Definición UNE-ISO37002 - Círculo de calidad
Como se ha puesto de manifiesto a lo largo
Es la denominación de un pequeño grupo de
de este Módulo, la comunicación fluida de
personas que se reúnen, voluntariamente y de
forma periódica, para localizar, examinar y obtener aspectos relacionados con el Compliance
soluciones a los problemas que se ocasionan en su es una de las bases para la correcta
área de trabajo. implementación de la cultura de Compliance.
Compliance es, en definitiva, el resultado

197 Thomson, Philip C. Círculos de Calidad. Cómo hacer que funcionen.
Editorial Norma. de que una organización cumpla con sus
obligaciones, por medio de la implementación funciones de la organización, incluidos,

de una cultura organizativa y comportamental en su caso, los cambios en el sistema de
que abarque a todas las personas que gestión del Compliance.
trabajan en su seno. La comunicación, en
• Asegurar que sus procesos de
tanto que canal para transmitir información
comunicación permiten al personal
de unos sectores a otros, es una faceta
contribuir a la mejora continua del sistema
importante dentro del marco del Compliance.
de gestión del Compliance.
Por ello en la ISO 37301 de Sistemas de
Gestión de Compliance se dedica un apartado • Asegurar que sus procesos de
al desarrollo de esta materia. comunicación posibilitan que el personal
pueda realizar denuncias a través de los
En lo que respecta a las comunicaciones canales internos.
tanto internas como externas, la norma
ISO 37301 indica en su apartado 7.4 que • Comunicar externamente la información
la organización debería determinar la relevante para el sistema de gestión del
necesidad de comunicaciones internas y Compliance.
externas pertinentes al sistema de gestión de El primer punto importante a tener en cuenta

Compliance, que incluyan: es la necesidad de que existan métodos
a. Mensaje: El contenido de la comunicación. adecuados de comunicación. Y para que
existan esos métodos, es vital disponer de
b. Oportunidad: Cuando comunicar. un protocolo o herramienta de comunicación
c. Audiencia objetivo: A quién comunicar. interna dentro de la empresa.
d. Canal, medio, formato, lenguaje: Cómo Dentro de esta herramienta, debe existir
comunicar. a su vez un apartado específico para los
diferentes aspectos de Compliance. Esta
En este sentido, la norma indica que, entre exigencia deriva de la necesidad de que el
otras cuestiones, la organización debe: departamento de Compliance sea una fuente
• Tener en cuenta las opiniones de las interna de información relevante de forma
partes interesadas. directa, siendo el comunicador o, de forma
indirecta, siendo identificado como principal
• Asegurar que la información de
responsable de la comunicación en el caso de
Compliance objeto de la comunicación es
que existan otros departamentos destinados
consistente con la información generada a tal efecto.
en el sistema de gestión del Compliance.
En este último caso, el departamento de
• Conservar la información documentada
Compliance debería ser el que controlase
como evidencia de sus comunicaciones.
en todo momento que la comunicación (en
• Comunicar internamente la información materia de Compliance o con trascendencia
relevante para el sistema de gestión en Compliance) se encuentre dentro de
del Compliance a los distintos niveles y parámetros aceptables.
Sin embargo, si el aspecto a tratar es Con respecto a la comunicación externa, la

relevante o supone cambios significativos norma ISO 37301 identifica a las siguientes
en la organización, estas comunicaciones partes interesadas:
deberían servirse de otros medios. A título de
ejemplo:
• Comunicación por los canales habituales

como son la intranet de la compañía o por
medio de la web interna.
• Cursos de formación específicos (tanto

presenciales como online, atendiendo al
perfil de la población a la que se dirija).
• Asistencia a reuniones periódicas de los

departamentos afectos.
• Reforzar la comunicación por otros canales Partes Interesadas en la Comunicación Externa. Elaboración propia.
Fuente: ISO 37301
de los que disponga la organización,
exponiendo los procedimientos y las • Organismos reguladores
instrucciones necesarias.
• Clientes
• Contratistas
Métodos de Comunicación según norma ISO
37301- Sistemas de Gestión de Compliance • Proveedores
“Los métodos de comunicación pueden incluir:
• Inversores
• Páginas web y correos electrónicos,
• Servicios de emergencia
• Comunicados de prensa,
• Anuncios y boletines periódicos,

• Organizaciones no gubernamentales
• Informes anuales (o con otra periodicidad), • Otros.
• Discusiones informales,
• Jornadas de puertas abiertas,

Principios de la comunicación según la norma
ISO 37301- Sistemas de Gestión de Compliance
• Grupos de trabajo,
• Transparencia
• Diálogo con la comunidad,
• Adecuación
• Involucración en eventos de la comunidad, y
• Credibilidad
• Líneas telefónicas directas.
• Capacidad de respuesta
Estos enfoques pueden apoyar el entendimiento y la
• Accesibilidad
aceptación del compromiso con Compliance de una
organización.” • Claridad
10.3. Formación de los directivos sean acordes con las del

resto del personal. De esta manera, la
Dentro de las atribuciones ordinarias de la cultura organizativa se configura como
función de Compliance, se encuentran las un instrumento esencial alineado con la
de impulsar y supervisar la elaboración y estrategia e identidad de la empresa, ya que
realización de los ciclos formativos sobre el comportamiento de una organización
materias afectadas por Compliance. Con dependerá de la forma en que se apliquen las
ello, entre otras cuestiones, se busca dar a normas por parte de sus integrantes.
conocer los riesgos a los que se enfrentan en
su día a día las personas de la organización, Para poder cumplir con lo anterior, es
así como los medios existentes para mitigar fundamental el papel que juega el factor
dichos riesgos y qué se espera de cada uno humano.
respecto de ese tipo de situaciones de riesgo.
Es evidente que, si los integrantes de una
La obtención de ese conocimiento se puede organización no comparten las bases de
lograr a través de educación, formación la misma, no se cumplirán los objetivos
o experiencia profesional. Una formación marcados, lo que dificultará la función de
diseñada y ejecutada adecuadamente Compliance.
puede proporcionar una manera eficaz para
Así las cosas, es elemental no solo saber
que los empleados comuniquen riesgos de
seleccionar a las personas con las que se va
Compliance que previamente no hubieran
a tratar, sino también formarlas, de manera
sido identificados.
que estas puedan estar en sintonía con la
10.3.1. La formación como organización en cuestión.
elemento esencial de cultura
Se puede afirmar que las necesidades de
organizativa
formación en Compliance han seguido
Los principios, creencias, identidad y valores una trayectoria pareja al incremento de la
de una organización se van configurando a complejidad del entorno normativo en los
lo largo de su trayectoria, conformando así negocios. Por eso, no solo se ha incrementado
una cultura organizativa relacionada con el la población que la necesita, sino también la
modelo de administración de sus directivos. variedad de sus contenidos.
La cultura organizativa se puede definir En la actualidad, las necesidades formativas

como el compendio de normas, protocolos, en materia de Compliance afectan a colectivos
principios y valores que comparten las cada vez más amplios de personas, y lo hacen
personas que integran una organización y de forma diferente según sus respectivas
que rigen tanto la relación entre ellos, como actividades y obligaciones frente a la empresa.
con el exterior.
De otra parte, los ciclos formativos en las
Para contar con una cultura organizativa organizaciones adolecen de una problemática
adecuada, es necesario que las pretensiones análoga a la que afecta a las políticas. Así, del
mismo modo que la gestión de un modelo formativos adicionales para colectivos

desmembrado de políticas de empresa concretos, según sus particulares
provoca disfunciones obvias, la ausencia de exposiciones al riesgo. La recurrencia de
concierto en materia de formación puede los ciclos formativos generales con los
generar situaciones indeseadas o, incluso, específicos puede ser distinta, de modo
contrarias a lo que se buscaba. que facilite su desarrollo.
A continuación, se exponen los problemas En definitiva, la formación sobre Compliance

típicos ocasionados por ciclos formativos puede y debe ir más allá de cursos
desestructurados. ocasionales sobre algún tópico novedoso,
requiriendo un ejercicio anual de previsión,
• Coherencia: Quienes reciben formación
sobre Compliance no deberían tener tanto en contenidos como en recurrencia. Y
la percepción de que obedece a una ese es uno de los cometidos de la función de
necesidad puntual o pasajera, pues eso le Compliance que, además, gana importancia
resta el valor que tiene. Estructurar bien con el tiempo.
sus contenidos contribuye a erradicar

Es tanta la importancia de una adecuada
ese entendimiento, y evita la percepción
formación en las organizaciones que algunas
de improvisación o mera conveniencia
disponen de campus reales o virtuales a
que en ocasiones afecta a las píldoras
través de los cuales organizan sus ciclos
formativas.
formativos, incluidos los de Compliance.
• Continuidad: Para que la formación
De hecho, la formación en materia de
sobre Compliance no se antoje una
Compliance es obligatoria por normativa en
moda pasajera, además de una adecuada
determinadas áreas o sectores de actividad.
estructuración procederá plantearse la
recurrencia. La frecuencia de los ciclos De nuevo, el simple hecho de querer cumplir
de Compliance es una duda habitual, la normativa no debería ser el aspecto
condicionada por las ratios de rotación de motivador de la formación en Compliance,
sus destinatarios. Puesto que los colectivos ya que entonces no se aprovechan las
sujetos a formación pueden ser variados, posibilidades que puede brindar esta
a causa de sus diferentes exposiciones al herramienta para enviar un mensaje claro de
riesgo, procederá establecer niveles de la importancia y el compromiso que tiene la
recurrencia apropiados a cada colectivo entidad con su modelo de Compliance.
Esto no significa que la formación termine 10.3.2. Necesidades de formación

necesariamente atomizada y que la para cada área de la organización
organización se vea obligada a volcar
Para la identificación de las necesidades
unos esfuerzos desproporcionados en
organizarla, ya que se puede conjugar una de formación, hay que llevar a cabo varias
formación común básica para la mayor actuaciones con carácter previo:
parte de destinatarios, con algunos ciclos
1. Completar un análisis de riesgos de • Asimismo, no olvidemos que los

Compliance: Los riesgos de Compliance colectivos con los que se relaciona
se toman como punto de partida una organización pueden ser tanto
para determinar los programas de internos como externos, y que, por
formación en función de las funciones ello, la formación puede proyectarse
y responsabilidades de los empleados. sobre ambas esferas. De hecho, los
Por ejemplo, programas centrados colectivos externos pueden exponer
en la determinación de vacíos en a la organización tanto o más que los
el conocimiento o en la falta de internos en materia de Compliance,
competencias, y Compliance deben estar no en vano son objeto de tratamiento
siempre coordinados con los programas especial en normas que imputan las
generales de formación. consecuencias de su conducta a las

entidades por cuya cuenta actúan. Es
Estos análisis deben ser revisados el caso, por ejemplo, de las “associated
periódicamente, actualizando al mismo parties” reguladas en la UK Bribery
tiempo las necesidades de formación. Act (UKBA) o de los “business partners”
2. Identificación a los participantes: que establece la US Foreign Corrupt

Practices Act (FCPA).
Todos los empleados deben ser
instruidos adecuadamente en torno 3. Establecer las necesidades formativas
al código de conducta. Para el caso de la organización: A partir del
de los empleados que pertenezcan a análisis realizado se establecerán las
departamentos especialmente relevantes necesidades formativas para cada área
y para los directivos, es indispensable de la organización, las cuales se pueden
proporcionales una formación más agrupar de la siguiente manera:
detallada sobre los riesgos de Compliance.
• Necesidades derivadas de cambios
En cuanto a los programas de formación externos a la entidad, por ejemplo:
para la alta dirección deben referirse a: - Cambios normativos actuales que
• El contenido y modo operativo del afectan a la organización.
sistema de gestión de Compliance. - Cambios futuros que pueden

suponer un impacto sustancial
• Las obligaciones relacionadas con
en las líneas estratégicas de la
Compliance y los riesgos resultantes.
empresa.
• Las responsabilidades de los cuerpos
- Adecuación de la estrategia de
estatutarios y la responsabilidad
la entidad a las buenas prácticas
derivada de la no concordancia con sectoriales.
las obligaciones de Compliance, tanto
- Adecuación a informes externos
personales como aquellas que afectan
provenientes de supervisores,
a la organización.
reguladores, etcétera.
• Necesidades derivadas de cambios se tratarán derivan del análisis de los riesgos

internos en la entidad, por ejemplo: de Compliance y están relacionados con un
área determinada o con un sector relevante
- Cambios en la organización que
de actividad.
pueden acarrear desajustes en el
ámbito de Compliance. Por último, el factor frecuencia también
- Cambios en el personal. se debe tener en cuenta. Las nuevas
incorporaciones deben contar con una
- Cambios en la estrategia directiva.
formación en cuanto ingresan en la
- Necesidades basadas en un plan organización, de manera que se les puedan
de actuación específico que se transmitir los principios de Compliance
debe llevar a cabo. y los estándares de conducta, así como
- Recordatorio periódico de requerimientos específicos de su futura
cuestiones generales o particulares área de trabajo. Dependiendo de los riesgos
de un ámbito de Compliance. de Compliance que existan, se deberían
organizar cursos de revisión de estos
• Necesidades que surgen a raíz de la
conceptos para todos los empleados de
notificación de incidencias:
manera regular.
- Detectadas en controles,
La necesidad de cursos de formación o
monitorización o auditorías.
su repetición debe ser determinada por
- Basadas en reclamaciones, quejas separado en cuando concurran cambios
o juicios de terceros ajenos a la significativos en algunas de los siguientes
organización. ámbitos:
- Producidas por un incremento en
el nivel de riesgos de Compliance. En las tareas o responsabilidades
de los empleados.
Las necesidades que se deben cubrir por
el programa de formación deben ser parte
En los requerimientos y medidas del
de los objetivos de los planes particulares
sistema de gestión de Compliance.
a desarrollar.
Para llevar a cabo esta cuestión se deben

En la estructura organizativa o en
clasificar las necesidades en función de su
las actividades de negocio.
importancia o urgencia. De esta manera,
la organización puede calcular y repartir
En función de los resultados de las fases
los recursos de que disponga para dar
de monitorización y control, violaciones
cobertura a las mencionadas necesidades.
de Compliance o de no conformidad con
En cuanto al contenido de estos programas el sistema de gestión de Compliance,
formativos, se debe hacer hincapié en su sugerencias de mejora, informes y otros
claridad y la comprensibilidad. Los temas que requerimientos.
Todos los indicadores deben estar definidos siguientes puntos:

de manera que puedan dar información - Nombre o título del curso o acción
acerca de la efectividad de la formación, formativa, incluyendo numeración de
como resultado de la monitorización, los control (en su caso)
requerimientos en materia de Compliance,
- Objetivos globales y específicos
las sugerencias de mejora, las denuncias,
quejas, incidencias e informes. - Destinatarios
- Contenido
10.3.3. El plan de formación
- Metodología
Para diseñar un plan de formación adecuado,
- Programa de la formación
se debe partir de la premisa de que este
- Cronograma
deberá estar en absoluta concordancia con el
plan de formación general diseñado por áreas - Evaluación
como la de recursos humanos, de gestión de
• Mecanismos de evaluación de aquellas
personas, formación o cualquier otro similar,
personas que realizan el curso
destinado a tal efecto.
• Encuesta, recogida de opiniones y
El punto de partida es determinar la comentarios y lecciones aprendidas
competencia de cada puesto de control (propuestas de mejora).
dentro del ámbito del Compliance. Una vez
determinada, se debe garantizar que las 10.3.4. Formación programada y
personas que llevan a cabo este puesto son formación sobrevenida
competentes para desarrollar los cometidos
Los ciclos formativos estructurados y
relacionados con Compliance. Si no se
recurrentes constituyen una aproximación
tiene el nivel de competencia esperado, se
adecuada frente a un colectivo de
recomienda tomar medidas, entre las
destinatarios fijo o estable. Ahora bien, en
que figura la de realizar las formaciones
la práctica existen dos factores que impiden
pertinentes, dejando constancia documental
este equilibrio: la rotación del personal y la
de las actuaciones realizadas.
variabilidad de sus cometidos en el seno de
A rasgos generales, un Plan de formación la empresa.
debería contener, como mínimo, las
En previsión de ambos fenómenos, deben
siguientes especificaciones:
considerarse ciclos formativos sumarios
• Objetivos concretos; que permitan acceder rápidamente a los
• Identificación de la audiencia (personal contenidos esenciales de Compliance, sin
sujeto su realización); tener que esperar a la celebración de la

formación programada o sistemática.
• Descripción detallada de la acción
formativa que se va a desarrollar, que Los marcos de referencia modernos en
contendrá, a modo orientativo, los materia de Compliance contemplan este tipo
de formación abreviada, conscientes de lo económicas contra ciertos países, grupos

peligroso que es mantener a determinadas y/o personas, o los cambios normativos
personas desarrollando tareas expuestas o interpretativos de las obligaciones
a riesgo sin la formación precisa, por no de Compliance que ya afectaban a las
haber llegado a tiempo al ciclo programado operaciones. En ambos casos, procede
correspondiente. Como veremos, puede ser elaborar nuevos contenidos y entrenar a las
el caso de las nuevas incorporaciones, o de personas afectadas por las variaciones tan
personas que promueven a cargos de mayor pronto como resulte posible, sin perjuicio de
responsabilidad cuando ya se han impartido que tales contenidos queden más adelante
los ciclos formativos que les afectaban. integrados en los ciclos de formación
programada, y de manera resumida en la
No debe confundirse la formación
formación sobrevenida.
sobrevenida con la elaboración y gestión de
un material o paquete de bienvenida, que va Por su propia naturaleza, la formación
destinado a facilitar información crítica de sobrevenida normalmente no podrá igualar
la organización que todo empleado debería a la programada en cuanto a profundidad
conocer y asumir. La formación, incluso de contenidos y recursos, aunque tales
la resumida sobrevenida, lleva aparejada circunstancias no deberían impedir que
una vertiente activa que trasciende la mera cubriese los aspectos más necesitados para
entrega de contenidos para su lectura y comprender y reducir los riesgos a los que
eventual aceptación, convirtiéndose en se exponen sus destinatarios. La formación
una potente herramienta para mejorar la sobrevenida sigue también una aproximación
conducta y competencias de las personas, basada en el riesgo, pues no deja de ser una
que es, precisamente, el objetivo de los modalidad formativa.
estándares de Compliance más modernos.
Puesto que la formación sobrevenida
Tampoco debería confundirse la formación no debería asimilarse a improvisación,
sobrevenida con ciclos formativos especiales tendría que estar sustentada en materiales
provocados por cambios en las circunstancias (resumidos) previamente definidos con la
internas o externas de la organización. colaboración de la función de Compliance.
Solicitando estas evidencias documentales se
Dentro del primer tipo (cambios internos)
puede comprobar hasta qué punto existe y
de ciclo formativo especial encontraríamos,
se trata de una formación sólida.
por ejemplo, la derivada del lanzamiento de
nuevas líneas de actividad sujetas a riesgos Algunas recomendaciones en relación con la
de Compliance distintos de los que venían formación sobrevenida son:
afectando a la empresa.
• Es habitual la utilización de recursos
En los segundos (causados por cambios informáticos para poder abarcar a todos
externos) se contarían, por ejemplo, aquellos los sujetos que participan en la misma.
suscitados por la adopción de sanciones
• Es recomendable la modalidad online detenimiento. Hay opción de realizar

(cuando se ha de abarcar a una población preguntas directamente y así poner a prueba
elevada de la organización) ya que esta los conocimientos que han sido adquiridos
deja recogidos los aspectos básicos, previamente. De esta manera, los profesores,
permitiendo al alumno retomar el curso conferenciantes o cualquier otra persona
en cualquier momento y facilitándole el encargada de dar la formación, pueden
acceso a información útil. detectar las necesidades específicas de los
participantes y poner énfasis en los riesgos
• Se recomienda la inclusión de ejercicios
relacionados con determinados temas o
interactivos y una evaluación final para
países. Por ello se recomienda, en la medida
verificar el aprovechamiento del curso
de lo posible, que la formación de temas
por los alumnos.
muy específicos tenga lugar por medio de
10.3.5. Formación presencial y la modalidad presencial. Atendiendo a las
teleformación buenas prácticas y estándares más modernos
en la materia, este tipo de formación se
Todos los empleados han de someterse al destina especialmente a los miembros de
plan de formación. Los empleados que se la organización que ocupan puestos de
incorporan a la empresa deben realizar esta dirección o de gestión.
formación lo antes posible. Más adelante,
deberán participar en los programas que La ventaja de los programas de teleformación
provean con conocimientos más específicos reside en su alcance, haciéndolos ideales para
relacionados con las obligaciones de las organizaciones más complejas y de mayor
Compliance y con escenarios de riesgo a los tamaño, por razones evidentes de tiempo,
que puedan enfrentarse en el desempeño de coste y capacidad.
sus actividades.
La formación puede llegar a todos los
Cuando se configuran programas de empleados (por ejemplo, por medio de la
formación, hay que hacer una distinción entre intranet) sin suponer grandes recursos. Los
los programas presenciales y la formación programas de teleformación también facilitan
digital a distancia/a demanda o teleformación. la flexibilidad y el autodidactismo, y deben
ser lo más dinámicos e interactivos posibles.
La elección de una modalidad u otra dependerá, Además, con esta modalidad, se logra una
en gran medida, de las circunstancias formación uniforme a todos los niveles. En
individuales de la organización, tales como la práctica, una combinación entre ambos
el número de empleados que necesita métodos es la forma más efectiva de ofrecer
someterse a la formación, la complejidad de formación.
los asuntos a tratar, la multilocalización del
personal, etcétera. A continuación, se enuncian consideraciones
en relación con la formación presencial y la
En la formación presencial, los riesgos teleformación:
de Compliance se pueden ver con mayor
• Suelen ser cursos breves y concretos de

Teleformación o formación digital
temas que les afecten directamente y
• Recomendable para realizar expuestos por un experto (generalmente
comunicaciones o consultas del día a día. externo). Es importante planificar los
objetivos del curso con el propio experto,
• Altamente recomendable para llegar a
para que estos estén alineados con el
grupos situados en distintos lugares del
mensaje de Compliance.
mundo.
• Registro de datos y seguimiento Todo ciclo formativo que siga una aproximación
automatizado. basada en el riesgo se proyectará sobre los
colectivos más expuestos. Sin embargo, este
• Tiene un coste económico más reducido.
objetivo aparentemente sencillo constituye
• Muy útil para formaciones de carácter un gran reto para las grandes organizaciones,
general, con mensajes globales de que aglutinan a personas con perfiles muy
Compliance. variados, localizadas en emplazamientos
• Es flexible. Puede servir para cursos tanto distantes y, en ocasiones, con recursos
breves como extensos. No existe un trato insuficientes para recibir formación en
directo con el experto, aunque existen condiciones mínimamente aceptables.
canales de comunicación con el mismo
Es el caso de aquellas empresas que operan
disponibles para los alumnos.
en jurisdicciones lejanas y parajes difícilmente
accesibles. Si a tales condiciones sumamos
Formación presencial
hábitos locales no alineados con las buenas
prácticas internacionales, obtenemos un
• Permite una mejor interiorización de los
cóctel de riesgo de alta graduación.
participantes del mensaje que se quiere
transmitir. No obstante, hay que ser consciente de que
• Recomendable para grupos más la dificultad de acceder a los colectivos de
reducidos o en ocasiones especiales o riesgo no justifica su exclusión de los ciclos

convenciones específicas. formativos.
• Las dudas se tratan con más facilidad y En la actualidad, la generalización del uso
de manera instantánea. Plantea debates de las tecnologías de la información y las
útiles para personas menos proclives a facilidades de acceso telemático, permiten
participar. organizar sesiones formativas digitales
(emisiones web, seminarios web, etc.) a
• Generalmente, la formación presencial
través de medios técnicos propios o servicios
suele ser más costosa.
externos contratados al efecto. Existen
• Se recomienda su utilización para cursos proveedores externos que no solo facilitan
orientados a la alta dirección o al consejo su plataforma de teleaprendizaje, sino que
de administración. pueden adaptar el contenido de los ciclos
formativos a las particularidades de cada La formación sobre Compliance no debería

organización. convertirse en una mera formalidad por
la que deben atravesar las personas, pues
En caso de difícil acceso a estos recursos
queda entonces completamente eclipsado
tecnológicos, siempre se puede recurrir a
su objetivo primordial: impactar en quienes
los medios de formación tradicional, sea
la reciben, de modo que interioricen las
presencial, a través de conferencia telefónica
lecciones recibidas y las apliquen en su día a
o distribuyendo cuadernos en soporte papel.
día.
De hecho, ninguna de estas opciones excluye
a las restantes. Siendo este su propósito último, procede
conocer sus resultados a través de dos
10.3.6. Seguimiento de la
indicadores: el número de personas que
participación en los programas de
reciben la formación (asistentes) y los
formación
resultados de las pruebas de valoración de la
La formación en materia de Compliance no formación (aprovechamiento).
constituye un objetivo en sí mismo, sino una
herramienta para generar y consolidar una
cultura de Compliance que evite los riesgos
propios de dicho ámbito.
Siguiendo la doctrina clásica en materia

de gestión de riesgos, hay quien ve en la
formación una suerte de control preventivo.
• Asistentes: El número de individuos
Sin embargo, la formación trasciende el que reciben formación, en relación
ámbito de los controles, para trabajar la con la población total de los colectivos
conducta de las personas, ayudándolas no afectados, es una ratio básica que
solo a desarrollarse técnicamente, sino en
normalmente se recoge en un Informe
sus capacidades para afrontar y gestionar su
Anual de Compliance.
labor diaria desde la integridad.
Su disponibilidad es sencilla, ya que la
Considerando que los individuos
sofisticación de las herramientas de
incorporados al mercado laboral emplean
trazabilidad puede ser muy básica y
una parte muy significativa del tiempo en la
elemental: desde un listado de asistencia
empresa, esta no solo deviene en un lugar
(en soporte papel, donde se describe la
propicio para mejorar los valores personales
formación, fecha, identidad del asistente
y la integridad sino, posiblemente, el más
y firma de quienes han asistido a ella),
importante. La función de Compliance está
hasta los medios de identificación digitales
llamada a desempeñar un rol significativo
propios de la teleformación.
en el aprovechamiento de este enorme
potencial.
• Aprovechamiento: Puesto que la Sin necesidad de recurrir a la vertiente

asistencia a la formación no garantiza sancionadora, no siempre de fácil encaje
su aprovechamiento, el siguiente en todas las jurisdicciones, pueden fijarse
paso consiste en disponer pruebas incentivos dentro de la legalidad para quienes
individualizadas para llevar a cabo un asistan y aprovechen los ciclos formativos en
seguimiento y valoración de este aspecto. Compliance, sea en término de mejora de sus
A partir de ahí pueden prepararse capacidades de promoción, su retribución
indicadores activos más elaborados que variable u otras ventajas permitidas por el
los de mera presencia, relacionados con marco jurídico de aplicación.
los resultados obtenidos: población que
ha superado las pruebas en la primera Puesto que los terceros que se vinculan
ocasión, volumen de población que no con la organización pueden formar parte
consigue superarlas, etc. Esto permite, del colectivo susceptible de formarse en
además, acciones de mejora enfocadas a Compliance, también respecto a ellos puede
colectivos problemáticos (grupos focales, medirse su asistencia y aprovechamiento,
formación adicional, etcétera). para adoptar después medidas consecuentes,
según esté previsto en la correspondiente
Cuando se comparan los resultados de los cláusula contractual.
indicadores activos de años sucesivos, se
obtiene información significativa en cuanto En definitiva, la medición de la asistencia y
al progreso de la organización en materia el aprovechamiento de la formación, tanto
formativa y construcción de la cultura de los empleados como de los terceros que
corporativa. se vinculan con la organización, permitirá
proveer datos útiles para conocer su perfil
Normalmente, los ordenamientos jurídicos
de riesgo y adoptar las acciones oportunas
no permiten forzar a que las personas
para evitar que impacte negativamente en la
reciban o aprovechen la formación que se
organización.
les brinda. Sin embargo, eso no implica que
esos datos sean intrascendentes para las Es, en resumen, una fuente de información
empresas que la impulsan, sino al contrario: para gestionar adecuadamente un sistema de
constituye una valiosa información si se medición del perfil de riesgo en relación con
gestiona congruentemente. los colectivos cuya conducta puede afectar a
la empresa.
En este sentido, es incoherente que una
organización que se declara comprometida 10.3.7. La formación en Compliance
con el cumplimiento de las normas y los según la norma ISO 37301
estándares éticos se muestre insensible ante
los comportamientos no alineados con esos Según la ISO 37301, la organización debe
objetivos de las personas que se vinculan con proporcionar formación a sus empleados
ella. Y el desaprovechamiento de la formación de forma regular desde su incorporación y a
es uno de esos comportamientos. intervalos planificados y esta formación debe:
• Ser adecuada a los roles del personal y a cualificado e impartirse en la lengua local
los riesgos de Compliance a los que está cuando sea necesario.
expuesto el personal.
• Deberán ser valoradas y evaluadas
• Evaluarse en términos de eficacia. periódicamente para valorar su eficacia.
• Revisarse regularmente. Es importante destacar que la organización

debería proporcionar formación en el ámbito
Teniendo en cuenta los riesgos de Compliance
en el que se hayan detectado malas prácticas.
identificados, la organización debe asegurar
que se implementan procedimientos para Por otro lado, la ISO 37301 indica la necesidad
abordar la toma de conciencia y la formación de impartir formación adicional siempre que
en materia de Compliance para terceras haya:
partes que actúan en su nombre y que
• Cambios en la posición o en las
podrían suponer un riesgo de Compliance
responsabilidades;
para la organización. Asimismo, los registros
de formación se deben conservar como • Cambios en las políticas, procedimientos
información documentada. y procesos internos;
El objetivo de un programa de formación • Cambios en la estructura organizativa;

es, según la ISO 37301, asegurar que el
• Cambios en las obligaciones de
personal es competente para cumplir con su
Compliance, en especial las relativas
rol profesional con coherencia respecto de la
a requisitos legales o de las partes
cultura de Compliance de la organización y el
interesadas;
compromiso que tiene con Compliance.
• Cambios en las actividades, productos y
Para ello, la norma indica las siguientes servicios;
recomendaciones respecto a la educación y
formación: • Cuestiones identificadas en el seguimiento,
auditorías, revisiones, reclamaciones
• Cuando sea necesario, deberán estar e incumplimientos, incluyendo las
basadas en una evaluación de las carencias opiniones de las partes interesadas.
de conocimientos y competencias del
empleado. Cabe mencionar que, en el caso de que en una
misma organización concurran varias áreas o
• Deberán ser lo suficientemente flexibles
programas de Compliance, los responsables
como para tener en cuenta varias
de cada una de ellas estarán obligados a
técnicas para adaptarse a las diferentes
proporcionar formación al personal, así como
necesidades de las organizaciones y del
a promover campañas de concienciación en
personal.
este sentido. Y si estas áreas o programas
• Deberán diseñarse, desarrollarse e de Compliance se encuentran coordinadas
impartirse por personal experimentado y por un programa de naturaleza transversal,
será el máximo representante de Compliance El compromiso es la motivación para invertir

aquel encargado de vigilar el impulso y la esfuerzos en interés de la organización.
coordinación de los ciclos formativos y de las Cuanto más respetuoso sea el trato que se
acciones de concienciación. da al personal, y cuanto más se le ofrezca
en términos de identificación positiva
10.4. Sensibilización con la empresa, más esfuerzo invertirán
los empleados en cumplir sus objetivos
Otra de las tareas importantes de la
función de Compliance es la de sensibilizar de manera acorde con los objetivos de la
al personal de la organización sobre los organización.
riesgos, procedimientos, políticas y controles

La ISO 37301 hace referencia a la “toma de
de Compliance mediante campañas de
conciencia” o “sensibilización” que debe tener
concienciación.
el personal de la organización en relación con:
Dado que la sensibilización no deja de ser • La política de Compliance.
un proceso de interiorización de los valores
y objetivos de la organización, este consta de • Su contribución a la eficacia del sistema
un fuerte componente psicológico. de gestión del Compliance, incluidos los

beneficios de una mejora del desempeño
En este sentido, los objetivos, tareas y de Compliance.
responsabilidades que deben llevar a
• Las implicaciones de no cumplir los
cabo los empleados, deben ser, ante todo,
requisitos del sistema de gestión del
alcanzables, ya que de lo contrario estos
Compliance.
pueden frustrarse en el acometimiento de sus
funciones. También influye en la libertad y las • Los medios y procedimientos para realizar
oportunidades que tiene el personal de tener denuncias internas.
en cuenta sus objetivos y responsabilidades.
• La relación entre la política de Compliance
Numerosos estudios han demostrado, y las obligaciones de Compliance que
como se afirmaba anteriormente, que afectan a su función.
el establecimiento de metas específicas
• La importancia de apoyar la cultura de
y medibles tiene un efecto positivo en el
Compliance.
esfuerzo, persistencia y logros de las personas.
El logro de los objetivos es psicológicamente
gratificante ya que mejora la autoestima y la
satisfacción.
Sin embargo, el comportamiento que se

espera de los empleados no solo depende
de que estos tengan sus objetivos claros y
de que los mismos sean alcanzables, sino
también del compromiso.
• La cultura organizativa se define como el compendio de normas, protocolos, principios

y valores que comparten las personas que integran una organización y que rigen tanto la
relación entre ellos, como con el exterior.
• La comunicación, la formación y la sensibilización son unas poderosas herramientas para que

la función de Compliance pueda conseguir sus objetivos y contribuir a la mejora de la cultura
organizativa en general, y la de Compliance en particular. Estas tres acciones son necesarias
para una adecuada transmisión de conocimientos, pero también de los objetivos, valores y
principios de la organización.
• Una organización comunica tanto al exterior como al interior. Teniendo en cuenta la audiencia
a la que va dirigida, una comunicación adecuada y eficiente debe contar, además, con
ciertas características: ser fácilmente accesible (por el conjunto de la organización), que
cuente con información identificable (tanto respecto del núcleo de la comunicación como
de sus características clave, en particular, si la información contenida está clasificada o tiene
alguna limitación de difusión), y, además, concisa, registrable y medible.
• Dentro de la comunicación interna, la comunicación puede clasificarse por su dirección,

existiendo tres flujos a considerar: el vertical descendente, vertical ascendente y el
horizontal. Siendo la más habitual -y casi exclusiva en algunas organizaciones- el primero, la
comunicación que procede de los órganos superiores, es necesario no descuidar el segundo
(el fujo de comunicación que procede de los empleados y se dirige a los órganos de gestión
y de gobierno). El último, el horizontal, permite una adecuada coordinación entre unidades o
puestos de similar nivel.
• La formación debe ser un proceso planificado y estructurado, alineado con la cultura

de la organización para ayudar a forjarla, transmitiendo unos valores y principios positivos.
Toda formación debe iniciarse con un análisis previo de las necesidades de formación de
la organización (en general) y de áreas o puestos concretos (en particular). Asimismo, debe
dotarse al plan de formación de la necesaria coherencia y continuidad que permita alcanzar
los objetivos formativos de Compliance.
• Hay diferentes tipos de formaciones, como la programada (de carácter periódico, recurrente),
la sobrevenida (no programada o recurrente) y los ciclos formativos especiales (por
cambios en circunstancias internas o externas de la organización, como nuevos productos o
la adopción de sanciones inmediatas contra un país y/o grupo de personas).
• En todas las tipologías de formación (programada, sobrevenida, especial, etc) la planificación

es esencial para evitar transmitir una idea equivocada de improvisación o de mera formalidad.
Que no esté programada o incluida en el plan de formación no significa que una actividad
formativa debe carecer de calidad, objetivos o estar pobremente planificada. Las herramientas
de formación actuales facilitan varias opciones en función de la audiencia, adecuación de
contenidos, seguimiento del aprovechamiento, etc. No hay que olvidar que la formación
consiste precisamente en asegurar que el personal es competente para la realización de sus
quehaceres profesionales.
• La sensibilización es un proceso de interiorización de los valores y objetivos de la

organización, con un fuerte componente psicológico. En el ámbito de Compliance, es la
concienciación, por parte de los componentes de una organización, de la importancia de
cumplir con las obligaciones y compromisos. La comunicación y la formación han de contribuir
a alcanzar un nivel adecuado de concienciación.
Módulo 11
Monitorización
de Compliance
MÓDULO 11 • MONITORIZACIÓN DE COMPLIANCE
Módulo 11 acudir al documento Guidance on Monitoring

Internal Control Systems (en adelante,
Monitorización de Orientaciones MICS), publicado en 2009 por el
Compliance Committee of Sponsoring Organizations of the

Treadway Commission, COSO.
Objetivos Se trata de un documento que COSO elaboró

tras comprobar las deficiencias de muchas
empresas en la ejecución de la monitorización
dentro su marco del control interno.
• Conocer y definir el concepto de La monitorización se puede definir como

monitorización. “el proceso que evalúa la efectividad de los
sistemas de control interno en su conjunto
• Entender los objetivos de la monitorización
de Compliance. que gestionan o mitigan los principales
riesgos de una organización”.
• Identificar la referencia documental COSO en
materia de monitorización De acuerdo con lo indicado en las Orientaciones
• Distinguir los conceptos de monitorización MICS, los controles internos pueden fallar por
continua y revisión específica. una o varias de estas tres razones:
• Referir fuentes de información e indicadores • Por no estar diseñados e implementados

fiables para los controles y su monitorización. correctamente desde el principio.
• Valorar la importancia del Plan de • Debido a que, aun contando con un diseño
monitorización, su estructura, objetivo, adecuado y estar bien implementados, no
aprobación y modificación.
se han ajustado a los cambios producidos
• Identificar las fases de la ejecución de la en el entorno en el que operan (por
monitorización. ejemplo, por cambios en los riesgos,
en las personas, en los procesos o en la
11.1. Introducción tecnología) y no se ha adaptado el diseño
del control a esos cambios.
La monitorización constituye un elemento
• Porque están bien diseñados e
esencial en cualquier programa de
implementados, pero su ejecución
Compliance y este nunca estará completo
cambia en algún aspecto, volviéndolos
si no se realiza adecuadamente. Esta tarea
inefectivos para gestionar o mitigar los
consiste, en esencia, en la supervisión
riesgos vinculados.
continua para verificar la adecuación de los
controles existentes. Así pues, por un lado, los riesgos evolucionan
con el tiempo y, por otro, la eficacia de los
Para profundizar en los conceptos
controles puede verse comprometida por
relacionados con la monitorización podemos
múltiples factores.
Por ello, la monitorización debe evaluar si se totalmente independiente y no participar

deben reconsiderar el diseño de los controles en absoluto en la toma de decisiones del
cuando los riesgos o sus circunstancias negocio.
cambian, y si los controles que se han
diseñado para reducir los riesgos a un nivel Monitorización continua
aceptable continúan funcionando de forma
“(…) actividades que sirven para monitorizar la
efectiva y aminorando en la cuantía prevista
efectividad del control interno en el curso ordinario de
los riesgos controlados, de forma que no las operaciones, incluyendo las actividades ordinarias
se sobrepase el apetito de riesgo de la de gestión y supervisión, las comparaciones, las
organización. reconciliaciones y otras acciones rutinarias”.
La función de Compliance forma parte de la Revisiones específicas
segunda línea de defensa, lo cual quiere decir Aquellas que “evalúan los controles en un momento
que tiene como parte de sus funciones la concreto o a lo largo de un periodo de tiempo
supervisión y monitorización de los controles específico” y que “pueden utilizar todas las técnicas
que se llevan a cabo por la primera línea de usadas en la monitorización continua, pero se
realizan de forma menos frecuente y a menudo se
defensa.
basan en una muestra de casos en los que operan
El objetivo de la monitorización de los controles.”
Compliance es que una estructura con la Guidance on Monitoring Internal Control System
necesaria independencia pueda comprobar COSO (2009)
y asegurar que los controles implementados
para mitigar o suprimir los riesgos ligados La monitorización continua, por tanto,
a Compliance están funcionando de forma forma parte de la rutina de las personas
efectiva o si, en caso contrario, es necesario que la ejecutan y generalmente se lleva a
implementar controles adicionales u otras cabo en tiempo real. Por ello, los potenciales
medidas correctoras. problemas se identifican en un estado muy
incipiente y pueden ser resueltos con mayor
La supervisión se configura, por tanto,
antelación (detección temprana).
como un pilar fundamental de las funciones
del Compliance Officer, junto con el Las revisiones específicas, por el contrario, se
asesoramiento y la formación a todos los diseñan para evaluar los controles de forma
miembros de la organización y la información periódica y no están embebidas en la rutina
a la alta dirección. de la organización. Las revisiones específicas
se ejecutan con posterioridad al posible
El hecho de que la función de Compliance
hecho producido, por lo que la capacidad
realice ambas tareas, asesoramiento y
de corregir las deficiencias en los controles
supervisión, es uno de los aspectos que la
identificadas se dilata más en el tiempo.
distingue de la tercera línea de defensa que,
como hemos visto anteriormente, debe ser
La mayoría de las organizaciones utilizan una 11.2.1. Responsables de la

combinación de monitorización continua y monitorización
de revisiones específicas, en un modelo en
Los procedimientos internos deberían
el que, como se indica en las Orientaciones
detallar, en primer lugar, quiénes son los
MICS, la monitorización continua constituye
responsables de realizar la monitorización.
el principal apoyo de la dirección para el
conocimiento diario sobre la efectividad En el caso de la monitorización continua,
de los controles y las revisiones específicas que como hemos visto está embebida en
aportan su confirmación periódica. Las la rutina de la organización, a menudo la
revisiones específicas también se utilizan realizan personas que están directamente
para analizar controles que no están sujetos involucradas en la operación del control que
a monitorización continua. se está monitorizando, es decir, personas que
forman parte de la primera línea de defensa.
11.2. Procedimientos internos
de monitorización En algunos casos, la monitorización continua
también puede ser ejecutada por miembros
Los procedimientos internos de de la segunda línea de defensa, si son estos
monitorización definen los principales los responsables de la ejecución del control
aspectos, responsables y fases del proceso que se está monitorizando.
de monitorización de la organización.
Las revisiones específicas, sin embargo,
Los procedimientos internos de normalmente se realizan por personas
monitorización de Compliance deben ajenas a la ejecución del control, lo cual les
ser elaborados por ese departamento dota de mayor objetividad en el análisis de
y aprobados por la Dirección de la la efectividad del control. En el caso de las
organización. revisiones específicas son las áreas de la
segunda línea de defensa las que las realizan.
De esta forma se garantiza que la
monitorización de Compliance esté dotada Las revisiones de Compliance generalmente
de recursos suficientes y capaces, así como deberían ser ejecutadas por personal
del imprescindible nivel de autoridad para especializado dentro del departamento de
que las recomendaciones que se produzcan Compliance de la organización, personas
sean realmente adoptadas. que deben contar con los suficientes
conocimientos y experiencia para ello.
A continuación, veremos los distintos
aspectos que se deben tener en cuenta En determinados supuestos, si el tamaño o
para la elaboración de los procedimientos la estructura de la organización así lo exige,
internos de monitorización. la función de Compliance se podría apoyar
en otros departamentos de la organización
para ejecutar las revisiones específicas, pero
siempre es recomendable que el Compliance
Officer mantenga la dirección y la toma de • Autorizaciones necesarias previas al inicio de la

decisiones sobre las revisiones de Compliance actividad.
y que se respeten las atribuciones de las tres • Transacciones realizadas (por ejemplo, de
líneas de defensa definidas anteriormente. gastos de viajes o en tarjetas de crédito).
11.2.2. Áreas que debe monitorizar • Formación de empleados.
la función de Compliance • Campañas de marketing.
El Compliance Officer es el responsable de • Procesos de venta y expedientes de clientes.

prevenir y gestionar los riesgos de Compliance, • Reclamaciones de clientes.
por lo que los controles que debe monitorizar
• Mantenimiento de registros.
la función de Compliance son aquellos que
están vinculados a dichos riesgos. • Protección de datos personales.
Generalmente, las áreas que están bajo la • Actividades transfronterizas.
supervisión de Compliance son aquellas que

tienen vinculación con normas de conducta y 11.2.3. Priorización de los riesgos
en las que se podría eventualmente vulnerar
el trato justo a los clientes. La monitorización de Compliance debe
hacerse siempre con un enfoque basado en
En cada organización, dependiendo de las el riesgo.
responsabilidades asignadas a la función
de Compliance, variarán las áreas que debe Los recursos, tanto humanos como
monitorizar. materiales, son siempre limitados y, por tanto,
es necesario garantizar que se emplean de la
Los procedimientos internos de forma más eficaz posible. El enfoque basado
monitorización deberán describir la relación en el riesgo permite asegurar que los recursos
y el detalle de las áreas, riesgos y controles se utilizan de forma efectiva, monitorizando
que están bajo la supervisión de Compliance de forma más frecuente las áreas de mayor
y serán los que se incluyan en los planes de riesgo residual y aquellas áreas para las que
monitorización. la organización tenga un menor apetito de
riesgo.
Áreas habituales bajo supervisión de
Compliance El objetivo del enfoque basado en el riesgo
(ejemplo no exhaustivo) en la monitorización es seleccionar aquellos
controles clave que están ligados a los
• Procesos de aprobación de nuevos productos
principales riesgos, que serán los que se van
y servicios.
a monitorizar durante el ejercicio, así como
• Conflictos de intereses. decidir el tipo de monitorización que se va a
• Procesos de selección de empleados. realizar en cada caso.
• Selección de proveedores.
Así, el primer paso consiste en la priorización 11.2.4. Identificación de los

de los riesgos, identificando aquellos en los controles
que se va a focalizar la atención en el ejercicio.
Una vez identificados los riesgos prioritarios
Es importante señalar la necesidad de contar a monitorizar, se deben identificar los
en este proceso con la opinión de las otras controles clave que serán objeto de las
áreas y departamentos de la organización revisiones de Compliance.
y con la alta dirección. Para ello, se deberá
contactar y obtener los comentarios de De acuerdo con lo indicado en las
todos aquellos que se considere que pueden Orientaciones MICS (volumen I, página 10),
aportar valor en el proceso. los controles clave que se deben seleccionar

generalmente cumplen una o ambas de las
siguientes características:
Priorización de riesgos a monitorizar.
Factores a considerar • Si fallaran podrían afectar sustancialmente
(Ejemplos) a los objetivos y el fallo no se podría
• Eventos que tengan mayor riesgo residual. detectar a tiempo por otros controles.
• Riesgos que cuenten con controles más débiles • Su ejecución puede prevenir el fallo de
o menos efectivos. otros controles o detectar dichos fallos
• Factores externos, tales como prioridades de antes de que tengan efectos importantes
los reguladores o supervisores. para la consecución de los objetivos.
• Áreas con el menor apetito de riesgo de la La intención de seleccionar los controles

organización. clave no es indicar que estos controles son
• Métricas obtenidas de los indicadores de riesgo. más importantes que otros, sino ayudar
a dedicar los recursos allí donde pueden
• Resultados de revisiones anteriores de
aportar más valor. Seleccionando los
Compliance.
controles clave que están vinculados a los
• Información de gestión y métricas relacionadas riesgos que hemos priorizado se aumenta la
con parámetros de calidad.
efectividad y la eficiencia de los trabajos, ya
• Reclamaciones de clientes o de otras partes que nos estaremos focalizando en aquellos
interesadas. aspectos que más nos interesa para extraer
• Denuncias realizadas a través del canal de conclusiones valiosas sobre el entorno de

denuncias. control.
• Informes de auditoría interna. 11.2.5. Identificación de la

• Políticas internas de la organización. información de apoyo de los
controles
• Informaciones obtenidas de otros
departamentos y de la alta dirección. Tras haber establecido los controles clave
debemos identificar cuál es la información
soporte de dichos controles que se va a La monitorización que utiliza información

utilizar en la monitorización. La información indirecta identifica las anomalías que
de apoyo de los controles será la que apuntale pueden señalar a un posible cambio o
las conclusiones que obtengamos sobre si los fallo del control e indica la necesidad de
mismos han sido diseñados correctamente realizar investigaciones adicionales. La
y si están funcionando tal y como fueron información indirecta no da una visión
diseñados, por lo que es un elemento esencial real del funcionamiento de los controles
del ejercicio de monitorización. y, por lo tanto, es menos eficaz que la
información directa para identificar
De acuerdo con lo indicado en las
deficiencias en los controles.
Orientaciones MICS (volumen I, página 10),
para que la monitorización sea efectiva A continuación, nos referiremos
se debe evaluar una cantidad suficiente específicamente a varias fuentes de
de información adecuada y, para que se información indirecta que tienen una utilidad
considere así (adecuada), la información debe especial para la supervisión y monitorización
ser relevante, confiable y oportuna. de los riesgos de Compliance, como son los
indicadores, las reclamaciones y las denuncias
El mencionado documento también distingue
recibidas.
dos tipos de información soporte que se
puede utilizar en la monitorización:
• Información directa: Aquella que se

obtiene observando los controles mientras
se están ejecutando, re-ejecutando o
evaluando su ejecución directamente de Indicadores de riesgo (KRI) e
cualquier otra forma. indicadores de desempeño (KPI)
Este tipo de información se puede utilizar
tanto en la monitorización continua Indicadores de riesgo (KRI)
como en las revisiones específicas. Denominados “key risk indicators” en la terminología
Generalmente es una información muy anglosajona, son métricas prospectivas que buscan
fiable que proporciona una visión muy identificar problemas potenciales, permitiendo así
a una organización realizar acciones a tiempo, en
real de la ejecución del control.
caso de que sea necesario.
• Información indirecta: Aquella información
Indicadores de desempeño (KPI)
que puede indicar un cambio o un fallo
Denominados “key performance indicators” en la
en la ejecución de los controles. Incluye,
terminología anglosajona, son métricas que reflejan
entre otras fuentes, las siguientes: (1)
los factores críticos de éxito” y que “ayudan a una
estadísticas operativas, (2) indicadores de organización a medir el progreso hacia las metas y
riesgo (KRI), (3) indicadores de desempeño objetivos.
(KPI) y (4) métricas comparativas de la
Guidance on Monitoring Internal Control Systems
industria. (Volúmen II, página 4, glosario)
Ambos indicadores (KRI y KPI), si están bien que previamente se haya definido, se deberá
diseñados y existe una adecuada recogida de vigilar más de cerca. Si la desviación persiste
datos, son herramientas útiles para evaluar en las siguientes mediciones, constituirá una
el estado de un riesgo determinado que, señal de alarma que indicará la necesidad de
por cualquier razón, interese seguir más de realizar una investigación más profunda, para
cerca. Sirven para medir la “temperatura” de identificar y corregir posibles deficiencias de
un riesgo de forma periódica y su evolución controles en un estadio muy temprano.
a lo largo de un periodo de tiempo, o en un
Los procedimientos internos deberán
momento concreto.
establecer el sistema de medición de los
indicadores y las acciones a adoptar durante
Selección de KPI y KRI. Factores
su seguimiento.
A continuación, se listan como ejemplo una serie
de factores que pueden afectar a la selección de los
Medición de indicadores y medidas a
indicadores de riesgo y de desempeño.
adoptar
• El tipo de negocio que se trate. (ejemplo)
• El marco regulatorio aplicable. A continuación, se muestra como ejemplo un

• Las prioridades de los supervisores. sistema tipo semafórico, con las medidas de los
indicadores que determinan su estado:
• Incidencias relevantes detectadas previamente
en la organización. Indicador en ROJO: Cuando las
excepciones >10%.
• Incidencias relevantes detectadas en otras
empresas del sector. Indicador AMBAR: Cuando 5%
>excepciones >10%.
• Otras situaciones coyunturales relevantes.
Indicador VERDE: Cuando las
excepciones <5%.
La definición y selección de los KRI y KPI, la
forma en la que se van a medir, el tamaño
En caso de que en dos mediciones
de las muestras que se van a tomar y
consecutivas se obtenga un valor ROJO en
el establecimiento de los umbrales de
un determinado indicador, se deberá realizar
tolerancia, son factores clave a la hora de
una revisión específica sobre el control que
extraer conclusiones fiables. Los indicadores
se esté midiendo.
variarán en función de las circunstancias
específicas de la organización. Reclamaciones de clientes
Una vez definidos los indicadores y sus Las reclamaciones de los clientes- o de
umbrales de tolerancia, se deben realizar otras partes interesadas, tales como los
las mediciones con una periodicidad corta, proveedores o los socios-, constituyen
con objeto de ir monitorizando su evolución. también una fuente de información indirecta
Cuando el resultado de la medición de un que se puede utilizar en la monitorización de
indicador se distancie del umbral de tolerancia Compliance.
Política de reclamaciones. Factores a lleven a realizar revisiones más profundas

considerar sobre determinados aspectos, o a resolver
(ejemplo) que existen deficiencias de control que se
• Existencia de un proceso de reclamaciones para

deben corregir.
que cualquier cliente (existente o potencial) u
Canal de denuncias
otras partes interesadas, puedan presentarlas.
• Características del proceso: disponibilidad, fácil El canal de denuncias interno, tratado

acceso y simplicidad. ampliamente en el módulo específico, supone
también una potencial fuente de información
• Se deben resolver las reclamaciones en tiempo
y forma. indirecta muy valiosa para la monitorización
de Compliance.
• Se debe informar a los reclamantes sobre el
estado y el progreso de su reclamación. Esta práctica, tiene gran tradición e implantación
• Cada reclamación debe tratarse en las empresas del mundo anglosajón.
individualmente y los aspectos que incluya Consiste en el establecimiento de un canal de
deben ser investigados de forma completa. comunicación confidencial en el seno de la
• En caso de que el reclamante tenga razón en su

empresa, que permita denunciar prácticas o
reclamación, se deberá proceder a restituir el comportamientos irregulares por parte de sus
daño causado. empleados y, en ocasiones, también por parte
de terceros, tales como proveedores.
• Si se observa que el error o defecto detectado en
una reclamación es extensible o afecta a otros
En las organizaciones en las que el Compliance
clientes, aunque estos no hayan reclamado se
Officer sea el responsable de la recepción
debería analizar de oficio la conveniencia de
informar a todos los afectados.
de las denuncias a través de este canal y su
gestión (recopilación de información adicional,
• Si se considera adecuado y proporcional,
investigación y tratamiento), podrá tener acceso
se debería compensar a todos los clientes
directo a esta información. De no ser así, deberá
afectados por los daños causados.
recabarla del responsable, únicamente para el
• Todas las reclamaciones han de ser registradas. propósito de la monitorización de los controles.
Debe archivarse toda la documentación soporte
que se utilice en su gestión. Independientemente de quién sea el
• La causa raíz de las reclamaciones deberá ser responsable de la gestión del canal, de
siempre investigada y analizada. análisis de las denuncias recibidas se podrán
extraer valiosas conclusiones sobre los fallos
A través del análisis de las reclamaciones de control que han permitido que la práctica
recibidas, tanto de su contenido como del irregular denunciada haya tenido lugar. Ello
número de éstas recibidas por un mismo puede llevar a identificar la necesidad de
motivo, así como de su causa raíz, el modificar procesos y procedimientos, realizar
Compliance Officer puede sacar conclusiones investigaciones adicionales o adoptar otras
valiosas. Dichas conclusiones puede que le medidas correctoras.
11.2.6. Implementación de la prevenir o detectar errores relacionados

monitorización con la deficiencia identificada puede
reducir la severidad de dicha deficiencia.
Una vez que se han priorizado los riesgos, que
se han seleccionado los controles y que se ha • El efecto agregado de deficiencias
identificado la información relevante sobre múltiples. Cuando distintas deficiencias
los controles, los procedimientos internos afectan a un mismo riesgo, su concurrencia
deben definir cómo se debe implementar la simultánea aumenta la probabilidad de
monitorización para evaluar la efectividad de que falle el sistema de control interno,
los sistemas de control interno para gestionar por lo que se eleva la severidad de las
o mitigar los riesgos de Compliance. deficiencias identificadas.
11.2.7. Evaluación de los resultados Los procedimientos internos determinarán

quiénes son las personas responsables de
La evaluación de los resultados de la establecer la priorización de las deficiencias
monitorización incluye determinar si los y su severidad, que en todo caso deberán ser
controles continúan siendo eficaces o si, personas especializadas y con conocimientos
por el contrario, existen deficiencias que es sobre la materia.
necesario corregir.
11.2.8. Información y comunicación
Es frecuente que los procedimientos de los resultados
internos incluyan también una forma de
priorizar las deficiencias de control que La monitorización incluye la comunicación
han sido identificadas en la monitorización, de los resultados obtenidos a las personas
clasificándolas en función de su severidad. adecuadas.
De acuerdo con lo indicado en el Los procedimientos internos deberán detallar
reiteradamente citado Orientaciones MICS las personas a quienes se debe informar

de los resultados de la monitorización, la
(volumen II, página 46), la priorización de
periodicidad de los informes y cualquier otro
las deficiencias identificadas puede verse
detalle relevante.
condicionada por distintos factores, entre los
que se encuentran los siguientes:
11.2.9. Seguimiento de las
• La probabilidad de que la deficiencia afecte deficiencias
al logro de un objetivo de la organización,
Los procedimientos internos también
de forma que cuanto mayor sea esta
deberán contener las pautas para realizar el
probabilidad, mayor será la severidad de
seguimiento de las deficiencias identificadas
la deficiencia.
y de las medidas correctoras acordadas, de
• La efectividad de otros controles que forma que se obtengan garantías de que se
puedan compensar la deficiencia completan las medidas de remediación y
identificada. El hecho de que existan otros que se corrigen los fallos identificados en la
controles efectivos que puedan ayudar a monitorización.
11.2.10. Archivo y conservación de • Permite documentar los recursos que se

documentos han asignado para realizar las tareas de
supervisión.
Por último, los procedimientos internos
detallarán la forma en la que se deben • Facilita el seguimiento en el cumplimiento
archivar los documentos para asegurar del plan previsto, así como de sus
su accesibilidad e integridad, el plazo de desviaciones.
conservación (para no exceder el máximo

11.3.1. Estructura del plan de
o no alcanzar el mínimo legal) y la forma en
monitorización de Compliance
la que se garantiza que las evidencias sean
recuperadas de forma segura y en un tiempo El plan de monitorización debe estar
razonable. adecuadamente documentado para
posibilitar la aprobación por parte del órgano
11.3. Plan de monitorización competente y su posterior trazabilidad.
de Compliance
Plan de monitorización: contenido
El plan de monitorización de Compliance
(ejemplo)
constituye un documento estructurado,
elaborado con carácter periódico (por • Evaluación de riesgos realizada.
ejemplo, anualmente) en el que se definen y
• Factores que se han tenido en cuenta para
se documentan las tareas de supervisión que
determinar las prioridades y los riesgos y
se van a ejecutar por parte de Compliance controles a monitorizar.
durante un periodo definido.
• Relación de los riesgos/controles que se van a
La labor de recoger en un documento toda monitorizar.
la información relacionada con las tareas de • Objetivo que persigue la revisión.

supervisión de Compliance es importante,
• Descripción detallada de la revisión a realizar,
entre otras, por las siguientes razones:
indicando: (1) las personas o departamentos
• Permite documentar y mantener la que van a realizar la revisión, (2) la forma en la
trazabilidad de los factores que se han que se va a realizar la revisión y herramientas

que se van a utilizar (3) y el tipo de informe que
tenido en cuenta para la definición de las
se va a emitir.
tareas a realizar en el periodo.
• Frecuencia con la que se va a ejecutar la
• Permite visualizar las áreas que se van
monitorización.
a supervisar y aquellas que no se van a
• Evidencias que se van a obtener.
supervisar en el período.
• Calendario de revisiones.
• Permite que la alta dirección asuma la
responsabilidad de la supervisión que se
va a realizar.
Proceso de aprobación del plan de Como siempre, el proceso de aprobación

monitorización de Compliance del plan de monitorización debe ser
adecuadamente documentado.
El plan de monitorización de Compliance
debe ser elaborado por el Compliance Officer. 11.3.2. Revisiones del plan de
Su aprobación, no obstante, corresponde monitorización de Compliance
a la alta dirección de la organización, como
A lo largo del periodo que cubre el plan de
evidencia y muestra de conocimiento, apoyo
monitorización pueden surgir circunstancias
y asunción de responsabilidad.
que hagan necesaria su modificación o
El órgano, persona o personas concretas que adaptación, circunstancias que pueden
deberán aprobar el plan de monitorización ser tanto internas como externas a la
variará en cada organización, pero en todo organización.
caso estas deberán pertenecer a la alta
Por ello, es recomendable que cada cierto
dirección.
tiempo se proceda a revisar el plan de
De esta manera, la alta dirección se hace monitorización, verificando si la evaluación
responsable de la priorización realizada, de riesgos realizada, la identificación de los
priorización que da como resultado las controles o la información seleccionada
revisiones concretas que se van a realizar continúan siendo adecuadas o no.
y los riesgos y controles que no van a ser
Este proceso de revisión se debe hacer, en
supervisados en el período, así como de la
todo caso, contactando y consultando con los
asignación de los recursos necesarios para
demás departamentos y personas relevantes
llevarlas a cabo.
de la organización.
Plan de monitorización: circunstancias que 11.3.3. Modificaciones del plan de

motivan su modificación monitorización de Compliance
(ejemplo)
Las circunstancias a las que nos acabamos
• Alteraciones producidas en la evaluación de
riesgos realizada. de referir detectadas en la anterior
revisión pueden motivar la alteración de
• Actuaciones de los reguladores, como,
la priorización realizada inicialmente en
por ejemplo, inspecciones, peticiones de
información, etc. el plan de monitorización. En caso de que
esto suceda, o bien se deberán añadir más
• Publicación de nuevas normativas con impacto
revisiones a las que contenía el plan inicial
en la organización.
(con el consiguiente aumento de los recursos
• Inicio de nuevas actividades. necesarios), o bien se deberán suprimir
• Lanzamiento de nuevos servicios o productos. revisiones que estaban en el plan inicial para
• Expansión a nuevas áreas geográficas.

incorporar otras nuevas que se consideren
más necesarias.
• Incidentes relevantes acontecidos.
En todo caso, las posibles modificaciones del controles que van a ser objeto de la
plan de monitorización que se produzcan monitorización. También se definirán los
deben seguir el mismo proceso de aprobación términos en los que se va a llevar a cabo la
que el plan inicial, debiendo ser aprobados revisión (alcance, objetivos y metodología).
por las mismas personas u órganos que lo Por último, se deberá comunicar formalmente
hicieron inicialmente. a la estructura, unidad o departamento la
revisión a realizar. En resumen, se llevarán a
El proceso de aprobación de las
cabo las siguientes actividades:
modificaciones del plan de monitorización
debe ser adecuadamente documentado. • Análisis del área a supervisar
• Definición de alcance y objetivos

11.4. Ejecución de la
monitorización • Elección del tipo de revisión
En los siguientes puntos veremos las distintas • Comunicación al área

fases en las que se puede llevar a cabo una
revisión de monitorización de Compliance.
Análisis del área a supervisar
Lo primero que hay que hacer es asegurar

Aunque cada organización tendrá sus
que se dispone de conocimiento suficiente
propios procedimientos internos, por lo que
del área de negocio que se va a supervisar.
estas fases pueden variar, sirven como guía
para no descuidar la esencia y los objetivos
Para ello, se obtendrá toda la información
que se persiguen en cada una de ellas, que
disponible sobre los aspectos relacionados
habrán de mantenerse y ser y ser alcanzados
con el área y se analizará, incluyendo
independientemente de la forma de
la información de gestión del área a
estructurarse de cada organización.
supervisar, los indicadores de riesgo (KRI),
Las fases consideradas son las siguientes: los de desempeño (KPI), las auditorías o
monitorizaciones más recientes, las acciones
de remediación pendientes o cualquier otra
información que pueda ser relevante.
Información a analizar del área

supervisada
(ejemplo)
• Estructura organizativa del área.
• Responsabilidades de cada empleado.
11.4.1. Planificación • Actividades realizadas.
• Procesos operativos que se siguen.

Durante esta fase se analizan todos los
aspectos relativos a los riesgos y a los • Información de gestión que generan.
• Controles que existen en el área y responsables En cada uno de estos tres supuestos, los objetivos,
de su ejecución. y por tanto el alcance y el enfoque de las revisiones,
serán distintos.
• Principales partes interesadas (proveedores,
clientes internos y externos, socios, etc.) con los
que se relacionan. Elección del tipo de revisión
• Acuerdos de externalización existentes.
A continuación se debe decidir cuál va a ser la
• Auditorías internas o externas realizadas. metodología y el enfoque que se va a utilizar
en la revisión, incluyendo la elección sobre la
herramienta de monitorización, los detalles
Definición del alcance y de los
de las pruebas a realizar y la selección y el
objetivos de la revisión
tamaño de las muestras.
Los objetivos que perseguimos con cada
revisión en concreto nos permitirán definir su Herramientas para realizar la
alcance, el enfoque que vamos a utilizar y los monitorización
resultados que esperamos obtener. (ejemplo)
• Visitas de inspección in situ en oficinas o puntos

Los distintos escenarios de riesgo que
de venta.
hemos identificado y los distintos controles
existentes para cada uno de los riesgos • Revisión de expedientes de clientes.
nos dan los distintos objetivos que vamos a • Revisión de información de gestión del área
perseguir en cada ejercicio de revisión. En (estadísticas).
esta fase del proceso procederemos a definir
• Autocertificaciones de empleados.
con claridad los objetivos que se persiguen y,
como consecuencia, cuál va a ser su alcance • Empleo de clientes de incógnito (metodología
y enfoque. mystery shopping).
• Visitas temáticas a áreas o departamentos.

Distintos objetivos para una misma área
• Encuestas o llamadas a los clientes.
supervisada
• Revisión (escucha) de grabaciones de
Tomando como ejemplo la supervisión del área
conversaciones con clientes o de contratos
de reclamaciones de los clientes, podemos fijar
telefónicos.
distintos objetivos para nuestra revisión:
• Comprobar que las reclamaciones se responden

También es posible utilizar varias
en el plazo adecuado;
herramientas para una misma revisión.
• Verificar si se están dando respuestas justas a Por ejemplo, si deseamos monitorizar el
las reclamaciones; proceso de venta de un producto financiero
• Valorar si se analizan adecuadamente las para comprobar que no se ha colocado
causas raíz de las reclamaciones. indebidamente a clientes que no se ajustan al
perfil del producto, podemos utilizar primero
la información de gestión, identificando 11.4.2. Trabajo de campo

las oficinas o gestores comerciales que han
vendido una mayor cantidad del producto, Una vez finalizada la fase de planificación,
para, posteriormente, hacer una selección comenzaremos el trabajo de campo. En esta
de los clientes a los que se les ha vendido el fase se realizarán todas las tareas de testeo
producto y revisar sus expedientes de venta, que han sido previamente definidas en la
bien in situ o a distancia, comprobando la fase de planificación.
información que se les ha facilitado y las

advertencias que se les ha hecho. Tareas de trabajo de campo de la revisión
(ejemplos)
Durante esta fase de planificación el • Selección y realización de entrevistas a
responsable de la monitorización de empleados.
Compliance debe determinar cuál (o cuáles)
• Selección y realización de entrevistas a clientes.
son las herramientas más apropiadas
para cada revisión y las herramientas • Selección, recogida y revisión de expedientes
de clientes.
seleccionadas variarán en función de los
objetivos que se persiguen. • Selección, recogida y escucha de llamadas de
clientes.
Por otro lado, en esta fase se debe decidir cuál
• Selección y recogida de información estadística.
va a ser el tipo y el tamaño de las muestras
que se van a analizar. Las características de • Selección y recogida de información de gestión.
las muestras deberán ser adecuadas para • Selección, recogida y revisión de reclamaciones.
responder a los objetivos que se persiguen
• Preparación, envío y recogida de
con la revisión y su tamaño debe ser suficiente
autocertificaciones de empleados
para que sea suficientemente representativo.
• Preparación y realización de visitas de cliente
Comunicación al área que se va a de incógnito (metodología mystery shopping).
supervisar
Durante toda esta fase, se mantendrá un
Por último, en esta fase de planificación es
contacto permanente con las personas
necesario realizar una comunicación formal al
designadas del área a supervisar,
responsable del área que se va a supervisar,
solicitándoles información y documentación
indicando los objetivos de la monitorización,
o cualquier otra cuestión que se requiera.
su alcance, el enfoque que se va a adoptar
Asimismo, se irá informando al responsable
y la forma en la que se va a llevar a cabo la
del área sobre los resultados más relevantes
revisión. El responsable del área a supervisar,
que se vayan obteniendo.
por su parte, designará a las personas de
contacto para actuar con los responsables de 11.4.3. Conclusiones de la revisión
Compliance durante la revisión.
Una vez realizado el trabajo de campo y a la
vista de los resultados obtenidos, estos se
deben analizar para extraer las conclusiones situaciones que son incorrectas y que
y establecer las medidas correctoras, en su implican una incidencia y se determinará si
caso. las excepciones y las incidencias identificadas
corresponden a un hecho aislado o a un error
En esta labor de análisis se deberán tener
puntual o, por el contrario, si responden a un
en cuenta los objetivos que se perseguían
fallo más profundo en los controles.
con la revisión y, a la vista de las excepciones
identificadas, estas se tendrán que poner Todas las incidencias deben ser
en contexto con el conocimiento que se adecuadamente documentadas y archivadas
tiene sobre los procesos existentes en el y deben estar apoyadas por evidencias
área supervisada y sobre los demás factores contrastables.
conocidos.
En esta fase se estará también en contacto
Un aspecto sumamente importante en con el área supervisada, informándoles de
esta fase es el análisis de la causa raíz de las deficiencias de control identificadas, en su
las excepciones identificadas, ya que una caso. Estos contactos servirán también para
excepción identificada en una revisión de confirmar la exactitud de las excepciones
Compliance solo es el síntoma de que puede y deficiencias detectadas, o para ajustarlas
existir un fallo de control que, a la larga, en caso de que no se hubieran considerado
puede dar lugar a que el riesgo aflore. factores relevantes.
Es precisamente esa labor de detección Resultado global de la revisión

del posible fallo de control existente la que
Para facilitar la lectura del informe y el
aporta valor a la tarea de monitorización, ya
seguimiento posterior de las revisiones
que permite que se implementen medidas
de monitorización, es muy útil que los
de control adicionales en una fase muy
procedimientos internos de la organización
incipiente del riesgo que ayudarán a prevenir
incluyan un sistema de medición de su
que se produzca en el futuro.
resultado.
Por otro lado, un análisis certero de la
causa raíz de las incidencias identificadas Sistema de medición del resultado de una
nos permitirá diseñar adecuadamente las revisión (ejemplo)
medidas de remediación que es necesario Se puede establecer un sistema de medición del
implementar. resultado de la revisión tipo “semafórico”, en el
que se evalúe el resultado global en función de la
Evaluación de los resultados cantidad y gravedad de las incidencias detectadas
de la siguiente forma:
Tras haber ejecutado el trabajo de campo, se
deben evaluar los resultados obtenidos. ROJO: existen debilidades de control
significativas que pueden derivar
En la fase de evaluación se recogerán las en sanciones regulatorias y/o daños
excepciones obtenidas, es decir, aquellas reputacionales relevantes.
ÁMBAR: existen algunas debilidades Siempre que se decida adoptar una medida
de control que pueden derivar en correctora, se deberá definir con detalle en
sanciones regulatorias y/o daños qué va a consistir. Además, siempre se le debe
reputacionales menos graves.
asignar una fecha límite para su terminación
VERDE: no se han identificado y decidir quién será la persona, o personas,
debilidades o las que se han responsables de su ejecución.
identificado son menores y no revisten
un riesgo relevante. La fecha límite para la finalización de
las medidas correctoras dependerá de
El resultado global de la revisión determinará, a varios factores, incluyendo la gravedad
su vez, las acciones a acometer posteriormente de la incidencia detectada, y por tanto la
y que estarán alineadas con la gravedad de las urgencia en la implantación de la medida de
deficiencias identificadas. remediación, los medios necesarios para la
implantación de la medida o las restricciones
Decisión y acuerdo sobre las técnicas que puedan existir, entre otros.
medidas a adoptar
Las personas que se asignen como
Siempre que se detecte una incidencia que no responsables de cada medida de remediación
sea fruto simplemente de un hecho aislado deberán informar periódicamente sobre su
o de un fallo puntual, sino que suponga una evolución y alertar en caso de que existan
deficiencia de control, es necesario definir y problemas o impedimentos para su total
acordar medidas correctoras que aumenten implantación en el plazo previsto.
o mejoren los controles y que prevengan el
riesgo identificado. Información al área supervisada
El análisis de la causa raíz de las deficiencias Una vez finalizada esta fase de conclusiones,
identificadas será la base sobre la que se puede ser oportuno celebrar una reunión
fundamente el diseño de las medidas a de cierre con los responsables del área
adoptar. Cada incidencia tendrá asociada una supervisada.
o varias medidas correctoras que, a juicio del
Esta reunión servirá para informar a los
responsable de Compliance y del responsable
responsables del área sobre las conclusiones
del área supervisada, sean suficientes para
de la revisión y para confirmar la exactitud
prevenir el riesgo.
de las incidencias detectadas, así como las
Las medidas correctoras deberán ser medidas de remediación acordadas, antes de
acordadas y compartidas con el área la elaboración y remisión del informe final de
supervisada y con las personas que van a la revisión.
ser responsables de su ejecución. En caso de
11.4.4. Informe de la revisión
discrepancia sobre las medidas a adoptar,
se deberá escalar la decisión a los órganos Los trabajos realizados durante la revisión
superiores de la organización. y las conclusiones extraídas de la misma
se deben recoger en un informe que será Una vez elaborado, el informe se remitirá a
posteriormente remitido a la alta dirección. las personas relevantes de la organización y a
los responsables del área supervisada.
Los informes de las revisiones de
monitorización podrán tener un formato La alta dirección debe recibir los informes de
estándar en la empresa, aunque se deberán monitorización de Compliance, incluyendo el
adaptar al tipo de revisión concreto de que plan de acción y las medidas de remediación
se trate. acordadas, bien de forma completa, o bien de
forma resumida.
Dependiendo de la extensión del informe,
puede ser oportuno incluir un resumen 11.4.5. Seguimiento
ejecutivo al comienzo, con la referencia de
Tras una revisión de monitorización, el
los aspectos más relevantes, añadiendo a
Compliance Officer debe hacer seguimiento,
continuación una descripción más detallada
tanto de las deficiencias identificadas, como
de todos los puntos tratados, así como anexos
de las medidas de remediación que se han
con los detalles de las deficiencias detectadas
acordado. El seguimiento de las medidas
y de las medidas de remediación acordadas.
de remediación es esencial para garantizar
la resolución de las deficiencias de control
Contenidos del informe de revisión
detectadas.
(ejemplos)
• Datos generales de la revisión: título, fecha,

Para ello, se deberá llevar un registro con todas
área supervisada, personas responsables de la las medidas de remediación procedentes de
revisión. todas las revisiones y verificar periódicamente
su estado con los responsables de las mismas.
• Objetivos de la revisión: antecedentes, riesgos
y controles revisados, propósitos perseguidos.
En caso de que haya que posponer la fecha
• Tipo de revisión: herramientas que se van a límite de adopción o ejecución de alguna de las
utilizar utilizadas, tipo y tamaño de las muestras. medidas correctoras, se deberá documentar
e informar a los órganos de la organización
• Trabajo de campo: descripción de las tareas
ejecutadas en el trabajo de campo. apropiados.
• Resultados obtenidos: excepciones Todas las evidencias del seguimiento de

identificadas, incidencias detectadas. las medidas correctoras y de sus posibles
• Conclusiones de la revisión: resultado modificaciones deben ser adecuadamente
global (rating), análisis de la causa raíz de las documentadas y archivadas.
deficiencias, así como medidas correctoras
acordadas. 11.4.6. Cierre y archivo
• Lista de distribución: personas a las que se va a Una vez que se han completado
remitir el informe. satisfactoriamente todas las medidas de
remediación acordadas, el Compliance
Officer podrá cerrar formalmente la revisión

y se procederá a su archivo.
El cierre de la revisión será comunicado al

responsable del área supervisada y a la alta
dirección.
Se registrarán todas las evidencias y

documentos generados durante la revisión.
En particular, se deben archivar todas las
evidencias recogidas en el trabajo de campo,
los informes producidos y remitidos a la
dirección y al área supervisada y las actas de
las reuniones que se han mantenido.
11.4.7. Comunicación e informe
La alta dirección y el órgano de administración

siempre deben conocer los resultados de
la supervisión de Compliance, entre otras,
porque:
• Como “dueños” de los riesgos, deben

conocer cualquier deficiencia detectada.
• Son los que fijan el apetito de riesgo de

la organización, por lo que deben conocer
cualquier riesgo que se salga del umbral
de tolerancia.
• Deben conocer periódica y puntualmente

cuál es el estado del sistema de control de
riesgos de la organización.
• Les corresponde tomar decisiones sobre

la adopción de medidas correctoras,
que generalmente consumen recursos,
por lo que deben conocer las causas y la
severidad de las deficiencias detectadas.
• Les permite prever y corregir riesgos

reputacionales que pueden afectar
significativamente a la organización.
• La monitorización es un elemento esencial en Compliance. Consiste en la supervisión continua

de los controles para verificar su adecuación (efectividad) y, por tanto, un funcionamiento que
permite gestionar y mitigar los riesgos.
• Su necesidad se basa en la posibilidad de que los controles fallen o dejen de ser efectivos, ya
sea debido a un deficiente diseño o ejecución, o por cambios en las circunstancias del riesgo
u otros factores del entorno. Por tanto, el objetivo de la monitorización es que una función
independiente compruebe y asegure el funcionamiento efectivo de los controles y, si fuera
necesario, adoptar las medidas correctoras para lograr este fin.
• Cabe señalar el documento Guidance on Monitoring Internal Control Systems (COSO, 2009)
como referencia para la monitorización de los controles. Dichas orientaciones surgen a
consecuencia de las deficiencias detectadas en la ejecución de esta actividad por parte de las
organizaciones que utilizaban en el marco COSO de control interno.
• La monitorización se lleva a cabo bien mediante supervisión continua durante el curso ordinario
de las operaciones (monitorización continua, normalmente a cargo de la primera línea de
defensa) o bien a través de revisiones periódicas que verifican la efectividad de un control a lo
largo de un periodo más o menos prolongado (revisiones específicas, responsabilidad habitual
de la segunda línea). La monitorización continua permite una detección más temprana de
potenciales problemas, pero no siempre es posible.
• La monitorización requiere de información para llevar a cabo la verificación de la efectividad de

los controles. Esta información puede ser directa (observación de los controles en ejecución)
o indirecta (a través de fuentes como indicadores de riesgo (KRI) y/o de desempeño (KPI),
reclamaciones y denuncias.
• El plan de monitorización es un importante documento, estructurado, periódico, donde

se definen y documentan las tareas de supervisión a ejecutar. Aun siendo un documento
elaborado por Compliance, su aprobación y modificaciones corresponden a la alta dirección de
la organización.
• Las fases de las que consta la ejecución de la monitorización siguen una secuencia lógica,
siendo las siguientes:
- planificación, incluyendo el análisis del área a supervisar, alcance, objetivos, metodología, etc
- trabajo de campo, para la obtención de los datos necesarios.
- conclusiones de la revisión, derivadas del análisis de los datos y sus resultados.
- informe de revisión, remitido a la alta dirección, con toda la información y medidas adoptadas.
- seguimiento, de las medidas de remediación adoptadas.
- cierre y archivo, una vez corregida y remediada la deficiencia.
- comunicación e informe, fase final donde se comunica a los órganos de gobierno y alta
dirección los resultados globales del ejercicio de supervisión.
Módulo 12
Prevención del
riesgo penal de las
personas jurídicas
MÓDULO 12 • PREVENCIÓN DEL RIESGO PENAL DE LAS PERSONAS JURÍDICAS
Módulo 12 directrices emanadas de la propia ley, como

de las directrices internas de la empresa, de
Prevención del riesgo sus compromisos éticos y de su código de
penal de las personas conducta.
jurídicas En otras palabras, Compliance consiste en

el establecimiento de aquellas políticas y
Objetivos procedimientos capaces de garantizar que
una empresa- incluido todo su personal
Tras completar este módulo, el alumno vinculado- cumple con el marco jurídico que
deberá ser capaz de: le es de aplicación.
Sin embargo, en el tráfico diario de una

• Identificar los antecedentes y referencias
de la responsabilidad penal en el ámbito sociedad surgen situaciones que, siendo
internacional. estrictamente lícitos conforme a la normativa,
no resultan sin embargo éticos. Es por ello por
• Distinguir las modificaciones del Código Penal
lo que el Compliance tiene entre sus objetivos
de 2010 y 2015 en relación a la responsabilidad
el desarrollo de herramientas de gestión y
penal en España.
control de conflictos penales y éticos a través
• Comprender las características que determinan de la implementación de programas de
la eficacia de un modelo de prevención, de
cumplimiento tendentes a evaluar el análisis
acuerdo con la Circular 1/2016 de la Fiscalía
de estos riesgos y, en su caso, promover
General del Estado.
los planes de acción necesarios para su
• Reconocer los elementos de un modelo de mitigación.
organización y gestión eficaz para la prevención
de delitos de las personas jurídicas. Este módulo se centra en un elemento
esencial en la labor de Compliance, que es
• Entender la norma UNE: 19601. Sistema de
la gestión del riesgo penal de las personas
Gestión de Compliance Penal.
jurídicas.
12.1. Introducción y Veremos sus antecedentes y cómo la
antecedentes relevantes atribución de responsabilidad penal a

las personas jurídicas se ha configura
Es posible que el término “Compliance” como la decisión que mayor impulso ha
sea uno de los términos jurídicos más proporcionado a la función de Compliance en
indeterminados e imprecisos que incluye los últimos años, a medida que esta se ha ido
nuestra legislación. incorporando a los cuerpos normativos de
los diferentes países.
En sí mismo no incluye mayor significado
que la actuación de las personas jurídicas Asimismo, se analizarán elementos clave
conforme a la legalidad, entendiendo ésta en la determinación de la responsabilidad
sentido amplio: tanto el cumplimiento de las penal, su evolución en los últimos años y
los conceptos clave, como el de eficacia del momento en el cual comienza la hegemonía
modelo, y qué elementos se tienen en cuanta empresarial mediante la acometida de
para evaluarla. los grandes proyectos empresariales. Las
sociedades emergentes aparecen de forma
También se proporcionará un listado de convulsa, pero carentes sin embargo de
delitos exhaustivo de los delitos que pueden regularización y control jurídico alguno,
susceptibles de imputarse a personas jurídicas. contrariamente a lo que hoy se entiende
respecto de la legislación estadounidense,
Asimismo, se exponen los elementos
una de las más reguladas y congruentes a
necesarios para el establecimiento de un
nivel mundial. Así, ni la denominada Unión,
modelo de prevención efectivo, incluyendo
ni los estados que la conformaban, tenían
los aspectos relacionados con el compromiso
atribuidos una clara competencia para
de los órganos superiores de gobierno y
legislar el modo de organización empresarial,
administración, el órgano de vigilancia y
creando un escenario social profundamente
control, identificación de riesgos, etc.
desregulado y propicio para la aparición de
Por último, se incluye un epígrafe en el que se prácticas corruptas y fraudes.
detalla la norma española UNE: 19601:2017 Es en 1890 cuando, ante esta situación, sed
de Sistemas de Gestión de Compliance Penal. introduce la Sherman Antitrust Act, primera
Esta norma, certificable, se configura como un medida adoptada por el Congreso en
referente de primer orden para orientar en materia de monopolios comerciales. Con ello
la implantación de un modelo de prevención comienzan a sentarse las bases de lo que
penal efectivo y alineado con el resto de los décadas más tarde se entenderá como la
estándares de Compliance y resto de buenas función de Compliance. Asimismo, en lo que
prácticas internacionales. respecta a la responsabilidad de las empresas,
se produce un hito relevante en 1909, cuando
12.1.1. Ley de Prácticas Corruptas
el Tribunal Supremo de EE.UU se pronunció
en el Extranjero (FCPA) y Directrices
en el Caso New York Central & Hudson River
[para la formulación] de Sentencias
vs. U.S, respecto de la responsabilidad penal
de EE.UU de una sociedad por un delito cometido
por uno de sus empleados, al reconocer la
Ya vimos en el módulo 1 de este material
responsabilidad penal de una empresa.
que el concepto del Compliance no surge
en nuestra legislación europea de forma
“El Congreso puede imputar a una empresa la
azarosa, sino como respuesta a una
comisión de determinados delitos y someterla a un
necesidad que previamente ya había sido proceso penal por ello”.
objeto de desarrollo en el mundo corporativo
(“Congress can impute to a corporation the commission
anglosajón.
of certain criminal offenses and subject it to criminal
prosecution therefor”).
Históricamente, el siglo XIX marca el antes
y el después en la economía de EE.UU, New York Central & Hudson River Railroad Co. v.
United States, 212 U.S. 481 (1909)
Todo esto, ya mencionado en el módulo 1, Aunque se puede cuestionar su eficacia o

permitió el inicio controles de actuación a las aplicación durante sus primeros años de
personas jurídicas, imponiéndose sanciones existencia, no cabe duda del impacto de
como forma de incentivar y promover la la FCPA en el desarrollo de la función de
adopción de programas de cumplimiento y Compliance, constituyendo posiblemente el
control. hecho puntual más relevante en la historia
de la función de control. Es en ese momento
Otro de los elementos clave en la
cuando se sientan las bases normativas sobre
configuración de la función de Compliance
las que se edifica la obligatoriedad de adoptar
es la lucha contra la corrupción y prácticas
controles internos, inicialmente orientados a
corruptas. Este hecho está en el centro
la protección del consumidor (inversor) y a la
mismo de la configuración moderna de la
prevención de la corrupción.
función.
En este sentido, la FCPA cubre dos elementos
También se ha comentado a lo largo de
nucleares en las prácticas corruptas, como
estos materiales, y particularmente en el
son:
módulo 1, la importancia del Watergate
como catalizador de cambios sociales y
políticos en EE.UU. Con motivo de dicho Sobornos
escándalo, se inició un complicado proceso
de investigación empresarial que permitió Falsedad de los libros y registros
a la U.S. Securities and Exchange Commission contables
(SEC) el descubrimiento del pago de sobornos
a autoridades públicas por parte de varios
Asimismo, conceptos tan habituales ahora
cientos de compañías estadounidenses.
como la política de regalos o el código ético
La extensión de estas prácticas, su impacto o código de conducta no estaban definidas,
en la opinión pública y en las relaciones y es entonces cuando la FCPA decide entrar a
exteriores de EE.UU (por ser en gran regular su tratamiento.
medida sobornos pagados a funcionarios

Lo cierto es que, como anteriormente hemos
públicos extranjeros) tuvo como resultado
mencionado, el eje central de la FCPA radica
la aprobación pocos años después de la ya
en la posibilidad de imputar responsabilidad
mencionada Ley de Prácticas Corruptas en
penal a una empresa o corporación como
el Extranjero (abreviada FCPA, por sus siglas
consecuencia de la comisión del delito de
en inglés). El DOJ acuñó la denominación
corrupción a un funcionario público.
“corporate Compliance program” al hilo del
contenido de dicha FCPA, popularizándose Así, la FCPA regula que una persona jurídica
el uso de la expresión “corporate program” será responsable penalmente cuando sus
en referencia a modelos de Compliance administradores, directivos, empleados,
vinculados a prevención en el ámbito penal. agentes o socios efectúen pagos a
funcionarios públicos con la intención de Establecimiento de un sistema

influir indebidamente a su receptor en el disciplinario ante posibles
seno de una actuación de negocios. violaciones de las directrices
señaladas en el programa de
Para prevenir, detectar, remediar, mitigar Compliance;
y reportar conductas ilícitas, la FCPA y, más
Sistema de auditorías periódicas
concretamente, la Guía de recursos sobre
en materia legal, financiera y
la FCPA198 publicada en 2012 por la SEC y
contable;
actualizada en 2020, imponen a las sociedades
el desarrollo de programas corporativos de Desarrollo e implementación de
Compliance. mecanismos comunicación de
denuncias, de investigación, y
Ambas determinan los elementos básicos de vulneraciones del programa
que ha de contener un programa de corporativo de Compliance;
Compliance corporativo, señalando como
puntos centrales: Asesoría legal en materia de
fusiones y adquisiciones.
Compromiso de la alta gerencia
y una política corporativa La normativa estadounidense establece los
claramente articulada en contra de elementos fundamentales para desarrollar
la corrupción; un programa de Compliance eficiente
en la prevención de la corrupción. En su
Existencia de un código de conducta
mayor parte, son elementos compartidos
y políticas y procedimientos de
con la normativa europea en materia de
cumplimiento que aborden las
Compliance, que verá ampliado su alcance a
áreas de riesgo de la empresa;
otros riesgos distintos.
Garantías de independencia y
autonomía de los responsables Teniendo, por ende, como precedente la
de la supervisión y gestión del FCPA, el 1 de noviembre de 1991 entran
programa de cumplimiento, y la en vigor las también referidas United States
dotación de los recursos necesarios Sentencing Guidelines for Organizations (en
proporcionados a los mismos; adelante, USFSG), las cuales constituyen un
conjunto de guías y directrices a seguir por
Evaluación periódica de los riesgos
los jueces y tribunales estadounidenses en el
asociados a la empresa;
enjuiciamiento de personas jurídicas.
Cursos de asesoría y formación al
Estas USFSG surgen como correlativo a lo
personal de la empresa;
previamente dictaminado para las personas
físicas a través de las Sentencing Guidelines for
198 A Resource Guide to the U.S. Foreign Corrupt Practices Act, Second
Edition, Criminal Division of the U.S. Department of Justice and
natural persons, promulgadas en 1987 por la
the Enforcement Division of the U.S. Securities and Exchange
Commission, 2020.
SEC y que fueron, sin embargo, declaradas no
vinculantes al entender el Tribunal Supremo sentencias conforme a los criterios

de EE.UU que dichas guías vulneraban la cuantitativos que les permiten modular,
Sexta Enmienda. tanto el grado de culpabilidad, como,
consecuentemente, la imposición de la pena
Por su parte, las USFSG permanecieron
aplicable.
vigentes hasta la actualidad, siendo sin
embargo progresivamente modificadas tras la En concreto, la pena puede verse incluso
aprobación en 2002 de la Sarbanes-Oxley Act. reducida si la persona jurídica en cuestión:
Si bien desde un plano puramente teórico • Ha contemplado actuaciones preventivas

los jueces y tribunales estadounidenses para evitar la comisión de delitos
entendieron extensible la responsabilidad (programas de Compliance)
penal a las personas jurídicas, lo cierto es
• Adopta una actitud postdelictiva de apoyo
que fue preciso especificar un sistema que
y colaboración en la investigación criminal.
permitiese modular el grado de culpabilidad
o la pena aplicable en función de los 12.1.2. Convención anticorrupción
delitos cometidos en el seno de la actividad de la OCDE
empresarial.
A partir de los años noventa, los programas de
Para ello, ya en las primeras USFSG se hizo Compliance se convierten en una figura clave
patente la necesidad de que las empresas en la lucha contra el fraude y la corrupción. En
dispusiesen de programas de Compliance este sentido, una nueva sociedad globalizada
eficaces para la mitigación de riesgos penales, empieza a entender la trascendencia
determinándose además aquellos elementos internacional de la corrupción, ya no como un
que debían ser recogidos en dichos problema nacional, sino como un fenómeno
programas para que los mismos cumpliesen generalizado en las transacciones comerciales
con los estándares éticos norteamericanos internacionales.
de Compliance.
En la medida en la que los gobiernos
En resumen, la calificación de un programa comienzan a reconocer su papel en la
de Compliance como efectivo no dependía investigación y prevención de la corrupción,
únicamente de que el mismo recogiese las las convenciones internacionales consagran
normas y procedimientos internos para sus primeras conclusiones; entre ellas,
detectar, prevenir y mitigar actuaciones algunas tan importantes como la Convención
ilegítimas, sino que además debía promover, para combatir el cohecho de servidores
de una forma proactiva, una conducta públicos extranjeros en transacciones
corporativa basada en la ética y en el comerciales internaciones, adoptada el 21 de
cumplimiento de la legalidad. noviembre de 1997 por la Organización para
la Cooperación y el Desarrollo Económico (en
De esta forma, los jueces y tribunales
adelante, “Convención de la OCDE”).
estadounidenses pueden fundar sus
La “Convención de la OCDE” surge como en su impulso en Europa, es la consagración

consecuencia de lo dictaminado por el de la responsabilidad penal de las personas
Consejo de la OCDE en su “Recomendación jurídicas.
Revisada para combatir el cohecho en las
La Convención tiene un objetivo primordial:
transacciones comerciales internacionales”,
sancionar a las personas físicas y jurídicas
de 23 de mayo de 1997, donde se reivindica
que, en el marco de sus transacciones
la adopción de medidas eficaces para
comerciales, otorguen o prometan la
disuadir, prevenir y combatir la corrupción de
entrega de retribuciones o gratificaciones
autoridades públicas extranjeras.
a funcionarios públicos extranjeros, con la
finalidad de obtener de los mismos cualquier
“[La OCDE] RECOMIENDA que los países Miembros
tipo de ventaja o beneficio sobre sus negocios.
tomen medidas eficaces para disuadir, prevenir y
combatir el cohecho de servidores públicos extranjeros
en relación con las transacciones comerciales “Cada parte tomará las medidas que sean necesarias,
internacionales” de conformidad con sus principios jurídicos, para
establecer la responsabilidad de las personas jurídicas
Recomendación I,
por el cohecho de un servidor público extranjero”.
Convención para combatir el cohecho de servidores
públicos extranjeros en transacciones comerciales Artículo 2,
internaciones (Convención OCDE), 1997 Convención para combatir el cohecho de servidores
públicos extranjeros en transacciones comerciales
internaciones (Convención OCDE), 1997
Siguiendo la idea formulada por la FCPA
estadounidense, para la OCDE la corrupción
de funcionarios públicos es un claro síntoma Se especifica además que, en el caso en
de la mala praxis de los sistemas políticos el que la legislación interna de un EE no
nacionales. En pleno siglo XX, la corrupción es permita aplicar responsabilidad penal sobre
un problema latente en la sociedad; elimina las personas jurídicas, el mismo deberá
toda confianza en nuestro sistema político y garantizar al menos la aplicación de cuantas
desincentiva la inversión comercial. sanciones resulten necesarias para hacer

efectiva la penalización de la corrupción de
Por ello, la estructura de la “Convención funcionarios, bajo los límites de efectividad,
de la OCDE” se desarrolla en torno a un proporcionalidad y disuasión.
texto integrado por diecisiete artículos y
una serie de documentos relacionados, Con la subscripción de la Convención de
donde lo importante es dejar constancia del la OCDE, los EEMM se comprometieron
significativo rol que ostentan los estados por primera vez a la cooperación mutua
miembros (EEMM) en la lucha contra el fraude interestatal en asuntos de apoyo, vigilancia y
y la corrupción. extradición en caso de comisión de un delito

de corrupción de funcionarios públicos por
La principal contribución en materia de parte de sus nacionales.
Compliance y, por ende, el punto de inflexión
““RECOMIENDA que, para combatir eficazmente el 12.1.3. Decreto legislativo 231/2001

cohecho de los servidores públicos extranjeros en las de Italia
transacciones comerciales internacionales, con arreglo
a sus principios jurisdiccionales y a otros principios El 8 de junio de 2001 se promulgó en Italia
jurídicos básicos, los países miembros tomen las el Decreto Legislativo n. 231/2001 (en
siguientes medidas: (i) consultar y cooperar de otro
adelante, “Dlgs. 231”), de la disciplina de
modo con las autoridades competentes de otros
la responsabilidad administrativa de las
países y; según proceda, con redes internacionales
personas jurídicas, empresas y asociaciones
y regionales dedicadas a la aplicación estricta de la
ley que incluyan a países miembros y no miembros,
sin personalidad jurídica, de conformidad con
en investigaciones y en otras diligencias jurídicas el artículo 11 de la Ley de 29 de septiembre
respecto a casos específicos de cohecho internacional, de 2000, n. 300.
a través de recursos como compartir información de
manera espontánea o mediante solicitud; suministro Se trata de una regulación singular entre
de pruebas, extradición, así como la identificación, los ordenamientos jurídicos europeos
embargo preventivo, incautación, decomiso y pues, si bien es cierto que el “Dlgs. 231”
recuperación del producto del cohecho de servidores responde formalmente a una ley de carácter
públicos extranjeros; (…)” administrativo, la responsabilidad extensible
Recomendación XIII, a las personas jurídicas deriva de delitos
Recomendación del Consejo para fortalecer la cometidos en su interés o beneficio, pudiendo
lucha contra el cohecho de servidores públicos ser depurada a través de un proceso penal
extranjeros en transacciones comerciales
con todas las garantías.
internacionales”, OCDE, 2009
Italia, tal y como se desprende de su normativa
En lo que a España se refiere, la Convención vigente, decidió adoptar a través del “Dlgs.
de la OCDE fue firmada un mes después 231” un modelo de autorresponsabilidad de
de su entrada en vigor, concretamente el la persona jurídica, sirviendo como ejemplo
17 de diciembre de 1997, ratificándose para posteriores ordenamientos europeos,
posteriormente en enero del año 2000. entre ellos España. De hecho, cabe señalar
que el sistema penal español, en relación
En este mismo mes se publica en el BOE la con la responsabilidad penal de las personas
Ley Orgánica 3/2000, de 11 de enero, de jurídicas, presenta rasgos que lo hacen casi
modificación de la Ley Orgánica 10/1995, de idéntico a lo dispuesto por el legislador
23 de noviembre, del Código Penal, en materia italiano.
de lucha contra la corrupción de agentes
públicos extranjeros en las transacciones Centrándonos en la normativa italiana, el
comerciales internacionales, lo que supone “Dlgs. 231” introduce en su artículo 5 el
un nuevo impulso de cara a la implementación régimen de responsabilidad administrativa
de las obligaciones contraídas en virtud de la de las personas jurídicas por la comisión de
Convención de la OCDE. actos delictivos cometidos con intención de

obtener cualquier tipo de ventaja o beneficio
para la corporación por:
• Aquellas personas físicas que b. la tarea de vigilar el funcionamiento y el

desempeñen, incluso de facto, funciones respeto de los modelos y su actualización
de representación, administración o se ha confiado a un organismo de la
dirección de la organización o de alguna Entidad con poderes autónomos de
de sus unidades de organización con iniciativa y control;
autonomía financiera y funcional, así
c. las personas que han cometido delitos
como también por personas físicas que
y actos ilícitos han actuado eludiendo
ejerzan la gestión y el control de dichas
en modo fraudulento los antedichos
entidades; y
modelos;
• Personas físicas sometidas a la dirección d. no se haya omitido o insuficiente
o a la vigilancia de uno de los sujetos vigilancia por parte del organismo
anteriormente indicados. contemplado en la anterior letra b)”.
Sin perjuicio de ello, el “Dlgs. 231” Ahora bien, como anteriormente ha sido
contempla como posible eximente de dicha mencionado, no basta con que la organización
responsabilidad administrativa la adopción cuente con un programa de Compliance, sino
por parte de la persona jurídica de un “Modelo que además el mismo deberá ser considerado
de Organización y Gestión” eficaz. eficaz respecto de la prevención, detección,
mitigación y sanción de los riesgos delictivos.
Así el legislador italiano, mediante esta
obligación de desarrollo de dicho modelo, Para determinar la eficacia, el legislador
pretende promover entre los distintos entes italiano entendió en el “Dlgs. 231” que un
programas de cumplimiento vinculantes que modelo resultaría eficaz de contar con los
ayuden a detectar, prevenir y condenar la siguientes elementos o características:
comisión de hechos delictivos en el seno de
a. Identificar las actividades en las que
su organización.
se pueden cometer delitos y actos
En relación a ello, el artículo 6.1 del Dlgs.231 ilícitos;
señala que:
b. Contemplar protocolos específicos
para programar la formación y la
“Si el delito fue cometido por alguna de las
actuación de las decisiones de la
personas indicadas en el artículo 5, apartado
Entidad con relación a los delitos y a
1, letra a), la entidad no será considerada
los actos ilícitos;
responsable si prueba que:
c. Identificar modalidades de gestión de
a. el órgano directivo de la Entidad ha
los recursos financieros idóneas para
adoptado y actuado en modo eficaz,
impedir que se cometan dichos delitos
antes de cometer el hecho, modelos de
y actos ilícitos;
organización y de gestión idóneos para
prevenir delitos y actos ilícitos del tipo d. Contemplar obligaciones de
del que se ha cometido; información hacia el organismo
asignado a la vigilancia del de hecho o de derecho, bien por los delitos

funcionamiento y del respeto del cometidos por quienes, estando sometidos a
Modelo; la autoridad de los anteriores, hayan realizado
esos mismos hechos por no haberse ejercido
e. Introducir un sistema disciplinario
sobre ellos el debido control.
interno idóneo para sancionar los
incumplimientos indicados en el Esta modificación supuso la quiebra del
Modelo. tradicional principio de nuestro derecho penal
societas delinquere non potest, caracterizado
Finalmente, hay que destacar que el “Dlgs. 231”
por la imputación individual de la culpabilidad,
de igual manera supedita dicha efectividad
lo que impedía atribuir responsabilidad penal
a otras dos variantes, de tal forma que una
a las personas jurídicas, al considerarse que
aplicación efectiva del modelo requiere:
las penas presuponían una culpabilidad y un
• Verificación periódica y posible comportamiento imputable únicamente a
modificación cuando se descubran una persona individual, aunque con matices.
flagrantes violaciones de los requisitos
establecidos en el artículo 6.2, o cuando Al objeto de distinguir el cambio que supuso
se presenten cambios en la organización la nueva regulación en el ordenamiento
o en su actividad social y jurídico español, se distingue:
• Establecimiento de un sistema disciplinario • Hasta el 23 de diciembre de 2010, la

idóneo para sancionar el incumplimiento persona jurídica respondía civilmente
de cuantas medidas vengan dispuestas por los delitos cometidos por sus
en el modelo. administradores de hecho o de derecho,
y subsidiariamente por los cometidos
12.2. La responsabilidad penal por sus empleados. Los administradores
de la persona jurídica en el de hecho o de derecho de la sociedad
Código Penal español responden personalmente, por acción

u omisión, en función del tipo delictivo
12.2.1. La introducción de la concreto.
responsabilidad penal de las
• Tras la entrada en vigor de la Ley Orgánica
personas jurídicas
5/2010 de reforma del CP, la persona
El 23 de diciembre de 2010 entró en vigor la jurídica es penalmente responsable
reforma del Código Penal (en adelante “CP”), de determinados delitos cometidos
operada por la Ley Orgánica 5/2010, de 22 de en el ejercicio de su cargo por sus
junio. administradores de hecho y de derecho,
y por quienes hayan estado sometidos a
A partir de esta reforma, las personas su autoridad.
jurídicas podrían ser declaradas responsables
penales, bien por los delitos cometidos por No obstante, esta reforma no tuvo el impacto
sus representantes legales o administradores posiblemente pretendido o el que tuvo la
posterior reforma de 2015. La LO 5/2010 Atendiendo a las críticas recibidas, apenas

incorporó a nuestro ordenamiento el concepto cuatro años y medio después, se volvió a
de Compliance por primera vez , aunque 199
modificar en este ámbito el CP, mediante la
de forma limitada y defectuosa: establecía Ley Orgánica 1/2015, que entró en vigor el 1
como atenuante de la responsabilidad penal de julio de 2015. Estos cambios impulsaron
de la persona jurídica el adoptar “antes del el despegue definitivo de las actividades
comienzo del juicio oral, medidas eficaces para de la función de Compliance en España
prevenir y descubrir los delitos que en el futuro y de la implantación de programas de
pudieran cometerse con los medios y bajo la prevención de la responsabilidad penal de las
cobertura de la persona jurídica”. organizaciones.
El resultado es que la persona jurídica no debía En nuevo CP de 2015, en su artículo 31 bis 1.

cambiar su forma de actuar o comportamiento del CP, establece que las personas jurídicas
significativamente antes de producirse el responderán penalmente:
delito, ya que contaría con una atenuante
• De los delitos cometidos en nombre o por
postdelictual por adoptar medidas tras la
cuenta de las mismas, y en su beneficio
comisión del hecho delictivo. Sin embargo, no
directo o indirecto, por sus representantes
se especificaba el impacto de otras medidas
legales o por aquellos que actuando
implantadas ex ante, por lo que la eficacia y
individualmente o como integrantes de
el estímulo de la modificación legislativa para
un órgano de la persona jurídica, están
promover los programas de prevención de
autorizados para tomar decisiones en
delitos corporativos era muy limitada.
nombre de la persona jurídica u ostentan
Efectivamente, la reforma no sólo no facultades de organización y control
valoraba como atenuante o eximente contar dentro de la misma.
con programas de Compliance implantados
• De los delitos cometidos, en el ejercicio
con anterioridad al hecho delictivo, en el
de actividades sociales y por cuenta y
contexto de un modelo de imputación por
en beneficio directo o indirecto de las
defecto organizativo, sino que la posición
mismas, por quienes, estando sometidos
de la Fiscalía General del Estado, expuesta a
a la autoridad de las personas físicas
través de su Circular 1/2011, tampoco atribuía
mencionadas en el párrafo anterior, han
valor alguno de eximente a los modelos de
podido realizar los hechos por haberse
prevención, quizá por temor a una adopción
incumplido gravemente por aquellos
masiva de programas de cumplimiento
los deberes de supervisión, vigilancia
comerciales, estereotipados y de aportación
y control de su actividad atendidas las
efectiva escasa a la prevención de delitos200.
concretas circunstancias del caso.
199 GUTIERREZ PÉREZ, Elena: “Los compliance programs como eximen- Asimismo, dicho artículo expresamente
te o atenuante de la responsabilidad penal de las personas jurídicas.
La “eficacia e idoneidad” como principios rectores tras la reforma de dispone que la persona jurídica quedará
2015”, Revista General de Derecho Penal, nº24, 2015, págs. 1-24
200 GUTIERREZ PÉREZ, E, op. Cit. exenta de responsabilidad (o, en supuestos
de acreditación parcial, podrá ver atenuada B) anterior, (artículo 31 bis 4) el CP además

su pena) en los siguientes supuestos: exige que, antes de la comisión del
delito, la persona jurídica haya adoptado
1. En los casos de delitos cometidos por
y ejecutado eficazmente un modelo
las personas identificadas en el punto A)
de organización y gestión que resulte
anterior siempre y cuando se cumplan las
adecuado para prevenir delitos de la
siguientes condiciones (artículo 31 bis 2.
misma naturaleza del que fue cometido,
CP):
o para reducir de forma significativa el
• El órgano de administración haya riesgo de su comisión, en los términos
adoptado y ejecutado con eficacia, que a continuación se detallan (artículo
antes de la comisión del delito, 31 bis 5):
modelos de organización y gestión
• Identificación de actividades en cuyo
que incluyan medidas de vigilancia y
ámbito puedan ser cometidos los
control idóneas para prevenir delitos
delitos deben ser prevenidos, es decir,
de la misma naturaleza o para reducir
llevar a cabo una identificación de
de forma significativa el riesgo de
riesgos penales.
comisión;
• Establecimiento de protocolos o
• La supervisión del funcionamiento
procedimientos que concreten el
y del cumplimiento del modelo de
proceso de formación de la voluntad
prevención implantado haya sido
de la persona jurídica, de adopción
confiada a un órgano de la persona
de decisiones y de ejecución de las
jurídica con poderes autónomos
mismas con relación a aquellos, es
de iniciativa y control o que tenga
decir, autorregulación.
legalmente encomendada la función
de supervisar la eficacia de los • Disponer de modelos de gestión de
controles internos de la persona los recursos financieros adecuados
jurídica; para impedir la comisión de los delitos
que deben ser prevenidos.
• Los autores materiales hayan cometido
el delito eludiendo fraudulentamente • Imponer la obligación de informar de
los modelos de organización y de posibles riesgos e incumplimientos
prevención; al organismo encargado de vigilar
el funcionamiento y observancia del
• Siempre que no se haya producido
modelo de prevención.
una omisión o ejercicio insuficiente de
las funciones de supervisión, vigilancia • Establecer un sistema disciplinario
y control del órgano encargado. que sancione adecuadamente el
incumplimiento de las medidas que
2. Para los supuestos de delitos cometidos establezca el modelo, y
por las personas identificadas en el punto
• Realizar verificaciones periódicas del Circular 1/2016 FGE

modelo y de su eventual modificación
Con su publicación el 22 de enero de 2016, la
cuando se pongan de manifiesto Fiscalía General de Estado pretendía pronunciarse
infracciones relevantes de sus y realizar aclaraciones suficientes sobre sobre la
disposiciones o cuando se produzcan responsabilidad penal de las personas jurídicas
conforme a tras la reforma de 2015, como ya hiciera
cambios en la organización, en la
con la Circular 1/2011 respecto de la reforma del CP
estructura de control o en la actividad
de 2010.
desarrollada que los hagan necesarios
Como se puede ver, ya se hace hincapié en

las actividades de prevención y actuaciones
realizadas previamente a la comisión del
delito, si bien es imprescindible considerar
Este documento instruye a los fiscales en la
no únicamente su existencia e implantación
valoración de la eficacia de los modelos de
previa, sino su eficacia.
Compliance en las organizaciones que, tras la
reforma, podría llegar a configurarse como una
Por otro lado, poco después de la modificación
eximente de la responsabilidad penal.
del CP de 2015, los anteriores aspectos
que integran el modelo de Compliance son Esta Circular destaca la importancia de promover una
verdadera cultura ética empresarial, enfatizando la
complementados por la Fiscalía General
necesidad de un inequívoco compromiso y apoyo de
del Estado, en su Circular 1/2016, sobre la alta dirección de la compañía para que el modelo
la responsabilidad penal de las personas de prevención sea realmente eficaz y evitar modelos
jurídicas (en adelante, Circular de la Fiscalía o de Compliance “de boquilla”.
de la FGE). La Circular detalla las condiciones y requisitos
que deben cumplir los modelos de Compliance
Así pues, la Circular de la FGE incluye como para considerarse eficaces y, por consiguiente,
elementos del programa: cualificarse como eximente de responsabilidad:
• Existencia de un verdadero compromiso

Evaluación del riesgo por tipos
corporativo;
de clientes, países o áreas
• Valor limitado de las certificaciones de modelos
geográficas;
de Compliance, que podrán apreciarse, pero no
Establecimiento de un sustituirán el análisis del órgano judicial;
procedimiento y plazo para la • Presunción de ineficacia del modelo si un alto
revisión (art.31bis 5, punto 6 del cargo participó, consintió o toleró el hecho
CP); delictivo;
• Adecuado proceso de selección de directivos;

La formación de directivos y
• Descubrimiento de delitos;
empleados.
• Firmeza en vulneraciones precedentes;
• Actuaciones posteriores a la comisión el delito

(reparación, colaboración activa, etc).
Por otra parte, es importante señalar que para responsabilidad penal con respecto a los
que nazca la responsabilidad penal de las ámbitos delictivos en los que se reconozca
personas jurídicas son exigencias legalmente dicha personalidad jurídica”. En este sentido,
previstas: refieren a título de ejemplo que, si una entidad
posee personalidad jurídica exclusivamente
• Que aquellas tengan reconocida
en el ámbito tributario, por tener obligaciones
personalidad jurídica. No toda persona
tributarias, responderán penalmente por
jurídica con personalidad jurídica
dichos riesgos.
responde penalmente, ya que únicamente
se incluyen las personas jurídico-privadas
No obstante lo referido en el párrafo anterior,
de Derecho civil y mercantil, y quedan
el artículo 129 del CP regula aquellos
exentas por imperativo legal el Estado,
casos en los que se cometen delitos en el
las administraciones públicas territoriales
seno de organizaciones sin personalidad
e institucionales, los Organismos
jurídica, indicando que “el juez o tribunal
reguladores, las agencias y entidades
podrá imponer motivadamente a dichas
públicas empresariales, las organizaciones
empresas, organizaciones, grupos, entidades
internacionales de derecho público, y
o agrupaciones una o varias consecuencias
aquellas otras que ejerzan potestades
accesorias a la pena que corresponda al autor
públicas de soberanía o administrativas.
del delito, con el contenido previsto en las
• En el caso de las sociedades mercantiles letras c) a g) del apartado 7 del artículo 33” y
públicas que ejecuten políticas públicas que también podrá “acordar la prohibición
o presten servicios de interés económico definitiva de llevar a cabo cualquier actividad,
general, solamente les podrán ser aunque sea lícita”. Lo veremos más adelante.
impuestas las penas previstas en las
letras a) y g) del apartado 7 del art. 33. En los siguientes epígrafes se analizará lo
Esta limitación no será aplicable cuando el que sucede con la responsabilidad penal
juez o tribunal aprecie que se trata de una de las personas jurídicas en los “grupos de
forma jurídica creada por sus promotores, empresas” y en las “operaciones societarias”.
fundadores, administradores o
12.2.2. Los “grupos de empresas” y
representantes con el propósito de eludir
la responsabilidad penal
una eventual responsabilidad penal.
Concepto de “grupo de empresas” a
Asimismo, una de las cuestiones que suscitan
efectos de la responsabilidad penal
bastantes dudas hoy en día es la posible
responsabilidad penal de aquellas entidades
de las personas jurídicas
que, sin tener personalidad jurídica, operan La Circular 1/2011 de la Fiscalía General del
en el tráfico mercantil, por ejemplo, las
Estado, relativa a la responsabilidad de las
sucursales.
personas jurídicas (en relación a la reforma
A este respecto, diversos autores entienden del CP de 2010), acoge el concepto de “grupo
que “en estos casos solo será posible la de empresas” recogido en el artículo 18 LSC,
entendiendo que existe tal grupo “cuando Puesto que el grupo de empresas como tal
concurra alguno de los casos establecidos en no tiene personalidad jurídica, en caso de
el artículo 42 del Código de Comercio, y será que se cometa un delito en su seno, habrá
sociedad dominante la que ostente o pueda que determinar cuál de las sociedades que lo
ostentar, directa o indirectamente, el control componen ha cometido el delito y, en su caso,
de otra u otras”. si su responsabilidad penal puede extenderse
a otras sociedades del Grupo.
En este sentido, el Código de Comercio
entiende que existe un grupo cuando una La transferencia de
sociedad ostente o pueda ostentar, directa responsabilidad penal entre
o indirectamente, el control de otra u otras. empresas de un mismo grupo
Se presume que existe control cuando
una sociedad (dominante) se encuentre en El art. 31 bis CP establece la responsabilidad
relación con otra sociedad (dependiente) en penal de las personas jurídicas por los delitos
alguna de las siguientes situaciones: cometidos por sus administradores de hecho
o de derecho o por sus representantes
• Posea la mayoría de los derechos de voto.
legales. También por aquellos sometidos a la
• Tenga la facultad de nombrar o destituir a autoridad de los anteriores, si los primeros
la mayoría de los miembros del órgano de hubieran incumplido gravemente sus deberes
administración. de supervisión, vigilancia y control.
• Pueda disponer, en virtud de acuerdos En consecuencia, la transferencia de la

celebrados con terceros, de la mayoría de responsabilidad penal a la matriz por
los derechos de voto. los delitos cometidos por las sociedades
dependientes se producirá, en virtud del
Responsabilidad penal de los
principio de tipicidad penal, cuando se
grupos de empresas
constate que la entidad estaba sometida a
El art. 31 bis CP exige como criterio de la autoridad de la matriz y que esta no había
imputabilidad la existencia de personalidad ejercido sobre aquella el debido control. Por
jurídica. Se debe aclarar, a este respecto, tanto, se deben dar aquí dos circunstancias o
que los grupos de empresas no tienen requisitos:
personalidad jurídica propia, distinta de la de
las sociedades que lo componen.
Así pues, los grupos empresariales no pueden

ser, per se, responsables penales en los
términos del art. 31 bis CP. Sin embargo, lo
cierto es que sí se les pueden imponer- como
consecuencia accesoria- casi las mismas penas
que a las personas jurídicas (salvo multa y
disolución), por aplicación del art. 129 CP.
a. Primer requisito: sometimiento a la • La gestión independiente supone que

autoridad de la matriz (subordinación) la sociedad dependiente cuente con
una estructura material y funcional
Para determinar si una sociedad filial o
propia que le permita llevar a cabo una
participada está sometida a la autoridad
actividad social diferenciada (personal
de su matriz habrán de tenerse en cuenta
propio, sede social distinta a la de la
distintos criterios.
matriz, etc.).
En primer lugar, un factor determinante
Enresumen,parasabersilaresponsabilidad
es el porcentaje de participación de la
de una sociedad dependiente puede
matriz en la sociedad dependiente:
extenderse a la matriz habrá que analizar
• En el caso de filiales (donde la matriz caso por caso, entre otros, estos criterios:
ostenta la mayoría del capital social) no porcentaje de participación en el capital
parece haber duda de la transferencia social, recursos materiales y personales
de la responsabilidad penal en tanto diferenciados, independencia en la toma
que las mismas se hallan sometidas de decisiones, existencia de una actividad
al control, directo o indirecto, de la social diferenciada, etc.
sociedad matriz.
b. Segundo requisito: ausencia de ejercicio
• En las sociedades participadas donde del debido control por la matriz.
el porcentaje de participación de la
En relación con este segundo
matriz en el capital social sea inferior
requisito, cobra especial relevancia el
al 50% resultará más sencillo acreditar
establecimiento por parte de la matriz
la ausencia de autoridad y, por tanto,
de un modelo de prevención de delitos,
de responsabilidad penal.
extensivo al resto de sociedades del grupo.
No obstante lo anterior, un porcentaje Nos referimos, por ejemplo, a códigos de
accionarial mayoritario no siempre conducta, políticas anticorrupción, canal
implica una verdadera posición de de denuncias, establecimiento de un
dominio, por lo que también habría que órgano de control, etc. a nivel de grupo.
analizar la identidad corporativa y gestión
Ahora bien, lo cierto es que también
independiente de la sociedad participada:
pueden surgir posibles dificultades, tales
• La identidad corporativa se traduciría como diferencias e incompatibilidades
en la ausencia de subordinación de la entre legislaciones nacionales (canal de
sociedad dependiente respecto de la denuncias), capacidad real del órgano
matriz. Para ello, será clave analizar si de control del grupo de controlar a las
la dependiente acata las directrices, filiales, etc.
políticas, instrucciones y decisiones de
la matriz o, por el contrario, toma sus
propias decisiones.
12.2.3. La responsabilidad penal durante el periodo de liquidación la sociedad

de las personas jurídicas en sigue conservando su personalidad jurídica).
operaciones societarias
12.2.4. Criterios de imputación
El art. 130.2 CP intenta evitar la elusión de la responsabilidad penal de la
de responsabilidad penal por medio persona jurídica
de operaciones societarias como la
En líneas generales podemos distinguir dos
transformación, fusión, absorción o escisión.
formas de atribución de responsabilidad
Este artículo determina que la responsabilidad
penal a las personas jurídicas a través del:
penal no se extingue, sino que se traslada
a la entidad transformada (o fusionada, • Modelo de heterorresponsabilidad;
absorbente, o escindida, según el caso).
• Modelo de autorresponsabilidad o
De la lectura del precepto se desprende culpabilidad de la persona jurídica.
que, en lo que se refiere a responsabilidad
Sin perjuicio de que cada ordenamiento
penal de las personas jurídicas, se da mayor
jurídico ha ido modulando progresivamente
importancia al sustrato organizativo que a
su sistema penal conforme a uno de ellos, la
consideraciones meramente formales.
realidad práctica es que ambos responden
En los casos de fusión o absorción, sería a una misma finalidad: impulsar a los entes
recomendable llevar a cabo un proceso de jurídicos a desarrollar y mejorar su sistema
diligencia debida penal y comprobar si dichas de regulación corporativa interna, con el fin
sociedades tienen implantado un modelo de de prevenir, mitigar, descubrir y sancionar la
prevención de delitos, para intentar evitar el comisión de delitos.
traslado de esta responsabilidad penal a la
En resumen, ambos modelos podrían
sociedad absorbente o a la nueva sociedad
definirse de la siguiente manera:
resultante de la fusión.
• Modelo de heterorresponsabilidad: la
Asimismo, el art. 130.2 CP establece que responsabilidad de la persona jurídica
tampoco se extingue la responsabilidad penal requiere la concurrencia de tres
por la disolución encubierta o meramente condicionantes, a saber:
aparente de la persona jurídica. Así, se evita
la impunidad en los clásicos supuestos de a. La comisión de una infracción;
sucesión de empresas (para cuya detección el b. Que tenga lugar por parte de un
propio precepto facilita una serie de criterios empleado de la misma, en el ejercicio
económicos y organizativos). de sus funciones;
Sin embargo, este artículo no menciona la c. Que sea realizada con la intención
disolución liquidación y extinción real de la de obtener algún tipo de ventaja
persona jurídica, de modo que en este caso o beneficio para la empresa, o
sí que se extinguirá su responsabilidad penal infringiendo una obligación social de
(una vez haya quedado liquidada ya que aquella.
• Modelo de autorresponsabilidad o de probar la acusación. Así pues, en

culpabilidad de la persona jurídica: este este supuesto, dice la Fiscalía que los
modelo, propio de las legislaciones más programas de control constituyen una
recientes, atribuye la responsabilidad referencia para medir las obligaciones
penal de las sociedades a una carencia o de las personas físicas con mayores
defecto en su organización corporativa. responsabilidades en la corporación.
La aplicación de este presupuesto
En este sentido, cobran especial relevancia
implicaría que la persona jurídica ha
las posturas de la Fiscalía, en su Circular
de probar la eficacia de su programa.
1/2016, y del Tribunal Supremo, en su
conocida Sentencia 154/2016, de 29 de • El Tribunal Supremo, por otro lado, en su
febrero. De su análisis, parece desprenderse Sentencia 154/2016, de 29 de febrero, FJ 8,
que la Fiscalía apuesta por un modelo de declara “que el sistema de responsabilidad
heterorresponsabilidad, mientras que penal de la persona jurídica se basa, sobre la
el Tribunal Supremo por un modelo de previa constatación de la comisión del delito
autorresponsabilidad: por parte de la persona física integrante de
la organización como presupuesto inicial de
• La Circular de la FGE analiza la aplicación
la referida responsabilidad, en la exigencia
práctica de diferentes modelos,
del establecimiento y correcta aplicación de
distinguiendo el fundamento de la
medidas de control eficaces que prevengan e
imputación en:
intenten evitar, en lo posible, la comisión de
a. Defectuosa organización societaria, lo infracciones delictivas por quienes integran
que implicaría su configuración como la organización”. Parece la sentencia
elemento del tipo o, en su caso, como entender que el delito ha sido posible por
elemento de la culpabilidad. (este la ausencia de una correcta estructura
razonamiento llevaría a la acusación organizativa.
a probar, además de la comisión del
Por tanto, la Sentencia del Tribunal Supremo
delito por las personas referidas en
declara un sistema de autorresponsabilidad
la norma penal, que la infracción se
penal de la persona jurídica, perfilando unos
ha cometido como consecuencia
criterios de interpretación sobre los requisitos
del ineficiente control de la persona
típicos que han de concurrir para que se
jurídica).
pueda declarar la responsabilidad penal de
b. Incumplimiento de los deberes de una persona jurídica.
supervisión, vigilancia y control, lo
No obstante, esta postura no es compartida
que implicaría que la imputación
por casi la mitad de los magistrados de la
de la persona jurídica reside en la
Sala –voto particular de siete magistrados
conducta de sus dirigentes o en el
concurrentes de un total de quince-, por lo
incumplimiento de sus obligaciones
que aún dista lejos de tener una doctrina
de control sobre los subordinados;
y, esto sería lo único que tendría que pacífica sobre esta cuestión.
Diferenciación de la culpabilidad de la En este supuesto, el legislador introduce un

persona física y jurídica en España específico criterio de imputación: la falta del
La STS 29/02/2016 establece una diferenciación

deber de supervisión, vigilancia y control
entre la culpabilidad de la persona jurídica y de sobre quienes han cometido el delito. Así, no
la persona física que cometió el delito. La de se castigaría a la persona jurídica por el hecho
la persona jurídica se deriva del reproche que cometido por su empleado, sino por haber
merece la ineficacia o inexistencia de sistemas de omitido el control necesario para evitar la
prevención y de control de delitos. referida actuación delictiva.
“Así, la determinación del actuar de la persona
Se trata, por tanto, de hechos delictivos
jurídica, relevante a efectos de la afirmación de su
cometidos por subalternos, basándose
responsabilidad penal (incluido el supuesto del anterior
la responsabilidad en la organización
art. 31 bis.1 parr. 1o CP y hoy de forma definitiva a
tenor del nuevo art. 31 bis. 1 a ) y 2 CP , tras la reforma defectuosa del ente atribuible a los sujetos
operada por la LO 1/2015), ha de establecerse a partir que tienen autoridad en la misma, quienes
del análisis acerca de si el delito cometido por la no han procurado controlar la conducta de
persona física en el seno de aquella ha sido posible, o las personas que tienen bajo su autoridad,
facilitado, por la ausencia de una cultura de respeto al traspasándose esta responsabilidad a la
Derecho, como fuente de inspiración de la actuación persona jurídica porque, en definitiva, se
de su estructura organizativa e independiente de la
habría beneficiado de la comisión del delito,
de cada una de las personas físicas que la integran,
con lo que parece vislumbrarse una cierta
que habría de manifestarse en alguna clase de formas
responsabilidad objetiva basada en la “culpa
concretas de vigilancia y control del comportamiento
in vigilando” y en la ”culpa in eligendo”.
de sus directivos y subordinados jerárquicos, tendentes
a la evitación de la comisión por éstos de los delitos
En definitiva, para poder extender la
enumerados en el Libro II del Código Penal como
culpabilidad a las personas jurídicas ante la
posibles antecedentes de esa responsabilidad de la
comisión de un hecho delictivo en el seno
persona jurídica”.
de su organización es necesario que se
compruebe la inexistencia de directrices o
A estos efectos, habrán de valorarse las
programas de Compliance eficaces.
circunstancias del caso concreto para
determinar la imputabilidad o no de la persona En resumen, se entiende que disponer de
jurídica en sus deberes de supervisión, un programa de Compliance eficaz es el
vigilancia y control de su actividad. elemento clave para dirimir si existe o no
culpabilidad o vicio en la organización.
No debe valorarse a efectos de determinar la
responsabilidad penal de la persona jurídica, 12.2.5. Riesgos penales de las
la mera existencia de cualquier tipo de personas jurídicas
programa de Compliance, sino si se elaboró
Los delitos que pueden generar la
atendiendo a las distintas y concretas formas
responsabilidad penal de la persona jurídica
de organización dentro de la empresa, de su
no son todos los que prevé nuestro CP y leyes
objeto de negocio y de sus riesgos específicos.
especiales, sino que quedan supeditados a
su expresa previsión en los correspondientes

tipos penales. Así, se ha de distinguir:
• Entidades con personalidad jurídica por

aplicación del artículo 31 bis CP
• Entidades sin personalidad jurídica por

aplicación del artículo 129 CP.
No obstante, la diferenciación anterior, la

Circular 1/2016 critica la falta de claridad por la
que el legislador asigna a uno u otro régimen
determinados delitos, entendiendo esta
doble vía sancionadora de poco encaje, ya
que la asignación a uno u otro dependerá de
distintos factores, como la unidad económica,
existencia de patrimonio autónomo, grupos
de empresas, etc., evitando de este modo
situaciones de impunidad.
Por consiguiente, ha de entenderse que un

correcto y eficaz programa de Compliance
comprenderá una identificación y evaluación,
tanto de los riesgos penales –delitos- que se
circunscriben a la responsabilidad penal de la
persona jurídica en virtud del artículo 31 bis
CP, como del artículo 129 CP.
Se expone a continuación una tabla

comprensiva de tipos penales relativos
a ambos preceptos, que contiene una
breve descripción de los mismos, a efectos
meramente didácticos:
RIESGO PENAL DESCRIPCIÓN
Promover, favorecer, facilitar o publicitar o ejecutar extracción u obtención ilícita/

preparación, preservación, almacenamiento, transporte, traslado, recepción,
importación, exportación, de órganos ilícitamente extraídos / uso de órganos
Tráfico de órganos ilícitamente extraídos con finalidad de trasplante u otros fines. Asimismo, y en
humanos provecho propio o ajeno, por si o por persona interpuesta *solicitar, recibir, o aceptar
(Art. 156 bis CP) ofrecimiento o promesa, de dádiva o retribución por proponer o captar a donante o
receptor de órganos /*ofrecer o entregar dádiva o retribución a personal facultativo,
funcionario público o particular, con el fin de facilitar extracción ilícita de órganos o
su implantación.
Empleo de violencia, intimidación, engaño o abuso de una situación de superioridad

o de necesidad o de vulnerabilidad de la víctima nacional o extranjera, o mediante
la entrega o recepción de pagos o beneficios para lograr el consentimiento de la
persona que poseyera el control sobre la víctima, la captare, transportare, trasladare,
acogiere, o recibiere, incluido el intercambio o transferencia de control sobre esas
personas, con cualquiera de las finalidades siguientes:
Trata de seres
humanos a) La imposición de trabajo o de servicios forzados, la esclavitud o prácticas similares
(Art. 177 bis CP) a la esclavitud, a la servidumbre o a la mendicidad.
b) La explotación sexual, incluyendo la pornografía.
c) La explotación para realizar actividades delictivas.
d) La extracción de sus órganos corporales.
e) La celebración de matrimonios forzados
Obligar, o lucrarse de ello, a una persona mayor de edad a ejercer o a mantenerse

en la prostitución, empleando violencia, intimidación o engaño, o abusando de
una situación de superioridad o de necesidad o vulnerabilidad. Inducir, promover,
favorecer o facilitar la prostitución de un menor de edad o una persona con
discapacidad necesitada de especial protección, o lucrarse con ello, o explotar de
algún otro modo a un menor o a una persona con discapacidad para estos fines.
Delitos relativos Solicitar, aceptar u obtener, a cambio de una remuneración o promesa, una relación
a la prostitución, sexual con una persona menor de edad o una persona con discapacidad necesitada
explotación sexual de especial protección. Producir, vender, distribuir o poseer para estos fines, aunque
y corrupción de el material tuviera origen extranjero o desconocido, pornografía infantil, o en cuya
menores elaboración hayan sido utilizadas personas con discapacidad necesitadas de especial
(Arts. 187 a 189 bis protección. Asistir a sabiendas a espectáculos exhibicionistas o pornográficos
CP) en que participen menores de edad o personas con discapacidad necesitadas de
especial protección. Adquirir o poseer para su propio uso pornografía infantil o en
cuya elaboración se hubieran utilizado personas con discapacidad necesitadas de
especial protección. No hacer lo posible, o no acudir a la autoridad competente, para
impedir la continuación del estado de prostitución o corrupción de menor de edad
o persona con discapacidad necesitada de especial protección que tuviera bajo su
potestad, tutela, guarda o acogimiento.
Ofrecer o entregar a funcionarios, autoridades, organismos y Administraciones

públicas, jurados y árbitros, nacionales e internacionales, un regalo o compensación
económica con la intención de obtener un beneficio para la entidad, sea lícito o ilícito.
Será también aplicable cuando las conductas descritas sean realizadas por o afecte
a (art. 427 CP)
a) Cualquier persona que ostente un cargo o empleo legislativo, administrativo o

judicial de un país de la Unión Europea o de cualquier otro país extranjero, tanto
por nombramiento como por elección.
Cohecho
b) Cualquier persona que ejerza una función pública para un país de la Unión
(Art. 424 y art. 427
Europea o cualquier otro país extranjero, incluido un organismo público o una
CP)
empresa pública, para la Unión Europea o para otra organización internacional
pública.
c) Cualquier funcionario o agente de la Unión Europea o de una organización

internacional pública.
d) Cualquier persona a la que se haya asignado y que esté ejerciendo una función de
servicio público que consista en la gestión, en los Estados miembros o en terceros
países, de intereses financieros de la Unión Europea o en tomar decisiones sobre
esos intereses.
Influir igualmente en funcionario público o autoridad, aprovechándose de cualquier

Tráfico de
situación derivada de una relación personal, para conseguir una resolución que
influencias
pueda generar, directa o indirectamente, un beneficio económico para sí o para la
(Art. 429, 430 y 431
entidad. Se entenderán por funcionarios públicos el que participe en el ejercicio de
CP)
funciones públicas y las personas relacionadas en el art. 427 CP visto ut supra.
Ofrecer, prometer o conceder cualquier beneficio o ventaja indebidos, pecuniarios o

Corrupción de de otra clase, para corromper o intentar corromper, por sí o por persona interpuesta,
funcionarios a una autoridad o funcionario público(*) en beneficio propio o de un tercero, o
o autoridades atender sus solicitudes al respecto, con el fin de que actúen o se abstengan de actuar
públicas ante en relación con el ejercicio de funciones públicas para conseguir o conservar un
actividades contrato, negocio o cualquier otra ventaja competitiva en la realización de actividades
económicas económicas internacionales.
internacionales
(Art. 286 ter CP) (*) se entenderá por funcionario público el que participe en el ejercicio de funciones
públicas y las personas relacionadas en el art. 427 CP visto ut supra.
Que un directivo, administrador, empleado o colaborador, por sí o por persona

interpuesta, reciba, solicite o acepte un beneficio o ventaja no justificados de cualquier
Corrupción en los naturaleza, u ofrecimiento o promesa de obtenerlo para sí o para un tercero, como
negocios contraprestación para favorecer indebidamente a otro en la adquisición o venta
(Art. 286 bis CP) de mercancías, o en la contratación de servicios o en las relaciones comerciales.
En sentido contrario, la promesa u concesión del beneficio a un tercero para la
adquisición o venta de productos en las relaciones comerciales.
Estafas y fraudes Con ánimo de lucro, utilizar engaño bastante para producir error en otro, induciéndolo
(Art. 251 bis CP) a realizar un acto de disposición en perjuicio propio o ajeno.
Frustración de la En un procedimiento de ejecución judicial o administrativo, presentar a la autoridad o

ejecución funcionario encargados de la ejecución una relación de bienes o patrimonio incompleta
(Art. 258 ter CP) o mendaz, que ulteriormente dilate, dificulte o impida la satisfacción del acreedor.
Estando en situación de insolvencia actual o inminente, realizar un acto de

Insolvencias
disposición patrimonial para reducir indebidamente el patrimonio que es garantía
punibles
del cumplimiento de las obligaciones, o dificultar o imposibilitar el conocimiento por
(Art. 261 bis CP)
el acreedor de la verdadera situación económica del deudor.
Delitos contra
la intimidad y Apoderarse/ utilizar/ modificar/ revelar datos personales de otros contenidos en
allanamiento documentos en papel, electrónicos, o cualquier otro documento o efecto personal;
informático (Art. acceso no consentido a datos contenidos en sistemas informáticos.
197 quinquies CP)
Borrar, dañar, deteriorar, suprimir, o hacer inaccesibles datos, programas informáticos

Daños informáticos
o documentos electrónicos ajenos; obstaculizar o interrumpir el funcionamiento de
(Art. 264 quater CP)
un sistema informático ajeno.
Reproducir, plagiar, distribuir o comunicar públicamente, en todo o en parte, una

obra literaria, artística o científica; sin consentimiento del titular de un derecho
de propiedad industrial registrado conforme a la legislación de marcas y con
conocimiento del registro, reproducir, imitar, modificar o de cualquier otro modo
usurpar un signo distintivo idéntico o confundible con aquel, para distinguir los
Delitos contra
mismos o similares productos, servicios, actividades o establecimientos.
la propiedad
intelectual e Con fines industriales o comerciales, sin consentimiento del titular de un derecho
industrial de propiedad industrial registrado conforme a la legislación de marcas y con
conocimiento del registro, fabricar, producir o importar productos que incorporen
(Art. 270 a 274 CP)
un signo distintivo idéntico o confundible con aquel así como ofrecer, distribuir, o
comercializar al por mayor productos que incorporen un signo distintivo idéntico
o confundible con aquel, o almacenarlos con esa finalidad, cuando se trate de los
mismos o similares productos, servicios o actividades para los que el derecho de
propiedad industrial se encuentre registrado.
Contra el secreto Para descubrir un secreto de empresa o cualesquiera otras informaciones de carácter
de empresa confidencial, apoderarse por cualquier medio de datos, documentos escritos o
(Art. 278 CP) electrónicos, soportes informáticos u otros objetos que se refieran al mismo.
Alteración de
precios en materias Detraer del mercado materias primas o productos de primera necesidad con la
primas o bienes de intención de desabastecer un sector del mismo, de forzar una alteración de precios,
primera necesidad o de perjudicar gravemente a los consumidores.
(Art. 281 CP)
Emplear violencia, amenaza o engaño o cualquier otro artificio con el fin de alterar los
Manipulación de precios que hubieren de resultar de la libre concurrencia de productos, mercancías,
precios instrumentos financieros, contratos de contado sobre materias primas relacionadas
(Art. 284.1 CP) con ellos, índices de referencia, servicios o cualesquiera otras cosas muebles o
inmuebles que sean objeto de contratación.
Publicidad Ofrecer o publicitar productos o servicios haciendo alegaciones falsas o manifestando

engañosa características inciertas sobre los mismos, de modo que puedan causar un perjuicio
(Art. 282 CP) grave y manifiesto a los consumidores.
Facturación Facturación de cantidades superiores por productos o servicios cuyo costo o

fraudulenta precio se mida por aparatos automáticos, mediante la alteración o manipulación
(Art. 283 CP) de estos.
Falseamiento de información económico-financiera contenida en cualquier folleto

de emisión.
Alteración de precios: por sí, de manera directa o indirecta o a través de un medio

de comunicación, por medio de internet o mediante el uso de tecnologías de la
información y la comunicación, o por cualquier otro medio, difundir (o provocar,
conspirar o proponer lo anterior) noticias o rumores o transmitieren señales
falsas o engañosas sobre personas o empresas, ofreciendo a sabiendas datos
económicos total o parcialmente falsos con el fin de alterar o preservar el precio de
cotización de un instrumento financiero o un contrato de contado sobre materias
primas relacionado o de manipular el cálculo de un índice de referencia, cuando
obtuvieran, para sí o para tercero, un beneficio, siempre que concurra alguna de
las siguientes circunstancias (a) que dicho beneficio fuera superior a doscientos
cincuenta mil euros o se causara un perjuicio de idéntica cantidad; (b) que el importe
de los fondos empleados fuera superior a dos millones de euros;(c) que se causara
un grave impacto en la integridad del mercado.
Bursátiles Manipulación de mercado: realizar transacciones, transmitir señales falsas o

(Art. 282 bis, 284 y engañosas, o dar órdenes (o provocar ,conspirar o proponer lo anterior) de
285 CP) operación susceptibles de proporcionar indicios falsos o engañosos sobre la oferta,
la demanda o el precio de un instrumento financiero, un contrato de contado sobre
materias primas relacionado o índices de referencia, o se aseguraren, utilizando la
misma información, por sí o en concierto con otros, una posición dominante en el
mercado de dichos instrumentos o contratos con la finalidad de fijar sus precios
en niveles anormales o artificiales, siempre que concurra alguna de las siguientes
circunstancias:(a) que como consecuencia de su conducta obtuvieran, para sí o
para tercero, un beneficio superior a doscientos cincuenta mil euros o causara un
perjuicio de idéntica cantidad;(b) que el importe de los fondos empleados fuera
superior a dos millones de euros;(c) que se causara un grave impacto en la integridad
del mercado.
Información privilegiada: de forma directa o indirecta o por persona interpuesta

realizar actos de adquisición, transmisión o cesión de un instrumento financiero, o
de cancelación o modificación de una orden relativa a un instrumento financiero,
utilizando información privilegiada a la que hubiera tenido acceso reservado, o
recomendar a un tercero el uso de dicha información privilegiada para alguno de
esos actos.
Acceder o facilitar el acceso (sin el permiso del prestador de servicios) con fines
comerciales a un servicio de radiodifusión sonora o televisiva o a servicios interactivos
Piratería de prestados a distancia por vía electrónica. Alterar o duplicar con ánimo de lucro el
servicios de número identificativo de equipos de telecomunicaciones, o comercializar equipos
radiodifusión o que hayan sufrido una alteración fraudulenta. Sin ánimo de lucro, facilitar a terceros,
interactivos por medio de una comunicación pública, comercial o no, el acceso a servicio de
(Art. 286 CP) radiodifusión sonora o televisiva o a servicios interactivos prestados a distancia por
vía electrónica Utilizar equipos o programas que permitan el acceso no autorizado a
servicios de acceso condicional o equipos de telecomunicación.
Defraudar a la Hacienda Pública estatal, autonómica, foral o local en un importe

Fraude contra la
superior a 120.000 euros en un período de 4 años o a la Hacienda de la Unión
Hacienda Pública
Europea, en un importe superior a 100.000 euros en el plazo de un año natural,
española o de la
salvo que la defraudación sea llevada a cabo por organización o grupo criminal, o
Unión Europea
por personas o entidades que actúen bajo apariencia de actividad económica real
(Art. 305 CP)
sin desarrollarla de modo efectivo, en cuyo caso el delito será perseguible desde el
mismo momento en que se alcance dicha cantidad.
Fraude contra la
Defraudar a la Seguridad Social en un importe superior a 50.000 euros en un período
Seguridad Social
de 4 años.
(Art. 307 CP)
Incumplimiento
Incumplir de manera grave la obligación de llevar la contabilidad mercantil y libros
y falsedad de
y/o registros contables. Representa un tipo delictivo que suele ir aparejado con otras
obligaciones
conductas defraudadoras en el ámbito fiscal, pues estas suelen llevarse a cabo por
contables
medio de doble contabilidad y falsas anotaciones.
(Art. 310 CP)
Defraudar a los presupuestos generales de la Unión Europea y otros administrados

por esta, en cuantía superior a 50.000 euros, fuera de los casos contemplados en
el apartado 3 del art. 305 ,(defraudación a la Hacienda Pública Europea) eludiendo
el pago de cantidades que se deban ingresar, dando a los fondos obtenidos
una aplicación distinta de aquella a que estuvieren destinados u obteniendo
Fraude de
indebidamente fondos falseando las condiciones requeridas para su concesión u
subvenciones/
ocultando las que la hubieran impedido.
Fraude a los
presupuestos Obtener subvenciones o ayudas de las Administraciones Públicas, incluida la Unión
generales de la UE Europea, en cuantía superior a 100.000 euros, falseando las condiciones requeridas
(Arts. 306 y 308 CP) para su concesión u ocultando las que la hubiesen impedido.
Desarrollar de una actividad sufragada total o parcialmente con fondos de las

Administraciones públicas, incluida la Unión Europea, aplicándolos en una cantidad
superior a cien mil euros a fines distintos de aquéllos para los que la subvención o
ayuda fue concedida, salvo que lleve a cabo el reintegro previsto en normativa.
Receptación y
Adquirir, poseer, utilizar, convertir o transmitir bienes a sabiendas que estos tienen
blanqueo de
su origen en una actividad delictiva, o bien realizar cualquier otro acto que pretenda
capitales
cubrir su origen ilícito.
(Art. 301 CP)
Promover, constituir, organizar, coordinar, financiar, integrar, participar activamente

o dirigir una organización o grupo terrorista
Se considerará delito de terrorismo la comisión de cualquier delito grave contra la

vida o la integridad física, la libertad, la integridad moral, la libertad e indemnidad
sexuales, el patrimonio, los recursos naturales o el medio ambiente, la salud pública,
de riesgo catastrófico, incendio, de falsedad documental, contra la Corona, de
Actividades
atentado y tenencia, tráfico y depósito de armas, municiones o explosivos, previstos
relacionadas con el
en el presente Código, y el apoderamiento de aeronaves, buques u otros medios de
terrorismo
transporte colectivo o de mercancías, cuando se llevaran a cabo con cualquiera de
(Art. 572, 573 CP)
las finalidades previstas en la ley. Asimismo, los delitos informáticos tipificados en
los artículos 197 bis y 197 ter y 264 a 264 quater cuando los hechos se cometan con
alguna de dichas finalidades.
Trasladarse o establecerse en un territorio extranjero para ese mismo fin, o para

colaborar con una organización o grupo terrorista, o para cometer cualquiera de los
delitos comprendidos en capítulo VII título XXII libro II CP.
Recibir donaciones o aportaciones destinadas a un partido político, federación,

coalición o agrupación de electores con infracción de lo dispuesto en el artículo 5.1.
de la Ley Orgánica 8/2007, de 4 de julio, sobre financiación de los partidos políticos:
Financiación (a) Donaciones anónimas, finalistas o revocables (b) Donaciones procedentes de una
ilegal de partidos misma persona superiores a 50.000 euros anuales (c) Donaciones procedentes de
políticos personas jurídicas y de entes sin personalidad jurídica.
(Art. 304 bis CP)
Los partidos no podrán aceptar ninguna forma de financiación por parte de
Gobiernos y organismos, entidades o empresas públicas extranjeras o de empresas
relacionadas directa o indirectamente con los mismos.
Delitos contra
los derechos de De manera intencionada ayudar a una persona que no sea nacional de un Estado
los ciudadanos miembro de la Unión Europea a entrar en territorio español o transitar a través del
extranjeros mismo de manera ilegal e incumpliendo la legislación establecida a tal efecto.
(Art. 318 bis CP)
Llevar a cabo obras de urbanización, construcción o edificación no autorizables

Delitos de en suelos destinados a viales, zonas verdes, bienes de dominio público o lugares
construcción, que tengan legal o administrativamente reconocido su valor paisajístico, ecológico,
edificación o artístico, histórico o cultural, o por los mismos motivos hayan sido considerados de
urbanización ilegal especial protección.
(Art. 319 CP) Llevar a cabo obras de urbanización, construcción o edificación no autorizables en el
suelo no urbanizable.
Importar o exportar mercancías de lícito comercio de forma irregular, siempre que

el valor de los bienes, mercancías, géneros o efectos sea igual o superior a 150.000
euros, sin presentar las mismas a su despacho en las aduanas o Administración
Aduanera. Igualmente, importar o exportar mercancías o realizar operaciones
de comercio, tenencia o circulación de mercancías sin cumplir con la legislación
aduanera establecida al respecto. Exportación de bienes del Patrimonio Histórico
Español, géneros estancados o prohibidos, fauna y flora silvestre, etcétera. cuando
las mercancías sean de importe igual o superior a 50.000 euros. Drogas, armas,
Contrabando
explosivos, con independencia de su valor, labores de tabaco de valor igual o superior
(Art. 2 LO 12/1995,
a 15.000 euros, etcétera. Todo ello sin cumplir con la normativa aplicable
de represión del
contrabando) Las personas jurídicas serán penalmente responsables cuando en la acción u omisión
en ellos descritas concurran las circunstancias previstas en el artículo 31 bis de la Ley
Orgánica 10/1995, de 23 de diciembre, del Código Penal y en las condiciones en él
establecidas.
Asimismo, cuando el delito se cometa en el seno, en colaboración, a través o por

medio de empresas, organizaciones, grupos, entidades o agrupaciones carentes de
personalidad jurídica, le será de aplicación lo previsto en el artículo 129 de la Ley
Orgánica 10/1995, de 23 de diciembre, del Código Penal.
Provocar o realizar emisiones, vertidos, radiaciones, extracciones o excavaciones,

aterramientos, ruidos, vibraciones, inyecciones o depósitos, en la atmósfera, el suelo,
Delitos contra el
el subsuelo o las aguas terrestres, subterráneas o marítimas, incluido el alta mar,
medioambiente
con incidencia incluso en los espacios transfronterizos, así como las captaciones de
(Art. 325 a 328 CP)
aguas que, por sí mismos o conjuntamente con otros, cause o pueda causar daños
sustanciales a la calidad del aire, del suelo o de las aguas, o a animales o plantas.
Poner en peligro la vida, integridad, salud o bienes de personas mediante el vertido,

la emisión, o la introducción en el aire, suelo o las aguas, de una cantidad de
Delitos relativos a materiales o de radiaciones ionizantes, o la exposición, por cualquier otro medio, a
la energía nuclear dichas radiaciones.
y a las radiaciones Adquirir, poseer, traficar, facilitar, tratar, transformar, utilizar, almacenar, transportar
ionizantes o eliminar materiales nucleares u otras sustancias radiactivas peligrosas que causen
(Art. 341 a 345 CP) o puedan causar la muerte o lesiones graves a personas, o daños sustanciales a la
calidad del aire, suelo, aguas, animales o plantas, contraviniendo las leyes u otras
disposiciones de carácter general.
Delitos de riesgo Contravenir las normas de seguridad establecidas en la fabricación, manipulación,

provocado por transporte, tenencia o comercialización de explosivos, sustancias inflamables o
explosivos corrosivas, tóxicas y asfixiantes poniendo en peligro concreto la vida, integridad
(Art. 348 CP) física o salud de las personas o medio ambiente.
Ofrecer en el mercado productos que sean nocivos para la salud, y/o que no
cumplan con los requisitos de caducidad o composición establecidos por las leyes
Delitos contra la o reglamentos.
salud pública en
De igual modo, elaborar sustancias nocivas para la salud, despacharlas, suministrarlas
la modalidad de
o comerciar con ellas. Fabricar y comercializar medicamentos sin cumplir con la
práctica ilícita con
legislación vigente en la materia, que estén caducados, engañar en cuanto a su
medicamentos,
origen, dosis, fecha de caducidad, etc.
productos
sanitarios y Ofrecer en el mercado productos alimentarios con omisión o alteración de los
adulteración de requisitos establecidos en las leyes o reglamentos sobre caducidad o composición,
alimentos o de fabricar o vender bebidas o comestibles destinados al consumo público y nocivos
aguas potables para la salud; Traficar con géneros corrompidos; Elaborar productos cuyo uso no
(Arts. 359 a 365 CP) se halle autorizado y sea perjudicial para la salud, o comerciar con ellos; ocultar o
sustraer efectos destinados a ser inutilizados o desinfectados, para comerciar con
ellos.
Delitos contra la
salud pública en Llevar a cabo actos de cultivo, elaboración o tráfico, o que de otro modo promuevan,
la modalidad de favorezcan o faciliten el consumo ilegal de drogas tóxicas, estupefacientes o
tráfico de drogas sustancias psicotrópicas, o las posean con aquellos fines.
(Art. 368 CP)
Falsedad en
medios de pago Alterar, copiar, reproducir o falsificar tarjetas de crédito o débito o cheques de viaje.
(Art. 399 bis CP)
Fomentar, promover o incitar directa o indirectamente al odio, hostilidad,

discriminación o violencia contra un grupo, una parte del mismo o contra una
Incitación al odio y
persona determinada por razón de su pertenencia a aquel, por motivos racistas,
a la violencia
antisemitas u otros referentes a la ideología, religión o creencias, situación familiar, la
(Art. 510 bis CP)
pertenencia de sus miembros a una etnia, raza o nación, su origen nacional, su sexo,
orientación o identidad sexual, por razones de género, enfermedad o discapacidad.
Administración desleal, apropiación indebida, falseamiento contable, por:
• Los que se hallen encargados por cualquier concepto de fondos, rentas o efectos
de las Administraciones públicas.
• Los particulares legalmente designados como depositarios de caudales o efectos

públicos.
Malversación • Los administradores o depositarios de dinero o bienes embargados, secuestrados

(Art. 435.5 CP) o depositados por autoridad pública, aunque pertenezcan a particulares.
• Los administradores concursales, con relación a la masa concursal o los intereses

económicos de los acreedores. En particular, se considerarán afectados los
intereses de los acreedores cuando de manera dolosa se alterará el orden de
pagos de los créditos establecido en la ley
Las personas jurídicas que de acuerdo con lo establecido en el artículo 31 bis sean
responsables de los delitos recogidos en capítulo VII, título XIX libro II CP.
Manipular genes humanos alterando el genotipo con una finalidad distinta a la

eliminación o disminución de taras o enfermedades graves.
Delitos relativos
a la manipulación Utilizar la ingeniería genética para producir armas biológicas o exterminadoras de la
genética especie humana.
(Art. 159 a 161 CP)
Fecundar óvulos humanos con cualquier fin distinto a la procreación humana, así
como practicar reproducción asistida en una mujer sin su consentimiento.
Alteración de Solicitar algún beneficio para no tomar parte en un concurso o subasta pública,
precios en intentar alejar de ella a los postores por medio de amenazas, dádivas, promesas
concursos y o cualquier otro artificio, concertar con otro postor con el fin de alterar el precio
subastas públicas del remate, o abandonar fraudulentamente una subasta habiendo obtenido la
(Art. 262 CP) adjudicación.
• Alterar o fabricar moneda falsa.

Falsificación de
• Exportar moneda falsa o alterada o importar a España o a cualquier otro estado
moneda y efectos
miembro de la UE.
timbrados
(Art. 386 CP) • Transportar, expender o distribuir moneda falsa o alterada con conocimiento de
su falsedad.
Contra los
derechos de los Imponer condiciones de trabajo inadecuadas o contrarias a la seguridad y salud
trabajadores laboral; tratar a los trabajadores en condiciones de desigualdad y discriminación.
(Art. 311 a 318 CP)
Obstrucción
a la actividad
Negativa a la colaboración con las autoridades inspectoras sobre aquellas sociedades
inspectora o
sujetas o que actúen en mercados sometidos a supervisión administrativa.
supervisora
(Art. 294 CP)
Organizaciones y
grupos criminales Promover, constituir, organizar, coordinar, financiar, integrar o dirigir una
(Art. 570 bis y 571 organización criminal.
CP)
Promover, constituir, organizar, coordinar, financiar, integrar o dirigir una

organización terrorista.
De las
organizaciones y Cometer cualquier delito grave contra la vida o la integridad física, la libertad, la
grupos terroristas integridad moral, la libertad e indemnidad sexuales, el patrimonio, los recursos
y de los delitos de naturales o el medio ambiente, la salud pública, de riesgo catastrófico, incendio, de
terrorismo falsedad documental contra la Corona, de atentado y tenencia, tráfico y depósito de
(Art. 572 y 573 CP) armas, municiones o explosivos, previstos en el presente Código, y el apoderamiento
de aeronaves, buques u otros medios de transporte colectivo o de mercancías, con
las finalidades previstas en la Ley.
Asociación ilícita Favorecer la fundación, organización o actividades de las asociaciones consideradas

(Art. 515 y 518 CP) como ilícitas de acuerdo con lo previsto actualmente en el Código Penal.
12.2.6. Penas aplicables a las No obstante, en el marco de grandes

personas jurídicas corporaciones, las consecuencias
reputacionales y derivadas de la inevitable
Las penas que se pueden imponer en el repercusión mediática pueden ser incluso
marco de la responsabilidad penal de las mucho más dañinas. Cualquier entidad
personas jurídicas se encuentran reguladas puede ver perjudicada su imagen y prestigio
en el art 33.7 CP, y son: ante clientes, inversores, grupos de interés
• Multa por cuotas o proporcional. o, entre otros, ante los propios organismos
reguladores.
• Disolución de la persona jurídica. La
disolución producirá la pérdida definitiva El propio artículo 31 bis CP establece que
de su personalidad jurídica, así como la la persona jurídica quedará exenta de
de su capacidad de actuar de cualquier responsabilidad si se cumplen las siguientes
modo en el tráfico jurídico, o llevar a cabo condiciones (Artículo 31 bis apartado 2):
cualquier clase de actividad, aunque sea
lícita. “Si el delito fuere cometido por las personas
indicadas en la letra a) del apartado anterior,
• Suspensión de sus actividades por un
la persona jurídica quedará exenta de
plazo que no podrá exceder de cinco años.
responsabilidad si se cumplen las siguientes
• Clausura de sus locales y establecimientos condiciones:
por un plazo que no podrá exceder de
1.ª el órgano de administración ha adoptado
cinco años.
y ejecutado con eficacia, antes de la comisión
• Prohibición de realizar en el futuro las del delito, modelos de organización y gestión
actividades en cuyo ejercicio se haya que incluyen las medidas de vigilancia y
cometido, favorecido o encubierto el control idóneas para prevenir delitos de la
delito. Esta prohibición podrá ser temporal misma naturaleza o para reducir de forma
o definitiva. Si fuere temporal, el plazo no significativa el riesgo de su comisión;
podrá exceder de quince años.
2.ª la supervisión del funcionamiento y del
• Inhabilitación para obtener subvenciones
cumplimiento del modelo de prevención
y ayudas públicas, para contratar con el
implantado ha sido confiada a un órgano
sector público y para gozar de beneficios e
de la persona jurídica con poderes
incentivos fiscales o de la Seguridad Social,
autónomos de iniciativa y de control o que
por un plazo que no podrá exceder de
tenga encomendada legalmente la función
quince años.
de supervisar la eficacia de los controles
• Intervención judicial para salvaguardar internos de la persona jurídica;
los derechos de los trabajadores o de los
acreedores por el tiempo que se estime 3.ª los autores individuales han cometido
necesario, que no podrá exceder de cinco el delito eludiendo fraudulentamente los
años. modelos de organización y de prevención y
4.ª no se ha producido una omisión o un a) Haber procedido, antes de conocer que el

ejercicio insuficiente de sus funciones de procedimiento judicial se dirige contra ella,
supervisión, vigilancia y control por parte a confesar la infracción a las autoridades.
del órgano al que se refiere la condición 2ª.”
b) Haber colaborado en la investigación
Además, se señala en el artículo 31 bis, del hecho aportando pruebas, en cualquier
apartado 4, que: momento del proceso, que fueran
nuevas y decisivas para esclarecer las
“Si el delito fuera cometido por las personas
responsabilidades penales dimanantes de
indicadas en la letra b) del apartado 1,
los hechos.
la persona jurídica quedará exenta de
responsabilidad si, antes de la comisión del c) Haber procedido en cualquier momento
delito, ha adoptado y ejecutado eficazmente
del procedimiento y con anterioridad al
un modelo de organización y gestión que
juicio oral a reparar o disminuir el daño
resulte adecuado para prevenir delitos de
causado por el delito.
la naturaleza del que fue cometido o para
reducir de forma significativa el riesgo de su d) Haber establecido, antes del comienzo del
comisión.” juicio oral, medidas eficaces para prevenir
y descubrir los delitos que en el futuro
Tanto en uno como en otro supuesto (esto
pudieran cometerse con los medios o bajo
es, delitos cometidos por personas indicadas
la cobertura de la persona jurídica.”
en letra a) y delitos cometidos por personas
indicadas en la letra b), dicho artículo 31 12.3. Diseño e implantación
bis, en sus citados apartados 2. y 4.) sigue
de un modelo de organización
estableciendo que “en los casos en que las
y gestión eficaz para la
anteriores circunstancias solamente puedan
ser objeto de acreditación parcial, esta
prevención de delitos de las
circunstancia será valorada a los efectos de la personas jurídicas
atenuación de la pena” (apartado 2, y al que
Compliance tiene un contenido cada vez más
se remite el apartado 4).
amplio como función propia dentro de todo
Por otro lado, establece el artículo 31 quater tipo de organizaciones.
del CP las circunstancias atenuantes de la
Esta amplitud es consecuencia del complejo
citada responsabilidad penal, a tener lugar
entorno en el que nos desenvolvemos. Por
con posterioridad a la comisión del delito:
ello, se hace especialmente importante que
“Sólo podrán considerarse circunstancias todas las organizaciones que están presentes
atenuantes de la responsabilidad penal en el mercado sean capaces de implantar un
de las personas jurídicas haber realizado, efectivo modelo de vigilancia y control que
con posterioridad a la comisión del delito integre la normativa legal aplicable con la
y a través de sus representantes legales, las propia regulación interna.
siguientes actividades:
Así, a raíz de la reforma del CP de 2015 se hace 12.3.2. Órgano de vigilancia y

necesario que estos modelos de Compliance control
entren a formar parte estratégica de la cultura
corporativa de la compañía. La delegación en una persona u órgano es uno
de los pilares de los programas de Compliance
12.3.1. Política de Compliance conforme a lo establecido en el CP.
El respeto a la ley constituye uno de los De un lado, el art. 31 bis 2. 2ª establece que
principios fundamentales de cualquier la supervisión del funcionamiento y del
organización, y es por ello por lo que cada vez cumplimiento del modelo de prevención
más las empresas se esfuerzan en alcanzar implantado deberá ser confiada a un
los máximos niveles de cumplimiento e órgano de la persona jurídica con poderes
integridad en el ejercicio de su actividad autónomos de iniciativa y de control o que
social. tenga encomendada legalmente la función de
supervisar la eficacia de los controles internos
A estos efectos, dentro de una verdadera
de la persona jurídica. Por tanto, el CP establece
cultura ética y de cumplimiento- tal y como
dos posibilidades para la constitución de este
exige la Fiscalía General del Estado- se
órgano de control de la persona jurídica:
ha de destacar la implicación de la alta
dirección de la compañía en todos aquellos a. Órgano con poderes autónomos de
aspectos derivados del Compliance. Véase iniciativa y control.
que el propio artículo 31 bis, apartado 5,
b. Órgano que tenga legalmente encargada
2º del CP determina que “Establecerán los
la función de supervisar la eficacia de los
modelos de organización y gestión, protocolos
controles internos.
o procedimientos que concreten el proceso de
formación de la voluntad de la persona jurídica, De otro, y como sucede con cualquier modelo
de adopción de decisiones y de ejecución de las de Compliance, uno de los rasgos principales
mismas con relación a aquellos”. es la asignación de recursos suficientes.
De hecho, la Circular 1/2016 declara que
Por consiguiente, se torna fundamental que
el órgano de supervisión y control o el
la voluntad de la persona jurídica emanada de
Compliance Officer ha de tener plena
quienes ostentan las facultades de dirección
suficiencia de recursos, así como la formación
quede plasmada en una política que refrende
necesaria para el desempeño de las tareas de
la cultura ética de cumplimiento en la misma.
supervisión y control del modelo.
Por tanto, el primer paso para abordar un

Constitución y características del
correcto diseño e implantación del modelo
órgano de vigilancia y control
de organización y gestión será la elaboración
de una política de Compliance que recoja La constitución del órgano de control es uno
las directrices generales de los órganos de de los elementos que más dudas suscita en
administración y altos directivos. las empresas.
Sin embargo, ni la Circular 1/2016, ni la Así pues, para un correcto desempeño de

Sentencia del Tribunal Supremo 154/2016, de las referidas responsabilidades, se hace
29 de febrero, aporta claridad a este respecto. necesario el nombramiento de un órgano
Por ello, es conveniente acudir a otros supervisor o Comité de Compliance, al que
cuerpos legales que regulan la constitución, obviamente habrá que dotar de la autoridad
estructura y funcionamiento de órganos de e independencia necesarias.
naturaleza similar.
Este concepto de independencia, además
En este sentido, podemos recurrir a las de ser un concepto de difícil concreción, al
siguientes referencias: depender del juicio de valoración global del
• 1976 Circular de la CNMV de 6/2009, de modelo y de las particularidades de cada

diciembre, sobre control interno de las organización, ni es fácil de conseguir ni es
sociedades gestoras de instituciones
posible de entender o de interpretar de
de inversión colectiva y sociedades de
inversión forma unívoca.
• 1977 Ley 10/2010, de 28 de abril, de Por otro lado, la Circular 1/2016 subraya la
prevención del blanqueo de capitales
necesidad de que los órganos de gestión y
y de la financiación del terrorismo y su
reglamento de desarrollo, el Real Decreto cumplimiento disfruten de la independencia
304/2014, de 5 de mayo necesaria, debiéndose garantizar una
separación operacional entre el órgano de
• 1991 Circular de la CNMV1/2014, de 26
de febrero, sobre los requisitos de administración y los integrantes del órgano
organización interna y de las funciones de control.
de control de las entidades que prestan
servicios de inversión. Resulta lógico deducir que los órganos
• 1997 Código de Buen Gobierno de las de gestión y Compliance, dada su función
Sociedades Cotizadas publicado por la de supervisión y vigilancia, deban ser
CNMV el 24 de febrero de 2015
independientes de la propia actividad sujeta
Ley 20/2015, de 14 de julio, de ordenación,
supervisión y solvencia de las entidades a fiscalización. Ello les otorgará una visión
aseguradoras y reaseguradoras objetiva de la normativa y funcionamiento de
la entidad, permitiéndoles de este modo una
Actualmente, nuestro ordenamiento jurídico
correcta supervisión de los controles internos
no regula de forma expresa la composición
de la persona jurídica.
del órgano de control. No obstante, el CP, al
regular los requisitos aplicables a dicho órgano Asimismo, es necesario que los miembros
indica que “la supervisión del funcionamiento del órgano de control tengan otorgada la
y del cumplimiento del modelo de prevención capacidad necesaria para el desarrollo de
implantado ha sido confiada a un órgano de sus funciones de fiscalización y control, sin
la persona jurídica con poderes autónomos de recabar para ello ningún tipo de autorización
iniciativa y de control o que tenga encomendada previa. De ahí que, tanto el CP refiera la nota
legalmente la función de supervisar la eficacia de “poderes autónomos de iniciativa y de
de los controles internos de la persona jurídica”.
control”, como la UNE 19601:2017 sistemas de blanqueo de capitales. En estos

de gestión de Compliance penal, destaquen ámbitos se exige, de forma expresa, que
la implicación de la alta dirección en el sus miembros reúnan los requisitos de
correcto y eficaz funcionamiento del modelo aptitud y honorabilidad.
de Compliance.
No es desdeñable que para que el órgano
Así pues, podemos deducir que las reúna las características de integridad,
características que han de reunir los miembros sus miembros han de tener la formación
del órgano de control o el Compliance Officer suficiente, esto es, aptitud. Respecto de la
son las siguientes: honorabilidad, las referencias normativas
indican que se refiere a la ausencia de
incompatibilidades, conflictos de intereses
y dedicación suficiente al ejercicio de sus
funciones, así la carencia de antecedentes
por delitos vinculados a sus funciones
o sanciones por parte de reguladores y
supervisores que puedan cuestionarla.
b. Neutralidad, entendida como la

imparcialidad de sus miembros. La
característica de neutralidad se encuentra
ligada a la propia independencia del
órgano, pues esta es la que le va a permitir
Características del órgano de control o del Compliance Officer.
Elaboración propia. ser imparcial en la toma de decisiones.
a. Integridad, entendida como la honradez, c. Independencia, en el sentido de

rectitud y aptitud de los miembros que lo separación funcional de aquellos que
conforman. tienen encomendada la administración y
gestión diaria de la sociedad.
A este respecto, nos fijaremos en otros
cuerpos normativos que, aun no siendo La característica de independencia va a
de aplicación general, incluyen los permitir que los miembros del órgano
requisitos de integridad y honradez para de control o Compliance Officer puedan
los miembros de los órganos de control llevar a cabo sus funciones de control y
encuadrados dentro de los modelos de supervisión sin intromisiones externas.
control, supervisión y/o gobernanza de
No obstante, es importante señalar que
sectores regulados.
la absoluta independencia de este órgano
A modo de ejemplo, por tanto, nos no es posible, en tanto que, el consejo
fijaremos en sectores como el de los de administración es el órgano que tiene
seguros, o el de las organizaciones sujetas la potestad exclusiva de establecer la
a la normativa en materia de prevención política de control y gestión de riesgos
de la sociedad y su supervisión; lo que Por otro lado, y a falta de jurisprudencia que

necesariamente nos reconduce a la se pronuncie sobre el contenido mínimo o las
característica de autonomía. características que debe ostentar el órgano de
control, es necesario acudir a lo establecido
d. Autonomía, la cual implica la necesaria
en otras jurisdicciones:
capacidad de decisión y ejecución en el
desarrollo de sus funciones de control 1. Italia: El Dlgs. 231 habla en los mismos
(diseño de mecanismos de control y términos de “autonomía e independencia”.
gestión de los mismos). Las directrices para la construcción de
modelos de organización, gestión y control
En lo que a control se refiere, las notas
elaboradas por la Confederación General
de independencia y autonomía están
de la Industria Italiana (Confindustria) que
interrelacionadas entre sí en la medida
interpretan el Dlgs. 231, establecen que
en que ambas han de coexistir, ya que, a
la posición del órgano de control en el
mayor independencia, mayor autonomía, y
ámbito de la empresa deberá garantizar
viceversa.
la autonomía de la iniciativa de control
En este sentido, la Circular 1/2016 de cualquier forma de interferencia
establece que para conseguir los máximos y/o condicionamiento de cualquier
niveles de autonomía (si bien se habla de componente de la entidad (en especial
autonomía, la misma no puede desligarse del órgano de dirección). Estos requisitos
de la independencia), los modelos de parecen asegurarse por la inclusión de
cumplimiento deben prever los mecanismos dicho órgano en las más altas posiciones
para la adecuada gestión de cualquier de la empresa, previendo el reporte al
conflicto de interés que pudiera ocasionar consejo de administración.
el desarrollo de las funciones del órgano de Asimismo, determinan que, para garantizar
supervisión y control, garantizando que haya la citada autonomía e independencia,
una separación operacional entre el órgano resulta necesario que el órgano no tenga
de administración, la actividad de negocio y atribuidas competencias operativas, que
los integrantes del órgano de control. impliquen decisiones ejecutivas puesto
que se socavaría la objetividad a la hora de
De forma lógica, y en relación con otros
evaluar los controles y el comportamiento
requisitos del artículo 31 bis del Código
del modelo.
Penal, la autonomía conlleva la capacidad
para el establecimiento de los mecanismos 2. EE.UU: La jurisprudencia tampoco describe
de gestión y supervisión de los riesgos; para los elementos que han de considerarse en
lo cual, se torna necesario la inclusión de una un sistema de prevención. No obstante,
partida presupuestaria para el desarrollo se proporciona una buena referencia si
de esta función en los presupuestos de la se acude a los DPA (Deferred prosecutions
persona jurídica. agreements) o NPA (Non-prosecution
agreements)– acuerdos preprocesales
firmados entre el ministerio fiscal y las Es conveniente traer a colación la

empresas– que establecen los requisitos recomendación que la Fiscalía hace a
que los sistemas de Compliance han de través de la ya mencionada Circular
cumplir. 1/2016, en donde subraya la necesidad
de que el órgano de supervisión y control,
En relación con el órgano de Compliance, los
o CCO, deba ser un órgano de la persona
DPA establecen la necesidad de contar con
jurídica lo más independiente posible del
un Chief Compliance Officer (CCO) que:
órgano de administración.
Sea miembro de la alta Esto es así porque si todas las funciones

dirección de la empresa; de Compliance fueran ejecutadas
por el órgano de administración, el
Cuente con recursos propios;
modelo carecería de sentido y eficacia,
Disponga de línea directa de cuando lo que se pretende es dotar de
contacto con la junta directiva independencia a la organización a través
o, en su caso, un órgano de un órgano responsable únicamente de
independiente de supervisión la función de Compliance. De esta forma,
del consejo de administración se garantiza una separación operacional
(comisión de auditoría, o entre el órgano de administración y los
de responsabilidad social integrantes del órgano de control.
corporativa, etc).
• Otras organizaciones sin estructuras
específicas de Compliance: Esta
A partir de lo anterior, podemos decir que nos
segunda opción en cuanto a modelo de
encontramos con dos modelos de órganos
Compliance que encontramos en nuestro
de Compliance:
CP nos lleva directamente a la Comisión
• Organizaciones complejas y desarrolladas: de Auditoría que tiene atribuidas las
Considerando como tales aquellas funciones de “supervisar la eficacia del
que cuentan directamente con áreas o control interno de la sociedad (según el
secciones de Compliance, en donde la artículo 529 quaterdecies 4.b de la Ley
independencia se asegura situando a de Sociedades de Capital). Debido a ello,
este área bajo la dependencia directa del las entidades cotizadas podrán optar por
Consejo o de una de sus comisiones, y confiar a esta comisión el funcionamiento
adicionalmente dentro de la alta dirección y cumplimiento del modelo de prevención
de la compañía. En estos casos, por tanto, implantado. Ahora bien, en cualquier
las entidades cuentan con departamentos caso siempre han de concurrir las
u oficinas de Compliance a cargo del características anteriormente dichas
máximo responsable de la organización (integridad, neutralidad, independencia
en dicha materia (CCO). y autonomía) para que dicho órgano se
adecue a la normativa jurídico-penal.
Composición del órgano de Colegiado Unipersonal

vigilancia y control
Ventajas
En lo que a la composición del órgano se refiere, • Enfoque multidisciplinar • Ventajas funcionales a

la normativa de aplicación no especifica si este al órgano de supervisión la hora de la gestión del
y control. órgano.
ha de ser un órgano unipersonal, o colegiado.
• Diversidad de perfiles • Toma de decisiones más
La Circular 1/2016 de la FGE establece que,
técnicos que den una sencilla y ágil, lo que
a la hora que las organizaciones decidan visión más amplia del permite profundizar en
si optar por un órgano colegiado o por uno negocio. la normativa interna de
• Variedad de cumplimiento.
unipersonal, habrán de considerar el tamaño
conocimientos que • Personalización de
de la persona jurídica. enriquezcan la toma la autoridad. Es más
de decisiones de sencillo denotar
Además, la persona o personas que lo relevancia. autoridad a través de
conformen deberán contar con la formación una única persona que
de un órgano colegiado.
suficiente en materia de cumplimiento, y
• Capacidad de reacción
autoridad respecto a las áreas de negocio:
ante situaciones
inesperadas.
“En uno y otro supuesto (con la función
• Facilidad de la compañía
más limitada de prevención de delitos o para formar al CO
con la más amplia de control interno), la (único) en materia de
Compliance.
norma se está refiriendo a un órgano de
cumplimiento (oficial de cumplimiento o Inconvenientes
Compliance Officer) que, dependiendo del • Posibilidad de dilución • Enfoque personal a la

tamaño de la persona jurídica, podrá estar de responsabilidad función de Compliance.
del órgano de control • Impedimentos dentro
constituido por una o por varias personas,
y supervisión, y de la sociedad para
con la suficiente formación y autoridad”. no se cumplan alcanzar a conocer
con las funciones todas las áreas de
No cabe duda de que la legislación está encomendadas. negocio.
permitiendo a las empresas que adapten • Que se produzca • Poca variedad técnica
un nombramiento a la hora de tomar
su órgano de supervisión en función a sus
desenfocado de los decisiones.
necesidades, su actividad, su tamaño (grupo miembros del órgano
• Saturación y carga de
empresarial, número de empleados, etc.) y de supervisión y control,
trabajo que impida al
pudiendo llegar a
sus recursos (capacidad de personal, etc.). CO cumplir con todas
estar constituido el
sus funciones.
órgano por integrantes
Veamos las ventajas y desventajas entre un que no cumplen con
órgano colegiado o un órgano unipersonal: las características
necesarias al efecto.
• Dificultad para una
correcta planificación
que perjudique a la
efectividad de sus
funciones.
• Menor capacidad de
Funciones y responsabilidades del
reacción ante incidentes órgano de supervisión y control
de urgencia.
• Mayor complejidad para La Circular 1/2016 dispone que el órgano de
formación continua supervisión y control deberá:
a varios miembros
(por limitaciones • Participar en la elaboración de los modelos
económicas, de agenda, de organización y gestión de riesgos;
etc)
• Asegurar su buen funcionamiento;
• Falta de acuerdo en la
toma de decisiones. • Llevar a cabo el control de la formación a
• Conflictos de interés
empleados y directivos de la entidad.
si el órgano colegiado
está compuesto por
Atendiendo a lo anterior, las funciones
miembros de las
áreas de negocio de la básicas de un órgano de supervisión y control
compañía. implican (i) participar en la elaboración de los
modelos de organización y gestión de riesgos
Por consiguiente, tal y como ya hemos y asegurar su buen funcionamiento y (ii)
señalado, este órgano podrá ser unipersonal establecer sistemas apropiados de vigilancia y
o colegiado, si bien sus componentes deberán control para verificar, al menos, los requisitos
gozar de la independencia que les es exigida. estipulados en el art. 31bis 5 del CP.
Esta es la razón por la que la redacción de la
Así, la principal función del órgano de control
reforma del CP del año 2015 exige que aquel
es la supervisión continua de la eficacia del
deba tener poderes autónomos de iniciativa
modelo de prevención y gestión implantado
y control.
en la sociedad.
Adicionalmente, y para las entidades o
Por consiguiente, para un adecuado
sociedades de menor tamaño (en concreto,
funcionamiento es imprescindible la creación
aquellas autorizadas a presentar cuenta
de un órgano supervisor que deberá asumir,
de pérdidas y ganancias abreviada), el CP
entre otras, las siguientes responsabilidades:
prevé la posibilidad de que la supervisión
sea asumida directamente por el órgano de
administración.
Al igual que en el caso anterior, la tarea de

supervisión podrá apoyarse en aquellas áreas
o departamentos que ya estén asumiendo el
control respecto de riesgos específicos de la
entidad.
• Vigilar el funcionamiento, la eficacia y el • Verificar periódicamente el modelo

cumplimiento del modelo de Compliance, de Compliance, y proponer su posible
sin perjuicio de las responsabilidades que modificación cuando las circunstancias
correspondan a otros órganos. así lo requieran (evidencia de no
funcionamiento, cambios organizativos,
• Promover una cultura de ética y
cambios legislativos, etc.).
cumplimiento dentro de la compañía
en la aplicación de los principios de • Informar periódicamente al órgano de
ética y comportamiento responsable, administración acerca de la actividad
controlando que el sistema de valores realizada, y de los recursos asignados que
adoptado en la normativa interna de le garanticen la realización de su trabajo.
la compañía se mantenga actualizado.
Para ello, promoverá la preparación e 12.3.3. Identificación de los riesgos
implementación de programas adecuados penales
de formación; lo que podrá realizarse de
El artículo 31 bis 5.1 CP establece que los
forma coordinada con los responsables
modelos de organización y gestión:
de la compañía en materia de formación.
“(…) Identificarán las actividades en cuyo
• Analizar las modificaciones legislativas
ámbito puedan ser cometidos los delitos
y demás novedades que puedan afectar
que deben ser prevenidos”.
al modelo de Compliance, así como la
resolución de las dudas que surjan en la En relación con lo anterior, las empresas
aplicación de los códigos y manuales. han de llevar a cabo una identificación de los
• Recibir, analizar e intervenir en los casos procesos o actividades por departamentos o
de denuncias de empleados o terceros, a áreas con el objetivo de prevenir la comisión
través de los canales establecidos a tal fin. de posibles ilícitos penales.
• Coordinar o, en su caso, promover, El análisis de riesgos penales ha de abarcar

el cumplimiento del procedimiento la totalidad de los delitos que, según el CP,
sancionador y proponer la aplicación de podrían conllevar la responsabilidad penal
las medidas disciplinarias oportunas a los de la persona jurídica (vía art. 31bis CP y art.
órganos responsables. Asimismo, verificar 129 CP) si se realizase por un representante
el cumplimiento de las sanciones que se legal o empleado, en beneficio de la misma,
han de aplicar en el caso de las violaciones y no se hubieran implementado medidas de
de la normativa ética y de cumplimiento control para prevenir e identificar los riesgos
de los controles del modelo. penales. Es importante hacer el ejercicio
de abstracción suficiente para analizar la
• Analizar y aprobar los planes de revisiones
actividad bajo el prisma de ausencia total de
periódicas del modelo de Compliance.
control.
Solicitar revisiones adicionales si se
considera necesario.
Análisis de riesgos penales Este tipo de controles pueden llegar a constituir

estructuras y sistemas verdaderamente
Como parte de su análisis de los riesgos penales
complejos, como los modelos de control
a los que está expuesta, la organización deberá
responder a tres cuestiones claves:
denominados SOX y exigidos por la Sección
302 de la Ley Sarbanes-Oxley (SOX) y , que
• ¿En qué consiste? Como parte de la involucra a todas las entidades cotizadas en
identificación y definición del riesgo, se deberá
la Bolsa de Nueva York.
vincular al artículo o artículos del CP al que
hace referencia el delito, seguido de una breve En esta sección de la referida ley se establecen
descripción del mismo. múltiples procedimientos internos con el
• ¿A qué eventos de riesgo está expuesta la fin de asegurar la transparencia financiera,

persona jurídica?: Aquellos posibles eventos indicando además que la responsabilidad
de riesgo que han sido identificados como penal de su incumplimiento recaerá sobre
potencialmente factibles. el personal directivo de la empresa, en tanto
responsables de firmar unos informes de
• ¿A qué eventos de riesgo no está expuesta la
forma que aseguren la veracidad de los datos
persona jurídica?: Aquellos posibles eventos
de riesgo que, por no estar asociados de una que estos contienen.
forma directa a la actividad social de la empresa,
A nivel nacional, lo mismo podría decirse
no han sido identificados como potencialmente
probables. del sistema de control interno sobre la
información financiera (SCIIF) recomendado
por la CNMV a las empresas cotizadas,
12.3.4. Establecimiento de
que igualmente prevé toda una serie de
controles para la prevención de los
mecanismos de control que serán de extrema
riesgos penales
utilidad a los efectos que aquí nos ocupan, en
Una vez identificados los riesgos que aras de identificar multitud de controles para
potencialmente pueden afectar a una mitigar riesgos relacionados con su actividad
organización, habida cuenta de su actividad financiera. Los controles en el ámbito de los
y otras características, es imprescindible la recursos financieros son, de hecho, una de
identificación y adecuación de un oportuno las exigencias expresas a que hace referencia
sistema de control que los mitigue, y que la actual reforma del CP.
esté formado por políticas, procedimientos
Todas estas medidas resultarán esenciales
y controles. Para tal fin, el diseño de un
para la acreditación del debido control
modelo de prevención suele partir del
sobre los empleados, que van desde el
modelo de control interno con que cuente
establecimiento de máximas o valores
la compañía, pues es indudable que muchos
programáticos, hasta la implantación
de los controles ya implantados serán de
de controles específicos destinados al
utilidad, tanto para la detección como para
aseguramiento efectivo de dichos principios.
la prevención de la comisión de delitos en su
seno.
Ahora bien, habida cuenta del carácter seguridad de la información (sea en el

doloso de la inmensa mayoría de los soporte que sea) o bien una específica,
delitos contemplados en nuestro CP, (conservación de documentación

original, por ejemplo) para garantizar
indudablemente aquí cobrarán una
la protección de los datos sensibles/
importancia vital los denominados controles
confidenciales y el acceso a los mismos
específicos (aquellos de mayor utilidad para en función del perfil o acreditación de
evitar que un empleado desleal pueda eludir seguridad.
una norma genérica con la finalidad de llevar
Protocolos internos sobre sobre
a cabo algún tipo de ilícito).
contratación de trabajadores
extranjeros: Procedimientos que
En el caso de encontrar carencias (por
aseguran el cumplimiento de la
controles insuficientes, defectos de
legalidad y la eliminación de prácticas
implantación o bien no disponer de controles
deshonestas en el trato a los seres
para un riesgo concreto), obviamente será humanos, tanto por parte de la propia
necesaria la aprobación de los oportunos organización como de las demás con las
planes de acción con el objetivo de implantar que mantenga relaciones de negocio.
aquellas medidas complementarias para
reducir dicho riesgo al máximo. 12.3.5. Modelos de gestión de los
recursos financieros
Ejemplos de políticas y procedimientos de
mitigación de riesgos penales Para contar con un modelo de organización y
gestión que cumpla con la normativa exigida
Política Anticorrupción: Identifica
en el CP, se establece la exigencia de que la
los potenciales focos de corrupción
dentro de la organización, para compañía cuente con un modelo de gestión
imponer controles y medidas que de recursos financieros adecuados para
dificulten estas actividades. impedir la comisión de los delitos que deben
ser prevenidos.
Política sobre el uso de los
dispositivos y sistemas: Marco de uso
Esta breve afirmación del CP deja en el aire
de las tecnologías de la información y de
varias dudas interpretativas sobre cómo
la comunicación (TIC) de la organización,
adaptar modelos financieros que resulten,
para satisfacer las necesidades actuales
y futuras derivadas de la seguridad de como señala la normativa, adecuados a los
la información, estrategia del negocio fines propuestos.
y Compliance. Ha de aplicarse a todos
El derecho comparado es la primera de las
aquellos (empleados, colaboradores,
consultores, etc) con acceso a sistemas
posibilidades que se nos presentan para
o información de la organización. conseguir un modelo adecuado de gestión
de los recursos financieros. Concretamente,
Tratamiento de documentación física
el ya visto Decreto legislativo italiano, Dlgs.
en soporte papel: Puede ser parte de
231, dota al órgano de prevención de delitos
un procedimiento o política superior de
interno existente en la empresa de recursos de las políticas, procedimientos y controles

financieros propios a fin de evitar que con ellos existentes, así como su evolución. De este
se cometan delitos, considerando esencial la modo será posible conseguir una visión
autonomía funcional, y por lo tanto también general del programa, permitiéndole tomar
financiera, del órgano en cuestión. las acciones necesarias para asegurar su
adecuación y eficacia en el desarrollo de sus
La segunda posibilidad consistiría en que sea
funciones de prevención, gestión y control
la propia persona jurídica la que realice una
de los riesgos penales. La supervisión,
gestión general de sus recursos financieros,
seguimiento y verificación son, por tanto,
destinando parte de ellos a los modelos de
elementos esenciales para que el modelo
control y su aplicación. En este caso la gestión
de Compliance penal sea eficaz en aras de
estaría integrada dentro de la organización.
evitar la comisión de delitos.
Este segundo modelo es el seguido
por legislaciones como la chilena o la La gestión de dicho modelo es
estadounidense. En ellas, a diferencia sistema responsabilidad última del órgano o director
italiano, el responsable de prevención de de Compliance, así como de las propias áreas
riesgos penales (Chief Compliance Officer) responsables de los controles. Los objetivos
depende jerárquicamente del consejo de que deben regir la actuación de los órganos
administración o de alguna de sus comisiones. de supervisión son:
Lo cierto es que, a tenor del espíritu de la • Supervisar la efectividad de las normas y
norma, basado en la regulación italiana, procedimientos de control establecidos
desde el punto de vista de la efectividad por la organización para minimizar el
del modelo, parece necesaria la garantía de riesgo de comportamientos ilícitos por

independencia en la gestión de los recursos parte de los empleados;
financieros que otorga el sistema italiano, • Acreditar que la organización ha ejercido
que se podría dar con un órgano colegiado el control debido sobre su actividad
de Compliance en lugar de con una sección empresarial (cumpliendo de este modo
de Compliance, tal y como se confecciona en con la exigencia contemplada en el CP).
otros sistemas.
Además, la organización deberá establecer:
12.3.6. Sistema de supervisión y
seguimiento • Un procedimiento para el control y
custodia de documentos integrantes del
Uno de los principales objetivos de los
modelo de Compliance (entre ellos, el
modelos de prevención de riesgos penales,
mapa de riesgos, sistema disciplinario,
como sucede con cualquier otro tipo de
manual de prevención, etcétera).
programa de Compliance, es asegurar
una adecuada supervisión, seguimiento y • Un procedimiento para el control y
verificación. Esto es, validar de forma continua custodia de los documentos y registros
su grado de cumplimiento, permitiendo así generados en el proceso de verificación y
comprobar de forma periódica la eficacia seguimiento.
Supervisión y seguimiento 12.3.7. Establecimiento de un canal

de denuncias
El proceso de supervisión y seguimiento del modelo
de Compliance se realiza de forma continuada en Otro de los requisitos del art. 31 bis 5.del CP,
el tiempo: en relación a los modelos de organización
• Supervisión: el modelo de Compliance debe ser y gestión es la imposición de (apartado 4º)

evaluado periódicamente por los responsables “la obligación de informar de posibles riesgos
de los controles existentes y supervisado e incumplimientos al organismo encargado
por el órgano de control al menos con una de vigilar el funcionamiento y observancia
periodicidad razonable, para asegurar su del modelo de prevención”, siendo el
conveniencia, adecuación y eficacia. establecimiento de un canal de denuncias, que
• Seguimiento: comprende especialmente las sea apropiado y adaptado a las exigencias de

modificaciones necesarias cuando se pongan la empresa y a su complejidad organizativa,
de manifiesto infracciones relevantes de el mecanismo adecuado para canalizar el
sus disposiciones, o cuando se produzcan cumplimiento de dicho requisito.
cambios en la organización, en la estructura
de control, en la actividad desarrollada, Como hemos apuntado en este material
o incluso modificaciones legislativas que (módulo 9) este sistema es una herramienta
hagan necesarias adaptaciones en orden a esencial dentro de cualquier modelo de
asegurar su correcto funcionamiento. Para prevención de delitos cometidos en el seno
ello se recomienda el desarrollo de revisiones
de la empresa. Proporciona varias ventajas
periódicas específicas, detectando los posibles
y beneficios, ya que se configura como
fallos y recomendando los correspondientes
un elemento disuasorio de primer orden;
cambios y mejoras.
constituye asimismo una valiosa fuente de
información y es indudablemente un sistema
En consecuencia, cuando se pongan de de gran potencial para la detección y reacción
manifiesto infracciones relevantes de las tempranas antes posibles incumplimientos.
disposiciones de la organización, o cuando Su uso no debe ser únicamente una opción
se produzcan cambios en la organización, para los empleados, sino que la organización
en la estructura de control, en la actividad debe estimularlo.
desarrollada, o incluso modificaciones
legislativas que hagan necesarias
adaptaciones en orden a asegurar su correcto
funcionamiento, este modelo permite a la
organización monitorizar el riesgo penal,
asegurando la cobertura de riesgo penal de
una forma razonable.
Los canales de denuncias son una medida muy
común, tanto en nuestro Derecho comparado
como en otros modelos de Compliance, y su
expansión se está acelerando, gracias a la
Directiva UE 2019/1937. La normativa vigente Los programas de Compliance penal deben

permite su externalización. contemplar expresamente qué medidas
adoptará la compañía en caso de detectarse
12.3.8. Medidas disciplinarias en algún incumplimiento. Estas medidas deben
caso de incumplimientos ser de dos tipos:
Para que el modelo implantado sea eficaz, se Imposición de sanciones

hace imprescindible contar con un sistema disciplinarias a las personas
disciplinario. responsables, entre las cuales
se incluye el despido;
Obviamente, la imposición de las inevitables
sanciones nunca podrá ser considerado un Comunicación del hecho a
método infalible para evitar la comisión de las autoridades si este es
delitos por parte de los empleados, pero su constitutivo de un delito o de
carácter disuasorio puede ser un elemento una infracción administrativa.
de utilidad adicional a la hora de prevenirlos y,
Sin embargo, en la adopción de medidas
desde luego, un indicador a tener en cuenta a
disciplinarias puede producirse, en la
la hora de valorar la actividad de Compliance
práctica, un conflicto entre Compliance y
y la efectividad de su modelo.
derecho laboral. O, dicho con otras palabras,
Como no podía ser de otro modo, dicho entre la cultura de cumplimiento y la cultura
sistema disciplinario deberá estar en de recursos humanos ya que, en algunas
perfecta consonancia tanto con los convenios jurisdicciones, el derecho laboral dificulta
colectivos aprobados en el seno de la empresa notablemente la imposición de sanciones a

los trabajadores.
como con la normativa legal vigente.
Además, los plazos de prescripción son muy

Como se ha mencionado, una reacción
cortos, lo que obstaculiza la realización de las
(aplicación) firme y decidida frente a los
investigaciones necesarias antes de tomar
incumplimientos resulta fundamental para
decisiones. El principio pro-empleado (la
demostrar la efectividad del programa. Así,
parte más débil en la relación) inspira todas
una de las formas de transmitir a toda la
las normas laborales y su interpretación. En
organización la importancia del Compliance
la aplicación práctica de la legislación laboral,
penal es que los incumplimientos tengan
las dificultades de actuar contra empleados,
consecuencias. Si no fuera así, el programa
incluso ante evidentes incumplimientos, es
será considerado ineficaz y así podrá ser
notable, y los tribunales laborales suelen
valorado (atendiendo al número, rapidez
fallar a favor del trabajador.
y contundencia de las consecuencias
disciplinarias dictadas por la organización Dada la dificultad de probar la procedencia del
ante los incumplimientos) por parte de la despido o incluso de medidas disciplinarias
autoridad fiscal y judicial en un eventual menos graves, no es infrecuente que los
proceso. departamentos de recursos humanos de las
empresas opten por otras actuaciones más actividad, entorno de la organización,

efectivas y que reduzcan la litigiosidad, como etc.
negociar salidas con indemnizaciones de Inclusión de nuevas actividades de

importe inferior al establecido por la legislación control o modificación de controles
laboral para el despido improcedente. existentes.
Cambios en los responsables de los

Aunque una decisión así tenga sentido desde controles.
la cultura de recursos humanos, ya que
Casos de incumplimientos reales
permite reducir los costes laborales, de pleitos
sucedidos.
y otros vinculados, va claramente en contra de
la cultura de cumplimiento y de lo establecido
Dichos cambios del modelo deberán ser
por nuestro CP, que exige que los hechos
aprobados por el órgano de control, en
ilícitos tengan la debida sanción. Además, al
tanto responsable del mantenimiento del
carecer los incumplimientos de consecuencias
modelo de prevención penal. La supervisión,
disciplinarias documentadas, se impedirá
a través de evaluaciones continuas o
justificar adecuadamente la eficacia del modelo
puntuales, deberá analizar si este proceso de
de Compliance y contar con los antecedentes
identificación se realiza adecuadamente.
que evidencien dichas actuaciones.
En la Circular de la Fiscalía se determina
Por ello, es aconsejable que las actuaciones
que, aunque el CP no establezca plazo
disciplinarias por incumplimientos del modelo
ni procedimiento alguno de revisión o
de prevención de delitos se canalicen a través
actualización de los modelos de Compliance,
del responsable de Compliance y no de RRHH.
un adecuado modelo debe contemplarlos
12.3.9. Actualización periódica del expresamente y, además, el modelo deberá
modelo de prevención revisarse con carácter inmediato para
el caso de que concurran determinadas
Como ya se ha expuesto con anterioridad, el
circunstancias que puedan influir en el
modelo de Compliance ha de ser dinámico
análisis de riesgo.
y objeto de verificación continúa para
estar ajustado a las características de cada 12.3.10. Formación de empleados y
organización. directivos
Aun cuando no es uno de los elementos

Cambios del modelo de prevención
expresamente establecidos por el CP, la
Las modificaciones del modelo de prevención de formación de los empleados y directivos
riesgos penales pueden venir motivadas entre
constituye otro de los pilares fundamentales
otros, por los siguientes motivos:
de los modelos de prevención de riesgos
Inclusión de nuevos riesgos debido penales. La finalidad es que todos los
a modificaciones legislativas,
empleados y directivos de la organización:
interpretaciones doctrinales o
jurisprudenciales, cambios en la
a. Comprendan que la empresa es 12.4. Norma UNE 19601:2017

susceptible de incurrir en responsabilidad sobre Sistemas de Gestión de
penal como consecuencia de su actuación,
Compliance penal
con independencia del cargo o categoría
profesional que ostenten. 12.4.1. Introducción
b. Sean capaces de identificar los riesgos La norma UNE 19601:2017 Sistemas de

penales en que hipotéticamente pudiesen gestión de Compliance penal. Requisitos con
incurrir, dolosa o imprudentemente, como orientación para su uso (en adelante, UNE
consecuencia de su actuación profesional 19601) nació el 18 de mayo de 2017 como
y con independencia del cargo o categoría un estándar nacional de buenas prácticas
profesional que ostenten. para prevenir delitos, reducir el riesgo, y
c. Conozcan los principios generales de fomentar una cultura empresarial ética y de
comportamiento que han de cumplir en cumplimiento.
su actividad para evitar la comisión de

Esta norma, desarrollada en el seno de la
cada hipotético riesgo penal.
entidad responsable del desarrollo de las
d. Conozcan el entorno de cumplimiento de normas técnicas en España, Asociación
la organización que permite mitigar los Española de Normalización (UNE), establece
riesgos penales hipotéticos. los requisitos para implantar, mantener y
mejorar continuamente un sistema de gestión
e. Sepan cómo actuar y a quién dirigirse en
de Compliance penal en las organizaciones.
caso de detectar indicios de la comisión de
un delito o de infracción de los principios El objetivo de la norma es el de prevenir la
generales de comportamiento. comisión de delitos en su seno y reducir el
riesgo penal, mediante el impulso de una
De este modo, el plan de formación a los
cultura ética y de cumplimiento. Se trata de
empleados y directivos será el mecanismo a
una norma certificable.
través del cual poder advertir a todos ellos
de las consecuencias de cualquier delito La UNE 19601 responde al nuevo escenario
que puedan cometer, tanto en sus propios y al elevado interés por el Compliance penal
intereses, como en los de la empresa para la tras la reforma del CP de 2010 que introduce
que trabajan. en el derecho español la responsabilidad
penal de las personas jurídicas; pero sobre
Se trata, en definitiva, de la extensión en la
todo da respuesta a la última reforma del
organización de esa cultura de Compliance,
CP de 2015 que indica que las personas
mediante el uso de los canales y herramientas
jurídicas que hayan implantado modelos de
de comunicación adecuadas.
prevención de delitos y cumplan una serie de
requisitos pueden llegar a ser eximidas de
responsabilidad penal.
La UNE 19601, por tanto, viene determinada de sistemas de gestión y control aplicados
en gran medida por el CP2015 y da respuesta al ámbito de la prevención y detección
a los requisitos necesarios de los modelos penal, esta regulación constituye un
de gestión y prevención de delitos derivados marco de interpretación susceptible de ser
de éste, pero no se limita meramente a un desarrollado para disponer de sistemas
enfoque local, sino que además incorpora eficaces y alineados con las buenas prácticas
buenas prácticas, ampliamente aceptadas que vienen acordándose a nivel internacional.
en todo el mundo, en el ámbito de la
En este sentido, esta norma UNE 19601 viene
responsabilidad social, Compliance y gestión
a establecer un marco de referencia completo
de riesgos.
que no solo permite disponer de sistemas de
Los requisitos fundamentales de esta norma gestión de Compliance penal alineados con las
son: exigencias del CP español, sino completarlos
con los estándares internacionales en materia
Prevenir la comisión de delitos
de Compliance que contribuyen a cincelar sus
que puedan llevar aparejada
contenidos e incrementar su eficacia.
responsabilidad penal para la
organización. Bajo tal premisa, esta norma UNE 19601
Difundir la cultura de prevención y facilita diseñar o evaluar sistemas de gestión
cumplimiento en la organización. de Compliance penal, que permitan generar
o mejorar una adecuada cultura organizativa
Establecer medidas de vigilancia
sensible a la prevención y detección penal
y control idóneas para prevenir
y opuesta a las malas praxis que toleran o
delitos y para reducir de forma
amparan conductas ilícitas en el seno de las
significativa el riesgo de cometerlos.
personas jurídicas.
Mejorar la gestión, ayudar a reducir
La UNE 19601 facilita la implementación de
el riesgo penal y dar una mayor
sistemas de gestión de Compliance penal,
garantía de seguridad y confianza
no solo respetuosos con las exigencias
ante órganos de gobierno,
legales españolas, sino también dirigidos a
accionistas e inversores, entre otros
cumplir las expectativas que normalmente se
grupos de interés.
depositan en las organizaciones que operan
Como hemos visto, el CP considera los en los mercados internacionales (mediante
modelos de prevención de delitos como la ya comentada incorporación de las buenas
posibles elementos de exoneración y prácticas de amplia aceptación global).
atenuación de la responsabilidad penal de la
En este sentido, su contenido recoge las
persona jurídica, siempre y cuando cumplan
exigencias de nuestro Código Penal bajo
una serie de requisitos.
la “estructura de alto nivel” desarrollada
Aunque el contenido de la nueva regulación por ISO para mejorar el alineamiento entre
ha consolidado la necesidad de disponer sus normas internacionales para sistemas
de gestión e incorpora buenas prácticas • La UNE 19601 no brinda una garantía

ya reguladas en la Norma UNE-ISO 37301 absoluta de eliminación del riesgo de
Sistemas de Gestión de Compliance, en la comisión de delitos que afronta una
Norma UNE-ISO 37001 Sistemas de gestión organización.
antisoborno, así como con la Norma UNE-ISO
• El cumplimiento de la UNE 19601 no
31000 Gestión del Riesgo.
asegura la exoneración o atenuación
automática de la responsabilidad penal
de la persona jurídica.
• La norma UNE 19601 ayuda a prevenir,

detectar y gestionar conductas
ilícitas generando así la cultura de
cumplimiento que pueda fundamentar,
en última instancia la exoneración de su
responsabilidad.
12.4.2. Valor de la certificación UNE • Su contenido también podría servir de

19601 referencia para los tribunales de justicia
a la hora de valorar el cumplimiento
Como ya hemos dicho, la norma UNE 19601
por parte de las personas jurídicas de
no es meramente un compendio de buenas
las exigencias previstas en la legislación
prácticas y recomendaciones, sino que su
penal.
implementación puede ser certificada por un
tercero independiente. • Si parte -o incluso todos- los requisitos
establecidos por la norma UNE 19601
No obstante, en cuanto a la fuerza probatoria
entrasen en conflicto o estuviesen
de la certificación debemos saber que:
prohibidos por alguna disposición legal
• Las certificaciones podrán apreciarse o criterio jurisprudencial, la organización
como un elemento adicional a valorar no quedará obligada por los mismos (o la
acerca de la adecuación del modelo, pero parte que quedara afectada).
en modo alguno acreditan la eficacia del
12.4.3. Objeto y ámbito de
programa, ni sustituyen la valoración que
aplicación
de manera exclusiva compete al órgano
judicial, tal y como explica la Circular Como hemos referido anteriormente la
1/2016. norma UNE 19601 establece directrices para
adoptar, implementar, mantener y mejorar
• El cumplimiento de la UNE 19601 no
continuamente políticas de Compliance
asegura completamente que no se hayan
penal y el resto de los elementos de un
producido en su seno delitos, ni que no
sistema de gestión de Compliance penal en
vayan a producirse en el futuro.
las organizaciones.
Establece los requisitos y directrices para • Siguiendo instrucciones de la organización,

disponer de modelos alineados con lo representándola o en su beneficio.
que exige la legislación penal española a
12.4.4. Definiciones
los sistemas de control y gestión para la
prevención y detección de delitos, tanto en su La UNE 19601 incluye, en su apartado 3
forma como en su fondo. (“Términos y definiciones”), un listado de
conceptos necesarios para el correcto
No obstante, también puede ser de utilidad
entendimiento de su contenido.
para establecer sistemas de control y gestión
para la prevención y detección de delitos A continuación, procederemos a realizar un
cometidos en el contexto de las actividades resumen de algunos términos específicos de
empresariales, que no comporten la esta norma:
responsabilidad penal de la persona jurídica
en España ni concurran en organizaciones • Auditoría: Proceso sistemático,
españolas. independiente y documentado para
obtener las evidencias de auditoría y
Los objetivos fundamentales de esta norma evaluarlas de manera objetiva con el fin
son: de determinar el grado en el que cumplen
• Cumplimiento de las exigencias legales los criterios de auditoría.
españolas;
• Competencia: Capacidad para aplicar
• Cumplimiento de las expectativas conocimientos y habilidades con el fin de
depositadas en las organizaciones que lograr los resultados previstos.
operan en los mercados internacionales;
• Compliance penal: Cumplimiento de los
• Prevenir, detectar y gestionar conductas requisitos.
ilícitas.
• Conflicto de intereses: Situación en la
La norma UNE 19601 puede aplicarse a que intereses de negocios externos,
cualquier organización, con independencia financieros, familiares, políticos o
de su tipo, tamaño, naturaleza o actividad: personales podrían interferir en el juicio
de los miembros de la organización
• Grandes empresas y pymes;
cuando llevan a cabo sus tareas en la
• Sector público y privado; organización.
• Organizaciones con o sin ánimo de lucro;

• Desempeño: Resultado medible.
• Actividades desarrolladas por los
• Diligencia debida: Proceso operativo que
miembros de la organización;
pretende obtener y evaluar la información
• Actividades desarrolladas por los socios para contribuir a la evaluación del riesgo
de negocio; penal.
• Eficacia: Medida en la que se realizan las autónomos de iniciativa y control al que

actividades planeadas y se obtienen los se confía la responsabilidad de supervisar
resultados previstos. el funcionamiento y observancia del
• Externalización: Acuerdo mediante el
cual una organización externa realiza una • Política de Compliance penal: Voluntad
función o proceso de la organización. de una organización, según lo expresa
formalmente su alta dirección o su órgano
• Funcionario público: Cualquier
de gobierno, en relación con sus objetivos
persona que tenga un cargo legislativo,
de Compliance penal.
administrativo o judicial, ya sea designado
por sucesión o electo, o cualquier persona • Riesgo penal: Riesgo relacionado con el
que ejerza una función pública, incluso desarrollo de conductas que pudieran ser
para un organismo público o para una constitutivas de delito, según el régimen
empresa pública, o cualquier funcionario de responsabilidad penal de las personas
o agente de una organización nacional jurídicas establecido en el Código Penal
o internacional pública o cualquier español o, en caso de entidades carentes
candidato o funcionario público. de personalidad jurídica, con el régimen
de consecuencias accesorias en el mismo
• Información documentada: Información
texto legal.
que una organización tiene que mantener
y controlar, y el medio en el que está • Seguimiento: Determinación del estado
contenida. de un sistema, un proceso, procedimiento
o una actividad.
• Medición: Proceso para determinar un
valor. • Sistema de gestión de Compliance
penal: Conjunto de elementos de una
• Mejora continua: Actividad o proceso
organización interrelacionados o que
recurrente para mejorar el desempeño.
interactúan para concretar y medir el
• Miembros de la organización: Los nivel de consecución de objetivos en
integrantes del órgano de gobierno, materia de Compliance penal, así como
directivos, empleados, trabajadores o las políticas, procesos y procedimientos
empleados temporales o bajo convenio para lograr dichos objetivos.
de colaboración, y voluntarios de una
• Socio de negocio: Cualquier parte, salvo los
organización y el resto de las personas
miembros de la organización, con quien
bajo subordinación jerárquica de
la organización tiene, o prevé establecer,
cualquiera de los anteriores.
algún tipo de relación de negocios.
• Objetivo de Compliance penal: Resultado
• Tercero: Persona física o jurídica u órgano
a lograr.
que es independiente de la organización.
• Órgano de Compliance penal: Órgano
de la organización dotado de poderes
12.4.5. Contexto de la organización * Parte Relación Frecuencia Dpto Responsable

interesada
Comprensión de la organización y
su contexto Ejemplo de mapa de relaciones en forma de tabla. Elaboración propia.
A la hora de diseñar un sistema de gestión

de Compliance penal deberemos tener en
cuenta los siguientes elementos:
Dimensión: tamaño y estructura de la

organización.
Ubicación: Localización física en la

que opera o pretende operar.
Sector: sectores de actividad en los Ejemplo de mapa de relaciones. Elaboración propia.
que opera o prevé operar en el futuro.

En este proceso se deberá incluir también a
Actividad: naturaleza, escala y las entidades controladas.
complejidad de las actividades de la
organización y sus operaciones. Determinación del alcance del
sistema de gestión de Compliance
Entidades sobres las que ejerce
penal
control.
Una vez realizado el mapa de relaciones
Miembros de la organización y socios
con partes interesadas, por parte de la
de negocio.
organización, debemos determinar el alcance
Relaciones con funcionarios subjetivo y objetivo del sistema de gestión
públicos. de Compliance penal, teniendo en cuenta los
siguientes criterios:
Relaciones jurídicas o contractuales
con terceros.
Identificación de las partes

interesadas
La organización debe identificar las partes

interesadas que son relevantes a los efectos
del sistema de gestión de Compliance penal
y las obligaciones y compromisos contraídos
con ellas.
Finalmente, una vez determinado el alcance, la

organización deberá adoptar, implementar y
mejorar un sistema de gestión de Compliance
penal, que incluya:
• Las políticas, procedimientos y procesos

necesarios, así como sus interacciones.
• Medidas diseñadas para detectar,

prevenir y evaluar el riesgo penal, así
como gestionarlo de manera temprana.
Como en todas las normas ISO y UNE, el

sistema de gestión de Compliance penal está 12.4.7. Liderazgo
sujeto a un proceso de mejora continua, que
exige: El liderazgo es un factor fundamental que
se debe tener en cuenta en la adopción e
1. Adoptar el sistema de gestión de
implantación de un sistema de gestión de
Compliance.
Compliance penal en la organización:
2. Implantarlo en la organización.
Responsabilidades del órgano de
3. Mantenerlo y verificar su eficacia. gobierno
4. Mejorarlo de forma continuada. Las principales responsabilidades del órgano

de gobierno son:
a. Promover una cultura de cumplimiento.
b. Adoptar, implementar, mantener y

mejorar continuamente el sistema de
gestión de Compliance penal.
c. Dotar al sistema de gestión de Compliance

penal de recursos financieros, materiales
Proceso de mejora continua del Sistema de Gestión del Compliance y humanos adecuados.
Penal. Elaboración propia
Fuente: UNE 19601
d. Aprobar la política de Compliance de la
12.4.6. Objetivos del sistema de organización.
gestión de Compliance penal con
e. Examinar periódicamente la eficacia del
relación al riesgo penal
sistema de gestión de Compliance penal.
Los objetivos del sistema de gestión de f. Establecer un órgano de Compliance

Compliance penal en relación con el riesgo penal.
constan de las siguientes fases:
g. Establecer los procesos de toma de k. Informar al órgano de gobierno sobre los

decisiones. resultados de la aplicación del sistema de
Responsabilidades del órgano de
Compliance penal El órgano de Compliance penal deberá
cumplir con los siguientes requisitos, en virtud
Las principales responsabilidades del órgano
de lo establecido en la norma UNE 19601:
de Compliance penal son:
a. Ha de ser el máximo garante de la
a. Impulsar y supervisar de manera continua
supervisión, vigilancia y control de las
la eficacia del sistema de gestión de
obligaciones de Compliance penal en la
Compliance penal.
organización tanto hacia dentro como
b. Asegurar la formación continuada de los hacia fuera de la misma.
miembros de la organización.
b. Estar dotado de recursos suficientes para
c. Promoverlainclusiónderesponsabilidades llevar a cabo la vigilancia y control de las
de Compliance penal en las descripciones obligaciones de Compliance penal.
de los puestos de trabajo.
c. Contar con personal cualificado que tenga
d. Promoverlainclusiónderesponsabilidades las competencias, estatus, autoridad e
de Compliance penal en los procesos de independencia adecuadas.
gestión del desempeño de los miembros
de la empresa. d. Tener acceso directo e inmediato al órgano
de gobierno en caso de que sea preciso
e. Poner en marcha un sistema de elevar hechos o conductas sospechosas o
información y documentación de asuntos relacionados con los objetivos de
Compliance penal. Compliance penal y, por lo tanto, con la
f. Gestionar la información recibida a través política de Compliance penal y el sistema
de los canales éticos. de gestión de Compliance penal.
g. Establecer indicadores de desempeño de e. Debe ocupar una posición en la

Compliance penal, medirlo y analizarlo. organización que le acredite para solicitar
y recibir la colaboración plena de los
h. Identificar y gestionar los riesgos penales
demás órganos de la misma.
f. Contribuir a la identificación de las
i. Identificar y gestionar los riesgos penales
obligaciones de Compliance penal, con
incluidos los relacionados con los socios
el apoyo de los recursos necesarios y
de negocios.
colaborar para que esas obligaciones se
j. Asegurar que el sistema de gestión de traduzcan en políticas, procedimientos y
Compliance penal se revisa a intervalos procesos viables.
planificados.
g. Colaborar para que las obligaciones de 12.4.8. Política de Compliance penal

Compliance penal se integren en las
políticas, procedimientos y procesos Una política de Compliance penal deberá
existentes. regular los siguientes puntos:
h. Asegurar que hay acceso a un a. Exigir el cumplimiento de la legislación
asesoramiento profesional adecuado penal.
para la adopción, implementación, b. Identificar las actividades en cuyo ámbito

mantenimiento y mejora continua del puedan ser cometidos los delitos.
c. Prohibir la comisión de hechos delictivos.
i. Proporcionar asesoramiento objetivo a
la organización en materias relacionadas d. Minimizar la exposición a los riesgos
con Compliance. penales.
e. Obligar a cumplir los requisitos del

Responsabilidades de la alta
dirección
f. Obligar a informar sobre hechos o
Las principales responsabilidades de la alta
conductas sospechosas.
dirección de la organización son:
g. Explicitar la autoridad e independencia
a. Garantizar la implantación adecuada del
del órgano de Compliance penal.
h. Exponer las consecuencias de no cumplir.
b. Garantizar que los requisitos del sistema
de gestión de Compliance Penal se Asimismo, la política de Compliance penal
incorporan a los procesos. deberá:
c. Garantizar la disponibilidad de recursos a. Estar disponible como información

adecuados para el sistema de gestión de documentada.
Compliance penal.
b. Ser comunicada con un lenguaje e
d. Cumplir y hacer cumplir, tanto interna
idioma adecuados a los miembros de la
como externamente, la política de
organización y a los socios de negocio.
Compliance penal.
c. Estar disponible para las partes
e. Promover la mejora continua.
interesadas.
f. Fomentar el uso del canal ético.
12.4.9. Roles y responsabilidades
g. Garantizar que no haya represalias
por la comunicación de buena fe de La alta dirección debe asegurarse que la
incumplimiento o sospecha fundada del responsabilidad y autoridad en las funciones
mismo, así como por rehusar participar relevantes se asignan y comunican en todos
de actuaciones delictivas. los niveles de la organización.
Cada integrante de un nivel tiene sus • Asegurar que se logren los objetivos de
funciones definidas en la descripción del Compliance penal.
puesto de trabajo.
• Prevenir/reducir efectos no deseados
Los responsables de cada nivel deben
• Lograr la mejora continua.
asegurar el cumplimiento y observancia del
sistema de gestión de Compliance penal por Asimismo, la organización debe determinar la
los miembros de la organización adscritos a manera de:
sus departamentos, funciones o proyectos.
• Integrar dentro de sus procesos de
negocio, los procesos, procedimientos
y acciones del sistema de gestión de
Compliance penal.
• Evaluar la eficacia de estas acciones
• Generar evidencias del cumplimiento

de dichas acciones, procedimientos y/o
Ejemplo de modelo de control en cascada. Elaboración propia
procesos.
Los miembros de la organización son
Evaluación de riesgos penales
responsables de comprender, observar y
aplicar los requisitos del sistema de gestión La evaluación de riesgos consta de tres fases:
de Compliance penal en lo concerniente a su
rol en la organización.
En los casos en los que la alta dirección

delegue la toma de decisiones en ámbitos
en los que exista un riesgo penal mayor que
bajo, la organización debe establecer y aplicar Identificación: De las actividades en cuyo
un procedimiento y un sistema de controles ámbito puedan materializarse los riesgos
que garanticen que el proceso de decisión y penales con el fin de:
el nivel de autoridad de los decisores sean
a. Asegurar que el sistema de gestión
adecuados y estén libres de conflictos de
de Compliance penal pueda lograr los
interés reales o potenciales.
objetivos de Compliance penal;
Acciones para abordar riesgos y b. Prevenir o reducir efectos no deseados;

oportunidades
c. Lograr la mejora continua.
La organización deberá planificar su sistema
Análisis: Estudio de las causas, fuentes,
de gestión de Compliance penal determinando
la probabilidad y el impacto de los
los riesgos penales y oportunidades que es
incumplimientos de Compliance penal.
necesario abordar con el fin de:
Valoración: Cálculo del nivel de riesgo penal 12.4.10. Apoyo

Cultura de Compliance penal
Una vez llevada a cabo la evaluación de
riesgos esta deberá revisarse: El desarrollo de una cultura de Compliance
exige que el órgano de gobierno y la alta
a. De manera regular. dirección tengan un compromiso visible,
b. En caso de cambios significativos en la congruente y sostenido en el tiempo
estructura de la organización. con un estándar común y publicado de

comportamiento que se requiera en todas y
c. En caso de cambios significativos en las cada una de las líneas de la organización, así
actividades de la organización. como a sus socios de negocio.
d. En caso de incumplimientos de
Normalmente el estándar común de
Compliance penal.
comportamiento exigido, tanto a los
e. En caso de que aparezca jurisprudencia o miembros de la organización, como a los
cambios legislativos relevantes. socios de negocio, constará en la en la política
de Compliance penal, aunque también
Objetivos de Compliance penal pueden encontrarse referencias al respecto
Respecto de los objetivos de Compliance en un código de conducta, código ético,
Penal, la organización deberá establecer código de valores o documento análogo en la
dichos objetivos y planificar las actividades a organización.
desarrollar para alcanzarlos:

Son elementos de una cultura de Compliance:
a. Comunicación continua, abierta y

adecuada sobre Compliance penal.
b. Congruencia en el tratamiento de
acciones similares, con independencia de
la posición.
c. Sanciones.
d. Evaluaciones adecuadas a los potenciales

empleados antes de su contratación.
e. Política de Compliance penal.
f. Establecer sistemas de remuneración

que valoren el logro de objetivos de
Compliance penal.
g. Formación.
h. Compromiso de la alta dirección. Competencia

i. Predicar con el ejemplo. Competencias del personal de
j. Valoración del logro de los objetivos de Compliance
Compliance.
Los requisitos que debe cumplir el personal
k. Formación continuada. de Compliance en materia de competencias
son los siguientes:
La cultura de Compliance se podrá medir
por la organización a través de los siguientes a. Determinación previa del perfil exigido
indicadores: para realizar funciones de Compliance.
a. Percepción de los requisitos de la cultura b. Formación adecuada.
de Compliance c. Experiencia adecuada.
b. Comprensión de la relevancia de las d. Formación o tutorías dirigidas a completar

obligaciones de Compliance déficits en materia de competencias.
c. Mitigación de los riesgos penales e. Conservación de evidencias de la
d. Valoración del papel del Compliance penal competencia existente o adquirida.
e. Motivación para el uso del canal de Diligencia debida común a todos los
denuncias o canal ético. miembros de la organización
f. Colaboración con el órgano de Compliance La organización deberá desarrollar las

penal. siguientes acciones en cuanto a sus miembros:
Recursos necesarios a. Entregar la política de Compliance en el

momento de la incorporación.
La organización debe determinar y
proporcionar los recursos necesarios para la b. Dar acceso a la política de Compliance a
adopción, implementación, mantenimiento todos los miembros de la organización.
y mejora continua del sistema de gestión de c. Exigir su cumplimiento.

Compliance penal.
d. Adoptar acciones disciplinarias en caso de
Los recursos incluyen, como mínimo, los incumplimiento.
financieros, tecnológicos y humanos, así
e. No adoptar represalias por:
como el acceso al asesoramiento externo.
• Negarse a participar en actividades
con riesgo penal.
• Reportar incumplimientos a través del

canal de denuncias.
Diligencia debida con respecto a e. Contribución individual al Compliance a

personas especialmente expuestas a través de la mejora del modelo.
riesgos penales
f. Contribución individual al Compliance a
La organización deberá desarrollar las través del canal de denuncias.
siguientes acciones con relación a personas g. Consecuencias del incumplimiento.

especialmente expuestas a riesgos penales:
h. Canal de denuncias (también denominado
a. Verificación de que el candidato es idóneo ético).
para la función a realizar.
Comunicación
b. Verificación de que comprende y acepta
la política de Compliance penal. La organización debe determinar la necesidad
de realizar comunicaciones internas y
c. Revisión periódica de la relación entre
externas relevantes para la eficacia del
objetivos y remuneración con el fin de
evitar que incentiven la asunción de
riesgos penales. La política de Compliance penal debe
d. Declaración de cumplimiento periódica. hacerse accesible a todos los miembros de

la organización, así como a los socios de
Formación y concienciación negocio que impliquen riesgo penal y debe
publicarse adecuadamente a través de los
La organización debe fomentar que
canales de comunicación internos y externos
los miembros de la organización se
conciencien y se formen adecuada, eficaz y
proporcionalmente respecto de los riesgos Información documentada
penales, con la finalidad de evitarlos,
detectarlos o saberlos gestionar conforme al La información documentada mínima a
sistema de gestión de Compliance penal. mantener (o necesaria) relativa al sistema

de gestión de Compliance penal es bastante
La formación deberá versar sobre las extensa, y comprende la siguiente:
siguientes materias:
a. Descripción del alcance del sistema.
a. Política de Compliance.
b. Política de Compliance penal.
b. Riesgo penal.
c. Procedimientos para la delegación de
c. Circunstancias en las que en el desempeño facultades.
de su trabajo se puede materializar el
d. Identificación, análisis y evaluación de
riesgo penal.
riesgos penales, así como la metodología
d. Medidas de prevención y detección del y criterios utilizados.
riesgo penal.
e. Objetivos de Compliance penal.
f. Estándar común de comportamiento. La organización deberá controlar la

información documentada y asegurar los
g. Evidencias de la competencia del personal
principios de seguridad de la información
de Compliance.
(disponibilidad, integridad y confidencialidad).
h. Procedimientos de diligencia debida con En resumen, que se encuentre disponible
los miembros. y sea idónea para su uso y se proteja
adecuadamente (de modificaciones o
i. Información acerca de la formación
alteraciones indeseadas, pérdida, accesos
impartida.
indebidos, etc).
j. Información documentada necesaria
para la eficacia del sistema de gestión de 12.4.11. Operación
Compliance penal.
Planificación y control operacional
k. Información documentada de origen
La organización debe planificar, implementar
externo.
y controlar los procesos necesarios para
l. Evidencias de los procesos, procedimientos cumplir los requisitos derivados del sistema
y controles. de gestión de Compliance penal y para
implementar las acciones relativas al análisis
m. Procedimientos de diligencia debida
de riesgos penales mediante:
realizados.
n. Procedimientos para entidades

controladas.
o. Procedimientos para incumplimientos e

irregularidades.
p. Procedimientos para la investigación de

incumplimientos e irregularidades.
q. Evidencias de los resultados de la

verificación periódica.
r. Evidencias de los resultados de las

auditorías.
s. Evidencias de las revisiones del órgano de

Compliance penal. Diligencia debida
t. Evidencias de las revisiones realizadas La organización debe realizar un análisis con

por la alta dirección. el fin de identificar aquellas actividades en
u. Evidencias de las revisiones realizadas cuyo ámbito puedan materializarse riesgos
por el órgano de gobierno. penales que deban ser prevenidos.
Alcance de la diligencia debida b. Menor análisis: socios de negocio en los

que la empresa tiene un nivel de influencia
La organización debe valorar la naturaleza alto.
y el alcance de dicho riesgo, contemplando,
si lo considera necesario, la realización de Algunos ejemplos de procedimientos de
procedimientos de diligencia debida, los cuales diligencia debida sobre socios de negocio
deben ser actualizados convenientemente en podrían ser:
relación con:
• Envío de cuestionarios.
• Análisis de las cuentas anuales y de los

principales indicadores.
• Búsqueda de información pública sobre

el socio, sus accionistas y directivos.
• Búsqueda del socio de negocio en listas

de entidades sancionadas.
Objetivos de la diligencia debida
• Búsqueda en fuentes oficiales, judiciales,
Los principales objetivos que se deben
nacionales o internacionales.
alcanzar por la organización en cuanto a
diligencia debida son: • Contratación de un tercero especializado.
a. Evaluar con mayor profundidad los • Solicitud de información adicional en

riesgos penales. función de las respuestas proporcionadas.
b. Concentrar el análisis en las actividades Diligencia debida sobre personas

con riesgo penal. expuestas
c. Prevenir y detectar posibles riesgos Algunos ejemplos de diligencia debida sobre

penales. candidatos a ser miembros de la organización
d. Aportar información útil para la toma de para ocupar posiciones especialmente
decisiones. expuestas al riesgo podrían ser:
• Informar sobre la política de Compliance

Diligencia debida sobre socios de
durante la entrevista con el candidato;
negocios
• Verificar que el candidato entiende y
Podemos distinguir diferentes tipos de
acepta la importancia de la política;
análisis en función del tipo de negocio:
• Verificar la exactitud y veracidad de las
a. Mayor análisis: socios de negocio con
cualificaciones del candidato;
capacidad para actuar en nombre de la
organización. • Obtener referencias del candidato en
puestos de trabajo anteriores;
• Identificar posibles conflictos de interés; delitos en el seno de su actividad.
• Asegurar razonablemente que la oferta Algunos ejemplos de controles no financieros

no responde a un favor injustificado pueden ser:
proporcionado por el candidato en su
• Control sobre las compras.
empleo previo, así como que la oferta al
candidato no va destinada a garantizar un • Control sobre las operaciones.
tratamiento favorable injustificado para la
• Control sobre la comercialización.
organización.
• Control sobre otros procesos
Controles financieros
Control de filiales
La organización debe disponer de controles
en los procesos de gestión de sus recursos Podemos distinguir entre:
financieros que contribuyan a prevenir,
a. Entidades controladas: entidades en las
detectar o gestionar riesgos penales.
que la empresa controla la gestión y posee
Algunos ejemplos de controles financieros la mayoría de sus acciones o derechos de
pueden ser: voto.
• Política de segregación de funciones. En este supuesto la organización debe

implantar procedimientos que garanticen:
• Niveles escalonados de autoridad para la
gestión de los recursos financieros. • Adopción del sistema de gestión de
Compliance penal de la entidad matriz.
• Circuito de aprobaciones necesarias para
la gestión de los recursos financieros. • Adopción de su propio sistema
de gestión de Compliance penal
• Firmas mancomunadas.
adaptado a su actividad y su entorno.
• Documentación de justificación de los
b. Entidades no controladas: son entidades
pagos.
sobre las que la empresa no tiene control,
• Restricción del uso de efectivo. pero tiene alguna vinculación (cargo).
• Sistemas de control de riesgos en el En este caso la organización deberá:

proceso de emisión de información
• Si existan controles previamente
financiera.
implantados: evaluar si los controles
• Revisiones periódicas y auditorías implantados son suficientes.
financieras.
• Si no existan controles previamente
Controles no financieros implantados:
- Requerir la implantación de
La organización debe implementar aquellos
controles que mitiguen los riesgos
controles no financieros que resulten
adecuados para impedir la comisión de penales
- En caso de no resultar posible c. Permitir la realización de comunicaciones

la implantación de controles anónimas o confidenciales;
considerar este hecho en la
d. Prohibición de represalias para aquellos
evaluación del riesgo y analizar las
que realicen comunicaciones de buena
distintas opciones para evitarlo.
fe;
Control de socios de negocio
e. Ofrecer asesoramiento frente a dudas
La organización deberá establecer cláusulas comunicadas a través de los canales
específicamente orientadas a reducir el referidos en los puntos anteriores;
riesgo penal en sus relaciones contractuales
f. Divulgar de la existencia de los canales
con socios de negocio que:
de denuncia;
• Prohíban la comisión de delitos con
g. Fomentar el uso de los canales de
relación a la actividad contratada.
denuncia.
• Exijan la existencia de un sistema de
Investigación de incumplimiento de
irregularidades
• Contemplen el derecho de resolución en
La organización debe implementar
caso de incumplimiento de los controles
procedimientos que:
anteriores.
• Contemplen el derecho a realizar a. Aseguren la investigación de todas las
auditorías por parte de la empresa. comunicaciones recibidas;
b. Requieran la adopción de medidas

En aquellos casos en los que no resulte posible
adecuadas en caso de verificación de
incluir esta cláusula, este hecho deberá
dichas comunicaciones;
considerarse en la evaluación del riesgo.
c. Garanticen los recursos necesarios para
Comunicación de incumplimientos e
realizar las investigaciones;
irregularidades
d. Garanticen la colaboración de todas las
La organización deberá implantar los
áreas con las investigaciones;
siguientes procedimientos con el fin de
comunicar incumplimientos e irregularidades: e. Garanticen que el órgano de Compliance
penal está oportunamente informado del
a. Facilitar canales de comunicación (canales
estado y resultado de cada investigación;
de denuncia) internos y externos;
f. Garanticen los derechos del denunciante
b. Garantizar la confidencialidad o
y del denunciado.
anonimato de las personas que hagan
uso de dicho canal;
12.4.12. Evaluación del desempeño a. Eficacia de la formación.
Seguimiento, medición, análisis y b. Eficacia de los controles.

evaluación c. Eficacia de la asignación de
responsabilidades.
La organización deberá determinar:
d. Actualización de las obligaciones de
a. A qué es necesario hacer seguimiento
Compliance penal.
y qué es necesario medir para conocer
la eficacia del sistema de gestión de e. Eficacia de la gestión de deficiencias.
Compliance penal.
Y durante el seguimiento del desempeño se
b. Quién es el responsable de hacer el
evaluarán:
seguimiento.
a. No conformidades.
c. Los métodos de seguimiento, medición,
análisis y evaluación. b. Casos en los que no se cumplen los
requisitos de la política de Compliance.
d. Cuando se debe llevar a cabo el
seguimiento y la medición. c. Casos en los que no se alcanzan los
objetivos de Compliance.
e. Cuando se deben analizar y evaluar los
resultados de seguimiento y la medición. d. Estado de la cultura de Compliance.
f. A quién se debe facilitar la información e. Indicadores predictivos y reactivos.

del seguimiento y la medición.
Fuentes de opinión sobre el
Asimismo, la organización deberá conservar desempeño de Compliance penal
la evidencia de los resultados del seguimiento
La organización debe establecer, implementar
y la medición, así como evaluar el desempeño
y mantener actualizados procedimientos
del Compliance penal y la eficacia del sistema
para solicitar y recabar opiniones del
de gestión de Compliance penal.
desempeño de su sistema de Compliance
Seguimiento penal recurriendo a distintas fuentes:
El seguimiento del Compliance penal es • Personal

un proceso que consiste en la recogida de • Clientes
información con el objetivo de evaluar la
eficacia del sistema de gestión de Compliance • Proveedores
penal y, por lo tanto, el desempeño en materia • Reguladores
de Compliance penal de la organización.
• Registros de control de procesos y
Durante el seguimiento del sistema de registros de actividad
gestión de Compliance penal se evaluarán los
siguientes elementos:
Métodos de recogida de información Indicadores de actividad

(ejemplos)
La organización deberá seleccionar métodos
• Porcentaje de personal al que se haya impartido
de recogida de información relevante tales
formación.
como:
• Nivel de utilización de mecanismos para
a. Informes ad hoc de no conformidades obtener opiniones.
cuando aparezcan o sean identificadas;
• Número y tipo de acciones correctivas.
b. Información obtenida en líneas directas,
Indicadores predictivos de riesgo
reclamaciones y otras fuentes, incluyendo
(ejemplos)
el canal de denuncias;
• Riesgos de no conformidades.
c. Discusiones informales, talleres de trabajo
• Tendencias de no conformidades.
y grupos temáticos;
Indicadores de eficacia
d. Pruebas integrales y por muestreo;
(ejemplos)
e. Resultados de encuestas de percepción; • Número de problemas y no conformidades.
f. Observaciones directas, entrevistas • Consecuencias de las no conformidades.

formales, visitas a las instalaciones e
• Tiempo dedicado a acciones correctivas.
inspecciones;
g. Auditorías y revisiones; Informes de Compliance penal

h. Consultas a las partes interesadas, El órgano de gobierno, la alta dirección
peticiones de formación y opiniones y el órgano de Compliance penal deben
recogidas durante la formación, asegurarse de estar correcta y puntualmente
especialmente las del personal. informados sobre el desempeño del sistema
de gestión de Compliance penal y de su
Análisis de información
mejora continua, incluyendo todas las no
La organización deberá analizar y evaluar la conformidades relevantes, promoviendo
información de forma crítica para identificar activamente una cultura de información
el origen y las acciones adecuadas que se completa y transparente.
necesitan tomar.
Hay varias opciones de que se materialice
Indicadores esta información, pero lo habitual es que se
lleve a cabo a través de comunicaciones o
La organización debe desarrollar un conjunto
informes normalizados (para poder hacer
de indicadores medibles que ayuden a medir
seguimiento del progreso o evolución), con
el logro de sus objetivos de Compliance penal
un contenido mínimo que debería incluir los
y a cuantificar el desempeño de su sistema de
siguientes puntos o temas:
a. Cualquier materia relacionada con riesgos • Frecuencia;

penales sobre la organización que haya
• Métodos;
sido requerida por cualquier regulador o
• Responsabilidades;
autoridad, incluida la judicial;
• Requisitos de planificación;
b. Cambios en las obligaciones de
Compliance penal; • Elaboración de informes teniendo
en cuenta procesos involucrados y
c. Mediciones del desempeño del
auditorías anteriores.
Compliance penal;
b. Definir los criterios y el alcance de la
d. Número y detalle de posibles no
auditoría.
conformidades;
c. Seleccionar auditores que cumplan con los
e. Acciones correctivas adoptadas;
requisitos de objetividad, imparcialidad y
f. Eficacia del sistema de gestión de autonomía.
Compliance penal;
d. Asegurarse que los resultados de las
g. Relaciones con los reguladores; auditorías se comunican al órgano de
gobierno y a la alta dirección;
h. Resultados de las auditorías y de las
actividades de seguimiento. e. Conservar información documentada de
todo el proceso.
Auditoría interna
Las auditorías deberán llevarse a cabo con
La organización deber realizar auditorías de
un enfoque basado en el riesgo, a través de
forma periódica con el fin de verificar si el
procedimientos y/o procesos que permitan
sistema de gestión de Compliance penal:
detectar:
• Se ajusta a los requisitos de Compliance
a. Materialización de riesgos penales.
penal establecidos en:
b. No conformidades.
- La Política de Compliance penal;
- El sistema de gestión de Compliance c. Fallos en el cumplimiento de los requisitos.

penal; d. Debilidades o posibilidades de mejora en
- La norma UNE 19601. la política de Compliance penal.
• Se implementa y mantiene eficazmente. Revisión por el órgano de

Compliance penal
Obligaciones de la organización en materia
de auditorías: Dentro de sus funciones de supervisión el
órgano de Compliance penal deberá evaluar,
a. Planificar, establecer, implementar y
de forma periódica, si el sistema de gestión
mantener uno o varios programas de
de Compliance penal:
auditoría que incluyan:
a. Es adecuado para gestionar eficazmente • Denuncias;

los riesgos penales.
• Análisis de informes de Compliance
b. Está siendo eficazmente implementado. penal;
• Comunicaciones relacionadas con

El órgano de Compliance penal deberá
las partes interesadas incluyendo las
informar al órgano de gobierno y a la alta
reclamaciones;
dirección siempre que sea necesario sobre
la adecuación e implementación del sistema • La naturaleza y la extensión del riesgo
de gestión de Compliance penal, incluyendo penal de la organización.
los resultados de las investigaciones y las
d. Las oportunidades de mejora continua.
auditorías.
e. La adecuación de los protocolos y
La organización deberá conservar información procedimientos.
documentada sobre los resultados de las
f. El grado en el que se han cumplido los
revisiones llevadas a cabo por el órgano de
objetivos de Compliance penal.
Compliance penal.
g. La adecuación de los recursos asignados
Revisión por la alta dirección
al Compliance penal.
En base a la información facilitada por el
h. La eficacia de las acciones adoptadas
órgano de Compliance penal, la alta dirección
para gestionar los riesgos penales y las
debe realizar, a intervalos planificados, una
oportunidades.
revisión del sistema de gestión de CompIiance
penal de la organización que tenga en cuenta: El resultado de la revisión deberá incluir:
a. El estado de las acciones de las revisiones a. Decisiones relacionadas con las

por la dirección previas. oportunidades de mejora continua.
b. Los cambios en las cuestiones externas e b. Necesidades de cambio en las políticas,

internas que afecten al sistema de gestión procedimientos o controles.
de Compliance penal.
c. Áreas sobre las que hacer seguimiento de
c. La información sobre el desempeño del no conformidades futuras potenciales.
Compliance penal, incluidas las tendencias
d. Acciones correctivas respecto a las no
relativas a:
conformidades detectadas.
• No conformidades y acciones
e. Lagunas o carencias en la política de
correctivas;
Compliance penal y en el sistema de
• Seguimiento y resultados de las gestión de Compliance penal.
mediciones;
f. Reconocimiento de comportamientos
• Resultados de la auditoría;
ejemplares relacionados con la política y
• Investigaciones; el sistema de gestión.
La organización deberá conservar 12.4.13. Mejora

información documentada de todo el proceso
y resultados de la revisión llevada a cabo por No conformidades y acciones
la alta dirección. correctivas
Revisión por el órgano de gobierno En aquellos supuestos en los que se detecten

no conformidades la organización deberá:
El órgano de gobierno deberá examinar
• Adoptar las acciones oportunas para
periódicamente el sistema de gestión de
tomar el control de la situación y corregirla.
Compliance penal en base a la información
facilitada por el órgano de Compliance • Gestionar las consecuencias, tratando de
penal y la alta dirección, así como guardar reducir sus efectos adversos.
información documentada sobre dicha
• Analizar la no conformidad.
evaluación.
• Determinar sus causas.
Controles en las fusiones de
empresas • Averiguar si pueden estar produciéndose
otras no conformidades similares o si
El apartado 2 del artículo 130 del CP, ya
pudieran llegar a producirse.
mencionado con anterioridad en el presente
módulo, determina que la responsabilidad • Implementar las acciones que sean
penal de la persona jurídica no se extingue precisas.
a causa de su transformación, fusión,
• Realizar seguimiento de las acciones
absorción o escisión, trasladándose a la
adoptadas.
entidad o entidades en que se transforme,
quede fusionada o absorbida y se extiende • Realizar los cambios que sean precisos
a la entidad o entidades que resulten de la en la política de Compliance o el resto del
escisión. sistema de gestión de Compliance penal.
Los principales controles que aplicar en caso Asimismo, la organización deberá mantener
de transformaciones, fusiones, absorciones o información documentada que evidencie
escisiones por parte de la organización serán: todo el proceso referido en el presente
apartado.
a. Diligencia debida previa a la operación
destinada a determinar el nivel de riesgos Mejora continua
de la operación a realizar.
La información recogida, analizada y evaluada
b. Implantar tras la operación los controles consecuentemente, e incluida en los informes
necesarios. de Compliance penal, debería usarse como
c. Llevar a la práctica los controles en el base para identificar las oportunidades de
momento en que resulte legalmente mejora del desempeño de Compliance en la
posible. organización.
• Hablar del riesgo penal de las personas jurídicas implica remontarse a los propios orígenes de
la función de Compliance, es decir, volver a dirigirnos al ámbito anglosajón y a la década de los
70 del siglo XX, con la aprobación de la Ley de Prácticas Corruptas en el Extranjero (FCPA). La
revelación a la opinión pública estadounidense de las prácticas habituales de grandes empresas
corporaciones estadounidenses provoca una reacción política y legislativa que asienta los
cimientos de la función.
• Así, el Compliance penal se desarrolla como respuesta defensiva impulsada por la nueva
normativa, a la que en el ámbito estadounidense se incorpora, ya en el siglo XXI, la Ley Sarbanes-
Oxley (SOX), con la vista puesta en la lucha contra el fraude y la corrupción. Unos años antes,
en 1997, la Convención OCDE ya buscaba esos mismos objetivos y recomendaba a los estados
firmantes adoptar su normativa para perseguir la corrupción promovida por las personas
jurídicas.
• En la UE, el Decreto Legislativo 231 italiano de 2001 es una normativa pionera y de referencia,
a pesar de no ser estrictamente una norma penal, pero que ha inspirado normas en todo el
continente europeo (entre ellas la regulación española sobre la materia, que es casi idéntico a lo
dispuesto por el legislador italiano). Esta norma italiana establece asimismo las características
de un modelo de control eficaz (identificación de riesgos, la toma de decisiones, formación de
empleados, gestión financiera, denuncia, revisión periódica y aplicación del régimen disciplinario).
• En España, la reforma del Código Penal en 2010, constituyó la primera ocasión en la que se
responsabilizaba penalmente a las personas jurídicas en España, aunque de forma un tanto
criticada por ambigua e ineficaz. Posteriormente se produjo una mejora y ampliación de la
regulación de este aspecto, mediante la reforma del CP de 2015, notablemente más ambiciosa.
Se ha de señalar, por su importancia y utilidad, la Circular 1/2016 de la Fiscalía General del
Estado, que establece los criterios interpretativos sobre los que edificar los programas de
Compliance penal, para dotarlos de la adecuada eficacia operativa y jurídica.
• Un modelo de prevención de responsabilidad penal debe perseguir una característica clave: ser
eficaz. La eficacia (incluyendo la jurídica, en su caso) deviene un concepto clave, pues el regulador
pretende evitar que las personas jurídicas eludan su responsabilidad mediante la adopción de
programas de prevención cosméticos y, en esencia, defectuosos o simplemente inservibles.
Tampoco se dejará maniatar por certificaciones, que no tienen per se valor acreditativo de
eficacia alguno. Por ello, en diversas jurisdicciones -y España no es un excepción- se ha advertido
y orientado acerca de los elementos y características que se considerarán para determinar la
eficacia de un modelo de prevención. De la valoración que la autoridad judicial haga finalmente
de dicha eficacia, dependerá la responsabilidad penal de la persona jurídica, en tanto que ésta
podrá ser eximida total o parcialmente de la misma, o bien quedar atenuada la sanción.
• El establecimiento de un modelo de prevención efectivo requiere del compromiso de los órganos

superiores de gobierno y administración, evidenciado en su política, así como con un contar
órgano de vigilancia y control que disponga de los recursos adecuados y las características
precisas, en términos de autonomía, independencia, etc.
• Un modelo eficaz requiere asimismo de una adecuada identificación de riesgos y del

establecimiento de suficientes y adecuados controles e indicadores que permitan la detección
de circunstancias a investigar. Igualmente, disponer de un canal de denuncias será clave para
la obtención de información relevante en beneficio de la efectividad del modelo y la reacción
temprana.
• No hay que olvidar la necesaria y adecuada formación de los empleados y cuadros directivos, e
igualmente la reacción ante incumplimientos, ya que la efectividad requiere de un historial de
firmeza con casos previos de incumplimientos, mediante el uso de herramientas disciplinarias.
• La norma española UNE:19601:2017 de Sistemas de Gestión de Compliance Penal es una norma

certificable que constituye un referente de implantación de un modelo de prevención penal
efectivo y alineado con la regulación española y resto de los estándares relacionados (Compliance,
riesgo, antisoborno), así como de las buenas prácticas internacionales en la materia.
Módulo 13
Prevención del soborno

y de la corrupción
MÓDULO 13 • PREVENCIÓN DEL SOBORNO Y DE LA CORRUPCIÓN
Módulo 13 Siguiendo una definición inspirada en la

que nos ofrecen diferentes organismos
Prevención del soborno y internacionales, la corrupción, o el acto
de la corrupción de sobornar, constituye una conducta de

carácter fraudulento que podría traducirse
Objetivos en: “ofrecer, prometer, dar o aceptar una ventaja
indebida para o por un funcionario público o
un empleado o representante de una empresa
privada, directa o indirectamente, para obtener
o conservar un negocio u otra ventaja ilícita201”
• Conocer los antecedentes y referentes (permisos, inspecciones, procedimientos
normativos en la lucha contra la corrupción. judiciales, contratos…etc).
• Identificar los aspectos esenciales de
Hoy en día la corrupción es perseguida y
un programa anticorrupción y la norma
ISO37001Sistemas de Gestión Antosoborno. sancionada de forma generalizada, aunque
hay que remarcar el cambio de orientación
• Conocer las fuentes de información para
sufrido en los últimos años. Hace años
realizar el análisis de riesgos.
la corrupción fue, al menos en el ámbito
• Comprender la forma de evaluar el riesgo de empresarial, una práctica tolerada por
corrupción. muchos países que no se perseguía de
• Definir los controles anticorrupción, sus tipos, forma efectiva y su vinculación se entendía,
y cómo valorar su efectividad. casi en exclusiva, con la actuación de la
administración pública y el poder político. A
• Identificar los riesgos principales asociados
a la corrupción y a prevenir en cualquier modo de ejemplo se puede decir que, hasta
programa anticorrupción. 1999, el pago de sobornos en el extranjero
no sólo no era ilegal en Alemania, sino que se
podía deducir fiscalmente.
13.1. Introducción y
antecedentes relevantes Pero como decíamos, desde finales del siglo
XX e inicios del XXI, se ha incrementado la
El soborno, la corrupción, o los delitos de
persecución de la corrupción y las penas han
cohecho y figuras anexas, se constituyen
incrementado con dureza.
como un riesgo generalizado cuyo impacto,
tanto para las empresas como para la Este es un hecho que obedece a diversos
sociedad en general, no puede ser ignorado. factores. Uno de ellos es el interés por
integrar en el discurso de prevención de
Pocas empresas tienen un riesgo cero en este
la corrupción el papel, importante por su
ámbito, por lo que necesariamente han de
dimensión, que pueden desempeñar las
adoptar algún tipo de medida preventiva y los
diferentes agentes de la sociedad participan
201 Definición de la Cámara de Comercio Internacional, la Conven-
activamente en esta tarea, como veremos. ción de la ONU contra la Corrupción y Convención de la OCDE.
empresas multinacionales. En este sentido, importancia de la prevención de la corrupción

hay que subrayar el cambio que se ha en el buen funcionamiento de los mercados,
producido en la esfera internacional por un tanto que hoy prácticamente todos los
conjunto de iniciativas multiplataforma que países cuentan con un tipo penal relativo a la
han incorporado a las multinacionales como corrupción en las transacciones económicas
figuras fundamentales en la labor de prevenir internacionales.
la corrupción.
13.1.1. Ley de Prácticas Corruptas
Es en el contexto transnacional, en los últimos en el Extranjero (FCPA) y Directrices
años se ha desarrollado un número creciente [para la formulación] de Sentencias
de iniciativas de normas y estándares (soft de EE.UU
law) que han tratado, y a menudo conseguido,
La referencia a la Ley de Prácticas Corruptas
incorporarse en las diferentes legislaciones
en el Extranjero (FCPA) de 1977 en este y otros
estatales como mecanismos disuasorios de
módulos pueden resultar excesivamente
la corrupción.
redundante, pero ello no es más que la
Singularmente destaca la labor de Naciones muestra del impacto de esta norma en la
Unidas 202
o la Convención de la OCDE 203
función de Compliance, en general, y en
con normas que sancionan la corrupción la lucha contra la corrupción y el fraude
internacional. corporativo, en particular.
Del mismo modo, el papel que han Ya hemos mencionado en el capítulo anterior
venido desempeñando las organizaciones que la FCPA se centraba en dos áreas de la
empresariales de un mismo sector, como corrupción: los sobornos y la falsedad de
el farmacéutico o el energético, a la hora de los libros y registro contables. También se
establecer criterios de prevención comunes 204
recuerda su carácter pionero en la regulación
ha favorecido notablemente la extensión respecto de la política de regalos o los
de las buenas prácticas y disminución de la códigos éticos o de conducta, pero es que la
corrupción. prevención del soborno y la corrupción era la
razón de ser originaria de la norma.
Sin duda, los grandes escándalos de corrupción
originados en grandes corporaciones, la crisis Teniendo como precedente la FCPA, el 1
económica, los agujeros legislativos y la falta de noviembre de 1991 entran en vigor las
de regulación global en muchas áreas del también referidas USFSG (United States Federal
comercio y de la economía internacional han Sentencing Guidelines), las cuales constituyen
ayudado a incrementar la consciencia de la un conjunto de guías y directrices a seguir
por los jueces y tribunales estadounidenses
en el enjuiciamiento de personas jurídicas.
202 Convención de las Naciones Unidas contra la Corrupción
203 Convención de la OCDE sobre el Soborno de Funcionarios Públicos

Estas USFSG surgen como correlativo a lo
Extranjeros en Transacciones Comerciales Internacionales
previamente dictaminado para las personas
204 Partnering Against Corruption Initiative (PACI), Principles for
Countering Bribery. físicas a través de las Sentencing Guidelines for
natural persons, promulgadas en 1987 por la Desde la década de los años setenta la
SEC y que fueron, sin embargo, declaradas no cuestión sobre el alcance de las disposiciones
vinculantes al entender el Tribunal Supremo penales de los estados miembros (EEMM) en
de EE.UU que dichas guías vulneraban relación con los intereses financieros ha sido
la sexta enmienda constitucional. Por su objeto de minuciosos debates.
parte, las USFSG permanecieron vigentes
En este contexto comenzó a detectarse un alto
hasta la actualidad, siendo sin embargo
número de fraudes (fraudes de subvenciones
progresivamente modificadas tras la
por obtención irregular y/o malversación
aprobación en 2002 de la Sarbanes-Oxley Act.
de la subvención) y, sin embargo, los EEMM
13.1.2. Convención anticorrupción no tenían la posibilidad de sancionar tales
de la OCDE infracciones y la UE no tenía competencia
legislativa para dictar normas de carácter
Tal y como se ha explicado en otros módulos penal.
de estos materiales, la Organización para
la Cooperación y el Desarrollo Económico Con la sentencia del Tribunal de Justicia de las
Comunidades Europeas pronunciada en el
(OCDE) adoptó el 21 de noviembre de 1997
Asunto 68/88, de 21 de septiembre de 1989,
la Convención para combatir el cohecho
conocida como la sentencia del maíz griego, se
de servidores públicos extranjeros en
logró una solución por aplicación del artículo
transacciones comerciales internaciones, por
5 del Tratado Constitutivo de la Comunidad
(en adelante, “Convención de la OCDE”).
Económica Europea cuyo fundamento pasó a
La Convención de la OCDE surge como consagrarse como principio de asimilación.
consecuencia de lo dictaminado por el
Artículo 5: “Los Estados miembros adoptarán
Consejo de la OCDE en su “Recomendación
todas las medidas generales o particulares
Revisada para combatir el cohecho en las
apropiadas para asegurar el cumplimiento de
transacciones comerciales internacionales”,
las obligaciones derivadas del presente Tratado
de 23 de mayo de 1997, donde se reivindica
o resultantes de los actos de las instituciones
la adopción de medidas eficaces para
de la comunidad. Facilitarán a esta última el
disuadir, prevenir y combatir la corrupción de
cumplimiento de su misión (…)”
autoridades públicas extranjeras.
El principio jurisprudencial del caso encontró
13.1.3. La repuesta de la Unión finalmente su expresión directa en el Título VI
Europea (el llamado “Tercer Pilar”) del Tratado de la UE
(Maastricht, 1992), relativo a la cooperación en
En el caso europeo, conviene hacer una
los ámbitos de Justicia y Asuntos de interior.
breve recapitulación de los antecedentes
más relevantes en materia de corrupción y la Posteriormente, con el Tratado de Ámsterdam,
necesidad de instituir la responsabilidad penal de de 2 de octubre de 1997, se impone tanto a la
las personas jurídicas, vinculada a la normativa Comunidad como a los Estados miembros ”la
supranacional de la Unión Europea (“UE”). función de combatir el fraude y toda actividad
ilegal que afecte al presupuesto de la Unión - Protección de empleados y beneficio

Europea”205. para los que denuncien de buena fe
prácticas corruptas de la empresa.
En este contexto, las Recomendaciones
- Especiales normas sobre cuentas
y trabajos que abordaron la necesidad
anuales y auditorías externas.
de instituir la responsabilidad penal de
las personas jurídicas reflejan una larga 13.1.4. Ley Sarbanes-Oxley Act
preparación y en materia de prevención de la (SOX)
corrupción.
Tras el escándalo gubernativo del Watergate
Los Convenios que han marcado las y la aprobación de la Ley de Prácticas
legislaciones de los EEMM en la incorporación Corruptas en el Extranjero (FCPA) en 1977,
de la persecución de la corrupción cometida la Ley Sarbanes-Oxley (en adelante, SOX) de
por las personas jurídicas, bien sea por la 2002 constituye otro verdadero punto de
vía administrativa o penal, así como en la inflexión en los programas de Compliance
tipificación de los delitos de corrupción son: y en la lucha contra la corrupción ya que, a
• Convenio penal sobre la corrupción del partir de ella, las exigencias en esta materia
Consejo de Europa (1999), (nº 173 del se hicieron más estrictas y extensas, tanto en
Consejo de Europa), Estrasburgo 27 de EE.UU como en Europa.
enero de 1999.
Entre otros avances, SOX supone la
• Convenio civil sobre la corrupción del Consejo prohibición de préstamos personales
de Europa (1999), (nº 174 del Consejo de a directores y ejecutivos, exige la
Europa), Estrasburgo 24 de noviembre independencia de la firma auditora,
de 1999. Las características esenciales requiere que los informes financieros estén
merecen ser destacadas brevemente: certificados por personas competentes
para ello, otorga una mayor protección a los
- Cooperación internacional en la lucha
empleados en caso de fraude empresarial,
contra la corrupción a través del
endurece la responsabilidad civil y penal de
establecimiento de acciones civiles
las empresas y crea una comisión especial
para la reparación del daño (daños
encargada de supervisar las auditorías de
patrimoniales, lucro cesante y daños
las compañías que cotizan en bolsa, la Public
no patrimoniales) de personas que
Company Accounting Oversight Board.
hayan sufrido daños resultantes de
actos de corrupción. 13.1.5. Ley Antisoborno de 2010
- Posible declaración de invalidez o (Reino Unido)
nulidad de contratos o cláusulas
La ley antisoborno del Reino Unido (Bribery
contractuales que tengan origen en
Act) publicada en 2010 comparte con la FCPA
un acto de corrupción.
su vocación extraterritorial. Asimismo, es
205 BACIAGALUPO, E., en Curso de Derecho penal económico, pág. 434. una de las leyes más restrictivas en relación
con las conductas ilegales realizadas por las El Ministerio de Justicia del Reino Unido
organizaciones. emitió una Guía (Guidance to the UK Brivery
Act) que establece las reglas de prevención
Sus líneas directrices arrojan luz sobre los
para empresas de cualquier tamaño y sector.
procedimientos adecuados que cualquier
“relevant organisation”, es decir, toda empresa 13.2. Principales aspectos de
u organización que desarrolle actividades un programa de Compliance
de cualquier tipo en el Reino Unido deberá
anticorrupción
cumplir: en el caso de que una empresa
no pueda probar el cumplimiento de los En octubre de 2016 fue publicada la Norma
mencionados procedimientos y en el caso de ISO 37001 Sistemas de Gestión Antisoborno
que se produzcan casos de corrupción en su (en adelante ISO 37001), que cuenta también
seno, esta incurrirá en responsabilidad penal con su versión española, UNE-ISO 37001:2017.
y se expondrá a la imposición de multas
La norma ISO 37001 ofrece a la comunidad
elevadas.
internacional el primer estándar global que
Haciéndose eco de las tendencias actuales, recoge buenas prácticas para la prevención,
reduce notablemente el nivel de tolerancia detección y respuesta ante el soborno, tanto
respecto de la comisión de ilícitos. Esto se en el sector público como en el privado en los
traduce, por ejemplo, en el tratamiento más que, sin duda, se convertirá en un referente
restrictivo de los “pagos de facilitación”, o en interpretativo obligado.
la insistencia en que los ilícitos de corrupción,
Basándonos en lo establecido en el
tanto pueden cometerse por empleados de
mencionado estándar certificable, vamos
la organización como a través de terceros.
a continuación a desarrollar los principales
En general, esta norma es una vuelta más de
aspectos de un programa de prevención de
tuerca en la lucha contra el soborno.
la corrupción en la organización, siguiendo
un esquema similar al que hemos estado
utilizando al exponer otras normas de este
ámbito.
13.2.1. Entender la organización y

su contexto
Siguiendo la ISO 37001, la corrupción y el

soborno, como áreas de gestión empresarial,
deben ser tratadas desde una doble
perspectiva: la externa y la interna.
Por ello, la primera tarea a la que se

enfrentan las organizaciones a la hora de
prevenir el fraude, la corrupción y cualquier
otro ilícito, viene dada por comprender la Del código ético se desprenden, a su vez,
propia organización y su entorno. Es decir, los criterios de Compliance, es decir, a qué
quién es, dónde está, con qué medios cuenta normas obligatorias o voluntarias se adhiere
y dónde quiere ir. O, dicho de otro modo, la la organización. La praxis demuestra que, en
organización debe determinar los problemas gran medida, el comportamiento empresarial
externos e internos que son relevantes para (y personal) está regido por normas de
su propósito y que afectan su capacidad para adhesión voluntaria, las denominadas
lograr los resultados deseados. “buenas prácticas” o “ética empresarial”. La
confianza, la motivación, la cooperación, la
El objetivo principal de este análisis preliminar
negociación, la conquista de nuevas áreas
es diseñar un sistema eficaz en el seno de
comerciales y, especialmente, la reputación
la organización, por tanto, un sistema de
comercial y personal dependen en no pocas
Compliance adecuado y realizable, evitando
ocasiones de modos de hacer no reglados
la simulación, la mera formalidad o los
oficialmente.
denominados Compliance cosmético206,
ya que las medidas de prevención de la La cultura organizativa debe asentarse, por
corrupción se enmarcan, finalmente, en tanto, en un sólido modelo de valores y
este tipo de sistemas de prevención y principios que guíe la actuación corporativa,
cumplimiento207. resultando mucho más eficaz que la simple
imposición normativa, de conformidad con la
En este sentido, partiendo de la “visión” y de
tendencia internacional y nacional. Este tipo
la “misión” de la organización, esta podrá
de políticas de Compliance se encuentran
obtener un “modo de hacer” acorde con su
vinculadas, de hecho, con la evolución de la
estilo y cultura que le permitirá, a su vez,
responsabilidad social corporativa (RSC).
trazar un plan de acción apropiado.
Así, uno de los informes publicados por Global
Este tipo de planes de acción se materializan
Reporting Initiative (GRI) denominado “The
en procedimientos que siguen el esquema
Transparent Economy”, con la mirada puesta
clásico de las normas en materia de calidad.
en el año 2020, diagnosticaba la necesidad
Parte del resultado de esta fase inicial se verá
de avanzar en la generación de una ética
plasmado, con posterioridad, en el código
empresarial sólida y en la lucha contra la
ético o de conducta, que se constituye como la
economía sumergida. Además, subraya
norma base de la organización y supone una
la importancia de una buena política de
recopilación de los principios de actuación.
responsabilidad corporativa haciendo a las
empresas más competitivas al minimizar sus
206 NIETO MARTÍN, ADÁN. “Cosmetic Use and Lack of Precision in Com- riesgos y mejorar su imagen y credibilidad
pliance Programs: Any Solution?” Revista EUCRIM, 2013; Fiscalía
General del Estado en su Circular 1/2016, para referirse a los ante los grupos de interés, que se analizan en
programas de cumplimiento ineficaces jurídicamente, utiliza el
término “maquillaje”. el próximo apartado.
207 La ISO 37001 es integrable y compatible con otras normas y es-
tándares (ISO 37301:2021 Sistemas de Gestión de Compliance,
que reemplazó a la ISO19600). Esto indica que la prevención del
soborno es parte de la prevención delictiva.
Análisis interno y externo: análisis importante, perjudican tanto a las necesidades

DAFO y expectativas de los tres grandes grupos de
interés que rodean y, hasta cierto punto, dan
Una posible metodología para el análisis sentido, como a la actividad empresarial.
interno y externo podría ser lo que en
términos de estrategia empresarial se Nos referimos por un lado a: (i) los clientes y
denomina análisis DAFO. consumidores; (ii) los accionistas, inversores,
contratistas y proveedores, incluyendo en
Este análisis es un estudio de la situación
ellos a los propios trabajadores y directivos; y
de una empresa o un proyecto, analizando
por otro a (iii) la administración pública:
sus características internas (debilidades y
fortalezas) y su situación externa (amenazas
y oportunidades) en una matriz cuadrada.
Proviene de las siglas en inglés SWOT

(Strengths, Weaknesses, Opportunities and
Threats) y en el contexto del análisis de
riesgos de tipo jurídico penales, constituye
una metodología útil.
A continuación, se enumeran una serie de

factores externos e internos que pueden ser
Grupos de interés. Elaboración propia.
tenidos en cuenta a la hora de realizar un
análisis de la organización para el diseño de • Los clientes y consumidores: Son el
medidas eficaces en materia de prevención destinatario final de los productos y
de la corrupción: servicios que generan las empresas.
Como tales, es esencial que la actividad de
las empresas garantice, en primer lugar,
una publicidad e información rigurosa
sobre las características de los productos
que se le presentan en el mercado.
• Los accionistas, contratistas,

proveedores, trabajadores y directivos
de la compañía: Inversores y accionistas
13.2.2. Entender las necesidades
de las empresas, dispuestos a canalizar
y expectativas de los grupos de
en el mercado sus ahorros y que, de un
interés
modo o de otro, les dan así un necesario
Pocos términos generan tanta desconfianza, respaldo financiero. Del mismo modo,
inseguridad y reproche como el de sobornar también hay que prestar atención a
o corromper. Y, lo que es sin duda más las expectativas y necesidades de sus
contratistas y proveedores, cuya actividad priorización de sus riesgos y conozca cuáles

y rendimiento económico dependen debe controlar en primer lugar, trazando un
también del correcto comportamiento de plan de actuación y asignando los recursos
las empresas. Y en estrecha relación con necesarios al efecto.
lo anterior, a los propios trabajadores y
El correcto análisis de riesgos permitirá,
directivos de la compañía.
por ende, que la empresa (potencialmente)
• La administración pública: La se organice adecuadamente, por lo que se
corrupción tiene una incidencia directa constituye como una herramienta esencial a
con las necesidades y expectativas efectos de Compliance.
que tiene la administración pública, en
tanto que garante de la legalidad de la En este sentido se han ido manifestando las
actuación de las empresas y, al mismo distintas legislaciones nacionales en torno al
tiempo, gestor (inevitable) de parte de régimen de responsabilidad de las personas
la riqueza que estas generan. Y, por jurídicas y los programas de Compliance.
supuesto, y en determinados mercados,
Las ya conocidas USFSG208 norteamericanas,
como organismo regulador.
de una forma nítida, señalan que “la
Así, delitos contra la Hacienda Pública y la organización debe evaluar periódicamente el
Seguridad Social, la corrupción, el cohecho riesgo de que se cometan conductas delictivas
y el tráfico de influencias, o el fraude de y deberá tomar las medidas apropiadas
subvenciones, entre otros, constituyen para reducir el riesgo de que se cometan las
el marco penal con el que se protege conductas delictivas que se han identificado a
a la administración pública. Con estos través de ese procedimiento”.
delitos, además, se busca garantizar la
Asimismo, señalan que en la evaluación del
real y leal contribución de las empresas al
riesgo debe tenerse en cuenta:
sostenimiento de los servicios sociales y las
cargas públicas. Igualmente, una obstrucción
Naturaleza y gravedad de dicha
a la actividad inspectora de los organismos
conducta delictiva;
reguladores constituye un ilícito penal de
especial relevancia.
Probabilidad de que se produzcan
13.2.3. Evaluación del riesgo de determinadas conductas
corrupción delictivas como consecuencia del
tipo de negocio que desarrolla la
El objetivo principal de la evaluación de organización;
riesgos en materia de corrupción supone
entender mejor su exposición, de manera Historial previo de la organización.
que la empresa pueda tomar decisiones
más informadas en cuanto a su gestión. Ello
permitirá, además, que la empresa realice una Especial mención merece la corrupción, la cual
208 Manual de la USSC
es producto de una negociación efectuada al de la organización que participarían en el

margen de las interacciones regulares entre proceso. Es altamente recomendable la
la compañía y un tercero, funcionario o no. participación activa de la alta dirección,
así como de los mandos intermedios o
El juego de complicidades para la obtención
responsables operativos, para explorar los
de beneficios ilícitos se desarrolla en un
riesgos con más detalle. El objetivo es abordar
escenario subterráneo al que es difícil
el (sensible) tema de la corrupción para lo cual
acceder por observación directa. Estas
resulta útil la identificación del procedimiento
características hacen que el fenómeno de la
y parámetros de análisis.
corrupción presente, desde el punto de vista
metodológico, dificultades considerables Si una empresa desea identificar su exposición
para su diagnóstico y evaluación. Aun así, y se compromete a realizar una evaluación
su conocimiento es el punto de partida de efectiva del mismo, debe considerar:
toda empresa que quiera empezar a trabajar
• ¿Quién es el propietario del proceso y
en materia anticorrupción elaborando un
cuáles son los grupos clave de interés?
programa de Compliance.
• ¿Cuánto tiempo se invertirá en el proceso?
En los siguientes pasos se describe un método
estructurado que las empresas pueden • ¿Qué tipo de datos se debe recolectar y
seguir para realizar su evaluación respecto a cómo?
este tipo de riesgos delictivos209. • ¿Qué recursos internos y externos se
necesitan?
El ejercicio de evaluación del riesgo de
cada empresa es único, dependiendo del • ¿Qué marco se empleará para documentar,
negocio, estructura, ubicación, etc. de cada medir y gestionar los riesgos?
una. Asimismo, la evaluación puede ser
realizada por un equipo interno o externo a Identificación de riesgos
la compañía, si bien el equipo externo gozará
En este paso, la empresa identificaría,
de mayor independencia a la hora de evaluar
en primer lugar, los factores de riesgo
los riesgos otorgando una mayor objetividad
(externos e internos) que podrían producir
a los resultados.
la materialización del riesgo que se pretende
Un entendimiento de los riesgos y evitar (¿por qué podría haber corrupción en
consecuencias legales potenciales derivados nuestra empresa?).
de la corrupción es prerrequisito para una

De otro lado, habrá de localizarse ese riesgo
evaluación efectiva. Por lo tanto, es necesario
concreto al interno de la organización, bien
crear conciencia entre los miembros clave
por actividades/procesos/áreas (¿cómo se
cometerían actos de corrupción en nuestra
209 Siguiendo la sección del Manual de ética anticorrupción y cumpli- empresa?).
miento para empresas del Grupo de Evaluación de Riesgos del
Pacto global de las Naciones Unidas sobre el décimo principio Identificación de riesgos: Preguntas a
contra la corrupción y la ISO 37001 ABMS.
responder i. Informes de auditoría interna sobre

Durante esta etapa la organización podría riesgos de Compliance;
plantearse las siguientes cuestiones:
ii. Histórico de incidencias fraudulentas o
• ¿En qué parte de nuestro proceso comercial hay
corruptas, así como incumplimientos
exposición al riesgo de, por ejemplo, estafa?
internos;
• ¿Realizamos transacciones con funcionarios?;
¿y con terceros? iii. Casos de corrupción en el sector, o
• ¿Este tipo de transacciones podría generar un en los distintos países donde opere la
riesgo de soborno? compañía;
• ¿Realizamos regalos, patrocinios?; ¿disponemos
de una política de gastos de representación?; iv. Análisis de las áreas y actividades
¿realizamos donaciones?; ¿disponemos de un específicas de interacción potencial
registro? directa o indirecta con grupos de interés
• De los territorios donde opera la organización, que puedan afectar a alguna modalidad
¿cuáles presentan más riesgo de corrupción?; de soborno o corrupción;
¿en qué países se castiga y en cuales está
socialmente aceptada? v. Entrevistas con personas que cumplen
• ¿Qué parte de nuestro circuito financiero funciones jurídicas, de gestión de riesgos,
presenta riesgo de fraude contable? ética y Compliance, auditoría interna y
• ¿Qué mecanismos de pago y de cobro adquisiciones, así como la alta dirección
empleamos? de la empresa y responsables de las
distintas áreas;
Las organizaciones tienen varias formas de
recolectar datos e información sobre por qué y vi. Encuestas, incluyendo autoevaluación de
cómo se producen los riesgos. Estas incluyen: empleados, terceras partes, etc.;
vii. Talleres o tormenta de ideas para

explorar riesgos en las distintas
actividades propias de la compañía.
Identificación del riesgo inherente
Para asignar recursos de manera eficiente

y efectiva a los riesgos identificados en las
distintas actividades/procesos/áreas de una
empresa, una buena práctica consiste en
clasificar tanto la probabilidad de ocurrencia
como el potencial impacto de dicha
ocurrencia.
El objetivo es asignar un orden de prioridad a

las respuestas a estos riesgos en un formato
lógico con base en una combinación de las La información sobre los controles
posibilidades que tiene el riesgo en sí mismo relevantes se puede obtener a través de
de producirse y su impacto potencial en caso diferentes medios. Aunque la revisión de la
de materialización. documentación de controles y procesos es
generalmente un paso clave, los controles
Lógicamente, se trata de una clasificación
relevantes también pueden ser identificados
con algún tinte de subjetividad, ya que
mediante entrevistas y encuestas
se verá influenciada por la experiencia y
específicas realizadas a los miembros clave
antecedentes de las personas involucradas
de la compañía, quienes pueden ayudar a
en el proceso de evaluación.
identificar apropiadamente los controles.
La combinación de las evaluaciones de la

Además, durante esta etapa, el equipo o la
probabilidad y del impacto potencial de cada
persona que lidere el esfuerzo de evaluación
actividad/proceso/área de corrupción resulta
del riesgo de corrupción podría evaluar de
en una evaluación del riesgo inherente
forma conjunta con los propietarios de los
(nivel general de riesgo sin considerar los
controles si estos en realidad funcionan.
controles existentes). Por tanto, se trata
de un riesgo “bruto”. La clasificación puede Es una práctica común seleccionar varios
darse en términos cualitativos (riesgo alto/ controles para cada riesgo, por lo que pueden
medio/bajo) o cuantitativos. ser útiles las reuniones de trabajo. Al final
de esta etapa, la empresa probablemente
Identificación y clasificación de
tenga ya identificados los controles de
controles de mitigación
mitigación relevantes para cada riesgo y
Ya identificados los riesgos de corrupción actividad, proceso, o área identificados en el
en la organización, el equipo de evaluación paso anterior.
debe considerar los controles existentes y

Existen varias formas de clasificar y valorar
las actividades de mitigación de cada riesgo
la efectividad de los controles de mitigación.
identificado.
Se podría emplear una escala cualitativa
Esto es importante porque los controles para clasificar cada riesgo en relación con
deben ser proporcionales a la probabilidad el conjunto de controles que lo mitigan, ya
y a los resultados potenciales de una mala sea como: efectivo/bajo riesgo, parcialmente
conducta. efectivo/riesgo medio o ineficiente/alto

riesgo, o en su lugar, una escala cuantitativa
Al documentar los controles, la empresa con puntajes numéricos.
debe diferenciar entre controles específicos
de la actividad/proceso/área y controles
generales (a nivel de entidad), así como los
controles preventivos y los de detección.
Identificación del riesgo residual inherente y los controles, se puede emplear

una escala similar para el riesgo residual.
Por otra parte, si se desgrana la evaluación

de los riesgos inherentes y de los controles,
podría suceder que, al identificar un control
como efectivo para mitigar un riesgo
inherente alto, el riesgo del control sería bajo
y el riesgo residual probablemente se definiría
también como bajo. Por último, se podrían
asignar rangos de puntajes para determinar
Esquema para la evaluación del riesgo corporativo. si el riesgo residual es bajo, medio o alto.
Fuente: Sylvia Enseñat (2016), p 87, Manual del Compliance Officer
(Thomson Reuters)
Desarrollo de un plan de acción
El riesgo residual es el remanente de riesgo
Una vez que la empresa obtiene el resultado
que queda después de considerar el impacto
de la evaluación de riesgo residual de cada
de los controles de mitigación sobre la
actividad/proceso/área en relación con los
reducción del riesgo “bruto” o inherente,
riesgos de corrupción, el equipo evaluador
como ya se vio en el módulo 7 de estos
podrá determinar si se requieren acciones
materiales.
de mejora o si el grado de cobertura es el
A pesar de los programas específicos de deseado. Es lo que se denomina, siguiendo
anticorrupción y políticas antifraude, además la terminología anglosajona “gap analysis”, al
de los controles internos transversales o análisis de deficiencias o lagunas.
generales de mitigación de riesgo delictivo, es
Un factor determinante del plan viene dado
probable que persista algún tipo de riesgo.
por el nivel de tolerancia de riesgos, el cual
Por tanto, como resultado, siempre quedará varía de una empresa a otra. Los riesgos de
algún nivel de riesgo residual o “neto” por corrupción que presentan un riesgo residual
cada actividad/proceso/área en el ámbito de ubicado dentro del rango de tolerancia fijado/
la corrupción. aprobado por los órganos de gobierno de la
empresa no requieren medidas adicionales.
Una evaluación del riesgo residual es
entonces un elemento importante que se En cambio, los riesgos que presentan un nivel
puede utilizar para evaluar si los controles residual por encima del rango de tolerancia
existentes son efectivos y proporcionales al fijado/aprobado, sí requieren que se tomen
nivel del riesgo inherente. Tal como sucede medidas para reducir dicho riesgo. Ese es
con el riesgo inherente, hay un elemento de el objetivo del plan de acción, definir las
juicio al evaluar el riesgo residual de cada medidas que ayuden a mejorar el sistema de
riesgo. Si se aplicó una escala cualitativa prevención de la organización.
tipo alto/medio/bajo para clasificar el riesgo
En cuanto al registro de la evaluación de los multitud de ejemplos de normas, estándares

riesgos, generalmente se documenta usando y buenas prácticas (soft law) y legislación (hard
hojas de cálculo o plantillas de bases de datos law) internacional, cada vez más homogéneos.
detalladas con aquellos parámetros que el
equipo evaluador considere necesarios. A su Así, hay dos ejemplos básicos: el primero es
vez, cada actividad/proceso/área de riesgos la “Guía de Buenas Prácticas sobre Controles
se puede documentar individualmente. Internos, Ética y Cumplimiento” de la OCDE

(2010), que recoge, entre otras, “el apoyo y
Ese registro también se puede utilizar para compromiso sólidos, explícitos y visibles por
documentar las clasificaciones de cada parte de la alta dirección de los controles
riesgo, así como los programas y controles internos y programas éticos y de cumplimiento
que mitigan cada riesgo. De este modo, de la compañía”: el otro ejemplo viene dado
se posibilita la evaluación periódica de los por las USFSG de EE.UU, en cuya versión
controles por parte de sus responsables y de noviembre de 2009, apartado 8 B2.1, se
se facilita la tarea de verificación, externa establece que el programa de Compliance se
o interna, de la evaluación, así como la considerará efectivo cuando, entre otras, se
actualización de los riesgos de corrupción por cumpla la siguiente condición:
parte del equipo evaluador u órgano/persona
responsable de ello. Personal de alta dirección de la compañía,
incluidos sus órganos directivos, debe
13.2.4. Compromiso de la alta encargarse de supervisar la aplicación y
dirección efectividad del programa. Además, debe
De manera análoga a lo exigido en otros delegarse en personas concretas dentro de
sistemas de gestión, el compromiso de la la organización la responsabilidad por la
alta dirección y de los órganos de gobierno aplicación del programa. Estas personas
se configura como el punto de arranque de han de reportar periódicamente al órgano
todo sistema de gestión y prevención de la de administración de la compañía.

corrupción. Se trata del “tone from the top”,
En el ámbito nacional, el Real Decreto
que implica la tolerancia cero por parte de la
Legislativo 1/2010, de 2 de julio, por el que
alta dirección ante la corrupción.
se aprueba el texto refundido de la Ley
Por tanto, las políticas de prevención, de Sociedades de Capital, incluye como
detección y reacción frente a los riesgos competencia indelegable del consejo de
generales y, debido a la complejidad que administración de las sociedades cotizadas
presenta, muy especialmente, frente a los la determinación de la política de control y
riesgos de corrupción deben ser impulsadas gestión de riesgos.
abiertamente por la dirección de la
En la misma línea el art. 31 bis 5.2 del CP, en
organización.
relación con el Compliance establece que:
En el ámbito de los deberes de la alta dirección “Establecerán los protocolos o procedimientos
y de los órganos de gobierno encontramos que concreten el proceso de formación de la
voluntad de la persona jurídica, de adopción materia de prevención de la corrupción y,

de decisiones y de ejecución de las mismas en general, de Compliance, y siendo estas
con relación a aquellos”. formalmente aprobadas por el órgano
de gobierno. En caso de que la sociedad
Dicho precepto, en efecto, implica que
cuente, además, con un comité u organismo
los órganos de gobierno deben tener una
de dirección, sería también recomendable
efectiva intervención en la confección y
que este se adhiera a la política marcada
supervisión de los modelos de gestión de
por la organización, impulsando y haciendo
Compliance. Lo cual no es óbice para que
efectivos los objetivos perseguidos.
se deleguen determinadas facultades de
ejecución del modelo siempre y cuando las Además, las políticas y procesos de la
personas delegadas reúnan los requisitos organización no cumplirán simplemente
que, razonablemente, deben concurrir. lo estrictamente legal, deberán ir más
allá y definir códigos voluntarios y valores
Con todo, mediante los canales de
fundamentales de la organización, según
comunicación y herramientas de seguimiento
hemos comentado en el apartado segundo
(en forma de planes de supervisión, informes
anterior. Ello se materializa, por ejemplo,
periódicos, etc.) será la alta dirección quien
impulsando desde la alta dirección el
deba asumir el compromiso de revisar
comunicado sobre la importancia de una
el modelo implementado a intervalos
gestión de Compliance eficaz, mediante
planificados, para asegurar su idoneidad,
campañas de sensibilización, formación, etc.
adecuación y eficacia continuadas.
Pero también dando ejemplo, un liderazgo
Por la propia configuración de un modelo de claro precisa de hechos y políticas de
Compliance idóneo, el cual debe asentarse, aplicación transversal.
como decíamos, sobre una sólida cultura

De otro lado, no debe olvidarse que premiar
del Compliance, implica que la alta dirección
y castigar los comportamientos constituyen
juegue un rol fundamental en su diseño,
una pieza clave en materia de Compliance.
implementación y supervisión.
Así, que el órgano de gobierno y/o la alta
Haciéndose eco de esta relevancia, la dirección adopten un sistema claro y preciso
ISO 37001 dedica un extenso capítulo al de incentivos y de castigo que sea aplicable
liderazgo con expresión de una serie de también, en primer lugar, a los altos cargos,
recomendaciones; la principal lectura permitirá potenciar el sistema de prevención.
permite concluir que el liderazgo y

compromiso deben demostrarse en la
práctica.
Ello puede materializarse estableciendo y

defendiendo los valores fundamentales;
estableciendo políticas y objetivos de en
Caso de estudio XII: Siemens Pautas de ejemplaridad del personal directivo
En el año 2007, cuando Siemens cumplía 160 El personal directivo debe poner en práctica las
años de historia y tenía operaciones en más de “pautas de ejemplaridad”, garantizando que la
190 países, la compañía sufrió un daño mediático tolerancia cero a la corrupción y las políticas y
al ser motivo de titulares con mensajes muy los procedimientos detallados de apoyo sean
negativos sobre su imagen (ver caso de estudio comprendidos por todos los empleados y socios
VIII, módulo 6). Además del daño a su imagen y comerciales relevantes. El personal directivo ha de:
negocio, el importe de las multas que debió pagar
Garantizar el compromiso en toda la empresa: Es
a las autoridades estadounidenses y europeas
responsabilidad del personal directivo garantizar
superó los 1600M de euros, lo que constituyó todo
que todos los empleados y socios comerciales
un récord, aunque proporcional a la dimensión del
relevantes estén al tanto de los valores y las normas
escándalo y su extensión.
de la empresa, incluyendo las consecuencias de
Una de las principales conclusiones de las no adherirse a la política de tolerancia cero a la
investigaciones realizadas fue que la cultura corrupción de la empresa. En las empresas grandes,
corporativa había fallado en lo que a Compliance el personal directivo no puede establecer contacto
se refiere. Esta conclusión derivó en nuevos regular con todos los empleados. Por lo tanto,
nombramientos de puestos clave a lo largo del es importante que el personal directivo superior
año 2007, como el del presidente del Consejo garantice que las “pautas de ejemplaridad” sean bien
de Vigilancia y el del presidente y CEO. Además, comprendidas y expresadas en todos los niveles
el Consejo de Administración se cambió jerárquicos de la empresa (por ejemplo, los niveles
prácticamente en su totalidad. de dirección medios). Los niveles medios, inspirados
y motivados por las “pautas de ejemplaridad”, deben
El nuevo presidente y CEO, Peter Loescher, el demostrar una adhesión tangible al programa
primero externo a Siemens en toda su historia, dejó anticorrupción de ética y cumplimiento.
bien clara su opinión en un discurso que en el que
se refirió a este cambio radical: “Solo los negocios Establecer responsabilidades: El personal directivo
limpios son negocios Siemens: Compliance, como tiene la responsabilidad general de aplicar y mejorar
parte de la responsabilidad corporativa, es nuestra continuamente el programa anticorrupción de
máxima prioridad”. A todas las jefaturas de ética y Compliance. Como ya se ha expresado,
Siemens se les encomendó desplegar este mensaje en las empresas grandes el personal directivo
a lo largo de la organización y se mantuvieron no puede participar en las actividades operativas
reuniones con los empleados y las jefaturas cotidianas. Por consiguiente, puede asignar esas
locales sobre la importancia del Compliance. Estas responsabilidades a personal clave dentro de la
actividades continúan en marcha desde entonces. empresa (v. gr., el director de Compliance). Ello
debe incluir no solamente las responsabilidades
Fuentes: operativas de la aplicación y el mantenimiento
• Peter Löscher: Siemens Needed a New Corporate continuo del programa anticorrupción de ética y
Ethic, Graduate School of Standford Business. cumplimiento, sino también las responsabilidades
• Siemens and the battle against bribery and corruption. de supervisión del programa.
www.corruptie.org Proveer suficientes recursos: Para reafirmar la
importancia del programa y la sinceridad del
personal directivo, resulta clave que la empresa
asigne recursos suficientes para la aplicación y la
mejora continua del programa.
13.2.5. Política antifraude y Objetivo

anticorrupción
La Política Anticorrupción, cuyo objetivo
La transparencia es un elemento fundamental por tanto es prevenir y castigar cualquier
en la lucha contra el fraude y la corrupción y conducta que pueda implicar soborno, con
consiste en hacer público qué se hace y cómo funcionario público, o entre particulares,
se hace, implicando a los diferentes grupos de debe declarar, de forma explícita, la
interés (empleados, clientes, inversores, etc.) tolerancia cero de la organización a esas
y abriéndose a su posible fiscalización. Así, conductas.
en el marco de un programa de Compliance,
Puede formar parte de un modelo
la empresa debería contar con una política
anticorrupción específico (siguiendo pautas
específica anticorrupción.
ISO 37001), en cuyo caso, debe designarse
Lo cierto es que en numerosos países persona de la organización encargada de su
la existencia de un Programa o Política supervisión o bien integrarse dentro de un
Anticorrupción es una exigencia legal para modelo de Compliance general.
que la administración pública considere la
posibilidad de contratar con una empresa. Alcance
Probablemente sea EE.UU el país que mayor
La Política Anticorrupción debe extenderse a
grado de desarrollo muestre en esta materia.
toda la organización, a todas las operaciones
En concreto, desde el año 2008, se ha venido de la misma en cualquier parte del
implementando en EE.UU un sistema de mundo, incluyendo filiales o sucursales,
contratación en virtud del cual, para poder ser agentes, vendedores, consultores u otros
siquiera una entidad capaz de contratar con la representantes, así como socios de join
administración pública federal, debe contar con ventures que formalice.
un programa de cumplimiento anticorrupción.

Contenido
En líneas generales, los programas
La Política Anticorrupción debe asimismo
anticorrupción referidos a la contratación
incluir la designación de una persona de la
federal se asientan sobre cuatro premisas
organización encargada de supervisar su
básicas: integridad al tratar con funcionarios
correcto desarrollo y su debido cumplimiento.
federales (prohibición de promesas, dádivas o
recompensas; prohibición de ofrecer puestos Dentro de las distintas modalidades de
en el sector privado tras abandonar el servicio Política antifraude y Anticorrupción, podemos
público, etc.); honestidad en el intercambio encontrarnos con políticas de tipo “básico”
de información (prohibición de cualquier tipo o “avanzado”, según su alcance geográfico,
de falsedad documental, etc.); consolidación su aplicación al personal de la empresa,
de relaciones éticas con terceras partes filiales y cadena de suministro, así como el
(prohibición de comisiones ilegales o kick- cumplimiento de los siguientes elementos:
backs, etc.); fomentar la competencia leal.
• Explicación de los riesgos penales • Previsión de la actualización;

(modalidades tipificadas de fraude y
• Política pública y disponible.
corrupción);
Por tanto, una sólida Política Antifraude y
• Ejemplificación de zonas grises o alertas
(red flags); Anticorrupción sirve, además de para reducir
al máximo las zonas grises, para orientar
• Prohibición explícita de dar y recibir el comportamiento de los empleados de
sobornos; la empresa en ámbitos poco nítidos que
• Prohibición explícita de falsear o resulten inevitables (comportamientos de
proporcionar información inveraz; dudosa interpretación).
• Obligación de colaborar con las Es importante por ello que contenga

autoridades fiscales; mención expresa a los casos difíciles,
recogiendo detalladamente estos supuestos
• Obligación de mantener y registrar una
y adecuándolos a la actividad propia de la
imagen financiera y contable fiel;
organización, desde el punto de vista de
• Compromiso de cumplimiento de todas la orientación normativa. Este supone el
las leyes y normas de los países en los que grueso de la política. En todo caso, debe
desarrollan sus operaciones; prever la posibilidad de que el personal de la
organización pueda consultar cualquier duda
• Compromiso explícito de cumplimiento
de restricción y control de pagos de sobre un comportamiento dudoso y, como
facilitación; veremos, la obligación expresa de denunciar

cualquier irregularidad o incumplimiento de
• Compromiso explícito y restricción del la política antifraude y anticorrupción.
ofrecimiento y recepción de regalos;
La mera aprobación de una política genérica
• Fijación de cuantías máximas en gasto de
o abstracta o, incluso, una que simplemente
representación y dietas;
recoja las disposiciones legales o directrices
• Transparencia de cualquier tipo de del sector no resulta suficiente, tal como ha
donación política y existencia de declarado reiteradamente la jurisprudencia
un procedimiento de aprobación e italiana o estadounidense. Ello entronca,
información respecto a esas donaciones; a su vez, con el necesario plan formativo al
respecto, que veremos con posterioridad.
• Extensión de la política a los grupos
de interés y a la cadena de suministro 13.2.6. Canal de denuncias
(proveedores, subcontratas);
El canal de denuncias deberá estar accesible
• Obligación de comunicar cualquier
para cualquier cuestión, duda o denuncia
sospecha de un acto contrario a la política;
relacionada con las medidas antisoborno y
• Advertencia de la imposición de sanciones anticorrupción. Respecto a los detalles nos
disciplinarias ante el incumplimiento; remitimos al módulo 9 de estos materiales.
13.2.7. Formación y concienciación La entidad dará los pasos necesarios para

comunicar periódicamente y de forma
Según venimos sosteniendo, la función práctica sus estándares y procedimientos, y
de Compliance debe ser impulsada desde
cualesquiera otros aspectos de su programa
las más altas esferas de la organización,
de ética y cumplimiento, a los miembros
contribuyendo al establecimiento de una
del órgano de gobierno, el personal de alto
verdadera cultura ética.
nivel, el personal con autoridad sustancial
Al otro lado del tablero, podemos situar a las en esta materia, los empleados y, en su caso,
organizaciones cuyo ambiente o cultura sea los agentes y representantes. Esta tarea se
proclive a la comisión de ilícitos. realizará por medio de programas efectivos
de formación y, asimismo, proveyendo a
La ciencia de la criminología destaca como la cada individuo de la información apropiada
cultura empresarial basada en justificar ante teniendo en cuenta sus respectivos roles y
los empleados las prácticas fraudulentas o responsabilidades.
corruptas implican una rebaja de los costes
morales a que se enfrenta el individuo a la La ISO 37001, por su parte, dedica un
hora de delinquir. Si esta barrera disminuye, apartado a la formación y concienciación que
automáticamente, se incrementa el riesgo. Si se constituye especialmente importante para
el empleado considera “que todos lo hacen y el correcto funcionamiento del sistema.
no hay más remedio” adoptará la comisión
La ISO 37001 asevera que, si las personas
de ilícitos como la forma habitual de actuar
que trabajan en la organización no son
en el seno de la compañía. Por esa razón, la
conscientes de la política de Compliance,
estrategia básica de la prevención del fraude
de su importancia en el sistema de gestión
y de la corrupción pasa por aumentar esos
costes morales. de Compliance y de las implicaciones de no
cumplir los requisitos, el sistema jamás podrá
En este sentido, y de forma complementaria funcionar correctamente.
con el compromiso de la alta dirección,
un aspecto decisivo de los modelos de Además, en línea con lo expuesto, especifica
cumplimiento es la formación de los que la alta dirección tiene una responsabilidad
empleados. crucial a la hora de que todos tomen
conciencia de la importancia de la cultura
Así, la formación es necesaria para asegurar de Compliance dentro de la organización. Se
que el Compliance es realmente efectivo, detallan numerosas acciones específicas que
para conseguir la cultura corporativa de deben ser llevadas a cabo por la alta dirección
pleno cumplimiento que el mismo ha de y, destacable, el aspecto formativo.
perseguir. En EE.UU, la obligación de formar
a los empleados fue uno de los novedosos Cualquier código o política de aplicación
requisitos incluidos en SOX, mencionada transversal que se pretenda sea eficaz debe
anteriormente. Por su parte, las USFSG, en su venir acompañado de un adecuado sistema de
apartado 8 B2.1 (v) establecen que: comunicación y formación dirigido a todas las
personas que forman parte de la organización del empleado, así como los mecanismos
(empleados, directores, administradores, internos que permiten detectar y alertar de
etc.). Asimismo, y de conformidad con lo comportamientos ilícitos.
dispuesto en el CP, también será relevante
De otro lado, tratándose de personal
la concienciación y formación respecto de
directivo o puestos con personal a su
aquellos terceros sujetos, personas físicas
cargo, la diferenciación en la formación
o jurídicas, que actúen en nombre y por
permite realizar un discurso que provoque
cuenta de la organización (comerciales,
la expansión exponencial de la cultura de
contratistas…).
cumplimiento. Por ello, deberá fomentarse
Para conseguir que los empleados conozcan el impulso del programa de Compliance por
debidamente el modelo de Compliance es parte de estos sujetos.
necesario otorgarle la debida publicidad.
Por último, tratándose de personal cuya
Una posibilidad viene dada por el empleo
competencia o función tenga una relación
de la intranet de la compañía e, incluso, en
más estrecha con la gestión de riesgos o
el caso de los documentos más importantes,
con la asunción de responsabilidad como
en la web corporativa, con plena publicidad
representantes, esta diferenciación de la
como hemos mencionado. Puede ser útil
formación facilita que se pueda ser más
también realizar campañas informativas
incisivo en aquellos aspectos considerados
enviando correos electrónicos al personal
clave para la buena marcha del modelo.
de la empresa, especialmente cuando se
produzcan modificaciones significativas en el En cualquier caso, la formación exige la
modelo. realización de cursos, que pueden ser
tanto presenciales como virtuales. Es muy
En lo que respecta a los planes formativos,
importante que la empresa mantenga
es aconsejable que se contemplen distintas
un registro de acciones formativas que
tipologías de contenido y enfoque, en función
permita comprobar que se cumplen los
del público al que se dirige.
objetivos de formación fijados internamente
Para facilitar la comprensión de los por el órgano de prevención o por la dirección
documentos que componen el Compliance en de Compliance.
materia de fraude y corrupción, lo deseable es
Asimismo, se puede acompañar a la formación
elaborar materiales didácticos que expliquen
con una serie de preguntas y respuestas
de forma clara los principios y normas que
sobre situaciones prácticas a las que puedan
guían la actividad de la compañía.
enfrentarse los empleados de la empresa.
El material podría contener un resumen de Incluso es recomendable que se conserve
la normativa mediante ejemplos aplicados evidencia de la asimilación y aprendizaje de
a la compañía en concreto, basado en su los contenidos, de los cuestionarios/test y/o
actividad ordinaria, las normas de conducta de los casos prácticos.
o el comportamiento esperable por parte
La formación de los empleados es esencial para prevenir la comisión de determinados

para el cumplimiento de los programas de delitos dentro de la compañía.
Compliance. La eficacia de un sistema no se
adquiere solo controlando el comportamiento Así, y sentado lo anterior, la compañía
de las personas, sino logrando que interioricen debe disponer de una serie de políticas,
una serie de valores, compromisos y procedimientos y controles relativos a la
conductas. En este sentido, la formación y la información y recursos financieros que doten

sensibilización son herramientas esenciales a su sistema de total transparencia. En este
para la función del programa de Compliance. sentido, la compañía debe contar con un
modelo financiero que contenga, entre otros,
Por tanto, el éxito del programa de Compliance los siguientes controles:
se basa en establecer acciones de formación
que garanticen que los empleados entienden • Establecimiento del principio de
qué se espera de ellos. El principal factor de elaboración de una información contable
calidad de la formación es que se adecúe la que refleje fielmente la situación real de la

formación al puesto y a los riesgos de cada compañía y que cumpla con la normativa
departamento. Tras haberse evaluado las contable y las Normas Internacionales
conductas de riesgo de la empresa y llevado de Información Financiera (NIIF). Así,
a cabo el programa de Compliance, se iniciará debe asegurarse de que
una formación a los empleados y directivos.
i. Las transacciones, hechos y demás
13.2.8. Controles financieros y no eventos recogidos por la información
financieros financiera efectivamente existen y

se han registrado en el momento
Para tratar de evitar situaciones de fraude o adecuado;
corrupción, y en el marco de todo lo anterior,
ii. La información financiera refleja
la compañía debe articular controles de una
la totalidad de las transacciones,
doble índole, financieros y no financieros, en
función de cuál es la actividad o el recurso hechos y demás eventos en los que la
que se trata de regular y controlar. compañía es parte afectada;
iii. Las transacciones, hechos y demás

Controles financieros
eventos se clasifican, presentan y
Con relación a los controles financieros, revelan en la información financiera
como premisa esencial los sistemas de de acuerdo con la normativa aplicable.
control y gestión que articule la compañía
• Prohibición expresa de establecer
han de asegurar una adecuada gestión de los
cuentas no fijadas en los libros contables,
recursos financieros, en la medida en que tales
no registrar operaciones realizadas
sistemas deben garantizar el mantenimiento
o consignarlas de forma equivocada,
de los libros, registros y cuentas de manera
utilización de documentos falsos, etc.
precisa, al igual que un sistema adecuado
de control en el ámbito financiero, necesario
• Existencia de planes de formación en previamente aprobadas por el consejo

relación con las normas internacionales de administración.
de contabilidad.
• La comisión de auditoría debe supervisar
• Los empleados integrantes de los el proceso de elaboración y presentación
departamentos que participan en la de la información financiera relativa a
preparación de la información contable la compañía, revisando el cumplimiento
están obligados a velar por la adecuada de los requisitos normativos, la
elaboración de la misma, así como por su adecuada delimitación del perímetro de
adecuación a la realidad, de modo que consolidación y la correcta aplicación de
refleje la imagen fiel del patrimonio y de los criterios contables.
la situación financiera de la compañía;
• El consejo de administración debe
deberán también seguir estrictamente
adoptar las medidas precisas para
las directrices de comportamiento
asegurar que la información financiera
marcadas por la compañía, y cumplir
periódica, y cualquiera otra que a su
con los reportes periódicos de
juicio deba ponerse a disposición de los
comprobación. Asimismo, los empleados
mercados, se elabore con arreglo a los
con responsabilidades contables están
mismos principios, criterios y prácticas
obligados a guardar y conservar toda la
profesionales con que se elaboran las
documentación utilizada en el ejercicio
cuentas anuales, y goce de la misma
de su actividad profesional.
fiabilidad que éstas.
• Existencia de un procedimiento de control
• Asimismo, y sin perjuicio de determinadas
interno por el cual los responsables que
cuestiones reservadas- legal e
intervienen en los procesos de cierre
imperativamente- a la junta general de
(personal encargado de las nóminas,
socios, o accionistas de la compañía, se
logística, asesoría jurídica...) rellenen un
reserva al consejo de administración
formulario mensual que les llegue vía
la facultad de aprobar la política de
telemática e informen al departamento de
inversiones y financiación, la política de
administración sobre si se han cumplido
remuneración de los altos directivos, la
unos hitos previamente señalados o ha
política de dividendos, y la estrategia fiscal
habido alguna incidencia (especialmente
de la compañía, así como la aprobación
en cuanto a las provisiones de riesgos).
de la realización de inversiones u
• La información financiera que operaciones que, por su elevada cuantía
periódicamente la compañía deba hacer o especiales características, tengan
pública, en su caso, en sede de cotizadas, carácter estratégico o especial riesgo
deberá ser previamente aprobada por el fiscal.
consejo de administración. Asimismo, las
cuentas anuales que se presenten a la
junta de accionistas también deberán ser
Controles de gastos y pagos a establecer Modelo de Prevención de Riesgos Penales

y, en concreto, en relación con el fraude y
• Pagos en efectivo: A evitar, con carácter
general. Como mucho, se debe poder disponer la corrupción, del modelo de Compliance
de una caja “menor” para pequeños gastos tales anticorrupción.
como pago a mensajeros, o tasas o servicios
que requieren pago al contado.
Así, la compañía deberá, con carácter anual,
dotar en sus presupuestos una partida
• Patrocinios y donaciones: Establecimiento
o dotación económica específica para el
de pautas e instrucciones en relación con
correcto y eficaz cumplimiento del modelo de
los patrocinios, las donaciones y proyectos
prevención, organización y gestión de riesgos
sociales realizados por la compañía: necesidad
de autorización interna, prohibición de su de corrupción.
utilización como soborno, prohibición de
financiación de partidos políticos, etc.
Controles no financieros
• Gastos de representación: Existencia de La compañía debe contar con un modelo

normativa específica en relación con los gastos que contenga, entre otros, los siguientes
de representación estableciéndose que los controles no financieros, especialmente
gastos deben estar motivados por las relaciones apropiados para prevenir situaciones de
comerciales con terceros, definiéndose los
fraude o corrupción:
gastos no reembolsables, fijarse la cuantía
máxima reembolsable y establecerse el • Los empleados deberán velar por la
procedimiento de liquidación de gastos veracidad, exactitud, integridad y precisión
(justificación, reembolso y autorizaciones). de las informaciones que den a los clientes
• Gastos de viaje: Existencia de normativa sobre características y condiciones de los
específica en relación con los gastos de viaje y productos y servicios ofertados
comidas de los equipos de trabajo formados
por empleados de la compañía, definiéndose
• Los empleados respetarán, en sus
qué debe entenderse por gastos de viaje, y operaciones de comercialización y venta,
establecerse la necesidad de autorización de el principio de transparencia tanto de
viajes, las normas de actuación en relación con precios como de las demás condiciones
los viajes en avión, tren, alojamiento, alquiler del producto o servicio. A tal efecto,
de coches, etc. Asimismo, se deben detallar deberá informarse a los clientes sobre
aquellos gastos no reembolsables y los límites
todas las consecuencias, tanto positivas
máximos de gastos, y el procedimiento de
como negativas, que pueda conllevar la
anticipos y reembolsos y de liquidaciones de
adquisición de un producto.
gastos.
• Los empleados se abstendrán de
Finalmente, y al margen de los anteriores transmitir, por iniciativa propia o a
controles, la compañía, recordemos, debe solicitud de terceros, cualquier noticia
dotar al comité de Compliance de los o información sobre la compañía a los
recursos financieros y humanos necesarios medios de comunicación social, salvo que
para un correcto y eficaz funcionamiento del cuenten con la autorización para ello.
• Los empleados deberán rechazar todas existencia de regalos, invitaciones o pagos de

aquellas conductas que puedan suponer favor, que la empresa puede, o bien recibir
engaño u ocultación de información o bien entregar. Nos referimos a una doble
relevante. situación aparentemente parecida, pero, en el
fondo, con importantes diferencias prácticas
• Todos los empleados de la compañía
a la hora de prevenirlas. Estamos hablando
deben adquirir el compromiso de guardar
de regalos o pagos que pueden tener un
estricta confidencialidad de la información
mero carácter facilitador, al buscarse con
a la que tengan acceso como consecuencia
él la obtención de un favor, o meramente
del desempeño de sus funciones y que
extorsivo, al suponer una especie de peaje
pudiera influir en la cotización de la
para el mantenimiento de una determinada
compañía en los mercados bursátiles.
relación comercial.
• En relación con lo anterior, los empleados
deberán observar las medidas de Así, por un lado, existen situaciones en las
seguridad establecidas por la compañía que la empresa es la que ofrece, promete
para preservar y salvaguardar la o entrega estos regalos. En estos casos, la
información confidencial. situación más habitual consiste en que uno
de los directivos de la empresa lleva a cabo
• Ningún empleado debe utilizar la
ese regalo o invitación, o pago indebido, pero
información a la que tenga acceso por
haciendo uso de los recursos financieros
razón de su trabajo para fines distintos de
de la propia compañía. En estos supuestos
los legal o contractualmente establecidos.
tenemos que partir de la existencia, en el seno
• Estará prohibida la realización de de la organización empresarial, de más de una
operaciones o la difusión de información persona consciente de su realización; quizás
que proporcionen o puedan proporcionar no de su destino final o de su irregularidad,
indicios falsos o engañosos en cuanto a la pero sí de la existencia de un gasto que se va
oferta, la demanda o la cotización de las a acometer (por la necesaria asignación de
acciones de la compañía. fondos), dando así la orden de la oportuna
trasferencia, o mediante la justificación a
• Ningún empleado que no esté
posteriori del gasto incurrido.
expresamente autorizado por la compañía
podrá proporcionar información a los No obstante, esta situación general tiene
mercados o a los organismos reguladores. excepciones dado que puede haber
Cualquier información proporcionada situaciones parecidas en las que no existirá
debe ser precisa, clara y veraz. un gasto directo que pueda ayudarnos a
detectar la comisión de esta clase de fraudes
13.2.9. Regalos, invitaciones y
o corruptelas. Nos referimos a situaciones en
pagos de favor
las que la compañía disfruta de antemano
Uno de los factores más frecuentes en de una serie de privilegios (por ejemplo,
situaciones de fraude y corrupción, es la entradas para eventos o acontecimientos
deportivos o culturales, o actividades de • Prohibir expresamente a los empleados aceptar

ocio o entretenimiento) que puede querer y ofrecer regalos, atenciones o cualquier clase
compartir con esos terceros en los que de favor, o cualquier otro tipo de compensación,
ni invitaciones cuyo valor económico exceda
quiere influir, dando así pie, igualmente, a
de lo que pueda ser considerado razonable y
posibles situaciones de fraude y sobre todo
moderado, atendidas las circunstancias del
corrupción. asunto y del país que se trate, a cualquier
persona o entidad que pueda afectar su
Por otro lado, pueden darse situaciones
objetividad o influir ilícitamente en una relación
inversas en las que la empresa no es la que comercial, profesional o administrativa; al
lleva a cabo ese regalo o invitación, sino que mismo tiempo, establecer reglas definidas
es uno de sus empleados quien lo recibe o sobre aquellos regalos o atenciones que
se beneficia directamente de él. En ellas, se consideran aceptables (valor simbólico
se da la particularidad de que la compañía o económicamente aceptable, práctica
comercial o social de cortesía generalmente
-como tal organización- puede no conocer
aceptada, etc.). Establecer un valor equivalente
esa circunstancia, por recibir el empleado ese
aproximado puede ser de ayuda, en tanto los
regalo o invitación a título particular, para sí,
límites de lo “razonable”, “moderado”, “habitual”
no beneficiándose así de él. o “cortés” pueden variar.
• Los empleados deben tener prohibida la

Mecanismos de control para prevenir y
aceptación de cualquier tipo de ingresos o
gestionar regalos, invitaciones o pagos de favor
comisiones por operaciones efectuadas por
• Dejar constancia expresa de que la compañía la compañía en beneficio propio, así como la
rechaza cualquier tipo de práctica corrupta, en obtención de provecho de la posición que se
especial los sobornos. Todos los empleados se ostenta, también en beneficio propio.
abstendrán de promover, facilitar, participar
• Los empleados de la compañía deben asegurar
o encubrir cualquier tipo de práctica corrupta
siempre su independencia respecto de cualquier
y procederán en cualquier caso a denunciar
persona, entidad, grupo o poder de cualquier
cualquier práctica de este tipo de la que tengan
clase, evitando por tanto cualquier conflicto
noticia.
de interés. Cuando se hallen en situaciones
• Los empleados deberán evitar cualquier en la que su interés personal pueda, directa o
clase de interferencia o influencia de clientes, indirectamente, entrar en conflicto con los de
proveedores o terceros, que pueda alterar la compañía, deberán poner en conocimiento
su imparcialidad y objetividad profesional. de su superior jerárquico la existencia de este
Esta obligación afectará de modo especial a riesgo de conflicto de interés.

aquellos que tienen que tomar decisiones
sobre contratación de suministros y servicios
13.2.10. Patrocinios y mecenazgo
vinculada con su actividad profesional y
que proceda de clientes, proveedores, En un contexto donde la responsabilidad
intermediarios, contrapartidas o cualquier
social corporativa juega un papel cada vez
otro tercero, con el objetivo de influir en sus
mayor, el patrocinio y el mecenazgo pueden
decisiones empresariales.
ser manifestaciones de la misma, en tanto
que incrementan la buena reputación de la mediante un convenio y, por supuesto,

organización. que figure expresamente en las cuentas
de la empresa. Evitando así, riesgos no
Sin embargo, en ocasiones se dan casos en
solo en relación con la corrupción sino
los que estas acciones constituyen prácticas
también de tipo fraudulento. Asimismo, es
corruptas ocultadas bajo una pátina de
necesario cerciorarse de que el convenio
respetabilidad y conciencia social. Así, por
ha sido autorizado por la persona u órgano
ejemplo, subvencionar a una ONG puede ser
competente dentro de la organización.
el mecanismo para hacer llegar el pago ilícito
a un funcionario público210. Por la propia • El mecenazgo no debe vincularse con
naturaleza del patrocinio o mecenazgo, ningún tipo de comportamiento del
resulta más difícil de detectar que un regalo funcionario público, pero también debe
directo. evitarse el patrocinio de actos que
puedan ser interpretados como actos de
El panorama se complica cuando, además, promoción de un determinado político.
determinadas modalidades delictivas Especialmente peligroso el periodo
permiten que el beneficiario del pago sea comprendido o próximo a la campaña
un tercero, ni siquiera el sujeto pasivo de la electoral.
acción.
• En caso de que subvencione a una
Así pues, el concepto de “tercero” permite fundación u organización, es preciso
incluir desde una persona física a una persona cerciorarse, mediante un proceso de
jurídica o, incluso, un ente sin personalidad diligencia debida, si tiene algún tipo de
jurídica. Por tanto, dicho concepto abarca vinculación con algún funcionario público
fundaciones, organizaciones benéficas e o partido político. Igualmente, deben
incluso la propia administración pública comprobarse en este procedimiento la
(piénsese en pequeñas corporaciones honorabilidad y solvencia de la entidad
locales, donde el edil, normalmente, concibe subvencionada, especialmente si dispone
el consistorio como una extensión mobiliaria de un sistema de gestión transparente y
propia). fiable, que asegure que la donación va a
ser utilizada de manera apropiada.
En términos de prevención de prácticas
fraudulentas y corruptas, las organizaciones • Resulta aconsejable establecer una serie
deben abordar, principalmente, las siguientes de supuestos, atendiendo a la actividad
reglas: concreta de la empresa, en los que es
necesaria la aprobación del órgano de
• La contribución debe hacerse con absoluta
prevención, o al menos, consulta, antes
transparencia, lo que exige que se
de conceder algún tipo de ayuda.
formalice documentalmente, por ejemplo,
Los procedimientos de diligencia debida se
210 NIETO MARTÍN, A. Manual de cumplimiento penal en la empresa, contemplan también en la Ley 10/2010 en
Ed. Tirant, 2015.
relación con la prevención del blanqueo de Por tal motivo, todo modelo de control de
capitales y la financiación del terrorismo. Estas riesgos necesariamente deberá contemplar,
normas pueden utilizarse como referencia en lo que a supuestos de fraude y corrupción
para el control de los intermediarios, así como se refiere, mecanismos que permitan definir
los procedimientos de debida diligencia antes qué procedimientos y principios de actuación
citados. ha de seguir cada uno de los empleados de
la compañía en el ámbito de (a) los procesos
13.2.11. Cuestiones relacionadas
en los que interviene, y de (b) las funciones y
con los empleados y sistemas de
obligaciones que tiene asignadas.
remuneración
De hecho, para que la empresa pueda
El fraude y la corrupción son dos
conseguir que tales mecanismos resulten
comportamientos que se producen en el
plenamente efectivos y exigibles, deberían
ámbito interno de las empresas, como
serles expuestos y trasladados a los
tales organizaciones colectivas, pero
trabajadores desde el momento mismo de su
que en numerosas ocasiones dependen
incorporación a la compañía; o, incluso, en la
directamente del comportamiento, la actitud
fase previa de selección y contratación.
y la actuación individual de cada uno de sus
empleados. Así, para prevenir situaciones de fraude
o corrupción es conveniente que los
En el proceso delictivo (desde la planificación
empleados sepan que su actuación en los
y preparación de su comisión, hasta su
procedimientos en los que participen deberá
ejecución y posterior ocultación), el papel que
estar necesariamente presidida por los
individualmente pueden desempeñar sus
siguientes principios de actuación:
empleados –cada uno de ellos en el marco
de los diferentes procesos internos de la • Estará prohibido influir en un funcionario
compañía, y de sus respectivas funciones y público o autoridad, aprovechándose de
competencias- es de gran importancia, hasta una relación personal, para conseguir
el punto de que una actuación correcta por una resolución que pueda generar un
su parte (no necesariamente de la todos los beneficio para la compañía o suponer
que intervienen en cada proceso : podría cualquier tipo de trato de favor.
ser suficiente con la de alguno de los que
• Deberán abstenerse de ofrecer regalos,
intervienen en el) puede servir para prevenir
comisiones o retribuciones a autoridades,
y evitar posibles situaciones de fraude y
organismos y administraciones públicas,
corrupción.
partidos políticos e instituciones en
Al fin y al cabo, no podemos pasar por alto general.
que el fraude y la corrupción son dos clases
• Deberán cumplir con los principios de
de comportamientos delictivos en los que
honestidad, imparcialidad, respeto,
resulta necesaria la presencia (por regla
confianza e integridad, y están obligados
general) de un comportamiento doloso.
a velar por que ninguna actuación suya Con el cumplimiento de estos principios
pueda ser susceptible de interpretarse básicos de actuación por parte de los
como engaño en perjuicio de clientes, empleados de la compañía, cada uno como
proveedores o terceros. decimos en el marco de las funciones que
tiene asignadas en los diferentes procesos
• Siempre que se celebre un contrato,
en los que participe, se habrá reducido al
se deberá hacer con la voluntad y el
máximo las posibilidades de que concurran,
compromiso de que el contrato entre
en ella, situaciones de fraude y corrupción.
en vigor y de cumplir todo lo pactado en
él. Para ello los empleados no podrán Hay un punto que puede llegar a afectar
impedir ni obstaculizar el cumplimiento en gran medida a la prevención o
de los contratos de la compañía y de las materialización de riesgos, y que por ello
obligaciones asumidas en ellos. requiere una atención especial. Se trata de
las características de determinados sistemas
• Los empleados no estarán autorizados
de remuneración e incentivos (ver Caso de
para suscribir, negociar o aceptar
Estudio X, módulo 8). Por ejemplo, aquellos
contratos, o realizar operaciones en
vinculados a la consecución de determinados
nombre de la compañía (o a través
objetivos comerciales (algo normal por
de modelos o clausulados diferentes
otra parte), si no tienen un diseño realista y
a los autorizados), sin contar con la
ajustado, pueden ser demasiado exigentes y
correspondiente autorización.
presionar en exceso al empleado, que para
• Los empleados, cuando negocien en cumplir con dichos objetivos puede relajar sus
nombre de la compañía, deberán compromiso ético o respecto por las normas,
proporcionar la información de manera o directamente abrirse a cometer ciertas
completa, transparente, comprensible, irregularidades si la recompensa es juzgada
exacta y precisa. como suficiente y los controles lo facilitan.
Dichos sistemas de incentivos deberían
• Los empleados deberán poner especial hacerse depender, en alguna medida, de la
cuidado en ofrecer a los clientes ausencia de infracciones, para estimular un
productos y servicios que se adecúen proceder recto y honrado.
a sus características, de forma que su
contratación se realice una vez que el Este riesgo se acentúa de manera especial en
cliente conozca y entienda su contenido, departamentos comerciales y de compras, en
beneficios, riesgos y costes. los que la obtención de un pedido o encargo
en determinadas condiciones económicas (o
• Las incidencias y reclamaciones de
incluso la propia obtención de ese pedido)
clientes, caso de existir, deberán
pueden llevar al trabajador a incurrir en
canalizarse a través de los servicios de
determinadas corruptelas.
atención al cliente establecidos por la
compañía. Por ello resulta aconsejable que, sobre todo
en determinadas posiciones dentro de la
empresa, el establecimiento de objetivos todas y cada una de las acciones y medidas

económicos de esta índole incida en su encaminadas a la prevención de la corrupción.
retribución solo de manera accesoria y Así, la gestión de la documentación tiene
secundaria; en ningún momento de forma como objetivos evidenciar:
esencial y principal. En caso contrario, y aun
i. La efectiva implantación formal del
de manera inconsciente, la empresa estará
sistema de prevención;
colocando al trabajador en una situación que,
de un modo o de otro, podría suponer para ii. Su adaptación y mejora continua;
él una tentación demasiado evidente para
iii. Detección de comportamientos
incurrir en comportamientos corruptos o
irregulares y delictivos;
fraudulentos.
iv. Demostrar procesalmente la debida
13.2.12. Supervisión y control
diligencia.
Una vez que la compañía ha diseñado y

Para alcanzar estos objetivos es imprescindible
definido sus procesos internos en materia
contar con un buen sistema de gestión
de prevención de riesgos de corrupción, es
documental que permita con prontitud reunir
necesario también articular un sistema que
la información necesaria, lo cual resulta
permita su supervisión y control.
imprescindible para poder demostrar a la
Al final de cada ejercicio, se deberá presentar autoridad judicial la existencia de modelos
al consejo de administración un informe en de organización y gestión idóneos dentro de
el que pondrá de manifiesto los resultados la empresa y articular una defensa eficaz en
sobre la suficiencia y efectividad de los torno a los delitos de corrupción, que, por su
actuales mecanismos de supervisión y dinámica comisiva son realmente sensibles.
seguimiento del modelo de Compliance
A fin de que los documentos del sistema de
anticorrupción de la compañía, incluyendo
prevención puedan cumplir los objetivos que
cuantas recomendaciones considere
acaban de reseñarse, resulta necesario que
oportunas para mejorar las deficiencias, en
reúnan las siguientes características:
su caso, detectadas.
• Autenticidad, lo que significa que
A la vista de dicho informe y de las
garantizan que los hechos o el contenido
recomendaciones propuestas, el consejo
de la información que incorpora el
de administración aprobará cuantas
documento pertenece a una o varias
modificaciones y medidas sean necesarias
personas determinadas. Los documentos
para garantizar su efectividad y suficiencia.
anónimos, no atribuibles a nadie en
13.2.13. Registros y archivos concreto, tienen escaso valor.
• Integridad: una vez que se ha producido

Recordemos que de poco o nada valdrían
un documento auténtico, en el sentido
todos los esfuerzos que la sociedad hiciera
que acaba de indicarse, debe impedirse
si no se documentaran adecuadamente
la alteración de la información o de los

hechos que incorpora. La autenticidad y
la integridad de los documentos deben
alcanzarse a través de la implantación
de un sistema de gestión documental
que impida o dificulte la alteración de
la información que se contiene en los
documentos auténticos y que impida o
dificulte la creación de documentos en
los que se atribuya a una persona una
declaración o manifestación que no ha
realizado.
• Permanencia, la información debe

registrarse en soportes que garanticen
su perdurabilidad en el tiempo y debe
conservarse de modo seguro, de tal
modo que los documentos no puedan ser
destruidos.
• Fiabilidad, lo hechos que describen los

documentos deben ajustarse a la verdad
y las opiniones, informes y juicios de valor
que en ellos se expresen respondan a
criterios técnicos o científicos admisibles.
• La lucha contra el soborno y la corrupción están en el mismo origen del nacimiento de la función
de Compliance, teniendo en la Ley de Prácticas Corruptas en el Extranjero de los EEUU (1977)
su primer referente normativo. A pesar de tener su nacimiento en el siglo XX y tratarse sin
duda de un hito relevante, fue una iniciativa más bien aislada, que no tuvo seguimiento hasta
bastante más tarde.
• Así pues, la lucha contra la corrupción en el ámbito corporativo es una actividad y tendencia
que se configura a finales del siglo XX, pero se materializa y extiende casi exclusivamente en el
siglo XXI, cuando surgieron normas e iniciativas, tanto internacionales como de algunos países
de referencia, como pueden ser:
- Convención Anticorrupción de la OCDE (1997)
- Convenios (penal y Civil) contra la corrupción, Consejo de Europa (1999)
- Ley Sarbanes-Oxley de EE.UU (2002)
- Convención de las Naciones Unidas contra la Corrupción (2003)
- Ley Antisoborno de Reino Unido (2010)
• También las normas ISO nos indican que la lucha contra la corrupción es relativamente
reciente: si ir más lejos, la ISO 37001 Sistemas de Gestión Antisoborno data de 2016. Esta
norma centra su análisis en el conocimiento y valoración de los aspectos internos y externos
(sus vulnerabilidades) que pueden favorecer la corrupción y el soborno.
• Para realizar los análisis requeridos por la ISO 37001, es necesario recabar la información
precisa, por lo que se deben identificar las fuentes relevantes de la misma. Algunas de las más
importantes son los informes de auditoría interna; los antecedentes internos; los antecedentes
y casos conocidos en el sector; el análisis de las áreas y actividades más expuestas; entrevistas
a personal relevante; encuestas, autoevaluaciones y tormenta de ideas, entre otros.
• Así pues, los riesgos asociados a las prácticas corruptas deben identificarse y valorarse (en
función de su naturaleza y gravedad, probabilidad e historial) adecuadamente, para de esta
manera ser capaces de establecer los controles (específicos, generales, preventivos, de
detección, financieros, no financieros) necesarios. Los riesgos de corrupción y su gestión
no se diferencian esencialmente del resto de riesgos y los conceptos asociados a estos (riesgo
inherente, residual, controles, apetito de riesgo, etc).
• El Programa Anticorrupción es la herramienta que debe identificar los potenciales focos de

corrupción dentro de la organización, valorar los riesgos e imponer controles y medidas que
dificulten estas actividades.
• Como parte de una Política o Programa Anticorrupción, podemos citar como elementos
esenciales lo siguientes: compromiso de la alta dirección; identificación de un responsable;
establecimiento de un catálogo de prohibiciones y obligaciones básicas; existencia de un
canal de denuncias y un adecuado programa de formación y concienciación. Asimismo, los
mencionados controles y su revisión, así como las cuestiones relativas a regalos, patrocinios
y un adecuado y consecuente sistema de retribución, remuneración e incentivos, debe formar
parte integrante de dicho programa.
• Por último, el programa debe ser adecuadamente documentado y revisado para identificar
posibles carencias o adaptar los cambios que se produzcan en la organización o su entorno y
que puedan afectar a los riesgos.
Módulo 14
Prevención del blanqueo

de capitales y financiación
del terrorismo
MÓDULO 14 • PREVENCIÓN DEL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
Módulo 14 relacionadas con la función de Compliance,

siendo razón y origen del desarrollo de
Prevención del multitud de normativa, estándares y prácticas
blanqueo de capitales, en este ámbito.
y financiación del El blanqueo de capitales (BC) es una

terrorismo de las actividades delictivas que mayor
impacto económico, social y político tienen,
Objetivos y su dimensión no ha hecho más que
incrementarse a lo largo de los años y con el
Tras completar este módulo, el alumno crecimiento de la economía mundial.
Es por ello que, desde la crisis de 2008-2010,
se han renovado los esfuerzos de los 80 y
• Conocer los antecedentes históricos y
normativos principales. 90 del siglo pasado para combatir el BC de
manera más eficiente, e involucrando no
• Diferenciar los conceptos, origen, evolución y
sólo a los estados, sino a todos los actores
características del blanqueo de capitales (BC),
financiación del terrorismo (FT), financiación de potencialmente involucrados (organismos
la proliferación (FP) y sanciones. internacionales, empresas, trabajadores, etc).
• Identificar las regulaciones principales que

A la lucha contra el BC se unió, a principios
afectan al BC, FT y de la FP, tanto a nivel
del siglo XXI, las actividades relacionadas con
internacional como nacional.
la lucha contra la financiación del terrorismo
• Reconocer las organizaciones internacionales
(FT), como consecuencia de los ataques del
de relevancia y referencia en estos ámbitos y su
11-S.
actividad.
• Comprender las similitudes y diferencias entre Aunque los dos anteriores (BC y FT) suelen
las fases de BC, FT y FP. ser los ámbitos más conocidos y frecuentes,
• Conocer las tipologías de sujetos obligados, no hay que olvidar un tercero que se ha
las actividades de diligencia debida, análisis de añadido a los mencionados: la financiación de
riesgos y obligaciones del órgano de control la proliferación (FP) de armas de destrucción
interno. masiva (ADM).
• Familiarizarse con los aspectos relevantes del
No hay que confundir, aunque existan
procedimiento sancionador y la actividad del
supervisor en este ámbito. elementos de solapamiento, las actividades y
medidas contra la proliferación de ADM con
las sanciones (en general). Si bien existe un
14.1. Introducción número significativo de sanciones en este
Las actividades relacionadas con la ámbito, no todas las sanciones pertenecen
prevención del blanqueo de capitales (PBC o, a éste, ni la mera aplicación de las dichas
en inglés, AML) son de las más íntimamente sanciones supone cumplir la totalidad de las
prevenciones y medidas a adoptar. Además, ilegales (el contrabando de alcohol). Ahí,

aunque gran parte de los actores señalados según se cuenta, debió acuñarse el término
son estatales (Corea del Norte, Irán, Siria, laundering (lavado en inglés) de capitales o
Rusia, China, Pakistán, etc.) no cubren todos fondos (money).
los potenciales riesgos ni son lo únicos actores
Sea este origen real o simplemente un mito
considerados211.
(se non è vero, è ben trovato), lo cierto es
La inclusión de la FP no parece constituir que no hay constancia de que se tratase de
una moda pasajera. El GAFI lo hace desde una expresión muy conocida o popular en
al menos 2012. El Departamento del Tesoro esa época. Tampoco el blanqueo era una
estadounidense confeccionó en 2022 tres actividad castigada per se, a diferencia de la
informes de riesgos, uno para cada ámbito: evasión fiscal, delito por el que realmente fue
BC, FT y FP. Reino Unido hizo lo propio, pero condenado Al Capone.
en 2021 . 212
La realidad parece más prosaica y, como

14.2. Antecedentes y en tantas otras ocasiones a lo largo de este
conceptos material, debemos remitirnos al escándalo del

Watergate (1973), que es cuando comienza a
14.2.1. Blanqueo de capitales utilizarse y extenderse la expresión money
laundering por los medios de comunicación213
Origen del término
de EE.UU.
Desde un punto de vista histórico no es
No obstante, aún costó casi una década en
posible ubicar con certidumbre el origen de
que esa expresión utilizada judicialmente,
la actividad de ocultar el origen de fondos, o
ya en noviembre de 1982, en el caso US
de hacer pasar por legítimos los beneficios de
vs $4,255,625.39 (1982) 551 F Supp 314214,
actividades delictivas, si bien posiblemente
vinculado a la emergente lucha contra el tráfico
sea tan antigua como los impuestos o tributos.
de drogas, que centró los principales esfuerzos
No obstante, si hablamos más concretamente policiales de esa década en los EE.UU.
del origen del término de “blanqueo” o
Curiosamente, la expresión fue incluida en
“lavado”, un gran número de fuentes hacer
una sentencia cuando el blanqueo de capitales
referencia a los años 20 del siglo pasado
no era aún un delito federal. No obstante, el
en Chicago, EE.UU, durante la llamada Ley
término fue ganando popularidad hasta ser
Seca. En esa época, la mafia -con Alphonse
ampliamente conocido y empleado en todo
“Al” Capone a la cabeza-utilizaba negocios
el mundo.
legítimos (lavanderías) para mezclar en sus
beneficios aquellos generados con actividades 213 En el artículo An Explanation: How Money That Financed Watergate
Was Raised and Distributed, publicado en el New York Times el 17
de abril de 1974, página 25, se dice, textualmente “Some of the
211 National Proliferation Financing Risk Assessment, páginas 7-15, money was “laundered” through a bank in Mexico”.
Departamento del Tesoro de EEUU, 2022.
214 Gilmore, William C.,“Money Laundering: The International Aspect.”
212 National risk assessment of proliferation financing, HM Treasury, Money Laundering: Hume Papers on Public Policy 1.2, Edinburgh
2021. University Press, 1993, pp. 1–11.
Hoy en día es casi imposible desconocer Es entonces, en los años 80, cuando el
la expresión, cada vez es más frecuente al blanqueo de capitales pasa a adquirir
tratar informaciones o noticias relacionas con creciente importancia en las investigaciones
la corrupción, tráfico de drogas, de armas, contra la delincuencia organizada, hasta
personas o cualquier otra actividad ilícita entonces ignorado a pesar de que el
vinculada a la delincuencia organizada. beneficio económico era la razón de ser de
esta delincuencia y único elemento común
El blanqueo de capitales tiene un propósito
y transversal a cualquier actividad en ese
muy claro: pretende desvincular los fondos
ámbito.
procedentes de actividades delictivas de su
origen, distanciándolos mediante operaciones El 27 de octubre de 1986, como parte de los
financieras reales o simuladas y, posteriormente, renovados esfuerzos de la Administración
recuperarlos con apariencia de licitud. Reagan la conocida como Guerra contra
las Drogas (War on Drugs), se aprobó la Ley
El FMI calculó en 1998 que blanqueo de Control de Blanqueo de Capitales (US
suponía entre el 2 y el 5% del PIB Money Laundering Control Act), por la que se
mundial. En 2011, un estudio de la criminalizó a nivel federal, por primera vez, el
UNODC215 lo situó en el 2,7% (1,6 blanqueo de capitales.
billones de dólares)
El impulso de EE.UU tuvo su reflejo en la
Como se ha dicho, el primer uso judicial del comunidad internacional, como veremos
término data de principios de los 80 del s.XX, más adelante: apenas dos años después, en
y no es hasta la lucha contra los cárteles de diciembre de 1988, se aprobó la Convención
droga en esa década, tanto en EE.UU como en de las Naciones Unidas contra el tráfico ilícito
Europa, cuando se empieza a prestar atención de estupefacientes y sustancias psicotrópicas
al beneficio del tráfico de drogas, que se había (que acordaba la declaración de ilegalidad
incrementado de forma descomunal. del blanqueo de capitales procedentes
del tráfico de drogas). Poco después, en
Más allá del evidente problema de salud
julio de 1989, durante la XV reunión del
pública y violencia que acompaña a estas
G7, se estableció el GAFI (Grupo de Acción
actividades, el tráfico de drogas se convirtió
Financiera internacional, también conocido
entonces en una amenaza a la propia
como Financial Action Task Force o FAFT, por
sociedad y a sus instituciones, teniendo un
sus siglas en inglés).
poder desestabilizador que llegaba a influir
en las relaciones comerciales y exteriores de Esta importancia del BC se ha ido
los países, incluso controlando organismos incrementando a lo largo de los años, pasando
públicos, gobiernos, tribunales, fuerzas de de formar parte de las investigaciones sobre
seguridad, etc. delincuencia organizada a ser un elemento
central de las mismas. Asimismo, la evolución
215 Estimating illicit financial flows resulting from drug trafficking and
other transnational organized crimes. Research report. Oficina de y tendencia normativa a escala mundial
Naciones Unidas contra la droga y la delincuencia (UNODC). Oc-
tubre 2011. ha transferido parte de la responsabilidad
y el control de la lucha contra el blanqueo • Atracción de delincuencia organizada y

de capitales a las propias empresas y corrupción: Una jurisdicción que facilita
organizaciones, estableciendo obligaciones o no dificulta el blanqueo puede provocar
de colaboración e información. un “efecto llamada” de consecuencias
inciertas (violencia, corrupción, etc),
Concepto, definición y normativa
que vayan debilitando las estructuras
La lucha contra el blanqueo de capitales ha políticas, económicas y su aislamiento (si
sido y es una pieza clave para los principales se le incluyen en los listados de paraísos
organismos internacionales, que intentan fiscales o países no colaboradores).
involucrar a los diferentes países en este
• Debilitamiento de negocios legítimos,
combate y en su prevención.
o incluso sectores completos: Por
Sin embargo, para entender la problemática la posible competencia ilegítima de
del blanqueo de capitales y la financiación negocios cuya rentabilidad no depende
del terrorismo, y aplicar medidas preventivas, del desempeño o rendimiento de los
es necesario conocer el concepto y las productos o servicios, sino del flujo de
características del proceso de blanqueo de capitales procedente del blanqueo.
capitales, así como los perjuicios que origina.
• Debilitamiento de las entidades
financieras: Una jurisdicción en la que
Blanqueo de capitales
se tolera el blanqueo de capitales daña la
Adquisición, utilización, conversión o transmisión de reputación de las entidades que operan en
bienes que proceden de determinadas actividades ella e incluso sus posibilidades de negocio
delictivas o de participación en ellas, para ocultar o y operación con otras jurisdicciones.
encubrir su origen o ayudar a la persona que haya
participado en la actividad delictiva a eludir las • Freno a inversiones foráneas: Por la
consecuencias jurídicas de sus actos. Se consideran percepción de sistema corrupto o sujeto a
operaciones de blanqueo igualmente las consistentes la influencia de la delincuencia organizada.
en ocultación o encubrimiento de su verdadera
naturaleza, origen, localización, disposición, • Distorsión económica: En ciertos
movimientos, o de la propiedad o derechos sobre los sectores (el inmobiliario, por ejemplo)
mismos, aun cuando las actividades que las generan pueden provocar distorsiones notables
se desarrollen en el territorio de otro Estado.
que afecten al mercado, precios de los
Diccionario Panhispánico del Español Jurídico inmuebles, accesibilidad a la vivienda
en ciertas zonas, competencia entre
El blanqueo de capitales constituye una agencias, etc.
actividad ilegal que amenaza la integridad del
• Otros riesgos varios: Inestabilidad,
sistema financiero a escala local, nacional y
reputación del país, sanciones
mundial. Cuando en un territorio no se lucha
internacionales, etc
eficazmente o, incluso, se facilita el blanqueo,
puede tener las siguientes consecuencias:
Combatir el blanqueo de capitales “1. El que adquiera, posea, utilice, convierta,

es luchar contra la delincuencia o transmita bienes, sabiendo que éstos
organizada. tienen su origen en una actividad delictiva,
cometida por él o por cualquiera tercera
En la legislación española el término blanqueo
persona, o realice cualquier otro acto para
de capitales se introduce por primera vez
ocultar o encubrir su origen ilícito, o para
en el Código Penal seis años después de la
ayudar a la persona que haya participado
Ley de Control de Blanqueo de Capitales
en la infracción o infracciones a eludir las
estadounidense, en 1992.
consecuencias legales de sus actos, será
Poco después, se promulgaba la Ley 19/1993 castigado con la pena de prisión de seis
sobre determinadas medidas de prevención meses a seis años y multa del tanto al triplo
del blanqueo de capitales (en lo sucesivo Ley del valor de los bienes.”
19/1993), transposición de la Directiva 91/308/

No obstante, podemos encontrar una
CEE (conocida como “primera directiva”), que
definición más completa en Ley 10/2010 de
decía, en su artículo 1.2.:
28 de abril de Prevención del Blanqueo de
“A los efectos de la presente Ley se entenderá Capitales y de la Financiación del Terrorismo,
por blanqueo de capitales la adquisición, norma principal de la regulación española
utilización, conversión o transmisión de para la prevención del blanqueo de capitales,
bienes que proceden de alguna de las que también, en su artículo 1.2 recoge la
actividades delictivas enumeradas en el definición utilizada en la Directiva 2001/97/CE
apartado anterior o de participación en (“segunda directiva”):
las mismas, para ocultar o encubrir su “A los efectos de la presente Ley, se

origen o ayudar a la persona que haya considerarán blanqueo de capitales las
participado en la actividad delictiva a eludir siguientes actividades:
las consecuencias jurídicas de sus actos, así
como la ocultación o encubrimiento de su a) La conversión o la transferencia de
verdadera naturaleza, origen, localización, bienes, a sabiendas de que dichos bienes
disposición, movimientos o de la propiedad proceden de una actividad delictiva o de
o derechos sobre los mismos, aun cuando las la participación en una actividad delictiva,
actividades que las generen se desarrollen con el propósito de ocultar o encubrir el
en el territorio de otro Estado.” origen ilícito de los bienes o de ayudar a
personas que estén implicadas a eludir las
El Código Penal recoge el concepto de consecuencias jurídicas de sus actos.
blanqueo de capitales de forma más completa
b) La ocultación o el encubrimiento de la
y detallada en su artículo 301 y castiga las
naturaleza, el origen, la localización, la
siguientes conductas referidas al blanqueo
disposición, el movimiento o la propiedad
de capitales:
real de bienes o derechos sobre bienes, a
sabiendas de que dichos bienes proceden de
una actividad delictiva o de la participación 14.2.2. Financiación del terrorismo

en una actividad delictiva.
Aunque en España la financiación de
c) La adquisición, posesión o utilización de actividades terroristas ya se consideraba
bienes, a sabiendas, en el momento de la un delito216, esta lucha no recibe un impulso
recepción de los mismos, de que proceden de significativo hasta que se producen los
una actividad delictiva o de la participación atentados del 11-S de 2001 en EE.UU (Torres
en una actividad delictiva. Gemelas, Pentágono en Washington y Vuelo
93 en Pensilvania).
d) La participación en alguna de las
actividades mencionadas en las letras Así, el combate contra el auge del terrorismo
anteriores, la asociación para cometer este de corte yihadista y la financiación de sus
tipo de actos, las tentativas de perpetrarlas actividades aprovechó el impulso de la lucha
y el hecho de ayudar, instigar o aconsejar contra el blanqueo de capitales, debido a las
a alguien para realizarlas o facilitar su importantes similitudes que presentaban,
ejecución.” resultando en la incorporación de las medidas
contra la financiación del terrorismo a los ya
Por su parte, la Ley 10/2010, en este mismo
existentes esfuerzos contra el blanqueo de
artículo 1.2., de forma aclaratoria, define lo
capitales.
que se entiende por bienes procedentes de
una actividad delictiva: Como ya se ha dicho, en España, en el código
“A los efectos de esta Ley se entenderá por penal de 1995 ya se castigaba a quienes
bienes procedentes de una actividad delictiva colaborasen económicamente a financiar
todo tipo de activos cuya adquisición o actividades y grupos terroristas, aunque de
posesión tenga su origen en un delito, tanto una forma general y poco concreta.
materiales como inmateriales, muebles o

Estas conductas fueron ampliadas y
inmuebles, tangibles o intangibles, así como
detalladas en sucesivas reformas (2003, 2005
los documentos o instrumentos jurídicos
y 2010), hasta llegar a la redacción actual
con independencia de su forma, incluidas
(2015), que contempla especificidades de las
la electrónica o la digital, que acrediten la personas jurídicas, así como las de aquellos
propiedad de dichos activos o un derecho obligados a colaborar en la prevención de la
sobre los mismos, con inclusión de la cuota financiación del terrorismo (artículo 576):
defraudada en el caso de los delitos contra
la Hacienda Pública.” 1. Será castigado con la pena de prisión
de cinco a diez años y multa del triple al
Es importante señalar la extraterritorialidad
quíntuplo de su valor el que, por cualquier
que se da al delito de blanqueo de capitales
medio, directa o indirectamente, recabe,
en la Ley 10/2010, ya que se considera que
adquiera, posea, utilice, convierta, transmita
existe aun cuando las actividades delictivas
o realice cualquier otra actividad con bienes
que generaron los bienes no se hubieran
cometido en España. 216 Redacción original de los artículos 575 y 576 del CP 1995.
o valores de cualquier clase con la intención a) Multa de dos a cinco años si el delito
de que se utilicen, o a sabiendas de que serán cometido por la persona física tiene
utilizados, en todo o en parte, para cometer prevista una pena de prisión de más de
cualquiera de los delitos comprendidos en cinco años.
este Capítulo.
b) Multa de uno a tres años si el delito
2. Si los bienes o valores se pusieran cometido por la persona física tiene
efectivamente a disposición del responsable prevista una pena de más de dos años
del delito de terrorismo, se podrá imponer de privación de libertad no incluida en
la pena superior en grado. Si llegaran a la letra anterior.
ser empleados para la ejecución de actos
terroristas concretos, el hecho se castigará Atendidas las reglas establecidas en el
como coautoría o complicidad, según los artículo 66 bis, los jueces y tribunales podrán
casos. asimismo imponer las penas previstas en las
letras b) a g) del apartado 7 del artículo 33.
3. En el caso de que la conducta a que se
refiere el apartado 1 se hubiera llevado a cabo Tras la entrada en vigor de la Ley 10/2010,
atentando contra el patrimonio, cometiendo los conceptos blanqueo de capitales y
extorsión, falsedad documental o mediante financiación del terrorismo se unificaron
la comisión de cualquier otro delito, éstos en la misma normativa, en el artículo 1. En
se castigarán con la pena superior en grado el apartado 3 de dicho artículo 1, se define
a la que les corresponda, sin perjuicio de lo que se considera como financiación del
imponer además la que proceda conforme terrorismo:
a los apartados anteriores.
“Se entenderá por financiación del terrorismo
4. El que estando específicamente sujeto el suministro, el depósito, la distribución o la
por la ley a colaborar con la autoridad recogida de fondos o bienes, por cualquier
en la prevención de las actividades de medio, de forma directa o indirecta, con la
financiación del terrorismo dé lugar, por intención de utilizarlos o con el conocimiento
imprudencia grave en el cumplimiento de de que serán utilizados, íntegramente o en
dichas obligaciones, a que no sea detectada parte, para la comisión de cualquiera de los
o impedida cualquiera de las conductas delitos de terrorismo tipificados en el Código
descritas en el apartado 1 será castigado Penal.”
con la pena inferior en uno o dos grados a la
prevista en él. Tanto el blanqueo de capitales como la
financiación del terrorismo tienen en
5. Cuando, de acuerdo con lo establecido común algunas técnicas que utilizan para la
en el artículo 31 bis, una persona jurídica movilización de los fondos, siendo su objetivo
sea responsable de los delitos tipificados en el ocultarlos de las autoridades y dificultar el
este artículo se le impondrán las siguientes rastro hasta su origen.
penas:
Sin embargo, una gran diferencia entre comandos yihadistas en Europa entre 1994 y
ambos radica en que los fondos que se 2013, reveló datos de gran interés respecto
utilizan para la financiación del terrorismo de la financiación de atentados terroristas:
pueden proceder tanto de actividades ilegales
• Cantidades necesarias: 3 de cada 4 (75%)
(robo, extorsión, tráfico de drogas y/o armas,
ataques costaron menos del equivalente
fraude, secuestros) como de actividades
a 10.000 dólares.
completamente licitas (a través de créditos
o préstamos personales, donaciones, • Casi todos los comandos (un 90%)
organizaciones caritativas, etc). se involucraron en actividades de
financiación, de una u otra forma.
• 50% lograron autofinanciarse.
• 25% recibieron ayuda internacional de Al-

Qaeda u otras estructuras o grupos que
patrocinaron estos actos terroristas.
Sin embargo, no es aconsejable etiquetar

o partir de marcos demasiado rígidos
respecto de la financiación del terrorismo.
En realidad, hay muchos tipos de terrorismo
Diferencias entre blanqueo y financiación del terrorismo. (yihadista, etno-nacionalista, etc), y cada uno
Fuente: Basado en Canada’s Terrorist Financing Landscape, FINTRACT, presenta rasgos propios y circunstancias
2021
diferenciadoras. Con todo, y a pesar de lo
Ser conscientes de estas diferencias es indicado hasta ahora, es necesario hacer
necesario para evitar las dificultades de una importante puntualización218: no es lo
detección de la financiación de los grupos mismo la financiación de un ataque concreto
terroristas. por parte de un comando terrorista - o
incluso a cargo de un “lobo solitario”- que la
Sin embargo, dadas sus especificidades financiación de organizaciones terroristas.
(número y volumen de las transacciones, Ambas actividades constituirían “financiación
por ejemplo), así como la mezcla de fondos del terrorismo”, pero con rasgos muy
de procedencia legal e ilegal, la financiación diferenciados.
del terrorismo ha sido quizá más complicada
de detectar y recibe menos atención que el Tanto el estudio mencionado como las
blanqueo. diferencias señaladas entre blanqueo de
capitales y terrorismo se centran en el
Un estudio noruego217 sobre la financiación de contexto de ataques concretos y específicos,
217 OFTEDAL, Emilie; The financing of jihadi terrorist cells in Europe,

FFI-rapport 2014/02234, Norwegian Defence Research Establish- 218 Ver, en este sentido, TE-SAT 2021, EU Terrorism Situation and
ment (FFI), 2015 Trends Report, Europol, páginas 31 a 33.
de muy bajo coste relativo. Sin embargo, A pesar de ello, se trata de un ámbito que
las organizaciones terroristas requieren tiene visos de continuidad, pues ya ha
de muchos medios para su supervivencia, cumplido al menos una década desde que
puesto que los ataques son sólo una parte pasó a formar parte integrante de las 40
de sus gastos. Los fondos necesarios Recomendaciones del GAFI, que en 2012
para financiar su infraestructura, recluta, pasaron a denominarse “Recomendaciones del
propaganda, formación y entrenamiento, GAFI. Normas internacionales de lucha contra
adquisición de armas, explosivos o equipo, el blanqueo de capitales y la financiación del
etc son muy superiores a los de un único terrorismo y la proliferación”.
ataque. Por tanto, la financiación que
requieren puede acabar presentando rasgos
• 2004 Resolución 1540 (2004) del Consejo de
Seguridad de la Organización de las
complejos, haciendo uso de operativas más Naciones Unidas.
sofisticadas y continuadas en el tiempo,
notablemente similares a las del blanqueo
• 2008 Informe sobre tipologías de financiación
de la proliferación.
de capitales.
• 2010 Lucha contra la financiación de la
Abundando en esta idea, y con datos más proliferación: Un informe de situación
sobre el desarrollo de políticas y
recientes, el propio Director del FinCEN219
consultas.
(Unidad de Inteligencia Financiera de EE.UU)
reconocía en 2019 que “aproximadamente, • 2012 Documento de buenas prácticas sobre
la Recomendación 2: Intercambio
el 20% de las investigaciones del FBI sobre
de información relacionada con la
terrorismo internacional, utiliza datos BSA”, financiación de la proliferación entre
es decir, datos proporcionados por las autoridades nacionales competentes.
entidades financieras sobre transacciones
• 2013 Guía GAFI-FATF - Aplicación de las
sospechosas o de información obligatoria disposiciones financieras de las
(datos BSA o datos proporcionados en resoluciones del Consejo de Seguridad
de las Naciones Unidas para combatir
cumplimiento de la Ley de Secreto Bancario
la proliferación de armas de destrucción
de EE.UU, Bank Secrecy Act). masiva.
14.2.3. Financiación de la • 2018 Orientaciones GAFI-FATF para combatir la

proliferación financiación de la proliferación. Aplicación
de las disposiciones financieras de las
resoluciones del Consejo de Seguridad
Un tercer ámbito de prevención,
de las Naciones Unidas para combatir
habitualmente descuidado (cuando la proliferación de armas de destrucción
no directamente olvidado), es el de la masiva.
financiación de la proliferación de armas de
• 2021 Orientaciones GAFI-FATF sobre
destrucción masiva. evaluación de riesgo y mitigación de la
financiación de la proliferación.
219 Discurso del Director del FinCEN, Kenneth A. BLANCO, pronun- Relación cronológica de textos de referencia contra la financiación
ciado en la XII Conferencia Anual contra el Blanqueo de Capitales de la proliferación. Elaboración propia.
de Las Vegas.
Financiación de la proliferación: Definición Caso de estudio XIII: Aum Shinrikyo
Acto de proporcionar fondos o servicios financieros El 20 de marzo de 1995, durante la hora punta en
utilizados, en todo o en parte, para la fabricación el metro de Tokio (uno de los más transitados y
adquisición, posesión, desarrollo, exportación, concurridos del mundo), se llevó a cabo un ataque
transbordo, intermediación, transporte, coordinado en el que se liberó un agente nervioso
transferencia, almacenamiento o uso de armas líquido contenido en cinco bolsas colocadas en
nucleares, químicas o biológicas y sus sistemas varios vagones y líneas de metro.
vectores y materiales conexos (incluidos tanto
La toxina atacó a las víctimas en cuestión de
tecnologías y productos de doble uso utilizados con
segundos, y las que cegó, paralizó y asfixió. Trece
fines no legítimos), en contravención de las leyes
personas murieron y al menos 5.800 resultaron
nacionales o, cuando obligaciones internacionales.
heridas en el peor atentado terrorista jamás
Lucha contra la financiación de la proliferación: Un perpetrado en ese país.
informe de situación sobre el desarrollo de políticas y
consultas, GAFI (2008) Los autores identificados formaban parte de la
secta apocalíptica Aum Shinrikyo (Verdad Suprema).
Doce de los responsables de la secta fueron
La financiación de la proliferación es una sentenciados a muerte, entre ellos su líder, Shoko
figura propia que presenta rasgos comunes Ashara, ejecutado junto a otros 6 condenados en
tanto con el blanqueo de capitales, como con julio de 2018.
la financiación del terrorismo, si bien no es ni Sin embargo, no fue el primer ataque de este
lo uno ni lo otro: el objetivo de la proliferación grupo. Desde principios de los 90 comenzaron a
no es el beneficio, sino la adquisición de planear atentados masivos. Al estar fuertemente
tecnología, materiales y precursores NRBQ. regulado el acceso a las armas en Japón, intentaron
ejecutar ataques con agentes químicos (sarín,
Tampoco es exclusivo de organizaciones
agente VX, toxina botulínica) y bacteriológicos
terroristas, puesto que la actividad también
(ántrax), con las que llevaron a cabo varios ataques
puede afectar a actores estatales (Corea del
sin éxito. No obstante, meses antes del ataque
Norte, Irán, Siria, etc). del metro, consiguieron asesinar a 8 personas y
causar síntomas en unas 500 más al liberar sarín en
En cualquier caso, constituye una
Matsumoto, el 27 de junio de 1994. Sin embargo,
preocupación de seguridad de primer este ataque pasó desapercibido (no se consideró
orden, en tanto que el riesgo de uso de las como tal) hasta la investigación del atentado del
denominadas armas de destrucción masiva metro de Tokio.
(AMD o WMD en sus siglas en inglés) tiene
Aún con recursos limitados, fueron capaces de
un potencial disruptor difícilmente calculable,
desarrollar agentes y llevar a cabo con cierto
y no se trata de un desafío tecnológico o éxito estos ataques. Sin embargo, lo realmente
científico inalcanzable para actores estatales preocupante es qué podría ser capaz de desarrollar
o no estatales. un actor estatal con todos los medios y recursos
de los que podría disponer. Por ello, la lucha
contra la proliferación trata de evitar el acceso a
los materiales, tecnología y precursores necesarios
para ejecutar este tipo de ataques.
Fuentes: La guía explica cómo realizar evaluaciones

• Aum Shinrikyo: The Japanese cult behind the Tokyo Sarin de riesgo en este ámbito (financiación de
attack - www.bbc.com/news/world-asia-35975069
la proliferación) tanto en el sector público
• Aum Shinrikyō: A Timeline, www.nippon.com/en/
features/h00243/ como en el privado, y cómo se pueden
• Aum Shinrikyo: Once and Future Threat? Emerging mitigar los riesgos identificados. Igualmente,
Infectious Diseases journal – CDC, 1999. https:// proporciona una lista de indicadores de
wwwnc.cdc.gov/eid/article/5/4/99-0409_article
posible incumplimiento, no aplicación o
evasión de las sanciones financieras dirigidas
Aparte de la inclusión de la financiación de
a la financiación de la proliferación.
la proliferación en 2012, el GAFI revisó en
octubre de 2020 y posteriormente, en junio También se incluyen consejos para
de 2021 las Recomendación 1, 2 y las notas los supervisores y los organismos
de interpretaciones de las mismas para: de autorregulación responsables de
garantizar que los riesgos de financiación
• Exigir a los países, las instituciones
de la proliferación se evalúen y mitiguen
financieras y las APNFD (actividades y
adecuadamente.
profesiones no financieras designadas)
que identificaran y evaluaran los riesgos Lógicamente, los esfuerzos en este ámbito
de posibles infracciones, no aplicación son anteriores al cambio de denominación
o evasión de las sanciones financieras
de las recomendaciones GAFI de 2012 para
específicas relacionadas con la financiación
incluir a la proliferación. Así, cuatro años
de la proliferación (tal y como se recoge
antes, en junio de 2008, el GAFI publicó un
en la Recomendación 7), y que adoptaran
documento llamado Tipologías de Financiación
medidas para mitigar estos riesgos.
de la proliferación.
• Incluir referencia a las actividades contra
¿Y cuál es la situación en España? Pues a
la financiación de la proliferación en la
diferencia del blanqueo de capitales o la
coordinación y cooperación nacional.
financiación del terrorismo, no existe una
También en junio de 2021, el GAFI publicó referencia concreta y específica en el código
una Guía sobre la evaluación y mitigación del penal que cubra el ámbito de manera
riesgo de financiación de la proliferación, con completa. No obstante, eso no significa que
el objetivo de ayudar a sus países miembros, este ámbito se haya olvidado, pero quizá
a las instituciones no se encuentre tan delimitado como los
financieras, a las anteriores.
APNFD y las PSAV
(proveedores de servicio En general, como se puede ver en el
de activos virtuales) documento Ámbitos de la Seguridad Nacional:
a aplicar eficazmente No proliferación de armas de destrucción
este nuevo ámbito en masiva (de la Biblioteca Jurídica Digital del
las recomendaciones BOE) la normativa es dispersa y compleja.
del GAFI. Aborda por separado las distintas opciones
relacionadas con las armas de destrucción No obstante, como se desprende de la

masiva (nucleares, radiológicas, biológicas y lectura, se hace referencia a las “sanciones”,
químicas, conocidas por su acrónimo NRBQ), ya sean establecidas por el Consejo de
así como la tecnología de doble uso que se Seguridad de la ONU o por el Consejo de
pudiera utilizar para el desarrollo de las Ministros (eufemísticamente definidas
mismas. como “contramedidas financieras”), y no
necesariamente a actuaciones a prevención
Así pues, además de los artículos del
en transacciones sospechosas.
CP aplicables a otros delitos (como el
terrorismo), este ámbito estaría cubierto por 14.2.4. Sanciones internacionales
la Ley Orgánica 12/1995, de Represión del
Dentro de la actividad de prevención del
Contrabando y, más específicamente, por la
crimen financiero normalmente se suele
Ley 10/2010, que en su artículo 42 especifica
incluir la gestión de las sanciones financieras
que:
internacionales junto a la prevención del
1. Las sanciones financieras establecidas por blanqueo de capitales y la financiación del
las Resoluciones del Consejo de Seguridad de terrorismo. Aunque no son temas idénticos,
Naciones Unidas relativas a la prevención y suelen estar gestionados por los mismos
supresión del terrorismo y de la financiación departamentos.
del terrorismo, y a la prevención, supresión
Las sanciones son instrumento coercitivo
y disrupción de la proliferación de
de política exterior, en el que una parte
armas de destrucción masiva y de su
(estados u organizaciones internacionales,
financiación, serán de obligada aplicación
como la ONU o UE), pretenden modifica sus
para cualquier persona física o jurídica en
relaciones o políticas respecto de otra parte,
los términos previstos por los reglamentos
con objetivos diplomáticos, económicos,
comunitarios o por acuerdo del Consejo
humanitarios, de seguridad, etc. En general, las
de Ministros, adoptado a propuesta del
sanciones impuestas por las organizaciones
Ministro de Economía y Competitividad.
internacionales se hacen para proteger la
2. Sin perjuicio del efecto directo de los paz y seguridad internacionales, el derecho
reglamentos comunitarios, el Consejo de internacional o los derechos humanos.
Ministros, a propuesta del Ministro de
A menudo, las sanciones son vistas
Economía y Competitividad, podrá acordar
únicamente desde la perspectiva de las
la aplicación de contramedidas financieras
democracias occidentales, por lo que suelen
respecto de países terceros que supongan
considerarse como instrumentos lícitos que
riesgos más elevados de blanqueo de
se imponen a países, personas o entidades
capitales, financiación del terrorismo o
vinculadas a la violación del derecho
financiación de la proliferación de armas
internacional o de los derechos humanos. No
de destrucción masiva. (…)
obstante, no debemos olvidar que regímenes
no democráticos o de carácter totalitario
(China, Rusia) también pueden imponerlas, Si consideramos su amplitud, se clasifican en:

si bien como mero instrumento de política
Integrales: Imposición de amplias
exterior sin un fin superior (considerando
restricciones, pudiendo llegar a
como tales la paz, seguridad internacional o
afectar a todo tipo de transacciones
los derechos humanos) sino como reacción con un país, sus empresas o
a sanciones que les son impuestas a estos nacionales. Últimamente se han
estados, sus dirigentes, empresas u otros visto reemplazadas por sanciones
nacionales. más prácticas y selectivas, que evitan
daños indiscriminados a sectores o
Así pues, las sanciones pueden clasificarse en población.
varios tipos, en función de varios factores:
Sectoriales: Este tipo impide o limita
las transacciones comerciales con
sectores concretos (energía, armas,
tecnología, etc)
Dirigidas o selectivas: Estas

sanciones tratan de dirigir la eficacia
de las sanciones, protegiendo a
grupos vulnerables (niños, ancianos
y mujeres) y excepcionando ciertas
mercancías (medicinas, comida u
otros productos básicos). Además,
Considerando quién impone las sanciones, establecen objetivos más concretos
podemos distinguir entre: y específicos (élites políticas y

económicas).
Unilaterales: Impuestas por un
país de forma independiente, sin
Si tenemos en cuenta su ámbito, pueden
la concurrencia de otros países u considerarse los siguientes tipos:
organizaciones (por ejemplo, las
Comerciales: Limitaciones
sanciones de EE.UU a Cuba o las de
o prohibiciones de comercio
China a Taiwán).
(importación, exportación,
transferencia, circulación, etc) de
Multilaterales: Impuestas por dos
bienes, tecnología, etc y prestación o
o más países de forma coordinada,
contratación de servicios.
o bien por una organización
internacional, siendo aplicada por
Financieras: Imposición de
aquellos países que la confirman
prohibiciones o limitaciones a
(por ejemplo, sanciones de la ONU
la prestación de determinados
a Corea del Norte, o de la Unión
servicios financieros, y restricción del
Europea a Rusia).
acceso a los mercados financieros,
fondos y los recursos económicos.
De movimiento: También conocidas

A menudo, el origen de las sanciones suele
como restricciones migratorias (o estar en prohibiciones que aprueba el

vetos), o prohibiciones de viajar, Consejo de Seguridad de la ONU y consisten
para impedir la entrada o el tránsito/ en la obligación, por parte de los Estados,
escala de ciertas personas. de congelar los fondos, activos financieros o
recursos de las personas establecidas en sus
De transporte: Supone restricciones
resoluciones.
de propiedad, el registro o circulación
de buques y aeronaves, incluyendo Por su parte, la Unión Europea, dentro de
sus movimientos hacia y desde su Política Exterior y de Seguridad Común,
puertos y aeropuertos, así como su ha utilizado el mecanismo de sanciones o
bloqueo e incautación. medidas restrictivas para el cumplimiento
de sus propios objetivos, así como para la
Por último, en consideración a su destinatario implementación de las resoluciones del
objetivo (afectación): Consejo de Seguridad de la ONU, elaborando
una lista europea de países y personas sujetas
Primarias: Son las sanciones que un
a sanciones financieras en la Unión Europea.
actor (país u organización) impone a
otro. La mayor parte de las sanciones Cabe mencionar, por su importancia y efectos,
son de este tipo. que uno de los actores más activos en este
ámbito es EE.UU. Su régimen de sanciones
Secundarias: También llamadas
no sólo es importante por tratarse de una de
“sanciones extraterritoriales”,
suponen la imposición de sanciones a las grandes potencias o la mayor economía
terceros que no son los destinatarios mundial, sino por el valor y posición de su
de las sanciones iniciales o primarias, divisa, el dólar, en el comercio y economía
pero que convierten en objetivo de internacionales. Esto hace que sus sanciones
este tipo de sanciones al comerciar tengan efectos inalcanzables para cualquier
con los primeros. La UE considera otro país.
una violación de la normativa
internacional estas sanciones En EE.UU, el organismo encargado de la
(habitualmente por parte de EE.UU). gestión del régimen de sanciones es la OFAC

El ejemplo son empresas de la UE (Oficina de Control Activos Extranjeros), la
sancionadas por EE.UU (sanciones cual indica en su web que:
secundarias) al comerciar con otras
“administra y aplica sanciones económicas
empresas o países sancionadas por
y comerciales basadas en los objetivos
EE.UU (con sanciones primarias), a
de política exterior y seguridad nacional
pesar de que estas empresas de la
UE no estén sujetas a la normativa de EE.UU contra determinados países
de EE.UU por no ser de aquel país. y regímenes extranjeros, terroristas,
narcotraficantes internacionales, personas
implicadas en actividades relacionadas con
la proliferación de armas de destrucción de envíos de dinero para impedir que

masiva y otras amenazas para la seguridad los sujetos, entidades o países que están
nacional, la política exterior o la economía incluidos en dichas listas sean receptores de
de EE.UU”. transferencias económicas realizadas desde
EE.UU.
Así pues, la OFAC administra y aplica sanciones
económicas impuestas por EE.UU contra Por lo que respecta a España, cabe remitirse
diferentes países o individuos. Estas sanciones a lo mencionado anteriormente sobre el
se basan en decisiones políticas basadas, de artículo 42 de la Ley 10/2010 de 28 de abril,
acuerdo con la política exterior implantada de prevención del blanqueo de capitales y
por cada administración, así como en función de la financiación del terrorismo. En general,
de los objetivos de seguridad nacional. Los en España son de aplicación las sanciones
EE.UU las emplean como herramienta de su establecidas tanto por la UE como por el
política exterior, para prevenir que ciertos Consejo de Seguridad de la ONU, sin que
países, entidades e individuos utilicen su podamos referir una política específica y
sistema financiero para propósitos contrarios propia de sanciones más allá la de ambos
a lo que consideran como los intereses actores.
nacionales estadounidenses.
Es aconsejable, a este respecto, considerar
Existen dos categorías de las sanciones de la la consulta del documento Sanciones
OFAC: Financieras Internacionales: cuestiones
generales y procedimientos especiales en
• Programas de sanciones generales que
materia de no proliferación, publicado en 2019
prohíben las transacciones con todos los
por la Subdirección General de Inspección
individuos y empresas de un país.
y Control de Movimientos de Capitales
• Programas específicos de sanciones que (Secretaría General del Tesoro y Financiación
prohíben transacciones con individuos Internacional) del Ministerio de Economía y
designados o entidades que estén en Empresa.
ciertos países o que EE.UU entiende que
están comprometidos con el terrorismo, 14.3. La regulación sobre la
la proliferación de armas de destrucción prevención del blanqueo de
masiva o el narcotráfico internacional. capitales
La OFAC publica una lista de los países, 14.3.1. Convenios y
organizaciones o personas con las que Recomendaciones internacionales
no se deben hacer negocios ni efectuar
Del mismo modo, conviene tener en cuenta
transacciones y es responsabilidad de las
los siguientes convenios internacionales y
entidades financieras y de las empresas
recomendaciones que han sido interiorizados
imponer mecanismos de detección como
por los ordenamientos nacionales:
el KYC y la identificación de los receptores
• 1980 Recomendación (80) Nº R10 del Consejo financiero en la medida de que las
de Europa. instituciones financieras sirven para
ocultar el origen ilícito de los capitales
• 1988 Declaración de Principios de Basilea
sobre prevención de la utilización del y se elabora una serie de reglas, tales
sistema bancario para el blanqueo de
como la identificación de clientes, el
fondos de origen criminal.
establecimiento de procedimientos
Convención de las Naciones Unidas
contra el tráfico ilícito de estupefacientes operativos y la colaboración con las
y sustancias psicotrópicas. Autoridades nacionales.
• 1989 40 Recomendaciones del GAFI. Posteriormente, el Comité de Supervisión

Bancaria de Basilea aprobó varios
• 1990 Convenio de Estrasburgo de 1990 relativo
al blanqueo, seguimiento, embargo y documentos para facilitar a las entidades
decomiso de los productos del delito. crediticias la implantación de políticas
• 2000 Convención de las Naciones Unidas activas en esta materia.
contra la Delincuencia Organizada
Transnacional (Convención de Palermo). • Convención de las Naciones Unidas
contra el tráfico ilícito de estupefacientes
• 2002 Convención de las Naciones Unidas
contra la Corrupción (Convención de y sustancias psicotrópicas, celebrada en
Mérida). Viena el 20 de diciembre de 1988, que fue
ratificada por España el 13 de agosto de
• Recomendación del Consejo de Europa:
1990. A diferencia de las anteriores, ésta
En 1980 se aprueba la Recomendación 10,
supone la primera norma obligatoria de
relativa a medidas contra la transferencia
carácter supranacional para luchar contra
y el encubrimiento de capitales de origen
el tráfico ilegal de drogas y el blanqueo
criminal como la primera actuación de un
de capitales procedentes del mismo,
organismo europeo en este ámbito. No
castigándolo penalmente. Este convenio
obstante, no define lo que constituye un
proponía privar a los narcotraficantes
delito de blanqueo de capitales.
del producto de sus actividades, aunque
• Declaración de Principios de Basilea dichos fondos no fueran los bienes
sobre prevención de la utilización del directamente generados por el delito,
sistema bancario para el blanqueo de ya que al ser blanqueados sufren una
fondos de origen criminal: aprobada el transformación. Este convenio también
12 de diciembre de 1988 por el Comité iniciaba la colaboración y el intercambio
de Reglas y Prácticas de Control de de información de las autoridades
Operaciones Bancarias, compuesto por los judiciales.
Bancos centrales del G-10 y Luxemburgo.
• Las 40 Recomendaciones del GAFI:
Tampoco define lo que constituye un
este organismo se constituyó en 1989
delito de blanqueo de capitales.
por los 24 países miembros de la
Extiende su ámbito de aplicación a OCDE, Singapur y Hong Kong, y dos
entidades pertenecientes al sistema organismos internacionales (el Consejo
de Cooperación del Golfo y la Comisión del dinero procedente de la droga. Las

Europea). Hoy en día, es el principal medidas iniciales contempladas en su
organismo internacional en la lucha contra momento, como “Conoce a tu Cliente”
el blanqueo de capitales, la financiación (“Know Your Costumer”, KYC), así como las
del terrorismo y de la proliferación. de diligencia debida con la Clientela de los
Bancos (“Customer Due dilligence”, CDD),
Las 40 Recomendaciones proponían a
cuyo objetivo era detectar actividades
los firmantes, entre otras acciones, la
financieras inusuales, potencialmente
necesidad de ratificación del Convenio de
Viena de 1988, la adopción de medidas susceptibles de blanqueo de capitales,
para el decomiso de bienes blanqueados, se convirtieron en la norma en el sector
sus ganancias, los instrumentos que se financiero pocos años después.
empleen en la comisión del delito de Asimismo, planteaba la posibilidad de

blanqueo, o bienes por valor equivalente. creación de un organismo nacional al que
La última versión se estructura las instituciones financieras declarasen las
principalmente en siete bloques: transacciones realizadas en efectivo que
superasen una determinada cantidad.
1. Políticas y coordinación ALA/CFT;
Esto se convirtió en una realidad poco
2. Lavado de activos y decomiso; después, ya que alrededor de la mitad de
3. Financiación del terrorismo y la década de los 90 se crearon y agruparon
financiación de la proliferación; (en el Grupo Egmont) las denominadas
Unidades de Inteligencia Financiera (UIF)
4. Medidas preventivas;
nacionales, como el SEPBLAC.
5. Transparencia y beneficiario final
de las personas jurídicas y otras En 1992, el GAFI elaboró un informe
estructuras jurídicas; en el que destacaba que la banca
corresponsal y la banca privada podían,
6. Facultades y responsabilidades de
en determinados casos posibilitar la
las autoridades competentes y otras
realización de operaciones ilegales,
medidas institucionales
sobre todo en países donde los bancos
7. Cooperación internacional.
no tenían presencia física. En 1996, las
Las 40 Recomendaciones iniciales Recomendaciones sufren una primera
contemplaban un esfuerzo en la mejora revisión a fin de recoger las nuevas formas
en la cooperación multilateral y la de lavado de capitales.
asistencia mutua entre países, así como la
El 31 de octubre de 2001, en plenario
extradición de los acusados por delito de
extraordinario celebrado en Washington,
blanqueo de capitales.
tras los atentados del 11 de septiembre
Suponían -y aún lo son- una poderosa de ese mismo año en EE.UU, se aprueban
iniciativa para combatir el mal uso del unos nuevos estándares internacionales,
sistema financiero por los blanqueadores denominados “Recomendaciones
Especiales”, ampliando su esfuerzo para En este sentido, insta a los países

prevenir el blanqueo de capitales a la miembros a promulgar legislación
lucha de la financiación del terrorismo. nacional que favorezca la investigación
Estas 9 Recomendaciones Especiales del blanqueo y la asignación de recursos
sobre Financiación del Terrorismo para dicha actividad, la confiscación
eran complementarias de las Cuarenta de bienes y productos del blanqueo y
Recomendaciones y contienen un la cooperación y auxilio entre Estados
conjunto de medidas encaminadas a miembros. Este Convenio supone un
combatir la financiación de organizaciones instrumento de gran importancia para
terroristas y de actos terroristas. la cooperación internacional en la lucha
contra el blanqueo de bienes, a través
Posteriormente, se han ido revisando
del Derecho penal, siendo adoptado por
constantemente las recomendaciones,
Estados ajenos al Consejo de Europa.
integrándose las 9 recomendaciones
especiales en las 40 existentes. Los • Convención de las Naciones Unidas
cambios más relevantes efectuados contra la Delincuencia Organizada
fueron el de junio de 2003 (incorporadas Transnacional (Convenio de Palermo de
las modificaciones en 2004) y el de 2000): tipifica aspectos tales como el delito
2012, si bien se han producido otras organizado, la corrupción de funcionario
modificaciones y cambios menores de público y establece instrumentos para la
manera habitual hasta la última versión cooperación judicial internacional.
(marzo de 2022).
• La Convención de las Naciones Unidas
En la actualidad, el GAFI está integrado contra la Corrupción (Convención de
por 39 miembros: 37 países y 2 Mérida de 2003): tiene como finalidad la
organizaciones regionales (Comisión lucha contra la corrupción, tipificando una
Europea y Consejo de Cooperación para serie de conductas delictivas, tales como
los Estados árabes del Golfo) así como un el soborno activo y pasivo de funcionario
país observador (Indonesia) y más de una público, la malversación de caudales
veintena de organizaciones que actúan públicos y privados, así como el tráfico de
como observadores. influencias. Asimismo, establece sistemas
de cooperación judicial entre Estados.
• Convenio de Estrasburgo de 1990
relativo al blanqueo, seguimiento, 14.3.2. La normativa europea
embargo y decomiso de los productos
El Parlamento Europeo y el Consejo, en
del delito: elaborado por el Consejo de
el considerando de la cuarta directiva
Europa y aprobado por el Consejo de
(Directiva (UE) 2015/849, que posteriormente
Ministros de la Comunidad Europea en
comentaremos) afirman que “el blanqueo de
1990, se inspira en la Convención de
capitales, la financiación del terrorismo y el crimen
Viena de 1988, aunque sólo afecta a los
organizado siguen constituyendo problemas
productos del delito.
significativos que la Unión debe abordar”.
Asimismo, subraya que las medidas

Directiva 2005/60/CE del Parlamento
adoptadas únicamente en el ámbito nacional
Europeo y del Consejo, relativa a
o incluso en el de la Unión Europea, sin tener
la prevención de la utilización del
en cuenta la coordinación ni la cooperación 2005 sistema financiero para el blanqueo
internacional, tendrían efectos y alcance muy
de capitales y para la financiación del
limitados.
terrorismo.
Consecuentemente, se reitera que toda Directiva (UE) 2015/849 del

medida adoptada por la UE en este ámbito Parlamento Europeo y del Consejo,
debe, por tanto, ser compatible con las que relativa a la prevención de la
se emprendan en los foros internacionales y 2015 utilización del sistema financiero
debe ser, como mínimo, igual de rigurosa. para el blanqueo de capitales o la
financiación del terrorismo.
Por lo tanto, esto pone de relieve que el
objetivo primordial de UE contra el blanqueo Directiva (UE) 2018/843 del
de capitales se concreta en la necesidad de Parlamento Europeo y del Consejo,
realizar una mayor cooperación entre los por la que se modifica la Directiva (UE)
diversos estados, haciendo especial hincapié 2015/849 relativa a la prevención de
en determinados sectores como el bancario, la utilización del sistema financiero
los fondos de inversión privados, el sector para el blanqueo de capitales o la
asegurador pero sin olvidar al sector público. financiación del terrorismo, y por
2018 la que se modifican las Directivas
A continuación, se hará un breve repaso
2009/138/CE y 2013/36/UE.
cronológico de la principal normativa
europea en este ámbito, entre las que Directiva (UE) 2018/1673 del
mencionaremos especialmente las seis Parlamento Europeo y del Consejo
directivas antiblanqueo aprobadas: de 23 de octubre de 2018 relativa a la
lucha contra el blanqueo de capitales
Directiva 91/308/CEE del Consejo
mediante el Derecho penal.
de las Comunidades Europeas,
1991 sobre la prevención de la utilización

del sistema para el blanqueo de • Directiva 91/308/CEE del Consejo de
capitales. las Comunidades Europeas, de 10 de
junio de 1991, sobre la prevención de la
Directiva 2001/97/CE del Parlamento utilización del sistema para el blanqueo
Europeo y del Consejo, relativa a de capitales (primera directiva): amplía
2001 la prevención de la utilización del su alcance para combatir el lavado de
sistema financiero para el blanqueo dinero procedente no sólo de delitos de
de capitales. narcotráfico, sino también del terrorismo
y la delincuencia organizada por medio
de medidas de carácter penal en el marco
de la cooperación internacional entre Esta segunda directiva incluye dos

autoridades judiciales y policiales. novedades esenciales:
Asimismo, obliga a los estados miembros - Se amplía el delito previo susceptible

a implantar medidas de cara a garantizar de blanqueo a los provenientes de
la prohibición de este delito y establece organizaciones delictivas y se amplía
como sujetos obligados a las entidades el ámbito de los delitos subyacentes
financieras a quienes se les impone a cualquier índole de participación

delictiva en la comisión de un delito
ciertas obligaciones en esta materia
grave.
(identificación de clientes, conservación
de documentación, colaboración con las - Se amplían los sujetos obligados a
autoridades, examen especial y abstención otras actividades y profesiones no
de ejecución de ciertas operaciones, financieras (notarios, profesionales
confidencialidad, establecimiento de independientes del ámbito jurídico
órganos y procedimientos de control cuando participen en operaciones
interno y comunicación adecuados, entre financieras, empresariales o
otras). inmobiliarias; auditores, contables
externos y asesores fiscales; agencias
Esta directiva se incorporó a nuestro
de cambio y empresas de envío de
ordenamiento jurídico a través de la dinero; joyeros y anticuarios, entre
ley 19/1993, de 28 de diciembre, sobre otros).
determinadas medidas de prevención del
blanqueo de capitales. • Directiva 2005/60/CE del Parlamento
Europeo y del Consejo, de 26 de
• Directiva 2001/97/CE del Parlamento octubre de 2005, relativa a la prevención
Europeo y del Consejo, relativa a la de la utilización del sistema financiero
prevención de la utilización del sistema para el blanqueo de capitales y para
financiero para el blanqueo de capitales la financiación del terrorismo (tercera
(segunda directiva), transpuesta al directiva) cuya finalidad es la adaptación
ordenamiento jurídico a través de la ley a las recomendaciones del GAFI.
19/2003, de 4 de julio, sobre régimen
Prevé la introducción de disposiciones
jurídico de los movimientos de capitales
más concretas y detalladas respecto a
y de las transacciones económicas con el
los criterios de identificación de clientes,
exterior.
distinguiendo a éstos de los “titulares
Su objetivo primordial consiste en reales” de entidades o instrumentos
garantizar un alto grado de protección jurídicos, tales como fundaciones o
en los diferentes sectores afectados en fideicomisos.
línea de lo estipulado en los acuerdos de
• Reglamento (CE) 1889/2005 del
la Convención de Palermo de 1988, como
Parlamento Europeo y del Consejo, de
se verá en el siguiente apartado.
26 de octubre de 2005, relativo a los
controles de la entrada y salida de dinero - Creación de una lista negra

efectivo de la Comunidad. comunitaria de terceros países de alto
riesgo;
• Directiva 2006/70 (CE) de la Comisión,
de 1 de agosto de 2006, por la que se - Reducción del importe de pagos en
establecen disposiciones de aplicación de efectivo en operaciones de comercio
la Directiva 2005/60/CE del Parlamento de bienes;
Europeo y del Consejo en lo relativo a - Mayor control sobre las transacciones
la definición de “personas del medio
efectuadas en el sector del juego;
político” y los criterios técnicos aplicables
- Desaparecen los supuestos tasados de
en los procedimientos simplificados de
no aplicación de medidas de diligencia
diligencia debida con respecto al cliente,
así como en lo que atañe a la exención por debida y de aplicación de medidas de
razones de actividad financiera ocasional diligencia debida simplificada;
o muy limitada. - Exención de determinadas

obligaciones a notarios, otros
• Reglamento (CE) 1781/2006 del
profesionales independientes
Parlamento Europeo y del Consejo, de
del derecho, auditores, contables
15 de noviembre de 2006, relativo a la
externos, asesores fiscales y agencias
información sobre los ordenantes que
acompaña la transferencia de fondos. inmobiliarias;
- Creación de un registro de titulares

• Directiva 2015/849 del Parlamento
reales (llamado RETIR, en España);
Europeo y del Consejo, relativa a la
prevención de la utilización del sistema - Nuevas obligaciones en materia de
financiero para el blanqueo de capitales conservación de documentos.
o la financiación del terrorismo, y por la
• Directiva (UE) 2018/843 del Parlamento
que se modifica el Reglamento (UE) nº
Europeo y del Consejo, de 30 de mayo de
648/2012 del Parlamento Europeo y del
2018, por la que se modifica la Directiva
Consejo, y se deroga la Directiva 2005/60/
(UE) 2015/849 relativa a la prevención de
CE del Parlamento Europeo y del Consejo
la utilización del sistema financiero para
y la Directiva 2006/70/CE de la Comisión
el blanqueo de capitales o la financiación
(cuarta directiva), completada por el
del terrorismo, y por la que se modifican
Reglamento Delegado 2016/1675 de la
las Directivas 2009/138/CE y 2013/36/UE
Comisión de 14 de julio de 2016.
(quinta directiva).
Principales novedades:
Esta nueva directiva tiene una especial
- Inclusión expresa del delito fiscal como
referencia a la prevención de la utilización
subyacente al delito de blanqueo;
de las nuevas tecnologías en el blanqueo,
- Refuerzo del sistema de enfoque y en concreto presenta las siguientes
basado en el riesgo; novedades:
- Inclusión, como sujetos obligados blanqueo de capitales mediante el

a los proveedores de servicios de Derecho penal.
cambio de moneda virtual y los
Apenas unos meses después de la
proveedores de servicios de custodia
aprobación de la quinta directiva, se
de monederos electrónicos.
publica esta otra, lo que da una idea de
- Mayor limitación y restricción la rapidez de la evolución de este ámbito
(rebaja de umbrales) de los tipos de y la voluntad política de actuar en él.
instrumentos de prepago exentos de
Esta directiva incluye como principales
procesos de diligencia debida.
novedades:
- Fomento de la cooperación efectiva
- Armonización de la definición de los
entre Estados Miembros de la UE.
22 delitos subyacentes;
- Armonización entre los Estados
- Armonización de la definición de
Miembros de los procesos de
banqueo de capitales en la UE;
diligencia debida reforzada para
jurisdicciones de alto riesgo. - Tipificación de las actividades de
complicidad, instigación, tentativa e
- Ampliación del acceso al registro
incitación al blanqueo de capitales;
de titulares reales ya considerado
en la Cuarta Directiva. No obstante, - Imposición de penas de prisión de un
el Tribunal de Justicia de la Unión mínimo de 4 años para delitos graves;
Europea (TJUE) anuló220, con la
- Extensión de la responsabilidad penal
sentencia sobre asuntos acumulados
de las personas jurídicas.
C-37/20 y C-601/20, la obligatoriedad
de publicar e informar a “cualquier La que será la sexta directiva es una
miembro del público en general” de la propuesta que forma parque de un paquete
titularidad real de sociedades y otras legislativo de la UE, de cuatro iniciativas:
entidades jurídicas. No implica que i. Propuesta de creación de una nueva
los registros no deban existir, o que Autoridad de la UE en materia de
no deban ser públicos, pero deben PBCYFT, la denominada AMLA (EU Anti-
contener ciertas limitaciones para no Money Laundering Authority, con inicio
incumplir los artículos 7 y 8 de Carta de actividad previsto para 2023 y estar
de Derechos Fundamentales de la completamente operativa en 2026);
Unión Europea.
ii. Propuesta de nueva regulación con
• Directiva (UE) 2018/1673 del Parlamento normas directamente aplicables, incluso
Europeo y del Consejo de 23 de octubre en los ámbitos de la diligencia debida
de 2018 relativa a la lucha contra el con respecto al cliente y la propiedad
efectiva;
220 Comunicado de prensa 188/22 del TJUE.
iii. Un propuesta de Sexta Directiva, para miembros para luchar contra la corrupción
reemplazar a la Cuarta Directiva; y contra el blanqueo de capitales.
iv. Una revisión del Reglamento 2015/847/ A continuación indicamos cual es la

UE sobre transferencias de fondos legislación nacional actualmente en vigor
para rastrear las transferencias de más relevante:
criptoactivos.
• Ley 10/2010, de 28 de abril, de prevención
El objetivo de la directiva será armonizar del blanqueo de capitales y de la
las legislaciones internas con el futuro financiación del terrorismo (LPBC): Tiene
Reglamento Europeo de PBCyFT. por objeto la protección de la integridad
Reemplazará a la Cuarta Directiva, pasando del sistema financiero y de otros sectores
de un modelo de regulación Directivas de actividad económica mediante el
(normas que han de transponerse a la establecimiento de obligaciones de
legislación nacional) a un modelo de prevención del blanqueo de capitales y
Reglamento UE (de aplicación directa), de la financiación del terrorismo.
además de otros aspectos complementarios
• Real Decreto 304/2014, de 5 de mayo,
a regular mediante la Directiva objeto de
por el que se aprueba el Reglamento
transposición.
de la Ley 10/2010, de 28 de abril, de
14.3.3. La normativa española prevención de blanqueo de capitales
y de la financiación del terrorismo
Los antecedentes en materia preventiva
(en adelante, el “Reglamento” o “RD
de blanqueo de capitales en España se
304/2014” indistintamente).
encuentran en la adhesión, en 1990, por
parte de la Asociación de Banca Privada y 14.4. Organismos
de la Confederación Española de Cajas de relacionados con la
Ahorro a la Declaración de Basilea de 1988. prevención del blanqueo de
capitales, la financiación
En 1990 España ratificó la Convención de las
del terrorismo y de la
Naciones Unidas contra el tráfico ilícito de
proliferación
estupefacientes y sustancias psicotrópicas
de 20 de diciembre de 1988, y ya en 1995, 14.4.1. Principales organismos
el nuevo Código Penal, por Ley Orgánica internacionales
10/1995, de 23 de noviembre, regula en el
Existen varios grupos y organismos que se han
artículo 301 el blanqueo de capitales.
creado con el objetivo principal de combatir
Asimismo, el 26 de enero de 2010, España el blanqueo de capitales, la financiación del
ratificó el Convenio nº 173 del Consejo de terrorismo y de la proliferación. Algunos de
Europa sobre la corrupción, que contiene los más importantes son los siguientes:
medidas que han de establecer los países
primera vez en 1990 y se han revisado en

tres ocasiones, en 1996, 2003 y en febrero del
2012.
Tras los ataques terroristas del 11 de

septiembre de 2001 en EE. UU., el GAFI amplió
su campo de actuación a la prevención de la
financiación del terrorismo. Como resultado
se publicaron ocho “Recomendaciones
Especiales” adicionales, relacionadas
específicamente con la financiación del
terrorismo. Un poco más tarde se publicó
una novena Recomendación Especial, que
se centraba en el empleo de los correos de
dinero.
En febrero de 2009, el GAFI lanzó una iniciativa

para evaluar el impacto de la crisis económica
y financiera mundial en la prevención del
blanqueo de capitales y la financiación del
Grupo de Acción Financiera terrorismo. El resultado de esta consulta
Internacional (GAFI) fue que las 40 Recomendaciones previas
más las 9 Recomendaciones Especiales se
Es, con diferencia, el más importante e actualizaron y consolidaron dentro de un
influyente de los organismos internacionales. conjunto revisado de normas internacionales
También conocido por sus siglas en inglés, FAFT, para combatir el blanqueo de capitales, la
el GAFI es un organismo intergubernamental financiación del terrorismo y su proliferación
creada en el año 1989 por el entonces G8. Su (las 40 Recomendaciones del GAFI, publicadas
fin es establecer normas internacionales y el 16 de febrero de 2012221).
desarrollar y promover políticas, tanto a nivel
nacional como internacional, para combatir Ya en esta versión de 2012, y tras varias
el blanqueo de capitales, la financiación del publicaciones y trabajos previos anteriores,
terrorismo y de ala proliferación. las 40 Recomendaciones incluyeron como
tercer ámbito la lucha contra la financiación
El GAFI se reúne varias veces al año y aúna de la proliferación.
a expertos legales, financieros y de ejecución
de la ley pertenecientes a más de 30 países y
a varios organismos internacionales.
El GAFI es conocido principalmente por sus 221 Normas internacionales para la Lucha Contra el Blanqueo de Capi-
tales y la Financiación del Terrorismo y su Proliferación – las Reco-
40 Recomendaciones, que surgieron por mendaciones del GAFI (Febrero de 2012).
Grupo Egmont de Unidades de de información entre Unidades de

Inteligencia Financiera Inteligencia Financiera (Egmont Secure
Web, ESW).
El Grupo Egmont, creado en junio de 1995, es
un organismo que agrupa a las Unidades de • Grupo de Trabajo de Divulgación, que da
Inteligencia Financiera de distintos países, con a conocer el Grupo Egmont en los cinco
el objetivo común de fomentar la creación de continentes y fomenta el desarrollo y
dichas Unidades, así como la cooperación y el creación de Unidades de Inteligencia
intercambio de información financiera entre Financiera.
ellas. • Grupo de Trabajo Operacional, que tiene

como finalidad potenciar la cooperación
El marco de actuación del Grupo Egmont
entre las divisiones analíticas y operativas
se basa en la declaración de principios
de las Unidades de Inteligencia Financiera
redactada en Madrid en junio de 1997 y
miembros de Egmont, así como coordinar
revisada en La Haya en junio de 2001. Dicha
el desarrollo de estudios y tipologías.
declaración incorpora un anexo sobre los
principios del intercambio de información Grupo de Trabajo de Tecnologías de la
sometiéndolos al principio de reciprocidad, a Información, que tiene como objetivo
la confidencialidad y la limitación del uso de asesorar y/o prestar asistencia técnica a
la información intercambiada para los fines la Unidades de Inteligencia Financiera que
previstos, no pudiendo ser transmitida a estén en proceso de rediseñar o mejorar
terceras partes sin el previo consentimiento sus sistemas informáticos.
de la Unidad comunicante.
MONEYVAL
Se estructura en cinco Grupos de Trabajo:
MONEYVAL es el denominado Comité
• Grupo de Trabajo Legal, responsable de de Expertos sobre la Evaluación de las
verificar si las Unidades de Inteligencia Medidas contra el Blanqueo de Capitales
Financiera que se incorporan al Grupo y la Financiación del Terrorismo, fundado
Egmont son operativas y responden a la en 1997. Sus miembros actuales 35
definición establecida en la declaración jurisdicciones (varios estados y otros
de principios. territorios dependientes, como la Isla de Man,
• Grupo de Trabajo de Formación y Guernsey, Gibraltar o Jersey). Algunos de sus
Comunicación, que tiene como misión miembros (los menos) también lo son del
el fomento y desarrollo de actividades GAFI (Alemania, Italia, Israel).
de formación para las Unidades de

Se trata de un órgano de control permanente
Inteligencia Financiera, la elaboración y
del Consejo de Europa, encargado de evaluar
difusión de informes y publicaciones y la
el cumplimiento y la eficacia en su aplicación
supervisión del correcto funcionamiento
de las principales normas internacionales
de la red segura para el intercambio
de lucha contra el blanqueo de capitales y
la financiación del terrorismo. También se promueve la igualdad de condiciones para

encarga de formular recomendaciones a las todos los competidores bancarios a nivel
autoridades nacionales sobre las mejoras internacional. Asimismo, el Comité constituye
necesarias de sus sistemas. el principal foro internacional de cooperación
en materia de supervisión bancaria.
A través de un proceso dinámico de
evaluaciones mutuas, revisión entre El principal objetivo del BCBS es fortalecer la
miembros y seguimiento regular de sus regulación, la supervisión y las prácticas de
informes, MONEYVAL busca mejorar las los bancos a nivel internacional. Para ello, se
capacidades de las autoridades nacionales proponen normas diversas sobre asuntos
para luchar más eficazmente contra el relacionados con la prevención del blanqueo
blanqueo y la financiación del terrorismo. de capitales y financiación del terrorismo,
el buen gobierno corporativo, la gestión del
En su Informe Anual 2020, se afirmaba que riesgo crediticio, el control interno, etc
“el Comité de Ministros adoptó importantes
enmiendas al Estatuto (…), ampliando su Ejemplo de su actividad son los llamados
ámbito de aplicación para hacer frente a la Acuerdos de Basilea, que establecen las
financiación de la proliferación de armas de normas internacionales de regulación
destrucción masiva, alineándolo así con las bancaria prudencial. El primero (Basilea I)
Recomendaciones y prioridades del GAFI en este data de 1988. El segundo se remonta a 2004
ámbito”. (Basilea II). En diciembre de 2017, se finalizó
el proceso de revisión en profundidad de
Comité de Supervisión Bancaria de Basilea II, acordándose un nuevo marco de
Basilea regulación prudencial (Basilea III).
Es de los más antiguos, ya que se estableció El BCBS está compuesto por representantes
en a mediados de la década de los 70 del siglo de 28 jurisdicciones, entre los que se
pasado. Fue creado por los gobernadores encuentran bancos centrales y autoridades
de los bancos centrales de los países que con responsabilidad en la supervisión
formaban el denominado G-10 en ese bancaria. El banco de España es miembro
momento. desde 2001.
El Comité de Supervisión Bancaria de Basilea Grupo Wolfsberg

(BCBS, por sus siglas en inglés) es el organismo
Se trata de una asociación de trece bancos
encargado a nivel mundial de la regulación
cuyo objetivo declarado es el de desarrollar
prudencial de los bancos y, en particular, de
marcos y orientaciones para la gestión de
su solvencia.
los riesgos de la delincuencia financiera,
Sus normas de regulación bancaria no son en particular con respecto a las políticas de
legalmente vinculantes, pero su implantación “Conozca a su cliente” (KYC), de lucha contra el
se basa en el compromiso de sus miembros blanqueo de capitales y contra la financiación
para adoptarlos. De este modo, el Comité del terrorismo. Sus miembros son:
1. Banco Santander 8. HSBC resolución de los expedientes sancionadores

por incumplimiento de las obligaciones de
2. Bank of America 9. J.P. Morgan Chase
prevención.
3. Barclays 10. MUFG Bank
Entre otras funciones de la Comisión de PBC
4. Citigroup 11. Société Générale
destacan (art 44.2 de la Ley 10/2010):
5. Credit Suisse 12. Standard
Chartered Bank • Dirigir e impulsar las actividades de
6. Deutsche Bank
prevención de la utilización del sistema
7. Goldman Sachs 13. UBS
financiero o de otros sectores de
actividad económica para el BC/FT, así
El Grupo se reunió en 2000 en el Château
como de prevención de las infracciones
Wolfsberg, Suiza (de donde toma el nombre),
administrativas de la normativa sobre
para redactar directrices contra el blanqueo
transacciones económicas con el exterior.
de capitales para la Banca Privada. El resultado
de ese trabajo fue el documento titulado • Colaborar con las Fuerzas y Cuerpos de
Principios de Wolfsberg contra el blanqueo de Seguridad, coordinando las actividades
capitales para la banca privada , actualizado 222
de investigación y prevención llevadas
en 2002 y 2012. a cabo por los restantes órganos de las
Administraciones Públicas que tengan
14.4.2. La organización institucional
atribuidas competencias en las materias
en España
señaladas anteriormente.
La Comisión de Prevención
• Garantizar el auxilio eficaz en estas
del Blanqueo de Capitales e
materias a los órganos judiciales, al
Infracciones Monetarias
Ministerio Fiscal y a la Policía Judicial.
Para la ejecución de la normativa y la política
• Nombrar al Director del Servicio Ejecutivo
contra el blanqueo en España existe la
de la Comisión, aprobar su presupuesto
Comisión de Prevención del Blanqueo de
anual y su estructura organizativa y
Capitales e Infracciones Monetarias (en
directrices de funcionamiento.
adelante la “Comisión de PBC”), adscrita a la
Secretaría de Estado de Economía y Apoyo a • Aprobar el Plan Anual de Inspección de
la Empresa, que tiene atribuida, entre otras los sujetos obligados, que tendrá carácter
funciones, la competencia de dirigir e impulsar reservado.
las actividades de prevención de la utilización
del sistema financiero o de otros sectores • Aprobar orientaciones y guías de
de actividad para el blanqueo de capitales actuación para los sujetos obligados.
o la financiación del terrorismo así como la
• Elevar al Ministro las propuestas de
sanción cuya adopción corresponda a
222 Principios de Wolfsberg contra el blanqueo de capitales para la ban- éste o al Consejo de Ministros.
ca privada.
La Comisión es un órgano colegiado, y desde la creación del Grupo Egmont (1 de

dependiente de la Secretaría de Estado de junio de 1995), es miembro de éste.
Economía y Apoyo a la Empresa, y compuesta
Es un órgano dependiente orgánica y
por el titular de esta Secretaría de Estado, que
funcionalmente de la Comisión de Prevención
la preside, y por representantes del Ministerio
del Blanqueo de Capitales e Infracciones
Fiscal, de los Ministerios e instituciones
Monetarias. Es, asimismo, la autoridad
con competencia en la materia (Guardia
supervisora en materia de prevención del
Civil, Cuerpo Nacional de Policía, Aduanas,
blanqueo de capitales y de la financiación del
Inspección Financiera y Tributaria, Protección
terrorismo, así como de la ejecución de las
de Datos, CNI), representantes de los órganos
sanciones y contramedidas financieras.
supervisores de las entidades financieras
(Banco de España, CNMV, D.G. Seguros) y Sin perjuicio de ello, los órganos supervisores
delegados de las CC.AA. con competencia de las entidades financieras podrán celebrar
para la protección de personas y bienes y para con la Comisión de PBC los convenios que
el mantenimiento de la seguridad ciudadana. sean pertinentes en materia de supervisión.
La Comisión actúa en pleno o a través Las principales funciones del SEPBLAC son,
del Comité Permanente, o del Comité de entre otras, las siguientes:
Inteligencia Financiera. Para el cumplimiento
de sus funciones, dispone del apoyo del • Prestar el necesario auxilio a los órganos
Servicio Ejecutivo de la Comisión (SEPBLAC) judiciales, al Ministerio Fiscal, a la Policía
y de la Secretaría de la Comisión, cuyas Judicial y a los órganos administrativos
competencias las ejerce la Subdirección competentes;
General de Inspección y Control de • Elevar a los órganos e instituciones

Movimientos de Capitales. señalados anteriormente las actuaciones
de las que se deriven indicios racionales
Servicio Ejecutivo de la Comisión
de delito o, en su caso, de infracción
de Prevención del Blanqueo de
administrativa preparando los
Capitales e Infracciones Monetarias
correspondientes informes de inteligencia
(SEPBLAC)
financiera;
• Recibir las comunicaciones sistemáticas

o por indicio que realicen los sujetos
El SEPBLAC es la Unidad de Inteligencia obligados;
Financiera (UIF) española. Se trata de una de
• Analizar la información recibida y darle el
las primeras UIF del mundo, remontándose a
cauce que en cada caso proceda;
1980, cuando se creó como bajo el nombre de
Servicio Ejecutivo de la Comisión de Vigilancia • Ejecutar las órdenes y seguir las
de las Infracciones de Control de Cambios. Su orientaciones dictadas por la Comisión de
denominación actual la recibe desde 1993, PBC;
• Supervisar e inspeccionar el cumplimiento necesario plantearse si existe una secuencia

de las obligaciones de los sujetos en el proceso del blanqueo o si se trata de
obligados establecidas en la LPBC. Las actos aislados y puntuales alejados de un
actuaciones supervisoras, y en caso de proceso predefinido y programado.
convenio, las de los órganos supervisores
Así, según la doctrina jurídica y el Grupo
de las entidades financieras, serán objeto
de Acción Financiera (GAFI), el proceso del
de un Plan anual orientativo que aprobará
blanqueo de capitales se desarrolla en una
la Comisión de PBC. En el ejercicio de esta
serie de fases, estableciéndose un proceso
actividad supervisora y tras la realización
de etapas sucesivas, pero en la práctica en su
del informe de inspección, remitirá sujeto
ejecución no tienen por qué estar claramente
obligado un escrito de conclusiones de la
diferenciadas.
inspección, incluyendo recomendaciones
relativas a la adecuación de las medidas
de control interno establecidas por los
sujetos obligados ara dar cumplimiento
de las obligaciones contenidas en la
LPBC y su normativa de desarrollo. A la
vista de las recomendaciones, los sujetos
obligados elaborarán un plan de acción
señalando los plazos de implementación;
• Efectuar recomendaciones a los sujetos

obligados en aras de mejorar sus medidas
de control interno.
14.5. Fases del blanqueo

de capitales, financiación
del terrorismo y de la
Fases del blanqueo de capitales. Elaboración propia
proliferación Fuente: www.fatf-gafi.org
Las fases que a continuación se describen El GAFI propuso en su informe “Tipología del
son modelos teóricos para una mejor Blanqueo de Capitales” de 1990 un modelo de
comprensión de estas operativas, si bien en blanqueo de capitales basado en tres etapas:
casos reales no tienen por qué darse todas Colocación, Encubrimiento (estructuración)
las fases ni seguir el orden descrito. e Integración. Cada fase tiene su propio
objetivo y metodologías típicas.
14.5.1. Fases en el blanqueo de
capitales Fase 1: Colocación
Para poder comprender la operatividad de En la primera fase el blanqueador introduce

estas modalidades, blanqueo de capitales, es sus bienes procedentes de un delito en el
sistema financiero. Estos bienes pueden ser de Es la fase más complicada, ya que en ella el
cualquier tipo, incluso bienes patrimoniales, blanqueador trata de hacer desaparecer
pero lo más habitual es que sean grandes y desligar de su origen ilícito los fondos
cantidades de dinero en efectivo. generados en el delito y generalmente estos
fondos son grandes cantidades de dinero
Prácticas usuales de colocación en efectivo. El primer problema al que se

(Ejemplos) enfrenta el blanqueador es la dificultad de
mover estas grandes cantidades de dinero,
• Pitufeo: Una de las prácticas más habituales. un problema físico y de espacio.
Consiste en fragmentar los fondos en
pequeñas cantidades y efectuar un gran En esta fase el delincuente tiene que desplazar
número de movimientos o pequeños ingresos físicamente una gran cantidad de dinero,
en entidades financieras por parte de personas asumiendo el riesgo de que los fondos sean
diferentes. Esta técnica trata de evitar
aprehendidos por los cuerpos de seguridad o
sospechas al no alcanzar los límites legales de
incluso robados por otros delincuentes.
información obligatoria por ingreso de efectivo
(por ejemplo) centrándose en la cantidad de
En esta primera fase las entidades financieras
movimientos en vez de en su volumen, y así
son las más utilizadas para blanquear dinero,
pasar más desapercibido.
pero hay una gran pluralidad de opciones,
• Compra de instrumentos financieros: como casinos, locales de apuestas, compra
Variante del anterior. Ciertos instrumentos de premios de lotería, casas de cambio de
financieros (cheques de caja u órdenes de moneda, e incluso el traslado (contrabando)
pago), pueden adquirirse en efectivo, a veces de efectivo a través de las fronteras
incluso en oficinas de correos o en tiendas. hacia jurisdicciones con menos controles
Estos documentos después se depositan en
antiblanqueo, entre otros muchos.
bancos situados en países alejados del origen
del negocio ilícito. Fase 2: Encubrimiento
• Activos virtuales: Las nuevas tecnologías
Una vez que el dinero negro se ha colocado
se han incorporado también al blanqueo de
en el sistema financiero, comienza la segunda
capitales y son opción más para la colocación
fase del proceso de blanqueo de capitales, la
del dinero, mediante los sistemas de pago y
cual tiene como objetivo eliminar cualquier
criptomonedas (o incluso dinero virtual en video
juegos), ya que, la han permitido o facilitado el relación de los fondos con su fuente de origen
anonimato. y/o el propósito de los mismos, difuminando
el rastro del dinero. Es decir, se busca desligar
• Negocios “tapadera”: Sobre todo en sectores el dinero del origen delictivo que lo ha
donde se mueven grandes volúmenes de
producido.
efectivo (hostelería, pequeño comercio,
casinos, etc). Aquí se mezclan fondos que se En esta segunda fase de encubrimiento, el
generan legalmente con aquellos obtenidos de
sujeto realiza una serie de operaciones para
las actividades delictivas, declarando ingresos
distanciar los bienes de su origen ilícito. En esta
superiores a los reales.
etapa se suelen encadenar operaciones, una
tras otra, para hacer más difícil la detección Fase 3: Integración

del origen de esas ganancias o bienes. De
acuerdo con la UNODC, es la única etapa Por último, una vez superadas con éxito
netamente común al blanqueo, financiación las dos primeras fases, se llega a la fase de
del terrorismo y de la proliferación. integración, en la cual los fondos regresan
a su beneficiario real, si bien integrados en
El dinero o los bienes colocados en la el sistema financiero y con una apariencia
economía legal serán movilizados múltiples legitima.
veces, con cambios de titularidad mediante el
empleo de sociedades pantalla, testaferros, Tras haber eliminado cualquier relación del
etc., de forma que se haga más difícil el dinero con su origen y fuente de obtención,
rastreo del verdadero origen. En definitiva, el último paso del blanqueo de capitales
se trata de una serie de movimientos que es la integración o inversión, que consiste
impiden determinar la manera en que los en utilizar, con apariencia legal, el dinero
fondos ingresaron en la economía legal. obtenido de forma ilícita.
Con estas técnicas se pretende complicada El objetivo de esta última fase consiste en
un posible seguimiento del rastro del dinero. lograr la aceptación e introducción legal de
Si, además de operaciones, se involucra forma definitiva de los capitales delictivos,
sociedades y personas en dos o más más quedando constancia de ello a través de
países, no sólo se dificulta el seguimiento, sino registros contables y tributarios, dándoles así́
que se ralentiza la posible investigación en forma y apariencia legal.
una maraña de movimientos, transacciones,
sociedades, personas y países. Así pues, el dinero “blanqueado” regresa
con la apariencia de legalidad mediante
transacciones de importación y exportación,
Estrategias usuales de encubrimiento
(Ejemplos)
pagos por servicios simulados o ficticios o
por el aporte de intereses sobre préstamos
Como ejemplo de actividades realizadas para fingidos.
desarrollar esta fase de blanqueo de capitales,
podemos mencionar las siguientes: Este dinero, que ahora tiene apariencia
de legalidad, se suele invertir en negocios
• Realización de transferencias internas entre
“fantasma”, propiedades inmobiliarias, etc. (ya
sociedades de un mismo grupo y entre distintas
sucursales de una misma entidad financiera. que el valor real de dichos bienes no siempre
es fácil de calcular, de forma que no resulta
• Compraventa de productos de inversión para fácil a las autoridades fiscales determinar si el
su posterior venta.
precio declarado en la compraventa coincide
• Realización de transacciones comerciales con lo pagado por el comprador). También se
ficticias valiéndose de facturas falsas o suelen utilizar empresas “pantalla”, facturas
empresas situadas en paraísos fiscales, sin falsas, etc.
actividad alguna, constituidas para tal fin.
En relación a esta explicación, hay quienes - Disimular la propiedad de activos

distinguen dos subfases en la etapa de y participaciones en empresas (por
Integración, como la OCDE , que considera 223
ejemplo, mediante el uso de parientes,
que dentro de la integración existe una personas jurídicas extranjeras,
subfase de “justificación” y otra de “inversión”: testaferros, etc.)
• Justificación: El objetivo en esta subfase - Manipulación de precios

sería crear la ilusión de un origen legal (sobrefacturación y subfacturación,
para el producto del delito mediante: etc).
- Negocios con uno mismo (falsificando - Manipulación del volumen de

fuentes de ingresos, ganancias de negocios/ventas mezclando fuentes
capital y/o préstamos, etc); de ingresos ilícitas y legales.
- Disimulando la propiedad real de los • Inversión: Esta subfase tendría como

activos; objetivo utilizar las ganancias del delito
en beneficio propio. Así pues, estas
- Utilizando el producto del delito en
ganancias, en forma de efectivo, dinero
transacciones con terceros.
electrónico o criptoactivos, pueden
La simulación de origen legal de los emplearse para:
fondos se realiza habitualmente
mediante transacciones, reales o ficticias, Seguridad o custodia:
respaldadas por documentos falsificados Manteniendo una cantidad
y/o ficticios (facturas, informes, contratos, de efectivo a mano, en
acuerdos, asientos contables y escrituras, monederos digitales, cajas de
así como declaraciones falsas, tanto seguridad, etc;
escritas como orales).
Consumo: Empleándolo en
Los métodos habituales empleados gastos diarios, en un estilo de
serían algunos de ellos ya mencionados, vida lujoso, adquiriendo joyas,
como por ejemplo: vehículos, embarcaciones,
- Falsificación de un préstamo (por arte, etc;
ejemplo, préstamo retroactivo);
Inversión: Cuentas bancarias,
- Falsificación de un aumento del
bienes inmuebles, acciones,
patrimonio neto (compraventa de
valores, financiación de
bienes inmuebles, falsificación de
actividades comerciales
ganancias de casino, premios de
legítimas e ilícitas, reembolso
lotería, herencias, etc.)
de préstamos, etc.
223 Lavado de activos y financiación del terrorismo. Manual para inspec-

tores y auditores fiscales, OECD (2019).
Estrategias en blanqueo de capitales 14.5.2. Fases en la financiación del

La lucha contra el blanqueo, la financiación del terrorismo224
terrorismo y de la proliferación ha supuesto una
Aunque el blanqueo de capitales y la
presión adicional que ha sofisticado y complicado
los procedimientos de blanqueo. El desarrollado financiación del terrorismo puedan compartir
nuevas técnicas de blanqueo, junto con la en ocasiones ciertos procesos y operativas,
incorporación de profesionales y nuevos sectores o incluso estar íntimamente conectados (en
de actividad en los esquemas delincuenciales, ha el caso de la financiación de organizaciones
obligado a definir nuevas estrategias para eficientar
terroristas), difieren notablemente en otros
la difusión de los procedimientos de blanqueo, con
aspectos, como pueden ser el propósito,
el fin de dotar de mejores herramientas al sector
financiero, en su continua lucha contra las prácticas los plazos y dirección de los movimientos o
criminales. transacciones.
Dentro de los métodos más utilizados para el

blanqueo de capitales se encuentran las siguientes
actividades:
• El ingreso de grandes sumas de dinero para, a

continuación, efectuar transferencias a otras
cuentas.
• El empleo de numerosos depósitos de

pequeñas cantidades que no conllevan la
obligación de declarar.
• Uso de préstamos o créditos financieros

complejos, por ejemplo, hipotecarios.
• Sistemas de compensación con agentes

intermediarios.
• Uso de la banca privada y banca corresponsal.
• Operaciones en el mercado de valores.
• Utilización de canales alternativos e informales

de envío de dinero, como el sistema “Hawala”,
que permite enviar dinero a otro lugar sin
comunicación a las autoridades ni movimiento
físico de fondos.
• Aumento de los servicios de banca on-line y

casinos en internet.
• Interposición de testaferros o sociedades. Fases de la financiación del terrorismo. Elaboración propia

Fuente: Oficina de las Naciones Unidas contra la Droga y el Delito (www.
• Instrumentos inmobiliarios. onudc.org)
• Operaciones de comercio internacional.
• Uso de profesionales no financieros (abogados,

224 Lavado de activos y financiación del terrorismo. Manual para inspec-
asesores, contables, etc.) tores y auditores fiscales, OECD (2019).
También cabe señalar que, al tratar el Asimismo, se pueden obtener a través de

blanqueo, nos centramos en el origen (ilícito) familiares, o apelando a las comunidades
de los fondos, mientras que en el caso de la locales y de apoyo, o bien llamamientos
financiación del terrorismo, el énfasis se sitúa en redes sociales, microfinanciación
en el uso. colectiva, (crowdfunding), etc.
Por todo ello, es comprensible que las fases Los donantes pueden ser conscientes o
difieran, aunque ciertas metodologías y sospechar del fin último de destino de sus
herramientas puedan coincidir puntualmente, fondos o no.
o permitir la detección de operativas de
• Uso de organizaciones benéficas y
ambos procesos.
sin ánimo de lucro: Las organizaciones
Recaudación u obtención benéficas son, según el GAFI, un sector

puede ser especialmente vulnerable al
Como se ha mencionado, las fuentes típicas uso indebido con fines de financiación del
de financiación del terrorismo incluyen terrorismo.
fuentes legítimas y otras ilegales, algunas de
Debido a su propósito, pueden tener
las más habituales pueden ser:
bastante éxito en la obtención de fondos
debido a que apelan a situaciones
Donaciones
de vulnerabilidad que inducen a la
Uso de organizaciones benéficas y solidaridad. Su presencia en zonas
sin ánimo de lucro de conflicto en las que pueden estar
operando organizaciones terroristas
Actividad delictiva
puede darles una cobertura y justificación
que permitan eludir o pasar ciertos
• Donaciones: Constituyen principalmente controles.
fondos legítimos, de cantidades variables,
aportados por personas físicas, entidades • Actividad delictiva: Algunas
jurídicas, organizaciones sin ánimo de organizaciones terroristas disponen

de redes delictivas independientes
lucro o empresas y, en algunos casos
para recaudar fondos. Este ha sido el
países extranjeros.
caso en España, por ejemplo, con ETA
¿Qué origen puede tener el dinero de (secuestros, extorsión, por ejemplo),
estas donaciones? Pues prácticamente, GRAPO (secuestros, atracos) o Terra Lliure
cualquiera imaginable: ahorros, salarios, (extorsión).
prestaciones sociales (desempleo,
Otros grupos terroristas han recurrido a
pensión, etc), participación en beneficios
otro tipo de actividades de financiación
de empresas, alquileres, préstamos,
como el LTTE (extorsión de la diáspora
herencias, etc.
tamil) o el tráfico de drogas a gran escala
(FARC). Grupos o células terroristas
afiliadas a grupos terroristas (sin formar valor o activos, que puede hacerse a través
parte formal de su estructura), o lobos de cualquier medio que lo permita, aunque
solitarios, pueden dedicarse al tráfico de normalmente se emplean los siguientes:
drogas a pequeña escala, fraude, robos
• Cuentas bancarias y de otro tipo;
o hurtos, etc. Otras vías de financiación
pueden ser la estafa a los programas • Tarjetas de prepago;
sociales.
• Almacenamiento o custodia de efectivo
Cuando una organización terrorista en grandes cantidades;
controla una gran área, puede apoderarse
de los activos financieros (divisas, arte, • A través de productos de gran valor, como
antigüedades, oro o recursos naturales, petróleo, obras de arte o antigüedades,
como petróleo, diamantes o minerales). En productos agrícolas, metales preciosos,
el caso del EIIL o DAESH, la venta de petróleo gemas y vehículos;
en el mercado negro constituyó una fuente
• Criptoactivos.
de financiación estimada entre 785 y 1250M
de dólares entre 2014 y 2016225. Transferencia
Por último, también se dan colaboraciones Entre los mecanismos conocidos para la
entre organizaciones criminales con transferencia se incluyen los siguientes, que
intereses muy diferentes, por ejemplo, en ocasiones depende de la forma en que los
la colaboración entre narcotraficantes fondos o el valor haya sido depositado:
americanos y grupos yihadistas de Mali,
Níger y otros territorios para introducir • Sector bancario y financiero;
drogas en Europa a través de la conocida
• Sector de las remesas, como, por ejemplo,
como Ruta del Sahel226 (parte de esa ruta
una empresa de servicios monetarios
pasa por Campo de Gibraltar y el sur de
autorizados;
España), o las colaboraciones de Hizbulá
con las organizaciones criminales de la • Sistemas informales de transferencia de
Triple Frontera para financiar y blanquear valor (por ejemplo, Hawala) y agencias de
el tráfico de drogas entre Sudamérica y cambio;
Europa.
• Contrabando de dinero en efectivo;
Depósito
• Contrabando de productos básicos de
Una vez obtenidos los fondos, se pasa a gran valor, como petróleo, obras de arte
la fase de depósito o almacenamiento del o antigüedades, productos agrícolas,
metales preciosos, gemas y vehículos
usados;
225 Heißner S, Neumann Peter R, Holland-McCowan, J, Basra R, Cali-
phate in Decline: An Estimate of Islamic State’s Financial Fortune, The
International Centre for the Study of Radicalisation (ICSR), 2017. • Criptoactivos.
226 Droga y terrorismo van de la mano en el Sahel. El País, 27 de
marzo de 2019.
Uso 14.5.3. Fases en la financiación de

la proliferación
La última fase o etapa es la razón de ser
de la financiación del terrorismo, y supone Al igual que sucede con el blanqueo de
el empleo de los fondos para el pago o la capitales y la financiación del terrorismo,
adquisición de bienes y servicios vinculados la financiación de la proliferación presenta
directamente a la actividad terrorista o sus propias particularidades que suponen
a la operación de las estructuras de la unas fases o etapas diferentes a las de las
organización terrorista. Algunos ejemplos de actividades anteriores y que, por tanto,
uso de los fondos para fines terroristas son: supondrán una serie de indicadores y riesgos
distintos.
• En organizaciones terroristas: Para
financiar operaciones, logística y Así pues, la financiación de la proliferación
demás actividades, como por ejemplo contaría con las fases de:
la adquisición de armas, municiones,
explosivos o precursores, equipos y
vehículos, telecomunicaciones y sistemas
de mando y control, propaganda,
captación y adiestramiento, sueldos,
apoyo financiero personal y familiar,
transporte, pago de sobornos, adquisición
de documentación, vivienda, suministros,
energía, etc;
• Combatientes extranjeros: Viajes, gastos

de pasaporte o visados, equipos de
supervivencia, armas y adiestramiento de
combate;
• Lobos solitarios y células terroristas

aisladas: Para adquisición de armas
y otros materiales y sustancias,
vehículos (comprados o alquilados),
suministros y alojamiento, dispositivos de
comunicación, transporte y cualquier otra
Fases de la financiación de la proliferación. Elaboración propia
adquisición que necesiten llevar a cabo Fuente: Oficina de las Naciones Unidas contra la Droga y el Delito (www.
onudc.org)
un ataque terrorista.
Recaudación u obtención
Gran parte de la dificultad reside en identificar
lo que pueden ser gastos habituales o En esta fase, se obtienen por medios lícitos
cotidianos en un contexto relacionado con la o ilícitos los fondos necesarios para adquirir
radicalización y el terrorismo. los medios (tecnología, sistemas, materiales,
sustancias, equipo, precursores, etc) del 14.5.4. Rasgos diferenciadores

ámbito de la proliferación de armas de del blanqueo, financiación del
destrucción masiva (NRBQ). terrorismo y la proliferación
Los actores que están detrás de estos A lo largo de este epígrafe hemos explicados
intentos suelen ser estados sancionados las características y conceptos relacionados
internacionalmente por contar con con las actividades de blanqueo de
programas de ADM, como pueden ser Irán, capitales, financiación del terrorismo y de la
Corea del Norte, Rusia, Siria, etc, pero no proliferación.
exclusivamente. En el pasado, se han dado Aunque pueden presentar elementos

casos de intentos de desarrollar y adquirir comunes, son ciertamente actividades con
tecnología de este tipo por parte de diversos rasgos diferenciados. A modo de resumen de
grupos terroristas, e incluso ataques con todos ello, podemos incluir la siguiente tabla:
sustancias químicas, biológicas y radiológicas,
Financiación
por lo que no se debe perder de vista esta Blanqueo de Financiación
de la
capitales del terrorismo
proliferación
posibilidad y los actores interesados.
Interna o ex-
terna. Finan-
Interna. Interna o
Ocultación Origen de
Delincuencia externa. Origen
ciación estatal
fondos u obtención
organizada legal o ilegal
por actores
Aunque los involucrados puedan ser estados no estatales.
y disponer de amplios recursos, su mayor Contrabando En general,
preocupación será el desvincularse de los de dinero en sistema finan-
efectivo, uso ciero formal
Sistema
fondos y las operaciones. de sistemas (excepto con
Canales financiero
informales de Corea del
formal
transferencia Norte, que
De esta forma, y mediante el uso de de valor tiene particu-
sociedades e intermediarios, intentarán (Hawala) laridades).
simular un origen de fondos y justificación de Individuos,

Transaccio- entidades,
Relaciones
las operaciones -habitualmente de comercio Detección nes sospe-
sospechosas
actividades,
chosas materiales
internacional- que no dispare alarmas o sospechosos
impida la adquisición. Grandes Pequeñas, bajo
Cantida- (aunque umbrales de Medias o
des quizá comunicación moderadas
Adquisición y envío fraccionadas) obligatoria
Variada, Semejante a
La última fase supone la adquisición de Compleja. incluyendo uso una actividad
Incluye del sistema comercial
tecnología, equipos, sustancias o materiales paraísos bancario normal,
Actividad
NRBQ y su envío. fiscales, formal, diseñada
financie-
complejas sistemas para
ra
operaciones informales de ocultar la
Tanto la adquisición como el transporte de y/o empresas transferencia conexión con
pantalla de valor y actividades de
estas mercancías presentará sus dificultades contrabando. proliferación.
y desafíos, debido a las capacidades Circular.
Tipo de Comienza y
de detección de las autoridades y a las proceso acaba con el
Lineal. Lineal.
restricciones de exportación de las mismas. mismo actor.
14.6. Normativa española Sujetos obligados con

en materia de prevención consideración de entidad
del blanqueo de capitales y financiera:
financiación del terrorismo Estas entidades, por su propia actividad,
son el principal sujeto obligado utilizado
14.6.1. Sujetos obligados
por el blanqueador de capitales para llevar
La LPBC establece en su artículo 2.1 una a cabo su actividad ilícita. Por tanto, son las
relación de entidades, personas físicas o entidades que tienen un mayor riesgo y las
jurídicas a los que considera sujetos obligados que tienen que tomar un mayor número de
de aplicación de esa Ley. medidas para luchar contra el blanqueo de
capitales y financiación del terrorismo. Son
Para relacionar los sujetos obligados vamos
las siguientes:
a agruparlos en cuatro grupos que van a
determinar la forma de aplicación de las a. Las entidades de crédito.
obligaciones en materia de prevención del b. Las entidades aseguradoras autorizadas
blanqueo de capitales: para operar en el ramo de vida u otros
seguros relacionados con inversiones y
Los sujetos obligados que tienen
los corredores de seguros cuando actúen
la consideración de entidad
financiera en relación con seguros de vida u otros
servicios relacionados con inversiones,
Profesionales que son con las excepciones que se establezcan
necesarios o que prestan servicios reglamentariamente.
a las empresas o la realización de
una actividad empresarial c. Las empresas de servicios de inversión.
d. Las sociedades gestoras de instituciones

Actividades empresariales
que por los bienes con los que de inversión colectiva y las sociedades
realizan su actividad pueden ser de inversión cuya gestión no esté

utilizadas para el blanqueo de encomendada a una sociedad gestora.
capitales
e. Las entidades gestoras de fondos de
Personas y entidades pensiones.

extranjeras que, a través de f. Las sociedades gestoras de entidades de
sucursales o agentes o mediante
capital-riesgo y las sociedades de capital-
prestación de servicios sin
riesgo cuya gestión no esté encomendada
establecimiento permanente,
a una sociedad gestora.
desarrollan en España actividades
de igual naturaleza a las de los g. Las sociedades de garantía recíproca.
grupos precedentes
h. Las entidades de dinero electrónico, las
entidades de pago y las personas físicas y
jurídicas a las que se refieren los artículos de otras personas relacionadas, ayuda
14 y 15 del Real Decreto Ley 19/2018, de material, asistencia o asesoramiento
23 de noviembre, de servicios de pago en cuestiones fiscales como actividad
y otras medidas urgentes en materia empresarial o profesional principal.
financiera.
b. Los notarios y los registradores de la
i. Las personas que ejerzan propiedad, mercantiles y de bienes
profesionalmente actividades de cambio muebles.
de moneda.
c. Los abogados, procuradores u otros
j. Los servicios postales respecto de las profesionales independientes cuando
actividades de giro o transferencia. participen en la concepción, realización o
asesoramiento de operaciones por cuenta
k. Las personas dedicadas profesionalmente
de clientes relativas a la compraventa
a la intermediación en la concesión de
de bienes inmuebles o entidades
préstamos o créditos, así como aquellas
comerciales, la gestión de fondos, valores
que, sin haber obtenido la autorización
u otros activos, la apertura o gestión de
como establecimientos financieros de
cuentas corrientes, cuentas de ahorros o
crédito, desarrollen profesionalmente
cuentas de valores, la organización de las
alguna actividad prevista en el artículo
aportaciones necesarias para la creación,
6.1 de la Ley 5/2015, de 27 de abril, de
el funcionamiento o la gestión de
fomento de la financiación empresarial, o
empresas o la creación, el funcionamiento
desarrollen actividades de concesión de
o la gestión de fideicomisos (“trusts”),
préstamos previstas en la Ley 5/2019, de
sociedades o estructuras análogas, o
15 de marzo, reguladora de los contratos
cuando actúen por cuenta de clientes
de crédito inmobiliario, así como las
en cualquier operación financiera o
personas dedicadas profesionalmente
inmobiliaria.
a la intermediación en la concesión de
préstamos o créditos. d. Las personas que, con carácter profesional
y con arreglo a la normativa específica
Profesionales necesarios o que que en cada caso sea aplicable, presten
prestan servicios a las empresas los siguientes servicios por cuenta de
o a la realización de una actividad terceros:
empresarial.
i. Constituir sociedades u otras personas
En este grupo se incluyen los siguientes jurídicas;
sujetos obligados:
ii. Ejercer funciones de dirección o de
a. Los auditores de cuentas, contables secretarios no consejeros de consejo
externos, asesores fiscales y cualquier de administración o de asesoría
otra persona que se comprometa a externa de una sociedad, socio de una
prestar de manera directa o a través asociación o funciones similares en
relación con otras personas jurídicas b. Los casinos de juego.

o disponer que otra persona ejerza
c. Las personas que comercien
dichas funciones;
profesionalmente con joyas, piedras o
iii. Facilitar un domicilio social o
metales preciosos.
una dirección comercial, postal,
administrativa y otros servicios afines d. Las personas que comercien
a una sociedad, una asociación o profesionalmente con objetos de
cualquier otro instrumento o persona arte o antigüedades o actúen como
jurídicos; intermediarios en el comercio de objetos
iv. Ejercer funciones de fiduciario en de arte o antigüedades, y las personas
un fideicomiso (trust) o instrumento que almacenen o comercien con objetos
jurídico similar o disponer que otra de arte o antigüedades o actúen como
persona ejerza dichas funciones; intermediarios en el comercio de objetos
de arte o antigüedades cuando lo lleven a
v. Ejercer funciones de accionista por
cabo en puertos francos.
cuenta de otra persona, exceptuando
las sociedades que coticen en un e. Las personas que ejerzan
mercado regulado de la Unión profesionalmente las actividades a que
Europea y que estén sujetas a
se refiere el artículo 1 de la Ley 43/2007,
requisitos de información acordes
de 13 de diciembre, de protección de
con el Derecho de la Unión o a normas
los consumidores en la contratación
internacionales equivalentes que
de bienes con oferta de restitución del
garanticen la adecuada transparencia
precio.
de la información sobre la propiedad,
o disponer que otra persona ejerza f. Las personas que ejerzan actividades
dichas funciones. de depósito, custodia o transporte
profesional de fondos o medios de pago.
Actividades empresariales que, por
los bienes con los que realizan su g. Las personas responsables de la gestión,
actividad, pueden ser utilizadas explotación y comercialización de loterías
para el blanqueo de capitales u otros juegos de azar presenciales o
por medios electrónicos, informáticos,
a. Los promotores inmobiliarios y quienes
telemáticos e interactivos. En el caso de
ejerzan profesionalmente actividades de
loterías, apuestas mutuas deportivo-
agencia, comisión o intermediación en
benéficas, concursos, bingos y máquinas
la compraventa de bienes inmuebles o
recreativas tipo “B” únicamente respecto
en arrendamientos de bienes inmuebles
de las operaciones de pago de premios.
que impliquen una transacción por
una renta total anual igual o superior a
h. Las personas físicas que realicen
120.000 euros o una renta mensual igual
movimientos de medios de pago.
o superior a 10.000 euros.
i. Las personas que comercien mediante sucursal, bien en régimen de libre

profesionalmente con bienes, en los prestación de servicios (sin establecimiento),
términos establecidos en el artículo 38 bajo su regulación propia y al amparo de su
(personas que comercien con personas “pasaporte” comunitario.
físicas no residentes por importes
superiores a 10.000 euros en metálico o
14.6.2. Diligencia debida de los
usando medios de pago al portador en
sujetos obligados
una o varias operaciones relacionadas).
Análisis del riesgo del sujeto
j. Las fundaciones y asociaciones. obligado
El primer requisito para que los sujetos

k. Los gestores de sistemas de pago y de
obligados lleven a cabo una buena tarea de
compensación y liquidación de valores
prevención es ser conscientes de su propio
y productos financieros derivados, así ́
riesgo. En palabras del SEPBLAC, cuanto
como los gestores de tarjetas de crédito o
mayor es el riesgo, mayor debería ser el grado
débito emitidas por otras entidades.
de sensibilización de los sujetos obligados,
l. Los proveedores de servicios de cambio y mayores los mecanismos de control y
de moneda virtual por moneda fiduciaria prevención que deberían tener para llevar a
y de custodia de monederos electrónicos. cabo una efectiva prevención.
Personas y entidades extranjeras Tal y como señala el RD 304/2014, los

que desarrollan en España procedimientos de control interno se
actividades de igual naturaleza a fundamentan en un previo análisis de riesgo
precedentes que será documentado por el sujeto obligado.
Están también sujetas a la LPBC aquellas Asimismo, será preceptiva la realización

personas y entidades extranjeras que, a y documentación de un análisis de riesgo
través de sucursales o agentes o mediante específico con carácter previo al lanzamiento
prestación de servicios sin establecimiento de un nuevo producto, la prestación de
permanente, desarrollan en España un nuevo servicio, el empleo de un nuevo
actividades de igual naturaleza a las de las canal de distribución o el uso de una nueva
entidades anteriormente citadas, sean o no tecnología por parte del sujeto obligado,
entidades de carácter financiero, estando debiendo aplicarse medidas adecuadas para
dichas personas sujetas a las mismas gestionar y mitigar los riesgos identificados
obligaciones que los sujetos obligados en el análisis.
españoles.
El nivel de riesgo vendrá determinado
La circunstancia anterior es muy relevante, por el informe de autoevaluación del
especialmente para los sujetos obligados de riesgo contemplado como un documento
carácter financiero, puesto que gran parte de eminentemente práctico, adaptado al
la industria financiera opera en España bien negocio, en el que los sujetos obligados
identifican, evalúan la exposición al riesgo El análisis de riesgo será revisado

de blanqueo de capitales o financiación del periódicamente y, en todo caso, cuando se
terrorismo y analizan los elementos de riesgo verifique un cambio significativo que pudiera
que puedan afectar a las actividades que influir en el perfil de riesgo del sujeto obligado.
realizan. Su contenido mínimo se detalla en
Por último, a modo de utilidad práctica, en
las Recomendaciones del SEPBLAC227.
el marco de la guía sobre recomendaciones
de control interno de PBCyFT emitida por el
Análisis de riesgo. Factores a considerar
SEPBLAC (“Recomendaciones del SEPBLAC”)
• Actividad del sujeto obligado: descripción de las y publicada en su página web oficial, se
actividades y de aquellas áreas que tienen un publicó un modelo de autoevaluación del
mayor riesgo
sistema de PBCyFT, que puede servir como
• Tipos de clientes: nacionales/extranjeros, base a los sujetos obligados y que será objeto
residentes y no residentes, personas físicas o de adaptación a la realidad del negocio y al
jurídicas riesgo de los mismos ante el blanqueo de
• Países o áreas geográficas: local, zonas de capitales o la financiación del terrorismo.
riesgo, países de mayor riesgo
Análisis del riesgo de los clientes
• Productos, servicios, operaciones: si la relación
es más o menos duradera, si se trata de La política de aceptación de clientes ayudará
operaciones puntuales a proteger la reputación e integridad de los
• Canales de distribución: directamente en las

sujetos obligados, constituyendo una parte
oficinas del sujeto, a través de mediadores o esencial de la gestión de riesgos en materia
agentes, canales no presenciales por internet o de prevención.
telefónico
La Ley 10/2010 establece que los sujetos
• Medios de pago aceptados: efectivo,
obligados aprobarán por escrito y aplicarán
transferencia nacionales e internacionales
una política expresa de aceptación de
• Importe medio de las operaciones clientes. Para ello, los sujetos obligados
definirán diferentes categorías de clientes en
A partir de los riesgos de PBCyFT descritos función de su riesgo asociado, a los cuales
en dicho documento, el sujeto obligado aplicarán medidas de diligencia según el
debe diseñar las medidas y procedimientos siguiente detalle:
apropiados para mitigarlos de forma efectiva.
Categoría de Medidas de diligencia
cliente debida a aplicar
No se establecerán
227 Recomendaciones sobre las medidas de control interno para la pre-
vención del blanqueo de capitales y de la financiación del terrorismo, relaciones comerciales
SEPBLAC (2013). Sin perjuicio de que el SEPBLAC, en el ejercicio
de sus funciones de supervisión y de valoración de la adecuación ni se ejecutará ninguna
de las medidas de control interno establecidas, o que se propon- Excluidos de
gan establecer, y teniendo asimismo en cuenta las características operación
propias y el tipo de negocio al que se dedique el sujeto obligado, aceptación
pueda considerar adecuados o no los procedimientos de control
establecidos.
• Aparezcan en las listas oficiales

Reforzadas internacionales por estar relacionadas
Riesgo alto con terrorismo o cualquier otra actividad
ilícita y personas sujetas a prohibición de
Normales operar como terroristas, narcotraficantes
Riesgo medio o delincuentes declarados o conocidos.
Simplificadas • Las vinculadas de manera pública o

Riesgo bajo notoria a grupos terroristas, al crimen
organizado o a cualquier otra actividad
El contenido de la política de admisión de delictiva.
clientes deberá ser el siguiente:
• Las que se nieguen, o sean reacias, a
• Relación de las categorías de clientes aportar la información o documentación
consideradas a efectos de prevención y que se les solicite para llevar a cabo
parámetros para inclusión en las mismas. las medidas de diligencia debida que
le correspondan en función del nivel
• Descripción del perfil de aquellos clientes
de riesgo o cuando la documentación
que presenten un riesgo superior al
aportada presente indicios de falsedad o
promedio y medidas adoptadas o
fraude.
procedimientos establecidos respecto de
los mismos. • Las personas o instrumentos jurídicos
cuya estructura de propiedad o de control
• Estratificación de clientes en base a un no haya podido determinarse.
análisis previo del riesgo asociado a cada
• Cuando no se pueda verificar la
uno de ellos.
procedencia de los fondos objeto de
• En su caso, aplicaciones informáticas transacción por la opacidad o complejidad
empleadas para el cumplimiento efectivo de la naturaleza de sus actividades
de la política de admisión de clientes y profesionales o empresariales.
la estratificación o segmentación de los
• Las que realicen operativas de las
mismos.
consideradas por el sujeto obligado
como sospechosas y/o no faciliten la
Clientes excluidos de aceptación
información solicitada para verificar la
Como ya se ha indicado, son aquellos clientes legitimidad de su actividad o procedencia
con los que no se establecerán relaciones de los fondos que gestionan.
comerciales ni se ejecutará ninguna
• Entidades cuya actividad comercial esté
operación. Entre otros, podrán considerarse sujeta a autorización administrativa para
como tales a las personas físicas o jurídicas operar (entidades financieras, explotación
que presenten alguna de las siguientes de casinos, máquinas de juego, apuestas,
características: loterías, etc.) que no estén oficialmente
autorizadas.
• Entidades financieras residentes en países • Operaciones de cambio de moneda

o territorios donde no tengan presencia extranjera cuyo importe, bien singular,
física y que no pertenezcan a un grupo bien acumulado por trimestre natural
financiero regulado (bancos pantalla o supere los 6.000 euros.
shell banks).
• Relaciones de negocio y operaciones con
• Clientes que, tras finalizar el sociedades con acciones al portador que
procedimiento de diligencia debida, estén permitidas (es decir, siempre que
presenten indicios o certeza de estar haya sido posible determinar la estructura
vinculados con operaciones de blanqueo de propiedad o control de la entidad).
de capitales, financiación del terrorismo u
• Relaciones de negocio y operaciones
otras actividades delictivas. con clientes de países, territorios o
• Cualquier otra categoría de clientes que jurisdicciones de riesgo que supongan
el Órgano de Control Interno del sujeto transferencia de fondos de o hacia
obligado (en adelante, el “OCI”) determine tales países, incluyendo en todo caso,
como tal. aquellos países para los que el GAFI exija
la aplicación de las medidas de diligencia
Clientes de riesgo alto debida reforzada.
Los potenciales clientes que reúnan alguna de • Transmisión de acciones o participaciones

las siguientes circunstancias, se considerará de sociedades pre constituidas (aquellas
que presentan un riesgo superior al promedio constituidas sin actividad económica real
y por tanto les resultarán de aplicación para su posterior transmisión a terceros).
medidas reforzadas de diligencia debida.
• Personas físicas que actúen como
• Relaciones de negocio y operaciones no intermediarias de otras personas, físicas
presenciales. o jurídicas, con las que aparentemente
no les una relación personal o
• Corresponsalía bancaria transfronteriza.
comercial conocida, o personas cuyo
• Relaciones de negocio u operaciones de comportamiento permita sospechar que
Personas con Responsabilidad Pública o actúan encubriendo el nombre de otro.
del medio político (en adelante, “PRPs” o • Asociaciones sin ánimo de lucro.
“PEPs”) tal y como se define en el artículo
14 de la Ley 10/2010. • Personas físicas que por sus características
personales y/o profesionales presenten
• Servicios de banca privada. especial dificultad en el conocimiento de
• Operaciones de envío de dinero cuyo la actividad que da origen a los fondos
importe, bien singular, bien acumulado utilizados en la operación, como pueden
por trimestre natural supere los 3.000 ser personas menores de 18 años o
mayores de 70 años, pensionistas,
euros.
rentistas, estudiantes o amas de casa,
o bien faciliten datos de contactos que mayoritariamente por entidades de

dificulten su identificación o localización, derecho público de los Estados miembros
por ejemplo, aquellos que declaren como de la Unión Europea o de países terceros
dirección un apartado de correos. equivalentes.
• Todos los clientes clasificados inicialmente • Las entidades financieras, exceptuadas

como de riesgo medio o bajo, de los las entidades de pago, domiciliadas
cuales se tengan dudas razonables de en la Unión Europea o en países
su actividad, de la procedencia de los terceros equivalentes que sean objeto
fondos, o de la coherencia de la operación de supervisión para garantizar el
a realizar con su perfil (situación cumplimiento de las obligaciones de
patrimonial, ingresos, actividad, etc.). prevención del blanqueo de capitales y de
la financiación del terrorismo.
• Cualquier otra categoría de clientes que el
Órgano de Control Interno de PBCyFT de • Las sucursales o filiales de entidades
la entidad determine como tal. financieras, exceptuadas las entidades de
pago, domiciliadas en la Unión Europea
Clientes de riesgo medio
o en países terceros equivalentes,
Los potenciales clientes que no pertenezcan cuando estén sometidas por la matriz
a la categoría de clientes de riesgo alto ni a a procedimientos de prevención del
la de riesgo bajo, serán considerados como blanqueo de capitales y de la financiación
de riesgo medio y se les aplicarán medidas del terrorismo.
normales de diligencia debida (identificación • Las sociedades cotizadas cuyos valores

formal, identificación del titular real, se admitan a negociación en un mercado
propósito e índole de la relación de negocios regulado de la Unión Europea o de
y seguimiento continuo). países terceros equivalentes así como
sus sucursales y filiales participadas
Clientes de riesgo bajo
mayoritariamente.
Los potenciales clientes y operaciones
• Las pólizas de seguro de vida cuya prima
que reúnan alguna de las siguientes
anual no exceda de 1.000 euros o cuya
circunstancias, se considerará que presentan
prima única no exceda de 2.500 euros.
un riesgo inferior al promedio y por tanto
les resultarán de aplicación medidas • Los instrumentos de previsión social
simplificadas de diligencia debida. complementaria enumerados en el
artículo 51 de la Ley 35/2006, cuando
• Las entidades de derecho público de los
la liquidez se encuentre limitada a los
Estados miembros de la Unión Europea o
supuestos contemplados en la normativa
de países terceros equivalentes.
de planes y fondos de pensiones y
• Las sociedades u otras personas no puedan servir de garantía para un
jurídicas controladas o participadas préstamo.
• Los seguros colectivos que instrumenten 1588/1999, de 15 de octubre, por

compromisos por pensiones a que se el que se aprueba el Reglamento
refiere la disposición adicional primera del sobre la instrumentación de los
texto refundido de la Ley de Regulación compromisos por pensiones de las
de los Planes y Fondos de Pensiones, empresas con los trabajadores y
aprobado por Real Decreto Legislativo beneficiarios.
1/2002, de 29 de noviembre, cuando
• Las pólizas del ramo de vida que
cumplan los siguientes requisitos:
garanticen exclusivamente el riesgo
- Que instrumenten compromisos de fallecimiento, incluidas las que
por pensiones que tengan su origen contemplen además garantías
en un convenio colectivo o en un complementarias de indemnización
expediente de regulación de empleo, pecuniaria por invalidez permanente o
entendido como la extinción de las parcial, total o absoluta o incapacidad
relaciones laborales en virtud de un temporal, enfermedad grave y
despido colectivo del artículo 51 del dependencia.
texto refundido de la Ley del Estatuto
• El dinero electrónico cuando no pueda
de los Trabajadores, aprobado por
recargarse y el importe almacenado no
Real Decreto Legislativo 1/1995,
exceda de 250 euros o cuando, en caso
de 24 de marzo, o de resolución
de que pueda recargarse, el importe
judicial adoptada en el seno de un
total disponible en un año natural esté
procedimiento concursal. limitado a 2.500 euros, salvo cuando
- Que no admitan el pago de primas el titular del dinero electrónico solicite
por parte del trabajador asegurado el reembolso de una cantidad igual o
que, sumadas a las abonadas por superior a 1.000 euros en el curso de ese
el empresario tomador del seguro, mismo año natural. Se excluye el dinero
supongan un importe superior a los electrónico emitido contra entrega de
límites establecidos por el artículo los medios de pago a que se refiere el
52.1.b) de la Ley 35/2006, de 28 de artículo 34.2.a) de la Ley 10/2010.
noviembre, para los instrumentos
• Los giros postales de las Administraciones
de previsión social complementaria Públicas o de sus organismos
enumerados en su artículo 51. dependientes y los giros postales
- Que no puedan servir de garantía oficiales para pagos del Servicio Postal
para un préstamo y no contemplen con origen y destino en el propio Servicio
otros supuestos de rescate distintos de Correos.
a los excepcionales de liquidez
• Los cobros o pagos derivados de
recogidos en la normativa de planes
comisiones generadas por reservas en el
de pensiones o a los recogidos
sector turístico que no superen los 1.000
en el artículo 29 del Real Decreto
euros.
• Los contratos de crédito al consumo Identificación formal de clientes;

por importe inferior a 2.500 euros
siempre que el reembolso se realice Identificación del titular real;
exclusivamente mediante cargo en
Establecimiento del propósito e índole
una cuenta corriente abierta a nombre
de la relación del negocio del cliente;
del deudor en una entidad de crédito
domiciliada en la Unión Europea o en Seguimiento continuo de la relación
países terceros equivalentes. de negocios.
• Los préstamos sindicados en los que el Estas medidas de diligencia debida

banco agente sea una entidad de crédito normales pueden ser aplicadas por terceros,
domiciliada en la Unión Europea o en exceptuando el seguimiento continuo de la
países terceros equivalentes, respecto de relación con los clientes, que tendrá que ser
las entidades participantes que no tengan llevado a cabo directamente por el sujeto
la condición de banco agente. obligado que establece la relación con el
cliente. Sin embargo, los sujetos obligados
• Los contratos de tarjeta de crédito cuyo
mantendrán la plena responsabilidad
límite no supere los 5.000 euros, cuando
respecto de la relación de negocios con
el reembolso del importe dispuesto
sus clientes, aun cuando el incumplimiento
únicamente pueda realizase desde una
de alguna de las medidas sea imputable
cuenta abierta a nombre del cliente en
al tercero al que se contrata el servicio de
una entidad de crédito domiciliada en la
aplicación de tales medidas.
Unión Europea o país tercero equivalente.
Identificación formal de clientes
Medidas normales de diligencia
debida La primera obligación es la de identificar
y verificar la identidad de los potenciales
Las medidas normales de diligencia debida clientes, tanto personas físicas como
son medidas estándar que tienen que aplicar jurídicas. Hay que distinguir entre la
todos los sujetos obligados a sus clientes. Las identificación, que es conocer la identidad
medidas de diligencia debida son aplicables de nuestro potencial cliente, es decir, saber
a cualquier tipo de cliente, es decir, tanto quién es, de la verificación de su identidad, es
a los nuevos como a los ya existentes. En decir, comprobar que realmente el cliente es
el caso de estos últimos, se deben aplicar quien dice ser. Para ello la norma nos obliga a
siempre que se contraten nuevos productos hacerlo a través de documentos fehacientes
o cuando se produzca una operación de en vigor. No podemos fiarnos de la identidad
importancia, tanto por su volumen como por que el cliente nos ha manifestado, sino que
su complejidad. debemos asegurarnos de que es real.
La diligencia normal consiste en cuatro La ley prohíbe establecer relaciones de

tipos de actuaciones: negocio o ejecutar operaciones con clientes
a los que no se les hayan podido aplicar las El artículo mencionado también establece
medidas de diligencia debida que hayamos especificidades para la identificación de
definido tanto en el momento de comenzar representantes, partícipes de entidades sin
nuestra relación como posteriormente. personalidad jurídica, fondos de inversión
y fideicomisos anglosajones (trust) u otros
El Real Decreto 304/2014, de 5 de mayo, por
instrumentos jurídicos análogos.
el que se aprueba el Reglamento de la Ley
10/2010, de 28 de abril, de prevención del Los documentos de identificación deberán
blanqueo de capitales y de la financiación del estar en vigor en el momento de establecer
terrorismo, en su artículo 6, establece los que relaciones de negocio o ejecutar operaciones
se considerarán documentos fehacientes, a ocasionales. Para las personas jurídicas, la
efectos de identificación formal: vigencia de los datos de la documentación
aportada la acreditarán mediante
Extranjeros
Españoles declaración responsable.
No EU-EEE EU/EEE
 Tarjeta Residencia, TIE o Identificación del titular real

Pasaporte
 Documento de identidad En el momento de establecimiento de la
expedido por el Ministerio de relación de negocio, los sujetos obligados
AAEE a personal diplomático
y consular. deben recabar información suficiente que
 Excepcionalmente, otros permita determinar si los clientes actúan
documentos de identidad por cuenta propia o ajena. En caso de que
Personas personal expedidos por una
DNI
Físicas autoridad gubernamental existan indicios o certeza de que los clientes
con garantías suficientes y no actúan por cuenta propia se recabará
fotografía del titular.
información precisa a fin de conocer la
También
mediante identidad de las personas por cuenta de las
documento de cuales actúan.
identidad de
autoridades de
origen La identificación y comprobación de la
Documentos públicos que acrediten identidad del titular real podrá realizarse, con
existencia y contengan: denominación carácter general, mediante una declaración
social, forma jurídica, domicilio, identidad
de sus administradores, estatutos y responsable del cliente o de la persona
número de identificación fiscal. que tenga atribuida la representación de
Personas También
la persona jurídica. A estos efectos, los
Jurídicas mediante
certifica- administradores de las sociedades u otras
ción del personas jurídicas deberán obtener y
Registro
Mercantil mantener información adecuada, precisa y
provincial. actualizada sobre la titularidad real de las
Documentos fehacientes para la identificación formal de clientes. mismas. En este sentido, se entiende por
Elaboración propia. Fuente: Artículo 6 RD 304/2014
titular real:
a. La persona o personas físicas por cuya de titulares reales todas las personas
cuenta se pretenda establecer una siguientes:
relación de negocios o intervenir en
e. El fideicomitente o fideicomitentes;
cualesquiera operaciones.
f. El fiduciario o fiduciaries;
b. La persona o personas físicas que en
g. El protector o protectores, si los
último término posean o controlen, directa
hubiera;
o indirectamente, un porcentaje superior
al 25% del capital o de los derechos de h. Los beneficiarios o, cuando aún estén
voto de una persona jurídica, o que por por designar, la categoría de personas
otros medios ejerzan el control, directo o en beneficio de la cual se ha creado o
indirecto, de una persona jurídica. actúa la estructura jurídica;
i. Cualquier otra persona física que

Se exceptúan las sociedades que coticen
ejerza en último término el control del
en un mercado regulado y que estén
fideicomiso a través de la propiedad
sujetas a requisitos de información
directa o indirecta o a través de otros
acordes con el Derecho de la Unión o a
medios.
normas internacionales equivalentes que
garanticen la adecuada transparencia de j. En el supuesto de instrumentos jurídicos
la información sobre la propiedad. análogos al trust, como las fiducias o
el treuhand de la legislación alemana,
c. Cuando no exista una persona física
los sujetos obligados identificarán y
que posea o controle, directa o
adoptarán medidas adecuadas a fin de
indirectamente, un porcentaje superior
comprobar la identidad de las personas
al 25% del capital o de los derechos de
que ocupen posiciones equivalentes
voto de la persona jurídica, o que por
o similares a las relacionadas en los
otros medios ejerza el control, directo
números 1.o a 5.o del apartado anterior.
o indirecto, de la persona jurídica, se
considerará que ejerce dicho control El sujeto obligado deberá documentar las
el administrador o administradores. acciones que ha realizado a fin de determinar
Cuando el administrador designado fuera la persona física que cumple con las
una persona jurídica, se entenderá ́ que condiciones establecidas en el punto anterior.
el control es ejercido por la persona física
nombrada por el administrador persona Excepción a la obligación de identificación
jurídica. Los sujetos obligados verificarán formal: No será preceptiva la identificación de
su identidad y consignarán las medidas los accionistas o titulares reales de empresas
tomadas y las dificultades encontradas cotizadas o de sus filiales participadas
durante el proceso de verificación. mayoritariamente cuando aquéllas estén
sometidas a obligaciones de información
d. En el caso de los fideicomisos, como el
que aseguren la adecuada transparencia de
trust anglosajón, tendrán la consideración
su titularidad real. Sin embargo, se ha de
tener presente el artículo 9.1 del Reglamento, “Cuando establezcan relaciones de negocio
en el que se establece la obligación de o realicen operaciones ocasionales, las
identificación del titular real y la adopción de entidades previstas en el apartado 1 tendrán
medidas adecuadas en función del riesgo a a disposición de los sujetos obligados la
fin de comprobar su identidad con carácter información a la que se refiere este artículo,
previo al establecimiento de relaciones a fin de que se pueda dar cumplimiento a las
de negocio, la ejecución de transferencias obligaciones en materia de prevención del
electrónicas por importe superior a 1.000 blanqueo de capitales y de la financiación
euros o a la ejecución de otras operaciones del terrorismo.”
ocasionales por importe superior a 15.000
euros. De acuerdo con la Ley 10/2010 las personas
responsables de mantener la información
Además, el Reglamento establece que será actualizada sobre la titularidad real serán:
necesaria la acreditación de la titularidad
real mediante la obtención por parte de • El administrador único o los
los sujetos obligados de documentación administradores mancomunados o
adicional o de información de fuentes fiables solidarios.
en los siguientes supuestos: • El Consejo de Administración, así como,
• En aquellos casos en los que el cliente, en particular, el secretario del Consejo de

la relación de negocios o la operación Administración, sea o no consejero.
presenten riesgos superiores al normal; • El patronato y el secretario.
• Cuando existan indicios de que la • El órgano de representación de la
identidad del titular real declarada por el asociación y el secretario.
cliente no es exacta o veraz;
Del mismo modo, la Ley 10/2010 indica que:
• Cuando concurran circunstancias que
determinen el examen especial. “Todas las personas físicas que tengan
la condición de titulares reales conforme
Asimismo, tras la transposición de la Directiva
a lo dispuesto en el artículo 4, tendrán
de UE 2018/1673 relativa a la lucha contra el
la obligación de suministrar de forma
blanqueo de capitales mediante el Derecho
inmediata, desde el momento en que tengan
penal, las personas jurídicas y las personas
conocimiento de ese hecho, a las personas
físicas que tengan la condición de titulares
relacionadas en el apartado 3, su condición
reales también están obligadas a informar a
de titulares reales, con inclusión de los
los sujetos obligados sobre la identidad del
siguientes datos de identificación:
titular o los titulares reales de esa persona
jurídica. • Nombre y apellidos.
• Fecha de nacimiento.
En este sentido, la Ley 10/2010 establece,
respecto a las obligaciones de las personas • Tipo y número de documento
jurídicas, lo siguiente: identificativo (en el caso de nacionales
españoles o residentes en España se Esta obligación de los sujetos obligados se

incluirá siempre el documento expedido concreta en:
en España).
• Solicitar información verbal sobre la
• País de expedición del documento actividad del cliente.
identificativo, en caso de no utilizarse el
• Solicitar información por escrito sobre la
Documento Nacional de Identidad o la
actividad del cliente.
tarjeta de residente en España.
• País de residencia. • Justificar documentalmente la

información aportada por el cliente.
• Nacionalidad.
• Criterio que cualifica a esa persona La regla general establece que los sujetos
como titular real. obligados recabarán previamente al
establecimiento de la relación de negocio,
• En caso de titularidades reales por
información del cliente, lo que en la práctica
propiedad directa o indirecta de
se traduce en cuestionarios bastante
acciones o derechos de voto, porcentaje
detallados o entrevistas personalizadas con
de participación, con inclusión, en
un responsable, exigiéndose la comprobación
el caso de propiedad indirecta, de la
de la actividad declarada en los siguientes
información sobre las personas jurídicas
supuestos:
interpuestas y su participación en cada
una de ellas. • Clientes con riesgo superior al promedio
por disposición o por análisis de riesgos
• Aquellos otros que, mediante norma
del sujeto.
reglamentaria, puedan determinarse.”
• Ausencia de correlación entre la actividad
La misma obligación se extiende a las
declarada por el cliente y la operativa
personas físicas o jurídicas residentes o con
desarrollada por el mismo.
establecimiento en España que actúen como
fiduciarios, gestionando o administrando • Supuestos de examen especial de
fideicomisos como el trust anglosajón y otros operaciones y/o comunicación por indicio.
tipos de instrumentos jurídicos análogos con
La comprobación de la actividad profesional
actividades en España.
o empresarial de los clientes se podrá realizar
Establecimiento del propósito e índole mediante visitas presenciales a las oficinas,
de la relación del negocio del cliente almacenes o locales declarados por el cliente
como lugares donde ejerce su actividad
Los sujetos obligados obtendrán información
mercantil, dejando constancia por escrito del
sobre el propósito e índole prevista de la
resultado de dicha visita.
relación de negocio, recabando para ello
información de sus clientes a fin de conocer El artículo 10.4 del Reglamento establece
la naturaleza de su actividad profesional o que se comprobará en todo caso la actividad
empresarial. declarada cuando concurran circunstancias
que determinen el examen especial de • Escrutinio de las operaciones efectuadas

conformidad con el artículo 17 de la Ley a lo largo de la relación de negocios, a
10/2010, de 28 de abril, o la comunicación por fin de garantizar que coincidan con la
indicio de conformidad con el artículo 18 de la actividad profesional o empresarial del
Ley 10/2010, de 28 de abril. cliente y con sus antecedentes operativos.
Seguimiento continuo de la relación de • El escrutinio tendrá carácter integral,

negocios debiendo incorporar todos los productos
del cliente con el sujeto obligado y, en su
La finalidad de esta actividad la establecida caso, con otras sociedades del grupo.
por el artículo 6 de la Ley 10/2010: “garantizar
• Al igual que en los procesos de revisión
que coincidan [las operaciones realizadas] con
documental, los sujetos obligados
el conocimiento que tenga el sujeto obligado
incrementarán en seguimiento en los
del cliente y de su perfil empresarial y de riesgo,
clientes que presenten riesgos superiores
incluido el origen de los fondos y garantizar que
al promedio.
los documentos, datos e información de que se
disponga estén actualizados”.
Medidas simplificadas de diligencia
De esta norma se desprende una doble
debida
actividad de comprobación:
En los supuestos de riesgo inferior al
• Adecuación de las operaciones del cliente promedio anteriormente descritos, los
(incluyendo el origen de los fondos); sujetos obligados podrán aplicar, en función
del riesgo y en sustitución de las medidas
• La actualización documental.
normales de diligencia, una o varias de las
Los sujetos obligados aplicarán las siguientes siguientes medidas:
medidas de seguimiento continuo a la • Comprobar la identidad del cliente o del

relación de negocios: titular real únicamente cuando se supere
• Revisión periódica de los expedientes un umbral cuantitativo con posterioridad
de los clientes, a fin de garantizar que al establecimiento de la relación de
los documentos, datos e información negocio. Este punto implicará definir el
obtenida como consecuencia de la umbral a partir del cual será necesario
aplicación de las medidas de diligencia comprobar la identidad.
debida se encuentran actualizados. • Reducir la periodicidad del proceso de
• La periodicidad de los procesos de revisión documental.
revisión documental (i) se determinará en • Reducir el seguimiento de la relación de

función del riesgo, (ii) vendrá recogida en negocio y el escrutinio de las operaciones
el Manual interno de procedimientos de que no superen un umbral cuantitativo.
PBCyFT y (iii) para los clientes de riesgo Este punto, al igual que en el supuesto
alto, será como mínimo, anual.
anterior, implicará definir el umbral • Obtener documentación o información

a partir del cual se incrementará el adicional sobre el origen del patrimonio
seguimiento de la relación de negocio y el del cliente.
escrutinio de las operaciones realizadas
• Obtener documentación o información
por el cliente.
sobre el propósito de las operaciones.
• No recabar información sobre la actividad
• Obtener autorización directiva para
profesional o empresarial del cliente,
establecer o mantener la relación de
infiriendo el propósito y naturaleza de
negocios o ejecutar la operación.
la misma por el tipo de operaciones o
relación de negocios establecida. • Realizar un seguimiento reforzado de
la relación de negocio, incrementando
Medidas reforzadas de diligencia el número y frecuencia de los controles
debida aplicados y seleccionando patrones de
operaciones para examen.
En los supuestos de clientes que tengan un
riesgo superior al promedio, los clientes • Examinar y documentar la congruencia
de riesgo alto anteriormente descritos, los de la relación de negocios o de las
sujetos obligados aplicarán, además de las operaciones con la documentación e
medidas normales de diligencia debida, una información disponible sobre el cliente.
serie de medidas reforzadas.
• Examinar y documentar la lógica
En general podemos considerar como económica de las operaciones.
diligencia reforzada aquellas medidas que • Exigir que los pagos o ingresos se
nos llevan a tener un mayor conocimiento realicen en una cuenta a nombre del
de los clientes y a comprobar la actividad de cliente, abierta en una entidad de crédito
los clientes el origen de sus fondos y de su domiciliada en la Unión Europea o en
patrimonio. países terceros equivalentes.
En el Reglamento se enumeran alguna de • Limitar la naturaleza o cuantía de las

las medidas que se pueden aplicar para operaciones o los medios de pago
conseguir una diligencia reforzada: empleados.
• Actualizar los datos obtenidos en el Uno de los factores de riesgo más

proceso de aceptación del cliente. importantes a la hora de determinar el riesgo
que asociamos a cada cliente es la operativa
• Obtener documentación o información
exterior y en particular la operativa con
adicional sobre el propósito e índole de la
países que consideramos de riesgo.
relación de negocios.
• Obtener documentación o información El criterio general que establece la Ley 10/2010

adicional sobre el origen de los fondos. para determinar si un país es de riesgo es
que el país en cuestión tenga deficiencias
estratégicas en la lucha contra el blanqueo desarrollos tecnológicos, y tomarán medidas

de capitales y la financiación del terrorismo o adecuadas a fin de impedir su uso para fines
que figure la lista de países elaborada por la de blanqueo de capitales o de financiación
Comisión Europea. del terrorismo. En tales casos, los sujetos
obligados efectuarán un análisis específico
Países de riesgo de los posibles riesgos en relación con el
blanqueo de capitales o la financiación del
Entre ellos, incluiremos aquellos que:
terrorismo, que deberá documentarse y estar
• No cuenten con sistemas de PBCYFT; a disposición de las autoridades competentes.
• Estén sujetos a sanciones o embargos;

Operaciones no presenciales
• Presenten niveles significativos de corrupción;
Una de las tipologías que la Ley 10/2010
• Faciliten financiación u apoyo a actividades considera como de mayor riesgo son todas
terroristas;
aquellas que en las que no existe un contacto
• Presenten un sector financiero extraterritorial físico con los clientes, es decir aquellas que se
significativo (centros off-shore); realizan por medios telemáticos, telefónicos
o electrónicos.
• Tengan la consideración de paraísos fiscales.
El hecho es que, en el año 2010, la

En estos casos, los sujetos obligados deberán identificación no presencial era una práctica
aplicar, además de las medidas normales de reducida, mientras que en la actualidad
diligencia debida, las siguientes medidas: puede considerarse como habitual, e incluso
única en algunos sujetos obligados.
• Conocer el número de clientes con
nacionalidad o residencia en paraísos La regla general es que la identificación y la
fiscales o territorios no cooperantes. comprobación de la identidad de los clientes
• Adoptar medidas adicionales de deben hacerse presencialmente, pero la
identificación y conocimiento de los realidad operativa de las entidades es que
mismos ya que a priori tienen un perfil de cada vez nos encontramos con una mayor
riesgo superior al promedio. operativa en la que no existe un contacto
físico con el cliente.
• Analizar en profundidad las operaciones
que realizan y realizar un seguimiento El Reglamento establece en su artículo 21
especial de cuentas y transacciones. los requisitos para establecer relaciones
de negocios y realizar operaciones no
Asimismo, los sujetos obligados también
presenciales:
deberán prestar especial atención a
todo riesgo de blanqueo de capitales o • La identidad del cliente quede acreditada
de financiación del terrorismo que pueda de conformidad con lo dispuesto en
derivarse de productos u operaciones la normativa aplicable sobre firma
propicias al anonimato, o de nuevos electrónica.
• La identidad del cliente quede acreditada documentación del proceso y los testeos de
mediante copia del documento de su eficacia que se hayan realizado por una
identidad, que corresponda, siempre persona con experiencia previa.
que dicha copia esté expedida por un
fedatario público. Durante el proceso de identificación, se
realizará la grabación con constancia
• El primer ingreso proceda de una cuenta de fecha y hora, siempre se tendrá que
a nombre del mismo cliente abierta en asegurar que la privacidad de la información.
una entidad domiciliada en España, en Sera necesario acreditar el documento
la Unión Europea o en países terceros identificativo y aportar una fotografía de
equivalentes. calidad.
• La identidad del cliente quede
El Informe de Experto Externo deberá revisar
acreditada mediante el empleo de
e incluir en su informe el funcionamiento de
otros procedimientos seguros de
este apartado.
identificación de clientes en operaciones
no presenciales, siempre que tales Corresponsalía bancaria
procedimientos hayan sido previamente transfronteriza
autorizados por el SEPBLAC.
Uno de los factores de mayor riesgo desde
En todo caso, en el plazo de un mes desde la perspectiva del blanqueo de capitales son
el establecimiento de la relación de negocios las operaciones que realizan las entidades
no presencial, los sujetos obligados deberán como corresponsales de otras entidades
obtener de estos clientes una copia de los bancarias. El hecho de que el cliente sea
documentos necesarios para practicar otra entidad financiera puede provocar que
la diligencia debida. Si no se aporta el
se relajen los controles o que consideremos
documento se debe bloquear o suspender la
que el riesgo es menor, pero, sin embargo,
relación de negocios en tanto no sea recibido.
al perder el contacto con el cliente final, el
El SEPBLAC publicó en 2016 y 2017 una guía riesgo que asumimos es mayor y deben
y autorizaciones para la realización de los ser consideradas como actividades que
procesos de identificación de los clientes exigen una valoración adecuada del riego de
mediante videoconferencia y en general blanqueo de capitales.
medios telemáticos. Para poder llevarlos
En estos casos, es necesario establecer
a cabo se exigen una serie de requisitos
procedimientos internos que posibiliten
técnicos y procedimentales para asegurar
que el sujeto obligado realice las siguientes
que se realiza de forma segura, los indicamos
actuaciones:
de forma muy resumida.
• Conocer a la entidad con la que vamos a
Previamente, se debe realizar un análisis de
trabajar: sus actividades, su reputación y
los riesgos del nuevo canal y la tecnología
calidad de supervisión;
en la que se va a basar, aportando la
• Realizar una adecuada diligencia debida Personas con responsabilidad pública

a través de la evaluación de los controles (PEPs/PRPs)
que aplica en materia de prevención del
blanqueo de capitales Tal y como se ha indicado anteriormente,
los sujetos obligados aplicarán medidas
• Someter el acuerdo a la aprobación de reforzadas de diligencia debida en las
un directivo con jerarquía suficiente y relaciones de negocio u operaciones en las que
el conocimiento adecuado del nivel de intervengan personas con responsabilidad
exposición del sujeto obligado al riesgo pública.
de blanqueo;
La Ley considera personas con responsabilidad
• No establecer relaciones de pública las siguientes:
corresponsalía con bancos pantalla (shell
“Se considerarán personas con
banks), entendiendo por tales los que
responsabilidad pública aquellas que
no tienen presencia física en ningún
desempeñen o hayan desempeñado
país ni pertenecen a grupos financieros
funciones públicas importantes, tales
conocidos con sede en países con
como los jefes de Estado, jefes de
suficiente supervisión financiera;
Gobierno, ministros u otros miembros
• Rechazar el establecimiento de relaciones de Gobierno, secretarios de Estado o
con bancos que mantengan relaciones de subsecretarios; los parlamentarios; los
corresponsalía con bancos pantalla; magistrados de tribunales supremos,
tribunales constitucionales u otras altas
• Adoptar medidas para impedir que instancias judiciales cuyas decisiones no
los clientes del banco corresponsal admitan normalmente recurso, salvo
puedan hacer uso directo y en su propio en circunstancias excepcionales, con
nombre de la cuenta corresponsal. Las inclusión de los miembros equivalentes del
operaciones que se canalicen a través de Ministerio Fiscal; los miembros de tribunales
las cuentas de los corresponsales deberán de cuentas o de consejos de bancos
tener información suficiente acerca de centrales; los embajadores y encargados
sus ordenantes, evitando la utilización de de negocios; el alto personal militar de las
cláusulas genéricas; Fuerzas Armadas; los miembros de los
órganos de administración, de gestión o
• Mantener un conocimiento continuo
de supervisión de empresas de titularidad
y actualizado de la actividad de los
pública; los directores, directores adjuntos
corresponsales, estableciendo, en función
y miembros del consejo de administración,
de los países en los que radique su sede
o función equivalente, de una organización
social, criterios más o menos exigentes
internacional; y los cargos de alta dirección
sobre la documentación mínima necesaria
de partidos políticos con representación
que debe estar disponible.
parlamentaria.
Asimismo, tendrán la consideración de A este respecto, cabe señalar que en

personas con responsabilidad pública: julio de 2020, la Comisión de Prevención
del Blanqueo de Capitales e Infracciones
a) Las personas, distintas de las enumeradas
Monetarias publicó el documento Relación
en el apartado anterior, que tengan la
de puestos que determinan la consideración
consideración de alto cargo de conformidad
de persona con responsabilidad pública a
con lo previsto en el artículo 1 de la Ley
efectos de lo previsto en el artículo 14 de la
3/2015, de 30 de marzo, reguladora del
ejercicio de altos cargos de la Administración ley 10/2010, de 28 de abril, de prevención del
General del Estado. blanqueo de capitales y de la financiación del

terrorismo, si bien limitado a la determinación
b) Las personas que desempeñen o hayan de la consideración de “persona con
desempeñado funciones públicas importantes
responsabilidad pública española”.
en el ámbito autonómico español, como
los Presidentes y los Consejeros y demás Por otro lado, los sujetos obligados aplicarán
miembros de los Consejos de Gobierno, así las medidas establecidas a continuación a los
como las personas que desempeñen cargos familiares y allegados de las personas con
equivalentes a los relacionados en la letra responsabilidad pública.
a), y los diputados autonómicos y los cargos
de alta dirección de partidos políticos con Tendrá la consideración de familiar el
representación autonómica. cónyuge o la persona ligada de forma estable
por análoga relación de afectividad, así como
c) En el ámbito local español, los alcaldes,
los padres e hijos, y los cónyuges o personas
concejales y las personas que desempeñen
ligadas a los hijos de forma estable por
cargos equivalentes a las relacionadas
análoga relación de afectividad.
en la letra a) de los municipios capitales
de provincia, o de Comunidad Autónoma Por último, se considerará allegado toda
y de las Entidades Locales de más de persona física de la que sea notorio que
50000 habitantes, así como los cargos de ostente la titularidad o el control de un
alta dirección de partidos políticos con instrumento o persona jurídicos juntamente
representación en dichas circunscripciones. con una persona con responsabilidad pública,
d) Los cargos de alta dirección en o que mantenga otro tipo de relaciones

organizaciones sindicales o empresariales empresariales estrechas con la misma, o
españolas. que ostente la titularidad o el control de
un instrumento o persona jurídicos que
e) Las personas que desempeñen funciones
notoriamente se haya constituido en su
públicas importantes en las organizaciones
beneficio.
internacionales acreditadas en España. Estas
organizaciones deberán elaborar y mantener Los sujetos obligados deberán aplicar,
actualizada una lista de esas funciones además de las medidas normales de
públicas de conformidad con lo señalado en diligencia debida, las siguientes medidas:
el aptdo 2.”
• Aplicar procedimientos adecuados de naturaleza, pueda estar relacionado con

gestión del riesgo a fin de determinar si el blanqueo de capitales o la financiación
el cliente o el titular real es una persona del terrorismo, reseñando por escrito los
con responsabilidad pública. Dichos resultados del examen y comunicándolo al
procedimientos se incluirán en la política SEPBLAC si se considera necesario.
expresa de admisión de clientes a que se
refiere el artículo 26.1.de la LPBC. Comunicación de operaciones
sospechosas
• Obtener la autorización del inmediato
nivel directivo, como mínimo, para La comunicación de operaciones sospechosas
establecer o mantener relaciones de es el resultado de un proceso de análisis y
negocios. revisión de la operativa de los clientes y de
la información que se recibe directamente
• Adoptar medidas adecuadas a fin de
de los empleados sobre las operaciones
determinar el origen del patrimonio y de
sospechosas. Este proceso consta de los
los fondos.
siguientes elementos:
• Realizar un seguimiento reforzado y
permanente de la relación de negocios.
14.6.3. Obligaciones de información
El segundo gran bloque de obligaciones de

los sujetos obligados se relaciona con todas
aquellas obligaciones que están relacionadas
con la comunicación al SEPBLAC de
operaciones sospechosas a partir del análisis Desde el punto de vista documental, los
y revisión de la información que se tiene de sujetos obligados mantendrán un registro en
los clientes. el que, por orden cronológico, se recogerán

para cada expediente de examen especial
Hay dos tipos de obligaciones de información realizado, la conclusión alcanzada tras el
por parte de los sujetos obligados: examen y las razones en las que se basa la
• Comunicación de operaciones comunicación o no.
sospechosas;
Generación de alertas por un proceso
• Declaración regular de operaciones centralizado
(comunicación sistemática, como la DMO
Los sujetos obligados deben dotarse de un
o Declaración Mensual de Operaciones).
proceso que les permita detectar aquellas
La obligación genérica que tienen los operaciones de sus clientes que deben ser
sujetos obligados es examinar con especial analizadas por el riesgo de estar relacionadas
atención cualquier hecho u operación, con con operaciones de blanqueo de capitales o
independencia de su cuantía, que, por su aquellas operaciones que por su complejidad
o falta de un propósito económico aparente herramientas deben ser parametrizadas para

consideren que deben ser revisadas. que, de acuerdo con determinados perfiles
de riesgo y con la ruptura de determinadas
El proceso de generación de alertas debe
pautas de comportamiento operativo de
estar documentado en un procedimiento los clientes, se generen las alertas de forma
en el que se determine qué operativa se automática y se permita su posterior análisis.
considera de riesgo, cuáles son los umbrales
en las operaciones y, en general, todos los Este proceso de parametrización es el
elementos y factores que puedan determinar más complicado, ya que una incorrecta
la consideración de una operativa como de parametrización puede llevar a la generación
riesgo. de un número excesivo de alertas que
no respondan a los parámetros de riesgo
Guías sectoriales de operaciones y factores adecuados (es lo que se conoce como “falsos
de riesgo. positivos”).
Para determinar las operaciones y factores de La generación de un número muy elevado

riesgo, son de gran utilidad los catálogos de
de falsos positivos obliga al análisis de estas
operaciones sospechosas que publica la Dirección
alertas y detrae un gran número de recursos
General del Tesoro.
que pueden dejar de analizar otras operativas
Estos catálogos realizan un análisis sectorial de de mayor riesgo.
las operaciones que pueden ser utilizadas para el
blanqueo de capitales. El riesgo puede darse también en sentido
contrario, es decir, que se genere un número
Existen guías sobre los siguientes sectores:
demasiado bajo de alertas y que exista el
• Entidades aseguradoras
riesgo de no detectar aquellas operaciones
• Entidades de crédito que sí se encuadran dentro de las operativas
• Entidades de pago, cambio de moneda, giro o de riesgo.
transferencia.
Las alertas establecidas en los procedimientos
• Joyerías, piedras y metales preciosos, arte y
de control interno serán objeto de revisión
antigüedades
periódica con objeto de garantizar su
• Profesionales (notarios, abogados, permanente adecuación a las características
registradores, auditores…etc)
y nivel de riesgo de la operativa del sujeto
• Sector inmobiliario obligado.
• Valores
Análisis y cierre de las alertas
• Casinos
La unidad técnica de PBC deberá revisar cada
La generación de estas alertas puede una de las alertas generadas. Para ello, el
realizarse a través aplicaciones informáticas, sujeto obligado debe tener un procedimiento
que permiten detectar las operaciones que descrito de forma detallada, indicándose
por su riesgo precisan ser analizadas. Las los pasos a seguir (petición de información
adicional a oficinas, fuentes a consultar, a. Difundir internamente una relación

comprobaciones a realizar, etc.) y la persona de operaciones susceptibles de estar
o el departamento encargado de ello. relacionadas con el blanqueo de capitales
o la financiación del terrorismo, adaptada
Para cada una de las alertas debe existir
al tipo de sujeto obligado y a su perfil de
una conclusión, que puede ser el cierre de la riesgo.
alerta (al considerarla como no sospechosa) o
que sea necesario realizar un análisis especial En esta relación incluirán, en todo caso,
de la misma. los siguientes supuestos:
• Cuando la naturaleza o el volumen de

En todo caso el sujeto obligado debe conservar
las operaciones activas o pasivas de
evidencia documental del proceso de análisis
los clientes no se corresponda con su
realizado y de las razones y documentación
actividad o antecedentes operativos.
sobre las que se basa la decisión
Cuando una misma cuenta, sin
Comunicaciones realizadas por causa que lo justifique, venga siendo
empleados abonada mediante ingresos en

efectivo por un número elevado de
Los sujetos obligados tienen una fuente personas o reciba múltiples ingresos
de información muy importante en sus en efectivo de la misma persona.
empleados y agentes, ya que son los que
• Pluralidad de transferencias realizadas
tienen un conocimiento y trato directo con
por varios ordenantes a un mismo
el cliente y las operaciones. Nadie mejor
beneficiario en el exterior o por un
que ellos para poder sospechar que una
único ordenante en el exterior a varios
operativa realizada por un cliente no se
beneficiarios en España, sin que se
encuadra dentro de las operativa que se aprecie relación de negocio entre los
pueden esperar de él, en base a la actividad intervinientes.
que realiza habitualmente, los servicios que
• Movimientos con origen o destino en
se le prestar, la tipología del cliente, etc.
territorios o países de riesgo.
Los sujetos obligados deben dotarse de un • Transferencias en las que no se
procedimiento que recoja la forma en las contenga la identidad del ordenante
que los empleados deben hacer llegar la o el número de la cuenta origen de la
información al responsable del blanqueo de transferencia.
capitales. En todo caso, deberán adoptar las
• Operativa con agentes que, por su
siguientes medidas:
naturaleza, volumen, cuantía, zona
geográfica u otras características
de las operaciones, difieran
significativamente de las usuales u
ordinarias del sector o de las propias
Medidas en las comunicaciones realizadas por empleados.
Elaboración propia del sujeto obligado.
• Los tipos de operaciones que • En el caso de los registradores, la

establezca la Comisión. Estas obligación de abstención no impedirá la
operaciones serán objeto de inscripción del acto o negocio jurídico en
publicación o comunicación a los los registros de la propiedad, mercantil o
sujetos obligados, directamente de bienes muebles.
o por medio de sus asociaciones
• En el caso de los notarios, podrán negar
profesionales.
la autorización o ejercer este deber si en
b. Establecer un cauce de comunicación la operación se constara la existencia, (i)
con los órganos de control interno, con bien de varios indicadores de riesgo de los
instrucciones precisas a los directivos, señalados por el órgano centralizado de
empleados y agentes sobre cómo prevención o (ii) bien de indicio manifiesto
proceder en caso de detectar cualquier de simulación o fraude de ley228.
hecho u operación que pudiera estar
Examen especial
relacionado con el blanqueo de capitales
o la financiación del terrorismo. Los sujetos obligados examinarán con
c. Aprobar un formulario orientativo del especial atención cualquier hecho u
contenido mínimo que deberá incluir la operación, con independencia de su
comunicación interna de operaciones. cuantía, que, por su naturaleza, pueda estar
relacionado con el blanqueo de capitales o
d. Garantizar la confidencialidad de las
la financiación del terrorismo, reseñando
comunicaciones de operaciones de riesgo
por escrito los resultados del examen. En
realizadas por los empleados, directivos o
particular, los sujetos obligados examinarán
agentes.
con especial atención toda operación o pauta
de comportamiento compleja, inusual o sin
Abstención de ejecución
un propósito económico o lícito aparente, o
Los sujetos obligados se abstendrán de que presente indicios de simulación o fraude.
ejecutar cualquier operación que tenga
Las características que debe tener del
sospechas de estar relacionada con el
examen especial son las siguientes:
blanqueo de capitales o la financiación del
terrorismo. No obstante, cuando dicha • Debe ser de naturaleza integral, es decir,
abstención no sea posible o pueda dificultar se analizará toda la operativa relacionada
la investigación, los sujetos obligados todos los intervinientes en la operación
podrán ejecutar la operación, efectuando y toda la información relevante obrante
inmediatamente una comunicación al en el sujeto obligado y, en su caso, en el
SEPBLAC explicando los motivos que grupo empresarial.
justificaron la ejecución de la operación.
Dos particularidades respecto a este deber: 228 Para ello, el notario recabará del cliente los datos precisos para
valorar la concurrencia de tales indicadores o circunstancias en
la operación.
• Se realizará de modo estructurado, y si existiesen indicios o sospechas de

documentándose las fases de análisis, blanqueo de capitales.
las gestiones realizadas y las fuentes de
La decisión tomada tras la realización del
información consultadas.
examen especial siempre deberá ser la
• Las decisiones sobre comunicación comunicación o no al SEPBLAC de la operativa
deberán responder a criterios analizada. Esta decisión deberá ser puesta
homogéneos, haciéndose constar la en conocimiento del empleado que generó la
motivación en el expediente. comunicación, si este es el origen del análisis.
• Los resultados del examen han de estar

plasmados por escrito229. Información mínima del Análisis de una
operación
• La información sobre las operaciones en
• Fecha de apertura y cierre.
examen especial debe guardarse en un
registro donde se recogerán por orden • Motivo del examen.
cronológico los análisis realizados. • Descripción de las operaciones.
• El plazo de conservación de los • Conclusión razonada.

expedientes de examen especial es de • Decisión razonada de su comunicación al
diez años. SEPBLAC.
Medidas del proceso de Examen Especial En la mayoría de los sujetos obligados
Algunas que pueden llevarse a cabo son: la decisión final sobre si comunicar o no
al SEPBLAC corresponderá al Órgano de
• Consultar y revisar todas las operaciones
Control Interno, como máximo responsable
realizadas por el cliente como titular o
en materia de prevención del blanqueo de
interviniente;
capitales y financiación del terrorismo y la
• Solicitar información sobre la operación: proliferación.
facturas, certificados de exportación, etc;
El procedimiento de control interno deberá
• Consultar bases de datos de información
económica; prever la forma en que se debe tomar esta
decisión, que en todo caso siempre se
• Búsqueda a través de fuentes públicas: Internet,
deberá tomar por mayoría de sus miembros,
registros públicos, prensa, RRSS, etc.
debiendo constar de forma expresa en el
acta de la reunión el sentido y la motivación
Las conclusiones del examen especial
del voto de cada uno de ellos.
deben quedar recogidas en un informe que
determine la razonabilidad de las operaciones En el caso de que la decisión sea la de realizar
la comunicación al SEPBLAC, ésta debe
realizarse sin demora y debe ir acompañada
229 Regulado en el artículo 17 de la Ley 10/2010 y en el artículo 25 del
Real Decreto 304/2014. de medidas que mitiguen el riesgo, tales como
la cancelación de la relación de negocios o la En particular, se consideran operaciones

limitación de su operativa y el seguimiento de por indicio y se comunicarán al SEPBLAC
su actividad de forma más detallada. los casos que, tras el examen especial,
el sujeto obligado conozca, sospeche o
Comunicación por indicio
tenga motivos razonables para sospechar
Los sujetos obligados comunicarán, por que tengan relación con el BC, o con sus
iniciativa propia, cualquier hecho u operación, delitos precedentes o con la FT, incluyendo
incluso la mera tentativa, respecto al que, tras aquellos casos que muestren una falta
el examen especial al que nos hemos referido de correspondencia ostensible con la
anteriormente, exista indicio o certeza de naturaleza, volumen de actividad o
que está relacionado con el BC o la FT. antecedentes operativos de los clientes,

siempre que en el examen especial no se
aprecie justificación económica, profesional
Contenido mínimo de las comunicaciones
al SEPBLAC o de negocio para la realización de las
(Art 18 Ley 10/2010) operaciones.
• Relación e identificación de las personas físicas Las comunicaciones serán realizadas

o jurídicas que participan en la operación y siempre por el representante del sujeto
concepto de su participación en ella.
obligado ante el SEPBLAC a través del
• Actividad conocida de las personas físicas formulario F-19 firmado por el legal
o jurídicas que participan en la operación representante y entregado bien por correo
y correspondencia entre la actividad y la postal o vía telemática.
operación.
Comunicación sistemática
• Relación de operaciones vinculadas y fechas a
que se refieren, con indicación de su naturaleza,
Los sujetos obligados deben realizar
moneda en que se realizan, cuantía, lugar o
periódicamente declaraciones sistemáticas
lugares de ejecución, finalidad e instrumentos
de las operaciones (Declaración Mensual de
de pago o cobro utilizados.
Operaciones o “DMO”).
• Gestiones realizadas por el sujeto obligado
comunicante para investigar la operación Esta comunicación se entiende que se realiza
comunicada. de forma automática sin entrar a considerar
• Exposición de las circunstancias de toda índole si las operaciones pueden estar o no

de las que pueda inferirse el indicio o certeza de relacionadas con el blanqueo de capitales,
relación con el BC o con la FT o que pongan de es decir, toda operación que cumpla con
manifiesto la falta de justificación económica, los criterios definidos por el SEPBLAC debe
profesional o de negocio para la realización de estar incluirse en el listado de operaciones
la operación.
a remitir.
• Cualesquiera otros datos relevantes para la
prevención del BC o la FT que se determinen
reglamentariamente.
Operaciones que deben comunicarse al • La comunicación se realiza en los 15 primeros

SEPBLAC días de cada mes y debe referirse a las
(Art 27 Reglamento) operaciones del mes natural inmediatamente
anterior. La comunicación se realiza a través
• Las operaciones que lleven aparejado
de la aplicación DMO que el SEPBLAC pone a
movimiento físico de moneda metálica, papel
disposición de los sujetos obligados.
moneda, cheques de viaje, cheques u otros
documentos al portador librados por entidades
de crédito, con excepción de las que sean objeto Colaboración con el SEPBLAC y
de abono o cargo en la cuenta de un cliente, por otros organismos
importe superior a 30.000 € o contravalor en
moneda extranjera. La Ley 10/2010 y el Reglamento establecen
la obligación de los sujetos obligados
• Los sujetos obligados que realicen envíos de
de responder a los requerimientos de
dinero comunicarán al Servicio Ejecutivo de la
Comisión las operaciones que lleven aparejado información de la Comisión de Prevención,
movimiento físico de moneda metálica, papel SEPBLAC, o de sus órganos de apoyo o por
moneda, cheques de viaje, cheques u otros cualquier otra autoridad pública o agente
documentos al portador. de los Cuerpos y Fuerzas de Seguridad
• Las operaciones realizadas por o con personas habilitados.

físicas o jurídicas que sean residentes, o actúen
Los sujetos obligados facilitarán la
por cuenta de estas, en territorios o países que
al efecto se designen por Orden del Ministro documentación e información que
de Economía y Competitividad, así como las les requieran para el ejercicio de sus
operaciones que impliquen transferencias de competencias. Los requerimientos precisaran
fondos a o desde dichos territorios o países, la documentación que haya de ser aportada
cualquiera que sea la residencia de las personas o los extremos que hayan de ser informados
intervinientes, siempre que el importe de las
e indicaran expresamente el plazo en que
referidas operaciones sea superior a 30.000 € o
deban ser atendidos.
su contravalor en moneda extranjera.
• Las operaciones que supongan movimientos Transcurrido el plazo para la remisión de la

de medios de pago sujetos a declaración documentación o información requerida sin
obligatoria. que esta haya sido aportada o cuando se
aporte de forma incompleta por omisión de
• La información agregada sobre la actividad de
envíos de dinero, definida en el artículo 2 de la datos que impidan examinar la situación en
Ley 16/2009, de 13 de noviembre, de servicios debida forma, se entenderá ́ incumplida la
de pago, desglosada por países de origen o obligación de colaboración establecida.
destino y por agente o centro de actividad.
Los sujetos obligados establecerán sistemas
• La información agregada sobre la actividad de
que les permitan responder de forma
transferencias con o al exterior de las entidades
completa y diligente a las solicitudes de
de crédito, desglosada por países de origen o
información que les curse sobre si mantienen
destino.
o han mantenido a lo largo de los diez años
anteriores relaciones de negocios con • La comunicación de información

determinadas personas físicas o jurídicas y entre auditores de cuentas, contables
sobre la naturaleza de dichas relaciones. externos, asesores fiscales, abogados,
procuradores o profesionales
Los sujetos obligados y sus directivos o
independientes, cuando ejerzan sus
empleados no revelarán al cliente ni a
actividades profesionales, ya sea como
terceros que se ha comunicado información
empleados o de otro modo, dentro de
al SEPBLAC, que se está ́ examinando o puede
la misma entidad jurídica o en una red,
examinarse alguna operación, por si pudiera
entendida como la estructura más
estar relacionada con el BC o FT.
amplia a la que pertenece la persona y
Prohibición de revelación que comparte una propiedad, gestión o

supervisión de cumplimiento comunes.
Los sujetos obligados- incluyendo sus
• La comunicación de información,
directivos o empleados- no revelarán al
referida a un mismo cliente y a una
cliente ni a terceros que se ha comunicado
misma operación en la que intervengan
información al SEPBLAC, o que se está
dos o más entidades o personas, entre
examinando o puede examinarse alguna
entidades financieras o entre los sujetos
operación por si pudiera estar relacionada
obligados a que se refieren el supuesto
con el BC o FT.
anterior, siempre que (i) pertenezcan a
Esta prohibición230 no incluirá la revelación la misma categoría profesional, (ii) estén
a las autoridades competentes, órganos sujetos a obligaciones equivalentes
centralizados de prevención, o la revelación en lo relativo al secreto profesional y
por motivos policiales en el marco de a la protección de datos personales
una investigación penal. No obstante, la y (iii) la información intercambiada
prohibición de revelación no impedirá: sea exclusivamente a efectos de la
prevención del blanqueo de capitales y
• La comunicación de información entre
de la financiación del terrorismo.
sujetos obligados que pertenezcan
al mismo grupo, de acuerdo con la Dichas excepciones también se aplicarán
definición de grupo establecida en el a la comunicación de información entre
art 42 del Código de Comercio. Esta personas o entidades domiciliadas en
excepción es aplicable a la comunicación la Unión Europea o en países terceros
de información con sujetos obligados equivalentes, pero no respecto a las
domiciliados en terceros países, siempre personas o entidades domiciliadas en países
que se aplique en ellos políticas y terceros no calificados como equivalentes
procedimientos de grupo que cumplan o respecto de los que la Comisión Europea
con los requisitos establecidos en la ley. adopte la decisión al respecto.
230 Regulada en el artículo 24 de la Ley 10/2010 y en el artículo 12 del

RD 304/2014.
Conservación de documentos Documentación a conservar por el sujeto

obligado
Como ya se ha visto en los apartados
• Copias de los documentos fehacientes de
anteriores, la recogida de información
identificación;
y documentación del cliente es parte
fundamental para el correcto cumplimiento, • Declaraciones que pudiera haber realizado el
por parte del sujeto obligado, de las medidas cliente;
de diligencia debida que resultaran aplicables. • Documentación e información aportada

por el cliente u obtenida de fuentes fiables
Lógicamente, esta documentación e
independientes;
información, no solo es útil para el
conocimiento y seguimiento del cliente • Documentación contractual de la relación de
negocio;
por parte del sujeto obligado, sino que
proporciona, si fuera necesario, las pruebas • Original o copia con fuerza probatoria de
e información necesaria a las autoridades los documentos o registros que acrediten
públicas (SEPBLAC, policía judicial, etc.) en adecuadamente las operaciones, los
los análisis o investigaciones que pudieran intervinientes en las mismas y las relaciones de
llevarse a cabo. negocio que el cliente pudiera haber realizado;
• Resultados de cualquier análisis efectuado;

Igualmente, y no menos importante, es la
rapidez y la calidad de la documentación e • Cualesquiera otros documentos hubieran
información que pueda aportar el sujeto sido exigibles en aplicación de las medidas de
diligencia debida que corresponda a ese cliente
obligado a la correspondiente autoridad, lo
en base a una aproximación por riesgo.
cual es reflejo del nivel de control llevado en
materia de prevención por parte del sujeto
obligado, pudiendo llegar a ser objeto de Las copias de los documentos fehacientes
sanción las ineficiencias detectadas en la de identificación formal del cliente deberán
entrega de la información. ser almacenadas en soportes ópticos,
magnéticos o electrónicos que garanticen su
Por todo ello, la normativa ha desarrollado integridad, la correcta lectura de los datos, la
una serie de obligaciones específicas de imposibilidad de manipulación y su adecuada
conservación de la documentación obtenida conservación y localización.
de sus clientes por parte de los sujetos
obligados. Es habitual que bastantes sujetos obligados
tengan la documentación digitalizada, tanto
La obligación de conservación de toda la
de cara a su propio seguimiento como a
documentación, obtenida o generada como
una ágil respuesta ante requerimientos de
resultado de la aplicación de las medidas
autoridades públicas (excluyendo a los que
de diligencia debida por parte del cliente, se
el Art. 31 del Reglamento exonera de cumplir
extiende durante un periodo de diez años
con todas las obligaciones de control interno:
desde la terminación de la relación de negocio
microempresas).
o la ejecución de la operación ocasional.
En todo caso, los registros donde se encuentre de riesgo, y así ́ luchar contra el blanqueo de
la documentación recogida deberán permitir capitales y la financiación del terrorismo.
la reconstrucción de las operaciones
Los sujetos obligados deberán aprobar
realizadas y asegurar su adecuada gestión
por escrito y aplicar dichas políticas y
y disponibilidad, tanto a efectos de control
procedimientos. Con carácter general,
interno como de atención en tiempo y forma
deberán ser aprobados por su órgano
a los requerimientos de las autoridades.
de gobierno (para sujetos obligados cuyo
14.6.4. Medidas de control interno volumen de negocios anual supere los 50M
€ o cuyo balance general anual supere los
La normativa sobre prevención del blanqueo
43M € existe la posibilidad de que sea el
de capitales incluye la obligación de que los
propio OCI de PBCyFT el que apruebe estos
sujetos obligados tengan una estructura
procedimientos).
interna adecuada, que deberá contar como
mínimo con los siguientes elementos: Los procedimientos de control interno
deberán permitir al sujeto obligado:
Manual de Prevención del Blanqueo
de Capitales y de la Financiación a. Centralizar, gestionar, controlar
del Terrorismo. y almacenar de modo eficaz la
documentación e información de los
Estructura de organización interna.
clientes y de las operaciones que se
Examen del experto externo. realicen.
b. Verificar la efectiva aplicación de los

Formación de empleados.
controles previstos y reforzarlos en caso
necesario.
Manual de Prevención del
Blanqueo de Capitales y de la c. Adoptar y aplicar medidas reforzadas
Financiación del Terrorismo para gestionar y mitigar los riesgos más
elevados.
Uno de los elementos fundamentales del
marco de control interno son el conjunto de d. Agregar las operaciones realizadas a fin
políticas y procedimientos que recogen las de detectar potenciales fraccionamientos
medidas que los sujetos obligados se han y operaciones conectadas.
dotado para cumplir con sus obligaciones e. Determinar, con carácter previo, si
en materia de prevención del blanqueo de procede el conocimiento y verificación de
capitales. la actividad profesional o empresarial del
cliente.
Este elemento tiene un carácter preventivo y
debe poner en conocimiento de los miembros f. Detectar cambios en el comportamiento
de una organización, con la finalidad de que operativo de los clientes o inconsistencias
todos sepan cómo actuar ante operaciones con su perfil de riesgo.
g. Impedir la ejecución de operaciones financiación del terrorismo, que: (i) deberá ser
cuando no consten completos los datos actualizado periódicamente y siempre que
obligatorios del cliente o de la operación. sea necesario, (ii) deberá ser comunicado y
conocido por todos sus empleados o agentes
h. Impedir la ejecución de operaciones por
del sujeto obligado y (iii) deberá estar, en todo
parte de personas o entidades sujetas a
caso, a disposición del SEPBLAC.
prohibición de operar.
Dichas medidas de control podrán
i. Seleccionar para su análisis operaciones
establecerse a nivel de grupo, siempre que
en función de alertas predeterminadas y
dicha decisión se comunique al SEPBLAC,
adecuadas a su actividad.
especificando los sujetos obligados
j. Mantener una comunicación directa del comprendidos dentro de la estructura del
OCI con la red comercial. grupo y teniendo en cuenta que el Manual
k. Atender de forma rápida, segura y eficaz interno deberá hacer mención a los diferentes
los requerimientos de documentación sectores de actividad, modelos de negocio y
e información de la Comisión, de sus perfiles de riesgo y preverán los intercambios
órganos de apoyo o de cualquier otra de información necesarios para una gestión
autoridad pública legalmente habilitada. integrada del riesgo.
l. Cumplimentar la comunicación Los órganos de control interno del grupo

sistemática de operaciones al Servicio deberán tener acceso, sin restricción alguna,
Ejecutivo de la Comisión o, en su caso, la a cualquier información obrante en las
comunicación semestral negativa. filiales o sucursales que sea precisa para el
desempeño de sus funciones de prevención
Los procedimientos internos de PBCyFT de blanqueo de capitales y de la financiación
deberán fundamentarse en el análisis previo del terrorismo.
del riesgo de cada sujeto obligado, que
deberá ser revisado periódicamente y en
Manual PBCYFT/FP
todo caso con carácter previo al lanzamiento (Contenido mínimo)
de un nuevo producto, la prestación de un
A título descriptivo, se recoge el contenido mínimo
nuevo servicio o el empleo de un nuevo
de un Manual de PBCyFT:
canal de distribución y dependerá de tipo
de clientes, países o áreas geográficas, • Política de admisión de clientes del sujeto
obligado, con una descripción precisa de los
productos, servicios, operaciones y canales
clientes que potencialmente puedan suponer
de distribución.
un riesgo superior al promedio por disposición
normativa o porque así se desprenda del
Los procedimientos de control interno que se
análisis de riesgo.
han elaborado a partir del análisis de riesgos
deben ser incorporados a un Manual de • Procedimiento estructurado de diligencia
debida que incluirá la periódica actualización
prevención del blanqueo de capitales y de la
de la documentación e información exigibles.
• Procedimiento estructurado de aplicación • Procedimiento de verificación periódica de

de las medidas de diligencia debida a los la adecuación y eficacia de las medidas de
clientes existentes en función del riesgo que control interno.
tendrá en cuenta, en su caso, las medidas
• Periódica actualización de las medidas de
aplicadas previamente y la adecuación de los
control interno.
datos obtenidos.
• Procedimiento de conservación de
• Relación de hechos u operaciones que, por
documentos que garantice su adecuada
su naturaleza, puedan estar relacionados
gestión e inmediata disponibilidad.
con el blanqueo de capitales, financiación del
terrorismo o de la proliferación, estableciendo
su periódica revisión y difusión entre los Estructura de organización interna
directivos, empleados y agentes del sujeto
obligado. De conformidad con lo establecido en el
artículo 35 del RD 304/2014, los sujetos
• Descripción detallada de los flujos internos
obligados designarán un Representante
de información, con instrucciones precisas a
los directivos, empleados y agentes del sujeto ante el Servicio Ejecutivo de la Comisión y,
obligado sobre cómo proceder en relación en determinados casos, dependiendo del
con los hechos u operaciones que, por su número de empleados y el volumen de
naturaleza, puedan estar relacionados con el negocio del sujeto obligado, constituirán
BC/FT/FP.
un órgano de control interno e incluso una
• Procedimiento estructurado de examen unidad técnica para el tratamiento y análisis
especial. de la información.
• Descripción detallada del funcionamiento

Representante ante el SEPLAC
de los órganos de control interno, que incluirá
su composición, competencias y periodicidad Los sujetos obligados, con las excepciones
de sus reuniones.
determinadas reglamentariamente, deben
• Medidas para asegurar el conocimiento de designar a un representante ante el Servicio
los procedimientos de control interno por Ejecutivo de la Comisión (el SEPPLAC).
parte de los directivos, empleados y agentes del
Dicho representante será el responsable
sujeto obligado, incluida su periódica difusión
del cumplimiento de las obligaciones de
y la realización de acciones formativas de
conformidad con un plan anual.
información previstas por el capítulo III de
la Ley 10/2010. Por tanto, deberá contar con
• Medidas a adoptar para verificar el
acceso, sin limitación alguna, a cualquier
cumplimiento de los procedimientos de
información obrante en el sujeto obligado.
control interno por parte de los directivos,
empleados y agentes del sujeto obligado.
La normativa específica expresamente quién
• Requisitos y criterios de contratación de puede ser nombrado como representante
agentes. ante el SEPBLAC. Específicamente, habrá de
• Medidas a adoptar para asegurarse de que ser alguien con residencia en España y que
los corresponsales del sujeto obligado aplican ejerza un cargo de administración o dirección
procedimientos adecuados de PBCYFT/FP. de la sociedad.
En el caso de que el sujeto obligado esté comunicar al SEPBLAC la propuesta de

integrado en un grupo empresarial, el nombramiento, tanto del Representante
representante será único y deberá ejercer ante la Comisión como de sus autorizados,
un cargo de administración o dirección acompañada de una descripción detallada
de la sociedad dominante del grupo. de su trayectoria profesional. El SEPBLAC, de
Además, cuando se trate de empresarios o forma razonada, podrá formular reparos u
profesionales individuales, el representante observaciones al nombramiento.
ante el SEPBLAC será el titular de la actividad.
Asimismo, se deberá comunicar al SEPBLAC
Es fundamental destacar que la obligación de el cese o sustitución del representante o
designar a un representante ante el SEPBLAC personas autorizadas cuando tenga carácter
surge de forma inmediata en el momento en disciplinario.
el cual la entidad adquiere la calidad de sujeto
No existirá obligación de nombrar
obligado, por lo que realizar el nombramiento
representante ante el SEPBLAC por parte
con retraso supondría un incumplimiento de
de los corredores de seguros y los sujetos
dicha obligación.
obligados comprendidos en los apartados i) a
El responsable deberá comparecer en u) del art. 2,apartado 1 de la Ley 10/2010 que,
nombre del sujeto obligado en toda clase con inclusión de los agentes, ocupen a menos
de procedimientos administrativos o de 10 personas y cuyo volumen de negocios
judiciales relativos a los datos recogidos en o balance general anual no supere los 2M de
las comunicaciones al SEPBLAC, así como euros. No obstante, dicha excepción no se
canalizar todas las solicitudes de información aplicará a los sujetos obligados integrados
y requerimientos que pueda recibir. Para el en un grupo empresarial que supere dichas
ejercicio de sus funciones, el Representante cifras.
ante el SEPBLAC deberá contar con todos los
De esta forma quedan exceptuadas de
recursos materiales, humanos y técnicos que
tal obligación aquellas entidades que,
sean necesarios.
conforme a los criterios establecidos en la
Existe la posibilidad de que los sujetos Recomendación 2003/361 de la Comisión
obligados designen también hasta un de la Unión Europea, se consideren como
máximo de dos personas autorizadas, que microempresas.
actuarán en todo caso bajo la dirección y
Asimismo, es importante señalar que para
responsabilidad del Representante ante el
las profesiones colegiadas que cuenten
SEPBLAC.
con un órgano centralizado de prevención
El nombramiento del Representante ante el (en adelante, OCP), no procederá el
SEPBLAC se realizará, con carácter general, nombramiento del representante,
por el órgano de dirección o administración recubriendo dicha función el mismo OCP
del sujeto obligado. Asimismo, es necesario para todos los profesionales incorporados.
El Órgano de Control Interno (OCI) cumplir con dicha obligación, el sujeto

obligado estaría cometiendo una infracción
Conforme a lo previsto por el art. 26 ter, grave, conforme a lo previsto por el art.
apartado 4 de la Ley 10/2010, el OCI es 52.1.o) de la Ley 10/2010.
el responsable de la aplicación de los
procedimientos y controles de PBCyFT En función de las consideraciones anteriores y
implantados en el seno del sujeto obligado. a fin de conocer exactamente la composición,
funcionamiento y funciones del OCI de cada
La concreta composición de este órgano sujeto obligado, el SEPBLAC recomienda
dependerá del tipo de sujeto obligado, en incluir en el Manual de prevención que
particular del tipo de actividades realizadas se apruebe internamente las siguientes
y del volumen de dichas operaciones. Por indicaciones respecto al OCI:
ello, no es posible establecer a priori una
estructura general del mismo, sino que habrá • Composición y cargos que ejercen sus
que verificar caso por caso si su composición miembros en el sujeto obligado.
y los recursos asignados son suficientes y • Ubicación jerárquica en el organigrama

acordes con el nivel de riesgo de cada sujeto del sujeto obligado y dependencia
obligado. funcional.
De hecho, en algunos casos puede estar • Periodicidad de las reuniones: en el caso

formado por una o más personas; asimismo, de no establecer una periodicidad o no
puede estar compuesto por profesionales en respetarla, se consideraría que no se
dedicación exclusiva o que, al mismo tiempo, está cumpliendo con la obligación de
desempeñen otras tareas en el ámbito del contar con dicho órgano, tratándose
sujeto obligado. exclusivamente de una constitución
formal y no real.
No obstante, se pueden enumerar unas
características básicas a cumplir por todo • Funciones atribuidas en materia de
OCI: prevención (p.e. autorización de clientes
de alto riesgo, realización del examen
• Estar funcionalmente separado del
especial de operaciones sospechosas,
departamento o del área de auditoría
aprobación de los procedimientos a través
interna del sujeto obligado.
de los cuales se implementen las políticas
• Contar, en la medida de lo posible, con PBCyFT en el caso de sujetos obligados
representantes de las distintas áreas de cuyo volumen de negocios anual supere
actividad del sujeto obligado. 50M de euros o cuyo balance general
anual supere 43M de euros, etc.).
Asimismo, para el ejercicio de sus funciones
es imprescindible dotar al OCI de los • Elaboración y conservación de las actas de
recursos humanos, materiales y tecnológicos sus reuniones, las cuales deberán contener
necesarios y suficientes. En caso de no información completa y suficiente sobre
todos los temas tratados, así como de las obligados comprendidos en el apartado i) y
decisiones adoptadas. En particular, por siguientes del artículo 2.1 de la Ley 10/2010,
cada reunión se deberá levantar un acta y en los corredores de seguros cuando, con
de los acuerdos adoptados. inclusión de los agentes, ocupen a menos
de 50 personas y cuyo volumen de negocios
• Elaboración de una relación de
anual o cuyo balance general anual no supere
documentos, informes, presentaciones,
los 10M de euros.
etc. que, en materia de prevención,
hayan sido remitidos a los órganos de En el caso de que el sujeto obligado
administración o alta dirección del sujeto pertenezca a una de las categorías incluidas
obligado. en el mencionado artículo y que, al mismo
tiempo, no cumpla con los umbrales previstos,
• Elaboración periódica, al menos
las funciones del OCI serán ejercidas por el
anualmente, de un informe o memoria
Representante ante el SEPBLAC.
explicativa que contenga las actuaciones
e información estadística más relevantes
No obstante, la mencionada excepción no
que, en materia de prevención,
resultará de aplicación a aquellos sujetos
se hayan producido en el periodo
obligados que integren un grupo empresarial
considerado (ej. cambios significativos
que supere dichos umbrales. De esta forma
en los procedimientos; implantación de
quedan exceptuadas de tal obligación aquellas
nuevas aplicaciones informáticas; datos
entidades que, conforme a los criterios
estadísticos sobre el número de alertas,
establecidos en la Recomendación 2003/361
de operaciones objeto de un análisis
de la Comisión de la Unión Europea sobre
especial, de comunicaciones realizadas al
la definición de microempresas, pequeñas
SEPBLAC, de solicitudes o requerimientos
y medianas empresa, se consideren como
de información recibidos; proceso de
Microempresas y Pequeñas empresas.
implantación de las mejoras indicadas
por los revisores externos al sistema de Por último, se subraya que,
prevención; etc.) independientemente del número de
personas ocupadas y del volumen de
No obstante, existen excepciones: no todos
negocios anual o del balance general anual,
los sujetos obligados han de establecer
no tendrán la obligación de establecer un
un OCI; de hecho, el apartado 7 del art. 26
OCI los notarios y los registradores de la
ter de la Ley 10/2010 prevé que quedarán
propiedad, mercantiles y de bienes muebles,
exceptuados de dicha obligación aquellas
contando tales profesiones colegiadas con
categorías de sujetos obligados que se
sus respectivos OCP.
determinen reglamentariamente.
La Unidad Técnica de Prevención
En concreto, el art. 35, apartado 2 del Real
Decreto 304/2014 prevé que la constitución Reglamentariamente se ha establecido
del OCI no es preceptiva para aquellos sujetos que los sujetos obligados cuyo volumen de
negocios anual exceda de 50M de euros o obligado, el SEPBLAC recomienda incluir

cuyo balance general anual exceda de 43M de en el Manual de prevención los siguientes
euros, han de establecer una unidad técnica elementos mínimos relativos a la misma:
encargada del tratamiento y análisis de la
• Ubicación jerárquica en el organigrama
información (art. 35, apartado 3 Real Decreto
del sujeto obligado y dependencia
304/2014).
funcional.
Dicha unidad desempeña un papel
• Funciones atribuidas en materia de
fundamental en los sistemas de prevención
prevención y personal dedicado a cada
del sujeto obligado; por ello, los profesionales
una de ellas.
que formen parte de la misma tienen que
estar especializados en las materias de • Procedimientos aplicados en el desarrollo
incumbencia, deben ejercer sus funciones en de sus funciones y medios humanos y
dedicación exclusiva y, asimismo, tienen que técnicos disponibles para el desarrollo de
contar con los recursos técnicos y humanos su labor.
necesarios para desempeñar dichas • En caso de ejercicio de otras funciones no
funciones. relacionadas directamente con la PBCyFT,
será necesario indicarlas específicamente.
A título ejemplificativo, pero no limitativo,
se pueden señalar las siguientes funciones Examen del experto externo
principales a llevar a cabo por parte de la
unidad técnica: Como regula el art. 28.1 de la Ley 10/2010 sobre
el examen externo, establece las medidas de
• Fomentar la sensibilización en el ámbito
control interno del sujeto obligado deben
del sujeto obligado en relación a PBCyFT.
ser auditadas anualmente, por un experto
• Participar activamente en el desarrollo externo. Quedan recogidas por el art. 2 las
del sistema PBCyFT del sujeto obligado. entidades que deben someterse a un examen
externo periódicamente: cada año si son del
• Comunicación, junto con los otros órganos
régimen general y cada tres años si son del
de prevención, a las unidades de negocio
régimen especial.
del sujeto obligado de aquellas tipologías
de operaciones que no se deben aceptar o Asimismo, realizarán una auditoría interna
ejecutar al presentar unas características anual. Quedan exceptuados de dicha
y elementos de riesgo comunes con otras obligación los empresarios o profesionales
operaciones calificadas anteriormente individuales, entendiendo por tales
como relacionadas con el blanqueo de aquellas personas físicas que realizan, en
capitales o la financiación del terrorismo. nombre propio, una actividad empresarial
o profesional, así como los corredores de
En todo caso, debido a que la composición,
seguros y los sujetos obligados comprendidos
funciones y responsabilidades de la unidad
en el art 2.1, párrafo I) a U), ambos inclusive,
técnica varían en función de cada sujeto
que con inclusión de los agentes ocupen a clientes, política de admisión de clientes,
menos de 10 personas y cuyo volumen de medidas adicionales y procedimientos de
negocio anual o cuyo balance genera anual verificación de transacciones;
no supere los 2M de euros, salvo que estén
• Conservación de la documentación;
integrados en un grupo empresarial que
superen dichas cifras. • Detección, análisis y comunicación
de operaciones susceptibles de estar
Los resultados del examen deben ser
vinculadas con el BC-FT;
consignados en un informe escrito que
detallará las medidas de control existente, • Declaración mensual obligatoria de
valorando su operativa y propondrá operaciones, en el caso de que resulte de
modificaciones o mejoras. aplicación;
• Cumplimentación de los requerimientos

El informe tiene un carácter anual. Los
informes deberán emitirse, en todo caso, del servicio ejecutivo u otras autoridades;
dentro de los dos meses siguientes a la fecha • Formación de empleados y directivos del
de referencia. Es obligatorio que el órgano de sujeto obligado;
administración sea informado del informe y
• Filiales, sucursales, agentes u otros
de las recomendaciones recogidas.
mediadores;
El informe debe incluir:
• Procesos de auditoría y verificación
• Datos generales de la entidad y del interna.
experto externo;
La normativa permite que como máximo
• Información sobre el sujeto obligado y la durante los dos años posteriores a la revisión
normativa interna del mismo (descripción, del experto, este pueda ser sustituido por
valoración de la eficacia operativa, un informe de seguimiento. Este informe de
deficiencias detectadas, rectificaciones y seguimiento debe ser emitido por el mismo
mejoras propuestas); experto y se limita a revisar las medidas
• Órganos de control interno y adoptadas para solventar las deficiencias

comunicación; identificadas en el anterior informe.
• Identificación y conocimiento de clientes: El experto externo debería ser una persona

procedimientos de identificación y que reúna condiciones académicas y de
conocimiento de clientes, procedimiento experiencia profesional que lo hicieran
de verificación de las actividades idóneo para el desempeño de la función. No
declaradas por los clientes, procedimiento obstante, no existe ningún organismo que
para conocer los beneficiarios últimos regule y administre el acceso a la condición
de las relaciones con clientes que de experto externo: uno se convierte en
actúan por cuenta ajena, excepciones tal meramente mediante la comunicación
a la identificación y conocimiento de los al SEPBLAC de la intención de serlo, antes
de comenzar la actividad, pero sin que Los sujetos obligados aprobarán un plan
esta comunicación suponga la autorización anual de formación en materia de prevención
previa por este o cualquier otro organismo. de blanqueo de capitales y de la financiación
Los órganos de administración del sujeto del terrorismo. El plan de formación se
obligado adoptarán sin dilación las medidas fundamentará en los riesgos identificados
necesarias para solventar las deficiencias en el informe de análisis del riesgo y preverá
identificadas en los informes de experto acciones formativas específicas para los
externo. En el caso de deficiencias que no directivos, empleados y agentes del sujeto
sean susceptibles de resolución inmediata, obligado. Tales acciones formativas deberán
los órganos de administración del sujeto ser acreditadas y los sujetos obligados
obligado adoptarán, expresamente, un plan documentarán el grado de cumplimiento del
de acción/remediación que establecerá un plan de formación.
calendario preciso para la implantación de
las medidas correctoras. Dicho calendario no El examen de experto externo mencionado
podrá exceder, con carácter general, de un valorará la adecuación de las acciones
año natural. formativas llevadas a cabo por el sujeto

obligado.
El examen externo incluirá a todas las
sucursales y filiales con participación Los sujetos obligados para los que no resulte
mayoritaria del sujeto obligado. Asimismo, el preceptiva la aprobación de un plan anual
experto externo verificará específicamente de formación deberán acreditar que el
que los sujetos obligados disponen de las representante ante el SEPBLAC ha recibido
políticas adecuadas para que sus filiales formación externa adecuada para el ejercicio
y sucursales en terceros países adopten de sus funciones.
medidas equivalentes a las establecidas en la

14.7. Procedimiento
directiva europea.
sancionador
En términos generales, el informe debe ser
El régimen y procedimiento sancionador
capaz de determinar el cumplimiento efectivo
queda recogido en los arts. 50 a 62 de la
de principios de la Ley 10/2010, especialmente
Ley 10/2010. Como es habitual, clasifica las
en lo que a la diligencia debida se refiere.
infracciones administrativas en muy graves,
Formación de empleados graves y leves.
Tal y como establece la Ley 10/2010, los Si bien las infracciones graves y muy graves se
sujetos obligados adoptarán las medidas encuentran establecidas de manera expresa
oportunas para que sus empleados tengan en la norma, las infracciones leves no lo
conocimiento de las exigencias derivadas de están. Así pues, serán leves todos aquellos
la normativa de prevención de blanqueo de incumplimientos que no se consideren graves
capitales y financiación del terrorismo. o muy graves.
Constituirán infracciones muy graves las • El incumplimiento de la obligación de

recogidas en el art. 51. Las más recurrentes obtener información sobre el propósito e
hoy en día son: índole de la relación de negocios.
• Incumplir el deber de confeccionar e • El incumplimiento de la obligación de

implementar un Manual de PBCYFT de la aplicar medidas de seguimiento continuo
entidad. a la relación de negocios.
• El incumplimiento del deber de • El incumplimiento de la obligación de

comunicación previsto en el artículo 18. aplicar medidas de diligencia debida a los
clientes existentes.
• El incumplimiento de la obligación
de adoptar las medidas correctoras • El incumplimiento de la obligación de
comunicadas por requerimiento del aplicar medidas reforzadas de diligencia
Comité Permanente. debida.
• La resistencia u obstrucción a la labor • El incumplimiento de la obligación de

inspectora. examen especial.
• Incumplir el deber de comunicación por • El incumplimiento de la obligación de

indicio. comunicación por indicio.
• Incumplir el deber de colaboración con el • El incumplimiento de la obligación de

SEPBLAC. abstención de ejecución.
• Incumplir el deber de prohibición de • El incumplimiento de la obligación de

revelación o el deber de reserva. comunicación sistemática.
• Incumplir el deber de adoptar medidas • El incumplimiento de la obligación de

adicionales en las sucursales o filiales colaboración establecida en el artículo
establecidas en países que no tienen la 21 cuando medie requerimiento escrito
condición de tercero equivalente. de uno de los órganos de apoyo de la
Comisión de Prevención del Blanqueo de
• Resistencia u obstrucción a la labor
Capitales e Infracciones Monetarias.
inspectora.
• El incumplimiento de la obligación de
Las infracciones graves, que son las más
conservación de documentos.
habituales, quedan determinadas en el
art. 52 de la mencionada Ley. Destacamos • El incumplimiento de la obligación de
algunas de las más comunes: aprobar por escrito y aplicar políticas y
procedimientos adecuados de control
• El incumplimiento de obligaciones de
interno, en los términos del artículo
identificación formal.
26, incluida la aprobación por escrito y
• El incumplimiento de obligaciones de aplicación de una política expresa de
identificación del titular real. admisión de clientes.
• El incumplimiento de la obligación de • El incumplimiento de adoptar

comunicar al Servicio Ejecutivo de la medidas correctoras comunicadas por
Comisión la propuesta de nombramiento requerimiento del Comité Permanente.
del representante del sujeto obligado,
• Mantenimiento de relaciones de negocio
o la negativa a atender los reparos
o la ejecución de operaciones prohibidas.
u observaciones formulados, en los
términos del artículo 26 ter. Las infracciones leves reflejadas en el art.
53 de la Ley 10/2010, recogen aquellos
incumplimientos de obligaciones establecidas
establecer órganos adecuados de control
específicamente en la Ley que no constituyan
interno, con inclusión, en su caso, de las
infracción muy grave o grave conforme a lo
unidades técnicas, que operen en los
previsto en los dos artículos precedentes.
términos previstos en el artículo 26 ter.
• El incumplimiento de la obligación de Infracciones leves

examen externo.
Las siguientes situaciones serán consideradas
• El incumplimiento de la obligación de infracciones leves siempre que: (i) no existan indicios
formación de empleados o certeza de blanqueo de capitales o financiación
del terrorismo, y (ii) que el incumplimiento sea
• El incumplimiento de la obligación de considerado meramente ocasional y no recurrente
adoptar por parte del sujeto obligado por parte del sujeto obligado:
las medidas adecuadas para mantener
• Incumplimiento de la obligación de
la confidencialidad sobre la identidad de identificación formal de los clientes.
los empleados, directivos o agentes que
• Incumplimiento de la obligación de
hayan realizado una comunicación a los
identificación del titular real, en su caso.
órganos de control interno.
• Incumplimiento de la obligación de obtención
de información acerca del propósito e índole de
aplicar respecto de las sucursales y filiales las relaciones de negocios.
con participación mayoritaria situadas en
• Incumplimiento de la obligación de aplicación
terceros países las medidas previstas en
de medidas de seguimiento continuo, en su
el art. 31.
caso.
• El incumplimiento de aplicar sanciones

• Incumplimiento de la obligación de aplicación
o contramedidas financieras de medidas de diligencia debida a clientes
internacionales. existentes.
• El incumplimiento de la obligación • Incumplimiento de la obligación de aplicación

establecida en el artículo 43 de declarar de medidas reforzadas de diligencia debida.
la apertura o cancelación de cuentas • Incumplimiento de la obligación de

corrientes, cuentas de ahorro, cuentas de conservación de documentos durante el plazo
valores y depósitos a plazo. mínimo establecido.
En el art. 58 se recogen las sanciones a Las sanciones siempre tendrán tres

imponer por la comisión de infracciones componentes:
leves.
i. Publicidad sobre la sanción;
Las sanciones pueden aplicarse tanto a
ii. Importe económico;
la sociedad (sujeto obligado), como a la
persona física que ocupe algún cargo de iii. Suspensión, limitación o prohibición de
administración y dirección en la entidad, actividad de la empresa sancionada.
cuando estas infracciones sean imputables a
su conducta dolosa o negligente. La publicidad siempre es obligatoria y
será simultánea a la económica y/o la
Tipo imposibilidad de realizar la actividad por
Posibles sanciones
infracción
parte del sujeto obligado.
 Amonestación pública.
 Multa entre un mínimo de 150.000 Las sanciones siempre van acompañadas
euros y un máximo de hasta la de un requerimiento al infractor para que
mayor de las siguientes cifras:
ponga fin a su conducta.
- 10% volumen de negocio anual
- Duplo del contenido económico
Muy de la operación
grave - Quíntuplo de los beneficios
derivados
- 10.000.000 euros.
 Tratándose de entidades sujetas
a autorización administrativa para
operar, suspensión temporal o la
revocación de ésta.
 Amonestación privada.
 Amonestación pública.
 Multa entre un mínimo de 60.000 Existe la posibilidad de que a pesar de
euros y un máximo hasta la mayor haberse impuesto la sanción no se realice
de las siguientes cifras:
la amonestación pública cuando puede
- 10% del volumen de negocio
perjudicar a una investigación en marcha
Grave - El tanto del contenido económico
o poner en peligro la estabilidad de los
de la operación, más un 50%
- Triple de los beneficios mercados financieros, pudiendo retrasarse
- 5.000.000 euros. o no hacerse pública de forma definitivo.
 Tratándose de entidades sujetas
a autorización administrativa para
operar, suspensión temporal.
 Amonestación privada.
Leve  Multa por importe de hasta 60.000
euros.
Estas sanciones prescribirán a los tres años

en caso de infracciones muy graves, a los
dos años en caso de infracciones graves,
y al año en caso de infracciones leves,
contados desde la fecha de notificación de
la resolución sancionadora.
• El origen del concepto y expresión de “blanqueo de capitales” se puede rastrear, como una gran
parte de los conceptos en el ámbito de Compliance, al escándalo Watergate y a las consecuencias del
mismo. Es en ese momento en el que esta expresión y concepto comienza a ganar popularidad en los
medios y a ser habitual.
• No obstante lo anterior, no es hasta la década de los 80, y centrados en la lucha contra el tráfico de
drogas, cuando este concepto pasa a dominar los debates y la actividad preventiva y represiva de los
estados y centra la actividad de los organismos internacionales (creación del GAFI, incorporación a los
códigos penales, creación de las Unidades de Inteligencia Financiera, etc).
• El objetivo principal de la lucha contra el blanqueo de capitales es convertirse en una herramienta clave
para combatir la delincuencia organizada, dificultando el acceso al sistema financiero -y, por tanto,
al disfrute- de los beneficios obtenidos ilícitamente. No obstante, se han incorporado también otros
ámbitos, como la lucha contra el terrorismo (dificultando su financiación) y contra la proliferación de
Armas de Destrucción Masiva.
• A pesar de combatirse en las empresas y sujetos obligados por los mismos actores (esencialmente,
Compliance), cabe señalar que existen múltiples diferencias entre estos tres ámbitos: blanqueo de
capitales (BC), financiación del terrorismo (FT), financiación de la proliferación (FP); notablemente en su
origen, objetivo, actores implicados, fases, estrategias, cantidades y tipo de proceso, por nombrar los
más significativos.
• Respecto de las fases, hay que conocer que las tradicionales del BC (que son tres: colocación,
encubrimiento e integración) no se corresponden con las cuatro fases de la FT (recaudación/
obtención, depósito, trasferencia y uso) o las tres de la FP (recaudación/obtención, ocultación,
adquisición y envío). Asimismo, mientras en el BC el proceso es de tipo circular (el dinero sale y regresa
al mismo actor), en el FT y FP es más bien linear y no necesariamente iterativo sino puntual.
• En relación a los hitos normativos internacionales, podemos remitirnos a alguna normativa de principios
de los 80 como la Recomendación 10 del Consejo de Europa (1980) o a la Declaración de Principios de
Basilea (1988), pero las más importantes, por su impacto, fueron sin duda la Convención de las Naciones
Unidas contra el tráfico ilícito de estupefacientes y sustancias psicotrópicas (1988) y, sobre todo, las
denominadas 40 Recomendaciones del GAF (1989).
• No es casualidad, como ya se ha apuntado, la coincidencia temporal entre la Convención ONU contra el

tráfico de estupefacientes y las 40 recomendaciones, dado que es en la lucha contra el tráfico de drogas
(y la delincuencia organizada, posteriormente) donde encontramos el origen y la razón de ser de las
medidas para combatir y prevenir el blanqueo.
• Otras convenciones posteriores (Estrasburgo en 1990, de la ONU sobre Delincuencia Organizada
Transnacional en 2000 o Contra la Corrupción en 2003) han constituido también avances reseñables.
• Respecto a la Unión Europea, es preciso señalar que la evolución de la normativa ha sido similar y ha ido
en paralelo, habiéndose aprobado hasta 6 directivas en este ámbito: 1991, 2001, 2005, 2015 y dos en
2018, lo que da una idea de cómo ha evolucionado y cómo se han acelerado las medidas.
• Respecto de los actores internacionales que realizan un papel relevante en estos ámbitos, podemos
destacar al Comité de Supervisión Bancaria de Basilea (1974); el Grupo de Acción Financiera
Internacional, GAFI (1989); Grupo Egmont de Unidades de Inteligencia Financiera (1995); el Comité
de Expertos en Evaluación de Medidas contra el Blanqueo de Capitales el Financiación del Terrorismo -
Moneyval (1997) y el Grupo Wolfsberg (1999). De todos ellos, el de mayor relevancia y que constituye una
referencia internacional es el GAFI.
• En España, los organismos más relevantes son la Comisión de Prevención del Blanqueo de Capitales e
Infracciones Monetarias y su Servicio Ejecutivo (la Unidad de Inteligencia Financiera española, SEPBLAC),
encargadas de supervisar la ejecución de las normas relativas al BC, FT y FP, y particularmente la Ley
10/2010 de Prevención de Blanqueo de Capitales y su reglamento de desarrollo (RD 304/2014)
• Los sujetos obligados en materia de BC, FT y FP se pueden agrupar en cuatro tipos, que son: entidades
financieras; profesionales que prestan ciertos servicios; actividades susceptibles de emplearse en el BC y
personas y entidades extranjeras que presten en España servicios análogos a los de los sujetos obligados
anteriores.
• La Ley 10/2010 establece que los sujetos obligados aprobarán por escrito y aplicarán una política expresa
de aceptación de clientes. Dependiendo del perfil de riesgo del cliente, se aplicarán unas u otras medidas:
desde la no aceptación del cliente a la aplicación de medidas reforzadas, normales o simplificadas.
• Las medidas de diligencia incluirán, de manera general, la identificación formal de clientes; la

identificación del titular real; el establecimiento del propósito e índole de la relación del negocio del
cliente y el seguimiento continuo de la relación de negocios.
• Asimismo, la normativa sobre prevención del BC incluye la obligación de que los sujetos obligados tengan
una estructura interna adecuada, que tendrá los siguientes elementos mínimos: Manual de Prevención
del BC/FT; estructura de organización interna; examen del experto externo y formación de empleados.
• El régimen sancionador relacionado con el BC y FT es similar a cualquier otro, clasificándose las

infracciones en muy graves, graves y leves. Como particularidad, cabe señalar la ausencia de descripción
de las infracciones leves, por lo que se entienden que serán los incumplimientos que no sean muy graves
o graves.
• Las sanciones contarán con tres elementos: Publicidad, importe económico y restricciones o limitaciones
de actividad.
Módulo 15
Defensa de la
competencia
MÓDULO 15 • DEFENSA DE LA COMPETENCIA
Módulo 15 concurrencial al que se encuentra expuesta

una empresa por razón de su actividad.
Defensa de la competencia Se expondrán asimismo prácticas
empresariales que, desde el punto de vista
Objetivos
del derecho de la competencia pueden
Tras completar este módulo, el alumno implicar ciertos riesgos, prestando especial
deberá ser capaz de: atención a aquellas conductas que son más
recurrentes y habituales.
• Conocer la principal normativa de referencia,
Es necesario puntualizar que el derecho de
nacional y europea, en materia de Competencia.
la competencia es especialmente extenso y
• Identificar las autoridades, niveles y ámbitos se encuentra en constante evolución. Esto
en asuntos de Competencia.
se debe en buena medida al desarrollo y
• Comprender el significado y consecuencias de cambios frecuentes de nuestra economía, a
la doctrina de los efectos. la convivencia de dos regímenes normativos,
• Familiarizarse con los conceptos básicos en un régimen nacional y otro europeo, y a la

materia de Competencia. aplicación transversal a la totalidad de los
sectores económicos.
• Identificar las prácticas más habituales en las
infracciones de competencia. Este módulo sólo abordará las prácticas
• Definir qué es un cártel y las prácticas más más comunes de la realidad empresarial,
habituales de éstos. identificando los principales riesgos
que dichas prácticas plantean desde la
• Reconocer los elementos y características
principales de la implantación de un
perspectiva del derecho de la competencia y
programa de Compliance de Defensa de la a los que un Compliance Officer puede tener
Competencia. que enfrentarse. En todo caso, cada empresa
deberá realizar un análisis específico de su
15.1. Introducción situación y sus posibles riesgos, aunque

podamos destacar algunos de ellos en este
El objetivo de este módulo es exponer las material.
cuestiones, consideraciones y elementos
esenciales a tener en cuenta para definir
e implantar un modelo de prevención de
eventuales infracciones del derecho de la
competencia.
Para ello, en primer lugar, haremos una

introducción al derecho de la competencia
desde la perspectiva de Compliance,
identificando las posibles áreas de riesgo anti-
• El control de conductas mediante la

prohibición de determinadas prácticas, y
la prohibición del abuso de posición de
dominio.
• El control estructural de
concentraciones de empresas o activos.
Los programas de Compliance de defensa

de la competencia se suelen centrar
principalmente en el primero de los pilares:
el control de las conductas prohibidas. No
obstante, y a pesar de que las fusiones y
adquisiciones son menos frecuentes, la
Principales riesgos desde la perspectiva del derecho de la prevención de infracciones relacionadas
competencia. Elaboración propia
con el control de concentraciones puede ser
también relevante.
El derecho de la competencia tiene como
objetivo asegurar que las empresas compitan
15.2. Contexto normativo
entre sí de manera independiente y autónoma
con respecto a sus competidores. A estos 15.2.1. Instrumentos legales y
efectos, debe recordarse que el artículo 38 de autoridades
la Constitución española reconoce la libertad
El sistema de defensa de la competencia tiene
de empresa en el marco de una economía de
como característica singular la coexistencia
mercado.
de normas europeas con normas nacionales
La existencia de una competencia eficaz entre y la aplicación extraterritorial sobre la base
las empresas conlleva enormes beneficios de la doctrina de los efectos.
para los consumidores y la economía en
Así, las normas nacionales no son
general, que se traducen en mejores precios,
completadas o reemplazadas por las
mayor variedad, mejor calidad y más
normas europeas, sino que conviven
innovación231.
simultáneamente con ellas, dando lugar,
El derecho de la competencia (también por tanto, a una doble escala normativa:
denominado derecho antitrust) europeo europea y nacional.
y español -como la mayoría de los
Los principales instrumentos legales
ordenamientos jurídicos- se sustenta sobre
aplicables son los siguientes:
dos pilares:
231 Comisión Europea: ¿Por qué es importante la política de competen-

cia para los consumidores? Sobre los efectos de la política de com-
petencia sobre la economía véase por ejemplo: OECD: Factsheet
on how competition policy affects macro-economic outcomes
Las leyes nacionales se completan por

Normativa UE
otros instrumentos legales (Ley 3/2013
Norma Aplicable a: de 4 de junio, de creación de la Comisión
- Restricciones
Nacional de los Mercados y la Competencia
horizontales y
verticales (art 101), (CNMC) y la Ley 1/2002, de 21 de febrero, de
abuso de posición de
Tratado de coordinación de las competencias del Estado
dominio (art 102) y
Funcionamiento de la ayudas de estado (art y las Comunidades Autónomas en materia de
Unión Europea (TFUE) 107 y ss);
defensa de la competencia).
- Conductas que limiten
la competencia afecten Además, la CNMC ha elaborado una serie de
al mercado europeo.
comunicaciones y notas informativas que
- Operaciones de
Reglamento concentración entre sirven de orientación sobre su actuación,
(CE)139/2004, (control de empresas;
concentraciones entre por ejemplo, la terminación convencional de
empresas) - Que tengan dimensión
expedientes sancionadores o el programa de
europea.
Reglamentos e clemencia233.
instrumentos adicionales
(Reg.1/2003 de
En España, la aplicación pública (régimen
las normas sobre de control de concentraciones y régimen
competencia previstas
en los art. 81 y 82 (101 y
sancionador) de las normas de defensa de la
102 TFUE) del Tratado o competencia corresponde a una pluralidad
las Directrices sobre los
acuerdos horizontales de
de autoridades. La aplicación privada
cooperación232) (aplicación entre particulares) corresponde
Normativa nacional la jurisdicción mercantil y civil. En el siguiente
cuadro se resumen las competencias:
Norma Aplicable a:
Ley 15/2007 de Defensa - Restricciones
Materia y normativa de
de la Competencia horizontales y Ámbito Autoridad
aplicación
(LDC) verticales, abuso
de posición de  Acuerdos o prácticas
dominio, actos de concertadas (TFUE)
competencia desleal  Abuso de posición de
y concentraciones, dominio (TFUE)
Comisión
acciones de daños. UE
europea  Concentraciones con
- Conductas que dimensión UE (Reglamento
Reglamento 261/2008 restrinjan la de concentraciones)
de Defensa de la competencia
Competencia (RDC) afectando sólo al  Ayudas de Estado (TFUE)
mercado nacional y  Acuerdos o prácticas
de igual modo, a las concertadas (TFUE y LDC)
concentraciones que
 Abuso de posición de
tengan dimensión Nacional CNMC dominio (TFUE y LDC)
nacional pero no
europea.  Conductas desleales (LDC)
 Concentraciones (LDC)
232 Reglamento (UE) 330/2010 de la Comisión de 20 de abril de 2010
relativo a la aplicación del artículo 101, apartado 3, del TFUE a
determinadas categorías de acuerdos verticales y prácticas con- 233 Véase al respecto: www.cnmc.es/ambitos-de-actuacion/compe-
certadas tencia/programa-de-clemencia
 Acuerdos o prácticas
Precisamente la doctrina de los efectos
concertadas (TFUE y LDC) implica que el derecho de la competencia
Jueces de lo  Abuso de posición de se pueda aplicar de forma extraterritorial,
Nacional mercantil y dominio (TFUE y LDC)
por ejemplo, a los acuerdos celebrados en
de lo civil  Conductas desleales (LDC)
terceros estados si estos afectan al comercio
 Demanda de daños (LDC y
LEC) dentro de la Unión Europea234. Ahora bien,
 Acuerdos o prácticas en el caso de conflicto entre el derecho
Autoridad
concertadas (LDC) nacional y el europeo, siempre prevalece la
Regional regional de  Abuso de posición de normativa comunitaria, tal y como establece
competencia dominio (LDC)
el art. 3.2 del R 1/2003.
 Conductas desleales (LDC)
Competencias de las distintas autoridades en materia de

competencia y jurisdicción ordinaria. Fuente: Elaboración propia
Efectos extraterritoriales
El Tribunal General de la Unión Europea, en

15.2.2. Doctrina de los efectos y
su sentencia del 12 de julio de 2018, Prysmian
aplicación extraterritorial
vs Comisión, T 475/14, confirmó las sanciones
impuestas a un cártel de empresas asiáticas
La aplicación del derecho de la competencia
fabricantes de cables de muy alta tensión que
nacional o europeo se determina sobre la
operaba fuera de la Unión Europea ya que era
base de la doctrina de los efectos.
previsible que el cártel iba a producir un efecto
inmediato y sustancial en el mercado interior.
Precisamente esta doctrina permite, entre
otras cuestiones, determinar el régimen
aplicable o la autoridad competente. Este Teniendo en cuenta la doctrina de los
principio, que tiene su origen en los EE.UU, efectos, una misma conducta puede ser
también determina la aplicación del resto de también sancionada en la Unión Europea y
leyes de defensa de la competencia en otras en otros terceros Estados, como pueden ser
jurisdicciones. EE.UU o Japón. De hecho, las autoridades
de competencia colaboran en el marco
La doctrina de los efectos consiste en que, del International Competition Network con
si un acuerdo o conducta tiene efectos, el objeto de intercambiar información y
o efectos potenciales, sobre el mercado coordinar sus investigaciones235. Por ello, si
nacional se aplicará la Ley de Defensa de una empresa actúa en mercados que están
la Competencia nacional, mientras que, si fuera de la Unión Europea es recomendable
tiene efectos, o efectos potenciales, sobre que su programa de Compliance de defensa
el mercado europeo se aplicará el Derecho de la competencia también se extienda a
Europeo de la Competencia. Esto es así con estos países, adaptándose a los requisitos
independencia de la intención o voluntad de locales.
las partes, el derecho acordado o el lugar de
234 Sobre este concepto, véase A. Calvo Caravaca, Derecho Antitrust
adopción del acuerdo. Europeo, Tom I Parte General, La Competencia, 2009.
235 International Competition Network: http://www.international-

competitionnetwork.org/
15.2.3. Inspecciones y cooperación Caso de estudio XIV: E-ON

con las autoridades de El 30 de enero de 2008, la Comisión Europea
competencia sancionó a EON Energie AG con 38M de euros por
obstrucción y falta de colaboración durante una
Tanto la CNMC como la Comisión Europea
inspección realizada en 2006.
pueden realizar inspecciones domiciliarias en
El 29 de mayo de ese año, cuatro representantes de
empresas, asociaciones de empresas y, en el
la Comisión y seis del Bundeskartellamt (autoridad
caso de la CNMC, inspecciones a domicilios
alemana de la competencia) mientras realizaban
particulares.
una inspección a la compañía, seleccionaron
unos documentos para un examen posterior más
Estas inspecciones también conocidas como
detallado, quedando los mismos depositados en
“dawn raids” suponen un importante riesgo
un local puesto a disposición de la Comisión. Dado
para cualquier empresa, por lo que resulta que no fue posible completar la inspección ese día,
esencial conocer el procedimiento y las el responsable del equipo de inspección cerró con
buenas prácticas. llave la puerta de dicho local, y colocó un precinto
oficial de la Comisión.
En efecto, la labor inspectora resulta
Una vez fijado a un soporte, el precinto adhesivo fija
esencial para las autoridades y conseguir
un pegamento blanco que, si es manipulado, queda
la información que precisan para llevar a
adherido y distribuido en el soporte con la leyenda
cabo la investigación por lo que cuentan con
“VOID”, así como por toda la superficie del propio
amplios poderes. autoadhesivo.
Las autoridades pueden entre otros acceder Esta fue la leyenda que advirtieron los inspectores
a ordenadores, dispositivos móviles, al regresar la mañana del 30 de mayo de 2006.
despachos, realizar entrevistas a los La evidente manipulación del precinto condujo a la

empleados de la empresa y similares 236
. sanción mencionada, que fue recurrida por E.ON
en varias ocasiones, pero siempre sin éxito, y acabó
Cualquier obstrucción a la labor inspectora confirmada por los tribunales europeos.
de la CNMC o de la Comisión Europea puede
Fuente: Sentencia del Tribunal de Justicia (Sala Tercera)
implicar una sanción que puede llegar al
de 22 de noviembre de 2012 (E.ON Energie AG contra
1% del volumen de facturación global del
Comisión Europea).
año anterior. Para evitar cualquier riesgo
se recomienda elaborar un protocolo de
15.2.4. Posibles consecuencias
actuación en caso de inspección y formar
derivadas de la infracción del
adecuadamente a toda la plantilla que se
derecho de la competencia
pueda ver afectada por una inspección
(recepción, personal de administración, Las posibles consecuencias que pueden
ventas, alta dirección, departamento legal). resultar de una infracción de las normas de
competencia y que se pueden prevenir o
236 Véase al respecto los art. 20 y siguientes R. 1/2003 y art. 13 RD mitigar con un programa de Compliance de
261/2008 y las guías sobre inspecciones de la CNMC y de la Co-
misión Europea. defensa de la competencia, son:
SANCIONES
En el periodo 2014-2021 la CNMC concluyó un total

de 88 expedientes sancionadores, que resultaron
en multas por un importe total de 1.665.029.971
euros (lo que supone un importe medio de casi
19M de euros).
Los años 2015 y 2019, con 517M y 431M de euros

respectivamente, fueron los años de mayor importe
de las multas.
Destacan una multa de 171M impuesta a veintiuna

empresas fabricantes y distribuidoras de marcas
de automóviles en España y a dos empresas
consultoras en 2015, y una multa de 128,8M a ocho
• Sanciones a las empresas infractoras: fabricantes de pañales para adultos y a su asociación
La Comisión Europea y la CNMC tiene por formar un cártel y multas individuales a cuatro
directivos por adoptar un papel principal en el
potestad para imponer multas que
cártel.
pueden llegar a alcanzar una cantidad muy
significativa. Las infracciones muy graves Por su parte, la Comisión Europea en julio de 2016
podrán ser sancionadas con un importe ha impuesto una la multa de casi 3.000M de euros
que podrá ascender hasta el 10% del a cinco grandes fabricantes de camiones (Iveco,
DAF, Volvo-Renault, Daimler y MAN). No obstante,
volumen de negocios total de la empresa
las sanciones más elevadas impuestas jamás a una
infractora en el ejercicio inmediatamente
sola compañía corresponden a Google, que fue
anterior. Además. estas multas se pueden
sancionada en 2017 con 2,7 y a 4.340M en 2018.
llegar a imponer incluso en aquellos
Fuentes: Resolución CNMC (Expte. S/DC/0504/14 AIO);
casos en que una determinada conducta
Resumen de la Decisión de la Comisión de 19 de julio de
anticompetitiva no haya llegado a producir
2016 relativa a un procedimiento en virtud del artículo
efectos en el mercado. 101 del Tratado de Funcionamiento de la Unión Europea
y del artículo 53 del Acuerdo EEE (Asunto AT.39824 —
• Multas a título individual a directivos
Camiones) (2017/C 108/05); Antimonopolio: La Comisión
y representantes legales de empresas impone a Google una multa de cerca de 4,34 miles de
infractoras: Los propios directivos millones EUR por prácticas ilegales en relación con los
responsables de empresas que han dispositivos móviles Android para reforzar la posición
violado la normativa de competencia dominante del motor de búsqueda de Google.
pueden ser multados a título individual

por la CNMC u otras autoridades • Nulidad de los contratos: Las conductas
nacionales. Las multas a título individual restrictivas de la competencia pueden
son adicionales a las multas que se darse en el contexto de una relación
imponen a las empresas y suponen un contractual. El perjudicado que sea
gran daño para la reputación del directivo parte en esa relación contractual, podrá
o representante legal al que se le impone. invocar la nulidad del contrato o de una
determinada cláusula contractual en uno a dos años y pérdida de la licencia

que consista la conducta tipificada como para la licitación pública.
restrictiva de la competencia, para que
- Retirada de las materias primas o los
deje de obligarle, además de pedir en su
productos de primera necesidad en
caso la restitución de las prestaciones
el mercado con el fin de limitar los
e, incluso, la indemnización de daños y
suministros o distorsionar los precios,
perjuicios.
con una pena de prisión de uno a
• Indemnizaciones de daños y perjuicios: cinco años y multa de uno a dos años.
Aquellos que hayan sido perjudicados
- Distorsión de los precios que impide
por una infracción de la normativa de
la libre competencia, estableciendo
competencia tiene la posibilidad de
penas de prisión de seis meses hasta
solicitar la reparación del daño causado
dos años junto con multas de uno a
(daño emergente y lucro cesante). En
dos años.
muchas ocasiones estas indemnizaciones
y el coste de la defensa legal superan • Otras consecuencias añadidas:
con creces el importe de las sanciones
- Daños a la reputación de la empresa y
administrativas impuestas por la
del administrador o directivo.
Autoridad de Defensa de la Competencia.
- Mayor litigiosidad e inseguridad
• Prohibición de contratar con las
jurídica.
administraciones públicas: La CNMC
y otras Autoridades de Defensa de la - Mayores riesgos e ineficiencias en la
Competencia de los Estados Miembros actividad comercial de la empresa.
(EEMM), pueden imponer la prohibición
- Desviación de recursos internos: Un
de contratar con la administración para las
expediente sancionador consume
empresas sancionadas por infracciones
gran cantidad de tiempo y recursos
contra la competencia.
económicos de la empresa y sus
• Responsabilidad penal de los asesores externos. Las personas
infractores y/o personas jurídicas: implicadas se ven obligadas a dedicar
Determinadas conductas anticompetitivas parte de su tiempo a actividades
están tipificadas en el Código Penal y, no relacionadas directamente con
por tanto, son susceptibles de generar la el negocio como, por ejemplo,
responsabilidad penal de las empresas suministrar información a los
y de las personas que incurran en las abogados o responder a los diversos
mismas: requerimientos de información
por parte de las autoridades de
- Manipulación de las licitaciones en
competencia.
subastas y licitaciones públicas, y
establece penas de prisión de uno a - Consecuencias previstas en otras
tres años, junto con multas diarias de normativas nacionales cuando las
actividades ilícitas afecten a otros 15.3. Conceptos básicos en

mercados, en el caso de empresas que materia de defensa de la
actúen en varios mercados. En algunos
competencia
países, como por ejemplo en Estados
Unidos, Francia, Irlanda y Reino Unido, En este epígrafe se describirán algunos
las infracciones de la normativa de de los conceptos básicos en defensa de la
competencia pueden conllevar penas competencia, necesarios para comprender
privativas de la libertad para los adecuadamente los riesgos en este ámbito.
directivos implicados en las mismas.
1. Empresa 8. Restricciones
Así, se puede dar el caso en la práctica
verticales a la libre
de que uno de estos países pida que 2. Mercado relevante
competencia
un directivo de una empresa española
3. Situación de
sea extraditado para ser juzgado 9. Abuso de una
competencia
en ese país por haber llevado cabo posición de
conductas contrarias a las normas de 4. Restricción a la libre dominio
competencia que hayan producido competencia
10. Falseamiento de la
efectos en ese país.
5. Excepción legal libre competencia
y exención por por actos desleales
Caso de estudio XV: Extraterritorialidad
categorías
11. Régimen de
Romano Pisciotti, italiano, fue extraditado
6. Prácticas colusorias control de
desde Alemania acusado de participar en una
concentraciones
conspiración para eliminar la competencia 7. Restricciones
mediante la manipulación de licitaciones, la fijación horizontales a la
de precios y el reparto de cuotas de mercado en la
libre competencia
venta de cables marinos en EE.UU y otros países,
según el DoJ. Se trató de la primera extradición por 15.3.1. Empresa
un delito de defensa de la competencia completada
con éxito. El derecho de la competencia se aplica a las
empresas.
Pisciotti, antiguo ejecutivo de un fabricante italiano
de cables marinos, fue detenido en el aeropuerto
El concepto comunitario de empresa es
de Frankfurt am Main (Alemania) en junio de 2013,
extremadamente amplio, ya que incluye a
y extraditado a EE.UU, donde cumplió una pena
de prisión de más de 24 meses. Entretanto, en todo sujeto, persona física, pública o privada,
Europa, el Tribunal Constitucional alemán rechazó titular de relaciones jurídicas de contenido
sus recursos, y en abril de 2018, el TJUE confirmó la económico, que opera en el mercado,
legalidad de su extradición. mediante la producción o distribución de
Fuente: Sentencia del Tribunal de Justicia de la UE, bienes o la prestación de servicios237.
(STJUE, 10. 4. 2018, Romano Pisciotti vs. Bundesrepublik
Deutschland, C 191/16 y First Ever Extradition on Antitrust
Charge (The US DoJ). 237 STJCE, 23.4.1991, Klaus Hoefner y Fritz Elser/Macroton GmbH,
C-41/90, Re. P.1979, p. 2016, apartado 21.
Las empresas se definen de forma funcional, La delimitación del mercado relevante se

e incluyen cualquier unidad que realice una realiza desde la perspectiva del producto y
actividad económica con independencia de del alcance geográfico:
su forma jurídica o financiación.
• El mercado de producto se determina
Las actividades ajenas a la esfera de según la demanda e incluye “la totalidad
intercambios económicos (por ejemplo, de los productos y servicios que los
servicio público de salud), o vinculadas al consumidores consideren intercambiables o
ejercicio del poder público, (por ejemplo, sustituibles en razón de sus características,
recaudación de impuestos238), quedan fuera su precio o el uso que se prevea hacer de
del ámbito de aplicación. ellos”240.
• Las autoridades emplean con frecuencia

Asimismo, el derecho de la competencia
el test SSNIP por el que se analiza si el
entiende como empresa la totalidad de
comprador cambiaría a otro producto
la unidad económica, esto es, el grupo de
tras una subida de precio pequeña pero
empresas o conglomerado.
significante y no transitoria (small but
Esto puede, por un lado, ser positivo para significant and non transitory increase in
las empresas, ya que cualquier acuerdo price), por ejemplo, una subida entre el 5
dentro del grupo o unidad económica queda y el 10%. Si el comprador o consumidor
excluido, y, por el otro, puede ser negativo, comienza a comprar otro producto se
ya que a la hora de sancionar se podrá tener puede considerar que ambas empresas
en cuenta el volumen de negocios del grupo compiten en el mismo mercado.
y éste podrá ser sancionado si ejercía un
• Asimismo, “el mercado geográfico de
control sobre la empresa que ha participado
referencia comprende la zona en la que las
en la conducta239.
empresas afectadas desarrollan actividades
15.3.2. Mercado relevante de suministro de los productos y de
prestación de los servicios de referencia, en
La delimitación del mercado relevante es la que las condiciones de competencia son
especialmente importante para evaluar suficientemente homogéneas y que puede
una conducta. Por un lado, el mercado distinguirse de otras zonas geográficas
relevante permite determinar la situación de próximas debido, en particular, a que
competencia entre las empresas que actúan las condiciones de competencia en ella
y, por el otro, se emplea para determinar la prevalecientes son sensiblemente distintas a
posición y cuota de la empresa en el mercado. aquéllas”241.
238 Sobre este concepto, véase A. Calvo Caravaca, Derecho Antitrust En la práctica, la determinación del mercado
Europeo, Tom I Parte General, La Competencia, 2009, p. 180 y ss.
relevante implica trabajar con un experto
239 Véase la sentencia Prysmian y Goldmann Sachs (GS), donde el
tribunal confirma la responsabilidad de la sociedad de inversión
GS por la conducta llevada a cabo por un fabricante de cables en
240 Diario Oficial n° C 372 de 09/12/1997 p. 0005 – 0013
el que GS ostenta una participación cercana al 100% del capital
social: STGUE, 12/07/2018, Prysmian vs Comisión, T 475/14. 241 Idem anterior.
del producto de la empresa, consultores muchas ocasiones, los responsables de las

que analicen el mercado y productos para empresas no son conscientes del amplio
determinar la posición de la empresa en el alcance de las normas de competencia.
mercado. Se trata de un punto de partida Conceptos como “dominio”, "abuso", “acuerdo
esencial que permitirá realizar el análisis legal ilegal”, “empresa” se definen de forma
y económico de la conducta. funcional y se van adaptando a las nuevas
circunstancias del mercado. Así, conductas
15.3.3. Situación de competencia
extendidas y habituales en un sector o
La situación de competencia entre dos o más industria pueden plantear problemas e
empresas se determina tras la definición incluso implicar incumplimientos. Por ello,
del mercado relevante. Se considera que el el asesoramiento especializado desde la
acuerdo o conducta afecta a dos empresas prevención permite acotar riesgos de forma
competidoras cuando se refiere a productos realista242.
o servicios que se ofrecen en el mismo
Finalmente, la valoración jurídica depende de
mercado.
las circunstancias de cada caso y conducta
El derecho de la competencia distingue entre y en ocasiones las pruebas para conocer los
acuerdos entre competidores (horizontales) y detalles son de difícil acceso o inexistentes.
no competidores (verticales).
El derecho de la competencia no exige
A diferencia de otro tipo de riesgos, los ilícitos elementos subjetivos especiales. La
derivados del incumplimiento del derecho de infracción se puede cometer ya sea de forma
la competencia no son evidentes a primera voluntaria o negligente. No obstante, la
vista y puede que ni la propia empresa tenga Comisión Europea sí podrá tener en cuenta la
conocimiento de ellos. negligencia como circunstancia atenuante243.
En muchas ocasiones los acuerdos más 15.3.4. Restricción a la libre

perjudiciales se adoptan y mantienen en competencia
secreto durante muchos años y sólo son La restricción de la libre competencia se
conocidos por unas pocas personas en la define como la limitación de la libertad de
empresa. actuación de una empresa en el mercado.
La conducta de un solo empleado que se Todas las empresas deben actuar de forma
reúne con la competencia y que pueda independiente, decidiendo individualmente
manipular sus precios puede exponer a la su política comercial y de negocio en el
totalidad de la empresa. En este sentido, mercado.
debemos resaltar que el desconocimiento de

242 Las principales recomendaciones internacionales sobre pro-
la conducta no exime de la responsabilidad gramas de Compliance antitrust incluyen el asesoramiento es-
pecializado como elemento esencial para probar la seriedad y
de la empresa. eficacia del programa de Compliance de una empresa. Véase por
ejemplo las recomendaciones de la ICC: https://iccwbo.org/publi-
cation/icc-antitrust-Compliance-toolkit/
Sin perjuicio de lo anterior, no todos los 243 Apartado 29 II, Directrices para el cálculo de las multas impues-
tas en aplicación del artículo 23, apartado 2, letra a), del Regla-
incumplimientos ocurren en secreto. En mento (CE) no 1/2003 (2006/C 210/02).
Dentro del concepto de restricción a la libre Por ejemplo, ciertas restricciones verticales
competencia se incluyen: pueden ayudar al fabricante a introducirse
en un nuevo mercado o evitar la situación
• Las conductas que restringen la
por la que un distribuidor se aprovecha
competencia, tanto entre las partes de un
gratuitamente de los esfuerzos promocionales
acuerdo colusorio (competencia interna,
de otro distribuidor (free riding).
es decir, acuerdos de especialización y,
por tanto, reparto de mercado entre Igualmente, los acuerdos de cooperación
dos empresas), como los que producen horizontal pueden conllevar eficiencias
efectos frente a terceros (competencia y por ejemplo a mejorar la producción o
externa, es decir, fijación de precios de la distribución de los productos cuando
reventa o boicot frente a un tercero). las partes tienen conocimientos, activos
• Acuerdos entre empresas que se o actividades que se complementan, ya
encuentran en un mismo nivel del proceso que pueden concentrarse en la fabricación
productivo (acuerdos horizontales o de determinados productos y trabajar así
cárteles, es decir, reparto de mercado o de forma más eficiente, ofreciendo los
clientes) o los que se hallan en distintos productos a precios más ventajosos para los
niveles del proceso productivo (acuerdos consumidores.
verticales, es decir, fijación de precio de
Por todo lo anterior, un acuerdo que tenga
reventa).
efectos restrictivos de la competencia puede
• Restricciones a la competencia actual y estar permitido si cumple con determinados
potencial. requisitos y el TFUE y la LDC ofrecen una
salida a aquellos acuerdos que compensen
• Restricciones a la competencia, tanto
cualquier efecto anticompetitivo que se
intermarca (entre marcas distintas), como
derive de los mismos. Esta excepción se
intramarca244 (en una misma marca).
puede aplicar de dos formas distintas:
• Restricciones tanto a la producción
y distribución de bienes como de la a. Exenciones por categorías o
prestación de servicios. autorizaciones en bloque: Esta opción,
muy común con respecto a la normativa
15.3.5. Excepción legal y exención europea, supone la existencia de un
por categorías determinado reglamento que autoriza
ciertas categorías de acuerdos a pesar
Las restricciones horizontales o verticales no
de que los mismos pueden generar
tienen por qué tener sólo efectos negativos,
restricciones a la competencia horizontal
sino que también pueden generar efectos
o vertical, siempre y cuando se cumplan
positivos para el mercado que contrarresten
las condiciones establecidas en los
los efectos negativos.
mismos. Precisamente estos reglamentos
244 Veáse Dec. Com, 29/06/2001, Volkswagen, DO L 262, de 2 de oc- autorizan ciertos acuerdos porque
tubre de 2001
se presume que bajo determinadas b. limitar o controlar la producción, el

condiciones pueden también producir mercado, el desarrollo técnico o las
importantes eficiencias 245
. inversiones;
b. Exención directa: Esta segunda c. repartirse los mercados o las fuentes de

opción se aplica a aquellos acuerdos abastecimiento;
individuales que no entren dentro del
d. aplicar a terceros contratantes
ámbito de aplicación de ninguno de los
condiciones desiguales para prestaciones
reglamentos de exención específicos
equivalentes, que ocasionen a éstos una
que existen o bien que no cumplan las
desventaja competitiva;
condiciones establecidas en ellos, pero
que, tras una evaluación individual y e. subordinar la celebración de contratos a
pormenorizada de los acuerdos y los la aceptación, por los otros contratantes,
efectos tanto positivos como negativos de prestaciones suplementarias que,
que puedan producir en el mercado en por su naturaleza o según los usos
el que inciden, se considere que cumplen mercantiles, no guarden relación alguna
los requisitos del TFUE o de la LDC. con el objeto de dichos contratos.”
15.3.6. Prácticas colusorias Los elementos esenciales de las prácticas

colusorias son, por tanto, los dos siguientes:
La definición de práctica colusoria se
encuentra en el TFUE:
“Serán incompatibles con el mercado

interior y quedarán prohibidos todos los
acuerdos entre empresas, las decisiones de
asociaciones de empresas y las prácticas
concertadas que puedan afectar al comercio
entre los Estados miembros y que tengan
por objeto o efecto impedir, restringir o Concierto de voluntades
falsear el juego de la competencia dentro
El concierto de voluntades se refiere al
del mercado interior y, en particular, los
acuerdo entre las partes, siendo irrelevante
que consistan en:
si es un acuerdo expreso o tácito o si se
a. fijar directa o indirectamente los presenta bajo una forma verbal o escrita.
precios de compra o de venta u otras
En cualquier caso, lo que sí que tiene que
condiciones de transacción;
concurrir es el consentimiento de las partes,
siendo indiferente el modo en que se exprese
245 Veáse, además del Reglamento 3330/2010, el Reglamento ese consentimiento246.
1218/2012, que autoriza de manera automática acuerdos de
especialización entre competidores siempre que no contengan
restricciones graves de competencia y la cuota combinada de
mercado de las partes no supere el 20 %. 246 STJCE 26/10/2000, Bayer vs. Comisión Europea, T 41/96 (2000),
Caso de estudio XVI: Cártel de coches de que se han recibido correos electrónicos
alquiler sin haber manifestado oposición expresa
La CNMC sancionó a AVIS por participar en un cártel a su contenido, simples apuntes a mano
de vehículos de alquiler, decisión que recurrió y en una agenda sobre lo discutido en una
cuestionó la empresa. llamada telefónica, la existencia de actas
de reuniones sin firmar, etc (como en el
AVIS alegaba que no podía sustentarse la sanción
Caso de estudio de AVIS247).
sobre un solo documento, de un tercero (presentado
por GOLDCAR, competidora) y referido a una única ii. Los acuerdos tácitos se pueden
reunión del cártel, no siendo prueba suficiente para
manifestar también en el ámbito de los
imputarle una infracción del art. 1 de la LDC (…).
contratos de distribución, por ejemplo,
Pero la CNMC opinaba de forma diferente, ya que cuando el fabricante da instrucciones
si bien sólo se acreditó la presencia de AVIS en la relativas a la política comercial a
reunión del cártel celebrada en la sede malagueña
su red, constituyendo una práctica
de AESVA el 30/03/201, y esa era la única reunión
anticompetitiva la mera pertenencia a
en la que está acreditada la participación de AVIS,
dicha red comercial.
también se trataba de la última de las reuniones
documentadas del cártel. En este sentido, se puede mencionar la
Además, AVIS estaba representada en esa reunión sentencia del TJUE Volkswagen/Comisión,
por el directivo que ella consideró adecuado (por C-338/00 P,EU:C:2003:473, que en su
lo que no cabe admitir falta de representatividad). apartado 58 indica:
Asimismo, en ningún momento este directivo,
durante o con posterioridad a la reunión, manifestó “(…) sólo muestra que un acto aparentemente
su oposición al acuerdo de precios mínimos (objeto unilateral (como una exhortación dirigida
de la reunión), así como a las medidas de presión por un constructor de automóviles a sus
que se acordaron contra las empresas que lo concesionarios o el abastecimiento unilateral
estaban incumpliendo. Por tanto, cabe inferir que de éstos por el fabricante) constituye en
AVIS participaba también en el referido acuerdo
realidad un acuerdo cuando forma parte
(…)”.
de un conjunto de relaciones comerciales
Fuente: Historial del expediente VS/0380/11 y continuadas reguladas por un acuerdo
relacionados S/0380/11
general adoptado anteriormente (véanse
las sentencias antes citadas Ford/Comisión
A continuación, se indican distintas formas y Bayerische Motorenwerke, mencionadas
que pueden adoptar concierto de voluntades: en el apartado 236 de la sentencia
recurrida) o cuando los concesionarios
i. Las autoridades de competencia
han dado su acuerdo al adoptar un cierto
consideran como indicios de la comisión
comportamiento como reacción al acto
de una conducta anticompetitiva cuando
de que se trate (véase la sentencia BMW
haya constancia de que se ha asistido a
Belgium y otros, antes citada).”
reuniones, aún sin haber participado, de
247 Más ejemplos en R. Whish, D. Bailey, Competition Law, Oxford

REC II-33 83, (2001). 2012, p. 101.
iii. Las decisiones o recomendaciones de comportamientos sin que dichas

colectivas de asociaciones, uniones o conductas estén respaldadas en la
agrupaciones, que incluyen todas las existencia de un convenio propiamente
manifestaciones de voluntad emanadas dicho.
de los órganos de uniones, asociaciones o
Con respecto a este tipo de conductas, es
agrupaciones de empresas dirigidas a sus
importante tener en cuenta que, aunque
miembros248. La expresión “asociación” (o
no se exige un elemento consensual
unión o agrupación) de empresas ha de
fuerte expreso o tácito, sí es necesario
entenderse en sentido amplio y con un
que las mismas conductas no obedezcan
carácter funcional.
a reacciones normales o previsibles de los
A modo de ejemplo, las simples agentes del mercado.
declaraciones en prensa de un
Así, por ejemplo, la coincidencia absoluta
representante una asociación sectorial
en una licitación de las ofertas presentadas
manifestando la necesidad del aumento
por dos licitantes puede considerarse
de precios de los productos de sus
como una práctica concertada que no
miembros puede ser considerada como
dispone de otro tipo de explicación
una recomendación colectiva de precios,
que la existencia de una anuencia entre
ya que supone la “expresión de la
ambos competidores puede considerarse
voluntad de la asociación de coordinar el
en ejemplo de prácticas concertadas o
comportamiento de sus miembros en el
paralelas.
mercado”249.
Afectación de la competencia
Debemos resaltar que no es necesario el
seguimiento por parte de los asociados, La afectación de la competencia se refiere
ya que lo importante es la aptitud de a aquellos acuerdos que tengan por objeto
la recomendación para armonizar u o por efecto impedir, restringir o falsear la
homogeneizar el comportamiento competencia dentro del mercado común o,
competitivo de los asociados. en todo o en parte, del mercado nacional.
A continuación, se definen cada uno de los
iv. Las prácticas concertadas o
elementos de este concepto:
conscientemente paralelas, las cuales
engloban todo tipo de actuaciones de • Objeto: Los conciertos de voluntad cuyos
empresas que, alterando o restringiendo términos o estipulaciones muestran la
la situación de competencia de un finalidad de lesionar de modo directo
mercado, implican de alguna manera una la competencia. Las restricciones por
concertación, coordinación o paralelismo objeto son especialmente graves.
Ejemplos comunes serían: reparto
248 STJCE, 08/11/1983, IAZ International Belgium NV v Comisión, C

de mercados; acuerdos de fijación de
96/82 etc.
precios y los acuerdos de limitación de
249 STJUE de 29/11/1980, As. 209/78 y acumulados, FEDETAB, párr.
86; STJCE de 12/01/1987, As. 45/85 Verband der Sachversicherer. venta o producción. La calificación de
una conducta como infracción por objeto puede tener una influencia, directa
hace innecesario el examen de los efectos o indirecta, real o potencial en las
reales o potenciales del mismo por las corrientes comerciales entre EEMM.
autoridades de competencia, y su simple
- Apreciabilidad: la prohibición no
existencia sirve para que la conducta sea
se aplicará a los acuerdos que no
sancionable.
puedan en principio afectar de forma
• Efecto: Este elemento se refiere a aquellos apreciable al comercio entre EEMM
supuestos en los que la finalidad del cuando:
acuerdo, decisión o práctica concertada
» la cuota de mercado conjunta de
no es una lesión a la competencia,
las partes en cualquier mercado
pero pese a ello, como consecuencia
de referencia en la UE afectado
de la concertación y en atención al
por el acuerdo no es superior al 5
contexto y a las diversas circunstancias
%; y
concurrentes, se origina dicho perjuicio
de la competencia. » en el caso de acuerdos
horizontales, el volumen de
• Impedir, restringir o falsear la competencia:
negocios total anual en la
la adopción de acuerdos, decisiones o
Unión Europea de las empresas
la realización de prácticas concertadas
interesadas correspondiente a
supone generalmente una limitación
los productos cubiertos por el
a la libertad de actuación de los
acuerdo no es superior a 40M de
empresarios en el mercado, que altera
euros251.
el funcionamiento de éste, distorsionado
las condiciones en que se desarrollaría la Además, hay que tener en consideración
competencia. el carácter significativo de la restricción de
competencia, que se aplica a los acuerdos,
• Afectación del comercio entre Estados
decisiones o prácticas concertadas que
miembros / afectación de todo o de parte
produzcan importantes efectos lesivos
del mercado nacional:
para la competencia. Quedan fuera de este
Este elemento determina si la conducta concepto los acuerdos de menor importancia
anticompetitiva se encuentra cubierta por y cuyos efectos sobre la competencia no son
la normativa europea o por la normativa sensibles. Para ello, la regla de minimis252
nacional250. define, con la ayuda de umbrales de cuota
- Comercio: el comercio abarca toda de mercado, lo que no se considera una
actividad económica transfronteriza. restricción sensible de la competencia.
- Afectación: el acuerdo o la práctica, con

251 En el caso de acuerdos verticales, el volumen de negocios total
un grado suficiente de probabilidad, anual en la UE del proveedor de los productos cubiertos por el
acuerdo no es superior a 40M de euros.
252 Comunicación relativa a los acuerdos de menor importancia que

250 “Directrices relativas al concepto de efecto sobre el comercio no restringen la competencia de forma sensible en el sentido del
contenido en los art. 81 y 82 del Tratado” (2004/C 101/07). artículo 101, apartado 1, del TFUE.
De acuerdo con esta regla quedan exentos: comerciales, la asignación de cuotas

de producción o de venta, el reparto
i. Los acuerdos horizontales siempre que la
de mercados, incluidas las colusiones
cuota de mercado conjunta de las partes
en licitaciones, las restricciones de las
del acuerdo no exceda el 10%.
importaciones o exportaciones o las medidas
ii. Los acuerdos verticales siempre que la anticompetitivas contra otros competidores.
cuota de mercado de cada una de las Tales prácticas figuran entre los casos más
partes no exceda de un 15%. graves de violación del artículo 81 del
Tratado CE (ahora artículo 101.1 TFUE).”254
Esta definición negativa no implica que los
acuerdos entre empresas que superen los A continuación, se describen las características
límites establecidos restrinjan la competencia de las siguientes prácticas de cártel:
de forma sensible; la regla de minimis sólo
crea un puerto seguro.
15.3.7. Restricciones horizontales a

la libre competencia
Las restricciones horizontales a la libre

competencia se pueden definir como los
acuerdos entre dos o más operadores
independientes del mercado que operan en
el mismo nivel de la cadena de suministro.
El ejemplo más relevante de restricción

horizontal a la libre competencia es el cártel
de fijación de precios y/o reparto del mercado.
Los cárteles • Acuerdos horizontales de fijación de

precios
Según la Comisión Europea, los cárteles 253
:
Se refiere a todo tipo de acuerdos o prácticas
“(…) son acuerdos o prácticas concertadas concertadas que tengan por efecto la
entre dos o más competidores cuyo objetivo limitación de la competencia en precios,
consiste en coordinar su comportamiento incluyendo, por ejemplo, los siguientes:
competitivo en el mercado o influir en los acuerdos sobre descuentos, márgenes, tipos
parámetros de la competencia mediante de interés de los préstamos, restricciones a
prácticas tales como la fijación de precios la publicidad, fijación de precios máximos,
de compra o de venta u otras condiciones objetivos o precios mínimos, mantenimiento
253 Reglamento 2015/1348 de 3 de agosto de 2015 por el que se mo-

difica el Reglamento (CE) no 773/2004 relativo al desarrollo de los 254 Comunicación de la Comisión relativa a la dispensa del pago
procedimientos de la Comisión con arreglo a los artículos 81 y 82 de las multas y la reducción de su importe en casos de cártel
del Tratado CE. (2006/C 298/11).
colectivo de precios de reventa, acuerdos • Acuerdos de reparto de mercado

de respetar recomendaciones de precios
El reparto de mercado se puede materializar
publicados, etc.
mediante un pacto de no agresión o
mediante un reparto de mercados de
Caso de estudio XVII: Monitores de
producto, de cuotas de venta o de cliente.
ordenador y de TV (Sector tubos CRT)
Para ello se concede a cada una de las
El 5 de diciembre de 2012 la Comisión impuso partes la exclusividad para operar en un
multas por un importe total de aproximadamente área geográfica determinada, obligándolas a
1470M de euros a siete empresas que habían
abstenerse de hacerlo en el área otorgada al
participado en uno o dos cárteles distintos en
resto de las partes.
el mercado de los tubos de rayos catódicos que
se emplean en la fabricación de monitores de
ordenador y televisores. Caso de estudio XVIII: Telefónica y Portugal
Telecom
Entre 1996/1997 y 2006, los directivos de las
El 23/01/2013, la Comisión Europea impuso multas
empresas sancionadas acordaron precios en
de 79,8M de euros a Telefónica (66,8M) y a Portugal
reuniones multilaterales y bilaterales, así como a
Telecom por acordar no competir en el mercado
otros intercambios de información.
ibérico.
Las reuniones se celebraron periódicamente con la
En julio de 2010, en el contexto de la adquisición
participación de diferentes niveles de las empresas
por Telefónica del operador brasileño de telefonía
y en diversos lugares de Europa y Asia, de manera
móvil Vivo, que hasta entonces era propiedad
interconectada. Las reuniones se denominaban
conjunta de Portugal Telecom y Telefónica, éstas
Green Meetings, ya que, a su finalización, los
incluyeron una cláusula en el contrato en la que
participantes jugaban a golf en los distintos
indicaban que no competirían entre sí en España y
emplazamientos elegidos. En esencia, los cárteles
Portugal a partir de finales de septiembre de 2010.
consistían en la fijación de precios, repartos de
mercados y clientes y limitaciones de la producción. Las partes finalizaron este acuerdo de no
competencia a principios de febrero de 2011,
El control de la aplicación de los acuerdos se definía después de la incoación del expediente sancionador
en las reuniones de mandos intermedios de las por parte de la Comisión Europea.
distintas empresas denominadas Glass Meetings.
Además, controlaban la producción y capacidades Al mantener el statu quo en España y Portugal, el
visitando las plantas de fabricación de los miembros acuerdo impedía el proceso de integración del
del cártel. Asimismo, las empresas participantes sector de las telecomunicaciones en la UE. Los
intercambiaron con regularidad información acuerdos de no competencia constituyen una de las
comercial confidencial. infracciones más graves contra la normativa sobre
competencia de la UE, ya que las consecuencias
Fuente: Resumen de la Decisión de la Comisión de 5 de pueden ser unos precios más elevados y menos
diciembre de 2012relativa a un procedimiento en virtud
capacidad de elección para los consumidores.
del artículo 101 del TFUE y el artículo 53 del Acuerdo
EEE(Asunto COMP/39.437 — Tubos para pantallas de Fuente: La CE multa a Telefónica y Portugal Telecom con
televisor y de ordenador 79 millones de euros
• Acuerdos de limitación de producción para presentar una oferta individual, la

presentación a través de una UTE podría
En ausencia de un acuerdo directo de fijación
tener efectos anticompetitivos255.
de precios, los acuerdos de limitación de la
producción suelen materializarse mediante En efecto, una UTE implica la reducción de
la limitación de la capacidad o mediante la la oferta en el mercado, por lo que hay que
fijación de cuotas de producción entre los analizar en detalle sus implicaciones y los
distintos participantes del cártel. Dichos motivos reales de la cooperación. A la hora
acuerdos suelen ir acompañados de medidas de valorar la UTE habrá que analizar si tiene
que permiten a los participantes del cártel sentido económico y comercial, por ejemplo,
controlar el respeto de las cuotas por los para reducir el riesgo financiero. En cualquier
demás, así como de medidas de sanción o caso, es necesario realizar un análisis
compensación en caso de incumplimientos. detallado.
Ejemplos de acuerdos que han sido declarados • Licitaciones fraudulentas

prohibidos por la Comisión Europea o por
La licitación fraudulenta también está
la CNMC son, entre otros: el acuerdo de no
prohibida por el TFUE y la LDC. Se trata del
aumentar la producción sin el consentimiento
tipo de cártel más grave y perjudicial para
de un competidor; el acuerdo de contingentar
la competencia. La licitación fraudulenta o
(fijar un cupo) en un determinado porcentaje
bid rigging se caracteriza por que distintos
el número de licencias que pueden trabajar
competidores se ponen de acuerdo para
a doble turno; la garantía de un volumen de
realizar sus ofertas en un concurso,
ventas determinado; el pacto de no utilización
procedimiento de subasta o licitación pública
de capacidad combinado con un intercambio
o privada. Según la OCDE, estas prácticas no
de información; el acuerdo de mantener
sólo son especialmente perjudiciales para
un volumen de producción determinada;
la economía y el interés público, sino que
acuerdos adoptados en el seno de colegios
se trata de conductas que también pueden
profesionales que limitaban la actividad
ir asociadas a la corrupción u otro tipo de
profesional de los colegiados; etc.
delitos256.
• Unión Temporal de Empresas (UTE)
La colusión entre los licitadores se suele
La oferta conjunta a través de una UTE está dar por medio de acuerdos de reparto de
permitida siempre y cuando existan causas mercados o acuerdos de fijación de precios.
objetivas que justifiquen la cooperación, En la práctica, las técnicas más utilizadas
como, por ejemplo, que ninguno de los son257:
participantes pueda realizar el trabajo total
de forma individual. Por el contrario, si la
255 Véase, por ejemplo, CNMC, 23.2.2017, Hormigones de Asturias,
empresa dispone de medios, capacidades S/DC/545/15.
256 OECD, Collusion and Corruption in Public Procurement 2010:

y los conocimientos técnicos necesarios
257 Véase también: Guía para la detección del fraude en la contratación
pública
casos podría no ser necesario un reparto

posterior de las ganancias.
El falseamiento de la competencia en
licitaciones públicas no sólo es una de las
principales prioridades de la CNMC, sino que
puede constituir un ilícito penal.
- Posturas encubiertas: los miembros del
acuerdo designados previamente para no
Caso de estudio XIX: Halcón Viajes y Barceló
ganar la licitación presentan ofertas que
Viajes
no tienen ninguna posibilidad de ganar.
La CNMC multó en dos ocasiones a las empresas
Estas ofertas, conocidas bajo distintas Halcón Viajes y Barceló Viajes (S/476/99 y
denominaciones “de resguardo”, SNC/007/16 Agencias de Viajes) por incurrir
“complementarias”, “simbólicas”, entre en prácticas anticompetitivas al participar en
otras, pueden adoptar diversas formas, concursos públicos relativos a los viajes del Instituto
por ejemplo, los supuestos competidores de Mayores y Servicios Sociales (IMSERSO).
pueden aceptar presentar una oferta Dichas prácticas sancionadas consistieron en:
demasiado elevada para ser tenida en
• Acordar con otras dos agencias de viajes
cuenta, o lo suficientemente alta para
la presentación de ofertas idénticas con la
superar a la acordada como ganadora, o
finalidad de repartirse la ejecución de los
incluir en su oferta términos especiales contratos con independencia del resultado de
difícilmente aceptables por el órgano la licitación;
contratante. De esta manera consiguen
• Concurrir en UTE a varias licitaciones sin que
señalar la oferta ganadora y dar apariencia
exista una justificación objetiva, pues ambas
de legitimidad al proceso.
empresas estaban en condiciones y disponían
- Supresión de propuestas: Una vez de la capacidad necesaria para participar

en dichas licitaciones presentando ofertas
decidida la empresa que debe ser
individuales.
ganadora de la licitación, el resto de las
empresas se abstienen de presentar Fuente: Historial Expedientes CNMC VSNC/007/16 y
VS/476/99.
ofertas.
- Rotación del ganador: los miembros del

• Acuerdos horizontales de fijación de
acuerdo pueden coordinarse para ganar
“otras condiciones de transacción”
por turnos las licitaciones de un órgano
de adjudicación, normalmente a través Consiste en fijar las condiciones o términos
de la utilización de posturas encubiertas. en los que se producirá el suministro de
De este modo, al presentar la oferta un determinado bien o servicio a través de
ganadora de forma rotatoria, todas las cláusulas en acuerdos horizontales diseñadas
empresas resultan adjudicatarias de para reforzar una fijación de precios o un
algún contrato y, por tanto, en estos reparto de mercado.
Ejemplos de acuerdos van a seguir en el mercado sus competidores,

incrementándose enormemente las
• Acuerdos para imponer a los revendedores
condiciones de venta predeterminadas y la
posibilidades de coordinación de
adopción de medidas necesarias para su comportamientos.
implementación.
Los intercambios de información se pueden
• Acuerdos entre los miembros de una encuadrar en dos contextos diferentes:
conferencia marítima sobre los términos y
condiciones bajo los que se podrán celebrar • Como un instrumento mediante el
contratos con los cargadores. cual, sin existir un acuerdo expreso, las
partes que intercambian la información
• Acuerdos con relación a los adornos florales
son conocedoras de cierta información
que las floristerías entregan a los tanatorios.
sensible (por ejemplo, la política de
• Acuerdos entre entidades de crédito sobre las precios, el descuento o los márgenes
condiciones de acceso a los medios de conexión
que una empresa va a adoptar en los
necesarias para utilizar las tarjetas como medio
años venideros), de manera que se
de pago.
reduce la incertidumbre en el mercado
y puede dar lugar a una coordinación de
• Intercambios de información “sensible” comportamientos entre las empresas
entre competidores. que intercambian dicha información.
El intercambio de información entre empresas • Como parte de un cártel sobre precios

que compiten en un mismo mercado, ya sea y/u otras condiciones comerciales,
directo o a través de clientes o proveedores, donde el intercambio de información
es una de las áreas más sensibles. juega un papel de “control”, es decir, que
mediante este intercambio las empresas
Cuando los intercambios de información
participantes del cártel se aseguran de
tienen por objeto poner en común
que el resto de los competidores están
información relativa a los niveles de precios o adecuando sus conductas a lo pactado.
cantidades de producto, en especial los que se
vayan a adoptar en el futuro, se considerará Las asociaciones sectoriales
que son conductas particularmente graves
En la práctica es frecuente la pertenencia
y que constituyen restricciones a la libre
de empresas a asociaciones empresariales,
competencia y que son, de facto, cárteles258.
generales o sectoriales, o a colegios
Tal intercambio de información puede dar profesionales. La pertenencia a estos
lugar a efectos restrictivos de la competencia, grupos puede plantear ciertos riesgos de
al hacer que las empresas tengan violación de la normativa de competencia,
conocimiento de la estrategia comercial que los cuales han sido debidamente señalados
y analizados por la CNMC en su “Guía para
258 Véase al respecto “Directrices sobre la aplicabilidad del artículo 101 Asociaciones Empresariales”. La CNMC puede
del Tratado de Funcionamiento de la Unión Europea a los acuerdos
de cooperación horizontal” (2011/C 11/01). sancionar individualmente a los miembros
de la asociación y además a la propia una asociación empresarial no las exime

asociación como facilitadora de la conducta de la eventual responsabilidad que pueda
anticompetitiva . 259
derivarse por infracciones de la LDC. La
asistencia a reuniones organizadas por
Los riesgos más relevantes que se pueden
dichas asociaciones, a pesar de que se
dar en el seno de una asociación son los
traten temas generales, también pueden
siguientes:
dar lugar a conductas anticompetitivas.
• Intercambio de información sensible:
• Incorporación de condiciones o estándares
En el seno de este tipo de asociaciones
contrarios a las normas de competencia a
es frecuente establecer algún tipo de
contratos con terceros: Es frecuente que
servicio de información y seguimiento
las asociaciones o colegios profesionales
de la evolución económica y sectorial
elaboren estándares o condiciones de
basada en información general y en datos
contratación y que recomienden a los
facilitados por los propios asociados.
miembros su adopción y seguimiento.
• Acuerdo horizontal de fijación de precios El problema que esto genera es que
u otras condiciones entre competidores: los estándares o condiciones que las
Es relativamente frecuente que las asociaciones o colegios profesionales
asociaciones y colegios profesionales elaboran suelen estar únicamente
hagan recomendaciones de precios de inspirados en garantizar la protección
servicios, honorarios, recomendaciones de los intereses de sus miembros y en
de los precios mínimos e incluso muchos casos contienen cláusulas que
recomendaciones de otras condiciones resultan conflictivas con la normativa de
comerciales. competencia.
• Plataforma adecuada para desarrollar Cualquier intercambio de información en un

cárteles: Bien por iniciativa de la propia grupo de trabajo de la asociación o cualquier
asociación (suelen adoptar el papel de comentario sobre las políticas y condiciones
coordinadora o facilitadora) o bien por de clientes y proveedores pueden implicar
los contactos que entre los competidores infracciones sancionables.
pueden surgir como consecuencia de la
Por ello, resulta especialmente relevante
pertenencia a asociaciones, como por
analizar en detalle todas las actividades de
ejemplo a la hora de asistir a reuniones
la empresa en cualquier asociación sectorial.
organizadas por la asociación.
Se recomienda que la asociación tenga un
• En cualquier caso, las empresas asociadas programa de Compliance, que imparta
deben saber que su participación en dichos formación a sus miembros y que establezca
comportamientos bajo el resguardo de protocolos de seguimiento y control.
259 Véase, por ejemplo, CNMC 21/11/2017, Cables eléctricos. S/

DC/0562/15.
Pautas y orientaciones para asociaciones Los acuerdos de cooperación entre

sectoriales empresas
Se pueden seguir las siguientes pautas para
En principio, los acuerdos de cooperación
evitar que las asociaciones sectoriales incurran en
entre empresas competidoras o
prácticas de cártel:
potencialmente competidoras pueden dar
• Revisar la agenda de cada reunión para
lugar a beneficios económicos sustanciales,
comprobar los temas y posibles cuestiones
en especial si combinan actividades,
que no se deben tratar (p.ej., presión de
conocimientos o activos complementarios.
precios de los principales clientes etc.)
• Nombrar personas de contacto y participantes Sin embargo, también pueden plantear

con formación previa en Competencia problemas para la competencia cuando
se emplean como instrumento para que
• Ceñirse al orden del día.
las empresas que son parte del acuerdo
• Levantar acta de cualquier reunión: fecha,
coordinen sus comportamientos, dando lugar
lugar, asistentes, temas tratados.
a restricciones graves de la competencia.
• No hablar de las cuestiones prohibidas
(precios, condiciones de compra y venta etc.). A continuación, se enumeran algunos de los
principales acuerdos de cooperación y los
• En caso de duda, protestar y dejar la reunión
principales riesgos que plantean desde la
solicitando que se incluya en el acta los motivos
perspectiva del derecho de la competencia260:
por los que se abandona la reunión.
• Elaborar una guía para los participantes

indicando las conductas permitidas y las
prohibidas.
• Revisar estadísticas desde la perspectiva del

derecho de la competencia.
• Evitar reuniones informales o previas (por

ejemplo, una cena antes del congreso o
evento).
• Seleccionar con precaución a las personas de

la empresa que van a participar y cambiar a los • De investigación y desarrollo (I+D): En
participantes. determinadas ocasiones la cooperación
• Entrevistar a los participantes después de las en I+D entre competidores puede servir
reuniones. para restringir la competencia, por
ejemplo, si tiene como efecto el reducir
• Dar publicidad y transparencia de las reuniones
o retrasar la innovación, haciendo
en la medida de lo posible.
que llegue al mercado un número de
260 Directrices sobre la aplicabilidad del artículo 101 del TFUE a los
acuerdos de cooperación horizontal (2011/C 11/01).
productos menor o de peor calidad que promoción de sus productos sustitutivos.

los que llegarían en caso contrario. Este tipo de acuerdos puede tener un
alcance muy diferente, en función de los
• De producción (incluidos los de
elementos de comercialización a los que
especialización): Los acuerdos de
se refiera la cooperación.
producción pueden dar lugar a una
limitación directa de la competencia entre Estos acuerdos pueden implicar la fijación
las partes y llevar a las mismas a alinear de precios, la limitación de la producción,
sus conductas en el mercado. Cuanto puesto que las partes pueden decidir el
mayor sea la asunción de costes en volumen de productos que se pondrá en
común y más homogéneo sea el producto, el mercado restringiendo así la oferta, o
mayor será el riesgo de que se produzca servir como medio para que las partes
una coordinación entre las empresas dividan los mercados, se repartan los
que cooperan, incidiendo directamente pedidos o los clientes o pueden dar
en el precio de venta y la calidad de la lugar a un intercambio de información
producción. estratégica.
• De compra conjunta: Los acuerdos de • De normalización: Los acuerdos de

compra pueden revestir formas muy normalización o estandarización pueden
variadas. Pueden ir desde la constitución abarcar distintos ámbitos, como la
de una empresa conjunta a formas más de diferentes calidades o tamaños
laxas, como por ejemplo una asociación de un producto determinado o las
de empresas o una plataforma B2B. La especificaciones técnicas en mercados en
compra conjunta puede resultar pro- los que resulta esencial la compatibilidad
competitiva, ya que permite a empresas y la interoperabilidad con otros productos
de pequeña dimensión competir con o sistemas. La determinación de normas
grandes empresas en igualdad de o estándares suele tener efectos
condiciones. positivos sobre la competencia, tales
como el desarrollo de nuevos productos
Estos acuerdos, sin embargo, pueden
y mejores condiciones de suministro.
plantear ciertos problemas, pudiendo
No obstante, también puede producir
conducir a la creación o el reforzamiento
efectos restrictivos de la competencia al
del poder de compra, lo que puede
limitar potencialmente la competencia de
dar lugar a ineficiencias en el mercado
precios y limitar o controlar la producción,
cuando los beneficios no se repercuten
los mercados, la innovación o el desarrollo
en el consumidor en forma de bajada de
técnico.
precios.
• Sobre medio ambiente: Las partes se
• De comercialización: Estos acuerdos
comprometen a lograr una reducción
implican la cooperación entre
de la contaminación conforme a la
competidores para la venta, distribución o
legislación medioambiental o a cumplir
determinados objetivos en el ámbito del las restricciones horizontales y pueden

medio ambiente. A pesar de sus aparentes proporcionar un margen sustancial para que
beneficios, también pueden contener se produzcan eficiencias. No obstante, las
restricciones a la competencia, siendo las restricciones verticales pueden en ciertas
más típicas la limitación de producción o ocasiones acarrear consecuencias negativas
la exclusión de terceros competidores. para el mercado, siendo las más comunes:
15.3.8. Restricciones verticales a la a. La exclusión contraria a la competencia de

libre competencia otros proveedores u otros compradores
poniendo obstáculos a la entrada o a la
Las restricciones verticales a la libre expansión.
competencia surgen de acuerdos o prácticas
b. La relajación de la competencia entre
concertadas entre dos o más empresas que
el proveedor y sus competidores o la
operan en planos distintos de la cadena de
facilitación de la colusión en otro nivel
producción o distribución.
de la cadena de suministro, denominada
Esta definición se compone de los siguientes frecuentemente reducción de la
elementos: competencia intermarca.
• Actores en planos distintos de la cadena c. La relajación de la competencia entre

de producción/distribución: el comprador y sus competidores o la
facilitación de la colusión entre estos
El acuerdo o la práctica concertada ha de
competidores, a menudo denominada
tener lugar entre empresas que operan
como reducción de la competencia
en planos distintos de la cadena de
intramarca si afecta a la competencia
producción o distribución (por ejemplo,
de los distribuidores de una marca o
una empresa produce una materia prima
producto del mismo proveedor.
que otra empresa utiliza como insumo o
un acuerdo de distribución). d. La creación de obstáculos a la integración
de mercados, entre los que se incluyen,
• Referido a las condiciones:
sobre todo, las limitaciones a la libertad
Se refiere a las condiciones en las que de los consumidores para adquirir bienes
las partes del acuerdo, el proveedor y o servicios en el Estado miembro de su
comprador, pueden comprar, vender o elección261.
revender determinados bienes y servicios.
A continuación, se describen dos ejemplos
• Pluralidad de empresas: de las principales restricciones verticales
El acuerdo o la práctica concertada tiene
261 Véase al respecto también el reciente Reglamento (UE) 2018/302
lugar entre dos o más empresas. sobre medidas destinadas a impedir el bloqueo geográfico injus-
tificado y otras formas de discriminación por razón de la nacio-
nalidad, del lugar de residencia o del lugar de establecimiento de
Con carácter general, las restricciones los clientes en el mercado interior y por el que se modifican los
Reglamentos (CE) nº 2006/2004 y (UE) 2017/2394 y la Directiva
verticales son menos perniciosas que 2009/22/CE.
prohibidas que pueden conllevar la nulidad Caso de estudio XX: Imposición de precios
con efectos retroactivos de las cláusulas artículos electrónicos
contractuales que las establezcan: En julio de 2018, la Comisión Europea impuso
sanciones por un importe total de 111M de euros
• Fijación de precios de reventa: El objeto
a ASUS, Denon&Marantz, Philips y Pioneer por
directo o indirecto de este tipo de
imponer los precios de reventa de sus productos
restricciones es el establecimiento de
electrónicos a diversos distribuidores que vendían
un precio o nivel de precio de reventa sus productos a través de internet.
fijo o mínimo al que debe ajustarse el
Las cuatro compañías realizaron actividades
distribuidor, limitando su libertad de
conocidas como “mantenimiento de precios de
decisión sobre sus propios precios. La
reventa fijos o mínimos (RPM)” restringiendo la
prohibición no incluye, en principio, capacidad de los minoristas para fijar sus propios
las recomendaciones de precio ni el precios de venta al por menor en Internet de
establecimiento de precios máximos, electrónica de consumo.
siempre y cuando no sirvan de referencia
Si los minoristas no se plegaban a la política
para minoristas y distribuidores y por de precios de los fabricantes, se enfrentaban a
tanto desemboquen en una pura práctica amenazas o sanciones, como el bloqueo de los
de fijación de los precios. suministros. Muchos de los minoristas utilizaban
algoritmos de fijación de precios que adaptan
A continuación se presentan los
automáticamente los precios de venta al público
principales ejemplos: la fijación por parte al de sus competidores. Limitando los precios
del proveedor de un límite máximo al mínimos, el impacto obtenido por los fabricantes
descuento que el distribuidor puede se ampliaba (por el efecto sobre estos algoritmos).
ofrecer partiendo de un determinado nivel
Además, los fabricantes usaban un sofisticado
de precios establecidos, los acuerdos por sistema de vigilancia de precios, que les permitía
los que se fija el margen de distribución, hacer un seguimiento eficaz de precios e intervenir
las amenazas, boicots, intimidaciones, rápidamente.
advertencias, suspensión de entregas
Todas las empresas sancionadas reconocieron su
o resolución de contratos en relación
participación y aceptaron las sanciones impuestas,
con la observancia de un determinado lo que supuso una reducción del importe final de
nivel del precios (por ejemplo, listas de las multas.
precios recomendados) o la concesión de
Fuente: Antitrust: Commission fines four consumer
descuentos y bonificaciones a cambio de electronics manufacturers for fixing online resale prices.
respetar “precios recomendados”.
Esta prohibición puede no resultar de • Restricciones del territorio o de los

aplicación a los acuerdos relativos a clientes: Este tipo de restricciones
productos nuevos que se están lanzando verticales implican la compartimentación
al mercado o en el contexto de campañas del mercado por territorios o clientes. Los
promocionales. distribuidores se comprometen con el
proveedor a no vender a determinados
clientes o en determinados territorios o a Es importante resaltar que no está prohibida

transferir los pedidos de estos clientes a la posición de dominio en sí misma, sino
otros distribuidores. las conductas abusivas que de ella puedan
derivarse.
Los riesgos que plantean este tipo de
acuerdos residen principalmente en la Un comportamiento empresarial es
menor competencia intramarca y en constitutivo de un abuso de posición
la partición del mercado, lo que puede dominante cuando se cumplen los siguientes
facilitar, en particular, la discriminación elementos:
de precios.
Sin perjuicio de lo anterior, en

determinados supuestos, como por
ejemplo la distribución exclusiva o
selectiva, esta restricción puede estar
permitida si cumple con los requisitos
establecidos en el Reglamento de
Exención por Categorías.
Los acuerdos de marca única, distribución

exclusiva, selectiva, agencia o franquicia,
ya sea en mercados tradicionales u online,
merecen un análisis individualizado y
pormenorizado, ya que determinadas
limitaciones pueden estar prohibidas en
función del contexto y las circunstancias • Existencia de una posición de
del acuerdo. dominio: Situación de poder económico
en que se encuentra una empresa y
15.3.9. Abuso de una posición de
que le permite impedir que haya una
dominio
competencia efectiva en el mercado de
La explotación abusiva de una posición referencia, confiriéndole la posibilidad
dominante está prohibida tanto por el TFUE de comportarse con un grado apreciable
como por la LDC. Según el TFUE: de independencia frente a sus
competidores, sus clientes y, finalmente,
“Será incompatible con el mercado interior
los consumidores.
y quedará prohibida, en la medida en que
pueda afectar al comercio entre los Estados La posición de dominio puede ser
miembros, la explotación abusiva, por parte individual (esto es, mantenida por una
de una o más empresas, de una posición sola empresa) o conjunta. Este último
dominante en el mercado interior o en una caso puede darse en la práctica en el
parte sustancial del mismo.” supuesto en el que dos o más empresas,
sin pertenecer al mismo grupo, estén transacciones comerciales, amenaza el

unidas por tales vínculos contractuales, mantenimiento de la conducta existente
estructurales y/o económicos que se en el mercado.
presentan o actúan juntas en un mercado
• Afectación al mercado nacional o
específico como una entidad colectiva.
intracomunitario: Nos remitimos en
Uno de los elementos principales que este punto a lo dicho con respeto a las
indican una posición de dominio de una prácticas colusorias.
o varias empresas es la cuota de mercado
de la que disfrutan en el mercado Caso de estudio XXI: AstraZeneca AB
relevante 262
.
En 2010, la Comisión sancionó con 52,5M de euros
Normalmente, la posición de dominio a la farmacéutica AstraZeneca por obstaculizar la
requiere una cuota estable de mercado entrada de genéricos ofreciendo declaraciones
deliberadamente engañosas a las oficinas de
cercana al 40% o superior, con ausencia
patentes de varios EEMM, con el objetivo de
de competidores con similares cuotas
prolongar la protección de una de sus patentes
de mercado, en mercados con barreras
farmacéuticas.
de entrada y expansión significativas,
preferentemente maduros y con una El TJUE confirmó en 2012 el abuso de posición
de dominio, considerando que las declaraciones
elasticidad baja de la demanda263.
engañosas no se habrían producido en una
Según la jurisprudencia europea y situación de competencia normal en el mercado.
española, el hecho de disfrutar de una Fuente: El Tribunal Europeo confirma la multa a

posición dominante confiere a la empresa AstraZeneca por frenar los genéricos
en cuestión una responsabilidad especial

y, precisamente por su posición, debe La prohibición dispuesta en el TFUE y en la LDC
velar por la existencia de un nivel de a este respecto es incondicional y no prevé un
competencia efectiva en el mercado 264
. mecanismo de exención similar al que hemos
abordado con anterioridad con respecto
• Existencia de un comportamiento
a las prácticas concertadas. Pese a ello, la
abusivo: Se da cuando una empresa
empresa que incurra en un comportamiento
dominante, recurriendo a métodos
potencialmente abusivo puede escapar de la
diferentes a los que constituyen
prohibición si está en condiciones de probar
prácticas de competencia normal en las
que dicho comportamiento responde a una
justificación objetiva o que redunda en una
262 Se entiende por mercado relevante de producto el conjunto de
productos y servicios que los consumidores consideren inter-
mayor eficiencia económica.
cambiables o sustituibles en razón de sus características, su pre-
cio, o el uso que prevean hacer de ellos.
Una conducta excluyente puede, por ejemplo,
263 Comisión Europea, 24/02/2009 Orientaciones sobre las priorida-
des de control de la Comisión en su aplicación del artículo 82 considerarse objetivamente necesaria por
del Tratado CE a la conducta excluyente abusiva de las empresas
dominantes (2009/C 45/02). razones de salud o seguridad relacionadas
264 Véase: STJCE 14/10/2010, Deutsche Telekom AG v. Comisión, C
280/08 P, apartado 176.
con la naturaleza del producto en cuestión.
Una empresa dominante también puede después subir sus precios aprovechándose
justificar una conducta que da lugar a una de su situación monopolística, dado que
exclusión de competidor del mercado alegando cada venta le ocasiona una pérdida (…)”.
eficiencias suficientes para garantizar que es
• Acuerdos de marca única o compra
probable que los consumidores no sufran
exclusiva: Obligación de compra
ningún perjuicio neto.
exclusiva que se impone a un cliente de
A continuación, se indican las características un determinado mercado a comprar
de los principales tipos de abuso de posición exclusivamente, o en gran parte, a la
dominante, si bien se trata de un listado empresa dominante.
no exhaustivo y tanto la Comisión Europea
• Descuentos condicionales: Los
como la CNMC han aplicado estas normas a
descuentos condicionales se conceden
conductas no mencionadas entre los casos
a los clientes para recompensarlos por
indicados:
una determinada pauta de conducta de
compra. Se puede tratar de descuentos
retroactivos o sobre aquellas compras
que superen un determinado umbral.
• Vinculación o tying: Una empresa

dominante puede intentar excluir a sus
competidores mediante la vinculación
o la venta por paquetes, en virtud de
las cuales una empresa se sirve de su
Abusos de exclusión posición dominante en un mercado para

extenderla a otro.
Precios predatorios: Una empresa
dominante incurre deliberadamente en Caso de estudio XXIII: Google
pérdidas o renuncia a beneficios a corto
En 2018, la Comisión Europea impuso una multa
plazo, lo que conlleva el riesgo de excluir
de 4340M de euros por exigir a los fabricantes de
a uno o varios de sus competidores reales
teléfonos que preinstalaran Google Search y su
o potenciales con objeto de reforzar o
aplicación de navegación (Chrome) para acceder a
mantener su poder de mercado. su tienda de aplicaciones.
En este sentido, cabe mencionar la Android era y es utilizado por casi todos los
jurisprudencia existente, como la del TJUE en fabricantes de teléfonos, excepto Apple. La Comisión
el asunto Akzo Chemie vs Comisión, donde el estudió durante tres años si Google había utilizado
su posición privilegiada para promocionar sus
tribunal indica que:
propias aplicaciones y superar a sus competidores.
“(…) una empresa dominante no tiene ningún En 2016, la Comisión acusó a Google de abusar
interés en aplicar tales precios, de no ser el de su posición en el mercado y le sancionó con la
de eliminar a sus competidores para poder mayor multa impuesta hasta la fecha.
Fuente: Antitrust: Commission fines Google €4.34 billion - Ejemplo 2: El propietario de una
for illegal practices regarding Android mobile devices to
infraestructura se niega a compartirla
strengthen dominance of Google’s search engine
con terceros. Alguna infraestructuras,
como los puertos, aeropuertos, redes
Existen conductas similares a la
ferroviarias y de telecomunicaciones,
“vinculación” denominadas “bundling” que
que requieren inversiones masivas y
en ocasiones podrán estar permitidas si su de duplicación es económicamente
suponen un beneficio para el consumidor inviable (“monopolios naturales”). Si
y no provocan el cierre del mercado. En se dan estas circunstancias, el único
cualquier caso, y debido a la complejidad modo de crear competencia a través
del análisis a realizar, se recomienda la de estas infraestructuras es abriendo
revisión ex ante si la empresa cuenta con el acceso a las mismas terceras
una posición fuerte o de dominio en el empresas (véase al respecto doctrina
mercado. de las essential facilities).
• Negativa a contratar o negativa • Estrechamiento de márgenes o margin

de suministro: La interrupción de squeeze: El estrechamiento de márgenes
suministros por parte de una empresa tiene lugar cuando una empresa en
en posición dominante, la negativa a posición dominante en el mercado de un
otorgar una licencia sobre un derecho de producto primario (materia prima), que
propiedad intelectual o la negativa a dar opera también el mercado del producto
acceso a una infraestructura no duplicable transformado, vende el excedente
podrán ser consideras como abusivos si que posee en el primer mercado a
concurren determinadas circunstancias. terceros a un precio tal que estos
últimos no disponen de un margen de
Dos ejemplos claros en los que la negativa
transformación suficiente para poder
de suministros plantea riesgos para la
competir en el mercado secundario.
competencia pueden ser:
Abusos de explotación
- Ejemplo 1: Una empresa que
ostenten una posición dominante en • Precios excesivos: Cuando una empresa
la producción y venta de materias disfruta de un poder de mercado
primas decide cambiar de estrategia significativo está en condiciones de
comercial y decide introducirse en el mantener un nivel de precios superior
mercado de producción y venta de un al que resultaría de una estructura
determinado producto para el que esa competitiva.
materia prima resulta fundamental.
Este habría sido el caso de Aspen Pharma:
Como consecuencia de este cambio,
la autoridad italiana de la Competencia
se interrumpe el suministro a sus (AGCM) multó en 2016 a la farmacéutica
clientes situados “aguas abajo”. con 5M de euros, decisión confirmada
por los tribunales al año siguiente.
Aspen habría abusado de su posición de 15.3.10. Falseamiento de la libre

dominio para obtener un incremento del competencia por actos desleales
precio de determinados medicamentos
vitales contra el cáncer. La Comisión La aplicación de la prohibición de
europea amplió la investigación a su nivel falseamiento de la libre competencia por
competencial265. actos desleales es una especialidad del
derecho de la competencia únicamente
• Condiciones no equitativas: Consiste
español, establecido en la LDC:
en imponer a clientes y consumidores
una serie de obligaciones que no “La Comisión Nacional de la Competencia
guardan ninguna conexión con el objeto o los órganos competentes de las
y naturaleza de contrato y, además, Comunidades Autónomas conocerán en los
resultan desproporcionadas. términos que la presente Ley establece para
las conductas prohibidas, de los actos de
Ejemplos concretos de estas prácticas
competencia desleal que por falsear la libre
pueden ser, entre otros, exigir en el
momento de la entrega de la maquinaria a competencia afecten al interés público.”
sus clientes, el pago de un alquiler inicial que

Para que una conducta se considere
prácticamente equivaldría al valor total de
falseamiento de la libre competencia por
la máquina, o que una empresa dedicada
actos desleales deberán concurrir dos
a instalar equipos de telecomunicaciones
requisitos:
se reserve el derecho de imponer un
aumento unilateral del alquiler, así como i. Debe tratarse de una conducta desleal
la reconducción automática del contrato conforme a los criterios establecido en la
de arrendamiento. Ley de Competencia Desleal.
• Discriminación entre clientes: Se ii. La conducta en cuestión deberá falsear la

considera abusiva la aplicación a terceros competencia y afectar al interés público,
contratantes de condiciones desiguales de tal modo, que no toda conducta
para prestaciones equivalentes que desleal será reprensible por la vía de esta
ocasionen a estos una ventaja competitiva. disposición.
En este supuesto es necesario que se
cumplan dos elementos: Esta última exigencia responde al hecho de
que, a diferencia de la Ley de Competencia
i. Las condiciones en las que se
Desleal, la LDC no tiene por objeto primordial
encuentren los clientes deben ser
la protección de los competidores, sino la
equivalentes.
salvaguarda del interés público que puede
ii. La discriminación entre clientes verse afectado por conductas que inciden
ocasione una desventaja competitiva negativamente sobre el funcionamiento
a algunos de ellos. competitivo del mercado.
265 Antitrust: Commission opens formal investigation into Aspen Phar-

ma's pricing practices for cancer medicines
Caso de estudio XXIV: Fabricantes de precios más elevados, una menor calidad
ascensores de los productos, un nivel de producción
La CNMC multó con cerca de 5M de euros a cuatro reducido, un esfuerzo menor de innovación,
empresas fabricantes e instaladores de ascensores posibilidades realistas de exclusión o, en
(Zardoya Otis, Schindler, Eninter, e Imem, si bien definitiva, un reducción en el bienestar de los
las dos primeras eran multadas con casi el total -el consumidores y de la eficiencia económica.
97%- del importe global de la sanción) por enviar
una carta a las comunidades de propietarios en Al tratarse de un régimen de control ex
la que se “advertía” de los riesgos de contratar el ante, las empresas tienen la obligación de
mantenimiento de los ascensores con empresas no notificación previa de una potencial operación
fabricantes. de concentración para que la misma sea
A juicio de la CNMC, las comunicaciones autorizada por la autoridad de competencia
desacreditaban, menospreciaban o denigraban a correspondiente.
los competidores en el mercado de mantenimiento
y reparación de ascensores, apelando a los riesgos La obligación de notificación existe cuando se
inherentes en la contratación de sus servicios de cumplen los dos requisitos siguientes:
mantenimiento haciendo referencia a la supuesta
i. La operación de concentración supera
falta de medios, de formación adecuada y de
medidas de seguridad.
determinados umbrales expresados en
términos económicos y prestablecidos
Los actos desleales falsean la libre competencia
en el Reglamento de Concentraciones
cuando afectan a la capacidad de competir de
139/2004 (dimensión europea) o en la
otras empresas o alteran el funcionamiento del
LDC (dimensión nacional).
mercado limitando dicha capacidad. En este caso,
se entorpecía la consolidación de las pequeñas ii. La operación de concentración debe
empresas dedicadas al mantenimiento y reparación
suponer una modificación duradera de la
de ascensores, afectando con ello al interés público”.
estructura de control de una empresa o
Fuente: CNC multa con 5 millones a fabricantes de de parte de ella.
ascensores por competencia desleal.
www.lainformación.com Una vez que se cumple con la obligación
de notificar ante la CNMC (u otra Autoridad
15.3.11. El régimen de control de Nacional de Competencia) o a la Comisión
concentraciones Europea, ésta llevará a cabo un análisis
sustantivo de la operación evaluando cual es
El régimen de control de concentraciones,
la incidencia o el efecto en el mercado y las
tanto el existente a nivel europeo como el
consecuencias sobre la competencia que se
existente a nivel nacional, es un sistema
podría esperar si tal operación es autorizada.
de control ex ante que tiene como finalidad
evitar que una concentración de lugar a la Con carácter general, en el caso de
creación de estructuras de mercado que concentraciones horizontales, uno de los
supongan una menor presión competitiva principales aspectos que se valora es la
y de las que se deriven, en consecuencia, posible pérdida de presión competitiva como
consecuencia de la reducción del número de parte de la operación a la autoridad

competidores del mercado y la posibilidad de competencia correspondiente (gun
de que esto obstaculice la competencia jumping).
efectiva.
La normativa europea y la nacional
De la misma manera, para el caso establecen distintas sanciones para el
de contracciones verticales, lo que caso de incumplimiento de la obligación
principalmente se valorará será la posibilidad de suspensión o de notificación. Por un
de que los mercados, aguas arriba y lado, la Comisión Europea podrá imponer
aguas abajo, se cierren a los competidores una multa de hasta un 1% del volumen
existentes en cada uno, aunque por lo de negocios total de la empresa afectada
general este tipo de concentraciones plantea y, por su lado, la CNMC considera esta
menos riesgos que las concentraciones infracción como grave y la multa puede
horizontales. llegar hasta el 5% del volumen de
negocios total de la empresa infractora.
Es posible que una operación de
concentración no plantee riesgo, en ii. No cumplir con las condiciones
cuyo caso tal operación será autorizada. y compromisos impuestos por
También es posible que platee ciertos la autoridad de competencia
riesgos, pero que éstos se puedan solventar correspondiente y a la que estuvo sujeta
si las empresas que se concentran se la autorización de la concentración
comprometen a adoptar determinadas propuesta.
medidas o a comportarse de una
En este punto se debe mencionar que
determinada manera una vez aprobada
cuando una operación de concentración
la operación, en cuyo caso la operación se
se autoriza con compromisos, las
autoriza con compromisos.
autoridades de competencia realizan un
Por último, si la operación puede obstaculizar seguimiento posterior a la autorización
de manera significativa la competencia para comprobar que, efectivamente,
efectiva, no será autorizada en ningún caso. dichos comprimimos han sido
cumplidos. Si los mismos no se cumplen,
En virtud de todo lo que se ha expuesto,
las autoridades de competencia podrán
se pueden identificar dos riesgos
imponer una sanción. Tanto en a nivel
fundamentales desde la perspectiva del
europeo como a nivel nacional, tal
derecho de la competencia ligados con el
sanción puede representar hasta el 10%
incumplimiento de la obligación de notificar:
del volumen de negocio total.
i. Ejecutar una operación sin haber
cumplido previamente con la
obligación de notificar o no habiendo
recibido la autorización previa por
Caso de estudio XXV: Facebook Caso de estudio XXV: Facebook
En octubre de 2014, la Comisión autorizó la fase I En octubre de 2010, el Consejo de la CNMC

del control de concentraciones la adquisición de resolvió autorizar la operación de concentración
WhatsApp por Facebook. consistente en la adquisición CUATRO por parte
de TELECINCO (MEDIASET).
En diciembre de 2016, la Comisión anunció que
había enviado a Facebook un pliego de cargos en La autorización quedó subordinada al
el que acusaba a Facebook de haber presentado cumplimiento de determinados compromisos
intencionadamente, o negligentemente, presentados en octubre de 2010 por MEDIASET
información incorrecta o engañosa a la Comisión y a un Plan de Actuaciones para implementar los
durante el examen de la operación, cuando compromisos que debía presentar en el plazo de
afirmó (Facebook) que era incapaz de establecer un mes.
una correspondencia automática fiable entre
Los remedios aprobados en la operación de
las cuentas de los usuario de Facebook y los de
concentración fueron encaminados a garantizar
WhatsApp.
que la nueva estructura de mercado siguiera
En mayo de 2017, la Comisión concluyó que, permitiendo a los anunciantes acceder en
contrariamente a lo declarado por Facebook condiciones competitivas a una oferta de
durante el examen de control, la posibilidad espacios publicitarios variada y de calidad,
técnica de cotejar automáticamente las garantizando que pudieran seguir anunciándose
identidades de los usuarios de Facebook y de forma separada en los principales canales de
WhatsApp ya existía en 2014, y que Facebook era televisión de la entidad resultante.
entonces consciente de dicha posibilidad.
No obstante, MEDIASET incumplió sus
Aunque la información incorrecta o engañosa compromisos al vincular de facto la
presentada por Facebook no influyó en el comercialización de los canales TELECINCO y
resultado de la decisión de aprobación de CUATRO, entre otros, mediante la aplicación
la concentración, la Comisión consideró de una política de descuentos basada en el
que la conducta de Facebook constituía un cumplimiento de una cuota global de inversión
incumplimiento grave de sus obligaciones en el grupo de canales de MEDIASET.
procedimentales en virtud de las normas de
Por ello, fue sancionado con una multa de 15,6M
control de concentraciones de la UE.
de EUR en 2013 y, posteriormente, por otros
La Comisión tuvo en cuenta la cooperación incumplimientos relacionados con el mismo
de Facebook con la investigación, que incluso asunto, con otros 3M de euros en 2016.
renunció a su derecho a una audiencia oral, y le
Fuente: RESOLUCIÓN (Expte. SNC/0036/15 MEDIASET)
impuso finalmente una multa de 110M EUR.
Fuente: EU Commission Fines Facebook EUR 110 million

for Providing Incorrect or Misleading Information (2017).
The National Law Review.
15.4. Diseño e implantación de En este sentido, la UE publicó el documento
un programa de Compliance titulado “La importancia de cumplir” (2012).

El folleto de la Comisión Europea valoraba y
de defensa de la competencia
animaba a la implantación de lo que denomina
El objetivo principal de un programa de “programas de cumplimiento” en el ámbito de
Compliance de defensa de la competencia la competencia de una forma similar a cómo se
consiste en identificar los riesgos en las consideran los programas de Compliance en
actividades comerciales y asociativas de general por las administraciones y tribunales
una compañía con el objetivo de prevenir (como ya hemos visto), especificando que:
eventuales infracciones de las normas
• Los programas de cumplimiento deben
europeas y nacionales del derecho de la
ajustarse a cada compañía, no existiendo
competencia.
ningún “modelo común”.
En consonancia con lo anterior, la puesta • La Comisión no respaldará ningún
en marcha de un programa de Compliance programa de cumplimiento específico,
específico en derecho de la competencia no aunque pueda proporcionar información
sólo permite identificar las áreas de riesgos en de utilidad para éstos.
esta materia y en relación con las actividades
comerciales de una compañía, sino que, • La mera existencia de un programa de
además, permite adoptar las medidas cumplimiento:
correctoras que resulten necesarias para - No será suficiente para neutralizar

solucionar y/o mitigar los eventuales riesgos o compensar una infracción de las
en materia de derecho de la competencia normas de competencia.
que podrían derivarse para la compañía.
- Tampoco podrá reducir cualquier
En determinadas jurisdicciones, como Italia, multa o sanción que se vaya a imponer.
Reino Unido, Francia, Brasil, Chile, EE.UU - No se considerará una circunstancia

o Canadá, un programa de Compliance de atenuante, ni tampoco agravante.
defensa de la competencia permite reducir
la responsabilidad de la empresa si las En España, en alguna resolución (Mudanzas
autoridades de competencia consideran que internacionales) la CNMC reconoce el valor
el programa ha sido eficaz y el incumplimiento de un programa de Compliance, aunque
no ha podido ser evitado. realiza una reducción muy limitada del tipo
sancionador. Sin embargo, en otros casos,
Respecto de la Unión Europea, hay que tener rechaza las alegaciones de la empresa
presente que las normas de competencia (Servicios de informática)266.
de la ésta afectan a todo aquel que tiene
negocios en la UE, dado que son directamente 266 CNMC, 26/07/2018, s/dc/0565/15, Licitaciones aplicaciones infor-
máticas, 06/09/2016, s/DC/0544/14, mudanzas internacionales.
aplicables a toda empresa con actividad en la La AGCM ha redactado un borrador de directrices para la valora-
ción de los programas de Compliance antitrust. Sobre la consulta
UE. pública de abril de 2018 véase: www.agcm.it/component/joom-
doc/bollettini/15-18_all.pdf/download.html
Beneficios de implementar un Programa de Compliance de Defensa de la Competencia. Elaboración propia
15.4.1. Análisis del contexto Evaluación inicial (contexto)
A continuación, se enumeran una serie de

Un programa de Compliance de defensa de
cuestiones a responder durante la evaluación
la competencia debe adaptarse al negocio inicial de la empresa:
de cada empresa. Por ello, el primer paso en
• ¿En qué mercados actúa la empresa?
analizar la situación concreta en el mercado
de cada empresa. • ¿Quiénes son los competidores en estos
mercados?
Los riesgos de una multinacional de
• ¿Ha habido movimientos recientes en el
productos especializados no son los mismos mercado?
que los riesgos de una empresa local que
• ¿Hay nuevos operadores o se espera la entrada
fabrica productos homogéneos de forma
de nuevos operadores?
masiva. Ambas empresas deben respetar
• ¿Definición de las principales áreas de ventas
las mismas normas, pero cada una dentro
de la empresa?
de su actividad.
• ¿Qué productos o servicios ofrecen?
• ¿En qué zonas geográficas opera?
• ¿Quiénes son los principales clientes de la Identificación de riesgos

empresa?
La identificación de riesgos puede incluir la
• ¿Cómo se venden los productos o servicios a revisión de los siguientes aspectos:
través de los distintos canales de distribución?
• Análisis general de cualquier riesgo
• ¿Qué posición ostenta la empresa en cada identificable bajo la normativa de defensa
mercado? de la competencia en virtud de los mercados
y sectores específicos en los que la empresa
• ¿Existen circunstancias que puedan afectar o
desarrolle su actividad y de las características
modificar las condiciones de mercado en un
propias de la empresa.
futuro próximo?
• Análisis bajo la normativa de defensa de
la competencia de cualquier acuerdo que
15.4.2. Identificación de riesgos la empresa puede tener con competidores
directos (p. ej, si la empresa participa en
La empresa debe identificar los riesgos licitaciones públicas, los consorcios o UTE de
relacionados con el derecho de la los que es parte para concurrir en licitaciones
competencia y reflejarlos en un mapa de públicas o privadas).
riesgos. Se recomienda aplicar la metodología
• Análisis bajo la normativa de defensa de la
de gestión de riesgos adaptándola a todos competencia de acuerdos de cooperación
los posibles riesgos derivados del derecho horizontal que existan con competidores
de la competencia. para determinar fundamentalmente si
existe riesgos de prácticas colusorias o de
En función del tamaño de la empresa puede intercambios de información sensible.
resultar apropiado profundizar el análisis
• Análisis de posibles riesgos derivados de la
de determinados riesgos. Por ejemplo, si la
participación en asociaciones sectoriales
empresa ostenta una posición de mercado en las que se interactúe con empresas
importante o dominante será necesario competidoras.
evaluar en detalle cualquier posible conducta
• Análisis bajo la normativa de defensa de
abusiva en la cadena de suministro.
la competencia de contratos, acuerdos y
prácticas verticales tanto con proveedores,
Si la empresa trabaja con la administración
distribuidores mayoristas y minoristas a fin
pública será necesario analizar cualquier
de identificar posibles restricciones verticales,
posible acuerdo de reparto o precios prestando especial atención a aquellas
con competidores y/o evaluar las UTE en restricciones que son especialmente graves (p.
las que participe la empresa de forma ej, revisar el sistema de distribución exclusiva
individualizada. implantado por la empresa y condiciones
contractuales impuestas a los distribuidores).
• Análisis bajo la normativa de competencia de

la posición dominante que la misma puede
tener en el mercado o los mercados en los
que actúe y de los riesgos que conlleven
ciertas actuaciones unilaterales que puedan
suponer una exclusión de otros competidores determinados acuerdos de cooperación

o que sean ciertamente abusivas para horizontal.
los consumidores (p. ej, examinar el tipo
de descuento que una empresa oferta a • Definir las pautas a seguir con respecto
sus compradores y si estos pueden tener a la participación en asociaciones
efectos excluyentes en perjuicio del resto de empresariales o colegios profesionales
competidores en el mercado. y del tipo de información que se debe
• Revisar el lenguaje utilizado en las comunicar a las mismas.
comunicaciones externas e internas,
especialmente con empresas competidoras y
• Definir pautas de lenguaje y
con empresas situadas en otros niveles de la comportamiento a utilizar en las
cadena de producción. comunicaciones externas e internas,
especialmente con empresas
• Revisión de procedimientos abiertos ante
las autoridades de competencia y de las
competidoras y con empresas situadas
investigaciones o inspecciones que estás estén en otros niveles de la cadena de
llevando a cabo por infracciones de la normativa producción.
de competencia, fundamentalmente aquellos
con relevancia para el mercado o mercados en
• Eliminar o redefinir determinadas
los que la empresa esté presente y respecto cláusulas insertadas en acuerdo
de las actividades comerciales que la empresa con distribuidores, acuerdos con
lleva a cabo. proveedores, acuerdos con agentes o
con franquiciados.
15.4.3. Establecimiento de los • Explorar el uso del programa de

controles clemencia en el caso de que se
Una vez identificados los posibles riesgos identifique la participación en una
a los que la empresa se enfrenta desde la práctica anticompetitiva . 267
perspectiva del derecho de la competencia

• Diseñar actividades formativas y de
y elaborado el correspondiente mapa
difusión para dar conocimiento a los
de riesgos, se definirá la estructura del
empleados de los posibles riesgos a los
programa, las funciones dentro de la
que la empresa se enfrenta identificando,
empresa, los controles a adoptar, el plan de
en virtud de los mismos, las conductas
formación necesario, el plan de revisión y
que se pueden y que no se pueden
monitorización, el procedimiento de gestión
adoptar.
de crisis y otras medidas que se puedan
considerar necesarias. • Simulación de una inspección y formación
sobre las actuaciones a seguir en caso de
Entre los controles que se deberán adoptar
están los siguientes:
267 El programa de clemencia de la Comisión Europea y de la CNMC
permiten conceder rebajas e incluso una exención total de la
• Establecer medidas para evitar el flujo multa a aquellas empresas que colaboren en la detección del
cártel y reconozcan su participación y aporten pruebas que per-
de información sensible en el seno de mitan a las autoridades avanzar en la investigación.
recibir una inspección por parte de las 15.4.4. Monitorización y mejora

autoridades de competencia. continua
• Elaborar códigos de conducta, guías o Como parte del programa de Compliance
manuales de competencia adaptados global, los controles y políticas relacionadas
a la empresa en virtud de los riesgos con el derecho de la competencia deben
identificado. ser monitorizados con regularidad y
actualizados en la medida que se detecten
Los controles implantados o a implantar
cambios internos o en el mercado,
variarán en función de la empresa y su
incumplimientos, nuevas áreas de
actividad. En cualquier caso, resultará
negocio, nuevos mercados, lanzamiento o
esencial tener un manual o política de
desaparición de nuevos productos, etc.
Compliance relativa al derecho de la
competencia, así como políticas específicas Las auditorías internas de control del
para determinados riesgos. programa de Compliance global deberán
incluir también la revisión periódica
Controles del programa relativo al derecho de la
Otro tipo de controles pueden incluir, por ejemplo: competencia.
• Aprobación previa de reuniones en asociaciones Asimismo, se pueden programar

o con empresas de la competencia. revisiones adicionales de documentación
• Formación previa de determinados empleados y comunicación para detectar cualquier

de riesgo. posible incumplimiento o problema de los
controles establecidos.
• Diligencia debida previa a la contratación de
empleados. Para ello se recomienda fijar en un plan
• Revisión preliminar de cláusulas contractuales. el alcance de cada investigación, los
responsables, la confidencialidad y otros
• Registro de contactos con competidores.
aspectos necesarios para que se pueda
• Monitorización preventiva de precios y realizar de forma segura y eficaz.
condiciones comerciales.
• Revisión automatizada de comunicaciones con

terceros incluyendo competidores.
• Modelos de cumplimiento para proveedores y

asociaciones empresariales.
• Protocolo de uso del lenguaje y comunicaciones.
• Certificaciones individuales relativas a precios y

cumplimiento.
• El derecho de la competencia es extenso y en constante evolución, sufriendo cambios frecuentes

derivados de la dinámica económica y de estar sujeto a dos regímenes normativos (nacional y
europeo), y a su aplicación transversal todos los sectores.
• A pesar de su extensión, podemos señalar las siguientes como normativas principales en el

ámbito de la Competencia.
- Normativa UE: Tratado de Funcionamiento de la Unión Europea (TFUE); Reglamento

(CE)139/2004, (control de concentraciones entre empresas); Reglamentos e instrumentos
adicionales (Reglamento 1/2003 de las normas sobre competencia previstas en los art. 81 y
82 -ahora 101 y 102 del TFUE- del Tratado o las Directrices sobre los acuerdos horizontales
de cooperación).
- Nacional: Ley 15/2007 de Defensa de la Competencia y su reglamento de desarrollo

(Reglamento 261/2008 de Defensa de la Competencia)
• Así pues, en la normativa de defensa de la competencia coexisten normas europeas y

nacionales, y es de aplicación extraterritorial según la doctrina de los efectos. No es una relación
fundamentalmente jerárquica, sino una existencia coordinada y complementaria.
• La doctrina de los efectos mencionada, de origen estadounidense, permite determinar el régimen

aplicable o la autoridad competente, o la aplicación del resto de leyes en otras jurisdicciones.
Se basa en la aplicación de la normativa correspondiente en función del lugar de los efectos
materiales o potenciales sobre los mercados: si los efecto son únicamente nacionales, será
normativa nacional la aplicada; si tienen efectos en varios mercados nacionales europeos, se
aplicará el Derecho Europeo de la Competencia, con independencia de otros factores.
• Los incumplimientos en materia de competencia pueden dar lugar a varios tipos de

consecuencias, entre ellos: Sanciones a las empresas infractoras; multas a título individual sus
directivos y representantes legales; declaración de nulidad de los contratos; indemnizaciones de
daños y perjuicios; prohibición de contratar con las administraciones públicas; responsabilidad
penal y otras consecuencias añadidas (reputacionales, inseguridad jurídica, etc).
• Es necesario asimismo conocer y estar familiarizado con una serie de conceptos básicos en el
ámbito de la Competencia, como son los siguientes:
- Empresa: Cualquier unidad que realice una actividad económica.
- Mercado relevante: Aquel que incluye todos los productos y firmas entre los cuales existe
una competencia cercana (intercambiables entre sí por el consumidor).
- Situación de competencia: Situación en la que dos o más empresas compiten en el mismo

mercado ofreciendo sus productos o servicios.
- Restricción a la libre competencia: Limitación de la libertad de actuación de una empresa

en el mercado.
- Excepción legal y exención por categorías: Autorizaciones excepcionales a los acuerdos de

cooperación horizontal, por presentar beneficios.
- Prácticas colusorias: Son acuerdos o prácticas concertadas que pretenden impedir, restringir
o falsear la competencia.
- Restricciones horizontales a la libre competencia: Acuerdos entre dos o más operadores

independientes del mercado que operan en el mismo nivel de la cadena de suministro.
- Restricciones verticales a la libre competencia: acuerdos entre dos o más operadores

independientes del mercado que operan en el diferentes niveles de la cadena de suministro.
- Abuso de una posición de dominio: Explotación abusiva, por una o más empresas, de una
posición dominante en el mercado o en una parte sustancial del mismo.
- Falseamiento de la libre competencia por actos desleales: Conducta desleal (conforme a los
criterios establecido en la Ley de Competencia Desleal) que falsea la competencia y afecta al
interés público. Se trata de una especificidad normativa española incluida en la LDC.
- Régimen de control de concentraciones: Sistema de control ex ante que tiene como

finalidad evitar que una concentración de lugar a la creación de estructuras de mercado que
supongan una reducción en el bienestar de los consumidores y de la eficiencia económica.
• Por su importancia y efectos en la Competencia, se destaca el concepto de cártel, que es definido

como una de las más graves violaciones de la normativa de la Competencia, y que se da cuando
existe una acuerdo o prácticas concertadas entre dos o más competidores, para coordinar su
comportamiento competitivo mediante la fijación de precios de compra o de venta, asignación
de cuotas de producción o de venta, reparto de mercados, restricciones de las importaciones o
exportaciones o ejercer medidas anticompetitivas contra otros competidores.
• Para prevenir todo tipo de prácticas anticompetitivas, por acción u omisión, y de forma
consciente o inconsciente, es aconsejable implantar un programa de Compliance de Defensa de
la Competencia que puede ser valorado en su eficacia por el supervisor, aunque su existencia no
garantiza la reducción automática de una posible sanción. Un adecuado programa de Defensa
de la Competencia debe:
- Adaptarse al negocio y contexto de cada empresa
- Identificar los riesgos relacionados y reflejarlos en un mapa de riesgos.
- Definir los controles a adoptar,
- Contar con un plan de formación,
- Desarrollar un plan de revisión y monitorización, y un procedimiento de gestión de crisis.
- Incluir un Manual o Políticas para determinados riesgos destacados.
Módulo 16
Prevención del
abuso de mercado
MÓDULO 16 • PREVENCIÓN DEL ABUSO DE MERCADO
Módulo 16 Por tanto, la regulación en materia de

abuso de mercado busca corregir aquellas
Prevención del abuso de prácticas o imperfecciones del mercado
mercado que impiden una asignación “justa” y

una correcta formación de precios, para
prevenir distorsiones en el funcionamiento
Objetivos
del mercado y evitar resultados injustos.
En el ámbito europeo la principal norma
en este ámbito es el Reglamento (UE) nº
596/2014 del Parlamento Europeo y del
• Conocer la normativa nacional y europea que
Consejo, de 16 de abril de 2014, sobre el
regula el abuso de los mercados financieros, así
como su objetivo.
abuso del mercado (Reglamento de Abuso
de Mercado o RAM). En España, esta materia
• Describir los dos ámbitos que comprende el
se regula en la Ley 24/1988, de 28 de julio,
abuso de mercado.
del Mercado de Valores (versión de texto
• Definir qué es información privilegiada y las refundido aprobada por el RDL 4/2015268 y
obligaciones derivadas del acceso a la misma. sus modificaciones posteriores en 2017 y
• Definir qué es manipulación del mercado y 2018). No obstante, está en tramitación un
conocer su tipología habitual. Proyecto de Ley de los Mercados de Valores
y Servicios de Inversión, que se prevé
reemplace a la mencionada.
16.1. Introducción
El concepto de abuso de mercado abarca
El objetivo de la legislación en materia
conductas ilegales en los mercados
de abuso de mercado es garantizar la
financieros y, según se define en el RAM,
integridad de los mercados financieros y
consiste en realizar “operaciones con
aumentar la confianza de los inversores en
información privilegiada, la comunicación
dichos mercados.
ilícita de información privilegiada y la
Los principios que deben seguir las entidades manipulación de mercado”. Tales conductas
operativas del sistema financiero son: impiden la plena y adecuada transparencia
del mercado, que es una condición previa
• Garantizar la integridad del mercado
para la negociación por parte de los agentes
de valores mediante una actuación
económicos en unos mercados financieros
diligente y facilitación del control.
integrados.
• Aumentar el nivel de confianza de los

inversores mediante la transparencia
en la operativa llevada a cabo en los 268 Modificado por el RDL 21/2017 de medidas urgentes para la dap-
tación del derecho español a la normativa de la UE en materia del
mercados. mercado de valores y el RDL 14/2018 por el que se modifica el
texto refundido de la Ley del Mercado de Valores, aprobado por
el RDL 4/2015
En este módulo se va a analizar el abuso emisores o a uno o varios instrumentos

de mercado desde sus dos ámbitos, el de financieros o sus derivados y que, de
la “información privilegiada”, tanto por su hacerse pública, podría influir de manera
impacto en la realización de operaciones apreciable sobre los precios de dichos
como por su comunicación ilícita, y el de la instrumentos o de los instrumentos
“manipulación del mercado”. derivados relacionados con ellos;
b. En relación con los instrumentos

derivados sobre materias primas, la
información de carácter concreto que
no se haya hecho pública, que se refiera
directa o indirectamente a uno o varios
de esos instrumentos derivados o
directamente a un contrato de contado
sobre materias primas relacionado con
16.2. Información privilegiada ellos y que, de hacerse pública, podría
influir de manera apreciable sobre
El concepto de información privilegiada los precios de dichos instrumentos
es bastante intuitivo, si bien su regulación derivados o contratos de contado sobre
lo convierte en algo sensiblemente más materias primas relacionados con ellos,
complejo. y siempre que se trate de información de
la que quepa razonablemente esperar
Así pues, en líneas generales, se trataría de
que se haga pública o que deba hacerse
un conocimiento de datos o información
pública obligatoriamente, de acuerdo con
de carácter específico, desconocido por el
lo previsto en las disposiciones legales o
público o constituyendo información no
reglamentarias de la Unión o nacionales,
difundida públicamente, que otorgaría una
en las normas del mercado, en los
ventaja indebida a la hora de tomar una
contratos o en los usos y las prácticas
decisión financiera sobre una inversión a
de los correspondientes mercados de
aquel que la conociese.
derivados sobre materias primas o de
De acuerdo con la definición dada en el contado;
RAM 269
, se entenderá por información
c. En relación con los derechos de emisión
privilegiada cualquiera de los tipos de
o con los productos subastados basados
información siguientes:
en esos derechos, la información de
a. La información de carácter concreto que carácter concreto que no se haya
no se haya hecho pública, que se refiera hecho pública, que se refiera directa o
directa o indirectamente a uno o varios indirectamente a uno o varios de esos
instrumentos financieros y que, de
269 Art. 7 del Reglamento (UE) nº 596/2014, sobre el abuso del mer-
cado. hacerse pública, podría influir de manera
apreciable sobre los precios de dichos derechos de emisión. A este respecto, en el

instrumentos o de los instrumentos caso de tratarse de un proceso prolongado
financieros derivados relacionados con en el tiempo con el que se pretenda
ellos; generar o que tenga como consecuencia
determinadas circunstancias o un hecho
d. En cuanto a las personas encargadas de
concreto, podrán tener la consideración
la ejecución de las órdenes relativas a los
de información de carácter concreto tanto
instrumentos financieros, la información
esa circunstancia o ese hecho futuros como
transmitida por un cliente en relación
las etapas intermedias de ese proceso que
con sus órdenes pendientes relativas
estén ligadas a la generación o provocación
a instrumentos financieros, que sea
de esa circunstancia o hechos futuros”.
de carácter concreto, que se refiera
directa o indirectamente a uno o varios Una etapa intermedia de un proceso
emisores o a uno o varios instrumentos prolongado en el tiempo tendrá la
financieros y que, de hacerse pública, consideración de información privilegiada
podría influir de manera apreciable si, por sí misma, cumple con los criterios
sobre los precios de esos instrumentos relativos a la información privilegiada
financieros, los precios de contratos de mencionados anteriormente.
contado sobre materias primas o los
precios de los instrumentos derivados Y por “información que, de ha de hacerse
relacionados con ellos. pública, podría influir de manera apreciable
sobre los precios de instrumentos financieros,
A los efectos de la anterior definición, ha
instrumentos financieros derivados, contratos
de considerarse que la información tendrá
de contado sobre materias primas relacionadas
carácter concreto si:
con ellos, o productos subastados basados
“se refiere a una serie de circunstancias en derechos de emisión”, ha de entenderse
que se dan (o que se puede esperar aquella información que un inversor

razonablemente que se van a dar) o razonable utilizaría probablemente como
a un hecho que ha sucedido (o que se uno de los elementos de motivación básica
puede esperar razonablemente que va a de sus decisiones de inversión.
suceder), siempre que esa información
sea suficientemente específica para Elementos principales de la información
permitir extraer alguna conclusión sobre privilegiada
los efectos que esas circunstancias, o
Para que una información sea considerada como
ese hecho, podrían tener en los precios
“privilegiada”, debe constar de los siguientes
de los instrumentos financieros, o de los elementos:
instrumentos derivados relacionados, de
los contratos de contado sobre materias
primas relacionados con ellos, o de Que sea de carácter concreto;
los productos subastados basados en
• Las realizadas por una persona que

Referida a uno o varios instrumentos dispone de información privilegiada y
financieros o a uno o varios emisores; que la utiliza adquiriendo, transmitiendo
o cediendo, por cuenta propia o de
No pública; terceros, directa o indirectamente, los
instrumentos financieros a los que se
Relevante, susceptible de influir en refiere esa información.
cotización.
• La utilización de información privilegiada
cancelando o modificando una orden
La información privilegiada, por lo demás, relativa al instrumento financiero al que
no se ha de confundir con la información se refiere la información, cuando se
relevante, entendiendo como tal: hubiese dado la orden antes de que el
interesado tuviera conocimiento de la
“las restantes informaciones de carácter
información privilegiada.
financiero o corporativo relativas al propio
emisor o a sus valores o instrumentos • La presentación, modificación o retirada
financieros que cualquier disposición de una oferta por una persona que
legal o reglamentaria les obligue a hacer actúe, tanto por cuenta propia como
públicas en España o que consideren por cuenta de terceros, en subastas de
necesario, por su especial interés, difundir derechos de emisión u otros productos
entre inversores” 270
. subastados basados en esos derechos.
16.2.1. Realización de operaciones • Seguir las recomendaciones o inducciones

con información privilegiada realizadas por otra persona cuando la
persona que siga la recomendación o
La característica esencial de la operación inducción sepa o debiera saber que estas
con información privilegiada consiste en se basan en información privilegiada.
obtener una ventaja injusta a partir de Esto se produce cuando una persona
información privilegiada en detrimento de que posee dicha información:
terceros que desconocen la información y,
- Recomienda, sobre la base de
por tanto, en el menoscabo de la integridad
dicha información, que otra
de los mercados financieros y la confianza
persona adquiera, trasmita o ceda
de los inversores.
instrumentos financieros a los que
De acuerdo con la definición dada en el se refiere la información, o induce a
RAM271, las operaciones con información esa persona a realizar la adquisición,
privilegiada son: trasmisión o cesión.
270 Art 227 del RDL4/2015, de 23 de octubre, por el que se aprueba

- Recomienda, sobre la base de dicha
el texto refundido de la Ley del Mercado de Valores.
información, que otra persona
271 Art 8 del Reglamento (UE) nº 596/2014 del Parlamento Europeo y
del Consejo, de 16 de abril de 2014, sobre el abuso del mercado. cancele o modifique una orden
relativa al instrumento financiero Sin embargo, no toda comunicación de

al que se refiere la información, o información privilegiada es ilícita. Así, en el
induce a dicha persona a realizar esa caso concreto de la prospección de mercado
cancelación o modificación. (es decir, la comunicación de información
a uno o más inversores potenciales, con
Obligaciones de toda persona con acceso a anterioridad al anuncio de una operación,
información privilegiada a fin de evaluar el interés de los mismos
en una posible operación y las condiciones
No operar: Abstenerse de operar
relativas a la misma, como su precio o
sobre el instrumento financiero
volumen potencial), el participante del
directa o indirectamente (por ejemplo,
vía derivados que tengan dicho
mercado que comunica la información
instrumento como subyacente). deberá valorar específicamente, antes de
realizar la prospección de mercado, si ello
No comunicar: Abstenerse de implica la comunicación de información
comunicar dicha información a un
privilegiada.
tercero.
Además, el participante del mercado que
No recomendar: Abstenerse de
comunica información previamente deberá:
recomendar o inducir a un tercero
que adquiera o ceda el instrumento a. Obtener el consentimiento de la persona
financiero. No hace falta acreditar receptora de la prospección de mercado
ánimo de lucro (se presume) ni
para la recepción de información
beneficio realizado.
privilegiada.
16.2.2. Comunicación ilícita de b. Informar a la persona receptora de
información privilegiada la prospección de mercado de que se

le prohíbe utilizar dicha información,
Existe comunicación ilícita de información o intentar utilizarla, adquiriendo,
privilegiada cuando una persona posee transmitiendo o cediendo, por
información privilegiada y la revela a cuenta propia o de terceros, directa
cualquier otra persona, excepto cuando o indirectamente, instrumentos
dicha revelación se produce en el normal financieros que guarden relación con esa
ejercicio de su trabajo, profesión o funciones. información.
La subsiguiente revelación de las c. Informar a la persona receptora de

recomendaciones o inducciones con la prospección de mercado de que se
información privilegiada constituirá le prohíbe utilizar dicha información,
asimismo comunicación ilícita de información o intentar utilizarla, mediante la
privilegiada, cuando la persona que revele cancelación o modificación de una
la recomendación o inducción sepa o orden ya dada relativa a un instrumento
deba saber que se basaba en información financiero con el que guarde relación la
privilegiada. información.
d. Informar a la persona receptora de Normas internas en materia de

la prospección de mercado de que al abuso de mercado
aceptar la recepción de la información se
obliga a mantener su confidencialidad. Aunque la existencia de normas internas
no está mencionada como parte de las
16.2.3. Medidas de control medidas orientativas descritas en la guía de
para prevenir el mal uso de la 2009 de la CNMV, sí que lo incluye en otro
información privilegiada documento más reciente.
Para prevenir el mal uso de la información Así, según lo indicado por la CNMV en
privilegiada, es necesario implementar el documento “Comunicado dirigido a los
medidas de control en las entidades. emisores de valores cotizados sobre el nuevo
marco normativo europeo de abuso de
El documento “Guía de actuación para la
mercado” de enero de 2019, considera una
transmisión de información privilegiada a
buena práctica que los emisores mantengan
terceros”, publicado en 2009 por la CNMV,
normas internas y adopten medidas y
contiene una serie de medidas orientativas
procedimientos orientados a propiciar un
para preservar información privilegiada que
se resumen a continuación. mejor cumplimiento, también por parte
de su personal y sus administradores, de
Como señala la CNMV, con la aplicación de las obligaciones y prohibiciones legales en
las medidas y recomendaciones que vamos a materia de abuso de mercado.
ver a continuación, se persigue salvaguardar
la confidencialidad de la información A estos efectos, pueden utilizar (o no) la
privilegiada y evitar posibles filtraciones, con técnica de un reglamento o código interno
el consiguiente uso indebido de la misma. único, ya que contar con este tipo de
normas y procedimientos, y aplicarlos en
general de modo efectivo, reduce el riesgo
de incumplimientos.
Entre las posibles normas internas, medidas

o procedimientos en materia de abuso
de mercado que se mencionan en dicho
documento están las siguientes:
• Procedimientos sobre listas de iniciados.

Medidas de custodia y salvaguarda de la
• Procedimientos de reacción ante

la ruptura de confidencialidad de
una información privilegiada cuya
Medidas orientativas para la preservación de información
privilegiada. Elaboración propia. Fuente: CNMV publicación ha sido retrasada.
• Medidas de control (deber de Buenas prácticas organizativas

comunicación, necesidad de
• Incluir los principios generales del tratamiento
autorización, periodos restringidos,
de información privilegiada en sus
etc.) de las operaciones con valores de Reglamentos Internos de Conducta o normas
la propia entidad realizadas por sus equivalentes (en el caso de no emisores),
consejeros, directivos o determinados tanto de los transmisores como receptores de
empleados. información privilegiada.
• Reglas y medidas organizativas relativas • Procurar que la política, normas y
a la operativa de autocartera. procedimientos internos al respecto se

elaboren, desarrollen y apliquen se adecuen
• Acciones de formación y concienciación al tamaño y tipo de negocio de la entidad;
sobre tales obligaciones y prohibiciones. que se aprueben, documenten y revisen
periódicamente (por el comité de auditoría,
• Puntos de contacto identificados consejo de administración u otro órgano
en la organización para consultas o competente) y que se les haga difusión interna
comunicaciones en materia de abuso de (a todos los empleados a afectados). Asimismo,
mercado. se considera útil evaluar regularmente su
eficiencia por un órgano independiente
Medidas organizativas (interno o externo).
Los procedimientos y políticas que • Identificar en el procedimiento interno

cada entidad adopte dependerán de su quienes (directivos, consejero delegado, etc.) o
qué órganos pueden decidir la consideración
tamaño, tipología y actividades, sin que las
de una información vinculada a una operación
recomendaciones o buenas prácticas en
corporativa o financiera como privilegiada.
este sentido que se citan deban aplicarse de
manera uniforme a todas ellas. • Designar un cargo directivo u órgano
permanente del emisor (por ejemplo, la unidad
Los sistemas organizativos deben alinearse de cumplimiento normativo o Compliance)
para lograr la máxima observancia de las responsable de aplicar y supervisar el
normas orientadas a preservar la información cumplimiento general de las medidas de
privilegiada. Los procedimientos, la control establecidas para estas situaciones

de transmisión selectiva de información
estructura organizativa y los métodos de
privilegiada (en adelante, responsable de
comunicación deben hacer hincapié en la
Compliance del emisor).
responsabilidad que supone la posesión de
información privilegiada y la necesidad de • Nombrar un directivo responsable de
evitar su uso indebido. cada Operación, responsable de: gestionar

la información privilegiada; determinar
qué información y a quiénes se difunde;
que informe sin demora injustificada al
responsable de Compliance del personal
interno y externo con acceso total o parcial a
• El responsable de Compliance deberá Formación e información a

elaborar el registro documental del artículo empleados
8 del RD 1333/2005 (lista de iniciados) y
mantener informados a los responsables de la El objetivo de estas medidas no es otro que
organización (directivos, consejero delegado, crear una cultura de cumplimiento en la
etc.) u órganos que se determinen y puedan
organización. Se incluye también al personal
decidir la activación de los mecanismos para
auxiliar o apoyo a las personas relacionadas
la consideración de que una operación sea
directa o indirectamente con información
tratada como privilegiada.
privilegiada, a las que se debe formar,
• Designar, por parte del receptor de informar y concienciar de las normas y
información privilegiada, un cargo directivo procedimientos para garantizar y preservar
u órgano interno (por ejemplo, la unidad
la información privilegiada.
de cumplimiento normativo o Compliance)
encargado de asesorar y hacer cumplir
los procedimientos y medidas pertinentes Buenas prácticas de formación e
para mantener la confidencialidad de dicha información
información (en adelante, responsable de
• Recordar a todos aquellos trabajarán con la
Compliance del receptor). El receptor de
información privilegiada, con la frecuencia y
información privilegiada habrá de comunicar
forma que cada entidad estime conveniente,
inmediatamente la existencia de información
la normativa legal de aplicación, así como
privilegiada a su responsable de Compliance.
los principios generales por los que se rige la
• Establecer, cuando sea adecuado, barreras de actuación de la entidad y los procedimientos
información entre distintos departamentos internos para la salvaguarda de información
de una misma entidad o incluso dentro de privilegiada. La aplicación tanto de esta
un mismo departamento, describiéndose, medida como de la siguiente corresponderá
en el procedimiento interno, la forma de al responsable de Compliance.
comunicación entre los mismos.
• Contar con un plan de formación e información
• Obtener confirmación por parte del a los empleados respecto de la obligación
potencial receptor, antes de comunicarle de salvaguardar la información privilegiada
cualquier información privilegiada, de que y de denunciar las filtraciones o usos ilícitos
dispone de medidas para salvaguardar la de información privilegiada detectados a
confidencialidad de la información que va a través del protocolo de actuación interno
recibir. para supuesto de detectarse una filtración

o uso ilícito de información privilegiada.
• Establecer medidas claras y específicas Ejemplos de estas medidas informativas
sobre las comunicaciones a medios de serían la publicación periódica de boletines
comunicación respecto de operaciones aún o memorandos internos, mensajes
confidenciales, incluyendo el sometimiento recordatorios, organización de cursos online o
de la comunicación externa sobre ese seminarios en los que se explique la normativa
proyecto, hecho u operación a lo que y los procedimientos internos sobre la gestión
determine el responsable de Compliance. de información privilegiada, etcétera.
• Informar a los empleados, directivos y Buenas prácticas para protección de

consejeros de las medidas sobre prohibición y información privilegiada
restricción de operaciones con instrumentos
financieros, extensibles a las personas con 1. Identificación de información clasificada:
una relación de parentesco o vínculo estrecho Establecer un sistema de identificación de las
con los empleados. comunicaciones y su contenido (el proyecto, la

operación o la información privilegiada en su
• Informar por escrito y verbalmente al conjunto). Ejemplos de estas medidas serían las
empleado que tenga conocimiento de siguientes:
información privilegiada y dejase de prestar
sus servicios en la organización a la que • Convenir un criptónimo (nombre clave) para
pertenezca de la obligación de respetar las referirse a una operación a la que se refiere
obligaciones legales para salvaguardar su la información privilegiada. Utilizarlo en todas
confidencialidad. las comunicaciones, sin aclaraciones, de tal
forma que no se pueda identificar o deducir
a las partes involucradas o las características
Salvaguarda y control de la de la operación.
información
• Marcar de forma perfectamente visible
La información privilegiada es un tipo de todos los soportes materiales (documentos,
información de carácter confidencial que es escritos, informes, software, ficheros, etc.)
necesario proteger. que contengan información privilegiada con
CONFIDENCIAL o términos similares.
Tanto los transmisores como los receptores
de información privilegiada procurarán • Utilizar una leyenda como CONFIDENCIAL
establecer medidas internas para en los correos electrónicos, sobres y faxes

enviados.
salvaguardar esta información y controlar
la trazabilidad, acceso y entrega de los 2. Establecer un sistema de gestión o control de
documentos que contienen información acceso: De tal forma que sólo aquellas personas
privilegiada. previamente autorizadas puedan acceder a
la información, quedando constancia de las
Cuando se trata de preservar y controlar el características de dicho acceso. Como ejemplos
acceso, la integridad y la disponibilidad de de estas medidas se pueden citar las siguientes:
la información, estaremos refiriéndonos
• Cifrado de documentos y acceso mediante
a medidas de seguridad de la información
contraseña individual/de un solo uso o
que no son sólo aplicables a la información
sistema similar.
privilegiada, sino a cualquier otro tipo de
información clasificada de alguna manera. • Establecer áreas de acceso restringido en la
Así, los diferente niveles de clasificación red informática para impedir el acceso de
(restringida, confidencial, de uso interno, personas no autorizadas a los documentos
etc) deberán determinar las medidas de confidenciales y auditar los accesos y actividad
de aquellos autorizados.
protección, los accesos, etc. Veremos, en
este material y más adelante, algunas de • Prohibición de compartir las contraseñas de
estas medidas y prevenciones. los dispositivos utilizados.
• Impedir el uso de dispositivos, ya sea en local o que la contenga (presentaciones y documentos

en remoto, que no dispongan de las medidas y en papel u ordenador) en lugares públicos
configuraciones de seguridad. donde puedan ser escuchados u observados por
terceros. En particular, evitar conversaciones,
• Comprobar y actualizar periódicamente
presenciales o telefónicas, en aquellas zonas
la robustez de las medidas de seguridad
en las que exista riesgo de escucha por parte
informática y su adecuación a nuevas técnicas
de personas que no deberían conocer la
o métodos de sustracción de información o
información (ascensores, taxis, restaurantes,
suplantación de identidad.
aviones, trenes, autobuses, etc).
• Implantar políticas de “escritorio limpio”,
• Extremar las medidas de seguridad a la hora
evitando dejar a la vista de personas
de realizar comunicaciones a través de medios
no autorizadas material sobre el que se
que pudieran resultar inseguros, como, por
está trabajando (incluyendo la activación
ejemplo, el teléfono móvil, el fax o el correo
automática de salvapantallas protegidos con
electrónico. Activar bloqueos automáticos (si
contraseña).
es posible, con desbloqueo biométrico) en
• Si se maneja a menudo información clasificada dispositivos móviles tras unos momentos de
en soporte no digital (papel), disponer una sala inactividad.
cerrada, con control de accesos, como lugar de
trabajo. Cuando no sea posible disponer de tal • Utilizar aquellos medios más adecuados
sala, se conservarán los soportes materiales para asegurar la recepción directa de los
que contengan información privilegiada en un documentos confidenciales por el destinatario
lugar diferenciado con medidas de protección. correcto (evitar remitir información sin
protección, o a dispositivos, aplicaciones o
• Archivar en armarios de seguridad, o al menos buzones compartidos).
bajo llave, toda la documentación que no esté
en uso. 4.Establecer un procedimiento o protocolo de
actuación en caso de detectarse una filtración
3. Establecer medidas que aseguren la correcta o un uso ilícito de información privilegiada,
y exclusiva entrega a los iniciados. Mediante incluyendo los siguientes puntos:
medidas como las siguientes:
• Comunicación inmediata a las personas
• Marcado individualizado y discreto de los
designadas, a través de canales seguros, de la
documentos (número de referencia, código de
filtración de detectada.
barras o una marca específicos para cada uno
de los receptores de la información privilegiada) • Máxima protección respecto a la identidad del
denunciante, incluyendo garantía absoluta de
• Requerir autorización previa para cualquier
anonimato.
copia de los documentos confidenciales, así
como mantener control de las mismas. • Traslado, lo antes posible, de la filtración que
haya tenido conocimiento el responsable de
• Prohibir realizar copias no autorizadas de
Compliance del receptor al responsable de
documentos confidenciales recibidos.
Compliance del emisor, para que valore si
• Abstenerse de comentar, aun utilizando resulta de aplicación el artículo 226 del TRLMV
lenguaje convenido y con otros iniciados, (comunicación al supervisor) y/o proceder con
información privilegiada, o manejar material una denuncia a las autoridades.
• Implantar herramientas de monitorización confidencial de la información transmitida

automática (con registros de auditoria) y en el que se determine las condiciones
para la detección de filtraciones o envíos no específicas bajo las cuales el receptor debería
autorizados de información privilegiada. mantener la confidencialidad y aquellas en
las que podría transmitirla a otras personas
5. Adaptar la política de registro de datos e externas. El receptor, si transmite a su vez la
información, implantando un procedimiento información privilegiada a terceros, deberá
específico para la conservación (plazo legal) o asimismo recordar el carácter confidencial de
destrucción segura de registros documentales dicha información.
en cualquier soporte (por ejemplo, a través
de una empresa especializada o mediante un • Exponer verbalmente el contenido y las
procedimiento con recogida de evidencias, actas, implicaciones del acuerdo de confidencialidad,
etc). muy especialmente cuando se trate de
terceros que pueden no estar familiarizados
6. Disponer un almacenamiento controlado
con el régimen legal aplicable.
y archivo seguro, en caso de requerir su
conservación, de los documentos originales, • Mantener la obligación de confidencialidad
copias o cualquier otro escrito que haga referencia hasta que así lo determinen los responsables
a la información privilegiada, una vez concluida, de cumplimiento o hasta que todos los
suspendida o cancelada la operación o finalizados elementos esenciales de la información
los servicios profesionales contratados por el privilegiada pasen a ser de dominio público, es
transmisor de la información. decir, hasta que se haya comunicado mediante
Hecho Relevante y haya transcurrido el
tiempo necesario, según tenga cada entidad
Compromisos y contacto con
establecido en sus políticas internas al
terceros
respecto, para que el mercado lo conozca en
Estas medidas tienen como objetivo explicar toda su extensión o cuando así lo determinen
los responsables de cumplimiento.
y recordar las implicaciones que conlleva el
conocimiento de información privilegiada, • Exigir, asimismo, la obligación de
así como extremar la prudencia en su confidencialidad a las siguientes personas y
tratamiento con terceros. entidades:
• Aquellas personas externas al transmisor con

Buenas prácticas con terceras partes
las que se contacta en una fase preliminar y
• Incorporar o informar a terceras entidades de a las que se presentan las líneas generales
la operación tan tarde como sea posible. de la Operación para solicitar ofertas de
financiación o asesoramiento pero que
• Suscribir con los receptores externos (salvo finalmente no participarán en la misma. En
que estos estén sometidos a un régimen estos casos, se considera una buena práctica
legal o estatutario que recoja el deber de reiterar expresamente las advertencias sobre
confidencialidad) un compromiso o acuerdo el carácter privilegiado de la Operación en
de confidencialidad (que podrá basarse en un el momento de comunicar que la entidad
acuerdo marco previo) en el que el receptor no es adjudicataria de la financiación o el
manifieste al transmisor que conoce el carácter asesoramiento.
• Aquellos receptores externos de la parte del emisor (salvo aquellas permitidas

información privilegiada que dejan de prestar por la normativa vigente) y las entidades
sus servicios al transmisor antes de que se receptoras de la información privilegiada
dé por concluida, suspendida o cancelada la respecto a las transacciones que realicen como
Operación. personas jurídicas, excepto si disponen de
medidas efectivas para evitar la transmisión
de información privilegiada (barreras entre
Operaciones sobre instrumentos
departamentos).
financieros
• Establecer en la política interna sobre
Estas medidas van encaminadas a evitar
operaciones personales de instrumentos
que el conocimiento de la información financieros de empleados, directivos y
privilegiada pueda desembocar en su consejeros mecanismos para evitar el uso de
utilización abusiva o desleal, incumpliendo información privilegiada. Ejemplos:
cualquiera de las prohibiciones de operar,
- Recordar periódicamente la necesidad de
comunicar o recomendar operar en base a
observancia de las normas establecidas en
dicha información.
la política interna.
- Establecer mecanismos de declaración de

Buenas prácticas en operaciones
operaciones personales y su actualización
• Comunicar por escrito al personal afectado periódica.
(aquellos que tengan conocimiento del
- Eximir del cumplimiento de la obligación
contenido o de la existencia de información
y restricción a que se refiere la primera
privilegiada) e identificar aquellos instrumentos
medida citada a las operaciones realizadas
financieros (incluidos derivados) sobre los
por cuenta de los empleados, directivos y
que tienen prohibido operar o recomendar
consejeros que confíen en una entidad la
a terceros para operar (valores prohibidos)
gestión discrecional e individualizada de
y, en su caso, aquellos otros sobre los que
carteras de inversión cuando no exista
es necesario pedir autorización (valores
comunicación previa entre el gestor y
restringidos), según sus normas internas. Esta
la persona por cuya cuenta se efectúe
medida afectará tanto al transmisor como al
la operación, o se trate de operaciones
receptor de la información privilegiada.
personales sobre participaciones o acciones
• Mantener las restricciones sobre operaciones en instituciones de inversión colectiva.
en dichos instrumentos financieros durante un
tiempo prudencial una vez la Operación haya
concluido o haya sido comunicada al mercado.
Lista de iniciados de los receptores
Este periodo podrá establecerse de antemano de información privilegiada
de forma general o para operaciones concretas
Dado que los receptores de información
y deberá ser comunicado previamente a los
empleados. privilegiada se convierten a veces en sus
transmisores, esta medida pretende que, con
• Cumplimiento de la prohibición y restricción
una filosofía similar, los receptores externos
a que se refieren la primera medida citada
sigan el control de dicha información.
(valores prohibidos, valores restringidos) por
La “lista de iniciados” que deben elaborar 16.3. Manipulación de

tanto los emisores como los receptores mercado
de información privilegiada es una lista
de todas las personas que tienen acceso a La manipulación del mercado es, en esencia,
esa información y que trabajen para ellos una acción realizada por una persona
o grupo de personas que, de manera
en virtud de un contrato de trabajo, o que
deliberada, interfieren en el libre y justo
desempeñen funciones a través de las
funcionamiento del mercado para crear
cuales tengan acceso a dicha información,
apariencias engañosas, falsas o artificiales
como asesores, contables o agencias de
respecto del precio, oferta o demanda de un
calificación crediticia, etc.
valor
Lista de iniciados: Información a incluir De acuerdo con la definición dada en el

RAM272, se entenderá por manipulación
De acuerdo con lo establecido en el RAM, esta lista
de mercado cualquiera de las siguientes
incluirá́ al menos la siguiente información:
actividades:
a. La identidad de toda persona que tenga acceso
a información privilegiada. a. Ejecutar una operación, dar una orden
de negociación o cualquier otra conducta
b. El motivo de la inclusión de esa persona en la que:
lista de iniciados.
• Transmita o pueda transmitir señales
c. La fecha y la hora en que dicha persona falsas o engañosas en cuanto a la
obtuvo acceso a la información privilegiada, y la
oferta, la demanda o el precio de
fecha de elaboración de la lista de personas con
un instrumento financiero o de un
acceso a la misma.
contrato de contado sobre materias
Asimismo, los emisores o las personas que actúen primas relacionado con él;
en su nombre o por su cuenta actualizaran sin
• Fije o pueda fijar en un nivel anormal
demora la lista de iniciados:
o artificial el precio de uno o varios
d. Cuando cambie el motivo de inclusión de una instrumentos financieros o de un
persona que ya figure en la lista. contrato de contado sobre materias
primas relacionado con ellos, a
e. Cuando deba incluirse en la lista de iniciados
a una nueva persona, por tener acceso a menos que la persona que hubiese
información privilegiada. efectuado la operación o dado la
orden de negociación o realizado
f. Cuando una persona deje de tener acceso a
cualquier otra conducta demuestre
que esa operación, orden o conducta
En cada actualización se especificarán la fecha y la se han efectuado por razones
hora en que se produjo el cambio que dio lugar a la legítimas y de conformidad con una
actualización. práctica de mercado aceptada.
272 Artículo 12 del Reglamento (UE) nº 596/2014.
b. Ejecutar una operación, dar una orden Conductas de manipulación del mercado
de negociación o cualquier otra actividad
Se considerarán manipulación de mercado, entre
o conducta que afecte o pueda afectar, otras, las siguientes conductas:
mediante mecanismos ficticios o
• La intervención de una persona, o de varias
cualquier otra forma de engaño o artificio,
en concierto, para asegurarse una posición
al precio de uno o varios instrumentos
dominante sobre la oferta o demanda de un
financieros, de un contrato de contado instrumento financiero, de un contrato de
sobre materias primas relacionado o contado sobre materia primas relacionado o
de un producto subastado basado en de un producto subastado basado en derechos
derechos de emisión. de emisión, que afecte o pueda afectar a la
fijación, de forma directa o indirecta, de precios
c. Difundir información a través de los de compra o de venta o que cree o pueda
medios de comunicación, incluido crear otras condiciones de negociación no
internet, o por cualquier otro medio, equitativas.
transmitiendo así o pudiendo transmitir • La compra o venta de instrumentos financieros,

señales falsas o engañosas en cuanto a en el momento de apertura o cierre del
la oferta, la demanda o el precio de un mercado, que tenga o pueda tener el efecto de
instrumento financiero, de un contrato inducir a confusión o engaño a los inversores
de contado sobre materias primas que operen basándose en las cotizaciones
mostradas, incluidas las cotizaciones de
relacionado o de un producto subastado
apertura o de cierre.
basado en derechos de emisión, o
pudiendo así fijar en un nivel anormal • La formulación de órdenes en un centro
o artificial el precio de uno o varios de negociación, incluidas la cancelación
o modificación de las mismas, a través
instrumentos financieros, de un contrato
de cualesquiera métodos de negociación
de contado sobre materias primas
disponibles, incluidos medios electrónicos,
relacionado o de un producto subastado
como las estrategias de negociación algorítmica
basado en derechos de emisión, incluida y de alta frecuencia, que produzca alguno de
la difusión de rumores, cuando el autor los efectos contemplados las actividades que
de la difusión sepa o debiera saber que son definidas como abusivas, al:
la información era falsa o engañosa.
- Perturbar o retrasar el funcionamiento del
mecanismo de negociación utilizado en
d. Transmitir información falsa o engañosa
el centro de negociación, o hacer que ello
o suministrar datos falsos en relación
tenga más probabilidades de ocurrir;
con un índice de referencia, cuando el
autor de la transmisión o del suministro - Dificultar a otras personas la identificación
de las órdenes auténticas en el mecanismo
de datos supiera o debiera haber sabido
de negociación del centro de negociación, o
que eran falsos o engañosos, o cualquier
aumentar la probabilidad de dificultarla, en
otra conducta que suponga una
particular introduciendo órdenes que den
manipulación del cálculo de un índice de lugar a la sobrecarga o a la desestabilización
referencia. del carné de órdenes, o
- Crear, o poder crear, una señal falsa o Indicadores de manipulación

engañosa sobre la oferta y demanda o sobre
el precio de un instrumento financiero, en Algunos indicadores de manipulaciones relativas a
particular, emitiendo órdenes para iniciar o señales falsas o engañosas y con la fijación de los
exacerbar una tendencia. precios son los siguientes:
• Aprovechar el acceso, ocasional o regular, a • En qué medida las órdenes de negociar dadas
los MCS, tradicionales o electrónicos, para o las operaciones realizadas representan una
exponer una opinión sobre un instrumento proporción significativa del volumen diario de
financiero, contrato de contado sobre operaciones del correspondiente instrumento
materias primas relacionado o producto financiero, el contrato de contado sobre
subastado basado en derechos de emisión materias primas relacionado o el producto
(o, de modo indirecto, sobre el emisor de los subastado basado en derechos de emisión, en
mismos) después de haber tomado posiciones especial cuando estas actividades produzcan
sobre ese instrumento, contrato o producto un cambio significativo en los precios.
subastado basado en derechos de emisión, y,
• En qué medida las órdenes de negociar dadas
a continuación, aprovechar los efectos que las
o las operaciones realizadas por personas con
opiniones expresadas tengan sobre el precio
una posición significativa de compra o venta
de dicho instrumento, contrato o producto
en un instrumento financiero, un contrato de
subastado basado en derechos de emisión, sin
contado sobre materias primas relacionado o
haber revelado al público simultáneamente el
un producto subastado basado en derechos de
conflicto de intereses de una manera adecuada
emisión producen cambios significativos en el
y efectiva.
precio de ese instrumento financiero, contrato
• La compra o venta en el mercado secundario, de contado sobre materias primas relacionado
antes de la subasta prevista en el Reglamento o producto subastado basado en derechos de
(UE) 2031/2010, de derechos de emisión o de emisión.
instrumentos derivados relacionados con ellos,
• Si las operaciones realizadas no producen
con el resultado de fijar el precio de adjudicación
ningún cambio en la titularidad final de
de los productos subastados en un nivel
un instrumento financiero, un contrato de
anormal o artificial o de inducir a confusión o
contado sobre materias primas relacionado o
engaño a los oferentes en las subastas.
un producto subastado basado en derechos de
emisión.
En el Anexo I del RAM se definen, sin perjuicio
de las conductas consideradas como
o las operaciones realizadas o las órdenes
manipulación de mercado anteriormente
canceladas incluyen revocaciones de posición en
indicadas y de modo no exhaustivo, algunos un período corto y representan una proporción
indicadores de manipulaciones relativas a significativa del volumen diario de operaciones
señales falsas o engañosas y con la fijación del correspondiente instrumento financiero,
de los precios y algunos indicadores de el contrato de contado sobre materias primas
manipulaciones relacionadas con el uso de relacionado o el producto subastado basado
en derechos de emisión, y pueden estar
un mecanismo ficticio o cualquier otra forma
vinculadas a cambios significativos en el precio
de engaño o artificio.
de un instrumento financiero, un contrato de
contado sobre materias primas relacionado o Se ha de tener en cuenta que los citados
un producto subastado basado en derechos de indicadores, como hemos dicho, no son
emisión.
exhaustivos y que no podrán considerarse
• En qué medida las órdenes de negociar dadas por sí mismos como constitutivos de
o las operaciones realizadas se concentran en manipulación de mercado, cuando las
un período de tiempo corto en la sesión de operaciones u órdenes de negociar sean
negociación y producen un cambio de precios examinadas por los participantes del
que se invierte posteriormente. mercado y por las autoridades competentes.

cambian los mejores precios de demanda u Ejemplos de acciones de manipulación de
oferta de un instrumento financiero, contrato mercado
de contado sobre materias primas relacionado
• Transacciones aparentes (wash trades):
o producto subastado basado en derechos de
Realizar operaciones sobre un valor que no
emisión, o en general la configuración del carné
suponen cambio real de titularidad, con el
de órdenes disponible para los participantes del
fin de estimular una corriente compradora
mercado, y se retiran antes de ser ejecutadas.
que fuerce la cotización al alza y permita al
• En qué medida se dan las órdenes de negociar manipulador trasmitir su cartera a un precio
o se realizan las operaciones en el momento mayor.
específico, o en torno a él, en que se calculan los
• Colocación de órdenes sin intención
precios de referencia, los precios de liquidación
de ejecutarlas (painting the tape):
y las valoraciones y producen cambios en
Registrar órdenes por volumen o precio
los precios que tienen repercusión en dichos
significativamente superiores o inferiores a los
precios y valoraciones.
de mercado, que luego se retiran sin ejecutar,
Algunos indicadores de manipulaciones para dar impresión de que hay demanda u
relacionadas con el uso de un mecanismo ficticio o oferta a ese precio, y estimular una corriente
cualquier otra forma de engaño o artificio son: compradora o vendedora.
• Si las órdenes de negociar dadas o las • Ordenes ilícitas previamente pactadas

operaciones realizadas por cualesquiera (matched orders): Realizar operaciones en las
personas van precedidas o seguidas de la que se transmiten órdenes de compra sobre
difusión de información falsa o engañosa por un valor y simultáneamente órdenes de venta
esas mismas personas o por otras que tengan por importe igual o similar, para crear ante el
vinculación con ellas, y mercado una falsa apariencia con relación al
nivel de demanda real existente, estimulando
• Si las órdenes de negociar son dadas o las una presión compradora adicional que fuerce
operaciones son realizadas por cualesquiera la cotización al alza de la que se beneficia el
personas antes o después de que esas mismas
manipulador.
personas u otras que tengan vinculación con
ellas presenten o difundan recomendaciones • Marcaje al cierre (marking the close): Realizar
de inversión que sean erróneas, sesgadas o compra o venta de valores al cierre de mercado,
pueda demostrarse que están influidas por un para alterar su cotización en el cierre, en el
interés importante. sentido que interesa al manipulador.
• Reactivación y dumping: Comprar valores y a Las personas contempladas en el

continuación aumentar la actividad de compra párrafo primero notificarán sin
y/o difundir información positiva engañosa demora a la autoridad competente del
acerca del valor, con el objetivo de aumentar su
centro de negociación las órdenes y
precio. A continuación, el manipulador vende a
operaciones, incluidas las cancelaciones
un precio inflado.
y modificaciones, que pudieran constituir
• Trash and cash: Vender valores y a continuación operaciones con información privilegiada,
aumentar la actividad de venta y/o difundir
manipulación de mercado o tentativas de
información negativa engañosa acerca del valor,
operar con información privilegiada o de
con el fin de reducir su precio y, a continuación,
manipular el mercado.
cerrar la posición -del manipulador- una vez el
precio ha caído.
2. Cualquier profesional que prepare
o ejecute operaciones establecerá y
16.4. Comunicación de mantendrá mecanismos, sistemas y
operaciones sospechosas de procedimientos eficaces para detectar
abuso de mercado y notificar las órdenes y operaciones
sospechosas. Cuando dicha persona tenga
El RAM establece la obligación de establecer sospechas fundadas de que una orden
y mantener los mecanismos, sistemas y o una operación en relación con algún
procedimientos para prevenir, detectar instrumento financiero, tanto dentro
y notificar las órdenes u operaciones como fuera del correspondiente centro
sospechosas de constituir abuso de de negociación, podría constituir una
mercado, así como de comunicar a la CNMV operación con información privilegiada
las órdenes u operaciones sospechosas de o una manipulación de mercado, o bien
constituir abuso de mercado.
un intento de operar con información
privilegiada o de manipular el mercado,
De acuerdo con los apartados 1 y 2 del
artículo 16 del RAM: deberá notificarlo sin demora a la
autoridad competente tal como se prevé en
“Los organismos gestores del mercado el apartado 3.”
y las empresas de servicios de inversión
que gestionen un centro de negociación
establecerán y mantendrán mecanismos,
sistemas y procedimientos eficaces para
prevenir y detectar las operaciones
con información privilegiada y las
manipulaciones de mercado, así como
los intentos de realizar operaciones con
información privilegiada y de manipular el
mercado, de conformidad con los artículos
31 y 54 de la Directiva 2014/65/UE.
• El concepto de abuso de mercado comprende conductas ilegales en los mercados financieros,

consistiendo éstas en realizar operaciones con información privilegiada o comunicar ésta de
forma ilícita y la manipulación de mercado.
• La principal normativa europea principal norma en este ámbito es el RAM (Reglamento (UE) nº
596/2014 sobre el abuso del mercado). En España, la normativa principal es la Ley 24/1988, o
Ley del Mercado de Valores, y sus modificaciones de 2017 y 2018, aunque está en tramitación
la aprobación de una nueva ley que se denominará previsiblemente Ley de los Mercados de
Valores y Servicios de Inversión.
• El objetivo de toda normativa en este ámbito es impedir y perseguir las prácticas del mercado
que impiden una asignación “justa” y una correcta formación de precios, previniendo
distorsiones en el funcionamiento del mercado y evitar resultados injustos. De esta manera,
se garantiza integridad de los mercados y se refuerza la confianza de los inversores.
• El abuso de mercado comprende, como se ha mencionado, dos ámbitos:
- Información privilegiada, ya sea por comunicarla ilícitamente como por utilizarla en operaciones.
- Manipulación del mercado.
• La información privilegiada es el acceso a datos o información de carácter específico,

desconocido por el público o no difundida públicamente, que otorga al que la conoce
una ventaja indebida en la decisión sobre una inversión. Deben darse, por tanto, varios
circunstancias de forma simultánea para que sea considerada así:
- Carácter concreto;
- Referida a uno o varios instrumentos financieros o a uno o varios emisores;
- No pública;
- Relevante, susceptible de influir en cotización.
• Aquellos con acceso a información confidencial deben abstenerse de operar aprovechándose

de la misma, comunicarla a otros o hacer recomendaciones en base a la misma.
• La manipulación del mercado supone un grupo de acciones o actividades muy diferentes.

En esencia, se trata de acciones a cargo de una persona o grupo de personas que, de manera
deliberada, interfieren en el libre y justo funcionamiento del mercado mediante la creación de
apariencias engañosas, falsas o artificiales respecto del precio, oferta o demanda de un valor.
• Existe una amplia lista de actividades que constituyen manipulación del mercado, entre las
que podemos destacar las siguientes: Transacciones aparentes, Colocación de órdenes sin
intención de ejecutarlas, Ordenes ilícitas previamente pactadas, Marcaje al cierre, Reactivación
y dumping, trash and cash.
Módulo 17
Protección de
datos y privacidad
MÓDULO 17 • PROTECCIÓN DE DATOS Y PRIVACIDAD
Módulo 17 suponiendo un cambio de paradigma en la

sociedad actual en relación al tratamiento y
Protección de datos y consideración de los datos personales.
privacidad En la sociedad tecnológica actual, los

datos (obtención, tratamiento, gestión,
Objetivos almacenamiento) son un activo crítico para
todo tipo de organizaciones.
deberá ser capaz de: El volumen de datos, la velocidad a la que se
generan y su variedad (las tres características
• Identificar la normativa de referencia, principales del denominado big data o datos
particularmente el Reglamento General de masivos) ha supuesto una revolución desde
Protección de Datos (RGPD) y la Ley 3/2018. principios de siglo, que no hace más que
• Reconocer los principios del RGPD y los acrecentar la necesidad de su regulación,
conceptos básicos en materia de protección de dado el cada vez mayor impacto que puede
datos. tener en nuestras vidas.
• Conocer los aspectos más importantes de las

Así pues, desde el momento en que el análisis
actividades de tratamiento y su registro.
de datos masivos de datos ha traspasado la
• Familiarizarse con los diferentes plazos de frontera científico-militar (o de seguridad) y
conservación de los datos. ha comenzado a emplearse masivamente
en el sector privado y el mundo de los
• Describir los requisitos más destacables en la
obtención de datos. negocios, gestionando datos personales
para crear complejos modelos predictivos
• Diferenciar los supuestos en los que es
o de comportamiento, y que pueden influir
obligatorio recabar el consentimiento de
en los hábitos o decisiones de las personas y
aquellos en los que no lo es.
consumidores es cuando surge la necesidad
• Describir los procedimientos especiales de de su regulación para evitar el descontrol y
obtención de datos y los ámbitos afectados por abuso que se puede propiciar en el uso de
éstos.
los datos y su tratamiento y análisis.
• Enumerar y definir las funciones y
responsabilidades más destacables del
Así, en cualquier organización actual, es muy
Delegado de Protección de Datos. posible que se obtengan, almacenen o traten
datos de clientes, proveedores, empleados,
• Describir el concepto de evaluación de impacto.
etc, y de muy diversa clase (personales,
comerciales, económicos, etc).
17.1. Introducción
La extensión, casuística y complejidad de la
No se puede negar que la gestión regulación de este entorno significa que gran
automatizada de mayores o menores parte de las organizaciones deberán contar
volúmenes de información y datos está con un responsable de cumplimiento de la
normativa de este ámbito, el denominado y, por tanto, no precisa de normas internas

Delegado de Protección de Datos (DPD) o de transposición sino que es de aplicación
DPO (Data Protection Officer). A pesar de directa, el 7 de diciembre de 2018 entró
ello, no será del todo infrecuente que esta en vigor la Ley Orgánica 3/2018, de 5
responsabilidad se añada a las tareas de de diciembre, de Protección de Datos
Compliance, aunque ello dependerá del tipo Personales y Garantía de los Derechos
de organización. Digitales (en adelante, “LOPD”), que adapta
el ordenamiento jurídico español al RGPD
Por todo ello, en este módulo se presentarán
y completa sus disposiciones en aquellas
de forma sistemática las principales
materias permitidas por el RGPD.
cuestiones que las organizaciones deben
tener en cuenta respecto del cumplimiento Así pues, se establece que toda organización
de la normativa de protección de datos. o profesional que almacene o trate datos de
carácter personal o que los haga susceptibles
17.2. Principios y normativa de de tratamiento tendrá que cumplir con
referencia las formalidades exigidas en el RGPD y la
LOPD, que supondrán las correspondientes
La Unión Europea es pionera en la protección
sanciones en caso de incumplimiento de las
de datos personales y su regulación, siendo
mismas.
una de las más estrictas y completas. De
hecho, es considerada como la referencia El RGPD presenta, con carácter general,
mundial en protección de datos. dos elementos que constituyen la mayor
innovación de dicha norma:
El origen de la protección de datos en la UE
se remonta a los años 90, con la aprobación
de la Directiva 95/46/CE. Esta normativa ha
sido reemplazada por el Reglamento (UE)
2016/679.
El Reglamento (UE) 2016/679 del Parlamento

Europeo y del Consejo de 27 de abril de 2016,
relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos a. La responsabilidad proactiva
personales y a la libre circulación de estos
datos (en adelante, “Reglamento general de En primer lugar, se establece la
protección de datos” o “RGPD”), entró en necesidad de que quienes almacenen
vigor en mayo del año de su aprobación. No datos susceptibles de tratamiento
obstante, el propio RGPD establecía que su apliquen las medidas técnicas y
aplicabilidad se establecía en el 25 de mayo organizativas correspondientes, siendo
de 2018. el objetivo principal de éstas garantizar

y poder demostrar que el tratamiento es
Aunque se trata de un reglamento europeo conforme con el RGPD.
b. Punto de vista del riesgo De licitud, lealtad y transparencia. Los

datos personales serán tratados de manera
Por otro lado, se resalta que las medidas
lícita, leal y transparente en relación con el
técnicas y organizativas dirigidas a
interesado.
garantizar el cumplimiento del RGPD,
deben estar predeterminadas según De limitación de la finalidad. Los datos
la naturaleza, el ámbito, el contexto y personales serán recogidos con fines
las finalidades del tratamiento de los determinados, explícitos y legítimos, no
datos personales, así como el riesgo serán tratados ulteriormente de manera
para los derechos y libertades de las incompatible con dichos fines. A menos que
personas que dicho tratamiento pueda se recopilen con fines de archivo en interés
comportar. Así pues, la adopción de las público, fines de investigación científica e
medidas previstas por el RGPD debe histórica o fines estadísticos.
moldearse según las características
De minimización de datos. Los datos
de cada organización y/o profesional
personales serán adecuados, pertinentes y
responsable del tratamiento de datos.
limitados a lo necesario en relación con los
Asimismo, el RGPD establece en su artículo fines para los que son tratados.
5 un conjunto de principios relativos al
De exactitud. Los datos personales
tratamiento de datos personales, los cuales
deberán ser exactos y, si fuera necesario,
deberán ser seguidos a fin de garantizar
actualizados, debiendo adoptarse todas las
el cumplimiento de las obligaciones
medidas razonables para que se supriman
establecidas en el RGPD. Dichos principios
o rectifiquen sin dilación aquellos que sean
son los siguientes:
inexactos con respecto a los fines para los
que se tratan.
De limitación del plazo de conservación.

Los datos personales serán mantenidos de
forma que se permita la identificación de
los interesados durante no más tiempo del
necesario para los fines del tratamiento de
los datos personales. Pueden conservarse
durante períodos más largos siempre que se
traten exclusivamente con fines de archivo
en interés público, fines de investigación
científica o histórica o fines estadísticos.
De integridad y confidencialidad. Los datos

serán tratados de manera que se garantice
una seguridad adecuada de los datos
personales, incluida la protección contra el opiniones críticas273 que alertan de varios

tratamiento no autorizado o ilícito y contra problemas de dicha normativa que harían
su pérdida, destrucción o daño accidental, necesaria su reforma urgente:
mediante la aplicación de medidas técnicas
• No está diseñada para tecnologías como
u organizativas apropiadas.
la cadena de bloques (blockchain), el
De responsabilidad proactiva. El reconocimiento facial o de voz, la minería
responsable del tratamiento será de datos o la inteligencia artificial.
responsable del cumplimiento de los demás

• Es excesivamente complicada, supone
principios.
enormes costes de cumplimiento,
vulnera otros derechos fundamentales y
En consecuencia, la protección de datos
dificulta u obstaculiza la transformación
personales en España debe efectuarse con
digital de la UE.
arreglo a lo establecido en:
i. Reglamento (UE) 2016/679 del

17.3. Conceptos básicos en
Parlamento Europeo y del Consejo de 27 materia de protección de
de abril de 2016, relativo a la protección datos
de las personas físicas en lo que respecta
La protección de datos de carácter personal
al tratamiento de datos personales y a
es una materia que cuenta con su propia
la libre circulación de estos datos y por
terminología.
el que se deroga la Directiva 95/46/CE
(RGPD). Aunque cada vez estamos todos
-profesionales y usuarios- más familiarizados
ii. Ley Orgánica 3/2018, de 5 de diciembre,
con dichos conceptos, a menudo lo que se
de Protección de Datos Personales y
conoce es una idea general que carece de
garantía de los derechos digitales (LOPD).
detalle o ignora ciertos elementos esenciales
iii. Circulares de la Agencia Española de a la hora de aplicar correctamente la

normativa de protección de datos. Por otra
Protección de Datos (AEPD). Previstas
parte, la velocidad a la que evoluciona la
en el artículo 55 de la LOPD, se trata
tecnología supone la irrupción de nuevos
de disposiciones técnicas y jurídicas
conceptos y neologismos que, en ocasiones,
dictadas por la Presidencia de la AEPD
es difícil emplear con soltura o corrección.
en donde se fijan los criterios a que
responderá la propia Agencia con Por ello, se describen y definen a
relación a la aplicación e interpretación continuación los principales conceptos
del RGPD. básicos que se han de conocer en este
ámbito:
Sin embargo, no todo son parabienes y
halagos para el RGPD. A pesar de su novedad
y de su relativamente corta vida, existen 273 Fixing the GDPR: Towards Version 2.0, position paper
• Datos personales: Toda información • Tratamiento: Cualquier operación o

sobre una persona física identificada conjunto de operaciones realizadas
o identificable (el Interesado). Se sobre datos personales o conjuntos
considera persona física identificable de datos personales, ya sea por
a toda persona cuya identidad pueda procedimientos automatizados o no,
determinarse, directa o indirectamente, como la recogida, registro, organización,
en particular mediante un identificador, estructuración, conservación,
como por ejemplo un nombre, un adaptación o modificación, extracción,
número de identificación, datos de consulta, utilización, comunicación por
localización, un identificador en línea transmisión, difusión o cualquier otra
o uno o varios elementos propios de forma de habilitación de acceso, cotejo
la identidad física, fisiológica, genética, o interconexión, limitación, supresión o
psíquica, económica, cultural o social de destrucción.
dicha persona.
• Limitación del tratamiento: El marcado
• Datos genéticos: Datos personales de los datos de carácter personal
relativos a las características genéticas conservados con el fin de limitar su
heredadas o adquiridas de una persona tratamiento en el futuro.
física que proporcionen una información

• Elaboración de perfiles: Toda forma de
única sobre la fisiología o la salud de
tratamiento automatizado de datos
esa persona, obtenidos en particular del
personales consistente en utilizar datos
análisis de una muestra biológica de tal personales para evaluar determinados
persona. aspectos personales de una persona
física, en particular para analizar o
• Datos biométricos: Datos personales
predecir aspectos relativos al rendimiento
obtenidos a partir de un tratamiento
profesional, situación económica, salud,
técnico específico, relativos a las
preferencias personales, intereses,
características físicas, fisiológicas o
fiabilidad, comportamiento, ubicación o
conductuales de una persona física que
movimientos de dicha persona física.
permitan o confirmen la identificación
única de dicha persona, como imágenes • Seudonimización: El tratamiento de
faciales o datos dactiloscópicos. datos personales de manera tal que ya
no puedan atribuirse a un interesado sin
• Datos relativos a la salud: Datos
utilizar información adicional, siempre
personales relativos a la salud física o
que dicha información adicional figure
mental de una persona física, incluida
por separado y esté sujeta a medidas
la prestación de servicios de atención
técnicas y organizativas destinadas a
sanitaria, que revelen información sobre
garantizar que los datos personales
su estado de salud.
no se atribuyan a una persona física
identificada o identificable.
• Fichero: Todo conjunto estructurado el marco de una investigación concreta

de datos personales, accesibles con de conformidad con el Derecho de
arreglo a criterios determinados, ya sea la Unión o de los Estados miembros,
centralizado, descentralizado o repartido debiendo el tratamiento de tales datos
de forma funcional o geográfica; por dichas autoridades públicas ser
conforme con las normas en materia de
• Responsable del tratamiento o
protección de datos aplicables a los fines
Responsable: La persona física o
del tratamiento.
jurídica, autoridad pública, servicio u
otro organismo que, solo o junto con • Tercero: Persona física o jurídica,
otros, determine los fines y medios autoridad pública, servicio u organismo
del tratamiento. No obstante, si el distinto del interesado, del responsable
Derecho de la Unión o de los Estados del tratamiento, del encargado del
miembros determina los fines y medios tratamiento y de las personas autorizadas
del tratamiento, el responsable del para tratar los datos personales bajo la
tratamiento o los criterios específicos autoridad directa del responsable o del
para su nombramiento podrá encargado;
establecerlos el Derecho de la Unión o
• Consentimiento del interesado: Toda
de los Estados miembros.
manifestación de voluntad libre,
• Encargado del tratamiento o Encargado: específica, informada e inequívoca
La persona física o jurídica, autoridad por la que el interesado acepta, ya sea
pública, servicio u otro organismo que mediante una declaración o una clara
trate datos personales por cuenta del acción afirmativa, el tratamiento de
responsable del tratamiento. Serán datos personales que le conciernen.
pues, normalmente, todos aquellos
• Violación de la seguridad de los datos
proveedores del Responsable que, para
personales: Toda violación de la
poder prestarle sus servicios, necesiten
seguridad que ocasione la destrucción,
tratar datos personales titularidad
pérdida o alteración accidental o ilícita
del Responsable (por ej.: servicios de
de datos personales transmitidos,
asesoramiento laboral, fiscal o contable;
conservados o tratados de otra forma, o
de mantenimiento informático, de
la comunicación o acceso no autorizados
hosting; etc.).
a dichos datos.
• Destinatario: La persona física o
• Establecimiento principal:
jurídica, autoridad pública, servicio u
otro organismo al que se comuniquen a. En lo que se refiere a un responsable
datos personales, se trate o no de un del tratamiento con establecimientos
tercero. No obstante, no se considerarán en más de un Estado miembro,
destinatarios las autoridades públicas hace referencia al lugar de su
que puedan recibir datos personales en administración central en la UE,
salvo que las decisiones sobre los • Grupo empresarial: Grupo constituido
fines y los medios del tratamiento se por una empresa que ejerce el control y
tomen en otro establecimiento del sus empresas controladas.
responsable en la UE y este último
• Normas corporativas vinculantes o
establecimiento tenga el poder de
binding corporate rules (BCRs): Las
hacer aplicar tales decisiones, en
políticas de protección de datos
cuyo caso el establecimiento que
personales asumidas por un responsable
haya adoptado tales decisiones
o encargado del tratamiento establecido
se considerará establecimiento
en el territorio de un Estado miembro
principal;
para transferencias o un conjunto de
b. En lo que se refiere a un encargado transferencias de datos personales a
del tratamiento con establecimientos un responsable o encargado en uno o
en más de un Estado miembro, más países terceros, dentro de un grupo
hace referencia al lugar de su empresarial o una unión de empresas
administración central en la UE o, si dedicadas a una actividad económica
careciera de esta, al establecimiento conjunta.
del encargado en la UE en el que se
• Autoridad de control: La autoridad
realicen las principales actividades
pública independiente establecida por
de tratamiento en el contexto de las
un Estado miembro para supervisar la
actividades de un establecimiento
aplicación del RGPD.
del encargado en la medida en que el
encargado esté sujeto a obligaciones • Autoridad de control interesada: La
específicas con arreglo al RGPD. autoridad de control a la que afecta el
tratamiento de datos personales debido
• Representante: Persona física o
a que:
jurídica establecida en la Unión que,
habiendo sido designada por escrito a. el responsable o el encargado del
por el responsable o el encargado del tratamiento está establecido en el
tratamiento, represente al responsable territorio del Estado miembro de esa
o al encargado en lo que respecta a sus autoridad de control;
respectivas obligaciones en virtud del b. los interesados que residen en el
RGPD. Estado miembro de esa autoridad
de control se ven sustancialmente
• Empresa: Persona física o jurídica
afectados o es probable que se vean
dedicada a una actividad económica,
sustancialmente afectados por el
independientemente de su forma jurídica,
tratamiento, o
incluidas las sociedades o asociaciones
que desempeñen regularmente una c. se ha presentado una reclamación
actividad económica. ante esa autoridad de control.
• Tratamiento transfronterizo: • Organización internacional: Una

organización internacional y sus entes
a. El tratamiento de datos personales
subordinados de Derecho internacional
realizado en el contexto de las
público o cualquier otro organismo
actividades de establecimientos
creado mediante un acuerdo entre dos
en más de un Estado miembro de
o más países o en virtud de tal acuerdo.
un responsable o un encargado
del tratamiento en la Unión, si el
17.4. Registro de las
responsable o el encargado está
actividades del tratamiento
establecido en más de un Estado
miembro, o
(R.A.T)
b. El tratamiento de datos personales El cumplimiento de las obligaciones
realizado en el contexto de establecidas en el RGPD y en la LOPD
las actividades de un único incluye el análisis y revisión de todos los
establecimiento de un responsable tratamientos de datos de carácter personal
o un encargado del tratamiento que realiza una organización. Siendo este el
en la Unión, pero que afecta primer paso para llevar a cabo la adecuación
sustancialmente o es probable que de una organización a la normativa de
afecte sustancialmente a interesados protección de datos, se podrá dar comienzo a
en más de un Estado miembro. la identificación del conjunto de actividades
de tratamiento que se va a realizar.
• Objeción pertinente y motivada: La
objeción a una propuesta de decisión En dichas actividades se puede llevar a
sobre la existencia o no de infracción cabo el tratamiento de datos tanto de
del RGPD, o sobre la conformidad con el trabajadores propios como de aquellos
RGPD de acciones previstas en relación colectivos de personas implicadas en la
con el responsable o el encargado del actividad: alumnos, clientes, pacientes,
tratamiento, que demuestre claramente proveedores, candidatos, etc.
la importancia de los riesgos que
Así pues, las organizaciones deberán llevar un
entraña el proyecto de decisión para los
Registro de Actividades de Tratamiento,
derechos y libertades fundamentales de
de acuerdo con lo que el artículo 30 del RGPD
los interesados y, en su caso, para la libre
detalla, debiendo mantenerlo actualizado.
circulación de datos personales dentro
de la Unión. En primer lugar, el del RGPD establece que el
Servicio de la sociedad de la información: Responsable del tratamiento debe llevar un
Todo servicio conforme a la definición del registro de las actividades de tratamiento
artículo 1, apartado 1, letra b), de la Directiva efectuadas bajo su responsabilidad. Dicho
(UE) 2015/1535 del Parlamento Europeo y Registro de las Actividades de Tratamiento
del Consejo. o R.A.T., que puede organizarse en torno

a conjuntos estructurados de datos, debe
constar por escrito y contener, como mínimo, • Todos los que empleen a 250 o más
la siguiente información: empleados.
a. El nombre y los datos de contacto • Todos los que, empleando a menos de

del responsable y, en su caso, del 250 empleados, realicen alguna o varias
corresponsable, del representante del de los siguientes tratamientos:
responsable y del delegado de protección
- Que puedan entrañar un riesgo
de datos;
para los derechos y libertades de los
b. Los fines del tratamiento; interesados; o
c. Una descripción de las categorías de - Que no sea ocasional;

interesados y de las categorías de datos
- Que incluya categorías especiales de
personales;
datos personales (los que revelen el
d. Las categorías de destinatarios a quienes origen étnico o racial, las opiniones
se comunicaron o comunicarán los datos políticas, las convicciones religiosas
personales, incluidos los destinatarios o filosóficas; la afiliación sindical;
en terceros países u organizaciones los datos genéticos; los datos
internacionales; biométricos dirigidos a identificar
de manera unívoca a una persona
e. En su caso, las transferencias de datos
física; los datos relativos a la salud;
personales a un tercer país o una
datos relativos a la vida sexual o a la
organización internacional, incluida la
orientación sexual); o
identificación de dicho tercer país u
organización internacional y, en el caso de - Que incluya datos personales
las transferencias indicadas en el párrafo relativos a condenas e infracciones
segundo del artículo 49.1 del RGPD, la penales.
documentación de garantías adecuadas;
En este sentido, puesto que el tratamiento
f. Cuando sea posible, los plazos previstos de datos que realizan la mayoría de las
para la supresión de las diferentes organizaciones en calidad de Responsables
categorías de datos; del tratamiento no tiene carácter ocasional,
deberán cumplir con la obligación de llevar
g. Cuando sea posible, una descripción
el R.A.T.
general de las medidas técnicas y
organizativas de seguridad a que se
refiere el artículo 32.1 del RGPD.
No obstante, el RGPD precisa que sólo

están obligados a la llevanza del R.A.T de
las actividades de tratamiento los siguientes
Responsables:
Actividad de tratamiento Finalidades del tratamiento
- Mantenimiento, desarrollo y gestión de la relación negocial con los

Clientes clientes de la organización.
- Mercadotecnia directa a clientes.
Solicitantes de - Gestión de las personas que solicitan a la organización algún tipo de
información información puntual.
Suscriptores para la - Gestión de las personas que se suscriben a la revista y/o boletines
recepción de información informativos de la organización.
Proveedores
proveedores de la organización.
- Gestión, desarrollo y cumplimiento de la relación laboral con los
Personal trabajadores de la organización.
- Gestión de la prevención de riesgos laborales.
- Gestión de los candidatos a ocupar un puesto de trabajo en la
Selección de personal
organización.
- Gestión de las imágenes captadas por el sistema de video-vigilancia
Videovigilancia con fines
de la organización para preservar la seguridad de personas y bienes,
de seguridad
así como de sus instalaciones.
- Gestión del control de acceso físico a las instalaciones de la
Control de accesos
organización.
Canal interno de
- Gestión del canal interno de denuncias existente en la organización.
denuncias
Videovigilancia y
- Gestión de las imágenes y sonidos captados por la organización para
grabación de sonidos
sus funciones de control laboral.
(fines de control laboral)
Geolocalización con fines - Gestión de la geolocalización efectuada por la organización para sus
de control laboral funciones de control laboral.
Ejemplo de actividades de tratamiento con sus respectivas finalidades. Elaboración propia.
Además, la organización en cuestión o entidad de Derecho público vinculada o

deberá hacer público un inventario de dependiente de las AAPP; una autoridad
sus actividades de tratamiento, accesible administrativa independiente; el Banco
por medios electrónicos, en el que debe de España; una corporación de Derecho
constar la información establecida en público con finalidades del tratamiento
el RGPD y su base legal cuando sea: un relacionadas con el ejercicio de potestades
órgano constitucional o con relevancia de derecho público; una fundación del
constitucional; una institución autonómica sector público; una Universidad Pública; un
análoga a un órgano constitucional o consorcio; un grupo parlamentario de las
con relevancia constitucional; un órgano Cortes Generales; un grupo parlamentario
jurisdiccional; AGE; una Administración de una Asambleas Legislativa autonómica;
autonómica; una entidad integrada en la un grupo político de una Corporación Local.
Administración Local; un organismo público
Por otro lado, en el RGPD se establece 17.5. Plazos de conservación

que cada Encargado del tratamiento debe de los datos personales
llevar un registro de todas las categorías de
actividades de tratamiento efectuadas por El RGPD establece el principio de “limitación
cuenta de un Responsable. Dicho R.A.T. del del plazo de conservación” de los datos
Encargado también debe constar por escrito personales, especificando que éstos deben
y contener, como mínimo, la siguiente ser “mantenidos de forma que se permita la
información: identificación de los interesados durante no
más tiempo del necesario para los fines del
a. Nombre y datos de contacto del
tratamiento de los datos personales”; si bien
encargado/s y de cada responsable
“los datos personales podrán conservarse
por cuenta del cual actúe el encargado.
durante períodos más largos siempre que se
Además, en su caso, también los datos
traten exclusivamente con fines de archivo en
del representante del responsable o del
interés público, fines de investigación científica
encargado y del DPD;
o histórica o fines estadísticos, de conformidad
b. Las categorías de tratamientos con el artículo 89, apartado 1, sin perjuicio
efectuados por cuenta de cada de la aplicación de las medidas técnicas y
responsable; organizativas apropiadas que impone el
presente Reglamento a fin de proteger los
c. En su caso, las transferencias de datos
derechos y libertades del interesado.”
personales a un tercer país u organización
internacional, incluida su identificación Se plasma así la idea recogida en el
(tercer país u organización internacional) Considerando nº39 del RGPD, según el cual
y, en el caso de las transferencias “los datos personales deben ser adecuados,
indicadas en art. 49.1 párrafo 2º del pertinentes y limitados a lo necesario para los
RGPD, la documentación de garantías fines para los que sean tratados. Ello requiere,
adecuadas; en particular, garantizar que se limite a un
mínimo estricto su plazo de conservación”.
d. Cuando sea posible, una descripción
general de las medidas técnicas y Lo visto en los párrafos anteriores se
organizativas de seguridad a que se concreta el RGPD, en el que se establece
refiere el artículo 32.1 del RGPD. que, ya se obtengan los datos personales
del propio interesado o no, la organización
Tal y como ocurre con el R.A.T. de los
deberá informarle sobre “el plazo durante
Responsables del tratamiento, el artículo
el cual se conservarán los datos personales o,
30.5 del RGPD precisa que sólo están
cuando no sea posible, los criterios utilizados
obligados a la llevanza del Registro de las
para determinar este plazo”.
actividades de tratamiento los Encargados
que cumplan las características establecidas
Tal y como ya hemos apuntado
en dicho artículo.
anteriormente, el RGPD determina que,
como Responsables del tratamiento y Cuando cesa la autorización u

siempre que sea posible, las organizaciones obligación legal de mantener datos
deben especificar en su R.A.T. los plazos personales, comienza la obligación
previstos para la supresión de las diferentes de destrucción de los mismos. No
categorías de datos. existen estados intermedios.
Por otro lado, es preciso tener en cuenta que Si el sistema de información no permite
la LOPD impone a las organizaciones, cuando aplicar el bloqueo, debe hacerse un copiado
actúa como Responsable del tratamiento, seguro de la información de modo que
la obligación general de bloquear los datos conste evidencia digital, o de otra naturaleza,
personales cuando procede a su rectificación que permita acreditar su autenticidad, la
o supresión. fecha del bloqueo y la no manipulación de
los datos durante el mismo.
Esto supone identificar y reservar los datos,
adoptando medidas técnicas y organizativas En vista de todo lo anterior, es necesario
para impedir su tratamiento, incluyendo que las organizaciones adopten plazos
su visualización, excepto para su puesta de conservación de los datos personales
a disposición de jueces y tribunales, el específicos para cada actividad de
Ministerio Fiscal o las Administraciones tratamiento, teniendo en cuenta que el
Públicas competentes, para la exigencia interesado deberá ser informado al respecto
de posibles responsabilidades derivadas por medio del correspondiente “aviso o política
del tratamiento y sólo por su plazo de de protección de datos”. En este sentido, a
prescripción. Transcurrido ese plazo debe modo de ejemplo, se exponen los siguientes
procederse a la destrucción de los datos. plazos de conservación en las actividades de
tratamiento anteriormente mencionadas:
Actividad de tratamiento Finalidades del tratamiento

Clientes clientes de la organización.
- Mercadotecnia directa a clientes.
Plazos de conservación de los datos
Los datos deberán conservarse durante toda la relación de negocio. Una vez finalizada ésta, se debe
tener en cuenta lo siguiente:
 Los empresarios deben conservar los libros, correspondencia, documentación y justificantes
concernientes a su negocio, debidamente ordenados, durante 6 años, a partir del último asiento
realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales (art. 30.1
Código de Comercio).
 Las acciones personales que no tengan plazo especial prescriben a los 5 años desde que pueda
exigirse el cumplimiento de la obligación (art. 1964.2 Código Civil).
 A los cuatro años prescribe lo siguiente: a) El derecho de la Administración para determinar la deuda
tributaria mediante la oportuna liquidación; b) el derecho de la Administración para exigir el pago de
las deudas tributarias liquidadas y autoliquidadas; c) el derecho a solicitar y obtener las devoluciones
derivadas de la normativa de cada tributo, las devoluciones de ingresos indebidos y el reembolso del
coste de las garantías (art. 66 Ley General Tributaria).
 La prescripción de los delitos atribuidos a las personas jurídicas puede llegar a producirse a los 15
años (art. 131 Código Penal).
Con relación a la mercadotecnia directa, deberían suprimirse los datos en el momento en que el
interesado manifieste su deseo de no seguir recibiendo este tipo de comunicaciones.
No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la LOPD,
durante el plazo máximo de prescripción de las infracciones en materia de protección de datos, es decir,
3 años (art. 72 LOPD).
Solicitantes de Gestión de las personas que solicitan a la organización algún tipo de
información información puntual.
Deberían suprimirse los datos una vez atendida por completo la solicitud.
Suscriptores para la Gestión de las personas que se suscriben a la revista y/o boletines
recepción de información informativos de la organización.
Deberían suprimirse los datos en el momento en que el interesado cancele su suscripción.
Mantenimiento, desarrollo y gestión de la relación negocial con los
Proveedores
proveedores de la organización.
Los datos deberán conservarse durante toda la relación de negocio. Una vez finalizada ésta, se debe
tener en cuenta lo siguiente:
 Los empresarios deben conservar los libros, correspondencia, documentación y justificantes
concernientes a su negocio, debidamente ordenados, durante 6 años, a partir del último asiento
realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales (art. 30.1
Código de Comercio).
 Las acciones personales que no tengan plazo especial prescriben a los 5 años desde que pueda
exigirse el cumplimiento de la obligación (art. 1964.2 Código Civil).
 A los 4 años prescribe lo siguiente: a) El derecho de la Administración para determinar la deuda
tributaria mediante la oportuna liquidación; b) el derecho de la Administración para exigir el pago de
las deudas tributarias liquidadas y autoliquidadas; c) el derecho a solicitar y obtener las devoluciones
derivadas de la normativa de cada tributo, las devoluciones de ingresos indebidos y el reembolso del
coste de las garantías (art. 66 Ley General Tributaria).
Gestión, desarrollo y cumplimiento de la relación laboral con los

Personal trabajadores de la organización.
Gestión de la prevención de riesgos laborales.
En cuanto a la gestión, desarrollo y cumplimiento de la relación laboral con los trabajadores de las
organizaciones:
Los datos deberían conservarse durante toda la relación laboral y, una vez finalizada ésta, tener en
cuenta lo siguiente:
 5 años es el plazo máximo de prescripción de las infracciones en el orden social (art. 4 Ley sobre
Infracciones y Sanciones en el Orden Social).
 Los recibos de salario deben conservarse, junto con los boletines de cotización a la Seguridad
Social, durante un mínimo de 5 años (art. 3 Orden de 27 de diciembre de 1994).
años (art. 131 CP).
Con relación a la Gestión de la prevención de riesgos laborales:
 5 años es el plazo máximo de prescripción de las infracciones en materia de prevención de riesgos
laborales (art. 4 Ley sobre Infracciones y Sanciones en el Orden Social).
 La siguiente documentación se conservará hasta que la empresa cese su actividad, momento en que
deberá remitirse a la autoridad laboral: (i) plan de prevención de riesgos laborales; (ii) evaluación
de los riesgos para la seguridad y la salud en el trabajo, incluido el resultado de los controles
periódicos de las condiciones de trabajo y de la actividad de los trabajadores; (iii) planificación
de la actividad preventiva, incluidas las medidas de protección y de prevención a adoptar y, en
su caso, material de protección que deba utilizarse; (iv) Práctica de los controles del estado de
salud de los trabajadores y (v) Relación de accidentes de trabajo y enfermedades profesionales que
hayan causado al trabajador una incapacidad laboral superior a un día de trabajo (art. 23 Ley de
Prevención de Riesgos Laborales).
Gestión de los candidatos a ocupar un puesto de trabajo en la
Selección de personal
organización.
 Se recomienda establecer un periodo máximo de conservación de los CV de, por ejemplo, 1 o 2
años a partir del momento de su recepción, tras lo cual deberá aplicarse a los datos la obligación
de bloqueo prevista en el artículo 32 de la LOPD, durante el plazo máximo de prescripción de las
infracciones en materia de protección de datos, es decir, 3 años (art. 72 LOPD).
 Si el candidato resulta contratado, su CV pasaría a formar parte de su expediente laboral y, por tanto,
a regirse por los plazos de conservación establecidos para la actividad de tratamiento “PERSONAL”.
Gestión de las imágenes captadas por el sistema de videovigilancia de
Videovigilancia con fines
la organización para preservar la seguridad de personas y bienes, así
de seguridad
como de sus instalaciones.
 Las imágenes deben suprimirse en el plazo máximo de un mes desde su captación, salvo cuando
deban conservarse para acreditar la comisión de actos que atenten contra la integridad de personas,
bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad
competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la
existencia de la grabación.
 No se aplica la obligación de bloqueo prevista en el artículo 32 de la LOPD.
Control de acceso Gestión del control de acceso físico a las instalaciones de la organización.
 Se recomienda suprimir los datos en el plazo máximo de un mes desde su obtención.
 No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la
LOPD, durante el plazo máximo de prescripción de las infracciones en materia de protección de
datos, es decir, 3 años (art. 72 LOPD).
Canal interno de denuncias Gestión del canal interno de denuncias existente en la organización.
 Los datos de denunciantes y denunciados deben conservarse en el sistema de denuncias
únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una
investigación sobre los hechos denunciados.
 En todo caso, transcurridos tres meses desde la introducción de los datos, debe procederse a su
supresión del sistema de denuncias, salvo que se quiera dejar evidencia del funcionamiento del
modelo de prevención de la comisión de delitos por la organización.
 Las denuncias a las que no se haya dado curso sólo pueden constar de forma anonimizada, sin que
sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPD.
 Transcurrido el plazo anterior, los datos pueden seguir siendo tratados para la investigación de
los hechos denunciados, no conservándolos en el propio sistema de información de denuncias
internas.
años (art. 131 CP).
Videovigilancia y
Gestión de las imágenes y sonidos captados por la organización para sus
grabación de sonidos
funciones de control laboral.
(fines de control laboral)
 Las imágenes y sonidos deben suprimirse en el plazo máximo de un mes desde su captación, salvo
cuando deban conservarse para acreditar la comisión de infracciones laborales.
 No se aplica la obligación de bloqueo prevista en el artículo 32 de la LOPD.
Geolocalización (fines de Gestión de la geolocalización efectuada por la organización para sus
control laboral) funciones de control laboral.
 Se recomienda suprimir los datos en el plazo máximo de un mes desde su captación, salvo cuando
deban conservarse para acreditar la comisión de infracciones laborales.
No obstante, deberá aplicarse a los datos la obligación de bloqueo prevista en el artículo 32 de la
LOPD, durante el plazo máximo de prescripción de las infracciones en materia de protección de
datos, es decir, 3 años (art. 72 LOPD).
En todo caso, pueden utilizarse fórmulas más Si los datos obtenidos se van a utilizar
genéricas a la hora de informar a los interesados para comunicarse con el interesado, esta
por medio de los correspondientes avisos o información se le deberá facilitar no más allá
políticas de protección de datos. del momento de la primera comunicación.
17.6. Procedimientos de Finalmente, si los datos van a ser
obtención de datos personales comunicados a un tercero, esta información

se le deberá facilitar al interesado no más allá
Una vez se identifiquen las actividades del momento de la primera comunicación al
de tratamiento desarrolladas por la tercero.
organización y habiendo analizado si
resulta preciso registrarlas por medio del A continuación, se presenta la información
R.A.T, deberá examinarse los métodos de establecida en los artículos 13 y 14,
obtención o recogida de datos, a los efectos respectivamente:
de determinar su adecuación con lo previsto
en el RGPD y la LOPD. Datos a informar Art 13 Art 14
Identidad y datos de contacto del

En términos generales, los datos de carácter responsable y, en su caso, de su
representante.
personal pueden obtenerse del propio
Datos de contacto del delegado de
interesado o bien a través de un tercero. protección de datos, en su caso.
Fines del tratamiento a que se
17.6.1. Cumplimiento del deber de destinan los datos.
información Base jurídica del tratamiento.
Destinatarios o categorías de
Lo más habitual es que los datos personales destinatarios de los datos, en su
se recaben o recojan directamente del caso.
interesado al que hacen referencia. En tales En su caso, la intención de transferir

internacionalmente los datos, y la
casos, el artículo 13 del RGPD establece que existencia o ausencia de una decisión
se debe facilitar al interesado la información de adecuación de la Comisión, o la
referencia a las garantías adecuadas
que se indica en dicho artículo en el o apropiadas y a los medios para
momento de la obtención de sus datos. obtener una copia de estas o al
hecho de que se hayan prestado.
Por otro lado, en los casos en que los datos Plazo durante el cual se conservarán
los datos o, cuando no sea posible,
han podido obtenerse de otras personas los criterios utilizados para
físicas distintas del interesado, de entidades determinar este plazo.
privadas, de Administraciones Públicas o Posibilidad de ejercer los derechos
de acceso, rectificación, supresión,
de fuentes de acceso público, el artículo 14 limitación del tratamiento, oposición
del RGPD establece que se debe facilitar al y portabilidad de los datos.
interesado la información contenida en él En su caso, derecho a retirar el

consentimiento en cualquier
antes de que transcurra un mes contado momento, sin que afecte a la
a partir del momento en que se hayan licitud del tratamiento basado en el
consentimiento previo a su retirada.
obtenido los datos.
Derecho a presentar una c. Debe darse mediante un acto afirmativo

reclamación ante una autoridad de claro que refleje una manifestación de
control.
voluntad libre, específica, informada,
Si la comunicación de datos es un
requisito legal o contractual, o un e inequívoca del interesado (p. ej.:
requisito necesario para suscribir declaración escrita o verbal). El silencio,
un contrato, y si el interesado
está obligado a facilitar los datos las casillas ya marcadas o la inacción no
personales y está informado de constituyen un consentimiento válido.
las posibles consecuencias de no
facilitar tales datos.
d. Debe solicitarse para todos los fines
En su caso, existencia de decisiones
automatizadas, incluida la de un tratamiento, presentándolos por
elaboración de perfiles.
separado y permitiendo la aceptación
Categorías de datos que se tratan. individual de cada uno de ellos.
Fuente de la que proceden los datos
personales y, en su caso, si proceden e. Debe poder ser retirado en cualquier
de fuentes de acceso público. momento por el interesado, de forma
tan fácil como fue dado.
Toda esta información vendría a conformar
lo que se conoce como “aviso o política de Téngase en cuenta que no puede
protección de datos”. supeditarse la ejecución de un contrato a
que el interesado consienta el tratamiento
17.6.2. Cumplimiento del deber de
de los datos personales para finalidades que
obtención del consentimiento
no guardan relación con el mantenimiento,
El deber de información y el deber de desarrollo o control de la relación
obtención del consentimiento están contractual.
totalmente relacionados, ya que para que el

En todo caso las organizaciones deben poder
consentimiento se entienda correctamente
demostrar que cuenta con el consentimiento
prestado es necesario que el interesado
del interesado.
haya sido correctamente informado.
17.6.3. Supuestos en los que no
Así, cuando un determinado tratamiento
es necesaria la obtención del
de datos personales se basa en la previa
consentimiento
obtención del consentimiento del interesado,
éste debe reunir los siguientes requisitos: El tratamiento de los datos personales del
Interesado puede llevarse a cabo sin su
a. Debe ir referido a uno o varios fines
consentimiento en los siguientes casos:
específicos.
a. El tratamiento es necesario para
b. Debe solicitarse de forma inteligible y de
la ejecución de un contrato en el
fácil acceso, utilizando un lenguaje claro
que el interesado es parte o para la
y sencillo.
aplicación a petición de este de medidas
precontractuales;
b. El tratamiento es necesario para el a. Datos personales que revelen el origen

cumplimiento de una obligación legal étnico o racial;
aplicable a la Organización;
b. Datos personales que revelen las
c. El tratamiento es necesario para proteger opiniones políticas;
intereses vitales del interesado o de otra
c. Datos personales que revelen las
persona física;
convicciones religiosas o filosóficas;
d. El tratamiento es necesario para el
d. Datos personales que revelen la afiliación
cumplimiento de una misión realizada
sindical;
en interés público o en el ejercicio
de poderes públicos conferidos a la e. Datos genéticos;
Organización;
f. Datos biométricos dirigidos a identificar
e. El tratamiento es necesario para la de manera unívoca a una persona física;
satisfacción de intereses legítimos
g. Datos relativos a la salud;
perseguidos por la Organización o por
un tercero, siempre que sobre dichos h. Datos relativos a la vida o la orientación
intereses no prevalezcan los intereses o sexuales.
los derechos y libertades fundamentales
El tratamiento de dichas categorías de datos
del interesado que requieran la
está prohibido, a menos que concurra
protección de datos personales, en
alguna de las siguientes circunstancias:
particular cuando el interesado sea un
niño. a. El interesado ha dado su consentimiento
explícito y el Derecho de la Unión o de
17.6.4. Consentimiento y otras vías los Estados miembros lo considera
para el tratamiento de categorías suficiente para evitar la prohibición.
especiales de datos
b. El tratamiento es necesario para el
No todos los datos personales pueden cumplimiento de obligaciones y el
obtenerse y tratarse, incluso con el ejercicio de derechos específicos de
consentimiento del afectado. Existen la organización o del interesado en
categorías especiales de datos personales el ámbito del Derecho laboral y de la
que gozan de una protección reforzada, seguridad y protección social, cuando
cuyo tratamiento está prohibido de forma así lo autorice el Derecho de la Unión
general, salvo que concurran circunstancias de los Estados miembros o un convenio
específicas. colectivo con arreglo al Derecho de
los Estados miembros que establezca
Los datos que se consideran categorías
garantías adecuadas del respeto de
especiales de datos personales son los
los derechos fundamentales y de los
siguientes:
intereses del interesado.
c. El tratamiento es necesario para h. El tratamiento es necesario para fines de

proteger intereses vitales del interesado medicina preventiva o laboral, evaluación
o de otra persona física, en el supuesto de la capacidad laboral del trabajador,
de que el interesado no esté capacitado, diagnóstico médico, prestación de
física o jurídicamente, para dar su asistencia o tratamiento de tipo sanitario
consentimiento. o social, o gestión de los sistemas y
servicios de asistencia sanitaria y social,
d. El tratamiento lo efectúa, en el ámbito
sobre la base del Derecho de la Unión
de sus actividades legítimas y con las
o de los Estados miembros o en virtud
debidas garantías, una fundación, una
de un contrato con un profesional
asociación o cualquier otro organismo
sanitario. En este caso, el tratamiento
sin ánimo de lucro, cuya finalidad es
deberá realizarlo un profesional sujeto
política, filosófica, religiosa o sindical,
a la obligación de secreto profesional, o
siempre que el tratamiento se refiera
bajo su responsabilidad, de acuerdo con
exclusivamente a los miembros actuales
el Derecho de la Unión o de los Estados
o antiguos de tales organismos o a
miembros o con las normas establecidas
personas que mantengan contactos
por los organismos nacionales
regulares con ellos en relación con sus
competentes, o por cualquier otra
fines y siempre que los datos personales
persona sujeta también a la obligación
no se comuniquen fuera de ellos sin el
de secreto de acuerdo con el Derecho
consentimiento de los interesados.
de la Unión o de los Estados miembros
e. El tratamiento se refiere a datos o de las normas establecidas por los
personales que el interesado ha hecho organismos nacionales competentes.
manifiestamente públicos.
i. El tratamiento es necesario por razones
f. El tratamiento es necesario para la de interés público en el ámbito de la
formulación, el ejercicio o la defensa salud pública, como la protección frente a
de reclamaciones; o lo llevan a cabo los amenazas transfronterizas graves para la
tribunales actuando en ejercicio de su salud, o para garantizar elevados niveles
función judicial. de calidad y de seguridad de la asistencia
sanitaria y de los medicamentos o
g. El tratamiento es necesario por razones
productos sanitarios, sobre la base del
de un interés público esencial, sobre
Derecho de la Unión o de los Estados
la base del Derecho de la Unión o de
miembros que establezca medidas
los Estados miembros, que debe ser
adecuadas y específicas para proteger
proporcional al objetivo perseguido,
los derechos y libertades del interesado,
respetar en lo esencial el derecho a la
en particular el secreto profesional.
protección de datos y establecer medidas
adecuadas y específicas para proteger j. El tratamiento es necesario con fines
los intereses y derechos fundamentales de archivo en interés público, fines
del interesado. de investigación científica o histórica
o fines estadísticos, sobre la base del resto de las informaciones en un medio

Derecho de la Unión o de los Estados más adecuado para su presentación,
miembros, que debe ser proporcional comprensión y, si se desea, archivo.
al objetivo perseguido, respetar en lo
esencial el derecho a la protección de El conjunto de las informaciones requeridas
datos y establecer medidas adecuadas y por el RGPD puede agruparse en unos
específicas para proteger los intereses y determinados epígrafes, a los efectos de su

derechos fundamentales del interesado. organización y presentación, especialmente
en cuanto a la información a presentar, de
17.6.5. Consentimiento de los forma resumida, en la primera capa o nivel.
menores de edad
17.7. Procedimientos
Un menor de edad sólo puede consentir
especiales de obtención de
por sí mismo el tratamiento de sus datos
personales cuando tenga 14 años o más,
datos
exceptuando los casos en que la ley exija Existen algunos casos donde es necesario
la asistencia de los titulares de la patria adoptar medidas distintas con relación al
potestad o tutela para la celebración del cumplimiento de la obligación de informar
acto o negocio jurídico en cuyo contexto se
al interesado, exigida en el RGPD. Dichos
recaba el consentimiento.
casos son los siguientes procedimientos de
El tratamiento de los datos de los menores obtención de datos:
de 14 años, fundado en el consentimiento,

Videovigilancia con fines de
sólo es lícito si consta el del titular de la
seguridad
patria potestad o tutela.
En primer lugar, cabe señalar que los
17.6.6. Información por capas
requisitos relacionados con el uso de la
Para hacer compatible la mayor exigencia videovigilancia con fines de seguridad están
de información que introduce el RGPD y regulados por su normativa específica (Ley
la concisión y comprensión en la forma de 5/2014, de 4 de abril, de Seguridad Privada).
presentarla, la AEPD recomienda adoptar un
La AEPD publicó una Guía sobre el uso
modelo de información por capas o niveles,
de videocámaras para seguridad y otras
la cual se establece en la LOPD.
finalidades, y también es conveniente
Dicha información por capas consiste en consultar las Directrices de la CEPD 3/2019
presentar una información básica en un sobre el procesamiento de datos personales
primer nivel, de forma resumida, en el a través de dispositivos de video.
mismo momento y en el mismo medio en
que se recojan los datos, remitiendo a la Las organizaciones que lleven a cabo
información adicional en un segundo nivel, el tratamiento de imágenes a través de
donde se presentarán detalladamente el sistemas de cámaras o videocámaras
con la finalidad de preservar la seguridad Así pues, se deberá cumplir con el citado
de personas y bienes, así como de deber de información acumulativamente,
sus instalaciones, deberán realizarlo mediante las siguientes dos vías:
cumpliendo los siguientes requisitos:
a. Sólo pueden captarse imágenes de

la vía pública en la medida en que
resulte imprescindible para la indicada
finalidad. No obstante, es posible captar
la vía pública en una extensión superior
cuando sea necesario para garantizar
la seguridad de bienes o instalaciones
estratégicos o de infraestructuras
• Dispositivos informativos:
vinculadas al transporte, sin que en
ningún caso puedan captarse imágenes Colocación en las zonas videovigiladas
del interior de un domicilio privado. de al menos un dispositivo informativo
ubicado en un lugar suficientemente
b. Las imágenes deben suprimirse en
el plazo máximo de un mes desde visible, tanto en espacios abiertos como
su captación, salvo cuando deban cerrados. El cumplimiento de esta
conservarse para acreditar la comisión medida no implica que deba colocarse
de actos que atenten contra la integridad un dispositivo junto a cada cámara de
de personas, bienes o instalaciones. videovigilancia, sino que basta con que la
En tal caso, las imágenes deberán ser señalización se haga por zonas vigiladas.
puestas a disposición de la autoridad De hecho, lo recomendable es que se

competente en un plazo máximo de 72 coloque un dispositivo, al menos, en
horas desde que se tuviera conocimiento cada acceso a dichas zonas vigiladas, de
de la existencia de la grabación. forma que nadie pueda resultar grabado
c. Para cumplir el deber de información antes de ser informado de ello.
previsto en el artículo 12 del RGPD debe Teniendo en cuenta todo lo anterior,
colocarse un dispositivo informativo se sugiere la utilización de dispositivos
en un lugar suficientemente visible
informativos con el formato de cartel
identificando, al menos, la existencia del
que la AEPD pone a disposición en su
tratamiento, la identidad del responsable página web.
y la posibilidad de ejercitar los derechos
previstos en los artículos 15 a 22 del • Impresos informativos:
RGPD. En todo caso, la Organización Las organizaciones también deben

debe mantener a disposición de los tener a disposición de los interesados,
interesados la información a la que se por ejemplo, dentro del mostrador de
refiere el RGPD. recepción, impresos en los que se detalle
la información prevista en el artículo 13 El acceso a los datos contenidos en

del RGPD. el sistema debe quedar limitado
exclusivamente a quienes,
Dichos impresos únicamente deben
incardinados o no en el seno de
tenerse a disposición de quien los
las organizaciones, desarrollen las
solicite, por lo que no es necesario que se
funciones de control interno y de
entreguen de forma sistemática a todos
cumplimiento. Sólo cuando pudiera
los interesados que transitan por delante
proceder la adopción de medidas
de una cámara de videovigilancia, ni que
disciplinarias contra un trabajador,
éstos los devuelvan firmados. dicho acceso se permitirá al
personal con funciones de gestión
Canal interno de denuncias
y control de recursos humanos.
Según la LOPD, resulta lícito que las
Deben adoptarse las medidas
organizaciones hayan procedido a crear
necesarias para preservar
y mantener un sistema de información a
la identidad y garantizar la
través del cual se le pueda comunicar, incluso
confidencialidad de los datos
anónimamente, la comisión en su seno o en
correspondientes a las personas
la actuación de terceros que contraten con
afectadas por la información
las organizaciones, de actos o conductas
suministrada, especialmente la de
que pudieran resultar contrarios a la
la persona que hubiera puesto los
normativa general o sectorial que le fuera
hechos en conocimiento, en caso
aplicable. De hecho, no sólo resulta lícito el
de que se hubiera identificado.
establecimiento de estos canales, sino que
muy a menudo su existencia responde al Los datos de quien formule la
cumplimiento de una obligación legal. comunicación y de los empleados y
terceros deberán conservarse en
Por tanto, la legitimidad de las organizaciones
el sistema de denuncias únicamente
en la realización del tratamiento de datos
durante el tiempo imprescindible
derivado de esta obligación es evidente e
para decidir sobre la procedencia
innegable, sin perjuicio de otras posibles
de iniciar una investigación sobre
bases jurídicas que asimismo justifiquen el
los hechos denunciados.
tratamiento, siempre y cuando se cumplan
los siguientes requisitos: En todo caso, transcurridos tres meses
Los empleados y terceros que desde la introducción de los datos, deberá
pueden denunciar y, a su vez, procederse a su supresión del sistema

cuyos actos y conductas pueden de denuncias. Si fuera necesaria su
ser objeto de denuncia, deben ser conservación para continuar la investigación,
informados acerca de la existencia podrán seguir siendo tratados en un entorno
del canal de denuncias. distinto por el órgano de las organizaciones
al que competa dicha investigación.
Videovigilancia y grabación de 17.8. Comunicaciones

sonidos con fines de control laboral comerciales electrónicas
La LOPD posibilita que las organizaciones El envío de comunicaciones comerciales
puedan tratar las imágenes obtenidas electrónicas (ya se trate de correos
a través de sus sistemas de cámaras o electrónicos, SMS, MMS, mensajes de
videocámaras para el ejercicio de las WhatsApp, etc.) está específicamente
funciones de control de los trabajadores regulado en la Ley 34/2002, de 11 de julio, de
previstas en el artículo 20.3 del Estatuto Servicios de la Sociedad de la Información
de los Trabajadores, siempre que estas y de Comercio Electrónico (en adelante,
funciones se ejerzan dentro de su marco “LSSI”).
legal y con los límites inherentes al mismo.
17.8.1. Concepto de comunicación
La organización debe informar con carácter comercial electrónica
previo, de forma expresa, clara y concisa,
a los trabajadores y, en su caso, a sus Según la definición contenida en la letra f) del
representantes, acerca de esta medida. Anexo de la LSSI, se considera comunicación
comercial electrónica:
Además, es preciso que la organización
tenga en cuenta los siguientes requisitos: “Toda forma de comunicación dirigida
a la promoción, directa o indirecta, de la
a. No está permitida la instalación de imagen o de los bienes o servicios de una
sistemas de grabación de sonidos ni de empresa, organización o persona que
videovigilancia en lugares destinados realice una actividad comercial, industrial,
al descanso o esparcimiento de los artesanal o profesional.”
trabajadores, tales como vestuarios,
aseos, comedores y análogos. 17.8.2. Requisitos de las
comunicaciones comerciales
b. La utilización de sistemas para la electrónicas
grabación de sonidos en el lugar de
trabajo se admitirá únicamente cuando El envío de comunicaciones comerciales
resulten relevantes los riesgos para la electrónicas sólo está permitido en dos
seguridad de las instalaciones, bienes y supuestos concretos:
personas derivados de la actividad que
a. Cuando su destinatario previamente
se desarrolle en el centro de trabajo
las haya solicitado o expresamente
y siempre respetando el principio de
autorizado, o bien;
proporcionalidad, el de intervención
mínima. b. Cuando exista con el destinatario una
relación contractual previa, siempre que
el remitente haya obtenido de forma lícita
sus datos de contacto y los utilice para
el envío de comunicaciones comerciales Así, con relación a la consideración de la

referentes a productos o servicios de dirección de correo-e como dato de carácter
su propia empresa que sean similares personal, la AEPD emitió la siguiente opinión
a los que inicialmente fueron objeto de contenida en su Informe de 15 de noviembre
contratación con el destinatario. de 2005:
Cuando se envía una comunicación “La dirección de correo electrónico se forma

comercial electrónica es imprescindible que por un conjunto de signos o palabras
el destinatario pueda identificarla como tal. libremente elegidos generalmente por su
Igualmente, la empresa en nombre de la cual titular, con la única limitación de que dicha
se envía la comunicación debe identificarse dirección no coincida con la correspondiente
claramente. a otra persona. Esta combinación podrá
tener significado en sí misma o carecer
Si el contenido del mensaje versa sobre
del mismo, pudiendo incluso, en principio,
ofertas o concursos promocionales, como
coincidir con el nombre de otra persona
descuentos, premios y regalos, deberán
distinta de la del titular.
incluirse de forma clara las condiciones
de acceso o participación, o bien indicar De lo antedicho se desprende que podemos
donde éstas pueden consultarse, como por referirnos a dos supuestos esenciales de
ejemplo una página Web. dirección de correo electrónico, atendiendo
al grado de identificación que la misma
En cualquier caso, tanto en el momento de
realiza con el titular de la cuenta de correo:
recoger los datos del destinatario, como
dentro de cada comunicación comercial que El primero de ellos se refiere a
se le envíe, debe ofrecerse la posibilidad de aquellos supuestos en que voluntaria o
dejar de recibir este tipo de comunicaciones, involuntariamente la dirección de correo
poniendo para ello a su disposición un medio electrónico contenga información acerca
sencillo y gratuito. Cuando la comunicación de su titular, pudiendo esta información
se envíe por correo electrónico, dicho medio referirse tanto a su nombre y apellidos
deberá consistir necesariamente en una como a la empresa en que trabaja o su país
dirección electrónica válida. de residencia (aparezcan o no estos en la
denominación del dominio utilizado). En este
17.8.3. Dirección de correo-e y
supuesto, a nuestro juicio, no existe duda
número de teléfono
de que la dirección de correo electrónico
No hay que olvidar que tanto la dirección identifica, incluso de forma directa al
de correo-e como el número de teléfono titular de la cuenta, por lo que en todo
pueden considerarse datos de carácter caso dicha dirección ha de ser considerada
personal. Por ello, en este caso, el envío como dato de carácter personal. Ejemplos
de una comunicación comercial electrónica característicos de este supuesto serían
constituye un tratamiento de datos aquellos en los que se hace constar como
personales. dirección de correo electrónico el nombre
y, en su caso, los apellidos del titular (o sus el régimen establecido en la Ley Orgánica
iniciales), correspondiéndose el dominio de 15/1999, de 13 de diciembre, de Protección
primer nivel con el propio del estado en que de datos de Carácter Personal.
se lleva a cabo la actividad y el dominio
Junto con estos dos supuestos, debe
de segundo nivel con la empresa en que
añadirse, evidentemente, que si en un
se prestan los servicios (pudiendo incluso
fichero junto con la dirección de correo
delimitarse el centro de trabajo en que se
electrónico aparecieran otros datos que
realiza la prestación).
permitieran la identificación del sujeto
Un segundo supuesto sería aquel en que, en (tales como su nombre y apellidos, su
principio, la dirección de correo electrónico número de teléfono o su domicilio, conjunta
no parece mostrar datos relacionados con o separadamente), la identificación sería
la persona titular de la cuenta (por referirse, absoluta y no se plantearía duda de que
por ejemplo, el código de la cuenta de nos encontramos ante datos de carácter
correo a una denominación abstracta o a personal.”
una simple combinación alfanumérica sin
Por otro lado, con relación a la consideración
significado alguno). En este caso, un primer
del número de teléfono como dato de
examen de este dato podría hacernos
carácter personal la AEPD emitió la siguiente
concluir que no nos encontramos ante un
opinión contenida en su Informe 285/2006:
dato de carácter personal.
“[…] desde el punto de vista de la protección
Sin embargo, incluso en este supuesto, la
de datos personales, el número de teléfono
dirección de correo electrónico aparecerá
constituirá un dato de carácter personal
necesariamente referenciada a un
cuanto resulte adscrito al concreto titular
dominio concreto, de tal forma que podrá
del mismo, o se asocie a datos identificativos
procederse a la identificación del titular
adicionales como pueden ser la dirección y
mediante la consulta del servidor en que
esta se almacene con el número llamante,
se gestione dicho dominio, sin que ello
de acuerdo con la definición de datos
pueda considerarse que lleve aparejado
personales incluida en el artículo 3.a) de
un esfuerzo desproporcionado por parte
la Ley Orgánica, que comprende “cualquier
de quien procede a la identificación. Por
información concerniente a personas
todo ello se considera que también en este
físicas identificadas o identificables.
caso, y en aras de asegurar, en los términos
establecidos por la Jurisprudencia de Este criterio ha sido ratificado por la
nuestro Tribunal Constitucional, la máxima Audiencia Nacional en sentencia de 8 de
garantía de los Derechos Fundamentales marzo de 2002. Según se cita en la misma,
de las personas, entre los que se encuentra “para que exista un dato de carácter
el derecho a la “privacidad”, consagrado personal (en contraposición con dato
por el artículo 18.4 de la Constitución, disociado) no es imprescindible una plena
será necesario que la dirección de correo coincidencia entre el dato y una persona
electrónico se encuentre amparada por concreta, sino que es suficiente con que
tal identificación pueda efectuarse sin • Los colegios profesionales y sus consejos
esfuerzos desproporcionados” y “para generales; los centros docentes que
determinar si una persona es identificable, ofrezcan enseñanzas en cualquiera de
hay que considerar el conjunto de los medios los niveles establecidos en la legislación
que puedan ser razonablemente utilizados reguladora del derecho a la educación,
por el responsable del tratamiento o por así como las Universidades públicas y
cualquier otra persona, para identificar a privadas;
dicha persona.”
• Las entidades que exploten redes y
presten servicios de comunicaciones
17.9. El Delegado de Protección
electrónicas conforme a lo dispuesto en
de Datos
su legislación específica, cuando traten
17.9.1.Sujetos obligados a designar habitual y sistemáticamente datos
un Delegado de Protección de personales a gran escala;
Datos
• Los prestadores de servicios de la
La LOPD identifica en un listado a los sociedad de la información cuando
sujetos obligados directos a designar un elaboren a gran escala perfiles de los
Delegado de Protección de Datos o DPD usuarios del servicio;
(también conocido como DPO por sus siglas • Las entidades incluidas en el artículo
en inglés): 1 de la Ley 10/2014, de 26 de junio, de
ordenación, supervisión y solvencia de
entidades de crédito;
• Los establecimientos financieros de

crédito;
• Las entidades aseguradoras y

reaseguradoras;
• Las empresas de servicios de inversión,

reguladas por la legislación del Mercado
de Valores;
• Los distribuidores y comercializadores

de energía eléctrica y los distribuidores y
comercializadores de gas natural;
• Las entidades responsables de ficheros

comunes para la evaluación de la
solvencia patrimonial y crédito o de
los ficheros comunes para la gestión y
prevención del fraude, incluyendo a los obligados a designar un DPD los siguientes
responsables de los ficheros regulados Responsables del tratamiento y Encargados
por la legislación de prevención del del tratamiento:
blanqueo de capitales y de la financiación
Las autoridades u organismos
del terrorismo;
públicos, excepto los tribunales
• Las entidades que desarrollen que actúen en el ejercicio de su
actividades de publicidad y prospección función judicial.
comercial, incluyendo las de investigación
comercial y de mercados, cuando lleven Aquellos cuyas actividades
a cabo tratamientos basados en las principales consistan en
preferencias de los afectados o realicen operaciones de tratamiento
actividades que impliquen la elaboración que, en razón de su naturaleza,
de perfiles de estos; alcance y/o fines, requieran una
observación habitual y sistemática
• Los centros sanitarios legalmente
de interesados a gran escala.
obligados al mantenimiento de las
historias clínicas de los pacientes. Se Aquellos cuyas actividades
exceptúan los profesionales de la salud principales consistan en el
que, aun estando legalmente obligados tratamiento a gran escala de
al mantenimiento de las historias clínicas categorías especiales de datos
de los pacientes, ejerzan su actividad a personales o de datos relativos a
título individual; condenas e infracciones penales.
• Las entidades que tengan como uno

Aquellos que estén obligados a
de sus objetos la emisión de informes
ello por exigencia del Derecho de
comerciales que puedan referirse a
la Unión o de los Estados.
personas físicas;
• Los operadores que desarrollen la Como puede observarse, el artículo 37

actividad de juego a través de canales del RGPD contiene diversos conceptos
electrónicos, informáticos, telemáticos e indeterminados que, sin embargo, deben
interactivos, conforme a la normativa de ser acotados para poder decidir sobre la
regulación del juego; necesidad o no de nombrar a un DPD.
• Las empresas de seguridad privada; Con este fin, el Grupo de Trabajo del Artículo
29 adoptó, el 13 de diciembre de 2016
• Las federaciones deportivas cuando
(revisadas en abril de 2017), sus “Directrices
traten datos de menores de edad.
sobre los delegados de protección de datos
En caso de no encontrarse en el listado (DPD)”, por medio de las cuales ha tratado
anterior, aún debe verse si resulta aplicable de aclarar los siguientes conceptos:
el artículo 37 del RGPD, según el cual están
a. Actividades principales: El Considerando criterios más concretos al respecto, el

nº97 del RGPD establece que “en el sector Grupo de Trabajo del Artículo 29 (GT29)
privado, las actividades principales de recomienda analizar cada tratamiento
un responsable están relacionadas con en base a los siguientes factores:
sus actividades primarias y no están
• El número de interesados
relacionadas con el tratamiento de datos
involucrados (bien como cifra
personales como actividades auxiliares”.
concreta o como proporción de la
Así, las “actividades principales” pueden población correspondiente).
considerarse las operaciones clave
• El volumen de datos o el abanico de
necesarias para lograr los objetivos
diferentes conceptos de datos que se
del Responsable o el Encargado del
procesan.
tratamiento, sin excluir aquellas
actividades en las que el tratamiento • La duración o permanencia de la
de datos forma parte intrínseca de su actividad de tratamiento de datos.
actividad.
• El alcance geográfico de la actividad
Debe considerarse que cualquier de tratamiento.
organización lleva a cabo tareas, como el
pago de los salarios a sus empleados o el Así, algunos ejemplos de tratamientos
mantenimiento habitual de sus sistemas que el GT29 sí considera realizados a
de información, que, si bien constituyen gran escala son:
un apoyo necesario a su actividad o
• El tratamiento de datos de pacientes
negocio principal, deben considerarse
en el desarrollo normal de la actividad
actividades auxiliares a efectos de la
de un hospital.
cuestión que nos ocupa.
• El tratamiento de datos de
b. A gran escala: El Considerando nº91
desplazamiento de personas físicas
del RGPD se refiere a este tipo de
que utilizan el sistema de transporte
tratamientos cuando dice: “[…] persiguen
público de una ciudad (p.ej.:
tratar una cantidad considerable de datos
seguimiento a través de tarjetas de
personales a nivel regional, nacional o
transporte).
supranacional y que podrían afectar a un
gran número de interesados […].” • El tratamiento de datos de
geolocalización en tiempo real
Actualmente no se ha establecido un
de clientes de una cadena de
número exacto o aproximado de datos
comida rápida internacional con
o interesados que, aplicado a cualquier
fines estadísticos por parte de
situación, permita determinar cuándo
un encargado del tratamiento
estamos ante un tratamiento a gran
especializado en la prestación de
escala. En este sentido y a la espera
estos servicios.
de que en adelante se vayan fijando
• El tratamiento de datos de clientes en Así, algunos ejemplos de tratamientos

el desarrollo normal de la actividad que el GT29 sí considera un seguimiento
de una empresa de seguros o un realizado de forma regular y sistemática
banco. son:
• El tratamiento de datos personales • Operar una red de

para publicidad basada en el telecomunicaciones;
comportamiento por parte de un
• Prestar servicios de
motor de búsqueda.
telecomunicaciones;
• El tratamiento de datos (contenido,
tráfico, ubicación) por parte de • Redireccionar correo electrónico;
proveedores de telefonía o de • Creación de perfiles y puntuación

servicios de Internet. con fines de evaluación de riesgos
Por contra, no constituirían tratamientos (p. ej. con fines de puntuación
realizados a gran escala los siguientes: crediticia, establecimiento de primas
de seguros, prevención del fraude,
• El tratamiento de datos de pacientes
detección de blanqueo de dinero,
por parte de un médico.
etc.);
• El tratamiento de datos personales
• Seguimiento de ubicación, por
relativos a condenas y delitos penales
ejemplo, mediante aplicaciones
por parte de un abogado.
móviles;
c. Seguimiento regular y sistemático:
• Los programas de fidelización;
Pese a no estar definido en el RGPD,
su Considerando nº24 sí se refiere al • La publicidad basada en el
“seguimiento del comportamiento de comportamiento;
los interesados” cuando dice: “[…] Para
• El seguimiento de datos de bienestar,
determinar si se puede considerar que
estado físico y salud mediante
una actividad de tratamiento controla el
dispositivos portátiles;
comportamiento de los interesados, debe
evaluarse si las personas físicas son objeto • Los circuitos cerrados de televisión
de un seguimiento en internet, inclusive (CCTV);
el potencial uso posterior de técnicas
de tratamiento de datos personales que • Los dispositivos conectados,
consistan en la elaboración de un perfil de (contadores inteligentes, coches
una persona física con el fin, en particular, inteligentes, domótica, etc.).
de adoptar decisiones sobre él o de analizar

o predecir sus preferencias personales,
comportamientos y actitudes.”
17.9.2. Posibilidad de designar un anterior también deberá cumplirse en

DPD común este caso.
En los siguientes supuestos se puede c. Asociaciones y otros organismos que

designar un DPD común: representen a categorías de responsables
o encargados: Pueden designar a
a. Grupos empresariales: Un grupo un único delegado de protección de
empresarial puede nombrar a un único datos que actué por cuenta de dichas
delegado de protección de datos siempre asociaciones u organismos. El requisito
que éste sea fácilmente accesible desde
de la accesibilidad antes visto también
cada establecimiento. Dicha accesibilidad
deberá cumplirse en este caso.
tiene una doble vertiente:
17.9.3. Obligación de publicar y
• El DPD como punto de contacto
comunicar los datos de contacto
entre, por un lado, la organización
del DPD
que le ha designado y, por el otro,
los interesados y la autoridad El RGPD establece dos obligaciones sobre
supervisora; y esta cuestión para las organizaciones que
designan a un DPD:
• El DPD como referente interno
dentro de la organización que le ha • Publicar los datos de contacto del DPD; y
designado, a los efectos de cumplir
• Comunicar los datos de contacto del
con sus tareas de informar y asesorar
DPD a la autoridad de control.
sobre sus obligaciones con arreglo al
RGPD. Dichos datos de contacto del DPD deben
permitir, tanto a los interesados como a la
Dicha accesibilidad estará garantizada
autoridad de control, el ponerse en contacto
siempre que los datos de contacto del
directo con el delegado de protección
DPD se publiquen y comuniquen tal
de datos de una forma fácil. Por ello, se
y como expondremos más adelante.
recomienda que la información publicada
Es importante que el delegado de
incluya, por lo menos:
protección de datos pueda comunicarse
eficazmente con las autoridades • Una dirección postal;
supervisoras y los interesados en los
• Un número de teléfono específico;
idiomas utilizados por éstos.
• Una dirección de correo-e específica.
b. Autoridades u organismos públicos: Se
puede designar a un único delegado Por otra parte, la LOPD establece la
de protección de datos para varias obligación de comunicar, en el plazo de
autoridades u organismos públicos, diez días, a la AEPD o, en su caso, a las
teniendo en cuenta su estructura autoridades autonómicas de protección de
organizativa y tamaño. El requisito de datos, las designaciones, nombramientos y
la accesibilidad visto en el apartado ceses de los DPD.
17.9.4. Perfil del DPD preocupación del DPD dentro de la

organización que le ha designado debe
El RGPD establece que el delegado de ser que ésta cumpla con la normativa de
protección de datos personales debe protección de datos aplicable.
designarse atendiendo a sus cualidades
profesionales y, en particular, a sus 17.9.5. Características de la
“conocimientos especializados del Derecho y posición de DPD
la práctica en materia de protección de datos”
El RGPD establece las características que
y a su capacidad para desempeñar las
debe tener la posición del DPD:
funciones indicadas por el RGPD, las cuales
enumeraremos más adelante. • Debe garantizarse la adecuada
participación del DPD en todas las
Sobre este aspecto, el Considerando nº 97 del
cuestiones relativas a la protección de
RGPD establece que “el nivel de conocimientos
datos personales.
especializados necesario se debe determinar,
en particular, en función de las operaciones de • Debe respaldarse al DPD en el desempeño
tratamiento de datos que se lleven a cabo y de de sus funciones, facilitándole los
la protección exigida para los datos personales recursos necesarios para ello y el
tratados por el responsable o el encargado”. acceso a los datos personales y a las
operaciones de tratamiento, así como
Por su parte, el GT29 ha precisado lo el mantenimiento de sus conocimientos
siguiente: especializados.
• Nivel de conocimiento del DPD: Debe • Debe garantizarse que el DPD no recibe
ser acorde con el carácter sensible, ninguna instrucción en lo que respecta
la complejidad y la cantidad de datos al desempeño de sus funciones, debiendo
que procesa la organización que le ha realizarlas de manera independiente.
designado.
• El DPD no puede ser destituido ni
• Cualificación profesional: Aunque no está sancionado por desempeñar sus
legalmente definida y no es obligatorio funciones.
que el DPD cuente con una certificación
específica para poder desempeñar su • El DPD debe rendir cuentas directamente
trabajo, sí se recomienda que tenga al más alto nivel jerárquico de la
conocimiento de las leyes y prácticas organización que le ha designado.
de protección de datos tanto nacionales • Los interesados deben poder contactar

como europeas, así como que conozca el con el DPD para todas las cuestiones
sector empresarial al que pertenece la relativas al tratamiento de sus datos
organización que le ha designado. personales y al ejercicio de sus derechos
• Capacidad para desempeñar sus tareas: al amparo del RGPD.
Debe partirse de la idea de que la principal
• El DPD está obligado a mantener el • Cooperar con la autoridad de control.

secreto o la confidencialidad en el
• Actuar como punto de contacto de la
desempeño de sus funciones.
autoridad de control para cuestiones
• El DPD puede desempeñar otras relativas al tratamiento, incluida la
funciones y cometidos, siempre que no consulta previa a que se refiere el artículo
den lugar a conflicto de interés. 36 del RGPD, y realizar consultas, en su
caso, sobre cualquier otro asunto.
17.9.6. Funciones del DPD
17.10. Tratamiento de datos
En términos generales, el Considerando nº
por cuenta de terceros
97 del RGPD indica que el DPD debe ayudar a
supervisar la observancia interna del RGPD. El tratamiento de datos por parte de terceros
Para ello, el RGPD establece las funciones implica que el responsable del tratamiento
mínimas que debe desempeñar el delegado encarga a una tercera persona, llamada
de protección de datos: encargado del tratamiento, el tratamiento,
mantenimiento o conservación de sus datos.
• Informar y asesorar a la organización,
incluyendo a los empleados de esta En cualquier caso, la característica esencial
que se ocupen del tratamiento de datos de este contrato es que el responsable del
personales, de las obligaciones que les tratamiento continúa teniendo la dirección
incumben en virtud del RGPD y de otras y responsabilidad respecto del mismo, de
disposiciones de protección de datos de modo que el encargado del tratamiento
la Unión o de los Estados miembros que tan sólo está legitimado para realizar
resulten aplicables. aquello que se le encomienda por medio del
contrato y, en el supuesto de extralimitarse
• Supervisar el cumplimiento de lo
en sus funciones, dicho encargado sería
dispuesto en el RGPD, de otras
considerado también responsable,
disposiciones de protección de datos
respondiendo de las infracciones en que
de la Unión o de los Estados miembros
hubiera incurrido personalmente, tal y como
y de las políticas de las organizaciones
se establece en el RGPD.
en materia de protección de datos
personales, incluida la asignación de La regulación de este contrato, que debe
responsabilidades, la concienciación y constar por escrito ya sea en formato papel
formación del personal que participa o electrónico, la encontramos en el artículo
en las operaciones de tratamiento y las 28 del RGPD.
auditorías correspondientes.
El RGPD establece que el Responsable del
• Ofrecer el asesoramiento que se le tratamiento sólo debe elegir encargados
solicite acerca de la evaluación de del tratamiento que ofrezcan garantías
impacto relativa a la protección de datos suficientes para aplicar medidas técnicas y
y supervisar su aplicación. organizativas apropiadas, de manera que el
tratamiento sea conforme con los requisitos momento a las instrucciones dadas por
del RGPD y garantice la protección de los el Responsable del tratamiento.
derechos de los interesados.
17.11. Seguridad del
Por otro lado, según lo previsto en el RGPD, tratamiento
el encargado del tratamiento puede también
subcontratar con un tercero la realización de El RGPD establece en su artículo 32 que
un tratamiento que le hubiera encomendado “(…) teniendo en cuenta la tecnología de
el Responsable del tratamiento, siempre vanguardia, los costes de aplicación, la
que cumpla lo siguiente: naturaleza, el alcance, el contexto y los fines
del tratamiento, así como los riesgos de
El encargado del tratamiento deberá probabilidad y gravedad variables para los
obtener la previa autorización escrita derechos y libertades de las personas físicas, el
del Responsable del tratamiento. Dicha responsable del tratamiento y el encargado del
autorización puede ser específica o general. tratamiento deben aplicar medidas técnicas y
organizativas apropiadas para garantizar un
• El encargado del tratamiento debe
nivel de seguridad adecuado al riesgo (…)”.
informar al Responsable del tratamiento
de cualquier cambio previsto en la Al evaluar la adecuación del nivel de
incorporación o sustitución de los seguridad, deben tenerse especialmente
subencargados, dándole la oportunidad en cuenta los riesgos que presenta el
de oponerse a dichos cambios. tratamiento de datos (entre otros, las
consecuencias de la destrucción, pérdida
• El encargado del tratamiento y el
o alteración accidental o ilícita de datos
subencargado deberán formalizar
personales transmitidos, conservados o
un contrato, por medio del cual se
tratados de otra forma, o la comunicación o
impongan a éste las mismas obligaciones
acceso no autorizados a dichos datos).
de protección de datos estipuladas
en el contrato formalizado entre el Dichas medidas técnicas y organizativas
Responsable del tratamiento y el deben contemplar, entre otras cuestiones:
encargado del tratamiento.
• Seudonimización y el cifrado de datos
• Si el subencargado incumple sus personales;
obligaciones de protección de datos, el
• Capacidad de garantizar la
encargado del tratamiento inicial seguirá
confidencialidad, integridad,
siendo plenamente responsable ante
disponibilidad y resiliencia permanentes
el Responsable del tratamiento por lo
de los sistemas y servicios de tratamiento;
que respecta al cumplimiento de las
obligaciones del subencargado. • Capacidad de restaurar la disponibilidad
y el acceso a los datos personales de
• Tanto el encargado del tratamiento como forma rápida en caso de incidente físico
el subencargado deberán estar en todo o técnico;
• Proceso de verificación, evaluación y sirve para que tanto responsables como

valoración regulares de la eficacia de las encargados del tratamiento tengan en
medidas técnicas y organizativas para cuenta aquellos aspectos requeridos por
garantizar la seguridad del tratamiento. la normativa en protección de datos ya que
proporciona una base inicial para llevar a
Como puede observarse, el principio de
cabo una adecuada gestión de los análisis
integridad y confidencialidad consagrado
de riesgos y las evaluaciones de impacto.
en el RGPD no ha derivado en un listado
exhaustivo de medidas de seguridad 17.12. Evaluaciones de impacto
a aplicar. Por contra, su determinación relativas a la protección de
se ha dejado en manos de los propios
datos
responsables del tratamiento y encargados
del tratamiento. El RGPD establece que, antes de llevar a
cabo determinados tratamientos de datos,
No obstante, la Disposición Adicional puede ser necesario que el responsable del
Primera de la LOPD establece que en tratamiento deba realizar una evaluación del
ámbito del sector público, por ejemplo, las impacto de las operaciones de tratamiento
administraciones públicas, las autoridades en la protección de datos personales (en
administrativas, las fundaciones del sector adelante, “evaluaciones de impacto” o
público o las universidades públicas; se EVIMP).
deberán aplicar a los tratamientos de datos
personales las medidas de seguridad que La regla general es que la evaluación de
correspondan de las previstas en el Esquema impacto será necesaria siempre que el
Nacional de Seguridad, así como impulsar tratamiento a realizar “entrañe un alto riesgo
un grado de implementación de medidas para los derechos y libertades de las personas
equivalentes en las empresas o fundaciones físicas”.
vinculadas a los mismos sujetas al Derecho

El propio RGPD enumera algunos
Privado.
tratamientos de datos para los cuales va a
A estos efectos, la AEPD ha puesto en ser necesaria la realización de una previa

evaluación de impacto:
funcionamiento una herramienta para
ayudar a realizar no solo análisis de riesgos • Evaluación sistemática y exhaustiva
sino también evaluaciones de impacto a de aspectos personales de personas
empresas y Administraciones que lleven a físicas que se base en un tratamiento
cabo tratamientos de datos de alto riesgo automatizado, como la elaboración de
como, por ejemplo, aquellos que impliquen perfiles, y sobre cuya base se tomen
datos de salud o tratamientos masivos. decisiones que produzcan efectos
Se trata de Gestiona EIPD , es gratuita y 274
jurídicos para las personas físicas o que
les afecten significativamente de modo
274 Puede acceder a Gestiona EIPD a través del siguiente enlace: similar;
https://gestiona.aepd.es/
• Tratamiento a gran escala de categorías • Los que impliquen el uso de datos genéticos.
especiales de datos, o de datos
• Aquellos que impliquen el uso de datos a gran
personales relativos a condenas e escala.
infracciones penales;
• Los que impliquen la asociación, combinación o
• Observación sistemática a gran escala enlace de registros de bases de datos de dos o
de una zona de acceso público. más tratamientos con finalidades diferentes o
por responsables distintos.
Dicha enumeración no tiene carácter de
• Tratamientos de datos de sujetos vulnerables o
numerus clausus. Además, el RGPD prevé
en riesgo de exclusión social.
que las autoridades de control puedan
publicar listados de tratamientos específicos • Aquellos que impliquen la utilización de nuevas
tecnologías o un uso innovador de tecnologías
que requieran la realización de una previa
consolidadas.
evaluación de impacto.
• Los tratamientos de datos que impidan a los
interesados ejercer sus derechos, utilizar un
Lista de la AEPD, orientativa y no
servicio o ejecutar un contrato.
exhaustiva, de tratamientos que requieren
una evaluación de impacto
17.12.1. Tratamiento “a gran escala”
La AEPD precisa que la EVIMP se deberá realizar si
el tratamiento cumple dos o más criterios de esta Como puede observarse, es necesario
lista:
precisar cuándo un tratamiento se hace a
• Los que impliquen perfilado o valoración de “gran escala”. En este sentido, recordamos
sujetos. que el Considerando nº91 del RGPD se
• Los que impliquen la toma de decisiones

refiere a este tipo de tratamientos cuando
automatizadas o que contribuyan en gran dice:
medida a la toma de tales decisiones.
“[…] persiguen tratar una cantidad
• Los que impliquen la observación, considerable de datos personales a nivel
monitorización, supervisión, geolocalización o
regional, nacional o supranacional y que
control del interesado de forma sistemática y
podrían afectar a un gran número de
exhaustiva.
interesados […].”
• Aquellos que impliquen el uso de categorías
especiales de datos a las que se refiere Como ya se ha mencionado, actualmente
el artículo 9.1 del RGPD, datos relativos a no se ha establecido un número exacto o
condenas o infracciones penales a los que se aproximado de datos o interesados que,
refiere el artículo 10 del RGPD o datos que aplicado a cualquier situación, permita
permitan determinar la situación financiera o
determinar cuándo estamos ante un
de solvencia patrimonial o deducir información
tratamiento a gran escala. En este sentido
sobre las personas relacionada con categorías
especiales de datos.
y a la espera de que en adelante se vayan
fijando criterios más concretos al respecto, el
• Los que impliquen el uso de datos biométricos.
GT29 recomienda analizar cada tratamiento rendimiento en el trabajo, la situación

en base a los siguientes factores: económica, la salud, las preferencias
o intereses personales, la fiabilidad o
• El número de interesados involucrados
el comportamiento, la situación o los
(bien como cifra concreta o
movimientos del interesado.
como proporción de la población
correspondiente). • Decisiones automatizadas que
producen efectos jurídicos o afectan
• El volumen de datos o el abanico de
significativamente de modo similar:
diferentes conceptos de datos que se
Llevadas a cabo para la toma de
procesan.
decisiones sobre personas físicas.
• La duración o permanencia de la
• Observación sistemática: Tratamientos
actividad de tratamiento de datos.
efectuados con la finalidad de observar,
• El alcance geográfico de la actividad de monitorizar o controlar interesados,
tratamiento. incluyendo la observación sistemática a
gran escala de una zona de acceso público.
17.12.2. Tratamiento de “alto
riesgo” • Datos sensibles: Comprende las
categorías especiales de datos previstas
Aun cuando la actividad de tratamiento objeto
en el artículo 9 del RGPD, así como datos
de análisis no esté entre las enumeradas
relativos a la comisión de delitos y/o
en el artículo 35.3 del RGPD, ni entre los
condenas penales. Si los datos sensibles
listados publicados por las autoridades de
no se procesan de forma sistemática
control a que hace referencia el artículo
y a gran escala, no cabe considerar de
35.4 del RGPD, deberá determinarse si el
entrada que el tratamiento entraña un
tratamiento entraña “un alto riesgo”, en
“alto riesgo”.
cuyo caso será necesario realizar la EVIMP.
• Tratamiento de datos a gran escala.
A este respecto, en abril de 2017 el Grupo
de Trabajo del Artículo 29 ha adoptado sus • Combinaciones de datos: Por ejemplo,
Directrices sobre la evaluación de impacto datos procedentes de dos o más
relativa a la protección de datos (EIPD) y operaciones de tratamiento realizadas
para determinar si el tratamiento “entraña con fines diferentes y/o realizadas por
probablemente un alto riesgo” a efectos del distintos responsables del tratamiento,
Reglamento (UE) 2016/679, por medio de las de forma que se superen las expectativas
cuales establece diferentes criterios para de los interesados.
determinar si existe ese “alto riesgo”:
• Datos concernientes a personas
• Evaluación o scoring: Incluye vulnerables: Como pueden ser los niños,
la elaboración de perfiles y las los enfermos mentales, los solicitantes
actividades predictivas, especialmente de asilo, los ancianos o los pacientes de
sobre aspectos relacionados con el un hospital.
• Uso innovador de soluciones Posibles

Actividades de
tecnológicas u organizativas: Por tratamiento
criterios a ¿EVIMP?
considerar
ejemplo, combinar el uso de la huella
Hospital que trata los Datos sensibles.
dactilar y el reconocimiento facial para
datos genéticos y de Datos
mejorar el control de acceso físico. salud de sus pacientes concernientes
(sistema de información a personas
• Transferencia de datos hacia el exterior del hospital). vulnerables.
de la Unión Europea: Con ello se puede Uso de un sistema
poner en mayor riesgo la capacidad de cámaras para
monitorizar el tráfico
de las personas físicas para ejercer los en autopistas. El Observación
responsable prevé sistemática.
derechos de protección de datos, en
utilizar un sistema Uso innovador
particular con el fin de protegerse contra inteligente de análisis de de soluciones
la utilización o comunicación ilícitas de vídeo para individualizar tecnológicas u
los vehículos y organizativas.
dicha información. automáticamente
reconocer sus
• Cuando el tratamiento por sí mismo matrículas.
hace más difícil para los interesados Empresa que Observación

monitoriza la actividad sistemática.
el ejercicio de sus derechos, usar un
de sus empleados, por
servicio o formalizar un contrato: Incluye ejemplo, monitorizando Datos
sus estaciones de concernientes
los tratamientos realizados en un área a personas
trabajo, su navegación
pública cuyos transeúntes no pueden en Internet, etc. vulnerables.
evitar; así como los tratamientos que Recopilar datos de

perfiles públicos en Evaluación o
tienen por objeto permitir, modificar scoring.
redes sociales, para ser
o denegar el acceso de los interesados usados por empresas Tratamiento de
privadas como datos a gran
a un servicio o a la participación en un
directorio de personas escala.
contrato (p.ej.: Un banco consulta una de contacto.
BBDD de solvencia crediticia para decidir Revista digital que utiliza
una lista de distribución
si concede o no un préstamo a una
de correo-e para enviar (Ninguno)
persona). un boletín genérico a
sus suscriptores.
Como norma general, el GT29 entiende que Comercio-E que
Evaluación,
muestra anuncios de
si en un determinado tratamiento concurren pero no
piezas de automóvil de
realizada
dos o más de los criterios de riesgo que época a un determinado
de forma
perfil de usuario en
acabamos de apuntar, sería necesario sistemática o
base a su historial de
amplia.
realizar la evaluación de impacto. Teniendo compras anteriores.
en cuenta lo anterior, a continuación
reproducimos algunos ejemplos de En todo caso, recordamos que toda
tratamientos de datos sobre los cuales el evaluación de impacto deberá tener el
GT29 se ha pronunciado para determinar si siguiente contenido mínimo establecido en
precisan o no de una EVIMP: el RGPD:
• Descripción sistemática de las corresponsables y los encargados

operaciones de tratamiento previstas implicados en el tratamiento, en
y de los fines del tratamiento, incluso, particular en caso de tratamiento dentro
cuando proceda, el interés legítimo de un grupo empresarial;
perseguido por el responsable del
• Fines y medios del tratamiento previsto;
tratamiento;
• Medidas y garantías establecidas para
• Evaluación de la necesidad y la
proteger los derechos y libertades de
proporcionalidad de las operaciones de
los interesados de conformidad con el
tratamiento con respecto a su finalidad;
RGPD;
• Evaluación de los riesgos para los
• En su caso, los datos de contacto del
derechos y libertades de los interesados;
delegado de protección de datos;
• Medidas previstas para afrontar los
• Evaluación de impacto realizada; y
riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen • Cualquier otra información que solicite
la protección de datos personales, y a la autoridad de control.
demostrar la conformidad con el RGPD,
teniendo en cuenta los derechos e 17.14. Infracciones y sanciones
intereses legítimos de los interesados y
Es importante destacar que tanto el RGPD
de otras personas afectadas.
como la LOPD presentan como novedad
Tal y como se ponía de manifiesto en el la introducción de infracciones y sus
apartado anterior, para la realización de respectivas sanciones.
las evaluaciones de impacto resulta de
Por un lado, en el RGPD se establecen
gran utilidad la herramienta que pone a
las condiciones necesarias para la
disposición la AEPD, Gestiona_EIPD.
imposición de sanciones, que será en
17.13 Consultas previas función de las circunstancias de cada caso
individual. Además, para decidir la cuantía
Según lo establecido en el RGPD, cuando deberá tenerse en cuenta las siguientes
una evaluación de impacto muestre que el disposiciones incluidas en el RGPD:
tratamiento analizado entrañaría un alto
riesgo y no se tomen medidas para mitigarlo, • Naturaleza, gravedad y duración de
ésta deberá consultar a la autoridad de la infracción, teniendo en cuenta la
control antes de proceder con el tratamiento. naturaleza, alcance o propósito de la
operación de tratamiento de que se
Dicha consulta deberá contener la siguiente trate así como el número de interesados
información: afectados y el nivel de los daños y
• En su caso, las responsabilidades perjuicios que hayan sufrido;
respectivas del responsable, los
• Intencionalidad o negligencia en la obtenidos o las pérdidas evitadas,

infracción; directa o indirectamente, a través de la
infracción.
• Cualquier medida tomada para paliar
los daños y perjuicios sufridos por los A continuación, exponemos las cuantías
interesados; máximas en función del artículo infringido:
• Grado de responsabilidad del • Se sancionará con multas administrativas

responsable o del encargado del de 10M de euros como máximo o,
tratamiento, habida cuenta de las tratándose de una empresa, de una
medidas técnicas u organizativas que cuantía equivalente al 2 % como máximo
hayan aplicado; del volumen de negocio total anual
global del ejercicio financiero anterior,
• Toda infracción anterior cometida;
optándose por la de mayor cuantía, la
• El grado de cooperación con la autoridad infracción de las disposiciones siguientes
de control con el fin de poner remedio a contenidas en el artículo 83.4 del RGPD:
la infracción y mitigar los posibles efectos
- Las obligaciones del responsable
adversos de la infracción;
y del encargado a tenor de los
• Categorías de los datos de carácter artículos referentes a las condiciones
personal afectados por la infracción; aplicables al consentimiento del
niño en relación con los servicios
• Forma en que la autoridad de control
de la sociedad de la información, a
tuvo conocimiento de la infracción,
los tratamientos que no requieren
en particular si el responsable o el
identificación, al incumplimiento por
encargado notificó la infracción y, en tal
el responsable o encargado de las
caso, en qué medida;
obligaciones generales, seguridad de
• Cuando las medidas indicadas en el los datos, evaluación de impacto y el
artículo 58, apartado 2, hayan sido Delegado de protección de datos;
ordenadas previamente contra el - Las obligaciones de los organismos
responsable o el encargado de que se de certificación a tenor de los art. 42
trate en relación con el mismo asunto, el y 43;
cumplimiento de dichas medidas;
- Las obligaciones de la autoridad de
• Adhesión a códigos de conducta en control a tenor del artículo 41, aptdo
virtud del artículo 40 o a mecanismos 4.
de certificación aprobados con arreglo al
• Se sancionará con multas administrativas
artículo 42, y
de 20.000.000 euros como máximo o,
• Cualquier otro factor agravante o tratándose de una empresa, de una
atenuante aplicable a las circunstancias cuantía equivalente al 4 % como máximo
del caso, como los beneficios financieros del volumen de negocio total anual
global del ejercicio financiero anterior, a los tres años las infracciones que
optándose por la de mayor cuantía, a la supongan una vulneración sustancial de
infracción de las disposiciones siguientes los artículos mencionados en el artículo
contenidas en el artículo 83.5 del RGPD: 83.5 del RGPD y, en particular, las
- Los principios básicos para el mencionadas en el propio artículo 72.1
tratamiento, incluidas las condiciones de la LOPD.
para el consentimiento a tenor de • Infracciones graves: En el artículo 73 de

principios relativos al tratamiento, la LOPD se establece que se consideran
su licitud y las condiciones para graves y prescribirán a los dos años
el consentimiento, así como el las infracciones que supongan una
tratamiento de las categorías vulneración sustancial de los artículos
especiales de datos; mencionados en el artículo 83.4 del
- Los derechos de los interesados RGPD y, en particular, las mencionadas
(artículos 12 a 22); en el propio artículo 73 de la LOPD.
- Las transferencias de datos • Infracciones leves: En el artículo 74 de

personales a un destinatario en la LOPD se establece que se consideran
un tercer país o una organización leves y prescribirán al año las infracciones
internacional (artículos 44 a 49); de carácter meramente formal de los
- Toda obligación en virtud del Derecho artículos mencionados en los apartados
de los Estados miembros que se 4 y 5 del artículo 83 del RGPD y, en
adopte con arreglo al capítulo IX particular, las mencionadas en el propio
(disposiciones relativas a situaciones artículo 74 de la LOPD.
específicas de tratamiento);
Así pues, la regulación de las infracciones
- El incumplimiento de una resolución en la LOPD describe con más precisión las
o de una limitación temporal o situaciones que suponen una infracción
definitiva del tratamiento o la y su consideración, pudiendo localizar
suspensión de los flujos de datos por con más facilidad la correspondiente
parte de la autoridad de control, o el sanción administrativa a imponer por tal
no facilitar acceso.
incumplimiento, atendiéndose para ello a
las circunstancias establecidas en el artículo
Por otra parte, la LOPD indica que, además
de lo recogido en el RGPD, se considerarán 83.2 del RGPD.
infracciones los actos y conductas contrarias

a lo estipulado en dicha Ley, diferenciando 3
tipos de infracciones:
• Infracciones muy graves: En el artículo

72.1 de la LOPD se establece que se
consideran muy graves y prescribirán
• En la sociedad actual, los datos (definidos como el nuevo petróleo) han devenido en un activo
crítico para todo tipo de organizaciones, pero también para las personas y, consecuentemente,
para el legislador.
• La UE es un actor particularmente importante en este ámbito, siendo su normativa de privacidad

(el Reglamento General de Protección de Datos o RGPD) considerada como la más estricta
y dura, patrón de referencia a escala mundial. Su aplicación en España es directa, si bien se
ha completado con disposiciones de la Ley 3/2018 de Protección de Datos Personales y
Garantía de los Derechos Digitales (LOPD).
• El RGPD establece una serie de principios encaminados a proteger la privacidad y prevenir el

abuso en la obtención, tratamiento o gestión de los datos, así como limitaciones temporales en
su almacenamiento. A tal fin, la normativa se basa en una serie de principios, que gobiernan todo
el texto, siendo los de limitación de la finalidad, minimización de datos, exactitud, limitación
del plazo de conservación, de integridad y confidencialidad y de responsabilidad proactiva.
• La complejidad de la normativa y su ámbito de afectación ha requerido del desarrollo de

una terminología y conceptos específicos, que conviene conocer. Aunque cada vez más
familiarizados, la verdadera dimensión de conceptos como datos personales, actividades de
tratamiento, seudonimización, responsable o encargado sigue siendo complicada y requiere
de especialización en muchos casos, y de ahí la necesidad de contar con un responsable de
Compliance con los suficientes conocimientos o bien de un experto que pueda ejercer las
funciones de Delegado de Protección de Datos (DPD)
• El primer paso para el cumplimiento de la normativa en protección de datos es analizar con

qué datos se trabaja y qué actividades se realizan con ellos. Así pues, es necesario identificar
y describir todos los tratamientos de datos de carácter personal que realiza una organización
e incluirlos en el Registro de Actividades de Tratamiento (RAT), obligatorio para todas las
organizaciones con 250 o más empleados o, en el caso de aquellas con menor número de
empleados, si realizan una serie de supuestos mencionados en la norma.
• El RAT deberá contener necesariamente una información mínima (datos identificativos del
responsable, representante, DPD, fines del tratamiento, categorías de interesados y de datos
personales; transferencias de datos, plazos de supresión, medidas de seguridad, y otros).
• En cuanto a los plazos, la norma establece el principio de limitación de la conservación de

estos, que debe ser la mínima para cumplir con los propósitos o finalidad, así como con otras
obligaciones legales existentes. Debido al concurso de varias normativas, los plazos serán
diferentes, pero en general, una vez desaparecida la causa, razón, justificación u obligación de
mantener los datos, estos deberán ser eliminados.
• Respecto de las posibilidades de obtención de los datos, resulta esencial fijarse en los métodos
recogida (del interesado o a través de un tercero), fijándose especialmente en los aspectos
relacionados con el consentimiento (a partir de los 14 años) y la información al interesado
(los elementos del aviso o política de privacidad). No obstante, ni siquiera el consentimiento

del interesado autoriza al tratamiento de sus datos en ciertos supuestos, como son los de
las categorías especiales (datos relacionados con la etnia o raza, ideología, afiliación sindical,
creencias, genéticos y biométricos, de salud u orientación sexual). Estas categorías especiales
sólo podrán tratarse en supuestos muy limitados.
• No obstante lo anterior, y aunque la regla general es la información y el consentimiento

del interesado, cabe indicar que no siempre es obligatorio recabar este último, y en ciertos
supuestos no sería necesario, como por ejemplo para para la ejecución de un contrato en el
que el interesado es parte, para el cumplimiento de una obligación legal, o para la protección
de intereses vitales del interesado o de otra persona física, o por interés público, etc.
• La normativa contempla asimismo procedimientos especiales de obtención de datos, en los

que las medidas en relación al cumplimiento de la obligación de informar al interesado difieren
de la norma general. Estos supuestos son los relacionados con la videovigilancia con fines
de seguridad, los datos relacionados con los canales internos de denuncias y, por último, la
videovigilancia y grabación de sonidos con fines de control laboral.
• El Delegado de Protección de Datos o DPD es un actor principal en la protección de datos

personales. La LOPD obliga a una serie de organizaciones a designar un DPD, si bien el listado
no es cerrado, pues se pueden añadir las organizaciones afectadas por el artículo 37.
• La designación del DPD debe ser pública y comunicarse a la autoridad supervisora competente
los nombramientos y ceses de los DPD, dentro del plazo legal contemplado. Aunque no existen
requisitos específicos para el DPD, quien se ocupe de esta tarea debe tener los conocimientos
necesarios, contar con la cualificación profesional -si bien o se exige ninguna titulación o
certificación específica, de momento- y capacidad de desempeñar sus tareas, que son las de:
(i) Informar y asesorar a la organización de las obligaciones derivadas de la normativa (RGPD y
demás normativa); (ii) Supervisar el cumplimiento de lo dispuesto en el RGPD y otra legislación
en este ámbito; (iii) Ofrecer el asesoramiento que se le solicite acerca de la Evaluación de Impacto
(EVIMP) y supervisar su aplicación; (iv) Cooperar con la autoridad de control y (v) Actuar como
punto de contacto de la autoridad de control.
• El RGPD establece que, antes de llevar a cabo determinados tratamientos de datos, puede ser
necesario realizar una evaluación del impacto de las operaciones de tratamiento si éste puede
entrañar alto riesgo para los derechos y libertades de las personas físicas, como puede ser
en los casos en los casos de elaboración de perfiles que sobre sean base de decisiones con
efectos jurídicos o afectación significativa; el tratamiento a gran escala de categorías especiales
de datos, o de datos personales relativos a condenas e infracciones penales; o la observación
sistemática a gran escala de una zona de acceso público.
• Finalmente, la normativa de protección de datos en la UE tiene una bien ganada fama de

dura, y ésta no se podría haber alcanzado sin el concurso del elemento sancionador. Así, las
multas impuestas han alcanzado cifras de centenares de millones de euros en algunos casos,
afectando a todo tipo de sectores, lo que ha contribuido a enviar un mensaje de que la UE se
toma muy seriamente la protección de los derechos de privacidad de los europeos.
Módulo 18
Protección
al consumidor
MÓDULO 18 • PROTECCIÓN AL CONSUMIDOR
Módulo 18 la relación que la entidad tiene con sus

consumidores finales. Estas relaciones se
Protección al consumidor vuelven mucho más complejas cuando las
empresas exploran vías de comercialización
Objetivos de sus productos a través de plataformas
tales como páginas webs, aplicaciones
Tras completar este módulo, el alumno móviles o cualquier otro soporte que facilite
deberá ser capaz de: el comercio a distancia.
• Conocer la normativa de referencia aplicable, Desde el ámbito regulatorio y de

tanto nacional como de la UE. cumplimiento se debe de generar el
convencimiento en la propia entidad de
• Detallar los derechos básicos y los aspectos
que brindar protección al consumidor no es
relevantes de los contratos de los consumidores.
solamente una obligación legal que debe de
• Definir el derecho de desistimiento, su plazo y
ser asumida por todos los departamentos
excepciones.
implicados en la relación comercial con el
• Enumerar las características específicas de los cliente dentro de la compañía, sino una
contratos a distancia. palanca en la relación con el mercado, en
• Identificar la normativa específica de protección el posicionamiento que tiene la compañía y
al consumidor en el ámbito financiero. en el acercamiento de la entidad a todos los
actores o partes interesadas.
• Reconocer los requisitos generales a cumplir
por los distribuidores de seguros y los tipos de
Por lo tanto, el objetivo de la función de
venta existentes.
Compliance en esta materia deberá ser,
• Diferenciar los conceptos de queja y reclamación en una fase inicial, asegurar la existencia
y sus formalidades.
de principios de adhesión voluntaria en
materia de cumplimiento de este tipo de
18.1. Introducción normas. El hecho de basar la actuación ante
el mercado en el sometimiento de principios
Entre los múltiples elementos que definen
conocidos por los consumidores será el
la actividad de Compliance, encontramos,
primer paso para generar una confianza
por un lado, la necesidad de garantizar
que redunde positivamente en la compañía.
el cumplimiento normativo en todas
Resultará, por lo tanto, esencial la existencia
las actuaciones que la compañía realice
de principios orientadores en su código de
con terceros y, por otro, la necesidad de
conducta.
garantizar unos estándares de conducta
que permitan asegurar que la compañía no La labor del Compliance Officer es, como
sufre daños a nivel reputacional. se ha venido apuntando, la de gestionar
riesgos, y en este ámbito no es diferente.
Ambas obligaciones de la función de
Para ello, se deberá llevar a cabo un análisis
Compliance convergen en la gestión de
en función de distintos parámetros como, del mismo, la rebaja del precio o la

por ejemplo, los siguientes: resolución del contrato. En estos supuestos,
la organización puede tener la tentación de
Elevado número de clientes /
evaluar el coste que le genera incumplir y
consumidores: Recurrente en
esperar a que los consumidores reclamen
negocios minoristas que, al celebrar
o no. El Compliance Officer debe evitar que
múltiples transacciones diarias, por
esto suceda de y vigilar que el cumplimiento
la frecuencia de sus operaciones, ven
de la norma no sea una opción, sino una
aumentar el riesgo de surgimiento
obligación.
de problemas de consumo.
Alta rotación de personal: En

Elementos a incluir en una política interna
estos casos, el conocimiento de la de defensa del consumidor
regulación de consumo, producto de
las capacitaciones internas, puede Reflejar el compromiso de la empresa
con sus clientes.
diluirse con el cambio de personal y
no restablecerse oportunamente. Indicar las conductas que los empleados
de la compañía deben seguir, así como el
Sistema de informes inadecuado:
procedimiento de gestión que garantice
Es el caso de negocios que
los derechos de los consumidores.
tienen establecimientos donde el
dependiente o administrador puede Ofrecer información relevante al
consumidor para tomar una adecuada
tener conflicto de interés en dar
elección de consumo y para un uso
aviso a la dirección sobre problemas
adecuado de los bienes o servicios
con los consumidores, con el fin de
adquiridos.
evitar cuestionamientos sobre su
gestión. Garantizar la salud y la seguridad de
los consumidores en el uso adecuado
Inexistencia de mecanismos y previsible de los bienes y servicios a
de medición de la satisfacción su disposición, advirtiendo los riesgos
del cliente: Si bien las quejas nos previstos.
permiten conocer de oportunidades
Prevenir con inmediatez y celeridad
de mejora cuando algo salió mal, a los consumidores- procediendo a
los sistemas que monitorean su correspondiente retiro, reparación
permanentemente la satisfacción o sustitución-, en el caso de riesgos
de nuestros clientes nos permiten evidenciados con posterioridad.
identificar y prevenir riesgos
Cumplir las garantías legales, explícitas
regulatorios en una fase temprana. e implícitas, que respaldan los bienes y
servicios que adquiere el cliente.
En caso de responsabilidad del empresario,
el consumidor tendrá la posibilidad de optar Cumplir con la regulación sectorial y
por la reparación del producto, la sustitución especial que se exija.
Evitar cualquier práctica abusiva o El mandato constitucional se desarrolla en

coercitiva por parte de la empresa. el RDL 1/2007, Texto Refundido de la Ley
Realizar un trato adecuado, igual y

General para la Defensa de Consumidores y
justo, a los consumidores frente a sus Usuarios y otras leyes complementarias (en
reclamaciones, con procedimientos ágiles adelante, TRLGDCU).
e idóneos, que incluyan la reparación,
reposición del producto o devolución de Muy relevante también, para analizar la
lo pagado, cuando proceda. regulación que opera en determinados
contratos celebrados por vía electrónica,
resulta también la Ley 34/2002 de Servicios
En definitiva, la función de Compliance
de la Sociedad de la Información y del
tiene un papel esencial en la protección
Comercio Electrónico (en adelante, LSSI).
de consumidores y usuarios. A lo largo del
presente módulo se indicarán aquellos En este sentido, de forma expresa la LSSI
elementos que deberá de tener en cuenta fomenta la realización de códigos de conducta
la función de Compliance para desarrollar con principios orientados al cumplimiento
su función en esta área y se tratarán todos en esta materia y a la participación en su
aquellos aspectos en los que la empresa elaboración de colectivos relacionados
se deberá centrar a la hora de analizar los con el mercado, como las asociaciones de
desafíos que le plantea la normativa en consumidores y usuarios.
materia de consumidores y usuarios.
Igualmente, es necesario tener presente la
18.2. Defensa de consumidores normativa autonómica que le aplique a la
y usuarios empresa, junto con el sector de actividad en
el que opere.
18.2.1. Contexto normativo
Las vulneraciones de la normativa por parte
La Constitución Española de 1978, en su
de los empleados, directivos o personas
artículo 51, dispone lo siguiente:
asimilables a la entidad pueden medirse
“1. Los poderes públicos garantizarán la en términos económicos -multas derivadas
defensa de los consumidores y usuarios, de penas o sanciones impuestas por los
protegiendo, mediante procedimientos tribunales o las autoridades públicas- o en
eficaces, la seguridad, la salud y los legítimos términos reputacionales.
intereses económicos de los mismos.
Caso de estudio XXVII: Volkswagen
2. Los poderes públicos promoverán
En septiembre de 2015 salió a la luz que Volkswagen
la información y la educación de los
había instalado ilegalmente en sus vehículos un
consumidores y usuarios, fomentarán programa que permitía manipular los resultados de
sus organizaciones y oirán a éstas en las sus vehículos en los controles técnicos de emisiones
cuestiones que puedan afectar a aquéllos, contaminantes, lo que afectaba a 11 millones de
en los términos que la ley establezca.” automóviles con motor diésel vendidos entre 2009
y 2015 (ver también Caso de Estudio V). actúen sin ánimo de lucro en un ámbito ajeno
a una actividad comercial o empresarial”.
Como resultado de este fraude, sus motores habían
superado con éxito las limitaciones establecidas
Por lo aquí expuesto, el primer elemento que
por la Agencia de Protección Ambiental de EE.UU
nos permitirá identificar un contrato en el
(EPA). Los vehículos implicados emitían hasta 40
veces más del límite legal de óxidos de nitrógeno que intervenga un consumidor, no será otro
en condiciones reales. que la voluntad subjetiva de uso del bien
adquirido o el servicio recibido. Esta noción
El 23 de septiembre de 2015, Martin Winterkorn,
abstracta resulta esencial a la hora de evaluar
director ejecutivo de Volkswagen, después de
los contratos y servicios que están sujetos a
ofrecer una disculpa a los clientes de Volkswagen,
presentó su renuncia tras 8 años de estar al frente la normativa aplicable en la relación con los
de la empresa, debido al escándalo derivado y la consumidores y en ella destaca la concepción
afectación a la reputación del fabricante alemán. de consumidor como cliente y, paralelamente,
como consumidor final.
En octubre de 2016 Volkswagen pactó con las
autoridades de EE.UU pagar 17.500M de dólares
Por otro lado, el RDL 1/2021 de 19 de
como compensación a los propietarios de los
enero, de protección de los consumidores
vehículos afectados y a los concesionarios. En
y usuarios frente a situaciones de
EE.UU fue condenado al pago de una multa de
4.300M dólares. vulnerabilidad social y económica, define
a las personas consumidoras vulnerables
respecto de relaciones concretas de
18.2.2. Conceptos básicos en el
consumo, como “aquellas personas físicas
ámbito del consumo
que, de forma individual o colectiva, por sus
A continuación, se definen e identifican características, necesidades o circunstancias
algunos conceptos básicos recogidos en el personales, económicas, educativas o sociales,
TRLGDCU: se encuentran, aunque sea territorial, sectorial
o temporalmente, en una especial situación de
Consumidor o usuario y persona
subordinación, indefensión o desprotección
consumidora vulnerable
que les impide el ejercicio de sus derechos
El TRLGDCU define como consumidor o como personas consumidoras en condiciones
usuario a “las personas físicas que actúen con de igualdad”.
un propósito ajeno a su actividad comercial,

Empresario
empresarial, oficio o profesión.”
El TRLGDCU aborda el concepto de
La norma no se limita a definir como
empresario definiéndolo como “toda persona
consumidores y usuarios a las personas
física o jurídica, ya sea privada o pública, que
físicas que actúan como adquirentes finales
actúe directamente o a través de otra persona
de un producto o servicio, sino que amplía
en su nombre o siguiendo sus instrucciones,
además el concepto a “las personas jurídicas
con un propósito relacionado con su actividad
y las entidades sin personalidad jurídica que
comercial, empresarial, oficio o profesión”.
Productor Proveedor
Es el “fabricante del bien o al prestador del Definido como “el empresario que suministra o
servicio o su intermediario, o al importador distribuye productos en el mercado, cualquiera
del bien o servicio en el territorio de la Unión que sea el título o contrato en virtud del cual
Europea, así como a cualquier persona que se realice dicha distribución”.
presente como tal al indicar en el bien, ya sea en
En definitiva, no se distingue entre pequeños
el envase, el envoltorio o cualquier otro elemento
y grandes empresarios, ni tampoco se
de protección o presentación, o servicio su
observan requisitos distintos para el
nombre, marca u otro signo distintivo”.
comerciante individual o cualquier tipo de
En ambos casos nos encontramos un figura jurídica que realice actos de comercio,
concepto de empresario y productor que no con independencia de su condición,
se limita a la condición de mero fabricante del aglutinándose en esta categoría todo tipo
bien, ampliando este concepto a cualquier de empresarios mercantiles.
agente u operador que ofrezca el bien como
un producto o servicio final en el mercado.
18.2.3. Derechos básicos de los
consumidores y usuarios
Producto
Los derechos básicos de los consumidores
Según el artículo 136 del TRLGDCU, se y usuarios establecidos en el TRLGDCU son
considera producto “cualquier bien mueble, los siguientes:
aun cuando esté unido o incorporado a
• La protección contra los riesgos que
otro bien mueble o inmueble, así como el
puedan afectar su salud o seguridad.
gas y la electricidad”, definición que ha de
completarse con la contenida en el artículo • La protección de sus legítimos intereses
6 que establece que “sin perjuicio de lo económicos y sociales; en particular
establecido en el artículo 136, es producto frente a las prácticas comerciales
todo bien mueble conforme a lo previsto en el desleales y la inclusión de cláusulas
artículo 335 del Código Civil.” abusivas en los contratos.
La correcta identificación de los • La indemnización de los daños y la

intervinientes y de los productos en un reparación de los perjuicios sufridos.
contrato es un primer paso esencial para la • La información correcta sobre los
función de control del Compliance Officer. diferentes bienes o servicios y la
educación y divulgación para facilitar el
El siguiente paso debe ser delimitar cuales
conocimiento sobre su adecuado uso,
son las actividades relacionadas con el
consumo o disfrute.
comercio celebradas por estos intervinientes,
entendidas como acuerdos vinculantes • La audiencia en consulta, la participación
entre la empresa y los consumidores en el en el procedimiento de elaboración de las
intercambio de bienes y servicios. disposiciones generales que les afectan
directamente y la representación de sus Contratación a distancia

intereses, a través de las asociaciones,
agrupaciones, federaciones o “Se regirán por lo dispuesto en este título los contratos
confederaciones de consumidores y celebrados a distancia con los consumidores y usuarios
usuarios legalmente constituidas. en el marco de un sistema organizado de venta o
prestación de servicios a distancia, sin la presencia
• La protección de sus derechos mediante
física simultánea del empresario y del consumidor y
procedimientos eficaces, en especial en usuario, y en el que se hayan utilizado exclusivamente
relación con las personas consumidoras una o más técnicas de comunicación a distancia hasta
vulnerables. el momento de la celebración del contrato y en la
propia celebración del mismo”.
Las personas consumidoras vulnerables
gozarán de una especial protección en todos Art. 92 del RDL 1/2007, de 16 de noviembre, por el que
se aprueba el texto refundido de la Ley General para la
los ámbitos recogidos por la normativa. Los
Defensa de los Consumidores y Usuarios y otras leyes
poderes públicos promocionarán políticas complementarias (TRLGDCU)
y actuaciones tendentes a garantizar sus
derechos en condiciones de igualdad, Se describen a continuación cada uno de los
con arreglo a la concreta situación de elementos de la definición indicada:
vulnerabilidad en la que se encuentren,
tratando de evitar, en cualquier caso, • “Sistema organizado de venta o
trámites que puedan dificultar el ejercicio prestación de servicios a distancia”
de los mismos.
Esta característica se refiere al diseño de
18.2.4. Contratación presencial y a una estrategia de venta por medio de la
distancia cual los consumidores puedan realizar sus

pedidos y acceder de forma permanente
Con independencia del análisis obligado de (el ejemplo más claro sería una página
cada tipología de contrato que impera en web). No se considerará que existe un
cada entidad, y que deberá ser evaluado sistema organizado si el empresario sólo
de conformidad con lo establecido por la ofrece información sobre el comerciante,
norma, es relevante realizar una definición sus bienes o servicios o sus datos de
de los distintos tipos de contratación: contacto, sin ofrecer la posibilidad de
contratar a distancia.
Contratación presencial
• “Sin la presencia física simultánea del
Origen y fundamento del comercio entre
empresario y del consumidor y usuario”.
el empresario y el consumidor, se trata de
un contrato clásico desde el punto de vista En esta característica cobra especial
mercantil por medio del cual un consumidor importancia la distancia física, ya que las
acude al establecimiento del empresario partes contratantes se deben encontrar
para adquirir determinados productos o en puntos geográficamente distintos en
recibir determinados servicios. todo momento durante la contratación.
• “Una o más técnicas de comunicación Información precontractual

a distancia hasta el momento de la
celebración del contrato y en la propia A la hora de abordar un proceso de
celebración del mismo”. contratación con consumidores en la

compañía, el elemento inicial que hay que
La norma aclara que “entre otras, tienen la tener en cuenta deberá ser el análisis de
consideración de técnicas de comunicación la información precontractual de la que
a distancia: el correo postal, Internet, el dispone el consumidor.
teléfono o el fax”.
El propósito es garantizar que el consumidor
Sin duda el elemento esencial que marca
disponga de información suficiente acerca
la diferencia respecto a los contratos
de las características principales del bien o
presenciales es la modificación del criterio
servicio que se va a prestar. En este sentido,
en materia de perfección del contrato. A
el TRLGDCU establece la obligación de
partir del momento de la manifestación de la
informar sobre los siguientes aspectos:
aceptación, por cualquier medio acreditable,
quedará perfeccionado el contrato en todos a. Las características principales de
sus términos. los bienes o servicios, en la medida
adecuada al soporte utilizado y a los
18.2.5. Aspectos relevantes en los
bienes o servicios.
contratos con consumidores
b. La identidad del empresario, incluidos
los datos correspondientes a la razón
social, el nombre comercial, su dirección
completa y su número de teléfono y, en
su caso, del empresario por cuya cuenta
actúe.
c. El precio total, incluidos todos los

impuestos y tasas. Si por la naturaleza de
los bienes o servicios el precio no pudiera
calcularse razonablemente de antemano
o estuviera sujeto a la elaboración de
un presupuesto, la forma en que se
determinara el precio, así como todos
los gastos adicionales de transporte,
entrega o postales o, si dichos gastos no
pueden ser calculados razonablemente
de antemano, el hecho de que puede
ser necesario abonar dichos gastos
adicionales.
d. En toda información al consumidor y al consumidor y usuario, el plazo y la

usuario sobre el precio de los bienes forma de ejercitarlo.
o servicios, incluida la publicidad, se
j. La funcionalidad de los contenidos
informará del precio total, desglosando,
digitales, incluidas las medidas técnicas
en su caso, el importe de los incrementos
de protección aplicables, como son,
o descuentos que sean de aplicación,
entre otras, la protección a través de la
de los gastos que se repercutan al
gestión de los derechos digitales o la
consumidor y usuario y de los gastos
codificación regional.
adicionales por servicios accesorios,
financiación, utilización de distintos k. Toda interoperabilidad relevante
medios de pago u otras condiciones de del contenido digital con los aparatos y
pagos similares. programas conocidos por el empresario
o que quepa esperar razonablemente
e. Los procedimientos de pago, entrega y
que conozca, como son, entre otros, el
ejecución, la fecha en que el empresario
sistema operativo, la versión necesaria o
se comprometió a entregar los bienes o
determinados elementos de los soportes
a ejecutar la prestación del servicio.
físicos.
f. Recordatorio de la existencia de una
l. El procedimiento para atender las
garantía legal de conformidad con los
reclamaciones de los consumidores
bienes, la existencia y las condiciones
y usuarios, así como, en su caso, la
de los servicios posventa y las garantías
información sobre el sistema extrajudicial
comerciales.
de resolución de conflictos.
g. La duración del contrato, o, si el
En el caso de procesos electrónicos, las
contrato es de duración indeterminada
obligaciones adicionales para el empresario
o se prolonga de forma automática, las
consisten en informar convenientemente al
condiciones de resolución. De manera
consumidor sobre:
expresa, deberá indicarse la existencia
de compromisos de permanencia o a. Los pasos que hay que seguir para la
vinculación de uso exclusivo de los celebración del contrato.
servicios de un determinado prestado,
b. Garantizar la accesibilidad del contrato
así como las penalizaciones en caso de
para el consumidor.
baja en la prestación del servicio.
c. Permitir la posibilidad de corrección
h. La lengua o lenguas en las que podrá
y rectificación de los datos existentes
formalizarse el contrato, cuando no sea
en el contrato. En determinados
aquella en la que se le ha ofrecido la
casos de contratación vía aplicaciones
información previa a la contratación.
tecnológicas, se considerará cumplido
i. La existencia del derecho de este trámite de forma directa.
desistimiento que pueda corresponder
La función de Compliance deberá garantizar datos de identificación del contrato y de los

que el consumidor disponga de dicha contratantes a que se refiere.
información con anterioridad a la firma
El TRLGDCU fija en
del contrato en todas las operaciones que
se realicen y que estén sujetas a la norma catorce días naturales
analizada. Asimismo, tendrá que evaluar que el plazo mínimo para el
cada condición se cumple en la práctica, de ejercicio del derecho de
tal manera que se garantice que se respetan desistimiento por parte
todos los puntos exigidos por la ley. del consumidor. Siempre que el empresario
haya cumplido con el deber de información y
El derecho de desistimiento documentación de este derecho, dicho plazo
se computará desde la recepción del bien
Uno de los aspectos más importantes que
objeto del contrato o desde la celebración
deben constar en la fase de información
de este si el objeto del contrato fuera la
precontractual es la posibilidad del
prestación de servicios.
consumidor de desistir del contrato
una vez celebrado. La supervisión del Resulta importante tener en cuenta que,
cumplimiento de esta obligación es crítica si el empresario no hubiera cumplido con
para el Compliance Officer. el deber de información y documentación
sobre el derecho de desistimiento, el plazo
El TRLGDCU define este derecho como “la
para su ejercicio finalizará doce meses
facultad del consumidor y usuario de dejar sin
después de la fecha de expiración del
efecto el contrato celebrado, notificándoselo
así a la otra parte contratante en el plazo periodo de desistimiento inicial, a contar
establecido para el ejercicio de ese derecho, desde que se entregó el bien contratado o
sin necesidad de justificar su decisión y sin se hubiera celebrado el contrato, si el objeto
penalización de ninguna clase.” de éste fuera la prestación de servicios. Si

el deber de información y documentación
De este modo, cuando la ley atribuya el se cumple durante el citado plazo de doce
derecho de desistimiento al consumidor y meses, el plazo legalmente previsto para
usuario, el empresario contratante deberá el ejercicio del derecho de desistimiento
informarle por escrito en el documento empezará a contar desde ese momento.
contractual, de manera clara, comprensible
y precisa, del derecho de desistir del La norma, además, califica de nulas de
contrato y de los requisitos y consecuencias pleno derecho las cláusulas que impongan
de su ejercicio, incluidas las modalidades de cualquier tipo de penalización al consumidor
restitución del bien o servicio recibido. por desistir del contrato, negando en
consecuencia cualquier tipo de sanción
Deberá entregarle, además, un documento derivada del ejercicio de este derecho.
de desistimiento, identificado claramente
como tal, que exprese el nombre y dirección Es importante destacar que la norma prevé
de la persona a quien debe enviarse y los que el consumidor o usuario que ejercite
este derecho no tendrá obligación ni tan que es consciente de que, una vez que
siquiera de indemnizar al empresario por el contrato haya sido completamente
el posible desgaste o deterioro producido ejecutado por el empresario, habrá
debido a la prueba realizada para tomar una perdido su derecho de desistimiento.
decisión sobre la adquisición definitiva del
b. El suministro de bienes o la prestación
producto.
de servicios cuyo precio dependa de
Sin embargo, el derecho de desistimiento fluctuaciones del mercado financiero
no será aplicable en todos los contratos con que el empresario no pueda controlar
los consumidores, estableciéndose en el y que puedan producirse durante el
TRLGDCU las siguientes excepciones: periodo de desistimiento.
c. El suministro de bienes confeccionados

conforme a las especificaciones del
consumidor y usuario o claramente
personalizados.
d. El suministro de bienes que puedan

deteriorarse o caducar con rapidez.
e. El suministro de bienes precintados que

no sean aptos para ser devueltos por
razones de protección de la salud o de
higiene y que hayan sido desprecintados
tras la entrega.
f. El suministro de bienes que después

de su entrega y teniendo en cuenta su
naturaleza se hayan mezclado de forma
indisociable con otros bienes.
g. El suministro de bebidas alcohólicas

cuyo precio haya sido acordado en el
momento de celebrar el contrato de
venta y que no puedan ser entregadas
antes de 30 días, y cuyo valor real
dependa de fluctuaciones del mercado
a. La prestación de servicios, una vez que
que el empresario no pueda controlar.
el servicio haya sido completamente
ejecutado, cuando la ejecución haya h. Los contratos en los que el
comenzado, con previo consentimiento consumidor y usuario haya solicitado
expreso del consumidor y usuario y específicamente al empresario que le
con el reconocimiento por su parte de visite para efectuar operaciones de
reparación o mantenimiento urgente; La función de Compliance deberá garantizar

si, en esa visita, el empresario presta que no existen trabas para el consumidor a la
servicios adicionales a los solicitados hora de ejercer el derecho de desistimiento,
específicamente por el consumidor o bien a través de los formularios facilitados
suministra bienes distintos de las piezas por el empresario, o bien por medio de
de recambio utilizadas necesariamente cualquier otra vía. Será necesario que se
para efectuar las operaciones de identifique si un contrato se encuentra
mantenimiento o reparación, el derecho comprendido entre las excepciones
de desistimiento debe aplicarse a dichos señaladas y se garantice la recepción de
servicios o bienes adicionales. la solicitud de ejercicio del derecho de
desistimiento y su tramitación.
i. El suministro de grabaciones sonoras
o de vídeo precintadas o de programas Consentimiento y constancia
informáticos precintados que hayan fehaciente del contrato
sido desprecintados por el consumidor y
usuario después de la entrega. El elemento definitorio de la existencia de un
contrato entre dos partes es la manifestación
j. El suministro de prensa diaria, de la aceptación de ambas por cualquier
publicaciones periódicas o revistas, vía acreditable. No obstante, en el tipo de
con la excepción de los contratos de contratos que aquí se analizan, en multitud
suscripción para el suministro de tales de ocasiones en el pasado el empresario ha
publicaciones. utilizado métodos de aceptación tácita o por
k. Los contratos celebrados mediante omisión para considerar la existencia de esta
subastas públicas. aceptación. Estas vulneraciones, antes muy

comunes, se han regulado y actualmente la
l. El suministro de servicios de alojamiento norma obliga a evitar este tipo de prácticas
para fines distintos del de servir de por parte de los empresarios.
vivienda, transporte de bienes, alquiler
de vehículos, comida o servicios Como medida esencial, la normativa exige
relacionados con actividades de en todo caso consentimiento expreso
esparcimiento, si los contratos prevén e inequívoco por parte del consumidor,
una fecha o un periodo de ejecución si bien las vías para obtenerlo varían en
específicos. función del tipo de contrato ante el que nos
encontremos.
m. El suministro de contenido digital que no
se preste en un soporte material cuando En la modalidad de contratación presencial
la ejecución haya comenzado con el previo se requiere la confirmación documental
consentimiento expreso del consumidor de todos los contratos celebrados con
y usuario con el conocimiento por su los consumidores. En este sentido, la
parte de que en consecuencia pierde su norma establece que en los contratos con
derecho de desistimiento. consumidores y usuarios se entregará un
recibo justificante, copia o documento ejemplo una grabación o una acreditación

acreditativo con las condiciones esenciales vía SMS de la aceptación. En el segundo
de la operación, incluidas, en su caso, las supuesto se requerirá, por lo general, que el
condiciones generales de la contratación, usuario marque una casilla de aceptación de
aceptadas y firmadas por el consumidor y las condiciones de contratación.
usuario. Esta formalización será gratuita
para el consumidor. La función de Compliance deberá también
garantizar a través de su actividad de control
Por otra parte, los consumidores tendrán actividad de control la correcta obtención
derecho a recibir una factura en papel, sin del consentimiento del consumidor.
que este derecho quede condicionado al
pago de cantidad alguna. En su caso, la Garantías del consumidor en los
expedición de la factura electrónica estará procedimientos de contratación
condicionada a que el empresario haya
Para que se entienda que los productos son
obtenido previamente el consentimiento
conformes con el contrato, salvo prueba en
expreso del consumidor. La solicitud del
contrario, se deberían cumplir, al menos, los
consentimiento deberá precisar la forma
siguientes requisitos:
en la que se procederá a recibir la factura
electrónica, así como la posibilidad de a. Se ajusten a la descripción realizada
que el destinatario que haya dado su por el vendedor y posean las cualidades
consentimiento pueda revocarlo y la forma del producto que el vendedor haya
en la que podrá realizarse dicha revocación. presentado al consumidor y usuario en
forma de muestra o modelo.
En relación con los contratos a distancia, la ley
regula expresamente el supuesto de envío b. Sean aptos para los usos a que
por parte del empresario de los productos ordinariamente se destinen los
sin previa aceptación por el consumidor. productos del mismo tipo.
En este supuesto, la normativa indica que
en ningún caso la falta de respuesta a la c. Sean aptos para cualquier uso especial
oferta de contratación podrá considerarse requerido por el consumidor y usuario
como aceptación de ésta, pudiendo llegar el cuando lo haya puesto en conocimiento
consumidor a quedarse con los productos del vendedor en el momento de
sin obligación de contraprestación al celebración del contrato, siempre que
empresario. éste haya admitido que el producto es
apto para dicho uso.
Los procedimientos para recabar el
consentimiento en estos casos varían en d. Presenten la calidad y prestaciones
función de si se trata de contratos celebrados habituales de un producto del mismo
por vía telefónica o por vía web. En el primer tipo que el consumidor y usuario pueda
caso se exigirá la realización de un acto fundadamente esperar, habida cuenta
expreso por parte del consumidor, como por de la naturaleza del producto y, en su
caso, de las declaraciones públicas d. Los derechos, adicionales a los legales,

sobre las características concretas de que se conceden al consumidor y usuario
los productos hechas por el vendedor, como titular de la garantía.
el productor o su representante, en
e. El plazo de duración de la garantía y su
particular en la publicidad o en el
alcance territorial.
etiquetado. El vendedor no quedará
obligado por tales declaraciones públicas f. Las vías de reclamación de que dispone
si demuestra que desconocía y no cabía el consumidor y usuario.
razonablemente esperar que conociera
La acción para reclamar el cumplimiento
la declaración en cuestión, que dicha
de lo dispuesto en la garantía comercial
declaración había sido corregida en el
adicional prescribirá a los seis meses desde
momento de celebración del contrato o
la finalización del plazo de garantía.
que dicha declaración no pudo influir en
la decisión de comprar el producto. Características específicas de los
contratos a distancia
El vendedor responde de las faltas de
conformidad que se manifiesten en un Ciertas características especiales de los
plazo de tres años desde la entrega. En los contratos a distancia que deberán ser
productos de segunda mano, el vendedor y tenidas en cuenta de cara al cumplimiento
el consumidor y usuario podrán pactar un de este tipo de contratos son las siguientes:
plazo menor, que no podrá ser inferior a un
año desde la entrega.
Aparte, la garantía comercial deberá

formalizarse, al menos en castellano, y, a
petición del consumidor y usuario, por escrito
o en cualquier otro soporte duradero y
directamente disponible para el consumidor
y usuario, que sea accesible a este y acorde
con la técnica de comunicación empleada.
Esta garantía expresará necesariamente:
a. El bien o servicio sobre el que recaiga la

garantía.
b. El nombre y dirección del garante.
Lengua utilizada en la contratación

c. Que la garantía no afecta a los derechos
legales del consumidor y usuario ante la En los contratos a distancia, el empresario
falta de conformidad de los productos deberá facilitar al consumidor y usuario la
con el contrato. información precontractual en la lengua
utilizada en la propuesta de contratación o realización del pedido implica la obligación

bien en la lengua elegida para la contratación de pagar al empresario. En caso contrario, el
y, al menos, en castellano, o la pondrá a su consumidor y usuario no quedará obligado
disposición de forma acorde con las técnicas por el contrato o pedido.
de comunicación a distancia utilizadas, en
Restricciones de entrega y
términos claros y comprensibles. Asimismo,
modalidades de pago
deberá respetar en particular el principio de
buena fe en las transacciones comerciales, Los sitios web de comercio electrónico
así como los principios de protección de deberán indicar de modo claro y legible, a
quienes sean incapaces de contratar. más tardar al inicio del procedimiento de
Siempre que dicha información se facilite en compra, si se aplica alguna restricción de
un soporte duradero deberá ser legible. entrega y cuáles son las modalidades de
pago aceptadas.
Obligaciones de pago
Comunicaciones telefónicas y análogas
Si un contrato a distancia que ha de ser
celebrado por medios electrónicos implica Si el contrato se celebra a través de una
obligaciones de pago para el consumidor técnica de comunicación a distancia en la
y usuario, el empresario pondrá en su que el espacio o el tiempo para facilitar la
conocimiento de una manera clara y información son limitados, el empresario
destacada y justo antes de que efectúe facilitará en ese soporte específico, antes
el pedido la información precontractual de la celebración de dicho contrato, como
correspondiente a las características mínimo la información precontractual sobre
principales de los bienes o servicios, la las características principales de los bienes
indicación del precio total, la duración o servicios, la identidad del empresario, el
del contrato y la duración mínima de las precio total, el derecho de desistimiento,
obligaciones del consumidor. la duración del contrato y, en el caso de
contratos de duración indefinida, las
Aceptación
condiciones de resolución.
El empresario deberá velar porque el
Sin perjuicio de lo dispuesto anteriormente
consumidor y usuario, al efectuar el pedido,
si el empresario llama por teléfono al
confirme expresamente que es consciente
consumidor y usuario para celebrar un
de que éste implica una obligación de
contrato a distancia, deberá revelar, al inicio
pago. Si la realización de un pedido se
de la conversación, su identidad y, si procede,
hace activando un botón o una función
la identidad de la persona por cuenta de la
similar, el botón o la función similar deberán
cual efectúa la llamada, así como indicar el
etiquetarse, de manera que sea fácilmente
objeto comercial de la misma.
legible, únicamente con la expresión “pedido
con obligación de pago” o una formulación En aquellos casos en que sea el empresario
análoga no ambigua que indique que la el que se ponga en contacto telefónicamente
con un consumidor y usuario para llevar en un volumen delimitado o en cantidades

a cabo la celebración de un contrato a determinadas– o de calefacción mediante
distancia, deberá confirmar la oferta al sistemas urbanos dé comienzo durante el
consumidor y usuario por escrito, o salvo plazo de desistimiento fijado por la norma,
oposición del mismo, en cualquier soporte el empresario exigirá que el consumidor y
de naturaleza duradera. El consumidor y usuario presente una solicitud expresa en
usuario solo quedará vinculado una vez que tal sentido.
haya aceptado la oferta mediante su firma o
mediante el envío de su acuerdo por escrito,
Carga de la prueba
que, entre otros medios, podrá llevarse a
Corresponde al empresario probar el
cabo mediante papel, correo electrónico, fax
cumplimiento de las obligaciones aquí
o SMS.
referidas. El empresario deberá adoptar
Confirmación del contrato las medidas adecuadas y eficaces que le

permitan identificar inequívocamente al
El empresario deberá facilitar al consumidor consumidor y usuario con el que celebra el
y usuario la confirmación del contrato contrato.
celebrado en un soporte duradero y en un
plazo razonable después de la celebración 18.2.6. Condiciones generales de
del contrato a distancia, a más tardar en el contratación
momento de entrega de los bienes o antes
Un ámbito de especial protección que deberá
del inicio de la ejecución del servicio. Tal
ser observado por el Compliance Officer es
confirmación incluirá:
la confección, desarrollo y actualización de
• Toda la información precontractual, las condiciones generales de contratación
salvo si el empresario ya ha facilitado de los bienes o servicios ofrecidos.
la información al consumidor y usuario
Entendemos por condiciones generales de
en un soporte duradero antes de la
contratación aquellas cláusulas que son
celebración del contrato a distancia, y
propuestas por el empresario y que no
• Cuando proceda, la confirmación del pueden ser negociadas individualmente o
previo consentimiento expreso del modificadas, en todo o en parte, por sus
consumidor y usuario y del conocimiento clientes o consumidores.
por su parte de la pérdida del derecho
de desistimiento, si procede. De la propia definición se infiere que, al no
existir negociación por estar estas cláusulas
Supuestos especiales redactadas por una sola de las partes
del negocio, la compañía podría generar
En caso de que un consumidor y usuario
ventajas indebidas que le favorezcan y que
desee que la prestación de servicios o el
alteren, de ese modo, el curso normal del
suministro de agua, gas o electricidad –
negocio.
cuando no estén envasados para la venta
La función de Compliance deberá conocer La función Compliance deberá realizar un

con exactitud todos aquellos contratos de control exhaustivo de las cláusulas de las
la organización que tengan condiciones condiciones generales de contratación
generales de contratación y revisar todas para evitar que no haya alguna abusiva.
y cada una de sus cláusulas teniendo Se considerarán cláusulas abusivas todas
presentes, entre otras, las premisas que a aquellas estipulaciones no negociadas
continuación se exponen: individualmente y todas aquellas prácticas
no consentidas expresamente que, en contra
• Tamaño de letra y fondo: Deberá permitir
de las exigencias de la buena fe causen,
al consumidor y usuario ser consciente
en perjuicio del consumidor y usuario, un
del contenido de estas cláusulas. El
desequilibrio importante de los derechos y
tamaño de letra permitido deberá
obligaciones de las partes que se deriven del
ser superior al milímetro y medio y el
contrato.
contraste con el fondo no deberá hacer
dificultosa la lectura. El carácter abusivo de una cláusula se
apreciará teniendo en cuenta la naturaleza
• Claridad de las cláusulas: Se deberá
de los bienes o servicios objeto del contrato
de garantizar la comprensión directa
y considerando todas las circunstancias
del consumidor y usuario y no se
concurrentes en el momento de su
aceptará la referencia de textos
celebración, así como todas las demás
ajenos al comprendido en el contrato
cláusulas del contrato o de otro del que
que no se hayan facilitado previa o
éste dependa. De forma enumerativa,
simultáneamente.
no exhaustiva, se considerarán cláusulas
• Equilibrio de las condiciones de las partes: abusivas en todo caso las siguientes:
Se deberá garantizar un justo equilibrio a. Las que vinculen el contrato a la voluntad
entre las condiciones de las partes. Se del empresario.
exige buena fe en la redacción de las
cláusulas y vigilarse su cumplimiento. b. Las limitativas de los derechos del
consumidor y usuario.
Dichas condiciones generales de
c. Cláusulas que determinen la falta de
contratación podrán ser solicitadas por los
reciprocidad en el contrato.
organismos competentes para ser puestas a
su disposición por el empresario en un plazo d. Cláusulas que impongan al consumidor
máximo de un mes desde su requerimiento, y usuario garantías desproporcionadas o
al objeto de facilitar el estudio y valoración le impongan indebidamente la carga de
del posible carácter abusivo de algunas de la prueba.
ellas y, en su caso, ejercitar las competencias
e. Cláusulas que resulten
que en materia de control y sanción atribuye
desproporcionadas en relación con
la normativa a dichos organismos.
el perfeccionamiento y ejecución del
contrato.
f. Cláusulas que contravengan las reglas 18.2.7. Normativa EU en materia de

sobre competencia y derecho aplicable. protección al consumidor
Las cláusulas abusivas serán nulas de pleno Aparte de la regulación específica para el
derecho y se tendrán por no puestas. sector financiero para la protección del
consumidor (que se tratará más adelante),
Caso de estudio XXVIII: Ryanair la UE ha dispuesto varias normas de ámbito
general.
La compañía aérea irlandesa Ryanair, que supone
el 20,8% del tráfico de pasajeros en España (2021) Así, el 28 de mayo de 2022 entraron en vigor
y el 10,1% del de la UE (2022), es conocida no sólo las modificaciones legislativas operadas por
por sus competitivos precios, sino también por las
la transposición de la Directiva 2019/2161 de
innumerables polémicas acerca de sus políticas
mejora y modernización de las normas de
de personal, equipaje, identificación de pasajeros,
protección de los consumidores de la Unión.
asignación de asientos, etc.
La aerolínea ha sido condenada en varios países en La Directiva 2019/2161 fue aprobada el 27 de

multitud de ocasiones por cláusulas abusivas, en noviembre de 2019 y debía trasponerse a los
las que se le imponen varias multas y sanciones. ordenamientos nacionales antes del 28 de
En España, la sentencia nº 113 del Juzgado de lo noviembre de 2021.En España, la Directiva
Mercantil nº 5 de Madrid declaró nulas por abusivas fue traspuesta al ordenamiento por el Libro
un 11 cláusulas del contrato de la compañía aérea
VI del RDL 24/2021, el 3 de noviembre de
con los consumidores e impuso el cese en el empleo
2021.
y difusión de dichas condiciones generales fijadas.
Entre otras, se declaró abusivas:
La Directiva trata de fortalecer, modernizar
• La sumisión a la legislación irlandesa y a los y armonizar el corpus normativo que
tribunales de ese país. protege los derechos de los consumidores
de la Unión. En este sentido, modifica las
• El cargo de 40€ por impresión de tarjeta de
siguientes directivas:
embarque
• La denegación de transporte del pasajero o su La normativa principal afectada por las

equipaje en cualquier momento con una mera modificaciones son las siguientes:
notificación previa.
• Directiva 93/13/CEE, sobre las cláusulas
• La posibilidad de inspeccionar el equipaje del abusivas en los contratos celebrados con
pasajero, al margen de las FCS. consumidores.
• La posibilidad de transportar el equipaje en un • Directiva 98/6/CE, relativa a la protección

vuelo distinto, a criterio de la compañía. de los consumidores en materia de
Fuentes: Ryanair y cláusulas abusivas. Un nuevo episodio indicación de los precios de los productos
a razón de la STS 554/2021 de 20 de julio. – Abogacía ofrecidos a los consumidores.
Española (abogacia.es) y Ryanair pierde sus cláusulas
abusivas | OCU • Directiva 2005/29/CE, relativa a las
prácticas comerciales desleales de las
empresas en sus relaciones con los • La asimilación de los servicios digitales

consumidores. prestados a cambio de datos personales
a aquellos de pago.
• Directiva 2011/83/UE, sobre derechos de
los consumidores. • La prohibición de la reventa de entradas
de espectáculos culturales y deportivos
La norma se desarrolla en torno a dos ejes
adquiridas a través de mecanismos
principales:
como los “bots” de compra.
• Armonización del marco sancionador
• La prohibición del comercio de bienes
de la normativa aplicable en materia de
que presentados como idénticos en
protección al consumidor, facilitando
distintos EEMM cuando presenten en
que los EEMM establezcan un régimen
realidad condiciones o una composición
de sanciones efectivas, proporcionadas
significativamente diferente.
y disuasorias, para lo que establece unos
criterios de referencia en la aplicación de • La identificación de la venta de
las sanciones. productos en el contexto de visitas no
solicitadas al domicilio del consumidor o
• Asimismo, impone un umbral mínimo de
de excursiones como práctica agresiva o
sanción económica del 4% del volumen
engañosa.
de negocio anual del comerciante
infractor en el EM o EEMM afectados, 18.3. Protección del cliente
siendo de un mínimo de 2M de euros en el ámbito de los servicios
se castiguen prácticas desleales y se
financieros
desconozca el volumen de negocio del
infractor. 18.3.1. Introducción
• Adopción de medidas para reforzar En aras de proteger a los clientes en el sector

el derecho de información de los financiero, el legislador ha desarrollado una
consumidores, antes de que éstos normativa sectorial específica para este
queden vinculados por un contrato a ámbito. El objetivo fundamental es asegurar
distancia, materializados en obligaciones que los clientes tienen la información
de transparencia informativa para el correcta antes de recibir los productos
comerciante o proveedor de servicios. o servicios y evitar que se produzcan
situaciones de indefensión.
Otras medidas nuevas impuestas por la
Directiva 2019/2161 de relevancias serían las La función de Compliance debe analizar
siguientes: el ámbito de aplicación de la normativa
y garantizar que se cumplen todos los
• La regulación del derecho de
requisitos dentro de la entidad. Se deben
desistimiento en el marco de los servicios
establecer todos los controles necesarios
digitales.
para garantizar el cumplimiento de la
normativa, que serán diferentes en función funcionamiento de las empresas de servicios

de la entidad y de los productos que se de inversión (ESI). Entre otros aspectos,
ofrezcan. regula:
18.3.2. Servicios de inversión i. La libertad de establecimiento y de

prestación de servicios en la UE;
Ante la creciente complejidad de los
instrumentos financieros, desde principios ii. La actividad de las empresas de terceros
del siglo XXI los distintos países empezaron Estados;
a desarrollar normativas de protección de
iii. Las condiciones de autorización y
los clientes de las entidades que prestan
funcionamiento de los mercados
servicios financieros. Además, la crisis
regulados;
financiera de 2008 reforzó la necesidad de
que los reguladores focalizaran sus esfuerzos iv. La limitación de las posiciones y
en aumentar la protección de los clientes controles de su gestión en derivados
minoristas de los servicios financieros. sobre materias primas;
Esta normativa se desarrolló en el v. Las normas de conducta y protección al

ordenamiento jurídico español a finales del inversor a seguir por las ESI;
año 2007, mediante la transposición de la
vi. Los servicios de suministro de datos;
Directiva 2004/39/CE - MiFID I (Markets in
Financial Instruments Directive), a través de la vii. Los requerimientos de organización y
Ley 47/2007 del Mercado de Valores. conducta para los participantes en el
mercado con el objetivo de mejorar la
Tras este primer aterrizaje regulatorio, en el
protección del inversor.
que no se consiguieron todos los objetivos
esperados, se iniciaron los trabajos tendentes MiFID II tiene como objetivo reforzar la
a la reforma de MiFID I, que culminaron con regulación europea sobre mercados de
la aprobación de la nueva Directiva 2014/65/ valores reforzando la protección al inversor y
UE MiFID II y del Reglamento (UE) 600/2014 regulando, entre otros, el asesoramiento en
MiFIR, que tratan de seguir la tendencia de la la comercialización de productos financieros
regularización del mercado de instrumentos y sus incentivos.
financieros buscando la mejora de la
Por su parte, el Reglamento MiFIR establece
transparencia y eficiencia de los mercados
requerimientos, entre otros, sobre los
europeos, así como reforzar la protección
siguientes aspectos:
al inversor. Ambas normas, MiFID II y MiFIR,
entraron en vigor el 3 de enero de 2018. i. Difusión al público de datos sobre
actividad de negociación;
Basada en la mejora de las reglas ya
adoptadas por MiFID I, la Directiva MiFID ii. Informe de datos sobre operaciones a
II regula las condiciones de autorización y reguladores y supervisores;
iii. Negociación obligatoria de derivados en

sistemas organizados;
iv. Supresión de obstáculos entre sistemas

de negociación y proveedores de
servicios de liquidación para asegurar
mayor competencia;
v. Acciones de supervisión específicas

sobre instrumentos financieros y Requisitos de la AEVM para la percepción de incentivos. Elaboración
propia. Fuente: ASVM (ESMA)
posiciones en derivados.
Cuando se proporcione valor añadido al
Incentivos
cliente, proporcional al tipo de incentivo
Se consideran “incentivos” los honorarios, recibido. Se entenderá que se cumple este
comisiones y beneficios no monetarios requisito, por ejemplo, en los siguientes
que una ESI satisface o percibe de terceros casos:
relacionados con la prestación de servicios • La prestación de asesoramiento no

de inversión a sus clientes. independiente siempre que se dé acceso
a una amplia gama de instrumentos
Con objeto de prevenir los conflictos de
financieros idóneos, incluyendo un
intereses, MiFID I ya prohibió los incentivos,
número suficiente de instrumentos de
salvo que cumplan con las dos condiciones
terceros.
siguientes: (i) que hayan sido concebidos para
mejorar la calidad del servicio pertinente • La prestación de asesoramiento no
prestado al cliente y (ii) que no perjudiquen independiente combinado con una de
el cumplimiento de la obligación de la ESI las siguientes opciones:
de actuar con honestidad, imparcialidad y
- Proporcionar al cliente, al menos
profesionalidad, en el mejor interés de sus
una vez al año, una evaluación sobre
clientes.
la idoneidad de los instrumentos
Con MiFID II se refuerzan las obligaciones financieros en los que el cliente ha
para permitir el cobro de incentivos invertido; o
en servicios distintos al asesoramiento
- Proporcionar un servicio continuado,
independiente y a la gestión discrecional de
de valor añadido para el cliente,
carteras, ya que en estos dos servicios los
como por ejemplo información sobre
incentivos están totalmente prohibidos.
el “asset allocation” de instrumentos
La Autoridad Europea de Valores y Mercados financieros de acuerdo con el perfil
(AEVM) establece que solo se podrán percibir de riesgo del cliente.
incentivos si se cumplen los siguientes • Dar acceso al cliente, a un precio

requisitos: competitivo, a una amplia gama
de instrumentos financieros, Se establece la necesidad de hacer una

incluyendo un número suficiente de selección de productos diversificada por tipo
instrumentos de terceros, junto con (i) de productos y proveedor. La recomendación
la puesta a disposición para el cliente no podrá estar limitada a los productos
de herramientas de valor añadido propios y deberá tener un número y una
en relación con su inversión o (ii) la variedad de productos que sea proporcional
entrega de información periódica sobre a su alcance y representativa de todos
la rentabilidad y los costes y gastos del los productos disponibles en el mercado.
producto. Asimismo, se establece la prohibición total
de aceptar o retener incentivos por parte
Cuando el incentivo cause un beneficio
de terceros. Si no se cumple alguno de
tangible para el cliente sin beneficiar
los requisitos descritos, se considerará
exclusiva y directamente a la entidad que lo
asesoramiento no independiente. En este
recibe.
caso, no existe prohibición expresa del
Cuando el incentivo, si es recurrente, esté cobro de incentivos.
justificado por la prestación de un beneficio
De este modo, las entidades que opten
también recurrente.
por prestar el servicio de asesoramiento
Asesoramiento en materia de independiente deberán implementar
inversión procedimientos que permitan evaluar y
comparar un número suficientemente
De acuerdo con MiFID, se define el amplio de productos disponibles en el
“asesoramiento en materia de inversión”
mercado. Dichos procedimientos de
como la prestación de recomendaciones
selección de productos deberán incluir una
personalizadas a un cliente, sea a petición
selección diversificada de productos, por
de éste o por iniciativa de la empresa
tipología de producto o emisor, que no se
de inversión, con respecto a una o más
limite a productos emitidos o fabricados por
operaciones relativas a instrumentos
la propia entidad o por entidades con las
financieros.
que mantenga vínculos estrechos, legales o
Con objeto de evitar los conflictos de económicos.
intereses en la prestación de asesoramiento

De otro lado, el número de productos
de productos de inversión, MiFID II distingue
evaluados deberá ser: (i) proporcional al
y regula el asesoramiento independiente y
alcance del asesoramiento ofrecido, (ii)
el no independiente.
representativo de los productos que estén
En el caso del asesoramiento independiente, disponibles en el mercado, y, por último, (iii)
MiFID II establece la necesidad de que la los criterios de comparación deberán incluir
entidad realice una evaluación de un número aspectos relevantes como el riesgo, el coste
suficientemente amplio de productos de y la complejidad, así como las características
inversión, incluyendo productos de terceros. de los clientes.
Por otra parte, las entidades podrán optar en tres momentos clave: antes, durante y
por prestar de forma simultánea los servicios después de la contratación de un producto
de asesoramiento independiente y no o servicio financiero.
independiente, siempre y cuando se informe
a los clientes de forma clara del alcance de Información precontractual
ambos servicios para que se les permita
Los principales requisitos que se establecen
entender las diferencias. En este caso
en cuanto a la información precontractual
deberán contar con requisitos organizativos
son los siguientes:
y controles adecuados que aseguren
que ambos servicios, y los asesores que
prestan cada uno de ellos, están totalmente
separados y que hay controles para que los
clientes no se confundan sobre el tipo de
asesoramiento que están recibiendo.
Tanto en el servicio de asesoramiento

independiente como no independiente,
será asimismo necesario tener en cuenta
los siguientes requisitos de información
precontractual:
1. Necesidad de Informar al cliente si

Requisitos respecto de la información pre-contractual a
el asesoramiento ofrecido tiene la proporcionar. Fuente: MiFID II
consideración de independiente o no.

1. Se proporcionará a los clientes o posibles
2. Informar sobre si la recomendación está clientes, con suficiente antelación,
restringida: (i) a un número limitado de
información conveniente con respecto a
productos y (ii) a productos propios o de
la entidad, los instrumentos financieros y
terceros con vinculación.
las estrategias de inversión propuestas,
3. Informar al cliente si se le va a realizar el servicio de asesoramiento en su caso,
un seguimiento de la evolución de sus los centros de ejecución de órdenes y
inversiones. todos los costes y gastos asociados
La información deberá proporcionarse con 2. Toda la información, incluidas las

anterioridad a la prestación del servicio en comunicaciones publicitarias, dirigida
soporte duradero. por la empresa de servicios de inversión a
los clientes o posibles clientes deberá ser
Obligaciones de información a los imparcial, clara y no engañosa. Asimismo,
clientes las comunicaciones publicitarias serán
claramente identificables como tales.
MiFID II aumenta significativamente los
requisitos de transparencia a los clientes
En concreto, la información deberá al cliente una evaluación periódica

cumplir los siguientes requisitos: de la idoneidad de los instrumentos
financieros recomendados para ese
• Debe incluir información sobre los
cliente.
riesgos relevantes cuando se incluyan
también beneficios potenciales para 4. Información sobre los instrumentos
el cliente. financieros, que específicamente deberá
• El tamaño de fuente en la indicación incluir:
de los riesgos debe ser equivalente al • Orientaciones y advertencias

tamaño de fuente predominante. apropiadas acerca de los riesgos
asociados a las inversiones en esos
• Debe utilizarse el mismo lenguaje en
instrumentos o en relación con
todos los documentos y materiales
estrategias de inversión particulares.
publicitarios.
• Si el instrumento financiero está
• La información debe ser precisa y
pensado para clientes minoristas o
estar actualizada.
profesionales, teniendo cuenta el
• Cuando la información incluya mercado destinatario identificado.
rentabilidades futuras deberán
• Información en relación con el
incorporarse ejemplos de escenarios
funcionamiento y el desempeño
en diferentes situaciones de mercado.
de los instrumentos financieros en
• No debe ocultar o disminuir diferentes condiciones de mercado
declaraciones, advertencias o (favorables y desfavorables).
aspectos importantes.
• Los riesgos de los instrumentos
3. En el caso de prestar asesoramiento, financieros que impliquen
la información deberá especificar si impedimentos o restricciones a
el asesoramiento se presta de forma la desinversión, incluyendo una
independiente o no, si el asesoramiento muestra de las posibilidades de salida
se basa en un análisis general o más y las consecuencias de la misma, las
restringido de los diferentes tipos de restricciones y el horizonte temporal.
instrumentos financieros y, en particular, • Si el instrumento financiero

si la gama se limita a instrumentos está compuesto por dos o más
financieros emitidos o facilitados por instrumentos financieros o servicios,
entidades que tengan vínculos estrechos se facilitará una descripción adecuada
con la entidad, o bien cualquier otro de la naturaleza legal del instrumento
tipo de relación jurídica o económica, financiero, los componentes del
como por ejemplo contractual, que instrumento financiero y la forma
pueda mermar la independencia del en que la interacción entre los
asesoramiento facilitado y si la empresa componentes afecta al riesgo de la
de servicios de inversión proporcionará inversión.
• En el caso de que los instrumentos Información contractual

financieros incorporen una garantía o
protección del capital, la información Las principales novedades en materia
de información contractual se basan, en
debe especificar el objeto y la
primer lugar, en que las entidades deberán
naturaleza de dicha garantía o
contar con un contrato básico de prestación
protección del capital.
de servicios de inversión en el que se
5. Información sobre incentivos: Deberá establezcan las obligaciones y derechos
informarse al cliente de forma completa, esenciales de las partes, para todos los
exacta y comprensible, antes de la clientes minoristas (ya exigible por MiFID I) y
prestación del servicio de inversión o para todos los nuevos clientes profesionales.
servicio auxiliar correspondiente de los
siguientes aspectos: El contrato deberá constar por escrito o en
otro soporte duradero y con el siguiente
• La existencia, naturaleza y cuantía de contenido mínimo: (i) las obligaciones y
los incentivos. derechos de las partes; (ii) la descripción de
• Cuando su cuantía no pueda la naturaleza y alcance del asesoramiento

que podría ser ofrecido por la entidad; (iii)
determinarse, se debe indicar el
los tipos de instrumentos financieros que
método de cálculo de esa cuantía.
pueden ser comprados y vendidos y tipos
En este caso, se deberá proporcionar
de transacciones que pueden realizarse por
información a posteriori (información
cuenta del cliente; (iv) las características
post-contractual) sobre la cuantía
básicas del servicio de custodia que sea
exacta del incentivo recibido.
ofrecido, incluyendo, cuando sea necesario,
6. Información sobre costes y gastos: el papel de la entidad con respecto a los
Específicamente, los clientes minoristas activos de los clientes y los términos en
deberán ser provistos con información los que las operaciones de financiación de
acerca del detalle sobre costes y gastos valores vayan a generar rentabilidad para el
por servicio y por producto. Entre otros cliente. Los derechos y las obligaciones de
aspectos, esta información deberá las partes en el contrato podrán indicarse
incluir: mediante referencia a otros documentos o
textos jurídicos.
• Información del coste del
instrumento financiero recomendado Por otra parte, cuando se ofrezca el servicio
o comercializado al cliente. auxiliar de salvaguarda y administración
de instrumentos financieros de las cuentas
• La forma en que el cliente deberá
de los clientes se deberá contar con un
pagar los costes.
contrato de custodia para todos los clientes
• Cualesquiera pagos relacionados con minoristas (ya exigible por MiFID I) y todos
terceros. los clientes profesionales que operen a
partir de la entrada en vigor de MiFID II.
Información post-contractual • Indicaciones claras de qué activos están

afectados por ciertas particularidades
Se establece la necesidad de proporcionar debido a su estado de titularidad (por
información post-contractual en relación ejemplo: bloqueos, títulos pignorados,
con el servicio proporcionado. etc.).
En este sentido, por ejemplo, se establece la • El valor de mercado o el valor estimado,

necesidad de facilitar información sobre su cuando no esté disponible el valor de
ejecución inmediatamente después de una mercado, con una indicación clara de
operación o, a más tardar, el día siguiente que la ausencia del precio de mercado es
hábil (información en D+1). indicativa de una ausencia de liquidez.
En cuanto al servicio de gestión de carteras, Asimismo, deberá proporcionarse
la información periódica sobre el estado de información puntual sobre pérdidas en

instrumentos apalancados o transacciones
la cartera gestionada debe cumplir con los
de responsabilidad contingente, cuando el
siguientes requisitos:
valor inicial de cada instrumento se deprecie
La frecuencia básica de los informes en un diez por ciento (10%) y posteriormente
de la cartera debe ser trimestral. en múltiplos de diez por ciento (10%). Los
informes deberán realizarse sobre una
Debe incluir una revisión justa
base de instrumento por instrumento salvo
y equilibrada de las actividades
acuerdo en contrario con el cliente.
llevadas a cabo y del rendimiento
de la cartera en el período referido. En cuanto a los incentivos, al menos una
vez al año la entidad deberá informar a los
La entidad debe informar al cliente clientes, con carácter individual, sobre la
al principio de cada periodo de cantidad actual de los incentivos monetarios
informe si el valor global de la o no monetarios recibidos.
cartera se deprecia un diez por
ciento (10%) y múltiplos del diez por Por último, la entidad deberá informar al
cliente, al menos con carácter anual, sobre los
ciento (10%).
costes y gastos derivados de los instrumentos
financieros y la prestación de servicios de
Con relación al servicio de custodia, la
inversión o auxiliares. La información post-
entidad debe proporcionar a los clientes
contractual de costes y gastos puede ser
extractos de sus instrumentos financieros
facilitada junto con cualquier otro informe
y fondos de forma trimestral o con mayor
periódico entregado al cliente.
frecuencia a petición del cliente y a un coste
razonable. Estos extractos deben contener: Gobierno de productos financieros
• Una indicación clara de cuáles son los MiFID II establece la diferenciación entre las
activos o fondos que están sujetos a la obligaciones para el fabricante y obligaciones
protección MiFID y cuáles no. para el distribuidor de productos financieros.
Obligaciones para el fabricante al menos (i) si el instrumento financiero sigue

respondiendo a las necesidades del mercado
Las entidades sujetas a MiFID que creen, destinatario definido y (ii) si la estrategia
desarrollen y/o diseñen instrumentos de distribución prevista sigue siendo la
financieros serán consideradas como adecuada; debiendo adoptarse asimismo
“fabricantes”. medidas razonables para garantizar que el
instrumento se distribuya en el mercado
Las entidades que diseñen instrumentos
destinatario definido
financieros para su venta a clientes
mantendrán, gestionarán y revisarán un La entidad pondrá a disposición de los
proceso para la aprobación de cada uno distribuidores:
de los instrumentos y las adaptaciones
• Toda la información adecuada sobre los
significativas de los instrumentos existentes
productos diseñados.
antes de su comercialización o distribución
a los clientes. • Toda la información sobre el proceso
de aprobación del producto, incluyendo
El proceso de aprobación del producto tiene el mercado destinatario definido del
como finalidad: instrumento financiero.
• Especificar un mercado destinatario
La norma establece la obligación de asegurar
identificado de clientes finales dentro de
la correcta capacitación del personal
la categoría de clientes que sea pertinente
involucrado en el diseño y fabricación de
para cada instrumento financiero.
productos, es decir, asegurar que el personal
• Garantizar que se evalúen todos los cuenta con los conocimientos necesarios y la
riesgos pertinentes para tal mercado experiencia adecuada o recibe la formación
destinatario. adecuada al efecto, para entender las
características y riesgos de los productos
• Garantizar que la estrategia de que fabrican antes de que dichos productos
distribución prevista sea coherente con sean diseñados.
dicho mercado.
Asimismo, existe la obligación de contar con
• Tener en cuenta los conflictos de
acuerdos por escrito con otras entidades
intereses.
con las que colabore, en su caso, en la
• Tener en cuenta el funcionamiento y la fabricación de productos de manera que
estabilidad de los mercados. las responsabilidades mutuas queden
reflejadas.
Las entidades deberán revisar
periódicamente los productos teniendo en Obligaciones para el distribuidor
cuenta cualquier hecho que pudiera afectar
Se entiende por “distribuidor” la entidad que
sustancialmente al riesgo potencial para el
ofrece y/o recomienda productos o servicios
mercado destinatario definido, para evaluar
de inversión a clientes.
Los distribuidores de productos financieros Formación del personal

tendrán la obligación de comprender los
productos y de asegurar que se adecúan a MiFID II establece la obligación de que
las necesidades de los clientes. todos los empleados que intervengan en

la prestación de servicios de inversión
Los distribuidores, por tanto, deberán: deberán contar con los conocimientos y la
experiencia suficientes para poder llevar a
• Comprender las características de los
cabo su actividad.
instrumentos financieros que ofrecen o
recomiendan. En este sentido, las entidades deberán,
• Comprender las características y el establecer medidas para asegurar que
mercado destinatario identificado de todos los empleados cuentan con: (i)
cada instrumento. conocimientos suficientes y (ii) experiencia

adecuada.
• Valorar la compatibilidad de los
instrumentos financieros con las Deberán llevar a cabo revisiones internas o
necesidades de los clientes a quienes externas, al menos anualmente, sobre los
prestan servicios de inversión, teniendo conocimientos y la experiencia requeridos.
en cuenta asimismo el mercado Asimismo, Compliance deberá controlar
destinatario definido de los clientes que existen los procedimientos y medidas
finales. adecuados. Este control deberá incluirse en
el informe al órgano de administración.
• Garantizar que los instrumentos se
ofrezcan o comercialicen únicamente Registros mínimos
cuando ello redunde en interés del
cliente. MiFID II establece la necesidad de mantener
una serie de registros mínimos que aseguren
• Obtener toda la información precisa de los la trazabilidad de órdenes y transacciones,
fabricantes: Cuando la entidad ofrezca o desde el primer contacto del cliente hasta la
comercialice instrumentos financieros no ejecución final de la orden.
diseñados por ella misma contará con los
mecanismos adecuados para obtener, de
los fabricantes, la información adecuada
sobre los productos y sobre el proceso
de aprobación del producto, incluyendo
el mercado destinatario definido.
• Informar al fabricante sobre las ventas y

Registros mínimos a mantener para la trazabilidad de órdenes y
las revisiones periódicas. transacciones. Fuente: MiFID II
• Realizar revisiones periódicas.
Registro de órdenes y transacciones Las entidades tomarán todas las medidas

razonables para grabar las conversaciones
Las entidades deberán mantener un registro telefónicas y comunicaciones electrónicas
de todas las órdenes iniciales recibidas de un pertinentes realizadas, enviadas o recibidas
cliente y de todas las decisiones iniciales de a través de material facilitado por la propia
negociar, así como mantener a disposición entidad a un empleado o una persona
de la autoridad competente el registro de contratada o cuya utilización por estos
transacciones y órdenes ejecutadas. haya aceptado o autorizado la empresa
de servicios de inversión. Asimismo,
La AEVM ha proporcionado una lista
las entidades deberán impedir que un
no exhaustiva de registros mínimos
empleado o una persona contratada
que deberán mantener las entidades,
realice, envíe o reciba llamadas telefónicas
dependiente de su naturaleza y actividades.
o comunicaciones electrónicas en material
La lista no es limitativa respecto de los
de su propiedad que la empresa no pueda
requerimientos de mantenimiento de
registrar o copiar, es decir, deberá garantizar
registros de otras regulaciones, por ello,
que no se utilice material privado en relación
las autoridades nacionales competentes
con las operaciones de la entidad.
podrán requerir registros adicionales.
Es importante tener en cuenta que estos
Registro de conversaciones telefónicas
registros se deberán poner a disposición de
y comunicaciones electrónicas
los clientes si así lo solicitan.
Este registro incluirá las grabaciones
Registro de conversaciones
de las conversaciones telefónicas o
presenciales (cara a cara)
comunicaciones electrónicas relativas, al
menos, a: Los clientes podrán comunicar sus
órdenes por otros canales, si bien tales
• Las operaciones realizadas cuando se
comunicaciones deberán hacerse en un
negocia por cuenta propia.
soporte duradero, como correo postal, fax,
• Los servicios que estén relacionados con correo-e, o documentación de órdenes de
la recepción, transmisión y ejecución de clientes formuladas en reuniones.
órdenes de clientes.
El contenido de conversaciones pertinentes
• Aquellas comunicaciones cuya intención
cara a cara con un cliente podrá registrarse
sea dar lugar a operaciones por cuenta
por escrito en actas o notas y estas órdenes
propia o, en la prestación de servicios
se considerarán equivalentes a las recibidas
que estén relacionados con la recepción,
por teléfono, siendo obligatorio registrar en
transmisión y ejecución de órdenes
soporte duradero la información relativa
de clientes, incluso si no dan lugar a la
a conversaciones relevantes con clientes.
realización de tales operaciones o a la La información registrada deberá incluir, al
prestación de tales servicios. menos:
• Fecha, hora y lugar de la reunión. directivas de la Unión Europea en el ámbito

de la contratación pública en determinados
• Identidad de los participantes y del
sectores; de seguros privados; de planes y
impulsor de la reunión.
fondos de pensiones; del ámbito tributario y
• Información relevante sobre la orden del de litigios fiscales.
cliente, incluyendo el precio, volumen,
tipo de orden y momento en el que se ha La transposición al ordenamiento jurídico
transmitido o ejecutado la orden. español sigue fielmente el texto de la IDD,

cuyo propósito es la protección de los
18.3.3. Distribución de seguros consumidores de seguros y la promoción de
la libertad de contratación y cuyos principales
La regulación y ordenación de la distribución
aspectos se refieren a continuación.
de seguros se ha ido convirtiendo
paulatinamente en un pilar esencial en el Normativa de distribución de
marco de la protección de los consumidores seguros
y usuarios. En este sentido, la ordenación de
la actividad de distribución de seguros se La IDD introdujo nuevos conceptos, entre
convierte en una herramienta que propicia los que cabe destacar los siguientes:
el crecimiento y fomento ordenado del

Distribución de seguros
sector de los seguros privados, permitiendo
a las aseguradoras un mayor acercamiento Una importante novedad que trae consigo
al asegurado. A su vez, supone para el la IDD reside en la propia definición de
asegurado una ayuda importante en la “distribución de seguros. En este sentido, la
decisión de contratar el seguro que mejor se Directiva considera que existe actividad de
adapte a sus necesidades. distribución de seguros en una amplitud de
supuestos.
La Directiva (UE) 2016/97 del Parlamento
Europeo y del Consejo, de 20 de enero del En concreto, la IDD considera “distribución
2016, sobre la distribución de seguros, de seguros” la realización de las siguientes
conocida como Insurances Distribution actividades:
Directive (en adelante, “IDD” o la “Directiva”)
• Asesoramiento previo a la celebración
constituye el marco normativo que ordena
de un contrato de seguro.
la distribución de seguros en el ámbito de la
Unión Europea. • Propuesta o realización de trabajo previo
a la celebración de un contrato de seguro
La IDD, en vigor desde 23 de febrero de
2016, ha sido transpuesta al ordenamiento • Celebración de contrato de seguro.
jurídico español a través del Real Decreto-
• Asistencia en la gestión y ejecución de
ley 3/2020, de 4 de febrero, de medidas
contrato de seguro.
urgentes por el que se incorporan al
ordenamiento jurídico español diversas • Actividad de comparación de seguros.
Distribuidor de seguros seguro con carácter auxiliar, tales como

las agencias de viajes y las empresas de
En el marco de la distribución de seguros, la alquiler de automóviles (a menos que
IDD diferencia tres tipos de “distribuidores reúnan las condiciones para ser objeto
de seguros y reaseguros” (en adelante, el de exención).
“distribuidor” o los “distribuidores”) que
quedan incluidos dentro del ámbito de c. Empresas de seguros: toda empresa
aplicación de la Directiva. Así, se define: de seguros directos de vida o distintos
del seguro de vida que haya recibido
a. Intermediario de seguro: persona autorización previa por la autoridad
física o jurídica que, a cambio de una de supervisión del estado miembro de
remuneración, emprenda o realice una origen para acceder a la actividad de
actividad de distribución de seguros seguro directo o de reaseguro.
(siempre que no se trate de una
empresa de seguros o reaseguros y de Remuneración
sus empleados). Son intermediarios de
Mientras la IMD únicamente incluía
seguros los mediadores de seguros que
referencias al concepto de “remuneración”,
se regulen en cada estado miembro.
la IDD pasa a definirlo. A tal efecto, la
b. Intermediario de seguros complementarios: Directiva define “remuneración”, como toda
persona física o jurídica que, a cambio comisión, honorario o cualquier otro pago,
de una remuneración, emprenda o incluida cualquier posible ventaja económica
realice una actividad de distribución de o cualquier otro beneficio o incentivo,

de carácter financiero o no, ofrecidos u
seguros con carácter complementario,
otorgados en relación con actividades de
siempre y cuando concurra que: (a) la
distribución de seguros.
actividad profesional principal de dicha
persona física o jurídica sea distinta Asesoramiento
de la de distribución de seguros; (b) la
persona física o jurídica solo distribuya Al igual que en el caso anterior, la
determinados productos de seguro de IDD introduce y define el concepto de
carácter complementarios del bien o asesoramiento como toda recomendación
servicio principal; (c) los productos de personal hecha a un cliente, a petición de
seguro en cuestión no ofrezcan cobertura éste o a iniciativa del distribuidor de seguros,
de seguro de vida o de responsabilidad respecto de uno o más contratos de seguro.
civil, salvo cuando tal cobertura sea
La igualdad de trato entre los operadores
complementaria del bien o servicio
y la protección del cliente requieren que el
suministrado por el intermediario en su
ámbito de aplicación de la IDD se extienda
actividad profesional principal. Es decir, se
a todas las ventas de productos de seguros.
trata de otros participantes del mercado
Así, la IDD aplica a todo tipo de ventas
asegurador que venden productos de
de seguros, es decir, tanto a las ventas
intermediadas realizadas por intermediarios de registro serán diferentes en función de la

de seguros e intermediarios de seguros complejidad de los productos que distribuyan
complementarios, como a las ventas directas y deberán registrarse los intermediarios
de productos de seguros realizadas por las de seguros y los intermediarios de seguros
entidades aseguradoras. complementarios. Sin embargo, aquellos
empleados de entidades aseguradoras
En este contexto, junto a los distribuidores
que realicen la actividad complementaria
de seguros definidos anteriormente, la
de intermediarios de seguros no tendrán
IDD incluye dentro su ámbito de aplicación
esta obligación, al estar ya registradas sus
una figura novedosa, los comparadores
entidades aseguradoras o reaseguradoras.
de seguros, cuya actividad consiste en
proporcionar información sobre productos Obligación de suscribir un seguro de
de seguros a partir de unos criterios responsabilidad civil profesional: Los
seleccionados por el cliente, a través de un intermediarios de seguros y reaseguros
sitio web o por otro medio, o en proporcionar deberán disponer de un seguro de
una clasificación de productos de seguro o responsabilidad civil profesional o de
un descuento sobre el precio del contrato cualquier otra garantía comparable para
de seguro, cuando el cliente pueda celebrar las responsabilidades que pudieran surgir
directa o indirectamente un contrato de por negligencia profesional, a menos que
seguro al final del proceso. tal seguro o garantía comparable ya esté
cubierto por la empresa en cuyo nombre
Requisitos generales que tienen
actúe el intermediario.
que reunir los distribuidores de
seguros Obligaciones de formación: Al objeto de
mantener un grado de eficacia adecuado
La IDD busca definir una figura más profesional
a la función que realizan y al mercado,
y específica de mediador, el “distribuidor de
la IDD exige que los distribuidores
seguros” anteriormente definido, con el fin
de seguros cumplan unos requisitos
último de que su actuación redunde en un
mínimos de formación y desarrollo
mejor servicio al cliente. Para ello, mantiene
profesional permanentes, de modo que
y refuerza, por un lado, algunos requisitos
sus conocimientos profesionales estén en
exigidos tradicionalmente a los mediadores
consonancia con el nivel de complejidad de
y establece, por otro, nuevas condiciones:
sus actividades y conozcan las condiciones
de las pólizas que distribuyen, así como las
normas para tramitar siniestros y quejas.
A tal efecto, en materia de formación, la

Obligación de registro: Con la IDD los Directiva exige tener, al menos, quince (15)
distribuidores de seguros deberán estar horas de formación o desarrollo profesional
registrados para desempeñar su labor. En al año, teniendo en cuenta el carácter de los
este sentido, las condiciones y obligaciones productos vendidos, el tipo de distribuidor,
la función que desempeñan y la actividad Buena reputación y normas generales

realizada en el seno del distribuidor de de conducta: la IDD requiere que los
seguros o reaseguros. distribuidores gocen de buena reputación.
A este efecto, se exigen una serie de
Capacidad financiera: La IDD exige a los
condiciones:
estados miembros la adopción de medidas
necesarias para proteger a los clientes • No tener antecedentes penales o
frente a la incapacidad financiera de los cualquier otro equivalente nacional, ya
intermediarios de seguros, a la hora de sea trate de delitos contra la propiedad,
transferir la prima a la empresa de seguros o financieros, contra la honestidad, fraude
transferir la cantidad de la indemnización o y cualesquiera otros contemplados por
el reembolso de la prima al asegurado. Estas el derecho de sociedades, así como
medidas habrán de adoptar una o varias de no haber sido declarados en concurso
las formas siguientes: con anterioridad (salvo rehabilitación
conforme a la ley nacional).
• Disposiciones establecidas por ley o
por contrato, y con arreglo a las cuales • Requisitos de información y conflictos
los importes abonados por el cliente al de interés: los distribuidores están
intermediario se considerarán abonados sujetos a un deber general de actuar
a la empresa, mientras que los importes con honestidad, equidad, imparcialidad
abonados por la empresa al intermediario y profesionalidad, en beneficio de
no se considerarán abonados al cliente los intereses de sus clientes. En este
hasta que este los reciba efectivamente. contexto, deben dar cumplimiento a una
serie de requisitos establecidos en la
• Requisito de que el intermediario Directiva a la hora de informar al cliente,
dispongan de una capacidad financiera así como en materia de remuneración,
que deberá en todo momento ascender transparencia y conflictos de interés.
al cuatro por ciento (4%) del total de las
primas anuales percibidas, sin que pueda • Distinguir claramente la información
ser inferior a dieciocho mil setecientos derivada del cumplimiento de la IDD
cincuenta (18750) euros. de la información de marketing. Toda
información relativa al ámbito de la
• Requisito de que los fondos Directiva, incluidas las comunicaciones
pertenecientes a clientes sean publicitarias, dirigidas por los
transferidos a través de cuentas de distribuidores a los (potenciales) clientes,
clientes completamente separadas y de deberá ser precisa, clara y no engañosa.
que los importes consignados en dichas
cuentas no se utilicen para reembolsar a Limitaciones en materia de
otros acreedores en caso de quiebra; incentivos
• Requisito de establecer un fondo de Como principio general, la Directiva

garantía. establece que la remuneración basada en
objetivos de ventas no debe constituir un Ventas informadas (ventas sin

incentivo para recomendar un producto asesoramiento):
determinado a los clientes. A tal efecto, los
distribuidores de seguros no podrán ser Las ventas informadas se realizan en función
remunerados ni evaluar el rendimiento de de demandas y necesidades, es decir, el
sus empleados de un modo que entre en distribuidor tiene que ofrecer al cliente una
conflicto con su obligación de actuar en el información objetiva y coherente, basada
mejor interés de sus clientes. en la información que ha proporcionado

y solicitado el propio cliente. En este caso,
En particular, un distribuidor de seguros el distribuidor es un mero ejecutante
no establecerá ningún sistema de de la voluntad del cliente que solicita un
remuneración, de objetivos de ventas o determinado producto y solo debe saber
de otra índole que pueda constituir un temas personales y profesionales del
incentivo para que este o sus empleados cliente. Deben ir siempre acompañadas
recomienden un determinado producto de un test para identificar las exigencias
de seguro a un cliente si puede ofrecer un y necesidades del cliente a fin de poder
producto diferente que se ajuste mejor a las ofrecerle un producto de seguro coherente
necesidades del cliente. Además, la Directiva con las mismas. Como mínimo, toda venta
establece para todos los distribuidores ha de ser informada.
la obligación de informar previamente
a los clientes sobre la naturaleza de su Ventas asesoradas:
remuneración, aunque no del importe de la
Son ventas informadas acompañadas de una
misma.
recomendación personalizada que puede
Tipos de venta de seguros realizar cualquier distribuidor de seguros. Es

decir, son ventas en las que el distribuidor,
La IDD regula las modalidades de “venta además de informar del producto que pide
informada”, “venta asesorada” y “venta el cliente, le asesora proporcionándole
cruzada”, estableciendo una serie de una recomendación personalizada sobre
particularidades en cada caso: los productos que mejor se adaptan a sus
necesidades. El asesoramiento se configura
como componente adicional a la venta
informada.
Venta cruzada:
Esta modalidad que tiene lugar cuando un

producto de seguro se ofrece juntamente
con otros servicios o productos distintos de
los seguros, como parte de un paquete o del
mismo acuerdo.
En este sentido, el producto de seguro

puede ofrecerse como el elemento principal
o como el elemento accesorio del acuerdo o
paquete.
Cuando el producto de seguro se configura

como el elemento principal del paquete, el
distribuidor de seguros informará al cliente a. Información de carácter general: Los
de si los distintos componentes pueden distribuidores deberán facilitar la
adquirirse separadamente y, en tal caso, siguiente información precontractual
ofrecerá una descripción adecuada de los al cliente, con independencia del canal
diferentes componentes del acuerdo o empleado para la celebración del
paquete, así como justificantes de los costes contrato de seguros:
y gastos de cada componente.
• Su identidad, dirección y condición de
Cuando el producto de seguros se configure intermediario de seguros o empresa
como el elemento auxiliar del paquete o de seguros.
acuerdo, el distribuidor debe ofrecer al • Si ofrecen asesoramiento en

cliente la posibilidad de adquirir el bien relación con los productos de seguro
o servicio principal por separado del vendidos.
producto accesorio de seguros, salvo en el • Los procedimientos que permitan
caso de que dicho producto de seguros sea a los consumidores y otras partes
complementario de un servicio o actividad interesadas presentar quejas
de inversión sujeto a la Directiva MiFID, a sobre los distribuidores y sobre
la Directiva Hipotecaria o a la Directiva de los procedimientos de resolución
Cuentas de Pago. extrajudicial existentes.
Obligaciones de información de los • En caso de intermediarios, el registro

distribuidores en el que esté inscrito y los medios
para comprobar esa inscripción, así
La IDD establece la obligación de como si actúa en representación del
proporcionar al cliente, en la fase cliente o en nombre y por cuenta de
precontractual, información clara sobre la empresa de seguros.
la condición en que actúan las personas
b. Información sobre conflictos de
que venden productos de seguro y sobre
intereses:
la naturaleza y el tipo de remuneración
que reciben. A este respecto, la Directiva • Si poseen una participación directa
distingue entre información común a todos o indirecta igual o superior diez por
los canales y productos, e información ciento (10%) de los derechos de voto
específica para determinados supuestos. o del capital en una empresa de
seguros determinada;
• Si la empresa de seguros o su empresa - Cualquier otro tipo de

matriz posee una participación remuneración, incluida cualquier
directa o indirecta igual o superior al posible ventaja económica
diez por ciento (10%) de los derechos ofrecida u otorgada en relación
de voto o del capital del intermediario con el contrato de seguro.
de seguros;
- Remuneración establecida sobre
c. Información sobre el contrato ofrecido o la base de una combinación
sobre el cual se ha asesorado: de cualquiera de los tipos de
• Si realizan o no una venta asesorada, remuneración anteriores.
basándose en un análisis objetivo y - La naturaleza y tipo de

personal; remuneración percibida en
• Si están vinculados a una o más virtud de posibles pagos que, en

empresas aseguradoras, debiendo su caso, efectúe el cliente con
identificarlas ante el cliente. posterioridad a la celebración del
contrato, distintos de las primas
• Si no están vinculados a una o más
y pagos correspondientes al
aseguradoras y no hacen análisis
contrato de seguros celebrado.
objetivo, debiendo informar al cliente
de los nombres de las empresas de e. Nota informativa previa en seguros de No
seguros con las que puedan realizar, Vida - PID (Insurance Product Information
o de hecho realicen, actividades de Document): En la distribución de
seguros. productos de seguro distintos del seguro
de vida, el distribuidor, con carácter previo
d. En materia de la remuneración percibida
por el distribuidor, deberán informar a la celebración del contrato, deberá
sobre: facilitar al cliente toda la información

pertinente sobre el producto de seguro,
• La naturaleza de la remuneración
de modo que pueda tomar una decisión
recibida en relación con el contrato
fundada, atendiendo en todo caso a la
de seguro.
complejidad del producto de seguro y
• El tipo de remuneración percibido en al tipo de cliente. Esta información se
relación con el contrato de seguro: documentará en una nota informativa
- Honorario: la remuneración la previa a la formalización del contrato
abona directamente el cliente. El (“PID”- Insurance Product Information
intermediario deberá informar Document), que será facilitada al cliente
al cliente sobre el importe del de forma gratuita y por escrito, en
honorario o, en su caso, del soporte papel, redactada de forma clara
método para calcularlo. y precisa, comprensible para el cliente y
- Comisión: la remuneración está en una lengua oficial del estado miembro
incluida en la prima de seguro. en el que se sitúe el riesgo u otra lengua
acordada por las partes. Asimismo, de la Unión Europea el 28 de febrero del

deberá hacer referencia a que la 2015.
información contractual y precontractual
La trasposición de la mencionada Directiva
completa relativa al producto de seguro
al ordenamiento jurídico español ha tenido
figura en otros documentos.
lugar mediante la Ley 5/2019, de 15 de marzo,
La nota informativa será diseñada por el reguladora de los contratos de crédito
fabricante del producto, y deberá incluir inmobiliario, desarrollada parcialmente por
el siguiente contenido: el Real Decreto 309/2019, de 26 de abril.
Tipo de seguro. Por otro lado, las Directrices la Autoridad

Bancaria Europea (EBA) sobre la evaluación
de solvencia y atraso y exclusión para apoyar
Descripción de la cobertura, riesgos
la aplicación nacional de los Estados a los
incluidos y excluidos, sumas
que se les aplique esta Directiva entraron
aseguradas y ámbito geográfico.
en vigor el 21 de marzo de 2016, aunque
Condiciones de pago de la prima ciertas disposiciones transitorias entren en
funcionamiento en enero de 2019.
Principales exclusiones de
El objetivo de dicha Directiva es doble:
reclamaciones.
• Creación de un mercado único de
Obligaciones al inicio del contrato,
créditos hipotecarios que sea eficiente y
durante el mismo y en caso de
competitivo;
siniestro.
• Garantizar una mayor protección de los
Duración del contrato con fechas consumidores mediante el impulso de
de inicio y fin. prácticas de concesión responsable en el
crédito hipotecario.
Formas de terminación del contrato. De esta manera se reducen las diferencias

sustanciales entre las legislaciones de
los estados miembros con respecto a la
18.3.4. Mercado hipotecario
conducta de las empresas en la concesión
La Directiva 2014/17/UE del Parlamento de contratos de crédito relativos a bienes
Europeo y del Consejo, de 4 de febrero inmuebles residenciales y en la regulación y
de 2014, sobre los contratos de crédito supervisión de los intermediarios de crédito
celebrados con los consumidores para y las instituciones de los contratos de crédito
bienes inmuebles de uso residencial (la relativos a bienes inmuebles residenciales.
“Directiva de Crédito Hipotecario” o la
La Directiva resulta de aplicación a los
“Directiva”) fue publicada en el Diario Oficial
contratos de crédito:
i. Garantizados por una hipoteca o c. Se prohíbe a las entidades bancarias

por cualquier otra garantía que sea supeditar la concesión del préstamo
comparable y de uso común en a la adquisición de otros productos
cada Estado miembro sobre bienes financieros (ventas vinculadas).
inmuebles residenciales o garantizados
d. Deben evaluar la solvencia del
por un derecho relacionado con bienes
consumidor.
inmuebles residenciales;
e. Deben establecer normas fiables de
ii. Aquellos cuya finalidad sea la de adquirir
tasación.
o conservar derechos de propiedad
sobre terrenos o inmuebles existente o f. Se exige que el personal al servicio de las
futuros. entidades de crédito esté debidamente
capacitado y formado.
La Directiva permite a los estados miembros
cierta flexibilidad a la hora de excluir ciertos g. Se deberá facilitar el reembolso
tipos de contratos de crédito del ámbito de anticipado (flexibilidad en el pago)
aplicación de la norma. y no desincentivarlo mediante
comisiones o gastos de cancelación
Asimismo, la Directiva resulta de aplicación desproporcionados.
a las personas físicas que actúan fuera
de su comercio, negocio o profesión h. La banca tiene derecho a una
(clientes minoristas como consumidores). compensación justa si se le irroga
Los consumidores no podrán renunciar perjuicio, pero no tiene derecho a
a los derechos establecidos en las leyes “sancionar” mediante comisiones
nacionales una vez traspuesta la Directiva. abusivas por el mero hecho de amortizar.
Los préstamos comerciales a empresas
i. La ejecución de las hipotecas no debe
estarán, por tanto, excluidos del ámbito de
operar como un criterio automático.
aplicación de la Directiva.
j. Deben buscarse fórmulas alternativas a
Las entidades financieras tienen distintas la ejecución.
obligaciones de acuerdo con la normativa
k. Se consolida la dación en pago cuando
hipotecaria, entre otras las siguientes:
existe acuerdo entre prestamista y
a. Entregar al consumidor, antes de deudor ante la imposibilidad de pago.
comprar una vivienda, la información
precontractual mediante un folleto 18.3.5. Gestión de quejas y
informativo estándar de fácil reclamaciones en el sector
comprensión. financiero
b. Dar un periodo de reflexión de siete (7) La confianza de los inversores es una de las
días a fin de que el consumidor pueda piezas fundamentales del engranaje de los
desistir de firmar la hipoteca y pueda mercados financieros. La aplicación de las
valorarla y estudiarla. nuevas tecnologías de la información está
favoreciendo, de una parte, la aparición atender y resolver los tipos de reclamaciones

de productos financieros cada vez más que determine en cada caso su reglamento
innovadores, y de otra, el crecimiento de la de funcionamiento, y que habrá de ser una
prestación de servicios a distancia. entidad o experto independiente.
Estas nuevas posibilidades de En este sentido, existen matices entre los

comercialización financiera justifican la conceptos de “queja” y de “reclamación”.
adopción de nuevas medidas tendentes Así, con carácter general la queja se
a preservar la confianza de los inversores identifica como una muestra del malestar
en el funcionamiento y capacidad de los de un consumidor con la empresa o el
mercados financieros. En efecto, para profesional que debe prestarle un servicio
asegurar que este mayor dinamismo en la o entregar un bien, pero sin pretender, al
prestación de servicios financieros beneficia menos abiertamente, una compensación al
a los inversores es necesario que el marco respecto. En la reclamación, por el contrario,
legal regulador de los servicios financieros el consumidor sí solicita un resarcimiento
ofrezca a estos clientes un nivel de protección económico o una actuación concreta de esa
adecuado, que preserve su confianza en el empresa/profesional, al considerar que sus
funcionamiento de los mercados. derechos se han visto vulnerados.
La Ley 44/2002, de 22 de noviembre, de

medidas de reforma del sistema financiero,
establece la obligación para las entidades
financieras, de atender y resolver las quejas
y reclamaciones que sus clientes puedan
presentar, relacionadas con sus intereses y
derechos legalmente reconocidos.
En el ámbito financiero, ambos conceptos
En primer lugar, se establece la obligación se definen en el artículo 2 de la Orden
para las entidades financieras, de atender ECC/2502/2012, de 16 de noviembre,
y resolver las quejas y reclamaciones que por la que se regula el procedimiento de
sus clientes puedan presentar, relacionadas presentación de reclamaciones ante los
con sus intereses y derechos legalmente servicios de reclamaciones del Banco de
reconocidos. España, la Comisión Nacional del Mercado
de Valores y la Dirección General de Seguros
A estos efectos, las entidades de crédito,
y Fondos de Pensiones.
empresas de servicios de inversión y
entidades aseguradoras deberán contar Así, se entiende por queja la presentada por
con un departamento o servicio de atención los usuarios de servicios financieros por la
al cliente. Además, podrán designar un demora, desatención o cualquier otro tipo
defensor del cliente, a quien corresponderá de actuación deficiente que se observe en el
funcionamiento de las entidades financieras Contenido de la queja o reclamación

contra las que se formula la queja.
Identificación del interesado o de su
representante debidamente acreditado
La reclamación es aquella presentada por
(Nombre, apellidos, domicilio, DNI si es
los usuarios que ponga de manifiesto, con
persona física y datos referidos a registro
la pretensión de obtener la restitución de público para las jurídicas).
su interés o derecho, hechos concretos
Motivo de la queja o reclamación, con
referidos a acciones u omisiones de las
especificación clara de las cuestiones sobre
entidades reclamadas que supongan para
las que se solicita un pronunciamiento.
quien las formula un perjuicio para sus
intereses o derechos. Oficina u oficinas, departamento o
servicio donde se hubieran producido los
Además, estos perjuicios deber tener su hechos objeto de la queja o reclamación.
origen en presuntos incumplimientos por Declaración del interesado referida
las entidades reclamadas de dos tipos de a que no tiene conocimiento de si la
fuentes de obligaciones: materia objeto de la queja o reclamación
está siendo sustanciada a través de un
• Las normas de transparencia y protección procedimiento administrativo, arbitral o
a la clientela, es decir, aquellas cuya judicial.
finalidad es la de proteger los legítimos
Lugar, fecha y firma.
intereses de los clientes y que contienen
preceptos referidos a las obligaciones Junto a ese documento, el interesado deberá
específicas de las entidades sobre aportar los documentos que obren en su poder
para sustentar su queja o reclamación.
comunicación de las condiciones básicas
de las operaciones, determinados
Las quejas y reclamaciones podrán
aspectos de su publicidad y normas de
presentarse por el interesado
actuación e información.
personalmente o mediante representación y
• Las buenas prácticas aquellas que, a en soporte papel o por medios informáticos,
diferencia de las anteriores, no vienen electrónicos o telemáticos, siempre que
impuestas por la normativa contractual éstos permitan la lectura, impresión y
o de supervisión ni constituyen un uso conservación de los documentos.
financiero, pero son razonablemente

El Departamento o Servicio de
exigibles a la entidad para la gestión
Atención al Cliente
responsable, diligente y respetuosa de la
clientela. El Departamento o Servicio de Atención
al Cliente (DAC/SAC) es una unidad
El contenido de la queja o reclamación será especializada en la atención de quejas y
el siguiente: reclamaciones de la propia entidad de
crédito y, por tanto, integrado dentro de su
estructura organizativa.
Es necesario que exista una separación España, por el Director General.

formal y funcional respecto de otros servicios
Por lo que respecta a la ratificación del
de la entidad, por lo que debe constituirse
nombramiento por la junta o asamblea
como un departamento independiente
general u órgano equivalente, únicamente
en el organigrama de la entidad o grupo
se prevé en el supuesto específico del
de empresas y su funcionamiento será
Defensor del Cliente y siempre que así se
autónomo respecto de las áreas operativas
prevea en los estatutos de la entidad.
y comerciales de la organización, todo ello
con el fin de garantizar que sus decisiones En cuanto a las funciones que desempeñan
estén libres de condicionantes jerárquicos los DAC/SAC, la principal es atender y resolver
y minimizar posibles conflictos de intereses las quejas y reclamaciones que sus clientes,
con otras unidades de la entidad. personas físicas o jurídicas, les presenten
directamente o por representación,
Asimismo, puede existir un único DAC/
relacionadas con sus intereses y derechos
SAC en el caso de entidades que formen
legalmente reconocidos por operaciones,
parte del mismo grupo de empresas,
contratos o servicios financieros prestados
como por ejemplo los grupos que operan
por la entidad.
en los sectores bancarios, de inversión y
asegurador a través de diversas sociedades, No obstante, y desde la óptica de un
lo que puede suponer ventajas tanto para departamento de atención al cliente,
los usuarios (por la aplicación de criterios existen otras funciones de interés que
homogéneos en las resoluciones o la sirven a la empresa para orientar su relación
simplificación de los canales de contacto) con los clientes, entre las que pueden
como para las entidades (por los menores identificarse las funciones de coordinación
costes de estructura). con otros departamentos de la entidad o la
identificación y prevención de las posibles
El departamento o servicio de atención
causas de conflictos con los clientes.
al cliente debe contar con un titular en el
caso de entidades de crédito, una persona El Defensor del Cliente.
en la que deberán concurrir los requisitos
de honorabilidad comercial y profesional En el sector financiero existe la obligatoriedad
y poseer los conocimientos y experiencia de que exista un Departamento o
adecuados para ejercer sus funciones. Servicio de Atención al Cliente, pero no
necesariamente la constitución de un
Dada la relevancia del puesto, la norma Defensor del Cliente, pudiendo darse el
prevé que la designación y nombramiento supuesto de que ambos órganos coexistan
del titular se haga por el consejo de en la misma entidad, si bien con atribuciones
administración u órgano equivalente de claramente diferenciadas en función de
la entidad o, en el caso de sucursales de los criterios fijados en su reglamento de
entidades extranjeras que operen en funcionamiento.
En lo referente a los requisitos para la De manera muy similar al procedimiento de

designación del Defensor del Cliente, designación de los titulares de los DAC/SAC
comparte las mismas exigencias de y Defensor del Cliente, el Reglamento será
honorabilidad, conocimientos y experiencia aprobado por el consejo de administración
que las previstas para los DAC/SAC, pero la u órgano equivalente de cada entidad, y,
Orden introduce un elemento diferenciador en su caso, por la Dirección General en el
respecto de estas figuras: su independencia caso de sucursales de entidades extranjeras
de funcionamiento respecto de la entidad que operen en España. La ratificación del
que le ha designado. Reglamento podrá ser realizado por la junta
o asamblea general u órgano equivalente, si
En este sentido, se establece que el Defensor
así se prevé en los estatutos de la entidad.
del Cliente podrá ser una entidad o experto
independiente de reconocido prestigio, en el El contenido mínimo del reglamento es el
ámbito jurídico, económico o financiero, cuya siguiente:
labor se desarrollará con total autonomía en
a. Duración del mandato: El mandato
cuanto a los criterios y directrices a aplicar
puede ser indefinido y, en su caso, con
en el ejercicio de sus funciones.
posibilidad de renovación.
Por otro lado, se le confiere la facultad
b. Causas de incompatibilidad,
(correctora/orientadora) de promover frente
inelegibilidad y cese: En cuanto a las
a la entidad que lo designa el cumplimiento
dos primeras causas, normalmente se
de la normativa de transparencia y
prevé en los reglamentos supuestos
protección de la clientela y de las buenas
de inhabilitación o suspensión de
prácticas y usos financieros.
carácter penal o administrativa para
ejercer cargos públicos o de gestión de
Esta independencia tiene su reflejo en el
sociedades; existencia de antecedentes
hecho de que la resolución favorable del
penales (falsedad, revelación de
Defensor del Cliente vinculará a la entidad,
secretos, blanqueo de capitales, etc.)
pero no al reclamante.
y quienes tengan responsabilidades
El Reglamento para la Defensa del operativas o comerciales en las compañía
Cliente. o Grupo que le designa. Asimismo,
se suelen incorporar supuestos de
Las normas básicas de funcionamiento
incompatibilidad por vinculación con
del DAC/SAC y, de existir, del Defensor del
el objeto de reclamación que puedan
Cliente, deben recogerse en un documento
suponer un conflicto de intereses.
obligatorio, el Reglamento, donde a su vez
se regularán las relaciones entre ambos El cese se producirá las causas habituales
órganos si se hubiera previsto una actuación como muerte, incapacidad sobrevenida,
conjunta. renuncia, cesación de su relación laboral
con la compañía a la que pertenezca,
jubilación o prejubilación, por algunos reclamación, sin que pueda ser inferior
de los supuestos de ilegibilidad o por a dos años.
cualquier otra causa debidamente
f. Concreción de los trámites internos en la
justificada.
entidad o grupo para la presentación de
c. Asuntos de relevancia: Relación clara y reclamaciones.
precisa de asuntos cuyo conocimiento,
Información pública a los clientes
por razón del fondo, la cuantía o
en oficinas y páginas web.
cualquier otro criterio, se atribuye al
defensor del cliente, en su caso, con La normativa establece la necesidad de
indicación expresa de que aquellos que que el Reglamento esté a disposición de los
no le correspondan serán competencia clientes en todas y cada una de las oficinas
del departamento o servicio de atención abiertas al público y en la página web de la
al cliente. Si ambas instancias tuvieran entidad en los casos de contratos celebrados
atribuido el conocimiento del mismo tipo de forma telemática. En la práctica y con
de reclamación se deberá especificar independencia de que el contrato se haya
si tras la decisión del departamento celebrado por este medio, las entidades
o servicio de atención al cliente el suelen incorporar el citado Reglamento en
reclamante puede acudir al defensor sus páginas web.
del cliente como segunda instancia, sin
perjuicio del plazo de dos meses para Además del Reglamento, la entidad deberá
poner a disposición de los clientes por los
dictar una decisión definitiva para el
canales señalados la siguiente información:
reclamante.
• La existencia de un DAC/SAC y, en su
d. Deberes: Deber de todos los
caso, de un Defensor del Cliente, con
departamentos y servicios de la entidad
indicación de su dirección postal y
de facilitar al departamento o servicio
electrónica.
de atención al cliente y al defensor del
cliente, cuantas informaciones éstos • La obligación por parte de la entidad
soliciten en relación con el ejercicio de de atender y resolver las quejas y
sus funciones. Muchos reglamentos reclamaciones presentadas por sus
recogen que la solicitud de cooperación clientes, en el plazo de dos meses desde
se realice por correo electrónico o su presentación en el DAC/SAC o, en su
cualquier otro medio que garantice los caso, Defensor del Cliente.
principios de rapidez, seguridad, eficacia
• Referencia al servicio de reclamaciones
y coordinación.
de las tres instituciones supervisoras
e. Plazos: Plazo para la presentación de las españolas que corresponda, con
reclamaciones, a contar desde la fecha especificación de su dirección postal y
en que el cliente tuviera conocimiento electrónica, y de la necesidad de agotar
de los hechos causantes de la queja o la vía del departamento o servicio de
atención al cliente o del defensor del Contenido mínimo del Informe Anual
cliente para poder formular las quejas y DAS/SAC
reclamaciones ante ellos.
Resumen estadístico de las quejas
• Referencias a las normas vigentes de y reclamaciones atendidas, con
transparencia y protección del cliente de información sobre su número, admisión a
servicios financieros. trámite y razones de inadmisión, motivos

y cuestiones planteadas en las quejas
Servicios de reclamaciones en los y reclamaciones, y cuantías e importes
reguladores y supervisores. afectados.
Una vez que se haya formulado Resumen de las decisiones dictadas,

con indicación del carácter favorable o
previamente la queja o reclamación y ésta
desfavorable para el reclamante.
no se haya resuelto o se haya del negado
la admisión o se hubiere desestimado, los Criterios generales contenidos en las
encargados de atenderla serán los servicios decisiones.
de reclamaciones de los organismos
Recomendaciones o sugerencias
supervisores los que asuman el objetivo de
derivadas de su experiencia, con vistas a
la protección del inversor.
una mejor consecución de los fines que
informan su actuación.
Tendrán por objeto la protección de
los derechos del usuario de servicios Un resumen del informe se integrará en la Memoria
financieros, siendo competentes para Anual de las entidades.
atender las quejas o reclamaciones que
formulen los usuarios de los servicios
Desde el departamento de Compliance se
prestados por las entidades de crédito.
debe asegurar que en el departamento de
Será imprescindible para la admisión y Atención al Cliente se atienden todos los
tramitación de quejas o reclamaciones requerimientos, y que se garantizan todos
haberlas formulado previamente ante las los derechos de los consumidores.
entidades financieras obligadas a atenderlas
y resolverlas a través de un servicio o unidad
equivalente encargado de la realización de
dicha función.
Informes de los Departamentos de

Atención al Cliente.
El DAC/SAC y el Defensor del Cliente deben

presentar dentro del primer trimestre de
cada año un informe explicativo con los
aspectos más destacables de su actuación
del durante el ejercicio que corresponda.
• La normativa reguladora de los derechos del consumidor es posiblemente una de las que mayor
volumen de trabajo puede suponer a las Compliance Officer en determinados sectores.
• En España, la normativa de protección al consumidor se origina en el mandato del artículo 51 de

la Constitución, desarrollándose en diversas leyes como el RDL 1/2007, Texto Refundido de la Ley
General para la Defensa de Consumidores y Usuarios y otras leyes complementarias (TRLGDCU),
la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) y el
RDL 1/2021 de protección de los consumidores y usuarios frente a situaciones de vulnerabilidad
social y económica.
• Asimismo, no podemos obviar en este ámbito el corpus normativo de la UE, con la reciente entrada
en vigor de la Directiva 2019/2161 de mejora y modernización de las normas de protección de
los consumidores de la Unión (traspuesta mediante el RDL 24/2021), que actualiza y fortalece los
derechos de los consumidores de la Unión con la modificación de varias directivas.
• La normativa establece una serie de derechos básicos del consumidor, como son: los que protegen
contra riesgos a la salud o seguridad; los que defienden sus legítimos intereses económicos
y sociales (frente a prácticas comerciales desleales y cláusulas abusivas); los que garantizan la
indemnizaciones por daños y perjuicios; los que aseguran que recibirán información correcta
sobre los diferentes bienes o servicios; los que aseguran la participación en la elaboración de las
disposiciones generales que les afectan y la protección efectiva de sus derechos con especial
atención a los consumidores vulnerables.
• Para la protección de esos derechos, uno de los ámbitos más importantes sobre los que actúa
la normativa lo constituyen los contratos que regulan la relación comercial, siendo los aspectos
más importantes los relativos a la información precontractual, el derecho de desistimiento, el
consentimiento y constancia del contrato, las garantías en la contratación y las relacionadas con
las características específicas de los contratos a distancia, en un contexto en el que esta modalidad
va desplazando a las tradicionales.
• Particularmente importante es el derecho de desistimiento, como la facultad del consumidor de

dejar sin efecto el contrato celebrado si se notifica a la otra parte dentro del plazo establecido, sin
necesidad de justificación y sin ser objeto de penalización de ninguna clase. El plazo general es de
14 días, siempre que se hayan cumplido los requisitos y formalidades de información al respecto.
• No obstante, el derecho de desistimiento no es absoluto, pues una serie de bienes y servicios

quedan excluidos, particularmente aquellos de naturaleza o características especiales, entre ellos:
servicios ya comenzados, bienes o servicios sujetos a fluctuación, bienes personalizados, aquellos
no aptos para devolución por cuestiones de salud o higiene, los caducables o de fácil deterioro, los
mezclados de forma indisociable, el alojamiento con fin distinto al de vivienda, visitas urgentes para
reparación o mantenimiento, etc.
• Cobra especial relevancia para la protección de los consumidores la regulación del creciente
comercio a distancia y de sus contratos. Para prevenir abusos, la normativa regula la información
recibida por el consumidor mediante los requisitos de lengua utilizada en la contratación. También
establece la información a trasladar al consumidor cuando conlleva obligaciones de pago, regula
las condiciones para la aceptación, las de las restricciones de entrega y modalidades de pago
y otras condiciones a cumplir si la contratación se realiza telefónicamente o por otros medios
análogos. Por último, establece algunos supuestos especiales (suministros durante el plazo de
desistimiento), los requisitos para la confirmación efectiva del contrato y generación de efectos,
y traslada la carga de la prueba del cumplimiento de las obligaciones normativas al comerciante.
• Ante los escándalos y abusos acaecidos en el sector financiero y para la mejora de la protección
de los clientes del mismo, se ha desarrollado una normativa sectorial específica. El objetivo
primordial es que los clientes reciban información precisa y correcta antes de recibir los
productos o servicios, evitando situaciones de indefensión.
• La normativa de referencia en este ámbito procede de la UE y se integró en el ordenamiento

jurídico español a finales del año 2007, al transponer la Directiva 2004/39/CE (conocida como
MiFID I), a través de la Ley 47/2007 del Mercado de Valores.
• Juzgada como insuficiente, se trabajó en la reforma de la misma, que dio paso a la Directiva
2014/65/UE (conocida como MiFID II) y del Reglamento (UE) 600/2014 (conocido como MiFIR),
cuya acción se centra en la mejora de la transparencia y eficiencia de los mercados europeos, así
como la protección al inversor.
• Así, un aspecto importante de la normativa de la UE en la protección del consumidor en este

ámbito radica en la información precontractual que éste debe recibir, y las características
que esta debe tener, a saber: debe ser proporcionada con antelación suficiente; igualmente,
ha de ser imparcial, clara y no engañosa; debe incluir información sobre la independencia -o
no- del asesoramiento que recibe, así como advertencias sobre los riesgos de los instrumentos
financieros y productos a contratar. Por último, debe recibir información transparente sobre los
incentivos del proveedor de servicios y también datos precisos acerca de los costes y gastos que
involucra la contratación.
• Una parte importante de la protección de los consumidores en el ámbito financiero corresponde

al sector de los seguros privados, regulado por Directiva (UE) 2016/97 sobre la distribución de
seguros, (conocida IDD).
• Para profesionalizar la distribución de estos productos, la IDD establece unos requisitos que
han de cumplir los distribuidores: estar registrados, suscribir un seguro de responsabilidad
civil profesional, mantener una formación continua de los profesionales, disponer de suficiente
capacidad financiera, así como de una buena reputación y nivel de cumplimiento de normas
generales de conducta.
• La IDD también regula las modalidades de venta de seguros, que clasifica en “venta informada” (que,
como mínimo, son todas), “venta asesorada” (a la que se añade una recomendación personalizada)
y “venta cruzada” (en la que entran otros productos como principales o accesorios).
• Respecto de la regulación sobre quejas y reclamaciones, la normativa distingue entre unas y otras:
mientras que la queja es presentada por los usuarios de servicios por la demora, desatención
o cualquier otro tipo de actuación deficiente, la reclamación denuncia hechos sobre los que se
pretende obtener restitución de su interés o derecho o compensación. Tanto para una como para
otra, se requiere la identificación del interesado, descripción del objeto o motivo concreto, el
lugar de los hechos, declaración del interesado de que la materia no está siendo tratada por otro
procedimiento, evidencias/documentos y otras formalidades (lugar, fecha, firma).
Módulo 19
Compliance en
el sector público
MÓDULO 19 • COMPLIANCE EN EL SECTOR PÚBLICO
Módulo 19 No obstante, parece oportuno plantearse y

reflexionar sobre cuál es el motivo y la razón
Compliance en el sector que justifica que una administración o una
público empresa pública deba contar también un

sistema de gestión de Compliance. En este
sentido, pudiera pensarse que el sector
Objetivos
público, sujeto ya de por sí a infinidad de
Tras completar este módulo, el alumno normas que regulan sus actuaciones y
deberá ser capaz de: funcionamiento y exento, a excepción de
las empresas públicas, de responsabilidad
• Entender la necesidad de Compliance en el penal, no requeriría aplicar estos modelos
sector público de organización y gestión para garantizar su
integridad y buen gobierno.
• Delimitar los ámbitos incluidos en el sector
público
No obstante, es conveniente reflexionar
• Comprender la contribución de Compliance al sobre el ámbito de responsabilidad que
sector público. surge de su propia naturaleza pública, lo
• Conocer los principales retos y dificultades que

que justificaría una motivación intrínseca
afronta Compliance en el sector público. para adoptar mecanismos de prevención
y detección de la vulneración, no solo del
• Identificar las recomendaciones para el
marco legal que resulte de aplicación sino
Compliance del sector público.
también de los valores y principios éticos
que deben regir la gestión pública.
19.1. Introducción
Las entidades que forman parte del sector
Los grandes escándalos corporativos, las público presentan vulnerabilidades muy
exigencias normativas en sectores regulados concretas asociadas a la corrupción y las
como el financiero, y el reconocimiento de malas prácticas. Ambas cuestiones fueron
la responsabilidad penal de las personas motivo del nacimiento de la función de
jurídicas, constituyeron causas directas Compliance y su desarrollo en los últimos
del desarrollo e implantación de la función años.
de Compliance y de la proliferación de los
comúnmente conocidos como “programas La inadecuada gestión de riesgos regulatorios
de Compliance”. y deficiente cumplimiento normativo, el mal
gobierno corporativo, la gestión deficiente
Podemos entender, por tanto, que existe de los fondos públicos y una rendición de
una motivación extrínseca que contribuye cuentas insuficiente, nos lleva a la necesidad
a que estos modelos de organización y de buscar nuevos mecanismos y la creación
gestión se desarrollen e implanten en las de nuevos órganos y procedimientos que
organizaciones, en general. prevengan estos riesgos.
En primer lugar, la función de Compliance

es una herramienta que puede ayudar
a cualquier organización -incluida la
Administración pública, sus instituciones y
cualquier ámbito sometido a su normativa-
a servir con objetividad y desde la integridad
los intereses generales y a perseguir el buen
gobierno de estas, verdadero objetivo de esta
Principios del buen gobierno. Elaboración propia.
función. El deber de buena administración Fuente: Libro Blanco de la Gobernanza Europea
de todas las entidades que gestionan fondos

Por tanto, Compliance en el sector público
públicos está muy relacionado con la auto
exigencia administrativa de calidad en los debe entenderse como una oportunidad
servicios públicos, aunque va más allá de para contribuir a identificar, analizar y
ella. evaluar cuáles son los riesgos de falta de

integridad y buena gobernanza, prevenirlos
En segundo lugar, los estándares y la y mitigarlos a través del establecimiento
normativa internacional indican que un de controles, y, sobre todo, a que dichos
sistema de Compliance debe entenderse controles sean más eficaces.
como un modelo de organización y gestión
que debe sustentarse en un adecuado La razón fundamental que debe impulsar la
marco de gobernanza del cual se pueda implantación de programas de Compliance
deducir claramente el establecimiento de en el sector público, más allá de la presión
una cultura ética y de respeto del Derecho. ejercida por el marco legal y regulatorio,
Este modelo de organización y gestión es la necesidad de asegurar que sus
debe incluir concretas y eficaces formas profesionales actúen de acuerdo con
de vigilancia y control del comportamiento los más altos estándares de integridad,
de los servidores públicos, tendentes a la priorizando el interés público sobre otros
prevención y pronta detección de la comisión intereses particulares y adoptando pautas
por éstos de determinadas prácticas y de actuación eficientes para reducir los
actividades delictivas e irregulares. incumplimientos legales y conductas
contrarias a los principios éticos que deben
En definitiva, el sector público debe liderar inspirar la actuación de Administraciones e
con el ejemplo y conducir su actividad de Instituciones públicas.
acuerdo con los más altos estándares de
integridad y buena gobernanza. 19.2. Definición y alcance de
sector público
En este sentido, la función de Compliance
se traduce en un compromiso, un No podríamos avanzar en la definición de
convencimiento, una cultura, y puede modelos de Compliance e integridad en el
convertirse en un sistema coherente y sector público sin definir primero cuál es
completo que permita lograr ese objetivo. el alcance y definición de dicho concepto.
En este sentido, y atendiendo a un criterio Partimos por tanto de una concepción

estrictamente jurídico, la Ley 40/2015, de 1 de amplia del sector público, dado que existen
octubre, de Régimen Jurídico del Sector Público, organizaciones que, no siendo estrictamente
en su artículo 2275, ofrece una definición sector público, por sus particularidades
bastante concreta y precisa de qué debemos sí están consideradas como tal para
considerar “sector público”. determinados ámbitos de actuación (por
ejemplo, cuando no siendo sector público
Sin embargo, a nivel nacional, además
de la Ley 40/2015, existen otras normas stricto sensu gestione fondos públicos).
que definen qué podemos y debemos

entender por este concepto (por ejemplo, Alcance del concepto “sector público”
la Ley 47/2003, de 26 de noviembre, General (OCDE)
Presupuestaria, o la Ley 9/2017, de 8 de “[...] los organismos legislativos, ejecutivos,
noviembre, de Contratos del Sector Público). administrativos y judiciales, así como a sus funcionarios,
nombrados o elegidos, remunerados o no, temporales
Del análisis realizado de estas normas
o permanentes a nivel de la Administración central
podemos entender, a grandes rasgos, que el y subnacional. Puede asimismo incluir empresas
concepto sector público puede abarcar los públicas o estatales, asociaciones público-privadas,
siguientes ámbitos: incluidos sus directivos y funcionarios, así como
entidades que presten servicios públicos (por ejemplo,
salud, educación y transporte público), los cuales en
algunos países son externalizados o financiados con
capital privado.”
OCDE, 2017
19.3. La función de Compliance

en el sector público
Establecer una función de Compliance en
Definición y alcance del sector público en el marco del desarrollo de
programas de Compliance o integridad. Fuente: Elaboración propia cualquier organización o institución implica
crear un modelo de organización y gestión
275
“1. La presente Ley se aplica al sector público que comprende:
que permita, como indica el Libro Blanco de
a) La Administración General del Estado. la Función de Compliance (ASCOM, 2017),
b) Las Administraciones de las Comunidades Autónomas.
c) Las Entidades que integran la Administración Local.
prevenir, detectar y gestionar los riesgos de
d) El sector público institucional. que se incumplan los preceptos legales y
2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades de derecho público
regulatorios y las propias pautas de conducta
vinculados o dependientes de las Administraciones Públicas.
interna que adopte dicha organización.
b) Las entidades de derecho privado vinculadas o dependientes de
las Administraciones Públicas que quedarán sujetas a lo dispuesto
en las normas de esta Ley que específicamente se refieran a las
mismas, en particular a los principios previstos en el artículo 3, y en
En ese sentido, en términos generales,
todo caso, cuando ejerzan potestades administrativas.
podemos definir un programa de Compliance
c) Las Universidades públicas que se regirán por su normativa específi-
ca y supletoriamente por las previsiones de la presente Ley.” como el conjunto de procedimientos y
mecanismos de control, que se establecen Ser una función de gestión de riesgos

en una organización, con la finalidad de eficaz, poniendo el foco en la correcta
prevenir y detectar conductas contrarias a identificación y prevención de malas
las leyes, regulaciones y a los códigos éticos conductas, entendiendo como tales
no solo aquellas contrarias a la ley
y de conducta adoptados voluntariamente.
sino también aquellas contrarias a
En definitiva, es el marco a través del que se los códigos éticos y de conducta que
planifica y desarrollan las responsabilidades desarrollan las propias organizaciones.
de Compliance. Sin embargo, para que Debe ser una función proactiva, no
reactiva.
dichos mecanismos sean eficaces, dicho
programa debe estar enmarcado en un Ser capaz de contribuir al desarrollo
modelo de gestión y buena gobernanza que y mantenimiento de una cultura
permita identificar y evaluar correctamente organizativa ética, donde las leyes
los riesgos y asegurar que la información representan un requisito mínimo y no
fluye de forma que llegue adecuadamente el máximo al que aspirar, y donde los
a quienes deben adoptar decisiones. Y procesos de decisión estén guiados por
para que este modelo de organización y principios y valores que contribuyan a
gestión sea eficaz, el propio programa debe generar un impacto positivo, no solo
para las propias entidades, sino también
contemplar, entre sus objetivos, no solo el
para otras partes interesadas como
cumplimiento de las normas, sino también el
funcionarios, empleados públicos,
desarrollo y mantenimiento de una cultura
contratistas y ciudadanía, en general.
corporativa ética (tal y como se indica en
Ello implica la adopción de un enfoque,
varios de los documentos de referencia
no solo legal, sino también ético.
mencionados a lo largo de estos materiales,
como el de la Fiscalía General del Estado; Ser un modelo de organización
la STS 154/2016, las US Federal Sentencing y gestión. Esto implica que deben
Guidelines for Organizations, 2004), en la establecerse mecanismos que

garanticen un adecuado proceso de
que se incida no solo en lo que se hace, sino
toma de decisiones que tenga en
en cómo se hace.
cuenta, además del posible impacto
Por tanto, se parte de la idea de que una financiero negativo de una mala gestión
adecuada función de Compliance, con pública, un poderoso componente

ético encaminado a orientar en la
carácter general, debe ser una función
toma de decisiones prudentes y justas
de gestión de riesgos eficaz, contribuir al
para llevar a cabo los fines propios del
desarrollo de una cultura organizativa ética
sector público. Además, debe existir
y ser un modelo de organización y gestión
un régimen claro y transparente de
que garantice un adecuado proceso de
asunción de responsabilidades y
adopción de decisiones. Trasladando esta rendición de cuentas. En definitiva,
premisa al sector público, una función de debe sustentarse en un modelo de
Compliance deberá: “buena gobernanza”.
Sin embargo, nada de lo anterior será Por todo ello, para abordar el diseño e
posible sin un compromiso de quienes implantación de un modelo de Compliance
toman las decisiones en el sector público, ya en el sector público, tomando como
sean cargos electos, miembros de órganos referencia los mecanismos que ya se han
de administración y dirección de la entidad venido implementando y desarrollando en
pública de que se trate. el sector privado, no deberíamos centrarnos
en el ámbito estrictamente normativo
(promulgación de nuevas normas), sino en la
implantación de mecanismos que permitan
aplicar adecuadamente el marco normativo
que ya existe y, sobre todo, desarrollar
un modelo de integridad, transparencia y
buena gobernanza.
Ese es, precisamente, el enfoque de la

Recomendación del Consejo de la OCDE
sobre Integridad Pública, de 2017, que
defiende el paso de un enfoque basado
Pilares de una adecuada función de Compliance, que deben servir
también de referencia al sector público. Fuente: Elaboración propia solo en la norma a un enfoque basado en
Las leyes tienen un alcance limitado a prevención de los riesgos y establecimiento
la hora de garantizar que la conducta de principios y valores.
de las organizaciones e instituciones,
Según este documento (OCDE, 2017: 2):
y sus miembros, sea la correcta. Una
mala conducta se debe muchas veces “los enfoques tradicionales, basados en
no a un vacío o insuficiencia legal, creación de un mayor número de normas,
sino a factores tales como una gestión observancia más estricta y cumplimiento
inadecuada de los conflictos de intereses, más firme, han mostrado una eficacia
la presión de un grupo de interés, la limitada. Una respuesta estratégica y
ausencia de consideraciones morales, o a sostenible contra la corrupción es la
justificaciones y racionalizaciones (sesgos)
integridad pública”
de comportamiento que exigen abordar
la prevención desde una perspectiva Además, como ya indicamos al inicio de
multidisciplinar que excede del ámbito este apartado, el propósito u objetivo
estrictamente jurídico (para más último de un programa de Compliance, en
información recomendamos el documento línea con lo que advierte la propia Circular
Behaviour and Compliance in Organisations 1/2016 de la Fiscalía General del Estado, no
publicado por la Financial Conduct Authority debería ser evitar responsabilidades legales
del Reino Unido o el documento OCDE de (penas y sanciones), sino crear una cultura
2018 llamado La integridad pública desde corporativa ética.
una perspectiva conductual).
En este sentido, un modelo de Compliance

en el ámbito del sector público debería
tener como objetivo último crear una
cultura de integridad, en la que quienes
presten un servicio público no solo cumplan
los distintos preceptos normativos que
resulten de aplicación, sino que sirvan con
objetividad los intereses generales y su
conducta esté alineada con los principios
generales que deben inspirarlo, y que se
encuentran recogidos tanto en la propia
Constitución Española (artículos 9.3 y 103.1)
como en el art. 3. de la Ley 40/2015.
Principios generales de las administraciones públicas, según la Ley

40/2015. Elaboración propia
Ello implica contemplar el programa o

modelo de Compliance, no como un mero
conjunto de procedimientos y políticas, sino
como un modelo de organización y gestión
que debe sustentarse en un adecuado
marco de gobernanza pública.
En definitiva, para construir un modelo de

Compliance en el sector público, éste debe
preguntarse:
• ¿Cuáles son los principales riesgos que

deben gestionarse?
• ¿Cuáles son las expectativas de

comportamiento, es decir, qué
expectativas sobre integridad y
cumplimiento deben establecerse a nivel cumplimiento normativo (Compliance) como

estatal, autonómico y local? en materia de fomento de la transparencia y
el buen gobierno en el sector público, si bien
• ¿Qué mecanismos y estructuras
se observa disparidad de iniciativas entre las
contribuyen a una gestión integral de los
distintas comunidades autónomas y se echa
riesgos de que la conducta de quienes
en falta un marco estatal que establezca
integran el sector público no esté
unos estándares mínimos comunes.
alineada con esas expectativas?
En cuanto a nuestro ordenamiento jurídico-
19.4. Justificación de modelos público, la aprobación en el año 2013 de la Ley
de integridad en el sector 19/2013, de 9 de diciembre, de transparencia,
público acceso a la información pública y buen
gobierno, inició un proceso de eclosión
19.4.1. Marco normativo actual
normativa en una doble dimensión: por un
Como indicábamos en la introducción, uno lado, mediante la introducción del concepto
de los elementos que más ha influido en de buen gobierno en cuanto fomento de
el desarrollo de sistemas de Compliance la transparencia, rendición de cuentas,
en las organizaciones ha sido, sin duda, integridad, imparcialidad y objetividad en el
el contar con un marco legal, en el que las servicio público; y, por otro lado, mediante
expectativas estén claras y definidas. La su conexión con la ética pública a través de
existencia de un marco legal y regulatorio la autorregulación.
que incentive y/o exija la creación de estos
19.4.2. Marco de recomendaciones
modelos de organización y gestión es, sin
internacionales
duda, un elemento clave para el fomento de
la creación de una función de Compliance en La preocupación principal de la ciudadanía, a
Administraciones e Instituciones públicas. nivel global, es la corrupción. Organizaciones
y estudios internacionales han concluido
La presión de los ciudadanos a raíz de
que la corrupción es el mayor obstáculo para
los casos de corrupción que tristemente
la sostenibilidad, el desarrollo económico,
siguen salpicando a Administraciones
político y social a nivel global (OCDE, 2017;
e Instituciones públicas, es un estímulo
IPSOS, 2018).
importantísimo para que los Estados
desarrollen marcos normativos de No hay que olvidar que la lucha contra
integridad pública, lucha contra la la corrupción está en el epicentro del
corrupción y transparencia institucional. nacimiento de la función de Compliance,
que se ha intensificado en los últimos años.
En esta línea, se observan ciertos avances
en cuanto a los desarrollos normativos En respuesta a esta inquietud diversas
aprobados en España tanto en relación con organizaciones e instituciones
el establecimiento de sistemas o modelos de internacionales han publicado guías
y recomendaciones. También se han y de las recomendaciones internacionales,

popularizado índices que miden el grado como las emitidas por la ONU o la OCDE.
de corrupción de países y ayudan a las
Sin embargo, más allá del estímulo ejercido
diferentes organizaciones y empresas a la
por los requisitos y exigencias normativas y
hora de cuantificar los riesgos asociados
la presión ejercida por las demandas de la
a sus actividades en ellas, así como a la
sociedad y los medios de comunicación, no
toma de decisiones a la hora de realizar
hay que olvidar que para que un modelo
actividades comerciales o inversiones.
de Compliance sea eficaz, ya sea en el
El más usado o popular de estos es el sector privado o público, debe existir un
Índice de Percepción de Corrupción (IPC), compromiso y una voluntad desde las más
publicado anualmente desde 1995 por la altas instancias de la organización.
ONG Transparencia Internacional, aunque
no es el único Además, se trata de un índice En el caso del sector público debe existir,
que mide “percepción” de la corrupción por tanto, una clara voluntad y compromiso
en la administración pública (no considera político. Es decir, un compromiso y
actores privados) de un país en conjunto, convencimiento de que los servidores
si bien pueden existir notables diferencias públicos deben liderar con el ejemplo
entre administraciones (locales, regionales) y conducir su actividad de acuerdo con
dentro de dicho país. los más altos estándares de integridad,

dando prioridad al interés público sobre
otros intereses particulares y adoptando
las medidas necesarias para prevenir la
corrupción.
Para ello, en línea con lo considerado

por la OCDE, la integridad pública debe
contemplarse como la alineación y el
Así pues, a fin de comprender el porqué cumplimiento de valores éticos, principios y
de la obligación de contar con sistemas de normas que faciliten que en el sector público
Compliance en el sector público debemos se prioricen los intereses generales, por
tener en cuenta las recomendaciones y encima de los intereses privados. Y para que
acuerdos que a nivel internacional se han estas medidas sean efectivas es necesaria
venido publicando, desde ONU, pasando una cultura ética, ejercer el liderazgo
por la OCDE, el G20 y la UE. necesario, demostrar una rendición de
cuentas efectiva y una responsabilidad
19.4.3. Justificación basada en el proactiva (accountability).
principio de integridad
Hasta aquí se han señalado justificaciones

derivadas de los marcos jurídicos existentes
19.5. Principales riesgos que

hay que gestionar en el sector
público
La primera cuestión que debe plantearse
una administración pública o cualquier
entidad, que gestione fondos públicos,
es identificar y evaluar qué riesgos de
Compliance e integridad debe gestionar.
En este sentido hemos llevado a cabo un
ejercicio de reflexión y análisis sobre esta
cuestión y hemos elaborado un listado, que,
sin carácter exhaustivo, pretende poner
encima de la mesa qué ámbitos de riesgo
deberían tomarse en consideración.
El objetivo no es otro que facilitar una

referencia que sirva para guiar al sector
público en la identificación de riesgos que
deben ser incorporados y gestionados en los
modelos de Compliance que se desarrollen.
Se trata de una lista meramente indicativa
y cualquier administración o institución
pública deberá realizar su propio ejercicio
de identificación, análisis y evaluación
(medición).
Además, es importante tener en cuenta que

los riesgos están interrelacionados. De ahí la
dificultad de realizar clasificaciones estancas.
Podríamos decir en este sentido que no hay
un modelo único de categorización y que
cada administración o institución pública
deberá reflexionar sobre las categorías o
tipologías de riesgo que vaya a gestionar. Un
ejemplo de interrelación e interdependencia
de los riesgos es que el incumplimiento de
determinados marcos normativos conlleva
en muchos casos, el riesgo de acabar
incurriendo en responsabilidad penal.
Riesgos de Compliance e Integridad para el sector público

Como guía, se puede establecer la siguiente categorización, no exhaustiva:
• Ámbito de la administración, buena gobernanza y rendición de cuentas

- Falta de compromiso y apoyo de los máximos responsables y gestores públicos.
- Instrumentalización partidista y captura del decisor.
- Opacidad y falta de transparencia.
- Mal uso y gestión de fondos públicos.
- Incorrecto reparto y otorgamiento de subvenciones.
- Deficiencias de los modelos de control (externo e interno). Falta de aplicación del régimen disciplinario.
- Prácticas o controles de Compliance no integrados en los procesos (Compliance “de papel”).
- Ausencia o deficiencias de los canales de denuncia (canales éticos o similares).
• Ámbito de conducta íntegra de los profesionales y empleados públicos

- Inadecuada identificación y gestión de los conflictos de intereses (interés público frente a interés
personal).
- Corrupción y fraude: por ejemplo, cohecho (activo y pasivo), pagos de facilitación, malversación de
caudales públicos, tráfico de influencias o fraude de subvenciones.
- Acoso (en todas sus formas) y discriminación.
- Infracción normas de prevención de riesgos laborales.
• Ámbito de la contratación pública

- Incumplimiento de la legislación sobre contratos públicos: innecesaridad, despilfarro y
fraccionamiento.
- Falta de integridad del proveedor/contratista.
- Proyectos internacionales: contratación irregular de proveedores o intermediarios en terceros países.
• Contratación, selección y promoción de empleados y funcionarios públicos

- Ausencia o inadecuación de los mecanismos de diligencia debida para la selección o promoción.
- Incumplimiento de la normativa sobre procedimiento de contratación y/o acceso a la función pública
(p. ej. puede incumplirse para favorecer intereses particulares).
• Ámbito de actuación frente a terceros (vulneración de derechos de particulares/ perjuicio a

terceros): incumplimiento de la normativa sobre:
- Protección de datos de carácter personal.
- Protección derechos de propiedad intelectual.
- Protección de los derechos de propiedad industrial.
- Transparencia (protección del derecho de los ciudadanos a información pública).
- Discriminación a usuarios de los servicios públicos.
- Delitos contra el medioambiente.
- Blanqueo de capitales.
A la hora de valorar los riesgos, deberá atenderse a las siguientes tipologías de impacto:
- Responsabilidad legal. Además de penal hay responsabilidades civiles y administrativas.
- Impacto negativo en la reputación.
- Falta de confianza de los ciudadanos y otras partes interesadas.
19.6. Principales retos y Por otro lado, tenemos el paradigma de lo
dificultades público, es decir, que, para la Administración,

todo lo que no está ordenado (en sentido
19.6.1. Libertad y legalidad, dos amplio), está prohibido.
principios en relación dialéctica: lo
público y lo privado Ello significa que el pleno sometimiento a la
ley y al derecho implica que la sujeción legal
Toda la arquitectura de un Estado del sector público es total, directa y positiva.
democrático y de Derecho se fundamenta
en la sujeción a un marco normativo, aun Por tanto, la Administración sólo puede
cuando al hacerlo limite la teórica eficacia actuar en el ámbito de sus competencias,
de una acción directa y libre. territoriales y sustantivas y dentro de

las posibilidades de su presupuesto. El
En el caso de España, la Constitución presupuesto, por cierto, no sólo determinará
establece la libertad como el primer valor las limitaciones de gasto y las previsiones de
superior del ordenamiento jurídico. Sin ingreso público, sino que habrá de señalar los
embargo, el Art. 9.1 señala a su vez que tanto objetivos y acciones que la Administración
los ciudadanos como los poderes públicos ha de llevar a cabo eficientemente y también
están sujetos al ordenamiento jurídico los indicadores que sirvan para evaluar y
(Principio de Legalidad). controlar su acción. En definitiva, el sector
público no puede hacer “lo que quiera”
No obstante, en relación con la
y tampoco puede hacer las cosas “como
Administración pública este principio se
quiera”, ni “cuando quiera”, ni “al precio que
refuerza extraordinariamente en el Art.
quiera”.
103.1 de la Constitución, que ordena a
ésta servir con objetividad los intereses Por tanto, desde la perspectiva del desarrollo
generales… “con sometimiento pleno a la ley de modelos o sistemas de Compliance, el
y al derecho”. Es decir, que nos encontramos sector público ve limitada su discrecionalidad
ante una legalidad reforzada, superior a la a la hora de establecer ciertos controles
exigible al ciudadano común. o medidas y esto implica cierto nivel de
dificultad respecto a la capacidad y libertad
La consecuencia de lo anterior nos lleva a
propia del sector privado para establecer
la convivencia de dos paradigmas. Por un
normas y procedimientos internos. Sin
lado, el paradigma de lo privado, es decir
embargo, el paradigma de lo público no
que, para las personas, todo aquello que no
impide que las Administraciones puedan, en
está prohibido por las leyes (delimitación
uso de sus atribuciones, dictar para sí normas
negativa) está permitido.
jurídicas positivas, pero relativamente
Esto significa que los individuos no necesitan indeterminadas, que, respetando el sistema
permiso para actuar con plenitud, siempre jurídico en que se integran, faciliten el
que no interfieran en la esfera de las desarrollo de mecanismos de integridad
libertades (o de la seguridad) de los demás. pública, que contribuyan a la prevención y
pronta detección de incumplimientos y al funciones, están sujetas a un marco

desarrollo de una cultura ética. normativo que se manifiesta con
mayor intensidad en áreas tales como
19.6.2. Empresa pública: Consejos
contratación, gestión de personal,
de administración y marcos de
ejercicio de su actividad por los órganos
gobernanza
colegiados, etc.
Como se ha indicado antes, los programas
Como norma general, el capital social es
de Compliance no son sistemas que puedan
mayoritariamente público y los miembros
funcionar de forma aislada, sino que
del Consejo de Administración son
necesariamente deben formar parte de un
nombrados por los accionistas u órgano de
adecuado marco de “gobernanza”. Deben
tutela.
integrarse, por tanto, en una estructura
organizativa y de gestión que garantice un Los Consejos pueden estar compuestos,
adecuado nivel de seguimiento y supervisión entre otros, por representantes de los
de las medidas que dicho programa partidos políticos, sindicatos o personal de
contemple. En el ámbito empresarial, la Administración. La figura del consejero
ese marco de gobernanza es liderado y independiente no está extendida en las
debe ser promovido por los Consejos de empresas públicas. A título de ejemplo, en
Administración. las empresas de la AGE, el nombramiento
o cese de determinados consejeros está
Es importante reflexionar sobre las
vinculado al desempeño de las funciones
funciones y particularidades del Consejo de
de puestos específicos en la Administración
Administración en las empresas públicas.
(Directores Generales, Subdirectores,
Entre las diversas características del Sector
Vocales Asesores, etc.).
Público Empresarial, cabe destacar las
siguientes, que influyen directamente en la Esta relación entre el puesto de consejero
configuración y ejercicio de las funciones de y el desempeño de cargos administrativos
los consejos de administración: tiene como objeto incorporar al Consejo
• Su carácter instrumental para realizar profesionales que desempeñan su función
una actividad cuya competencia está en las principales áreas de su actividad
atribuida a la Administración; social (financiera, jurídica, técnica,
tributaria, sanitaria, asistencial, agricultura,
• Su actividad suele reservarse mediante
obras, turismo, etc.).
una norma;
En línea con lo que se indica en un documento
• Parte de su financiación proviene de los
publicado por FIDE sobre marcos de
Presupuestos de las Administraciones o
gobernanza en empresas públicas (Plan “5-
vía precios no fijados en el mercado;
25” para la mejora de la gobernanza de las
• Aun cuando gozan de un margen empresas públicas en España, FIDE, 2019),
de flexibilidad en el ejercicio de sus
en aras de una mejora en la gobernanza y En múltiples sociedades las unidades de

la transparencia en las empresas públicas, prevención de riesgos penales dependen
sería aconsejable ahondar en la autonomía funcionalmente y reportan directamente a
en el ejercicio de las funciones de los este órgano.
consejeros en relación con los órganos
Por lo expuesto, sería recomendable que
que les nombraron o los poderes políticos,
existiera algún consejero con sólidos
la existencia de un mandato claro en el
conocimientos en materia de Compliance
desempeño de sus funciones y, con el
dentro del Consejo de Administración.
objeto de evitar interferencias indebidas
en la toma de decisiones operativas, En materia de Compliance, las principales
profesionalizar el ejercicio de la función áreas de mejora radican en reducir
del consejero mediante el establecimiento la heterogeneidad de los modelos,
de procedimientos estructurados, estableciendo líneas comunes en aquellas
transparentes y profesionalizados para su cuestiones que, por su propia naturaleza,
selección. sería conveniente que convergieran.
En este apartado se encuentran, entre
En esta línea se establecen las
otras: los órganos a los que han de
consideraciones de organismos
reportar, la creación de canales éticos,
supranacionales, como la OCDE refleja
vías y procedimientos de tramitación de
en sus Directrices sobre el Gobierno
las denuncias, métodos de designación y
Corporativo en las Empresas Públicas
sustitución de responsables de la unidad
(de 2005, actualizadas en 2015) o las de
o departamento de Compliance, modelos
los supervisores, como el Código de Buen
de formación a los profesionales de la
Gobierno de las Sociedades Cotizadas de la
sociedad, normativa interna mínima que ha
Comisión Nacional del Mercado de Valores
de ser aprobada, etc.
(CNMV).
Una vez creadas las estructuras básicas

La Comisión de Auditoría y Control se
en materia de Compliance por el Consejo
compone de miembros del Consejo de
de Administración, corresponde a la
Administración y actúa por delegación
unidad o departamento de Compliance
suya. Tienen, como su nombre indica,
la implantación del modelo aprobado y
funciones de control tanto en el campo
proponer medidas de mejora e impulso de
financiero como de auditoría en el resto de
la actividad con el objetivo de obtener el
las actividades.
mayor grado de excelencia en el ejercicio
Es competencia del Consejo de de su actividad, concerniendo al Consejo
Administración de cada entidad elaborar de Administración el apoyo de las medidas
el modelo de Compliance, identificando que aseguren una mejora permanente del
las unidades competentes y dotándole sistema.
de normas de funcionamiento y medios.
19.7. Recomendaciones el desarrollo de sus funciones. En este

sentido, existe un Estatuto Básico del
Detallamos a continuación las principales
Empleado Público y se han aprobado
recomendaciones en el ámbito del Compliance
numerosos códigos éticos en las AAPP
en el sector público:
de España pero, lamentablemente, no
• Fomentar y facilitar la identificación y parecen haber tenido el desarrollo,
evaluación de riesgos de Compliance en impacto o éxito suficiente.
el sector público:
• Aprobar un estatuto de protección
- Desarrollo de guías para la evaluación para el denunciante de buena fe y
de riesgos y refuerzo de controles en desarrollar a distintos niveles un sistema
distintos ámbitos transversales: en la de denuncias que facilite el deber de
contratación pública, en los procesos denunciar y la colaboración ciudadana y
de acceso a la función pública, en del mundo empresarial en la lucha contra
materia de protección de datos, etc. la corrupción y malas conductas como
- Desarrollo de guías para la evaluación casos de mal gobierno, acoso etc.
de riesgos a nivel sectorial: en los • Reforzar la eficacia e independencia
servicios sanitarios, en los servicios de los órganos de control. Alinear las
sociales, en el ámbito educativo, en actuaciones de los distintos órganos
servicios de seguridad ciudadana, de control estatales y autonómicos (de
etcétera, y compartir buenas prácticas transparencia, de acceso a la información,
de protocolos y controles para de supervisión de la contratación, oficinas
minimizar los riesgos más relevantes antifraude, tribunales de cuentas, etc.)
en cada ámbito sectorial. para garantizar su coordinación y favorecer
• Avanzar en la mejora de las instituciones, la eficacia en sus actuaciones.
en especial las de buen gobierno, y • Regular el papel de los grupos de
la construcción de una ciudadanía cabildeo o presión (lobbies) para articular
éticamente exigente y cívicamente formalmente su participación en la toma
comprometida, mediante actuaciones de decisiones públicas, de manera que se
que favorezcan la transparencia, la favorezca la transparencia y se garantice
participación ciudadana y la rendición que no consiguen situar sus intereses
pública de cuentas, y el establecimiento particulares por encima del interés
de un régimen sancionador que penalice general.
los incumplimientos de las obligaciones en
• Aprovechar las nuevas tecnologías
materia de transparencia y buen gobierno.
de macrodatos (big data) e inteligencia
• Implantar códigos éticos y/o de conducta artificial (IA) para la lucha y prevención
para todos los empleados públicos y contra la corrupción, mediante una
sistemas de prevención de los conflictos adecuada gestión de los datos y el
de intereses que puedan comprometer desarrollo de sistemas de alertas
su imparcialidad e independencia en que identifique posibles indicios de
irregularidades. En este sentido es - Garantizar que los planes de

importante llamar la atención sobre el remuneración promueven el interés
interés depositado por la propia OCDE en a largo plazo de la empresa y pueden
esta cuestión y el hecho de que el foro de atraer y motivar profesionales.
integridad y anticorrupción (OECD Global - Separar claramente la función de
Anti-Corruption & Integrity Forum) del año propiedad de cualquier entidad que
2019, versase sobre este tema (Tech for pudiera ser un cliente o proveedor
Trust). importante de empresas públicas, de
forma que no se produzcan conflictos
• Establecer mecanismos que garanticen
de intereses.
la independencia e imparcialidad
de los servidores públicos frente a • Promover desde el sector público el
injerencias indebidas y que reduzcan la cumplimiento de las normas por parte
confusión entre los niveles de gobierno de los ciudadanos y las personas jurídicas,
y Administración, evitando el control con una mayor atención a todos los
partidista de algunos órganos y la elementos de la cadena de acción del
politización de áreas de gestión técnica. gobierno. La redacción reglamentaria,
la implementación, la monitorización
• Introducir mejoras en la gobernanza de
y la inspección deben diseñarse para
las empresas públicas:
maximizar el logro de los objetivos
- Creación de órganos de Compliance, sustantivos de las políticas276.
con un estatuto propio y dependencia
• Promover el control de prácticas
funcional del Consejo o la Comisión de
colusorias en los procesos de contratación
Auditoría o similares, de forma similar
pública, mediante la formación/
a la Dirección de Auditoría Interna,
sensibilización de los empleados públicos
de forma que gocen de poderes
sobre posibles indicios.
autónomos de iniciativa y control en
• Desarrollar una adecuada articulación
la función supervisora de la eficacia de
de las prohibiciones de contratar con
los controles.
las AAPP y de la aplicación efectiva de las
- Separación de las responsabilidades
técnicas o prácticas de Compliance como
de propiedad y de regulación del
medidas de autocorrección, y así permitir
mercado por parte del Estado y que
la rehabilitación de los operadores capaces
este no se involucre en la toma de de acreditar la adopción de medidas y
decisiones operativas. mecanismos -y su eficacia- para corregir
- Profesionalización e independencia las consecuencias de su inadecuado
de los miembros de Consejos de comportamiento e impedir que vuelva a
Administración y directivos a través repetirse.
de procedimientos de selección
276 Ver las recomendaciones y buenas prácticas en los documentos
transparentes y plazo de duración de la OCDE: Reducing the Risk of Policy Failure (2000) y Best prac-
tice principles for improving regulatory enforcement and inspec-
determinado. tions (2014).
• La necesidad de Compliance en el Sector Público se basa en parte en las mismas vulnerabilidades

(corrupción, malas prácticas) que impulsaron su adopción en el sector privado. La función de Compliance
es una herramienta que también puede ayudar a las organizaciones públicas, mejorando sus gobierno y
gestión – de riesgos- desde una perspectiva ética y de respeto del Derecho.
• Además, la función de Compliance puede ayudar a que el funcionariado actúe de acuerdo a los más altos
estándares de integridad, priorizando el interés público y evitando conflicto de intereses.
• La delimitación del sector público no siempre es una tarea sencilla, como ya en su momento se vio con
la consideración de funcionario o servidor público (para los casos de corrupción y cohecho mencionados
en otros módulos). En España la delimitación del sector pública la establece la Ley 40/2015, de Régimen
Jurídico del Sector Público, aunque también otra normativa permite solventar dudas (Ley 47/2003,
General Presupuestaria, o la Ley 9/2017, de Contratos del Sector Público). En definitiva, se incluye a
las AAPP (AGE, CCAA, Corporaciones Locales), el Sector Público Empresarial (Empresas y Sociedades
mercantiles públicas) y otras entidades o instituciones que gestionen fondos públicos.
• Una adecuada función de Compliance debe contribuir a mejorar la eficacia en la gestión de riesgos, al
desarrollo de una cultura organizativa ética y ser un modelo de organización y gestión que garantice un
adecuado proceso de adopción de decisiones. Estos aspectos positivos de la función son trasladables al
sector público.
• El sector público se encuentra limitado -aunque no impedido – en su libertad a la hora de establecer

ciertos controles o medidas, en comparación con la capacidad del sector privado. No obstante, es posible
desarrollar de mecanismos que contribuyan a la prevención de malas prácticas y faciliten la implantación
de una cultura ética.
• Desde la perspectiva de Compliance, se pueden identificar una serie de propuestas que ayudarían a
mejorar al sector público, que incluirían esfuerzos y mejoras en:
- Identificación y evaluación de riesgos de Compliance;
- Buen gobierno de las instituciones;
- Protección para el denunciante;
- Eficacia e independencia de los órganos de control;
- Regulación de grupos de cabildeo o presión;
- Uso de nuevas tecnologías de macrodatos e IA;
- Independencia e imparcialidad de los servidores públicos;
- Gobernanza de las empresas públicas;
- Promoción del cumplimiento de las normas por parte de los ciudadanos y las personas jurídicas;
- Control de prácticas colusorias en la contratación pública;
- Regular las prohibiciones de contratar con las AAPP.
Módulo 20
Compliance en
la era digital
MÓDULO 20 • COMPLIANCE EN LA ERA DIGITAL
Módulo 20 no es otro que garantizar la prosperidad,

la reputación y la supervivencia de la
Compliance en la era organización para la cual se esté ejerciendo
digital la función de Compliance.
Por ello, el presente módulo recoge aquellas

Objetivos cuestiones que resulta imprescindible
conocer de primera mano en el ámbito del
Compliance y las nuevas tecnologías, donde
la seguridad de la información y las medidas
de protección frente a las nuevas amenazas
• Conocer los conceptos claves asociados al
-incluso desde el punto de vista normativo-
ámbito digital y de seguridad de la información.
ocupan un lugar preferente.
• Comprender los roles, riesgos y amenazas en el
ámbito de la ciberseguridad. El papel de Compliance y del Compliance
Officer en este ámbito vendrá en gran
• Entender la gestión de incidentes de seguridad.
parte determinado por la existencia de
• Identificar la normativa y estándares de otros puestos o roles en la organización,
referencia a nivel nacional e internacional.
y en la división de tareas, funciones
• Conocer los sistemas de gestión de seguridad y responsabilidades, así como en la
de la información y servicios de Tecnologías de coordinación interdepartamental existente.
la Información y Comunicación (TIC). En este punto, es necesario reconocer y
• Advertir los aspectos relevantes de las políticas asumir que la especialización y el nivel
internas y la obligación de desconexión digital. de conocimiento técnico ha propiciado la
aparición de nuevos puestos y roles.
20.1. Introducción Este fue el caso, por ejemplo, del Delegado
El mundo evoluciona de forma acelerada, de Protección de Datos (DPD) y su irrupción
y de igual forma progresan los riesgos. Así en las organizaciones como especialista en la
pues, resulta utópico tratar de establecer normativa y gestión de riesgos relacionados
sistemas y medidas cuyo objetivo sea la con la protección de datos personales.
eliminación completa del riesgo (riesgo cero),

La cantidad de factores que pueden afectar
incluso si se dispone de un presupuesto
(tamaño de la organización, normativa
ilimitado.
aplicable, sector productivo, etc) y la
Sin perjuicio de lo anterior, es altamente interacción entre varias áreas funcionales es
recomendable definir estrategias para tal que establecer una estructura modelo es
minimizar los riesgos y posibles daños que complicado, y con ello ser capaces de definir
puedan surgir como consecuencia del uso el papel que la función de Compliance
de nuevas tecnologías. El objetivo final debería asumir.
No obstante, la tendencia actual en el En la actualidad, es probable que en

ámbito de la seguridad digital en las cualquier análisis de activos críticos de
organizaciones sugiere que Compliance se cualquier organización, la información y los
orientaría a un papel de asesoramiento y sistemas de información, almacenamiento
apoyo a otros departamentos, los cuales y procesamiento de datos ocupen lugares
asumirían la principal responsabilidad en destacados.
esta área, como el de Seguridad o Seguridad
Los datos de clientes, empleados o
de la Información, liderados por el Director
proveedores, investigaciones o nuevos
de Seguridad (Chief Security Officer o CSO) o
productos, planes estratégicos, elementos
el Director de Seguridad de la Información
de propiedad intelectual, etc. constituyen
(Chief Información Security Officer, CISO), si
ejemplos habituales de datos que se
bien con el apoyo habitual de Compliance,
almacenan y es necesario proteger
Departamento Legal y/o el Delegado de
adecuadamente, para asegurar las
Protección de Datos (DPD), en el caso que las
tres características clave que debemos
actividades a desarrollar involucren o estén
considerar de la información, la triada
afectadas por la normativa de privacidad o
CID: Confidencialidad, Integridad y
de protección de datos personales.
Disponibilidad.
20.2. Antecedentes y
conceptos
20.2.1. Seguridad, seguridad de la
información y ciberseguridad
Cualquier organización, para poder sobrevivir

y progresar e independientemente de su
tamaño o actividad, ha de examinar cuáles
son sus activos críticos a proteger.
Desde hace unos años se viene produciendo

un proceso de digitalización y un creciente
interés de sobre el valor de los datos (por
las posibilidades que ofrece su tratamiento
y análisis).
Triada CID de Seguridad de la Información. Elaboración propia.
Fuente: ISO 27001 Sistemas de Gestión de la Seguridad de la Información
En paralelo, en la opinión pública y en los (SGSI)
legisladores, especialmente en la Unión

Como activo crítico, la amenaza a nuestros
Europea, se ha experimentado un aumento
datos supone una vulnerabilidad que es
de la preocupación y concienciación sobre la
necesario proteger, por diversos motivos:
seguridad de los mismos, particularmente
cumplimiento de la normativa de protección
los de carácter personal.
de datos y privacidad, operatividad/ • Seguridad de la Información (SEGINFO):

continuidad de negocio y resiliencia, Comprende los procedimientos, medios
prevención del fraude y pérdidas, aspectos y actividades que tienen por objetivo
reputacionales, etc. proteger los activos de información (la
que tienen valor para una organización),
Es aquí donde entra en juego una nueva
mitigando o reduciendo las amenazas.
dimensión de una actividad o función
tradicional en algunas organizaciones, como Aunque en la actualidad, por volumen,
la seguridad. afecta predominantemente a información
en formato digital, no hay que olvidar la
Antaño centrada en aspectos más físicos -y información en soporte analógico, como
de ahí su denominación como seguridad los archivos y documentos en papel, así
física- como pueden ser los controles como cualquier otra forma de acceso,
de accesos, sistemas de videovigilancia, transmisión o almacenamiento de datos,
sensores y alarma, emergencias, evacuación, conocimiento o información relevante.
vigilancia interior y perimetral, protección
• Ciberseguridad277: Consiste en el
de personas, etc, amplía su ámbito al
conjunto de actividades orientadas
entorno digital, incorporando el concepto y
a la “prevención de daños, protección y
ámbito de la seguridad de la información
restauración de ordenadores, sistemas y
(SEGINFO) y la ciberseguridad (seguridad
servicios de comunicaciones electrónicas,
digital que protege activos más allá de la
comunicaciones por cable y comunicaciones
seguridad de la información en entornos
electrónicas, incluida la información
digitales).
contenida en ellos, para garantizar su
Es necesario señalar que los conceptos aquí disponibilidad, integridad, autenticación,
definidos se centran en un activo como el confidencialidad y el no repudio”.
de la información, y que de alguna manera
se simplifican para un mejor entendimiento.
Así pues, tenemos los siguientes conceptos
clave:
• Seguridad: De acuerdo con la Ley

5/2014, de Seguridad Privada, abarcaría
el conjunto de actividades, servicios,
funciones y medidas adoptadas para
hacer frente a actos deliberados o
riesgos accidentales, con la finalidad de 277 Esta definición es la del Centro de Recursos de la Seguridad
Informática (CSRC) del Instituto Nacional de Normalización y
garantizar la seguridad de las personas, Tecnología (NIST), perteneciente al Departamento de Comercio
de los EE.UU. No existen en la normativa o documentos más
proteger su patrimonio y velar por el relevantes, nacionales o de la UE, una definición al efecto del
término. La Agencia de la Unión Europea para la Ciberseguridad
normal desarrollo de sus actividades. (ENISA) publicó en 2015 un documento de 35 páginas llamado
Definition of Cybersecurity, que no ofrecía ninguna definición
consensuada.
Modelos organizativos
La variedad de modelos organizativos en

este ámbito es importante, si bien pueden
describirse algunas opciones comunes.
Cabe señalar que parte de la estructura que

puede afectar a la seguridad en general de
las organizaciones (y a la ciberseguridad en
particular), puede venir determinada por la
existencia de estructuras precedentes en
organizaciones sujetas a la Ley de Seguridad
Privada y otras disposiciones que les obligan
a contar con departamentos de seguridad.
En cualquier caso, nos fijaremos en el puesto

del CISO, en el entendimiento de que es éste
el puesto clave en el ámbito de la seguridad
de la información -de forma específica- y de
la ciberseguridad -de forma general- en gran
Representación simplificada de la interacción de algunos ámbitos
de la Seguridad. Elaboración propia. parte de las organizaciones.
Fuente: Basado en INCIBE
CISO como responsable integral de

20.2.2. Roles y estructuras de
seguridad
seguridad, seguridad de la
información y ciberseguridad En algunas organizaciones, el CISO ha devenido
en CSO, concentrando todas las funciones de
Cada organización se estructura en función
seguridad existentes, si bien esto se suele dar
de sus necesidades, más allá de que se
en organizaciones que no están obligadas, ni
sigan algunos modelos más o menos
por sector, actividad u otras circunstancias, a
normalizados.
tener un Departamento de Seguridad (y, con
En el ámbito de la seguridad digital, en éste, un Director de Seguridad, registrado en
los últimos años ha emergido la figura del el Ministerio del Interior, en cumplimiento de
Director de Seguridad de la Información la normativa de Seguridad Privada).
o CISO (Chief Information Security Officer).

Por ello, esta estructura puede darse
En general, quien ocupa este puesto en organizaciones de tamaño pequeño,
es el responsable de la Seguridad de la carentes de un gran número de instalaciones
Información y de la Ciberseguridad, aunque y/o empleados, y en las que sus riesgos -y
pueden existir diversos matices y opciones las medidas de seguridad adoptadas- se
organizativas. centran casi exclusivamente en el ámbito de
la ciberseguridad.
CISO como parte del equipo TI
En ocasiones, el CISO es un miembro del

equipo de TI, e incluso puede ser el mismo
responsable de TI.
Según algunas encuestas278, posiblemente

la estructura más común (alrededor del
70%), es aquella en la que el CISO está
subordinado a un responsable de TI. Esta
Ejemplo de ubicación CISO en una estructura organizativa según
configuración presenta ventajas evidentes INCIBE. Fuente: Instituto Nacional de Ciberseguridad (INCIBE)
de coordinación operativa, pero puede
comprometer la independencia del CISO. En general, se ha observado que es más
probable que los CISO estén subordinados a
Dependiendo de las organizaciones, un CIO, mientras que un ejecutivo que ocupe
esta estructura puede requerir una la función de Director de Seguridad (CSO)
clara separación de funciones y tiene más probabilidades de estar al mismo
responsabilidades, pero en todo caso es una nivel que el CIO. Por ello, la subordinación
potencial fuente de conflictos de intereses: del CISO al CSO permite:
estar subordinado a un CIO/CTO limita la
• Salvaguardar la independencia de
independencia del CISO, ya que su criterio
criterio del CISO frente a otros intereses
normalmente acabará subordinándose a la
o prioridades.
estrategia general de TI del CIO.
• Transmitir la idea a la organización de la
Haciendo una analogía con el DPD – en
importancia de la seguridad.
este caso, por requisitos normativos- o
Compliance, se trataría de evitar que la • Colaborar en una visión integral de
actividad del CISO no pueda ser influenciada seguridad. Aunque pudiera parecer
por imperativos “de negocio” (considerando más natural una convergencia del CISO
que para un CISO la seguridad será su con el ámbito de TI, el propio INCIBE
prioridad, mientras que para un responsable considera ésta como la estructura más
de CIO o CTO lo será la operatividad). adecuada279. Así, “cuando existen CSO y
CISO, el CISO está subordinado -informa- al
CISO como parte del equipo de CSO y el CSO a la dirección”.
Seguridad
CISO como estructura independiente
En este modelo, el CISO se integra en la
estructura general de seguridad, comandada También cabe la posibilidad, en
por un CSO. organizaciones de ámbitos determinados
279 CEO, CISO, CIO… ¿Roles en ciberseguridad? y CISO, CDO y ahora

DPD: las siglas de la seguridad, los datos y la privacidad, de
278 What Is the Ideal CISO Reporting Structure? INCIBE.
y donde la ciberseguridad es una aspecto

clave, que el CISO disponga de una estructura
propia y subordinada directamente al CEO.
CISO subcontratado o externalizado

(CISOaaS)
En realidad, no se trata de una modelo

de estructura o encaje del CISO en una Ámbitos con áreas de solapamiento e interacción en las
organizaciones. Elaboración propia.
organización, sino de la subcontratación de
este servicio a un tercero, una opción que se En cualquier caso, se han de establecer los
comercializa para aquellas organizaciones órganos necesarios -como pudiera ser un
o empresas que tienen la necesidad pero Comité de Seguridad- en el que los actores
carecen de CISO (por razones diversas). involucrados en tareas o funciones con
potenciales solapamientos o interacciones
En estos casos, la cuestión radicará en quién
puedan coordinarse adecuadamente.
controla el servicio o contrato, ya que puede
adolecer de los mismo problemas en función 20.2.3. Ciberseguridad
de la estructura organizativa (CIO/CTO, CSO,
etc) que lo ejerza. Es complicado encontrar una definición
ampliamente aceptada de Ciberseguridad.
Coordinación Ninguno de los textos de referencia
o normativos citados hasta ahora la
Dependiendo del tamaño de la organización,
proporciona. El INCIBE, en su Glosario de
podemos encontrar una serie de funciones
términos de ciberseguridad, tampoco lo hace.
y responsabilidades que interactúan y
presentan potenciales áreas y actividades Ni siquiera el Real Decreto 1008/2017, de
de común interés, o incluso en las que se 1 de diciembre, por el que se aprueba la
pueda producir solapamiento. Estrategia de Seguridad Nacional 2017 ofrece
una definición del concepto, aunque sí que
Este puede ser precisamente el ámbito en
señala como objetivo o línea de acción en
el que el CISO desarrolle sus funciones, con
ciberseguridad el “garantizar un uso seguro
un enfoque eminentemente centrado en la
de las redes y los sistemas de información y
seguridad, pero muy transversal a lo largo de
comunicación a través del fortalecimiento de
la organización. También tendrá una faceta
las capacidades de prevención, detección y
relevante en cumplimiento normativo (legal
respuesta a los ciberataques, potenciando y
y de estándares) en asuntos tan espinosos
adoptando medidas específicas para contribuir
como la protección de datos o la gestión de
a un ciberespacio seguro y fiable280 ”.
canales de denuncia.
280 Capítulo 3 Orden PCI/487/2019, de 26 de abril, por la que se pu-

blica la Estrategia Nacional de Ciberseguridad 2019, aprobada
por el Consejo de Seguridad Nacional.
La importancia de la ciberseguridad se ha • El incremento de las exigencias

incrementado exponencialmente en los normativas para asegurar la continuidad
últimos años. La explicación de este auge se de negocio y la resiliencia.
debe a La concurrencia de varios factores:
• El incremento para las organizaciones de
• La digitalización y la interconexión los costes -económicos y reputacionales-
han facilitado el desarrollo económico derivados de las infracciones en materia
y la expansión de los negocios, pero de protección datos (con el inicio de
han incrementado la exposición y la aplicación del RGPD), que podrían
vulnerabilidad de las organizaciones enfrentarse a multas de hasta 20M de
(sus sistemas y sus datos) a escala euros o el 4% del volumen de negocio
planetaria; total anual global del ejercicio financiero
anterior, optándose por la mayor
• El creciente valor (económico,
cuantía 281
.
empresarial, legal) que se otorga
a los datos y la información los ha 20.2.4. Amenazas
colocado en el centro de atención de los
Tipología de incidentes de
ciberdelincuentes;
seguridad
• La delincuencia ha basculado y se ha
Existe una gran cantidad de clasificaciones
redirigido -en buena parte- a entornos
o tipologías de incidentes de seguridad. En
digitales, ya que éstos confieren a los
este material se utilizará como referencia la
criminales amplias ventajas, como: (i)
empleada por INCIBE, en concordancia con
opciones de actuación sin limitaciones
la taxonomía definida en la Guía Nacional de
geográficas; (ii) mantener una distancia
Notificación y Gestión de Ciberincidentes y
física con el lugar de comisión del delito;
que se basa en la Taxonomía de Referencia
(iii) realización de actividades masivas
para la Clasificación de Incidentes de
(en volumen); (iv) impunidad (en los
Seguridad, la cual ha sido desarrollada y
fraudes o estafas a pequeña escala o
es actualizada de forma coordinada por
de pequeñas cantidades, se dan varios
un grupo internacional de equipos de
factores que favorecen la impunidad,
respuesta a incidentes (TF-CSIRT Reference
como la ausencia de denuncia de
Security Incident Taxonomy Working Group).
afectados, el coste de los recursos
necesarios y las opciones para llevar a El objetivo de esta clasificación de incidentes
cabo investigaciones trasfronterizas, es el establecimiento de una terminología
las reticencias u obstáculos a la común para facilitar el intercambio de
coordinación de algunos estados o información.
jurisdicciones, entre otros).
281 Artículo 83.2 GDPR
Establecer una taxonomía común es

imprescindible cuando el intercambio
involucra no sólo actores técnicos (CERTs
o CSIRTs) sino también cuando estos se
relacionan o interactúan con fuerzas y
cuerpos de seguridad, miembros de la
judicatura o fiscalía o legisladores que
acaban investigando, juzgando o legislando
sobre estos hechos. Esta clasificación
establece las siguientes 11 categorías: No obstante, en la tabla siguiente, en la
que se ofrece más detalle, se excluyen las
categorías de “test” y “vulnerabilidades”, por
no tratarse de incidentes como tales.
SPAM: Recepción de correo electrónico masivo no solicitado. El receptor del contenido no ha otorgado
Contenido autorización válida para recibir un mensaje colectivo.
abusivo Delito de odio: contenido difamatorio o discriminatorio (ciberacoso, racismo, amenazas…).
Pornografía infantil, contenido sexual o violento inadecuado: material visual con ese contenido.
Sistema infectado: sistema infectado con malware (programa malicioso)
Servidor Mando y Control (C+C): conexión con servidor de C+C mediante malware o sistemas
infectados.
Contenido
Distribución de malware: Recurso usado para distribución de malware.
dañino
Configuración de malware: Recurso que aloje ficheros de configuración de malware.
Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de
Dominio), empleado por malware para contactar con un servidor de Mando y Control.
Escaneo de redes (scanning): envío de peticiones a un sistema para descubrir posibles debilidades,
incluyendo procesos de comprobación o prueba para recopilar información de alojamientos, servicios
Obtención de y cuentas (p.e, escaneo de puertos)
información Análisis de paquetes (sniffing): observación y grabación del tráfico de redes.
Ingeniería social: Obtención de información utilizando debilidades de procesos, procedimiento o de
comportamiento social humano.
Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción
de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (CVE).
Intento de
Intento de acceso con vulneración de credenciales: múltiples intentos de vulnerar credenciales.
intrusión
Ataque desconocido: ataque empleando un exploit (programa que aprovecha una vulnerabilidad)
desconocido.
Compromiso de cuenta con privilegios: compromiso de un sistema en el que el atacante ha
adquirido privilegios.
Compromiso de cuenta sin privilegios: compromiso de un sistema empleando cuentas sin
privilegios.
Intrusión
Compromiso de aplicaciones: compromiso de una aplicación mediante la explotación de
vulnerabilidades de software.
Robo: intrusión física. Ejemplo: acceso no autorizado a Centro de Proceso de Datos y sustracción de
equipo.
DoS (Denegación de Servicio): ataque de Denegación de Servicio.

DDoS (Denegación Distribuida de Servicio): ataque de Denegación Distribuida de Servicio.
Disponibilidad
Sabotaje: sabotaje físico. Ejemplos: cortes de cableados de equipos o incendios provocados.
Interrupciones: interrupciones por causas externas. Ejemplo: desastre natural.
Acceso no autorizado a información: Como el robo de credenciales de acceso mediante
interceptación de tráfico o mediante el acceso a documentos físicos.
Compromiso
Modificación no autorizada de información: Por ejemplo, la modificación por un atacante
de la
empleando credenciales sustraídas de un sistema o aplicación o encriptado de datos mediante
información
ransomware.
Pérdida de datos: pérdida de información. Ejemplos: pérdida por fallo de disco duro o robo físico.
Uso no autorizado de recursos: uso de recursos para propósitos inadecuados, incluyendo acciones
con ánimo de lucro. Ejemplo: uso de correo electrónico para participar en estafas piramidales.
Derechos de autor: ofrecimiento o instalación de software sin licencia u otro material protegido por
Fraude derechos de autor.
Suplantación: tipo de ataque en el que una entidad suplanta a otra para obtener beneficios ilegítimos.
Phishing: suplantación identidad con la finalidad de convencer al usuario para que revele sus
credenciales privadas.
APT: ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados
de ocultación, anonimato y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería
social para conseguir sus objetivos junto con el uso de procedimientos de ataque conocidos o
genuinos.
Otros Ciberterrorismo: uso de redes o sistemas de información con fines de carácter terrorista.
Daños informáticos PIC: borrado, dañado, alteración, supresión o inaccesibilidad de datos,
programas informáticos o documentos electrónicos de una infraestructura crítica. Conductas graves
relacionadas con los términos anteriores que afecten a la prestación de un servicio esencial.
Otros: todo incidente sin cabida en otra categoría.
Taxonomía de Referencia para la Clasificación de Incidentes de Seguridad. Fuente: TF-CSIRT Reference Security Incident Taxonomy Working Group
Incidentes más comunes en las es obtener acceso no autorizado a un

organizaciones dispositivo o denegar el acceso a un usuario
legítimo.
La continua aparición y evolución de
distintos tipos de delitos informáticos o Como se ha apuntado ya, la delincuencia
ciberdelitos hace que cada día se acuñen ha evolucionado y ha reorientado parte de
nuevos términos para definirlos. Estos su actividad al ámbito digital. Los delitos no
delitos no conocen fronteras, ya sean son, salvo excepciones, una nueva actividad
físicas o virtuales, causan daños graves que haya requerido de reformas legales
y representan amenazas reales para las significativas (en el ámbito penal), sino que
víctimas alrededor del mundo. En puridad, simplemente han adquirido una nueva
los ciberdelitos hacen referencia a delitos dimensión y se ejecutan mediante otros
cometidos por medio de ordenadores y canales o con otras herramientas.
sistemas de información, donde el objetivo
Así pues, los cinco incidentes de mensajes SMS o en RRSS son un medio
ciberseguridad más comunes, o “principales masivo muy utilizado, junto con el anterior
retos de seguridad” a los que se enfrentan o por separado. Por último, entre los
las empresas -según INCIBE- son los habituales también destacan las llamadas
siguientes 282
: que simulando notificaciones de bancos,
servicios de telefonía, administración, etc.
Todas estas acciones hacen caer en el

engaño a las víctimas, en ocasiones de
forma muy sofisticada, y hacen que éstas
acaben facilitando a los delincuentes datos
personales o confidenciales, verbalmente
o a través de formularios a los que nos
Principales retos de ciberseguridad. Elaboración propia. dirigen enlaces en los mensajes o correos
Fuente: Instituto Nacional de Ciberseguridad (INCIBE)
electrónicos recibidos.
Ingeniería social
A menudo, la ingeniería social es el recurso
La ingeniería social es el nombre que reciben más simple, directo y eficiente para sortear
el conjunto de tácticas utilizadas para los sistemas de seguridad. Además, la
obtener información sensible o confidencial ingeniería social dirigida permite que
(habitualmente, credenciales de acceso), de aquellos dotados técnicamente organicen
una persona. ataques combinados que traspasen los
sistemas de defensa tanto humanos como
Básicamente, se trata de detectar digitales (hardware y/o software).
vulnerabilidades propias del
comportamiento humano social, que se Así pues, el factor humano puede
explotan mediante técnicas de persuasión, configurarse tanto como el eslabón más
aprovechando la buena voluntad y/o falta débil o como la primera línea de defensa
de precaución de la víctima, procedimientos ante ciberataques, dependiendo de la
deficientes, etc. Los datos así obtenidos formación o concienciación.
son utilizados posteriormente para realizar
Fuga de información
ataques (de forma directa o bien tras su
venta a un grupo que realice ataques con La fuga de información consiste en el acceso
dicha información). a información confidencial y/o privada por
parte de personas no autorizadas. Las
El medio más utilizado para engañar es el
consecuencias de un incidente de seguridad
correo electrónico, debido a su potencial
que implique fuga de información, son los
de difusión masivo y otras características
siguientes:
propias de este medio. También los
• Perjuicio a la imagen de la organización
282 Cómo hacer frente a los 5 incidentes de ciberseguridad más co-
munes, INCIBE, 14/09/2016.
de cara a la opinión pública, socios
de negocio, clientes, proveedores, Interna accidental

patrocinadores, etc
Motivadas, por ejemplo, por un
• Legales, dependiendo del ámbito, que procedimiento de diseño defectuoso, por
pueden llevar aparejadas sanciones un error no intencionado, desconocimiento
económicas o administrativas relevantes. o simplemente una acción u omisión
En el caso de involucrar información accidental por parte de un empleado (o
personal (de clientes, empleados o proveedor o similar) con acceso legítimo
proveedores), las consecuencias podrían a los sistemas e información de una
agravarse notablemente. organización.
• Afectación a terceras partes cuyos datos

Interna intencionada
se hayan hecho públicos (por ejemplo,
datos económicos confidenciales de En este caso, un empleado (o un ex
socios, clientes o empresas cotizadas). empleado con conocimientos suficientes
o que mantenga privilegios de acceso a los
• Económicas, más allá de las
sistemas), accede a la información y la extrae
relacionadas con sanciones o multas:
(exfiltra). Los motivos para ello pueden
costes de resolución del incidente
ser variados (venganza, estafa, venta de
(internos y externos), incremento de
información privilegiada, etc).
primas de seguros, modificación de
las infraestructuras o sistemas de Los consultores y proveedores que trabajan
ciberseguridad, pago de una cantidad para la organización, y disponen de acceso
-rescate o extorsión-para evitar a los sistemas, redes o bases de datos de la
su publicación o difusión, costes misma (en ocasiones, incluso con privilegios
relacionados con pérdida de inversiones superiores al empleado común), podrían
o patrocinios, etc. integrar la categoría de ”empleados” a los
efectos de consideración como incidente
La tipología de las fugas de información está
interno/externo.
constituida por cuatro categorías en función
del origen e intencionalidad: Tanto en este caso como en el anterior, la
fuga de datos (denominada “exfiltración de
datos”) se da en la mayor parte de casos a
través de los siguientes canales: correo-e,
dispositivos de almacenamiento (USB, CD/
DVD, discos duros externos, etc), cámaras,
fotocopiadoras o documentos en papel (en
este caso, sería un incidente de seguridad
de la información pero, en principio, no del
ámbito de la ciberseguridad).
Tipología de fugas de información. Elaboración propia.
Fuente: Instituto Nacional de Ciberseguridad (INCIBE)
Externa intencionada Phishing y desfiguración (defacement)
Si vienen del exterior, pueden ser El phishing es una “técnica que consiste en el
iniciadas por todo tipo de agentes, desde envío de un correo electrónico por parte de
organizaciones delictivas a activistas. un ciberdelincuente a un usuario simulando
ser una entidad legítima (red social, banco,
Sus motivaciones pueden variar desde la
institución pública, etc.) con el objetivo de
mera obtención de un beneficio económico
robarle información privada, realizarle un
con la venta de la información sustraída, a
cargo económico o infectar el dispositivo. Para
simplemente dañar la imagen de la empresa,
ello, adjuntan archivos infectados o enlaces a
amplificar el efecto de una reivindicación o
páginas fraudulentas en el correo electrónico”.
dar a conocer una causa.
Por su importancia, se trata en ocasiones

Externa accidental
como una categoría propia y aparte, aunque
En este caso, un tercero -por ejemplo, una a menudo se considera en la categoría de
administración- que haya tenido acceso ingeniería social.
legítimo a los datos de una organización,
puede acabar publicándolos o dándolos a Tipo Canal u objetivo
conocer a terceros por error, de forma no

Phishing
intencionada. Correo-e
(tradicional)
Ransomware
Smishing Mensajes de texto o SMS
Es un tipo de malware que infecta los
equipos de las empresas o incluso a sus
servidores web, etc. Vishing Llamada de voz
En un ataque de ransomware, el atacante

Whaling
consigue acceder a los datos almacenados Phishing dirigido a altos
(Fraude del
directivos (CEO, CFO, etc)
en los sistemas de una víctima y los cifra, CEO)
ofreciendo proporcionar una clave de
Phishing dirigido a puestos
descifrado a cambio de la satisfacción de un Spear Phishing o cargos concretos
rescate (ransom, en inglés) un pago. (excepto whaling)
Suelen lanzarse a través de enlaces Desde el punto de vista legal, el phishing es

maliciosos entregados mediante correos-e un método identificado para llevar a cabo
de phishing, pero también se utilizan otros un fraude, tal y como señaló la Audiencia
medios (vulnerabilidades no parcheadas, Provincial de Logroño, en su sentencia de 16
por ejemplo). La descarga de adjuntos o el de abril de 2014, sobre un caso de delito de
seguimiento de enlaces acaban permitiendo estafa por fraude informático, donde dice
que la información sea “secuestrada” del phishing que:
mediante el cifrado.
“(…) es un concepto informático que Merece la pena mencionar el pharming,

denomina el uso de un tipo de fraude que aunque algunos consideren un tipo o
caracterizado por intentar adquirir variedad de phishing, presenta características
información confidencial de forma propias y diferenciadoras.
fraudulenta (como puede ser una
El pharming es otro neologismo reciente,
contraseña o información detallada sobre
compuesto por la combinación de los
tarjetas de crédito u otra información
términos phishing y farming. En esencia, se
bancaria). El estafador, conocido como
trata un engaño que consiste en dirigir a
“phisher”, envía a numerosas personas
las personas a páginas web fraudulentas
correos electrónicos masivos en los que se
que replican de modo muy fidedigno la
hace pasar por una empresa de confianza
apariencia de las auténticas, con el objetivo
(por ejemplo, una entidad bancaria, o una
de inducir a un usuario a introducir datos
compañía telefónica, etc.); otras veces lo
personales (correo-e, contraseñas, etc) o
hace mediante la creación de páginas
infectar sus ordenadores con malware.
“web” que imitan la página original de esa
entidad bancaria o empresa de reconocido A pesar de algunas similitudes y basarse
prestigio en el mercado; en ocasiones en el phishing, las estafas de pharming
también se realiza por medio de llamadas proyectan redes mucho más amplias, de
telefónicas masivas realizadas a numerosos tal forma que cualquiera podría acceder
usuarios en las que se simula ser un de manera involuntaria a una web de
empleado u operador de esa empresa de pharming.
confianza. En todo caso, siempre se trata
de una aparente comunicación “oficial” que Finalmente, otro de los incidentes que señala
pretende engañar al receptor o destinatario el INCIBE es la desfiguración o defacement,
a fin de que éste le facilite datos bancarios un tipo de ataque que se realiza contra
o de tarjeta de crédito, en la creencia un sitio web, de forma que se modifica
de que es a su entidad bancaria o a otra la apariencia del mismo o alguna de sus
empresa igualmente solvente y conocida páginas, sustituyendo el contenido del sitio
a quien está suministrando dichos datos. por otros editados por el atacante.
Finalmente, en otras ocasiones el sistema
El nuevo contenido puede transmitir un
consiste simplemente en remitir correos
mensaje de activismo político o religioso, o
electrónicos que inducen a confianza
algún otro inapropiado, o un aviso de que el
(simulando ser de entidades bancarias,
sitio web ha sido pirateado, para evidenciar
etc.) que cuando son abiertos introducen
o ridiculizar los sistemas de seguridad de
“troyanos” en el ordenador del usuario,
una organización o administración y, con
susceptibles de captar datos bancarios
ello, a dicha organización y su reputación.
cuando este realiza pagos en línea283”.
283 SAP Logroño, Secc. 1º, 77/2014 de 16 de abril, MP: María del Puy
Aramendia Ojer
Formar parte de una Botnet que En 2019, ABANCA sufrió un ataque en el que sus
realiza ataques sistemas informáticos fueron infectados por un

programa malicioso (malware). ABANCA decidió
La palabra botnet es un neologismo que suspender todos sus servicios bancarios de web
procede de la combinación de los términos y móvil, así como sus cajeros automáticos y sus
servicios de pago SWIFT.
“robot” y “red” (en inglés robot y network).
La entidad tuvo conocimiento de este incidente el
A través de virus troyanos, los grupos
26 de febrero de 2019, pero no informó del mismo
criminales superan la seguridad de los hasta 46 horas después.
dispositivos, y así pasan a controlarlos,
Según el BCE, esto le impidió valorar
organizarlos en red y gestionarlos de forma
apropiadamente la situación prudencial de ABANCA
remota. Esta red es posteriormente utilizada
y de reaccionar a tiempo ante otras posibles
para realizar ataques sin conocimiento de amenazas a otras entidades, lo que podría haber
los usuarios de los equipos. tenido consecuencias potenciales en la reputación
y la estabilidad del sector bancario en su conjunto.
Las botnet se suelen utilizar para ataques No obstante, el BCE reconocía que ABANCA atajó
masivos como envío de SPAM, denegación rápidamente los efectos del incidente, por lo que
de servicio (DDoS), propagación de malware la multa se limitó al incumplimiento del plazo de
y formar parte de la infraestructura para notificación, no cuestionando la manera en que
cometer una amplia tipología de delitos y el banco gestionó el incidente, ni sus sistemas de
seguridad, ni los efectos sobre los clientes, que no
fraudes en la red.
sufrieron pérdidas económicas ni de información.
Uno de los ataques más comunes para los que Tampoco hubo, según el BCE, ánimo de ocultar el
se utiliza una botnet es el ya mencionado de incidente, constatando la colaboración de la entidad

durante la investigación.
denegación de servicio. Estos ataques tienen
por objetivo dejar un servidor inoperativo, Fuente: El BCE multa con 3,1 millones a Abanca por no
informar a tiempo de un ciberataque, Cinco Días, 16 de
bombardeándolo con peticiones masivas y
diciembre de 2022.
simultáneas de tráfico web, lo que termina
por sobrepasar su capacidad, lo que lo
colapsa y acaba paralizando el servicio que Nuevas figuras: “Autoridad
da, impidiendo que los usuarios legítimos nacional competente” y “CSIRT”
puedan acceder y utilizarlo.
La Directiva (UE) 2016/1148 (Directiva de
Ciberseguridad, SRI o NIS, por sus siglas en
Caso de estudio XXIX: Abanca
ingles), así como su norma de transposición
Banco Central Europeo (BCE) anunció una sanción en España, el Real Decreto-ley 12/2018, de 7
a ABANCA superior a 3M de euros por informar de septiembre, de seguridad de las redes y
a las autoridades que había sido víctima de un
sistemas de información, que se detallarán
ciberataque fuera del plazo máximo de dos horas
más adelante, introducen dos nuevas figuras
tras tener conocimiento de que se ha producido un
en el panorama de la ciberseguridad:
ciberataque.
• Autoridad Nacional Competente de los proveedores de servicios digitales

de las obligaciones que se determinen;
• Equipos de respuesta a incidentes de
seguridad informática (Computer Security ii. Establecer canales de comunicación
Incident Response Team, CSIRT). oportunos con los operadores de
servicios esenciales y con los proveedores
Los operadores de servicios esenciales y los de servicios digitales;
proveedores de servicios digitales notifiquen
iii. Coordinarse con los CSIRT de referencia
los incidentes que sufran en las redes y
a través de los protocolos de actuación;
servicios de información que emplean
para la prestación de servicios esenciales y iv. Recibir las notificaciones de incidentes
digitales. sufridos por las administraciones
públicas y los operadores del mercado.
En este sentido, la notificación de incidentes
se configura como esencial en el esquema Junto con la Autoridad Competente, el
presentado, por lo que se protege a la artículo 9 de la Directiva SRI incluye la
entidad notificante y al personal que informe otra nueva figura que denomina “Equipos
sobre los incidentes ocurridos; se reserva la de respuesta a incidentes de seguridad
información confidencial de su divulgación informática (en adelante, “CSIRT”).
al público o a otras autoridades distintas
Los CSIRT son los equipos de respuesta a
de la notificada y se permite la notificación
incidentes que analizan riesgos y supervisan
de incidentes cuando no sea obligada su
incidentes a escala nacional, difunden
comunicación.
alertas sobre ellos y aportan soluciones
Para poder llevar a cabo estas tareas, se para mitigar sus efectos. El término CSIRT
es el usado comúnmente en Europa en
crea la Autoridad Nacional Competente
lugar del término protegido CERT (Computer
en materia de seguridad de las redes y
Emergency Response Team), registrado en
sistemas de información (en adelante,
EE.UU. Estos CSIRT desempeñarán como
“Autoridad Competente”) que cubrirá, al
mínimo, las siguientes funciones:
menos, los sectores que figuran en el anexo
II (sectores esenciales) y los servicios que i. Supervisar incidentes a escala nacional;
figuran en el anexo III (mercado en línea,
ii. Difundir alertas tempranas, alertas,
motor de búsqueda en línea y servicios de
avisos e información sobre riesgos e
computación en la nube), ambos contenidos
incidentes entre los interesados;
en la Directiva SRI.
iii. Responder a incidentes;
Además, la Autoridad Competente ejercerá,
entre otras, las siguientes funciones: iv. Efectuar un análisis dinámico de riesgos
e incidentes y de conocimiento de la
i. Supervisar el cumplimiento por parte de situación;
los operadores de servicios esenciales y
v. Participar en la red de CSIRT.
Por último, como cualquier otra disposición generen los automatismos que permitan
de rango normativo europeo, cabe destacar ganar tiempo y acelerar la respuesta (y, con
el afán cooperativo. El artículo 11 de la ello, posiblemente minimizar los daños,
Directiva de SRI establece el denominado extensión y coste del incidente).
Grupo de Cooperación, a fin de apoyar
Los incidentes son situaciones que causan
y facilitar la cooperación estratégica y
el intercambio de información entre los gran trastorno y tienen el potencial de
EEMM y desarrollar confianza y seguridad, provocar daños de una dimensión enorme.
para alcanzar un elevado nivel común Por ello, caben actuaciones de prevención
de seguridad de las redes y sistemas de (en un primer momento) y de detección,
información en la UE. respuesta y recuperación en caso de

materializarse.
Gestión de incidentes de
ciberseguridad La detección se basa en la monitorización
y uso de los sistemas de vigilancia. La
Ninguna organización está libre de la respuesta pasa por una identificación de la
acción de los ciberdelincuentes; de ocurrencia de un incidente, su comunicación
hecho, un porcentaje cercano al 100% ha a quienes puedan gestionarlo, su
experimentado algún tipo de incidente de contención y erradicación, para acabar en la
ciberseguridad en los últimos años 284
. recuperación de la situación pre-incidente.
Por todo ello, los planes, guías y De acuerdo con el INCIBE, este plan de acción
procedimientos de actuación ante incidentes deberá estar estructurado en varias fases:
de ciberseguridad deben formar parte de la preparación, identificación, contención,
gestión de las organizaciones, sobre todo mitigación, recuperación y actuaciones post
en incidentes donde las decisiones deben incidente.
tomarse de forma rápida para confirmar
adecuadamente la amenaza y evitar, por
ejemplo, su extensión.
No podemos olvidar tampoco las

obligaciones derivadas de la normativa
a la hora de informar a reguladores y
supervisores, en los casos establecidos, de
la ocurrencia de un ciberataque.
Se hace imprescindible, por tanto, contar con

un plan de acción que establezca las pautas
a seguir antes un incidente de seguridad y
284 El 94% de las empresas españolas ha sufrido, al menos, un inci- Procedimiento de gestión de ciberincidentes para el sector privado
dente grave de ciberseguridad en 2021, artículo en el que se cita y la ciudadanía. Elaboración propia.
un estudio llevado a cabo por Deloitte. Fuente: Instituto Nacional de Ciberseguridad (INCIBE)
Preparación Tecnología: Las amenazas vendrán

determinadas, en parte, por la tecnología
En este punto se pretende que la
utilizada, y si ésta se encuentra bajo
organización disponga de la preparación
nuestro control o utilizamos proveedores
adecuada para afrontar cualquier incidente.
o servicios ajenos.
Para ello, la anticipación y la formación del
personal son esenciales, teniendo presentes En este punto, es importante señalar
tres pilares fundamentales: las personas, los que gran parte de las vulnerabilidades
procedimientos y la tecnología. de los sistemas que los ciberatacantes
aprovechan son conocidas, pero no
Personas: Los empleados y personas se han resuelto adecuadamente o se
con accesos los sistemas e información han descuidado directamente. Los
pueden constituir el eslabón más sistemas sin actualizaciones o con
débil o bien, tras las adecuadas y un mantenimiento deficiente son
periódicas actividades de formación y más susceptibles a ataques, así como
concienciación, convertirse en la primera aquellos en los que no se ha cambiado
línea de ciberdefensa. Evidentemente, la configuración de fábrica o por defecto.
no todos los usuarios deberán recibir la
misma formación, sino que ésta deberá Identificación
estar adaptada a sus funciones y riesgos. Durante esta fase, las situaciones
Aquí cabe señalar que, a menudo, la identificadas como incidentes de
formación se centra en los empleados, seguridad deben especificarse, al igual
olvidando a otros usuarios de nuestros que las herramientas, los mecanismos de

detección y los sistemas de alerta que la
sistemas (consultores, proveedores y
organización vaya a utilizar para detectar un
personal temporal).
incidente. Estos mecanismos permitirán a la
Procedimientos: Dentro de las organización la identificación y detección de
actividades a desarrollar, está el ciberataques y, en su caso, vulnerabilidades.
establecimiento de una adecuada
En materia de protección de datos y en
clasificación de la información,
ámbitos como el financiero (ver Caso
definición de roles y niveles de acceso a
de Estudio XXIX), esta fase es de suma
la información, de tipología de cuentas
importancia, por los cortos plazos de
de usuarios, políticas de autorización
comunicación a la autoridad de control
y revocación de privilegios, de
competente por parte del Responsable del
actualización de contraseñas, etc.
Tratamiento (72 horas).
También se deberán tener en cuenta
No obstante, se trata de un plazo máximo, ya
los sistemas de control de acceso, tanto
que la normativa establece que la notificación
físico como remoto, las actualizaciones y
debe realizarse sin delaciones indebidas
parcheado de sistemas, etc.
y tan pronto como tenga conocimiento de
un incidente que haya comprometido la de recuperación y no están completamente

confidencialidad de datos personales. diferenciadas, por lo que es normal que
existan superposiciones o solapamientos
La excepción a esta regla es que el responsable
entre ellas.
pueda demostrar, atendiendo al principio de
responsabilidad proactiva, la improbabilidad En algunos casos, puede ser necesario
de que el incidente de seguridad entrañe un solicitar asistencia de entidades externas,
riesgo para los derechos y las libertades de como proveedores de servicios de mitigación
las personas físicas. de este tipo de ataques o un CSIRT nacional
como INCIBE-CERT, que puedan apoyar en
Contención
el análisis y definición de la estrategia de
Esta fase engloba las actuaciones que mitigación.
intentan limitar el perímetro dañado y
Recuperación
prevenir, ralentizar o impedir su dispersión
a lo largo de los sistemas, y así controlar la En esta fase se trata de volver a la situación
extensión de los daños. original, si bien resolviendo el incidente
y las vulnerabilidades que lo causaron
El tiempo será, en general, un factor clave
(explotadas por los atacantes).
durante un incidente de seguridad, sobre
todo en aquellos más serios, en los que Finalmente, el objetivo es restaurar
la reputación o la continuidad de negocio completamente los servicios a sus niveles
están en juego. normales y evitar que vuelvan a suceder
episodios como el sufrido. Para ello, no
Tras la identificación, se estudiará la
basta con implementar nuevas medidas de
situación y se clasificará el incidente,
seguridad, sino también adoptar controles
que será convenientemente registrado y
regulares para permitir el monitoreo
documentado. Además, si es posible, se
detallado de los procesos de mayor riesgo.
recogerán evidencias para posteriores
Además, se debe realizar un seguimiento
actuaciones forenses, judiciales, policiales e
durante la puesta en producción, en busca
incluso formativas y de concienciación.
de posibles actividades sospechosas.
Mitigación
Actuaciones post-incidente
Una vez contenido el incidente, la segunda
Una superado el incidente y con los
subfase será mitigar o erradicar aquellos
sistemas de regreso a la operativa normal,
elementos causantes del mismo (p. ej.
es el momento de recabar las lecciones
eliminación del malware, desactivación de
aprendidas, con la finalidad de evitar
cuentas de usuario comprometidas, etc).
errores futuros, corregir procedimientos
Por último, se tomarán las medidas existentes o implantar nuevos y extraer las
de recuperación adecuadas. Esta fase conclusiones para evitar sufrir una situación
mantiene estrecha vinculación con la fase similar.
20.3. Normativa de referencias Esta Directiva ha sido sustituida por la

conocida como Directiva SRI 2, Directiva (UE)
20.3.1. Normativa UE y normativa 2022/2555 relativa a las medidas destinadas
Nacional a garantizar un elevado nivel común de
ciberseguridad en toda la Unión, por la que
Se ha insistido en la importancia de las redes
se modifican el Reglamento (UE) 910/2014 y
y sistemas de información en la sociedad
la Directiva (UE) 2018/1972 y por la que se
actual. Su funcionamiento, disponibilidad,
deroga la Directiva (UE) 2016/1148 (Directiva
acceso y seguridad han devenido esenciales
SRI 2).
para las actividades económicas y sociales.
Aunque entrará en vigor a finales de 2023,

El carácter transnacional de las amenazas a
las que se enfrentan estas redes y sistemas, los EEMM tendrán hasta septiembre de 2024
incrementa el potencial perturbador o de para trasponer a sus leyes nacionales esta
disrupción de un incidente en este ámbito, Directiva SRI2, que tiene por objetivo mejorar
pudiendo llegar a interrumpir actividades la resiliencia de la infraestructura crítica y

de sectores económicos enteros, generar alinear los esfuerzos de ciberseguridad en
grandes pérdidas financieras, dañar la toda la UE.
confianza de los ciudadanos y causar graves
La nueva norma introduce importantes
daños.
novedades que afectarán a un creciente
La Unión Europea inició su andadura en número de organizaciones de los EEMM.
este ámbito con la publicación, febrero de Algunos de los cambios más importantes
2013, de la Estrategia de Ciberseguridad de son:
la Unión Europea (Cybersecurity Strategy of
• Ámbito más amplio. La Directiva SRI2
the of the European Union: an Open, Safe and
amplía el universo de sujetos obligados,
Secure Cyberspace).
para abarcar a entidades medianas y
Posteriormente, en 2016, se aprobó la grandes de más sectores críticos para
ya mencionada Directiva (UE) 2016/1148 la economía y la sociedad, incluyendo
relativa a las medidas destinadas a garantizar proveedores de servicios públicos de
un elevado nivel común de seguridad de las comunicaciones electrónicas, servicios
redes y sistemas de información en la Unión digitales, gestión de aguas residuales
(Directiva SRI o Directiva de Ciberseguridad). y residuos, fabricación de productos
El objetivo de esta norma era reducir las críticos, servicios postales y de mensajería,
amenazas para los sistemas de redes y de así como a las Administraciones Públicas
información utilizados para prestar servicios (en el caso de España, Entidades de la
esenciales en sectores fundamentales, y Administración General del Estado y de
garantizar la continuidad de dichos servicios las Comunidades Autónomas, y se podrá
en caso de incidentes, contribuyendo así a determinar su aplicación a entidades
la seguridad de la Unión y al funcionamiento a nivel local), estando ahora incluidos
eficaz de su economía y su sociedad. aquellas sociedades con más de 250
empleados y facturación anual superior incidentes, así como algunos aspectos

a 50M millones de euros y/o un balance concretos de la información que dicha
anual superior a 43M de euros. notificación ha de incluir. Aquellos
sujetos obligados que sean víctimas
En ciertos casos, algunas entidades
de un incidente deberán presentar
quedarán obligadas independientemente
un informe del mismo dentro de las
de su tamaño, como sucederá con los
primeras 24 horas (a contar desde que
proveedores de redes de comunicaciones
tengan conocimiento del mismo), y un
electrónicas. Cada EM clasificará a estas
informe final actualizado tras un mes.
entidades como “esenciales” (en el caso de
los operadores de infraestructura crítica • Supervisión y rendición de cuentas
o ciertos fabricantes) o “importantes” del consejo de administración. La
(proveedores de servicios digitales o Directiva obliga a los órganos de gestión

y alta dirección a implementar y cumplir
proveedores de servicios gestionados).
con medidas de seguridad reforzadas,
Ambos grupos habrán de cumplir con haciéndoles responsables de los posibles
idénticos requisitos, haciendo más incumplimientos.
estricta la futura supervisión a las
entidades esenciales. Por su trascendencia, no cabe sino mencionar
también al Reglamento (UE) 2022/2554 del
• Requisitos de seguridad reforzados. Parlamento Europeo y del Consejo de 14
Se introducen nuevas medidas de de diciembre de 2022 sobre la resiliencia
ciberseguridad de referencia: análisis operativa digital del sector financiero y por
de riesgos, políticas de seguridad del el que se modifican los Reglamentos (CE)
sistema de información, respuesta a nº 1060/2009, (UE) nº 648/2012, (UE) nº
incidentes, continuidad del negocio, 600/2014, (UE) nº 909/2014 y (UE) 2016/1011,
gestión de crisis, seguridad de la cadena conocido como Reglamento DORA.
de suministro, evaluación de la eficacia
Como reglamento, su contenido es
de las medidas de gestión de riesgos,
vinculante en su totalidad y aplicable en
divulgación de vulnerabilidades y
todos los EEMM desde su entrada en vigor,
encriptación.
que tuvo lugar en enero de 2023.
• Endurecimiento de las sanciones.
Este reglamento forma parte de un paquete
Las multas por incumplimiento podrían
de medidas de finanzas digitales que incluye
alcanzar hasta el 2% de la facturación
una propuesta de Reglamento relativo a los
anual o 10M euros (la que resulte mayor
mercados de criptoactivos, una propuesta
de las dos cantidades).
de otro Reglamento sobre un régimen piloto
• Reducción de plazo de notificación de las infraestructuras del mercado basadas
de incidentes. La nueva Directiva en la tecnología de registro descentralizado,
proporciona más detalles de las así como un borrador de Directiva en
obligaciones a cumplir en caso de materia de servicios financieros.
El objetivo de DORA es prevenir y mitigar las Este Real Decreto-ley no introduce, en

ciberamenazas regulando sobre la resiliencia general, particularidades respecto de lo
operativa digital, conforme a la cual todas regulado en la Directiva. Solo se aplica a los
las entidades financieras y resto de sujetos operadores de servicios esenciales ubicados
obligados puedan resistir y responder a en España y a los proveedores de servicios
cualquier tipo de perturbación y amenaza digitales registrados en España (siempre
relacionada con las TIC, y recuperarse de que constituya su principal establecimiento
ellas. en la UE).
Se trata, en definitiva, de regular cómo las Por otro lado, la Directiva SRI regulaba en
entidades financieras (un concepto que su artículo 7 la obligación de los EEMM de
comprende una amplia categoría de sujetos adoptar una estrategia nacional de seguridad
obligados) gestionan el riesgo digital. de las redes y sistemas de información que
Respecto del plazo, los sujetos a DORA establezca objetivos estratégicos, medidas
dispondrán de 2 años para dar cumplimiento políticas y normativas adecuadas, con objeto
a lo establecido en el reglamento (es decir, de alcanzar y mantener un elevado nivel de
hasta enero de 2025). seguridad de éstas.
DORA pretende, por tanto, armonizar En España, la Orden PCI/487/2019, de 26

y reforzar el ámbito normativo sobre de abril, por la que se publica la Estrategia
resiliencia operativa digital en el sector Nacional de Ciberseguridad 2019, aprobada
financiero europeo, estableciendo por el Consejo de Seguridad Nacional, ha
requisitos uniformes (homogéneos en definido cuáles son las líneas de actuación
todos los EEMM) para la seguridad de estratégicas para los ámbitos de la Seguridad
las redes y sistemas de información de Nacional:
las empresas y organizaciones del sector
financiero, así como de terceros esenciales i. Reforzar las capacidades ante las
que les presten servicios relacionados con amenazas provenientes del ciberespacio.
las TIC (tecnologías de la información y la ii. Garantizar la seguridad y resiliencia de

comunicación), como el caso de plataformas los activos estratégicos para España.
en la nube o servicios de análisis de datos.
iii. Reforzar las capacidades de investigación
Por lo que respecta a España, la aprobación y persecución de la cibercriminalidad,
en julio de 2016 de la Directiva SRI supuso para garantizar la seguridad ciudadana y
un hito y referencia clave, a pesar de que la protección de los derechos y libertades
llevó más de dos años la incorporación de en el ciberespacio.
la Directiva SRI (hasta septiembre de 2018)
iv. Impulsar la ciberseguridad de ciudadanos
al ordenamiento nacional, lo que se hizo
y empresas.
mediante el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y v. Potenciar la industria española de
sistemas de información. ciberseguridad y la generación y retención
del talento, para el fortalecimiento de la provienen de acciones deliberadas,

autonomía digital. pueden generar pérdidas financieras,
menoscabar la confianza de la población
vi. Contribuir a la seguridad del ciberespacio
y, en definitiva, causar graves daños a la
en el ámbito internacional, promoviendo
economía y a la sociedad.
un ciberespacio abierto, plural, seguro
y confiable, en apoyo de los intereses • Proveedores de servicios digitales:
nacionales. Aquellos que tengan su sede social
en España y que constituya su
vii. Desarrollar una cultura de
establecimiento principal en la UE, así
ciberseguridad.
como los que, no estando establecidos
Sujetos obligados en la UE, designen en España a su

representante en la Unión para el
En el artículo 2 del Real Decreto-Ley cumplimiento de la Directiva de SRI.
12/2018 se introducen los sujetos obligados A estos efectos, son proveedores de
a establecer medios para garantizar la servicios digitales los que cumplan
ciberseguridad: simultáneamente las siguientes
• Operadores de servicios esenciales condiciones:
establecidos en España: Se entenderá i. Que presten alguno de los siguientes
que un operador de servicios esenciales servicios digitales definidos en el
está establecido en España cuando Real Decreto-Ley: mercados en línea,
su residencia o domicilio social se motores de búsqueda en línea y
encuentren en territorio español, servicios de computación en la nube;
siempre que éstos coincidan con el lugar
ii. Que no sean microempresas o
en que esté efectivamente centralizada
pequeñas empresas.
la gestión administrativa y la dirección
de sus negocios o actividades. Normativa de Ciberseguridad en
España
Son sectores esenciales los
siguientes: energía, transporte, En España existe un Código de la Ley de
suministro de agua, sector sanitario, Ciberseguridad, publicado en el Boletín
banca e infraestructuras de los mercados Oficial del Estado (BOE), que establece las
financieros, así como infraestructuras principales normas a tener en cuenta en
digitales. Estos sectores desempeñan materia de protección del ciberespacio y
un papel crucial en nuestra sociedad, para garantizar la ciberseguridad antes
siendo su fiabilidad y seguridad aspectos mencionada. Este código agrupa 1 normas
esenciales para el desarrollo normal de -aparte de la Constitución- en los siguientes
las actividades económicas y sociales. Es ocho ámbitos:
por ello que los incidentes que puedan
surgir, tanto si son fortuitos como si
Infraestructuras críticas
• Ley 8/2011, de 28 de abril, por la que se

establecen medidas para la protección
de las infraestructuras críticas;
• Real Decreto 704/2011, de 20 de mayo,

por el que se aprueba el Reglamento
de protección de las infraestructuras
críticas.
Normativa de seguridad
• Ley 5/2014, de 4 de abril, de Seguridad

Privada;
• Real Decreto 2364/1994, de 9 de

diciembre, por el que se aprueba el
Reglamento de Seguridad Privada.
Por su relevancia, se mencionan a
continuación algunas de ellas, en cada uno
Equipo de respuesta a incidentes de
de los ámbitos.
seguridad
Seguridad Nacional • Real Decreto 421/2004, de 12 de marzo,
• Ley 36/2015, de 28 de septiembre, de por el que se regula el Centro Criptológico

Seguridad Nacional; Nacional.
• Real Decreto-ley 12/2018, de 7 de Telecomunicaciones y usuarios

septiembre, de seguridad de las redes y
• Ley 34/2002, de 11 de julio, de servicios
sistemas de información;
de la sociedad de la información y de
• Real Decreto 43/2021, de 26 de enero, comercio electrónico;
por el que se desarrolla el Real Decreto-
• Ley 6/2020, de 11 de noviembre,
ley 12/2018, de 7 de septiembre, de
reguladora de determinados aspectos de
seguridad de las redes y sistemas de
los servicios electrónicos de confianza;
información;
• Ley 11/2022, de 28 de junio, General de
• Orden PCI/487/2019, de 26 de abril, por
Telecomunicaciones;
la que se publica la Estrategia Nacional
de Ciberseguridad 2019, aprobada por el • Ley 25/2007, de 18 de octubre, de
Consejo de Seguridad Nacional; conservación de datos relativos a las
comunicaciones electrónicas y a las
redes públicas de comunicaciones.
diciembre, por el que se aprueba la
Estrategia de Seguridad Nacional 2021;
Ciberdelincuencia Penal, vino a crear, definir y modificar los

tipos penales que configuran el ámbito de
• Ley Orgánica 10/1995, de 23 de
la cibercriminalidad, como son los delitos de
noviembre, del Código Penal.
descubrimiento y revelación de secretos, de
Protección de datos daños informáticos, de pornografía infantil,
los delitos contra la propiedad intelectual,
• Ley Orgánica 3/2018, de 5 de diciembre,
de terrorismo y los delitos de odio.
de Protección de Datos Personales y
garantía de los derechos digitales; Este avance legislativo se produjo, debido
al surgimiento de nuevas formas delictivas
y a la trasposición de la Directiva Europea
diciembre, por el que se aprueba el
2013/40/UE del Parlamento Europeo y
Reglamento de desarrollo de la Ley
del Consejo, de 12 de agosto de 2013,
Orgánica 15/1999, de 13 de diciembre,
relativa a los ataques contra los sistemas
de protección de datos de carácter
de información, que sustituyó la Decisión
personal;
Marco 2005/222/JAI del Consejo y otras
• Reglamento (UE) 2016/679 del normas internacionales285.
Parlamento Europeo y del Consejo, de 27
de abril de 2016, relativo a la protección La ciberdelincuencia se ha ido adaptando a
de las personas físicas en lo que respecta la evolución tecnológica y a la irrupción de la
al tratamiento de datos personales y a informática y las TICs en todas las parcelas
la libre circulación de estos datos y por de la vida diaria de los ciudadanos, tanto en
el que se deroga la Directiva 95/46/CE el campo profesional como en el personal,
(Reglamento general de protección de así como los avances experimentados en el
datos). tratamiento de la información.
Relaciones con la administración Ello ha supuesto un aumento importante

de la masa delincuencial en este ámbito,
• Ley 39/2015, de 1 de octubre, del
ya que la delincuencia explota o aprovecha
Procedimiento Administrativo Común de
las oportunidades o las vulnerabilidades
las Administraciones Públicas;
existentes286.
• Ley 40/2015, de 1 de octubre, de Régimen
A los efectos que aquí interesan se van a
Jurídico del Sector Público.
tratar aquellos delitos que por su naturaleza
Relación con la normativa penal y pueden llegar a afectar a los datos de las
la LOPDGDD organizaciones.
Desde el punto de vista jurídico, Internet ha

dado lugar a la aparición de nuevas formas
285 “Estudio sobre la cibercriminalidad en España 2015”, Ministerio
de comisión delictiva. La Ley Orgánica del Interior, Secretaría de Estado de seguridad.
286 “Estudio sobre la cibercriminalidad en España 2016”, Ministerio

10/1995, de 23 de noviembre, del Código del Interior, Secretaría de Estado de seguridad.
• Delito de acceso e interceptación relación a los delitos de interferencia en

ilícita: El CP introduce este delito en el los datos y en los sistemas. Así, el referido
apartado 2 del art. 197 bis. El tipo reza artículo indica que: “Será castigado con la
de la siguiente forma: “El que mediante pena de prisión de seis meses a tres años
la utilización de artificios o instrumentos el que, sin estar autorizado y de manera
técnicos, y sin estar debidamente grave, obstaculizara o interrumpiera el
autorizado, intercepte transmisiones funcionamiento de un sistema informático
no públicas de datos informáticos que ajeno: a) realizando alguna de las
se produzcan desde, hacia o dentro de conductas a que se refiere el artículo
un sistema de información, incluidas anterior) introduciendo o transmitiendo
las emisiones electromagnéticas de los datos; o c) destruyendo, dañando,
mismos, será castigado con una pena de inutilizando, eliminando o sustituyendo
prisión de tres meses a dos años o multa un sistema informático, telemático o
de tres a doce meses”. El artículo es fruto de almacenamiento de información
de la obligación impuesta por el art. 6 de electrónica.”
la Directiva 2013/40/UE del Parlamento
• Delito de falsificación informática:
Europeo y del Consejo, de 12 de agosto
los artículos 264, 264 bis y 264 ter
de 2013, relativa a los ataques contra los
CP tipifican lo que se conoce bajo el
sistemas de información y por la que se
nombre de “sabotaje informático”: “El
sustituye la Decisión marco 2005/222/
que por cualquier medio, sin autorización
JAI del Consejo (en adelante, “la Directiva
y de manera grave borrase, dañase,
de ataques”). Así, dice la Exposición de
deteriorase, alterase, suprimiese o hiciese
motivos de la Ley Orgánica 1/2015 que
inaccesibles datos informáticos, programas
“Con el mismo planteamiento, y de acuerdo
informáticos o documentos electrónicos
con las exigencias de la Directiva, se
ajenos, cuando el resultado producido
incluye la tipificación de la interceptación
fuera grave”; “El que, sin estar autorizado
de transmisiones entre sistemas, cuando
y de manera grave, obstaculizara o
no se trata de transmisiones personales:
interrumpiera el funcionamiento de un
la interceptación de comunicaciones
sistema informático ajeno”; y “El que, sin
personales ya estaba tipificada en el
estar debidamente autorizado, produzca,
Código Penal; ahora se trata de tipificar
adquiera para su uso, importe o, de
las transmisiones automáticas –no
cualquier modo, facilite a terceros, con
personales– entre equipos”.
la intención de facilitar la comisión de
• Delito de interferencia en los datos y alguno de los delitos a que se refieren los
en el sistema: el CP en su artículo 264 dos artículos anteriores: un programa
bis establece las normas mínimas que informático, concebido o adaptado
los estados deben implementar en sus principalmente para cometer alguno de los
ordenamientos jurídicos internos con delitos a que se refieren los dos artículos
anteriores; o una contraseña de ordenador, En cuanto se refiere a la Ley Orgánica

un código de acceso o datos similares que 3/2018, de Protección de Datos Personales
permitan acceder a la totalidad o a una y garantía de los derechos digitales, su
parte de un sistema de información”. Disposición adicional novena establece que:
“Cuando, de conformidad con lo dispuesto en la
• Fraude informático: recogido en el
legislación nacional que resulte de aplicación,
artículo 248 y siguientes del CP, el
deban notificarse incidentes de seguridad, las
fraude informático es aquel delito de
autoridades públicas competentes, equipos
estafa que, con ánimo de lucro, se utilice
de respuesta a emergencias informáticas
engaño bastante para producir error en
(CERT), equipos de respuesta a incidentes de
otro, induciéndolo a realizar un acto de
seguridad informática (CSIRT), proveedores
disposición en perjuicio propio o ajeno
de redes y servicios de comunicaciones
valiéndose de alguna manipulación electrónicas y proveedores de tecnologías y
informática o artificio semejante, de tal servicios de seguridad, podrán tratar los datos
forma que se consiga una transferencia personales contenidos en tales notificaciones,
no consentida de cualquier activo exclusivamente durante el tiempo y alcance
patrimonial en perjuicio de otro. necesarios para su análisis, detección,
protección y respuesta ante incidentes
• Delito contra la propiedad intelectual
y adoptando las medidas de seguridad
e industrial: estos dos tipos de delito
adecuadas y proporcionadas al nivel de riesgo
se incardinan en el artículo 270 CP
determinado”.
y siguientes. Los bienes jurídicos
protegidos son los derechos de carácter 20.3.2. Normas ISO
personal y los patrimoniales que
atribuyen al autor la plena disposición Norma UNE-ISO/IEC 27000. Sistema
de su obra y el derecho exclusivo a su de Gestión de Seguridad de la
explotación con fines económicos, así Información (SGSI)
como la paternidad de la obra. Resulta
Como se ha puesto de manifiesto en epígrafes
evidente que la Ley de Propiedad
anteriores, se entiende por información
Intelectual cobra especial relevancia, en
todo aquel conjunto de datos organizados
tanto completa algunos aspectos de los
en poder de una entidad que poseen valor
tipos penales. Bajo esta denominación
para la misma, con independencia de la
genérica se encuadran los siguientes
forma en que ésta se guarde o se transmita,
subtipos penales: (i) vulneración de
de su origen o de la fecha de elaboración.
los derechos de autor y propiedad
intelectual; (ii) plagio o copia de obras Las normas ISO/IEC 27000 constituyen
de todo tipo (libros, pintura, partituras, un conjunto de estándares desarrollados
tesis doctorales, etc.); (iii) plagio de obras por ISO y CEI (Comisión Electrotécnica
científicas; (iv) plagio de programas de Internacional, EIC en inglés) para el
ordenador y (v) plagio de fotografías. aseguramiento de la información en el
entorno de la empresa, así como de los Para garantizar que la seguridad de la

sistemas que la procesan. Las normas que información es gestionada correctamente,
conforman este estándar son las siguientes: se debe hacer uso de un proceso sistemático,
documentado y conocido por toda la
• ISO/IEC 27000:2018 – Tecnología de la
organización, desde un enfoque de riesgo
información. Técnicas de seguridad.
empresarial. Este proceso es el que constituye
Sistemas de Gestión de la Seguridad
un Sistema de Gestión de la Seguridad
de la Información (SGSI). Visión de
de la Información (SGSI).
conjunto y vocabulario. (UNE EN ISO/IEC
27000:2021) La finalidad de la adopción de un SGSI
es, principalmente, el establecimiento
• ISO/IEC 27001:2022 – Seguridad de la
de una metodología de la seguridad bien
Información, ciberseguridad y protección
estructurada a través de controles o medidas
de la privacidad. Sistemas de Gestión de
de seguridad concretas.
la Seguridad de la Información (SGSI).
Requisitos. No obstante, existen otros grandes
aspectos en los que un SGSI resulta de
• ISO/IEC 27002:2022 - Seguridad de la
gran utilidad e importancia como serían:
Información, ciberseguridad y protección
el cumplimiento de la legalidad, la rápida
de la privacidad. Controles de seguridad
adaptación a un entorno dinámico, la
de la información.
protección de los objetivos del negocio para
De acuerdo con la familia de normas ISO su óptima consecución o explotar nuevas
27000, la seguridad de la información oportunidades de negocio. El modelo de
consiste en la preservación la triada CID, gestión de la seguridad debe contemplar
conceptos sobre los que pivota la gestión de unos procedimientos adecuados y la
la seguridad de la información: planificación e implantación de controles

de seguridad basados en una evaluación de
• Confidencialidad: la información no riesgos y en una medición de la eficacia de
se pone a disposición ni se revela a los mismos.
individuos, entidades o procesos no
autorizados. Además, los SGSI son de gran utilidad para
mantener un nivel de exposición a riesgos
• Integridad: mantenimiento de la mucho menor de aquel al que realmente la
exactitud y completitud de la información organización está expuesta.
y sus métodos de proceso.
Un SGSI ha de estar formado por la siguiente
• Disponibilidad: acceso y utilización documentación: Manual de seguridad;
de la información y los sistemas de Procedimientos; Instrucciones, listas de
tratamiento de la misma por parte de comprobación y formularios y Registros.
los individuos, entidades o procesos
autorizados cuando lo requieran.
• Manual de seguridad: Documento por el De acuerdo con el INCIBE, la implantación

que se estructura y se fundamenta todo de un SGSI es una decisión estratégica que
el sistema, exponiendo y determinando debe involucrar a toda la organización y que
las intenciones, el alcance, los objetivos, debe ser apoyada y dirigida desde dirección.
las responsabilidades, las políticas y Ahora bien, en función de los objetivos que
directrices principales. tenga marcados la empresa se valorará
si la implantación abarca el conjunto de la
• Procedimientos: Documentos de nivel
organización o, por el contrario, sólo un
operativo cuya función es asegurar
departamento o área de negocio.
que se realice de forma eficiente la
planificación, operación y control de los Norma UNE-ISO/IEC 20000. Sistema de
procesos de seguridad de la información. Gestión de Servicios de TI (SGSTI)
• Instrucciones, listas de comprobación La UNE-ISO/IEC 20000 es un estándar

y formularios: Documentos que trazan reconocido internacionalmente de Servicios
cómo se llevan a cabo las tareas y de Gestión de Servicios de Tecnologías
actividades específicas relacionadas con de la Información (SGSTI) que faculta a las
la seguridad de la información. organizaciones que prestan servicios, ya sean
internos o externos, para estar adecuados
• Registros: Son documentos que a una serie de requisitos organizados por
proporcionan una evidencia objetiva procesos. Se trata de requisitos genéricos,
del cumplimiento de los requisitos del cuya aplicabilidad se extiende a todas las
SGSI, guardan estrecha relación con los organizaciones prestadoras de servicios, con
documentos de los otros niveles en tanto independencia del tipo, tamaño y condición
que éste plasma que sea ha cumplido o de los servicios prestados.
no con lo indicado en el resto.
A lo largo de su vigencia, el texto ha ido
sufriendo modificaciones y ediciones,
siendo la última la del 15 de septiembre de
2018, cuando vio la luz la tercera edición de
la Norma ISO/IEC 20000-1 Tecnologías de
la información. Tres meses después, el 19
de diciembre, se publicó en español como
norma española UNE.
Originariamente, la UNE-ISO/IEC 20000

se centraba en la gestión de servicios de
TI (ITSM), aunque hoy en día su alcance
es mucho mayor. La idea subyacente es
Documentación del SGSI. Elaboración propia. Fuente: ISO 27000 gestionar cualquier todo como un servicio,
sin ceñirse únicamente al campo de la
tecnología. La adquisición de cualquier siempre y cuando dé cumplimiento a lo

producto se acompaña ya de servicios que exigido en el texto normativo.
deben ser gestionados para asegurar que
Dicho con otras palabras: una organización
se aporta valor y que se logra la satisfacción
que ya estuviera certificada puede mantener
del cliente.
sus procesos actuales; ahora bien, deberá
En este sentido, el primer cambio importante asegurarse que con ellos sigue atendiendo
es su reorganización en cuanto a todo su los nuevos requisitos.
contenido para adecuarlo a una estructura
La nueva UNE-ISO/IEC 20000 ha querido
de alto nivel, como todos los estándares de
solventar aquellos requisitos que hasta la
sistemas de gestión ISO. Esto supone un
fecha suponían trabas en el camino tanto
índice común con el de normas como la ISO
para las grandes como para las pequeñas
9001 de gestión de la calidad, la familia ISO/
organizaciones. Para las primeras se han
IEC 27000 de seguridad de la información
chequeado aspectos como la revisión
vista en el epígrafe anterior, o la ISO 22301
o el acuerdo con cada cliente; para las
de continuidad de negocio. Esto supone
segundas se han revisado semblantes
que la implantación de esta ISO 20000 será
como la planificación de la disponibilidad y
más sencilla de implementar en aquellas
capacidad, requisitos en los contratos con
organizaciones que ya cuenten con otros
proveedores, entre otros. Además, se ha
sistemas de gestión o que puedan integrar
hecho un esfuerzo para hacer un redactado
esta ISO en sus sistemas integrados.
más claro y simplificado, superando lagunas
Ahora bien, el hecho de que haya habido o problemas interpretativos. También se
modificaciones supone, necesariamente, han eliminado requisitos muy técnicos,
que aquellas organizaciones que ya para facilitar su aplicación a servicios no
estuvieran certificadas en ISO/IEC 20000 directamente relacionados con la Tecnología
deberán adecuarse a los nuevos requisitos. de la Información.
Lo primero que se debe hacer es conjugar A modo de ejemplo, ya no es necesario

la nueva ISO con otras exigencias legales, contar con una CMDB (base de datos
entre las que destacan: análisis del contexto, de gestión de la configuración) sino
riesgos y oportunidades, determinación de simplemente gestionar la configuración. De
valor, etc. igual modo, ya no es imprescindible contar
con planes de disponibilidad o de capacidad,
Resulta de gran interés conocer que existen sino probar que se planifica la disponibilidad
procesos de nueva creación; por otro lado, o la capacidad, sea utilizando un documento
algunos procesos existentes se desdoblan y llamado plan o similar.
hay otro que desaparece.
Tal y como se ha apuntado en este epígrafe,
Sin embargo, la nueva ISO es mucho más la UNE-ISO/IEC 20000 es de reciente
flexible, en tanto en cuanto cada empresa creación, y a estos efectos puede decirse
decide cómo organizar sus procesos, que el comité de normalización de gestión
de servicios y gobierno sobre Tecnologías • 2019: Seguridad de la red wi-fi

de la Información de España, CTN 71/GT 25,
• 2020: Ciberseguridad del teletrabajo,
ha sido uno de los que más ha contribuido
Seguridad en la instalación y uso de
con comentarios técnicos a su desarrollo.
dispositivos IoT, Ciberseguridad de
Ello supone estar a la misma altura que
juguetes inteligentes.
países con tradición activa en este tipo de
contexto como Reino Unido, Australia o • 2021: Ciberseguridad en el sector
EE.UU. España ha hecho contribuciones turismo y ocio, Guía de Ransomware para
significativas en cuanto a la clarificación el empresario, Ciberamenazas contra
de requisitos complejos y ha propuesto entornos empresariales.
nuevos requisitos, que han sido aceptados e
incorporados al texto de la norma. 20.4. Riesgos, amenazas y
medidas de control
Por último, esta norma ISO resulta
especialmente compatible con las ISO/IEC 20.4.1. Riesgos de seguridad de la
27000, en la medida en que ambos cuerpos información
de normas comparten objetivos orientados
al desarrollo de procesos y la gestión de En la sociedad actual la información es un
servicios, que facilitan que la organización activo, casi siempre crítico, que cualquier
pueda ser auditable desde el punto de organización debe salvaguardar por su
vista de la seguridad de la información y la propio interés y supervivencia.
continuidad de negocio.
El tratamiento de datos y el manejo de
20.3.3. Directrices del INCIBE información constituye el eje fundamental

de cualquier sociedad. Mediante su estudio,
Además de la normativa y estándares permiten definir las líneas de actuación que
mencionados anteriormente, ciertas se van a seguir, así como conocer las ventajas
autoridades con responsabilidades y desventajas existentes en el mercado.
específicas en materia de ciberseguridad,
como el INCIBE, han emitido guías Es por ello por lo que la información es objeto
y orientaciones para la mejora de la de constantes ataques, que pretenden
ciberseguridad en las empresas. Algunas de acceder a ella y, por ende, darle un mal uso.
ellas son las siguientes:

Cuando se habla de mal uso se hace
• 2017: Computación en la nube, referencia a utilizar la información para
Dispositivos móviles personales para fines distintos de aquellos para la cual fue
uso profesional (BYOD); recabada, de manera fraudulenta y/o con

ánimo malicioso.
• 2018: Archivos de respaldo, aumento
de la competitividad mediante el En este sentido, sufrir una fuga de
cumplimiento del RGPD; información constituye uno de los grandes
problemas de seguridad a los que puede Finalmente, se deberá pasar un tercer

enfrentarse una organización. filtro consistente en valorar si es necesario
comunicar individualmente a los interesados
Conviene, en este punto, definir lo que se
la fuga de información cuyos datos se han
entiende por fuga de información:
visto afectados.
“Incidente [de seguridad] que pone en poder

Además de lo anterior, cada caso concreto
de una persona ajena a la organización
puede modularse en base al tipo de
información confidencial que sólo debería
incidente de la seguridad; la mayor o menor
estar disponible para integrantes de la
posibilidad de que la información afectada
misma; pudiendo tener un origen interno o
pueda asociarse fácilmente con personas
externo y, a la vez, ser intencional o no287 ”.
individuales concretas; los perjuicios que
Ya se ha visto en epígrafes anteriores la pueden llegar a sufrir los interesados y las
diferente tipología de fugas de información características especiales de los interesados
y canales por los que puede producirse. (menores, personas vulnerables, etc.).
Una vez se ha producido el incidente, cabe En su caso, la notificación a la Autoridad de
aplicar el correspondiente plan de acción. En control en materia de protección de datos
el caso de las fugas de información, el plan deberá realizarse en el ya mencionado
debe incluir la documentación del hecho plazo máximo de 72 horas desde que se
en el denominado Registro de Incidentes haya tenido constancia del incidente de
de Seguridad. Cuando sea necesario, el seguridad.
responsable de esta tarea contactará con

Las organizaciones disponen, además de
el notificador o las personas que estime
diversas políticas y acciones formativas
necesarias, para recabar la información que
o de concienciación, otras herramientas
precise para cumplimentar adecuadamente
que pueden prevenir o ayudar a detectar
dicho registro.
las fugas de información. En este sentido,
En caso de que la fuga de información incluya hay una gran variedad de herramientas
datos personales, se deberá cumplir con lo que permiten monitorizar los sistemas
establecido en relación a la notificación en y registrar las actividades realizadas por
tiempo y forma a la Autoridad de control. los usuarios: por ejemplo, qué empleado
Dicha notificación deberá realizarse a menos o grupo de trabajadores tuvo acceso, en
que sea improbable que dicha violación de un determinado periodo, a la información
la seguridad constituya un riesgo para los o documentación, y qué hicieron con ella
derechos y las libertades de las personas (imprimirla, descargarla, enviarla por
físicas. correo-e, etc).
Además de lo anterior, existen herramientas

287 Cabarique, W., Salazar, C. & Quintero, Y. (2015). Factores y cau- específicas cuya implantación se puede
sas de la fuga de información sensibles en el sector empresarial.
Cuaderno Activa, 7, 67-73.
considerar para proteger a la organización La nube pone a disposición del usuario

dificultar la exfiltración de datos, como los grandes beneficios, por ejemplo: en
sistemas denominados Data Loss Prevention términos económicos resulta muy rentable
(DLP), Data Leak Prevention (también DLP), por el ahorro que supone en software y
Information Leak Detection and Prevention mantenimiento informático; en términos
(ILDP), Information Leak Prevention (ILP), logísticos por la facilidad de acceso a la
Content Monitoring and Filtering (CMF) y información y su organización y; en general,
Information Protection and Control (IPC). por el incremento de la productividad que
supone su uso y, por tanto, la competitividad
Estos sistemas requieren de configuraciones
de las organizaciones.
personalizadas, de acuerdo con los
procedimientos y operativa de cada La lista podría extenderse mucho más, sin
organización, y con los activos críticos a embargo, resulta especialmente beneficioso
proteger, lo que implica evaluar o clasificar en el ámbito de la protección de datos y la
de antemano la información (en función información. Piénsese en disponibilidad de
de su nivel de confidencialidad, integridad la información -gracias al enlace permanente
y disponibilidad). Todo ello se encuentra que ofrece el sistema en la nube- que evita
definido en la norma UNE-ISO/IEC 27000. la necesidad del transporte físico de la
misma en otros soportes (papel o digitales)
20.4.2. La nube
con el consiguiente riesgo de extravío, robo,
El almacenamiento online o en la nube manipulación o incluso destrucción por
consiste en la prestación de servicios parte de terceros no autorizados.
tecnológicos que permite almacenar

De hecho, la mayor parte de proveedores
información en la red sin que sea necesario
de sistemas de almacenamiento en la nube
disponer de servidores propios u otros
trabajaban sobre la base de compartición
dispositivos de almacenamiento como
de documentos, en el sentido que es el
serían los discos duros locales, discos duros
propietario y titular de la información el
externos o unidades de memoria flash
que da acceso a las personas que considera
(como las tarjetas o las memorias USB).
oportuno, por lo que éste acceso se controla
En otras palabras, se trata de almacenar a voluntad. La nube ofrece varias ventajas
datos o información en un sistema externo sobre el almacenamiento tradicional,
mantenido por un tercero. Dichos servicios especialmente en materia de protección
de almacenamiento en la nube pueden ser de la información, aunque también el
accedidos mediante diferentes medios, a inconveniente de depender de un tercero.
saber: un servicio web (web service), interfaz

Sin perjuicio de lo anterior, el hecho de
de programación de aplicaciones (API) o
depender de un tercero que gestione la
interfaz de usuario (interfaz web), entre
información y la implementación a gran
otras.
escala y de forma sistematizada supone,
per se, la obligación de adoptar las medidas • Tomará todas las medidas de seguridad
técnicas y organizativas que la normativa de de conformidad al artículo 32 del propio
protección de datos dispone para el caso. RGPD.
Lo primero que debe quedar claro es la • Respetará las condiciones establecidas

asunción de roles que asume cada actor en para recurrir a otro encargado
la relación jurídica que se establece entre del tratamiento (supuestos de
ellos. Cuando se deposita información en la subcontratación del servicio).
nube, el Responsable del Tratamiento será
• Asistirá al responsable, teniendo cuenta
siempre el cliente que efectivamente la
la naturaleza del tratamiento, a través
haya subido y, por ende, el proveedor de los
de medidas técnicas y organizativas
servicios será el Encargado del Tratamiento.
apropiadas, siempre que sea posible,
A estos efectos, el Reglamento General de para que este pueda cumplir con su
Protección de Datos (RGPD) establece288 obligación de responder a las solicitudes
la obligación de formalizar un contrato de que tengan por objeto el ejercicio de los
tratamiento de datos donde se prevea, derechos de los interesados.
como mínimo: el objeto, la duración, la
• A elección del responsable, suprimirá
naturaleza y la finalidad del tratamiento,
o devolverá todos los datos personales
el tipo de datos personales y categorías de
una vez finalice la prestación de los
interesados, así como las obligaciones y
servicios de tratamiento.
derechos del Responsable del Tratamiento.
• Pondrá a disposición del responsable
Además, en dicho contrato se estipulará, en toda la información necesaria para
particular, que el Encargado del Tratamiento: demostrar el cumplimiento de las
obligaciones establecidas en el presente
• Tratará los datos personales únicamente
artículo, así como para permitir y
siguiendo instrucciones documentadas
contribuir a la realización de auditorías.
del responsable, inclusive con respecto
a las transferencias de datos personales En este punto, lo más reseñable es que el
a un tercer país o una organización Responsable del Tratamiento no tiene el
internacional. control sobre el entorno y las medidas
de seguridad del proveedor. Por lo tanto,
• Garantizará que las personas
siempre resulta necesario evaluar en qué
autorizadas para tratar datos personales
medida el proveedor puede cumplir con sus
se hayan comprometido a respetar
requisitos de seguridad.
la confidencialidad o estén sujetas a
una obligación de confidencialidad de Tal y como establece la Agencia Española de
naturaleza estatutaria. Protección de Datos en su guía “Directrices
para la elaboración de contratos entre
288 Artículo 28 del RGPD. responsables y encargados del tratamiento” es
el Responsable del Tratamiento quien debe la diferencia entre pérdida de información e

elegir un Encargado del Tratamiento que incidente de seguridad de la información.
ofrezca las garantías suficientes respecto a
la implantación y el mantenimiento de las
Pérdida de información
medidas técnicas y organizativas apropiadas La pérdida de información es un error en
de acuerdo con lo establecido en el RGPD, y
los sistemas de información en los que la
que garantice la protección de los derechos
información se destruye como consecuencia
de las personas afectadas. Existe, por tanto,
de fallos en su almacenamiento, transmisión
un deber de diligencia en la elección del
o procesamiento que pueden darse de
proveedor de servicios en la nube.
forma fortuita o intencionada.
En aras de asegurar que el encargado es
Cabe señalar que la pérdida es diferente a
el idóneo, el RGPD prevé como medios de
otro concepto con el que suele confundirse:
prueba la adhesión a códigos de conducta o
la indisponibilidad de la información.
la posesión de un certificado de protección
de datos. La indisponibilidad de los datos tiene
carácter temporal, mientras que la pérdida
Por su parte, el Encargado del Tratamiento
de información es definitiva. Además, su
puede demostrar que cumple la normativa
recuperación es posible siempre y cuando el
en seguridad y privacidad de varias maneras:
servidor vuelva a estar operativo y/o exista
(i) con los resultados de una Evaluación de
una copia de seguridad, mientras que en la
Impacto teniendo la certificación ISO 27001
pérdida de información los resultados son
SGSI o (ii) manteniendo la certificación ISO
irreversibles.
27018 (Código de práctica para la protección
de información de identificación personal Incidente de seguridad de la
en nubes públicas que actúan como información
procesadores de información personal).
En este caso, se trata de incidentes en los
20.4.3. Control y pérdida de
que se accede a la información sin contar
información
con autorización para ello.
Tener un buen control de la información
Los incidentes de seguridad de la
facilita sobremanera su uso y gestión
información pueden afectar tanto a
previniendo casos de pérdida de
organizaciones como a usuarios y pueden
información. Es precisamente el alto riesgo
presentarse de varias formas, siendo sus
de que se produzcan estos episodios lo que
daños especialmente económicos, pero
genera que deban implementarse técnicas
también personales, difíciles de reparar.
de control que contribuyan a mitigar los
daños que puedan darse. Normalmente, tras un incidente de este tipo
se encuentran organizaciones criminales
Antes de entrar a conocer qué técnicas o
(ciberdelincuentes), cuyo objetivo no es
medidas de control existen, conviene saber
otro que el acceso a los sistemas y redes hecho o actividad detectada es, en efecto,
de organizaciones para apoderarse de un incidente de seguridad.
información privada, sensible o confidencial.
Las organizaciones implementan medidas
Teniendo en cuenta todo lo anterior, el para evitar que su información acabe en
primer paso para gestionar un incidente manos no deseadas. Entre esas medidas
de seguridad es asegurarse de que todo destacarían las siguientes:
el personal que conforma la organización
i. Uso frecuente de aplicaciones parches
posee la información para solventar estos y actualizaciones de software tan
incidentes y, en consecuencia, tratar estos pronto como las actualizaciones estén
contratiempos en función de su mayor o disponibles.
menor impacto.
ii. Cifrado para datos sensibles.
El grado de preparación de la organización
iii. Actualización del software cuando ya no
será clave para gestionar una respuesta
sea compatible con el fabricante.
rápida, ordenada y eficiente, minimizando
las consecuencias tanto para la propia iv. Implementar y hacer cumplir políticas de
organización como para terceras partes seguridad de BYOD (Bring your own device)
involucradas. Independientemente del
v. Implementar el uso de credenciales
volumen y complejidad de la organización, sólidas y la autenticación de múltiples
debe existir un procedimiento interno que factores.
permita la detección e identificación de las
violaciones de seguridad de la información vi. Formar a los empleados acerca de las
mejores prácticas de seguridad y las
(que podrá tener características específicas,
formas de evitar ataques de ingeniería
más allá de las de cualquier otro tipo de
social.
incidente de seguridad).
En suma, las organizaciones deben tener
muy claras las líneas de actuación que se
deben adoptar cuando se da una pérdida
de información, primero aplicando medidas
de prevención y detección y, si pese a ello
éstas no funcionasen, se deberían tomar las
Procedimiento de notificación de incidentes. Elaboración propia. mismas medidas que se explicaron para los
Fuente: Procedimiento de gestión de ciberincidentes para el sector
privado y la ciudadanía, Instituto Nacional de Ciberseguridad (INCIBE)
supuestos de fuga de información.
No obstante el gráfico anterior, la obligación

20.4.4.Generación de copias de
de notificación se genera -y comienza el
respaldo
plazo para las obligaciones de notificación Otra forma de proteger la información
a las autoridades correspondientes- en el consiste en la realización de copias de
momento que el análisis confirma que el respaldo o de seguridad (en inglés, backups).
Las copias de seguridad hacen referencia a Las copias de seguridad deben permitir
la salvaguarda de una copia de los archivos recuperar datos perdidos, accidental o
físicos, virtuales o BBDD en una localización intencionadamente, con una antigüedad
distinta a la que se encuentran con el objetivo determinada.
de preservarlos en caso de que el software
Estas copias poseerán el mismo nivel de
en el cual se hayan sufra daños. El proceso
seguridad que los datos originales en lo que
de realizar copias de seguridad es la piedra
se refiere a integridad, confidencialidad,
angular para que un plan de recuperación
autenticidad y trazabilidad. En particular,
de información (o un BCP) tenga éxito.
se considerará la conveniencia o necesidad,
Podemos hablar de hasta 3 tipos de copias según proceda, de que las copias de
de seguridad: seguridad estén cifradas para garantizar la
confidencialidad.
i. Completa: Cuando afecta a toda la
información y BBDD. Su ventaja es que se Si bien en la definición hacíamos referencia
tiene la seguridad de tener una imagen a que se copiaban archivos físicos o virtuales
integral de los datos en el momento de o bases de datos, podemos acotar la
la salvaguarda. información que, en general, debe ser objeto
de copia de seguridad, a saber:
ii. Incremental: Cuando sólo se copian
únicamente los datos modificados desde i. Información de trabajo de la organización.
la anterior copia incremental. Siempre
debe partirse de una salvaguarda ii. Aplicaciones en explotación, incluyendo
completa inicial. Si se realiza con los sistemas operativos.
frecuencia, el proceso no consumirá un
iii. Datos de configuración, servicios,
tiempo excesivo, debido al bajo volumen
aplicaciones, equipos, u otros de
de datos a copiar. Por el contrario, la
naturaleza análoga.
restauración es lenta, toda vez que
requiere restaurar una copia completa y iv. Claves utilizadas para preservar la
todas las copias incrementales realizadas confidencialidad de la información.
hasta el momento al que se quiera
restaurar el sistema. En cuanto al soporte en el cual podemos
llevar a cabo la copia de seguridad puede ser
iii. Diferencial: Se copian los datos cualquiera, ahora bien, en todo caso deberá
modificados desde la última copia ser en un soporte diferente al que almacena
completa. Se ejecutará con mayor o los datos de forma principal. En este sentido
menor rapidez en función de la frecuencia podrían usarse discos duros externos, un
con que se realice. La restauración suele servidor propio de la organización ubicado
ser más rápida que la incremental, ya que en otra localización, memorias USB, o en la
basta con recuperar una copia completa nube.
y una copia diferencial.
20.4.5. Acuerdo de confidencialidad En relación al tipo de información a proteger,

será toda aquella que una parte ponga a
La confidencialidad es la propiedad de la
disposición de la otra indicando que es
información por la que se garantiza que
confidencial o sensible para sus intereses.
está accesible únicamente a personal
No obstante, los datos más comunes
autorizado a acceder a dicha información.
serían datos financieros, información sobre
La confidencialidad ha sido definida
proyectos en marcha, líneas de investigación,
por la Organización Internacional de
estudios de mercado y datos sobre clientela.
Estandarización (ISO) en la norma ISO/IEC
27002 como “garantizar que la información es Respecto a las obligaciones de las partes
accesible sólo para aquellos autorizados a tener queda patente que la principal es la
acceso” y es una de las piedras angulares de obligación de guardar secreto, aunque no
la seguridad de la información. se limita únicamente a ello, sino que se
Para que esto quede plasmado de forma incluyen otras de carácter complementario
efectiva las organizaciones firman lo que se como determinar los fines para los cuales se
conoce como acuerdos de confidencialidad traspasa la información o las limitaciones que
(Non-Disclosure Agreement, NDA), tanto con se imponen a la información, estableciendo
sus propios empleados como con otras mecanismos de control previo como lo
organizaciones con las cuales mantengan serían autorizaciones o solitudes de claves
relaciones comerciales. Se trata del de acceso.
documento firmado entre la organización
Por último, en caso de incumplimiento,
y el empleado/otra empresa cuyo objetivo
las consecuencias se gradúan desde
es mantener en secreto cierta información
apercibimientos y sanciones pecuniarias
considerada reservada durante la relación
contractual o negocial y una vez finalizada la hasta la solicitud de resarcimiento de daños
misma. y perjuicios ante los tribunales.
Dicho contrato debe contener, al menos, 20.5. Políticas internas en este

la duración del deber de confidencialidad, ámbito
la identificación del tipo de información a
proteger, las obligaciones para las partes y 20.5.1. Política interna de uso de
las consecuencias de su incumplimiento. medios tecnológicos
En cuanto a la duración, es común que El uso de medios tecnológicos puestos

estos contratos incluyan una cláusula por a disposición de los trabajadores para el
la que, una vez se finaliza la relación entre desempeño de sus funciones y el estrecho
las partes, subsista ese compromiso de margen que separa el ámbito laboral del
confidencialidad. Normalmente, el período personal requieren de un control y una
de tiempo una vez concluido el contrato regulación que se consigue mediante la
oscila entre los 2-3 años y su objetivo es conocida Política interna de uso de medios
evitar la competencia desleal. tecnológicos (en adelante, “Política TIC”).
En efecto, el Tribunal Constitucional en su dos derechos: el del trabajador (a su

reiterada doctrina sobre la vulneración del intimidad) y el del empresario (a controlar,
derecho a la intimidad personal (art. 18.1 en el marco de la relación laboral).
de la Constitución Española), configurado
Por este motivo resulta necesario recoger
como un derecho fundamental vinculado a
en un texto la Política TIC, que plasme los
la propia personalidad, pone de manifiesto
equilibrios y limitaciones recíprocas que
“la existencia de un ámbito propio y reservado
se deriven en la relación empresario-
frente a la acción y el conocimiento de los
trabajador, sin que se vulneren los derechos
demás, necesario, según las pautas de nuestra
del trabajador, ni prive al empresario de sus
cultura, para mantener una calidad mínima de
facultades de dirección y control.
la vida humana289 ”.
20.5.2. Contenido mínimo de

Este derecho a la intimidad preserva al
la política de uso de medios
individuo de la revelación, divulgación o
tecnológicos
publicidad no consentida de esos datos,
y del uso o explotación de estos sin El contenido mínimo de las Políticas TIC no se
autorización de su titular, garantizando, encuentra expresamente regulado por ley.
por tanto, el secreto sobre la propia esfera De hecho, la normativa sólo indica que los
de vida personal y, consiguientemente, empleadores deberán establecer criterios
veda a los terceros, particulares o poderes de utilización de los dispositivos digitales,
públicos, decidir sobre los contornos de la respetando en todo caso los estándares
vida privada, siendo el mismo aplicable al mínimos de protección de su intimidad de
ámbito de las relaciones laborales 290
. acuerdo con los usos sociales y los derechos
reconocidos constitucional y legalmente.
Por otro lado, el artículo 20.3 del Real
Decreto Legislativo 2/2015, de 23 de octubre, Ha sido doctrina y -en mayor medida- la
por el que se aprueba el texto refundido jurisprudencia las que han ido configurando
de la Ley del Estatuto de los Trabajadores el contenido esencial toda Política TIC. En
(ET), regula expresamente la aplicación cualquier caso, la ausencia de regulación
de medidas de vigilancia y control para específica hace de ésta sea un texto muy
verificar el cumplimiento del trabajador de moldeable y adaptable a las circunstancias
sus obligaciones laborales, todo ello con el especiales de cada organización. Por ello, el
debido respeto de los derechos digitales texto vendrá determinado por la naturaleza
que reconoce el art.20bis del propio ET. de la empresa y lo acordado en la negociación
colectiva.
Por tanto, aquí pueden entrar en conflicto
Sin perjuicio de lo anterior, toda Política TIC

289 SSTC 186/2000, de 10 de julio (rec. núm. 2662/1997); 196/2004,
de 15 de noviembre (rec. núm. 1322/2000); 241/2012, de 17 de deberá contener, al menos, los siguientes
diciembre (rec. núm. 7304/2007); y 170/2013, de 7 de octubre
(rec. núm. 2907/2011), entre otras muchas más. aspectos:
290 SSTC 98/2000, de 10 de abril (rec. núm. 4015/1996) y 186/2000,
de 10 de julio (rec. núm. 2662/1997).
i. Ámbito de aplicación personal o más moderada para la consecución de

subjetivo. tal propósito con igual eficacia (juicio de
necesidad);
ii. Alcance o ámbito objetivo.
• Si la misma es ponderada o equilibrada,
iii. Prohibiciones absolutas y/o parciales,
por derivarse de ella más beneficios
esto es, las reglas de uso de los medios
o ventajas para el interés general que
tecnológicos puestos a disposición del
perjuicios sobre otros bienes o valores
trabajador.
en conflicto (juicio de proporcionalidad
Enlazando con este último punto, el Grupo en sentido estricto)
de Trabajo del Artículo 29 considera que
• Si la medida de control se ha realizado
“la prevención debería prevalecer sobre la
con base a una justificación objetiva
detección; es decir, que es mejor para el
y no obedece a mero capricho y
empleador prevenir la utilización abusiva
discrecionalidad empresarial (juicio de
de Internet que detectarla. En este contexto
justificación).
las soluciones tecnológicas pueden resultar
especialmente útiles. Prohibir terminantemente 20.5.4. Implementación y
que los trabajadores utilicen Internet con fines aceptación de la política de uso de
privados no parece razonable y no tiene en medios tecnológicos
cuenta la ayuda que Internet puede aportarles
Para que los juicios vistos en el punto
en su vida diaria”291.
precedente no se queden en el plano
20.5.3. Adecuación de las medidas teórico y adopten una dimensión más
tecnológicas de control práctica, resulta imprescindible que la
implementación de la Política TIC se ajuste
En relación con el desarrollo e
a unos principios que la jurisprudencia ha
implementación de una medida tecnológica
establecido.
de control concreta, una vez analizado el
contenido de la información proporcionada Es por ello por lo que se debe tomar como
por el empresario, resulta adecuado efectuar referencia la sentencia de 5 de septiembre
un juicio de proporcionalidad interno: de 2017 de la Gran Sala del Tribunal Europeo
de Derechos Humanos (en adelante, “TEDH”)
• Examinar si la medida adoptada es
en el caso “Barbulesco vs. Rumanía” en donde
susceptible de conseguir el objetivo
se establecen los principios o factores
propuesto (juicio de idoneidad);
esenciales que se deben tener en cuenta en
• Si, además resulta necesaria, en el el momento de implementar la política de
sentido de que no exista otra medida medios tecnológicos.
291 Documento de Trabajo del Grupo del Artículo 29, relativo a • El trabajador debe ser informado de
la vigilancia y el control de las comunicaciones electrónicas
en el lugar de trabajo. la posibilidad de que el empresario
adopte las medidas de vigilancia de su
correspondencia y comunicaciones, así Por último se debe velar para que los
como de la puesta en marcha de tales empleados, cuyas comunicaciones hayan
medidas. El TEDH argumenta que dicha sido objeto de seguimiento, puedan
información debe ser proporcionada presentar un recurso ante un órgano judicial
el trabajador de forma previa y versar que tenga competencia para pronunciarse,
sobre la naturaleza de la vigilancia. al menos en esencia, sobre el cumplimiento
de los criterios antes expuestos y la legalidad
• Distinguir el alcance de la vigilancia a
de las medidas impugnadas292.
realizar y el grado de intrusión en la
vida privada del trabajador. Al efecto, Como ya se advertía en el primer principio
el TEDH diferencia entre el flujo de presentado, la implementación de la Política
las comunicaciones y el contenido de TIC deber ser informada al trabajador. La
las mismas. Además, debe tenerse en información previa a la implementación de
cuenta si la vigilancia alcanza al conjunto medidas de control o vigilancia debe ser de
de las comunicaciones o a una parte de carácter expreso y claro, dejando constancia
ellas, así como su duración en el tiempo de la finalidad de la instalación.
y el espacio.
Los medios que pueden emplearse para
• Asegurarse que el empresario ha informar al trabajador son los siguientes:
alegado motivos legítimos para justificar
la vigilancia de las comunicaciones y su Contrato de trabajo o documento
contenido. anexo al contrato de trabajo293;
• Determinar si hubiera sido o no factible Acuerdo colectivo, mediante

instalar un sistema de vigilancia basado Convenio Colectivo;
en medios y medidas menos intrusivos
que el acceso directo al contenido de Difusión de la Política TIC en la
comunicaciones del empleado. Intranet corporativa y formación
en relación con la misma;
• Conocer cuáles son las consecuencias
de la vigilancia para el trabajador y Otros, tales como el tablón de
de qué modo utilizó el empresario los anuncios, o remisión de correos
resultados de la medida de vigilancia, electrónicos individuales.
concretamente si los resultados se
utilizaron para alcanzar el objetivo En estos casos, lo más importante es que el
declarado en la medida. empresario pueda probar que el empleado
ha tenido conocimiento y efectivamente
• Determinar si al empleado se le ofrecieron ha recibido la política TIC. Es por ello que
garantías adecuadas, particularmente cualquiera de los medios aquí numerados
cuando las medidas de supervisión del 292 STEDH Barbulescu c. Rumanía de 5 de septiembre de 2017.
sería una buena opción para probar su
empleador tenían carácter intrusivo. 293 Informe Jurídico 464/2013, de la Agencia Española de Protección
recepción.
de Datos.
20.5.5. Las políticas BYOD ii. La instalación de aplicaciones que

solicitan permisos para acceder a partes
La política Bring your own device (en adelante, del dispositivo donde puede haberse
“BYOD”) es la tendencia emergente por la almacenado información sensible,
que los empleados utilizan sus dispositivos e incluso solicitar la activación de la
personales, como teléfonos móviles, geolocalización.
tabletas u ordenadores portátiles para
acceder de forma remota a cualquier red de iii. La inexistencia de mecanismos de
la organización con tal de llevar a cabo sus control de acceso a los dispositivos y
funciones laborales. la ausencia de medidas de seguridad
en cuanto al almacenamiento de la
Es por ello que una política BYOD puede información. Si alguien tuviera acceso a
ayudar a establecer unas buenas pautas nuestro dispositivo no tendría ninguna
de uso, especialmente, en pequeñas y dificultad a la hora de acceder o extraer
medianas empresas. información confidencial.
Este tipo de políticas encuentran su iv. La carencia de herramientas antivirus

fundamento en la existencia de ciertas y de una normativa de actualizaciones
ventajas que resultan innegables, tanto para adecuada. Actualizar las aplicaciones
la organización como para el trabajador: (i) y disponer de un antivirus protegen al
ahorro para la organización en la compra terminal de posibles ataques y accesos
y sustitución de tecnología; (ii) ausencia no autorizados.
de adquisición de licencias corporativas;
(iii) mejora en la localización permanente v. La opción (activada) de recordar y usar
del empleado; (iv) mayor seguimiento del contraseñas de forma automatizada
rendimiento del trabajador y; (i) mayor para acceder a redes, aplicaciones, sitios
flexibilidad y organización por parte del web, etc. Si alguien tuviera acceso al
trabajador. dispositivo no necesitaría disponer de
las credenciales de usuario para acceder
No obstante, a nivel de seguridad de la a la información.
información, estas políticas BYOD presentan
algunas vaguedades o riesgos, a saber294: Para evitar estas vulnerabilidades, las
organizaciones deberían adoptar medidas
i. La exposición a redes inseguras en el de seguridad, relativas al uso de dispositivos,
ámbito personal. Este tipo de conexión responsabilidades por el mal uso de los
podría tener como consecuencia que la mismos, realización de copias de seguridad,
información corporativa fuera accesible imposición de herramientas de seguridad
o pudiera ser interceptada por terceras corporativa, e incluso implantación de
personas no autorizadas. sistemas de monitorización en los mismos.
294 Guía INCIBE: Uso de dispositivos móviles no corporativos – Políti- Con todo, el Instituto Nacional de
cas de seguridad para la pyme.
Ciberseguridad ha elaborado un seguido de (en especial el antivirus);

puntos clave que hay que tener en cuenta - Cómo evitar instalar aplicaciones
en relación a la Política BYOD295: que exijan permisos que pongan en
riesgo la información confidencial
• Normas y procedimientos BYOD.
(acceso a la agenda, geolocalización,
Se elaborarán para regular el uso
etc.);
de dispositivos BYOD (listado de
dispositivos autorizados, en qué - Bloquear los dispositivos con
condiciones se permite su uso, cómo se contraseña y activar el bloqueo
accede a la información, configuraciones automático tras un periodo corto de
de seguridad necesarias para poder inactividad;
utilizarlos, etc.). - Atender a la seguridad de los
dispositivos al viajar en transporte
• Prohibición de uso de dispositivos
público.
manipulados. Se recomienda prohibir
el uso de dispositivos modificados para • Limitar el acceso a redes desconocidas.
permitir la instalación de aplicaciones Los usuarios deben optar por la conexión
de repositorios no oficiales (mediante de datos de su móvil cuando las redes
desbloqueos tipo rooting o jailbreaking). disponibles sean desconocidas. Estas
redes wifi deben considerarse inseguras.
• Concienciación de los empleados. Los
dispositivos como el teléfono móvil o • Lista de aplicaciones no recomendadas.
el portátil son susceptibles de robo. Estableceremos una lista de tipos de
Por ello es importante involucrar a aplicaciones que no se podrán instalar
los usuarios en la protección de sus en estos dispositivos por el peligro
propios dispositivos concienciándolos que suponen para la información
de la trascendencia de la protección del corporativa. Estas aplicaciones pueden
mismo y de los datos que contiene. requerir para su instalación acceso a
datos confidenciales de la organización
• Formación de los empleados. (datos de la agenda, geolocalización del
Proporcionaremos a los empleados terminal, etc.).
formación suficiente para un uso seguro
• Controlar el almacenamiento de datos
de los dispositivos. Por ejemplo, han de
corporativos. Las aplicaciones personales
saber:
en los dispositivos móviles para el
- Configurar los parámetros de tratamiento de datos en la nube no son
seguridad de los dispositivos;
tan seguras como las empresariales por
- Actualizar tanto el sistema operativo lo que hay que prestar especial atención
como las aplicaciones periódicamente a este intercambio de archivos. Se puede
permitir la consulta de información en la
295 Guía INCIBE: Uso de dispositivos móviles no corporativos – Políti-

nube pero se recomienda no actualizarla
cas de seguridad para la pyme.
desde estos dispositivos personales. • Extravío de dispositivos. Ante la

posibilidad de pérdida o extravío de este
• Proceso de borrado seguro de
tipo de dispositivos, se establecerán las
información. Estableceremos el proceso
siguientes medidas:
a seguir para entregar/eliminar la
información en estos dispositivos cuando a. Localización mediante GPS, wifi
el empleado abandona la empresa. o la información de la antena de
telefonía con la que esté conectado
• Control de acceso a la red. El acceso a la
el dispositivo. Una vez marcado como
red corporativa a través de dispositivos “perdido”, el dispositivo empieza
personales debe estar integrado a enviar los datos de su ubicación
en el sistema de control de accesos de manera constante a una cuenta
(autenticación, doble factor…). De esta previamente configurada (correo,
forma el empleado debe acreditar SMS, central de control...).
su identidad antes de acceder a los
b. Tener siempre activado el bloqueo
servicios de la red corporativa. Para
de pantalla del terminal. En caso
mayor seguridad la empresa puede
contrario se bloqueará de manera
proporcionar a sus empleados acceso
remota.
mediante red privada virtual (VPN) que
cifre las comunicaciones. c. Borrado remoto de datos: esta opción
permite que los datos contenidos en
• Control de usuarios y dispositivos. el dispositivo se borren de manera
Mantendremos un registro de usuarios remota, impidiendo su utilización por
y dispositivos que tienen acceso a los un usuario no legítimo.
datos y aplicaciones de la organización,
d. Vigilar las aplicaciones que se
detallando los privilegios de seguridad
ejecutan. El seguimiento de las
asignados para autorizar el acceso tanto
llamadas efectuadas y las redes
a esos usuarios como a los dispositivos.
sociales accedidas entre otros,
• Aplicar medidas técnicas para garantizar suelen ser datos suficientes para
un almacenamiento seguro de la obtener nombres, apellidos y hasta
información en los dispositivos. Por direcciones de un posible delincuente.
ejemplo:
• Desconexión wifi y Bluethooth. Se
- Implementación en los dispositivos desactivará en el teléfono la búsqueda de
mecanismos de cifrado de la redes wifi y de dispositivos vía Bluetooth
documentación además de los de cuando no sean necesarios.
autenticación de usuarios.
• Cumplimiento de la normativa.
- Impedimento de guardar de forma
Asegurarse que los empleados
automática las credenciales de
conocen la normativa corporativa y
usuarios asociadas a las herramientas
se comprometen a cumplirla antes de
corporativas.
la incorporación de sus dispositivos empleados de la importancia de mantener

personales al entorno de trabajo. un entorno seguro y de la responsabilidad
que tienen por el hecho de pertenecer a una
20.5.6. La formación de los
organización.
empleados
Sin embargo, la imprudencia de un empleado
De manera repetida a lo largo de este capítulo
que, navegue por webs no seguras,
se ha hecho referencia a los conceptos de
se descargue software no autorizado
“formación” y “concienciación”.
saltándose los controles de seguridad,
El ámbito TIC han sufrido una evolución etc, son escenarios que las organizaciones
extremadamente veloz, por lo que es deben contemplar y prever.
complicado mantenerse al día, si bien no

Pese a la formación de los empleados y de
estarlo supone estar en clara desventaja
la implementación de protocolos y políticas
empresarial respecto a competidores.
de prevención y riesgo, los incidentes de
La irrupción de nuevas plataformas, seguridad suceden y seguirán ocurriendo,
herramientas y sistemas que mejoran el por lo que se debe contar con un plan
modo de realizar el trabajo requiere que los de respuesta a incidentes, que describa
trabajadores reciban la debida formación cómo actuar ante esta situación y permita
TIC para adaptarse a los repentinos minimizar el tiempo de exposición a la
cambios digitales y adquirir competencias amenaza o riesgo.
informacionales.
No se debe caer en el error de pensar que
Estas competencias constituyen el invertir en formación supone un derroche
conjunto de conocimientos, habilidades, o un gasto sin retorno: no sólo ofrece
disposiciones y conductas que capacitan un amplio abanico de oportunidades en
a los individuos para reconocer cuando cuanto a crecimiento empresarial se refiere
necesitan información, dónde localizarla, (de lo contrario, la organización se vería
cómo evaluar su idoneidad y utilizarla de subsumida en el apalancamiento laboral de
forma adecuada de acuerdo con el problema sus trabajadores al ser menos productivos
que se les plantea. En consecuencia, las TIC y ofrecer prestaciones de menor calidad),
facilitan el acceso, emisión y tratamiento de sino que, además, puede evitar los costes
textos, imágenes, sonidos y otros tipos de asociados a un incidente de seguridad.
información, a través de datos generados

En efecto, en 2021, se calculó en unos 30000
por canales digitales.
euros el coste medio de un incidente para
El factor humano suele ser uno de los puntos una PYME296, ya que el 22% de los incidentes
más débiles de los implicados en un incidente

de ciberseguridad, si bien, no es el único. Por 296 Sufrir un accidente cibernético ya supone un coste medio de
30.000€ por pyme. Cinco Días, 15 de julio de 2021, citando el in-
este motivo, es primordial concienciar a los forme Barómetro de Ciberpreparación de la Microempresa 2021,
de la consultora Hiscox.
son provocados por empleados y casi 1 de Acerca de las facultades empresariales, la

cada 4 (24%) tiene como vector de entrada sentencia Inditex sostiene lo mantenido por
un dispositivo móvil corporativo. el Tribunal Constitucional (TC) por cuanto su
redactado dice como sigue:
Por tanto, conseguir reducir el número
de incidentes puede llegar a ser “El poder de dirección del empresario “es
económicamente muy ventajoso, ya que imprescindible para la buena marcha de
cada vez más empresas ya empiezan la organización productiva -reflejo de los
a poder cuantificar el impacto de los derechos proclamados en los arts. 33 y 38 CE
ciberataques en sus cuentas. Así, un - y se reconoce expresamente en el art. 20 ET;
número significativo de ellas (17% de las en su apartado 3 se atribuye al empresario
atacadas) indica en estudio 297
que los costes la facultad de adoptar las medidas que
asociados a los ciberataques sufridos estime más oportunas de vigilancia y
eran lo suficientemente graves como para control para verificar el cumplimiento por
amenazar sustancialmente la solvencia o el trabajador de sus obligaciones y deberes
viabilidad de la empresa. laborales, guardando en su adopción y
aplicación la consideración debida a su
20.5.7. Control y auditorías
dignidad humana”. En aplicación de esta
Dentro de las potestades conferidas al necesaria adaptabilidad de los derechos del
empresario en el Estatuto de los Trabajadores trabajador a los razonables requerimientos
(ET) existe la de vigilancia y control. Si bien de la organización productiva en
dicha facultad empodera al empresario que se integra, se ha afirmado que
ésta encuentra su límite en el artículo 18 CE “manifestaciones del ejercicio de aquéllos
en tanto en cuanto se deberá garantizar el que en otro contexto serían legítimas, no lo
derecho al honor, a la intimidad personal y son cuando su ejercicio se valora en el marco
familiar y a la propia imagen. de la relación laboral”. En el mismo sentido,

hemos indicado que “la relación laboral, en
Para comprender mejor a delimitar el control cuanto tiene como efecto típico la sumisión
empresarial, el Tribunal Supremo, en el de ciertos aspectos de la actividad humana
Recurso 1121/2015 de 8 de febrero (conocida a los poderes empresariales, es un marco
comúnmente como la “sentencia Inditex”) que ha de tomarse en forzosa consideración
sobre el control de los medios informáticos a la hora de valorar hasta qué punto ha de
por la empresa, unifica doctrina y aclara producirse la coordinación entre el interés
la necesidad de una proporcionalidad de del trabajador y el de la empresa que pueda
dicho control hacia el trabajador, poniendo colisionar con él”.
de relieve dicho fallo con el anteriormente
Además, añade que:
citado caso europeo Barbulescu vs. Rumanía
de 5 de septiembre de 2017. “... en el marco de las facultades de
auto-organización, dirección y control
297 Informe de Ciberpreparación de Hiscox 2021
correspondientes a cada empresario, mantener uno o varios programas de

“no cabe duda de que es admisible la auditoría que incluyan la frecuencia,
ordenación y regulación del uso de los métodos, las responsabilidades,
los medios informáticos de titularidad los requisitos de planificación y la
empresarial por parte del trabajador, elaboración de informes, teniendo en
así como la facultad empresarial de consideración la importancia de los
vigilancia y control del cumplimiento de procesos involucrados y los resultados
las obligaciones relativas a la utilización de auditorías previas;
del medio en cuestión, siempre con pleno
• Definir los criterios de la auditoría y el
respeto a los derechos fundamentales””.
alcance para cada auditoría;
Finalmente, sobre la adecuación del control
• Seleccionar los auditores y llevar a
empresarial se mantiene por el TC que:
cabo auditorías para asegurarse de la
“(…) para comprobar si una medida objetividad y la imparcialidad del proceso
restrictiva de un derecho fundamental de auditoría;
supera el juicio de proporcionalidad, es
• Asegurarse de que los resultados de las
necesario constatar si cumple los tres
auditorías se ponen en conocimiento del
siguientes requisitos o condiciones: si tal
órgano de gobierno y de la alta dirección,
medida es susceptible de conseguir el
así como de otras áreas o funciones
objetivo propuesto (juicio de idoneidad); si,
cuando proceda a efectos de mejorar el
además, es necesaria, en el sentido de que
Compliance;
no exista otra medida más moderada para
la consecución de tal propósito con igual • Conservar información documentada
eficacia (juicio de necesidad); y, finalmente, como evidencia de la implementación
si la misma es ponderada o equilibrada, por del programa de auditoría y de los
derivarse de ella más beneficios o ventajas resultados de las auditorías.
para el interés general que perjuicios sobre
Estas auditorías deben ser razonables,
otros bienes o valores en conflicto (juicio de
proporcionadas y realizadas con un enfoque
proporcionalidad en sentido estricto)”
basado en el riesgo, siguiendo procesos
Por otro lado, la organización debe llevar de auditoría interna u otros de revisión, y
a cabo auditorías internas a intervalos destinados a detectar indicios de:
planificados para proporcionar información
• Materialización de riesgos;
acerca de si el sistema de seguridad
informática es conforme con los requisitos • No conformidades relacionadas con la
de Compliance establecidos por la propia política de Compliance laboral y el resto
organización. del sistema de gestión de Compliance
laboral;
En este sentido, la organización deberá:
• Fallos en el cumplimiento de los requisitos
• Planificar, establecer, implementar y
de Compliance laboral susceptibles de
constituir riesgos, por las conductas subcontratación (en el sentido de

desarrolladas por los miembros de la outsourcing) con el de externalización. Sin
organización o sus socios de negocio; embargo, son conceptos diferentes. La
principal diferencia radica en que, en la
• Debilidades o posibilidades de mejora
externalización, la organización se obliga
en la política de Compliance laboral
a reestructurar sus actividades de negocio
o el resto del sistema de gestión de
(p. ej. moviendo parte de la plantilla a una
Compliance laboral.
organización exterior para que desarrolle
Para asegurar la objetividad y la unos servicios, en este caso informáticos),
imparcialidad de estos programas de en cambio, la subcontratación no implica,
auditoría, la organización se debe asegurar generalmente, movimientos en la plantilla ni
de que éstas se llevan a cabo:
reorganizaciones internas.
• Por una función independiente o persona
En el momento en que una organización
específicamente designada para realizar
se plantea la opción de contratar fuera la
este proceso en la organización;
prestación de sus servicios informáticos se
• Por una persona adecuada, de un deben tener en cuenta dos aspectos clave,
departamento o función distinta del que a saber: en primer lugar, cómo se van a
está siendo auditado; gestionar los datos que se intercambien
• Por una tercera parte apropiada; en el seno de la propia contratación, y, en

segundo lugar, el reparto de los derechos de
• Por un grupo que comprenda cualquiera propiedad intelectual y más concretamente,
de los definidos en los cuatro puntos
los derechos de explotación resultantes de
anteriores.
la creación de software.
• Asegurando que ningún auditor está
Como en cualquier tipo de contratación
auditando su propia área de trabajo o el
(no sólo la informática) desde el prisma de
trabajo desarrollado por él previamente.
la protección de datos se identifican dos
20.5.8. Políticas de outsourcing sujetos: el Responsable del Tratamiento
informático (que será la organización que contrate los
servicios) y el Encargado del Tratamiento
La subcontratación informática consiste
(que será la organización que lleve a cabo la
en la utilización de recursos externos, de
prestación de los servicios).
otras empresas que ofrecen estos servicios,
para realizar aquellas actividades que en
Así, el RGPD define al Encargado del
condiciones normales podrían realizarse
Tratamiento como la persona física o jurídica,
dentro la propia organización. Gracias a esta
autoridad pública, servicio u otro organismo
práctica, los recursos de la organización
que presta un servicio al responsable que
pueden ser liberados para otros fines.
conlleva el tratamiento de datos personales
Es común que se confunda el término por cuenta de éste.
Para establecer roles y diferenciar un puesto tratamiento debe estar sujeto a las mismas
de otro, habrá que tener presente que condiciones (instrucciones, obligaciones,
será el Responsable del Tratamiento quien medidas de seguridad…) y en la misma
decida sobre la finalidad y usos que dará a la forma (acuerdo por escrito o acto jurídico
información, mientras que el Encargado del vinculante) que el Encargado del Tratamiento
Tratamiento se someterá a las directrices en lo referente al adecuado tratamiento de
del primero. los datos personales y a la garantía de los
derechos de las personas afectadas.
Para facilitar esta tarea y delimitar
obligaciones y responsabilidades de cada una En caso de incumplimiento por el
de las partes, la relación se instrumentará subencargado, el encargado inicial seguirá
mediante un contrato de tratamiento de siendo plenamente responsable ante el
datos por cuenta de tercero. Responsable del Tratamiento en lo referente
al cumplimiento de las obligaciones del
Como ya se expuso, dicho contrato deberá
subencargado299.
contener, como mínimo, las siguientes
cláusulas: el objeto, la duración, la naturaleza Visto ya el régimen aplicable a la protección
y la finalidad del tratamiento, el tipo de datos de datos, es necesario continuar con la
personales y categorías de interesados, y las distribución de derechos de propiedad
obligaciones y derechos del responsable298. intelectual en la creación de software por
parte de la empresa subcontratada en favor
Además de las cláusulas mencionadas,
de la contratante.
conviene traer a colación el régimen
de subcontratación en los contratos de La contratación de servicios informáticos
tratamiento de datos. El RGPD exige supone per se la constitución de una relación
la autorización previa por escrito del jurídica. Es por este motivo que, el contratista
Responsable del Tratamiento para que el sigue siendo plenamente responsable frente
Encargado del Tratamiento pueda recurrir a al cliente por su actuación.
otro encargado (en puridad, subencargado)
El hecho de concentrar responsabilidades
para desarrollar el servicio encomendado,
en el contratista que asume el encargo
cuando esto conlleve el tratamiento de
tiene notorias consecuencias que deben ser
datos personales por parte de un tercero.
consideradas en el momento de elaborar el
Esta autorización puede ser específica acuerdo o contrato.
(identificación de la entidad concreta) o
En primer lugar, se hace necesario delimitar el
general (sólo autorizando la subcontratación,
alcance de los trabajos que estarán a cuenta
pero sin concretar la entidad).
del contratista y analizar las dependencias
En todo caso, el subencargado del respeto del cliente final todo con el objetivo
299 Directrices para la elaboración de contratos entre responsables y

298 Artículo 28.3 RGPD. encargados del tratamiento de la AEPD.
de definir el ámbito de responsabilidad. El Tribunal Supremo, en un caso en donde se

discutía sobre la titularidad de un programa
Por otro lado, en función del tipo de servicio
de ordenador en el seno de una relación
contratado (normalmente la creación de
laboral, interpretó el citado artículo 97.4
software a medida), se trasladarán las
de la Ley de Propiedad Intelectual de la
condiciones que el cliente requiera al efecto,
siguiente forma:
entre otras:
“(…) la Ley de Propiedad Intelectual
• Objeto del contrato.
otorga la paternidad de la obra siempre
• Descripción técnica del programa al empresario cuando el programa de
informático a desarrollar. ordenador se haya realizado por el
trabajador por cuenta y encargo del
• Desarrollo del software.
empresario, aún cuando no se enmarque
• Precio y forma de pago. dentro de las funciones específicas de su
puesto de trabajo”,
• Control y cooperación durante el
desarrollo del software. Y continua argumentando que:
• Confidencialidad y protección de datos. “(…) debe diferenciarse el derecho de

autor de la obra de la titularidad del
• Entrega de software y garantía.
de explotación, la sentencia recurrida
• Derechos de explotación. claramente sienta que no concurren
ninguna de las hipótesis del art. 97.4º LPI
Al hilo de los derechos de explotación, el
que atribuyen al empresario la titularidad
artículo 97.4 del Real Decreto Legislativo
de los derechos de explotación de un
1/1996, de 12 de abril, por el que se aprueba
programa de ordenador creado por un
el texto refundido de la Ley de Propiedad
trabajador” 300.
Intelectual, regularizando, aclarando y
armonizando las disposiciones legales Por tanto, cuando se externaliza la creación
vigentes sobre la materia (Ley de Propiedad de software a medida, es imprescindible
Intelectual) establece que “cuando un incluir en el contrato que todos los derechos
trabajador asalariado cree un programa de de explotación del mismo son para el cliente
ordenador, en el ejercicio de las funciones en exclusiva.
que le han sido confiadas o siguiendo las
20.5.9. Política de uso de redes
instrucciones del empresario, la titularidad de
sociales (RRSS)
los derechos de explotación correspondientes
al programa de ordenador así creado, tanto Internet es el máximo exponente de las TICs,
el programa fuente como el programa objeto, las cuales han modificado las relaciones
corresponderá, exclusivamente al empresario, laborales (como con el teletrabajo), hasta
salvo pacto en contrario”.
300 Sentencia de la Sala de lo Civil, Sala 1º, del Tribunal Supremo de
21 de Junio de 2007.
el punto de que el acceso a este recurso se 20.6. Mecanismos de

configura como un activo vital dentro de la prevención
organización.
20.6.1. Mecanismos de
No obstante, también ha comportado la autentificación, usuario y
inclusión de las RRSS dentro de la esfera contraseña
laboral. En efecto, la línea que separa a las
empresas y sus empleados en tema de redes El mecanismo de autenticación es el proceso
sociales es muy estrecha. Resulta de gran de confirmar que algo o alguien es quien
importancia por parte de las organizaciones dice ser. Se distinguen dos partes, a saber:
que se doten de políticas de uso de RRSS el probador y el verificador.
que les ayuden a mantener a salvaguarda la
El probador es un usuario que desea acceder
reputación de la marca y, a la vez promuevan
a recursos de la organización y el verificador
el uso de las mismas entre sus trabajadores
es un sistema que protege el acceso a
para fines más allá de lo recreativo.
dichos recursos, requiriendo permisos o
Las RRSS son un tema relativamente contraseñas para ello. Para llevar a cabo
novedoso que cuenta con poco respaldo este proceso es necesario que la primera vez
jurídico material, en tanto que la sociedad de que el usuario quiera acceder los sistemas
la tecnología avanza mucho más rápido que solicite acceso.
la normativa. Es por ello que, nuevamente,
Toda vez que el usuario ya esté registrado
se debe advertir al lector de la ausencia de
en la base de datos, cada vez que desee
regulación legal específica en esta materia.
acceder a los recursos se seguirá el
En este aspecto, serán las propias siguiente protocolo: el verificador solicitará
organizaciones las que, en atención a sus al usuario que se identifique y el probador
características, implementen la política de aportará las credenciales que le identifican
RRSS que mejor se adapte a sus necesidades. y le permiten verificar la autenticidad de la
identificación.
Para aquel que desconozca en qué consiste
esta política, no es más que la descripción Cuando ello suceda, el verificador validará
de la forma en que una organización y sus si las credencias son suficientes para dar
empleados deben actuar cuando hacen acceso al usuario o no. Este proceso es el
uso de las RRSS. Si bien antes se afirmaba que se conoce comúnmente bajo el nombre
la constante evolución de las RRSS y su “Usuario y Contraseña”.
dinamismo, ello supone necesariamente
Se pueden usar los siguientes factores de
que la Política de uso de redes sociales
autenticación:
sea un documento vivo, abierto, sujeto a
actualizaciones regulares
“Algo que se sabe”: contraseñas o herramientas como la nube, hacen que

claves concertadas (PIN). tanto la propia información, los servicios
y las aplicaciones utilizadas pueden ser
“Algo que se tiene”: son aquellos accedidas tanto desde las redes de la
componentes lógicos que el organización como también por redes
usuario tiene (p. ej. certificados remotas de terceros. Junto a ello se suma el
software) o dispositivos físicos (p. uso de dispositivos móviles en los centros
ej. una tarjeta). de trabajo de forma habitual y que, como se
ha explicado en el epígrafe sobre Políticas
“Algo que se es”: elementos
BYOD, en ocasiones estos dispositivos
biométricos (p. ej. huella digital o
pertenecen al propio empleado.
lectura de iris).
Por otra parte, cobra gran relevancia
“Algo que se hace”: el usuario debe el registro de los accesos en logs de los
realizar alguna acción para poder sistemas, ya que serán fundamentales en
acceder (p. ej. reconocimiento de supuestos de incidentes de seguridad.
voz o requerimiento de firma).
Con el objetivo de llevar un buen control
Los mecanismos descritos pueden utilizarse de accesos, en este epígrafe se abordarán
de forma aislada o combinarse entre sí, las líneas directrices que toda buena
entendiendo que de usarse una combinación organización debe implementar en su seno.
de éstos, la autenticación es más robusta. Lo primero consiste en establecer una política
de usuarios y grupos, esto es, en función del
En cualquier caso, y en función de los tipo de información se definirá qué grupos
mecanismos adoptados, se distinguirán tres pueden acceder a ella (p. ej. grupos por
niveles de autenticación; bajo, medio y alto. departamentos, grupos en función de las
Los factores de autenticación que se utilicen operaciones permitidas o grupos según el
en el sistema se denominarán credenciales. tipo de información). Una vez se han creado
los grupos y definido los usuarios que
20.6.2. Control de accesos
integran cada uno de ellos, el siguiente paso
Tener conocimiento de qué personas consiste en atribuir permisos. Éstos miden
acceden a la información de una organización el grado de acceso a la información, a saber:
es el primer paso para protegerla. Es por creación, lectura, borrado, modificación,
ello que determinar quién tiene permisos copia o ejecución, entre otros). Como punto
para acceder a ella, cómo, cuándo y con qué de partida se recomienda que se asignen
finalidad resulta indispensable si se quiere accesos mínimos, y que con el transcurso
mantener un nivel de seguridad óptimo. del tiempo se vaya extendiendo su alcance.
Para gestionar el control de acceso a la En segundo lugar, debemos diferenciar

información se debe tener presente que entre cuentas de usuario y cuentas de
las nuevas tecnologías y, en especial, administrador. Las primeras consisten en la
puerta real de acceso para los empleados que se le hubiera asignado (tarjetas de
a los sistemas de información de la acceso, dispositivos de almacenamiento de
organización (piénsese en cuentas de correo empresa, etc.).
electrónico, acceso a CRM, programas de
20.6.3. Planes de continuidad de
imputación horaria…). Se trata de entregar
negocio
las credenciales de acceso de la cuenta de
forma confidencial al empleado, así como Recogido en la Norma ISO 22301: Protección
informarle de la Política de usuarios y y seguridad de los ciudadanos, Sistema
contraseña. Por el contrario, las cuentas de de Gestión de la Continuidad del Negocio
administrador son aquellas que permiten (SGCN), el plan de continuidad de negocio
realizar todas las acciones posibles sobre los o Business Continuity Planning (BCP), es el
sistemas de información, por lo que el grado de proceso consistente en crear un sistema de
precaución debe extremarse. Estas cuentas prevención y recuperación de potenciales
suelen ser ostentadas por altos cargos de daños que puedan sufrir las organizaciones.
dirección en tanto que son los titulares de
la información strictu sensu. Resulta de gran Estos daños abarcan desde incidentes locales
valor aplicar medidas de seguridad como las (p. ej. incendios, terremotos, inundaciones)
siguientes: usar estas cuentas únicamente hasta incidentes de carácter regional o
para labores de administración, adoptar internacional, aunque a los efectos que aquí
medidas más estrictas de autenticación, atañe es de aplicación para supuestos de
registrar fehacientemente los logs, evitar ciberataques y violaciones de seguridad.
que los privilegios de estas cuentas puedan
El plan asegura que tanto el personal
ser heredados por otras cuentas y llevar
como los bienes están protegidos y
controles periódicos de auditoría.
tienen capacidad de reacción para seguir
Como no podía ser de otro modo, se deben funcionando en caso de desastre. El BCP
definir e implantar aquellos mecanismos de está pensado para situaciones ex ante,
autenticación más adecuados para permitir es decir, antes de que suceda el daño que
el acceso a la información de la organización. se pretende salvaguardar, e involucra a
partes interesadas y personal clave de la
Otra buena forma de mantener a salvo la organización.
información consiste en registrar los eventos,
es decir, establecer mecanismos para La Norma ISO 22301 es una norma
registrar todos los eventos destacados en el internacional, por lo que puede ser
manejo de la información de la organización. adoptada por todo tipo de organizaciones,
Por último, cuando un empleado finalice la públicas o privadas, independientemente
relación contractual con la organización se de su tipo, tamaño o servicio a prestar.
deben revocar todos los permisos que hasta Evidentemente, esta norma cobra especial
la fecha ostentaba y éste, por su parte, sentido e importancia en organizaciones
deberá devolver el activo de información que trabajan en entornos de alto riesgo, ya
que su capacidad de resiliencia para seguir • Órgano de control: un BCP contiene una
trabajando es vital para el negocio, los estructura de gobierno a menudo en
clientes, así como para terceras personas la forma de un comité, que asegurará
interesadas. los compromisos de la alta gerencia y
definirá los roles y responsabilidades de
La correcta implantación de un BCP permite
la misma. Este comité es responsable de
a las organizaciones obtener los siguientes
la supervisión, iniciación, planificación,
beneficios:
aprobación, prueba y auditoría del BCP.
i. Establecer, implementar, mantener También es el encargado de coordinar
y mejorar los sistemas de gestión de actividades, aprueba el Análisis de
continuidad de negocio; Impacto de Negocio (BIA), supervisa la
creación de BCPs y revisa los resultados
ii. Proporcionar a las partes interesadas
de las actividades de garantía de calidad.
confianza en su conformidad y
compromiso con las buenas prácticas • Análisis de Impacto de Negocio (BIA):
reconocidas internacionalmente; el objetivo del BIA es identificar el
mandato de la organización y los
iii. Proporcionar un lenguaje común a
servicios o productos críticos; clasificar
organizaciones globales, especialmente
el orden de prioridad de los servicios
a aquellas con una cadena de suministro
o productos para la entrega continua
larga y compleja;
o la recuperación rápida; e identificar
iv. Proteger a los empleados y a la reputación los impactos internos y externos de las
de la marca; interrupciones.
v. Asegurar la continuidad de negocio y • Planes, medidas y disposiciones para

de la comercialización de productos y la continuidad del negocio: este paso
servicios; consiste en la creación de planes
vi. Procurar una base de entendimiento, detallados de respuesta/recuperación
desarrollo e implantación de la para garantizar la continuidad. Estos
continuidad de negocio, aportando planes y acuerdos detallan las formas y los
confianza tanto de negocio a negocio medios para garantizar que los servicios
como de negocio a cliente301. y productos críticos se entreguen a
niveles de inactividad tolerables. Se
Como norma general, un BCP comprende deben hacer planes de continuidad para
cuatro componentes 302
: cada servicio o producto crítico.
• Técnicas de aseguramiento de la calidad:

la revisión del BCP debe evaluar la
301 “ISO 22301 Sistema de Gestión de Continuidad de Negocio” (con-
sultado el 14 de febrero de 2023).
precisión, la relevancia y efectividad
302 Auditoría del Plan de Continuidad del Negocio, del Departamento del plan. También debe descubrir qué
de Seguridad Pública y Preparación para emergencias de Canadá.
aspectos deben ser mejorados ya por supuesto, tener conocimientos sobre los
que la evaluación continua de éste es procesos de recuperación y verificación de
esencial para mantener su efectividad. la información.
La evaluación puede realizarse mediante
A continuación se presentan algunas de las
una auditoría interna o externa.
medidas de seguridad que pueden ayudar a
20.6.4. Prevención y detección de una organización a la prevención y detección
virus de virus:
No hay ninguna organización que esté a • Definir una política de cumplimiento de

salvo de la actuación de virus informáticos licencias de software y prohibición de
o troyanos y, en general, de cualquier código instalación de software no autorizado o
informático malicioso. Es por este motivo “pirata”.
por el que resulta imprescindible incorporar
• Establecer un control de accesos a la
un conjunto de medidas que nos ayuden
a la detección, prevención y recuperación información (ver epígrafe específico en
de la información contra un código no este módulo).
autorizado. En este sentido, en la Norma ISO

• Formación del personal.
27001 – Sistemas de Gestión de Seguridad
de la Información, se pueden encontrar • Realización de auditorías periódicas.
directrices contra los códigos maliciosos. En
• Instalación de un sistema de antivirus
suma, se trata de la gestión de la seguridad
e implementación de una política
de la red de una organización y la gestión de
de uso, especialmente para el uso
soportes.
asociado a ficheros adjuntos a correos
Quizá lo más importante en este apartado electrónicos susceptibles de descarga
sea la preparación y la existencia de por parte del usuario. La instalación del
medios que nos permitan llevarla a cabo. sistema de antivirus lleva aparejada,
Implantar en la organización un sistema necesariamente, la actualización
antivirus puede ser insuficiente si no se periódica del mismo.
complementa con otras herramientas
• Para organizaciones cuyo volumen
que se encarguen de proteger el resto de
de información es elevado, interesa
activos de la organización, máxime si se
disponer de un software espía, es decir,
parte de la premisa indicada al inicio de este
un software encargado de rastrear el
epígrafe: los sistemas de protección de una
trabajo realizado dentro de la propia
organización no son infranqueables.
organización, para que sea supervisado
Si bien es necesario proteger los activos por alguien externo y objetivo.
meramente informáticos, no se debe dejar
de lado el hecho que los trabajadores deben
estar preparados para saber cómo actuar y,
20.6.5. Administración de a la BIOS protegido con contraseña para

dispositivos y política de usos evitar modificaciones en la configuración
permitidos y prohibidos por parte del usuario.
• Software de localización: puede ser que

Estrechamente vinculado a las Políticas TIC,
por las necesidades de la organización
la administración de dispositivos se configura
se considere necesario instalar o activar
como una parte de ésta, profundizando y
algún software de localización del
detallando cómo debe ser la gestión de los
dispositivo. Si ello fuera así, se deberá
dispositivos en el seno de la organización.
comunicar al trabajador de forma
Es por ello que lo ya descrito en el epígrafe fehaciente.
específico (políticas BYOD) es de plena • Almacenamiento de la información:
aplicación aquí. Se trata de plasmar por la información corporativa que no
escrito el código de conducta adoptado en sea estrictamente necesaria para el
la organización, que en todo caso deberá desarrollo de las tareas del usuario no
ser lo más concreto posible para no inducir debe almacenarse en el dispositivo.
a error a los trabajadores. Si se accede a la información desde
varios dispositivos, ésta tiene que estar
Como ya se avanzaba, esta política es más
sincronizada para evitar duplicidades y
exhaustiva por lo que se deberán tener en
errores en las versiones.
cuenta las siguientes prescripciones303:
• Tratamiento de la información personal:
• Asignación de dispositivos: la política
la información que se repute confidencial
deberá contener un procedimiento de
deberá almacenarse de acuerdo con
solicitud y asignación de dispositivos
lo establecido en la normativa de
corporativos para mantener un
protección de datos (principalmente,
inventario activo y registrar la actividad
RGPD y Ley Orgánica de Protección
de los trabajadores.
de Datos Personales y garantía de los
• Mantenimiento de dispositivos: derechos digitales). Esto incluye el todas
este apartado queda reservado las opciones de tratamiento, sin ánimo
al departamento responsable del exhaustivo: recogida, conservación,
mantenimiento. Se deberá advertir al modificación, utilización, comunicación,
usuario de que se abstenga de realizar difusión, extracción, supresión…
cambios en el hardware, instalar software
• Conexión a redes: las conexiones a redes
o modificar la configuración del equipo
ajenas a la organización seguirán las
sin la autorización correspondiente.
normas establecidas en la política de uso
• Protección de la BIOS: los equipos corporativo de redes externas.
portátiles corporativos tendrán el acceso
• Notificación en caso de infección: si se
sospecha la infección por virus u otro
303 Guía INCIBE: Uso de dispositivos móviles no corporativos – Políti-
cas de seguridad para la pyme. software malicioso, se debe notificar a
la mayor brevedad posible al personal 20.7. Desconexión digital

técnico responsable.
Recogido en el artículo 88 de la LOPDGDD, el
• Transporte y custodia: los dispositivos
derecho a la desconexión digital se configura
deben tratarse de forma adecuada al
como la limitación al uso de las tecnologías
uso para el que están destinados.
de la comunicación (principalmente, correo
El trabajador deberá guardar la electrónico) fuera del horario de trabajo
debida diligencia para su custodia, con el objetivo de garantizar el tiempo de
especialmente si el dispositivo sale de las descanso y vacaciones a los trabajadores.
instalaciones de la organización.
Algo que resulta llamativo de este derecho
Si se trabaja en lugares donde no se es su reciente implementación en el derecho
garantiza la custodia del equipo, este positivo, ya que no ha sido hasta el pasado
debe quedar anclado con un candado 5 de diciembre de 2018 cuando se plasmó
de seguridad o guardado en un armario como tal. No obstante, la desconexión digital
de seguridad. En caso de robo o ha sido un tema ampliamente debatido por
pérdida del equipo se debe notificar de parte de los diferentes gobiernos en los
manera inmediata al personal técnico últimos años.
responsable.
Hasta la fecha, lo único de lo que se disponía
• Responsabilidades: el trabajador es el
era la Resolución de 15 de junio de 2015,
responsable del equipo portátil o móvil
de la Dirección General de Empleo, por
que se le ha facilitado para el desempeño
la que se registra y publica el III Acuerdo
de sus tareas fuera de las instalaciones
para el Empleo y la Negociación Colectiva
corporativas. Por tanto, es el trabajador
2015, 2016 y 2017, cuyo texto rezaba que
el que debe garantizar la seguridad tanto
“los convenios, especialmente los de empresa,
del equipo como de la información que
deben promover la racionalización del horario
contiene.
de trabajo” para “mejorar la productividad y
En cuanto a los usos permitidos y prohibidos favorecer la conciliación de la vida personal y
actualmente no existe en el ordenamiento laboral”.
jurídico español una normativa concreta
que regule el uso de dispositivos. Este El citado artículo 88 regula la desconexión
hecho implica que será la organización y digital bajo los siguientes términos:
los trabajadores (mediante la negociación

“1. Los trabajadores y los empleados
colectiva) los que decidirán el contenido de
públicos tendrán derecho a la desconexión
la política, entre los que se encuentran los
digital a fin de garantizar, fuera del tiempo
usos permitidos y prohibidos. En cualquier
de trabajo legal o convencionalmente
caso, la política, al menos, debería incluir las
establecido, el respeto de su tiempo de
prescripciones aquí mencionadas, de otro
descanso, permisos y vacaciones, así como
modo estaría incompleta e insuficiente.
de su intimidad personal y familiar.
2. Las modalidades de ejercicio de este los trabajadores en su elaboración. Ello

derecho atenderán a la naturaleza y no precisa que sus ideas o aportaciones
objeto de la relación laboral, potenciarán sean efectivamente recogidas en el texto
el derecho a la conciliación de la actividad final, sino que simplemente se les debe dar
laboral y la vida personal y familiar y se audiencia.
sujetarán a lo establecido en la negociación
Esto puede ser de gran utilidad ya que
colectiva o, en su defecto, a lo acordado
muchas veces los representantes de los
entre la empresa y los representantes de
trabajadores ponen de manifiesto aspectos
los trabajadores.
que hasta el momento no se habían
3. El empleador, previa audiencia de contemplado. El objetivo final es que la
los representantes de los trabajadores, política recoja todos los aspectos relevantes
elaborará una política interna dirigida a para salvaguardar la desconexión laboral.
trabajadores, incluidos los que ocupen
La introducción de la desconexión digital en
puestos directivos, en la que definirán las
la LOPDGDD ha llevado aparejado un cambio
modalidades de ejercicio del derecho a la
en la legislación laboral, en particular, con
desconexión y las acciones de formación
la inclusión del artículo 20 bis ET y en la
y de sensibilización del personal sobre
letra j) bis del artículo 14 del Real Decreto
un uso razonable de las herramientas
Legislativo 5/2015, de 30 de octubre, por el
tecnológicas que evite el riesgo de fatiga
que se aprueba el texto refundido de la Ley
informática. En particular, se preservará
del Estatuto Básico del Empleado Público
el derecho a la desconexión digital en los
(en adelante, “Ley del Empleado Público”):
supuestos de realización total o parcial del
trabajo a distancia, así como en el domicilio Estatuto de los Trabajadores:
del empleado vinculado al uso con fines
laborales de herramientas tecnológicas.” “Artículo 20 bis. Derechos de los
trabajadores a la intimidad en relación con
Del precepto legal merece especial atención el entorno digital y a la desconexión.
la obligación para las empresas de la
implementación de una política interna para Los trabajadores tienen derecho a la
regular la desconexión digital. intimidad en el uso de los dispositivos
digitales puestos a su disposición por el
Esta política es de aplicación para todos empleador, a la desconexión digital y a la
trabajadores, inclusive los cargos directivos, intimidad frente al uso de dispositivos de
aunque puede sufrir modificaciones en videovigilancia y geolocalización en los
función del puesto ocupado. términos establecidos en la legislación
vigente en materia de protección de datos
Además, esta política lleva aparejada unas
personales y garantía de los derechos
exigencias formales, entre las que destaca
digitales.”
la participación de los representantes de
Ley de Empleo Público
Letra j) bis del artículo 14:
Los empleados públicos tienen los

siguientes derechos de carácter individual
en correspondencia con la naturaleza
jurídica de su relación de servicio:
“j) bis A la intimidad en el uso de dispositivos

digitales puestos a su disposición y frente
al uso de dispositivos de videovigilancia y
geolocalización, así como a la desconexión
digital”.
• En el ámbito digital, hay unos términos o conceptos que destacan por encima de los demás: los
datos y/o la información. Hoy en día, gran parte de nuestra actividad y la de las organizaciones
gira en torno a ellos.
• La actividad en las organizaciones, por tanto, queda condicionada por estos, y es a raíz de la
necesidad de gestionarlos y protegerlos donde aparecen nuevas regulaciones (inicialmente
en el ámbito de la protección de datos personales y posteriormente ampliándose a la resiliencia
de los sistemas e infraestructuras) y roles, como puede ser el del Director de Seguridad de la
Información o CISO (Chief Information Security Officer). Este puesto juega un papel fundamental,
destacado y de liderazgo en este ámbito, y es con quien el responsable de Compliance deberá
relacionarse y coordinarse (al igual que con el DPD, por ejemplo).
• La protección de la información o la seguridad de la información (SEGINFO) es el elemento

central de la ciberseguridad, que trata de proteger a ese activo crítico. La ciberseguridad forma
parte integrante de un concepto más amplio como la seguridad de la información, que a su
vez, es componente del concepto de seguridad integral. El ámbito de la ciberseguridad queda
centrado en la prevención y protección de redes, sistemas y servicios TIC y la información
contenida en ellos, para garantizar su disponibilidad, integridad y confidencialidad.
• Ante la complejidad de los riesgos y amenazas, la coordinación y la estandarización resultan

elementos esenciales. En un ámbito en el que la propia actividad (ciberseguridad) no cuenta
con una definición clara o ampliamente aceptada, es imprescindible al menos contar con un
acuerdo que identifique y clasifique los incidentes de seguridad, de los que se establecen
11 categorías, siendo 9 de ellas incidentes como tal: Contenido abusivo, Dañino, Obtención
de información, Intento de intrusión, Intrusión, Disponibilidad, Compromiso de la información,
Fraude y Otros, existiendo 33 subcategorías dentro de las anteriores.
• No obstante, una cuestión es identificar los incidentes y otra su gestión. Los incidentes de
seguridad, sean más o menos habituales (como phishing, ransomware, fugas de información,
etc) requieren de la existencia de planes de acción (o reacción) ante incidentes. Siguiendo las
recomendaciones de INCIBE, una adecuada gestión supone la aplicación de varias fases que
han de estar descritas en estos planes: preparación, identificación, contención, mitigación,
recuperación y actuaciones post incidente.
• Con respecto a la normativa que afecta a la Ciberseguridad, se ha producido un avance muy

importante y acelerado en los últimos años, lo que da una idea de la criticidad e importancia
de este ámbito. Así, en 2016 se aprobó la Directiva (UE) 2016/1148 (Directiva SRI o Directiva de
Ciberseguridad), que en pocos años ha dado paso a la Directiva (UE) 2022/2555 (Directiva SRI 2),
más ambiciosa y de alcance más amplio que la anterior, que deberá trasponerse a la normativa
interna de los EEMM antes de septiembre de 2024, así como el Reglamento 2022/2554 sobre la
resiliencia operativa digital del sector financiero (Reglamento DORA) en vigor desde enero de
2023, aunque con un plazo de 2 años para su aplicación completa.
• Por otro lado, en España existe una extensa normativa afectada por la ciberseguridad, si bien la
más relevante y específica se centra en la trasposición de la normativa europea, como sucede
con el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información. España
cuenta asimismo con una Estrategia de Seguridad Nacional (2021) y una Estrategia Nacional
de Ciberseguridad (2019).
• Igualmente, dada la importancia de la Seguridad de la Información, los estándares ISO/UNE

no podían permanecer al margen, por lo que se ha desarrollado la Norma UNE-ISO/IEC
27000:2021 (Sistema de Gestión de Seguridad de la Información, SGSI) y resto de normas de la
familia (ISO/IEC27001 y ISO/IEC27002), al igual que la UNE-ISO/IEC 20000 (Sistema de Gestión
de Servicios de TI, SGSTI).
• Para la gestión operativa diaria, cabe señalar las guías específicas desarrolladas por el Instituto
Nacional de Ciberseguridad (INCIBE) respecto a la seguridad de redes y sistemas, así como
para la gestión, resolución y notificación de una amplia gama de incidentes de seguridad de la
información.
• Respecto de la organización interna en este ámbito, es importante señalar la necesidad de una

serie de normas específicas que regulen aspectos como el uso de medios tecnológicos, política
BYOD y de uso de RRSS, los aspectos y necesidades relevantes en la formación y concienciación
de los empleados, los controles y auditorías a establecer, así como la políticas de outsourcing
informático.
• Cabe recordar, asimismo, la importancia de las prevenciones en materia del descanso regulado
y las vacaciones de los trabajadores, en relación al artículo 88 de la LOPDGDD, que regula la
desconexión digital. Por ello se hace necesario contar con una política que recoja todos los
aspectos relevantes para salvaguardar los derechos de los trabajadores a la desconexión.
BIBLIOGRAFÍA
Bibliografía
• Autoridad Bancaria Europea (ABE, 2015), Directrices de la ABE sobre la evaluación de
solvencia, disponible en https://www.eba.europa.eu/sites/default/documents/files/
documents/10180/1162894/b74068f2-7a6d-4b4d-976b-130bdce777e5/EBA-GL-2015-11_ES_
GL%20on%20creditworthiness.pdf?retry=1.
• AEPD (2017), Directrices para la elaboración de contratos entre los responsable sy encargados
del tratamiento. Disponible en https://www.aepd.es/sites/default/files/2019-10/guia-directrices-
contratos.pdf.
• AEPD (2021). “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”.
Disponible en https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-
tratamientos-datos-personales.pdf.
• AEPD (2017). “Guía para el cumplimiento del deber de informar”. Disponible en https://www.
aepd.es/media/guias/guia-modelo-clausula-informativa.pdf.
• AEPD (2018). “Guía para el responsable de tratamientos de datos personales”. Disponible en

https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf.
• AEPD (2018). Guía sobre el uso de videocámaras para seguridad y otras finalidades. Disponible
en https://www.aepd.es/sites/default/files/2019-09/guia-videovigilancia.pdf.
• AEPD (2018). “Listado de Cumplimiento Normativo”. Disponible en https://www.aepd.es/media/

guias/guia-listado-de-cumplimiento-del-rgpd.pdf.
• AEPD (2011), “Número de teléfono y concepto de dato personal. Informe 285/2006”, accesible
en https://www.aepd.es/es/documento/2006-0285.pdf
• Agencia Antifraude de Cataluña (2016), La gestión de los conflictos de interés en el sector

público de Cataluña, accesible en https://www.antifrau.cat/images/web/docs/publicacions/
estudis_integricat/la-gestion-de-los-conflictos-de-interes-en-el-sector-publico-de-catalunya-
informe-oac-esp.pdf.
• Aldo Olcese Santonja (2005), Teoría y práctica del buen gobierno corporativo. Marcial Pons,
Ediciones Jurídicas y Sociales, 2005.
• Altamonte Springs, FL, The Institute of Internal Auditors Inc (2013), The Three Lines of Defense
in Effective Risk Management and Control. Disponible en: https://na.theiia.org/standards-
guidance/Public%20Documents/2015-Leveraging-COSO-3LOD.pdf
• Altamonte Springs, FL, The Institute of Internal Auditors Inc (2020), The IIA’s Three Lines Model,
An update of the Three Lines of Defense. Institute of Internal Auditors (IIA). https://www.theiia.
org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-
lines-of-defense-july-2020/three-lines-model-updated-spanish.pdf
• Andrade, H. (2005), Comunicación organizacional interna: proceso, disciplina y técnica. Netbiblo,

Madrid.
BIBLIOGRAFÍA
• Argandoña, A. (2004), Conflicto de intereses: el punto de vista ético, IESE Business School,
Universidad de Navarra, presentado la XII Conferencia anual de Ética, Economía y Dirección.
Documento de investigación publicado por la Cátedra de Economía y Ética Accesible en https://
www.iese.edu/research/pdfs/DI-0552.pdf
• Argandoña, A. (2008), La ética en los negocios, Occasional Paper OP nº 8/10, Cátedra “la Caixa”
de Responsabilidad Social de la Empresa y Gobierno Corporativo, IESE.
• Arjoon, S. (2005). Corporate governance: An ethical perspective. Journal of Business Ethics,

61(4), 343-352.
• Asch, S. (1956), Studies of independence and conformity: a minority of one against a unanimous
majority, Psychological Monographs volume 70, 1-70
• Asociación Española de Compliance – ASCOM (2017). Libro Blanco sobre la Función de Compliance.
Recuperado de https://www.asociacioncompliance.com/wp-content/uploads/2017/08/Libro-
Blanco-Compliance-ASCOM.pdf
• Australian Standard AS 3806-2006. Disponible en: https://www.saiglobal.com/PDFTemp/

Previews/OSH/as/as3000/3800/3806-2006.pdf.
• Aznar, E., & Vaccaro, A. (2015). Make Way for the Chief Integrity Officer. IESE Insight Fourth
Quarter, 27, 23-30.
• Bacigalupo Zapater, E (2005), Curso de Derecho Penal Económico, Marcial Pons, Madrid.
• Basel Committee on Banking Supervision (2005), Compliance and the Compliance function in
Banks. Disponible en: http://www.bis.org/
• Basel Committee on Banking Supervision (2015), Guidelines Corporate on governance principles

for banks. Disponible en: https://www.bis.org/bcbs/publ/d328.pdf
• Blyth, BT and Machold, RJ. (2011). The human side of GRC. The Essence of Governance, Risk and
Compliance. Crisis Management International. Recuperado de https://docplayer.net/3808534-
The-human-side-of-grc-the-essence-of-governance-risk-and-compliance.html
• Boehme, D.C., (2014) The CCO as Ethical Culture Leader publicado en Ethiko
• Bowen, Howard R (1953). Social responsibilities of the businessman. University of Iowa Press.
• Buffet, W (2010). Memo to Berkshire Hathaway Managers (“The All-Stars”), accessible en https://
www.berkshirehathaway.com/letters/2010ltr.pdf
• Bulgarella, C. (2018), A Two-Factor Model of Ethical Culture, accesible en www.ethicalsystems.

org
• Bulgarella, C. (2018). Why values and purpose create ethical debt. The FCPA Blog. Recuperado
de http://www.fcpablog.com/blog/2018/2/22/caterina-bulgarella-on-oxfam-why-values-and-
purpose-create-e.html
BIBLIOGRAFÍA
• Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) (2018) MaComp (Mindestanforderungen

an die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten
– MaComp)
• Cain, D.M. y Detsky, A.S. (2008), Everyone's a Little Bit Biased (even Physicians), JAMA, 299 (24).
• Calvo Caravaca, A.L. (2009). Derecho antitrust europeo. Tomo I , parte general, la competencia.
• Carrol, A. (1991), The Pyramid of Corporate Social Responsibility: Toward the Moral Management
of Organizational Stakeholders, Business Horizons (publicación julio - agosto).
• Casanovas, A. (2018) Cuadernos de Compliance. Autonomía e independencia en Compliance.

Cuaderno 05. ASCOM. Recuperado de www.asociacioncompliance.com
• Casanovas, Alain, Legal Compliance. Principios de Cumplimiento Generalmente Aceptados.

Economist & Jurist Difusión Jurídica.
• Chroust, A-H. y Osborn, D. (1942), Aristotle's Conception of Justice, 17 Notre Dame L. Rev. 129
(1942), accesible en: http://scholarship.law.nd.edu/ndlr/vol17/iss2/
• CNMV (2015), Código de Buen Gobierno de las sociedades cotizadas.Disponible en: https://
www.cnmv.es/docportal/publicaciones/codigogov/codigo_buen_gobierno.pdf.
• CNMV (2019), Comunicado dirigido a los emisores de valores cotizados sobre el nuevo marco
normativo europeo de abuso de mercado, https://www.cnmv.es/loultimo/ISMAR_ok.pdf.
• CNMV (2010), Guía de actuación para la transmisión de información privilegiada a terceros.

Disponible en https://www.cnmv.es/DocPortal/GUIAS_Perfil/Infterceros.pdf
• CNMV (2014), Guía de procedimientos de las funciones de control interno (cumplimiento

normativo, gestión de riesgos y auditoría interna) a que se refiere la Circular 1/ 2014 de 26 de
febrero, de la Comisión Nacional del Mercado de Valores, sobre los requisitos de organización
interna y de las funciones de control de las entidades que prestan servicios de inversión.
• CNMV (2017), Guía contra el fraude en la licitación pública. Accesible en https://www.cnmc.es/sites/

default/files/editor_contenidos/Competencia/2017/20170118_CNMC_licitaciones_01_2017.pdf
• Comisión Europea y Alta Representante de la UE para AAEE y política de seguridad (2013),

Comunicación conjunta al Parlamento europeo, al Consejo, al Comité Económico y Social
europeo y al Comité de las Regiones. Estrategia de ciberseguridad de la Unión Europea: Un
ciberespacio abierto, protegido y seguro. Disponible en https://eur-lex.europa.eu/legal-content/
ES/TXT/PDF/?uri=CELEX:52013JC0001&from=EN
• Committee of Sponsoring Organizations of the Treadway Commission COSO, (January 2009)

Guidance on Monitoring Internal Control Systems. Disponible en: http://www.coso.org/
documents/coso_guidance_on_monitoring_intro_online1_002.pdf.
• Committee of Sponsoring Organizations of the Treadway Commission, COSO (1992 y 2004),

Enterprise Risk Management Integrated Framework, Disponible en: http://www.coso.org/
BIBLIOGRAFÍA
• Committee of Sponsoring Organizations of the Treadway Commission, COSO (2012),

Understanding and Communicating Risk Appetite. Disponible en: http://www.coso.org/
• Cortina, A. (1993), Ética aplicada y democracia radical, Tecnos.
• Cortina, A. (2000), Las tres edades de la ética empresarial, artículo de opinión, El País, accesible
en https://elpais.com/diario/2000/11/29/opinion/975452411_850215.html.
• COSO (2017). Gestión del Riesgo Empresarial - Integrando Estrategia y Desempeño. Resumen
ejecutivo. Traducido al castellano por el Instituto de Auditores Internos. Recuperado de https://
auditoresinternos.es/uploads/media_items/coso-2018-esp.original.pdf
• Criminal Division (Departamento de Justicia de EE.UU) y Enforcement Division (SEC) (2020). A

Resource Guide to the U.S. Foreign Corrupt Practices Act, Second Edition, disponible en https://
www.justice.gov/criminal-fraud/file/1306671/download
• Darcy, K. (2013), Ethics and compliance: Birth of a profession, Business Compliance 03-04/2013,
Baltzer Science Publishers
• David, H., Mc Whorter, R.S. y Fort, T.L. (2006), The 2004 Amendments to the Federal Sentencing
Guidelines and their Implicit Call for a Symbiotic Integration of Business Ethics, Fordham Journal
of Corporate & Financial Law, Volume 11, No 4, article 2.
• De George, R. (2005), A history of business ethics, publicado en https://www.scu.edu/ethics/

focus-areas/business-ethics/resources/a-history-of-business-ethics/ (Markkula Center for
Applied Ethics- Santa Clara University)
• Debeljuh, P. (2009), Ética empresarial: en el núcleo de la estrategia corporativa, Cengage

Learning.
• Deloitte (2015). Building world-class ethics and compliance programs: Making a good program
great Five ingredients for your program. Recuperado de: https://www2.deloitte.com/content/
dam/Deloitte/no/Documents/risk/Building-world-class-ethics-and-compliance-programs.pdf
• Denmark, F.L. (1993), Women, leadership and empowerment, Psychology of Women Quarterly,
Vol. 17 pp.343-56.
• Departamento del Tesoro de EEUU (2022), National Proliferation Financing Risk Assessment,
accesible en https://home.treasury.gov/system/files/136/2022-National-Proliferation-
Financing-Risk-Assessment.pdf
• Di Lorenzo, V. (2007). Business ethics: Law as a determinant of business conduct. Journal of

Business Ethics, 71(3), 275-299.
• Díaz de la Cruz, C. y Fernández Fernández, J.L. (2015), Marco conceptual de la ética y la

responsabilidad social empresarial: un enfoque antropológico y estratégico, Revista empresa y
humanismo/ VOL XIX / Nº 2 páginas 69-118.
• Driscoll y Hoffman (1999), Ethics matters: How to implement values-driven management, Center
for Business Ethics (Bentley College)
BIBLIOGRAFÍA
• Edwards J. y Wolfe S. (2004) “The Compliance function in banks”
• English, S. y Hammond, Ss. (2019) Cost of Compliance 2019: 10 years of regulatory change.
Thomson Reuters Regulatory Intelligence.
• ENISA (EU Agency for Cybersecurity, 2016). Definition of Cybersecurity - Gaps and overlaps
in standardization. Disponible en https://www.enisa.europa.eu/publications/definition-of-
cybersecurity
• Enseñat de Carlos, S. (2016). Manual del Compliance Officer: guía práctica para los responsables
de Compliance de habla hispana. España: Thomson Reuters Aranzadi.
• Ethics & Compliance Initiative (2016), pp 13-16, Report of ECI’s conflicts of interest benchmarking
group, patrocinado por Kaplan & Walker LLP.
• Ethics & Compliance Initiative (2017) Ethical leadership around de world and why it matters’-
Research Report from ECI’s Global Busines Survey, Executive Summary Recuperado de https://
www.ethics.org/knowledge-center/ethical-leadership-around-the-world-and-why-it-matters/
• Ethics & Compliance Initiative (2018). Critical elements of an effective Ethics & Compliance
program. Recuperado de https://www.ethics.org/.
• European Data Protection Board (EDPB, 2020), Directrices 3/2019 sobre el tratamiento de datos
personales mediante dispositivos de vídeo, disponible en https://edpb.europa.eu/sites/default/
files/files/file1/edpb_guidelines_201903_video_devices_es.pdf
• European Data Protection Supervisor (Julio 2016). “Guidelines on processing personal

information within a whistleblowing procedure”.
• European Securities and Markets Authority (2012). (ESMA). Guidelines on certain aspects of the
MiFID compliance function requirements. Recuperado de https://www.esma.europa.eu/sites/
default/files/library/2015/11/2012-388.pdf
• European Securities and Markets Authority (2019) Draft of revised guidelines on certain aspects
of the MiFID Compliance function requirements.
• EUROPOL (Agencia de la UE para la cooperación policial), 2021. EU Terrorism Situation and

Trends Report 2021, Publications Office of the European Union, Luxemburgo. Accesible en
www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf
• Fabri, David. (2012). The Price of Whistle blowing : the flawed ECJ Decision in Stanley Adams vs
Commission of the European Communities. University of Malta.
• Farmaindustria (2016). Código de Buenas Prácticas de Farmaindustria. Recuperado de https://

www.codigofarmaindustria.org/servlet/sarfi/home.html
• Fernández Fernández, J.L. y Camacho, J. (2018), Introducción a la ética empresarial: qué es y

por qué sí es importante, sesión de formación del Instituto de Estudios de Compliance (IECOM)
impartida en la sede de la Asociación Española de Compliance ASCOM, 6 de junio de 2018.
BIBLIOGRAFÍA
• Filabi, A. y Bulgarella, C. (2018), Organizational Culture Drives Ethical Behaviour: Evidence From
Pilot Studies, OCDE Global Anticorruption & Integrity Forum,. Accesible en https://www.oecd.
org/corruption/integrity-forum/academic-papers/Filabi.pdf
• Financial Action Task Force (2014), Risk-based approach guidance for the banking sector,
disponible en http://www.fatf-gafi.org/media/fatf/documents/reports/Risk-Based-Approach-
Banking-Sector.pdf
• Financial Conduct Authority (2018). Discussion Paper: Transforming Culture in Financial

Services DP18/2. Recuperado de https://www.fca.org.uk/publications/discussion-papers/dp18-
2-transforming-culture-financial-services
• Financial Conduct Authority (FCA UK). (2017) The Compliance function in wholesale banks.
Recuperado de: https://www.fca.org.uk/publications/multi-firm-reviews/Compliance-function-
wholesale-banks
• Fink, L. (2018), A sense of purpose, carta dirigida a CEOs, extraída de https://www.blackrock.

com/corporate/investor-relations/larry-fink-ceo-letter
• Fiscalía General del Estado ((2016). Circular 1/2016, sobre la responsabilidad penal de las
personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica
1/2015. Madrid, España.
• Freeman, R.E. (1984), Strategic Management: A stakeholder approach, Pitman Press
• Friedman, M. (1970), The Social Responsibility of Business is to Increase its Profits, The New York
Times Magazine.
• GAFI-FAFT (2008), Typologies Report on Proliferation Financing, accesible en: https://www.fatf-

gafi.org/en/publications/Methodsandtrends/Typologiesreportonproliferationfinancing.html.
• GAFI-FAFT (2021), Guidance on proliferation financing risk assessment and mitigation. Accesible
en https://www.fatf-gafi.org/en/publications/Financingofproliferation/Proliferation-financing-
risk-assessment-mitigation.html
• Gibson, R., Tanner, C. y Wagner, A.F. (2015), Do situational social norms crowd-out
intrinsiCPreferences? an experiment regarding the choice of honesty
• Gilmore, W.C. (1993), Money Laundering: The International Aspect. Money Laundering: Hume
Papers on Public Policy 1.2, Edinburgh University Press.
• Grupo de Trabajo del Artículo 29 (2017), Directrices sobre la evaluación de impacto relativa a la
protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto
riesgo» a efectos del Reglamento (UE) 2016/679. Accesible en https://ec.europa.eu/newsroom/
article29/items/611236
• Grupo Wolfsberg (2012), Wolfsberg Anti-Money Laundering Principles for Private Banking,
accesible en https://www.wolfsberg-principles.com/sites/default/files/wb/pdfs/wolfsberg-
standards/10.%20Wolfsberg-Private-Banking-Prinicples-May-2012.pdf
BIBLIOGRAFÍA
• Gutierrez Pérez, E (2015). Los compliance programs como eximente o atenuante de la

responsabilidad penal de las personas jurídicas. La “eficacia e idoneidad” como principios
rectores tras la reforma de 2015”, Revista General de Derecho Penal, nº24.
• Hannan, S., Comment, (2019) Effective Corporate Compliance: A Holistic Approach for
• Heißner S, Neumann P.R, Holland-McCowan, J, Basra R, (2017), Caliphate in Decline: An Estimate

of Islamic State’s Financial Fortune, The International Centre for the Study of Radicalisation
(ICSR). Accesible en https://icsr.info/wp-content/uploads/2017/02/ICSR-Report-Caliphate-in-
Decline-An-Estimate-of-Islamic-States-Financial-Fortunes.pdf
• Helin, S., Jensen, T., Sandstrom, J., & Clegg, S. (2011). On the dark side of codes: Domination not
enlightenment. Scandinavian Journal of Management, 27(1), 24-33.
• Hernández Cuadra, E. (14 de noviembre de 2018). La importancia de identificar y medir la cultura

corporativa [Artículo en blog] Asociación Española de Compliance. Recuperado de https://www.
asociacioncompliance.com/la-importancia-de-identificar-y-medir-la-cultura-corporativa/
• Hoffman, W.M. y Moore, J.M. (1990), Business Ethics: Readings and Cases in Corporate Morality,
MacGraw-Hill.
• House, R., Hanges, P., Javidan, M., Dorfman, P., Gupta, V. (2004), Culture, Leadership, and
Organizations. The GLOBE study of 62 Societies, Sage Publications Inc., Beverly Hills, CA.
• Hauser, C; Bretti-Rainalter, J; Blumer, H; Informe sobre la denuncia de irregularidades 2021,

Universidad de Ciencias Aplicadas de Graubünden (Suiza). Accesible desde https://www.
integrityline.com/es/experiencia/white-paper/informe-de-denuncia-de-irregularidades/
• HM Treasury, Reino Unido (2021). National risk assessment of proliferation financing. Accesible
en https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_
data/file/1020695/National_risk_assessment_of_proliferation_financing.pdf
• IDW AssS 980. Disponible en: https://www.idw.de/the-idw/idw-pronouncements/idw-assurance-

standards.
• International Organization for Standarization (2014). ISO 19600: 2014 Compliance Management
Systems Guidelines.
• Iscenko, Z., Pickard, C., Smart, L. y Vasas. Z. (2016), Behaviour and compliance in organisations,
Financial Conduct Authority (FCA), ocassional paper n. 24, accesible en https://www.fca.org.uk/
publication/occasional-papers/op16-24.pdf
• Jogulu, U. D. and Wood, G. J. (2006).The role of leadership theory in raising the profile of women
in management, Equal opportunities international, vol. 25, no. 4, pp. 236-250.
• Joy, P.A. y McMunigal, K.C., Corporate “Miranda” Warnings (2010). Criminal Justice, Vol. 25, No.
2, Summer 2010, Washington University in St. Louis Legal Studies Research Paper No. 10-07-02,
disponible en SSRN: https://ssrn.com/abstract=1736716
BIBLIOGRAFÍA
• Kaptein, M. (2009). Ethics programs and ethical culture: A next step in unraveling their multi-
faceted relationship. Journal of Business Ethics, 89(2), 261-281.
• Kaptein, M. (2010). The ethics of organizations: A longitudinal study of the US working population.
Journal of Business Ethics, 92(4), 601-618.
• Kaptien, M. (2012), Why good people sometimes do bad things.
• Killingsworth, S. (2012). Modeling the message: Communicating compliance through

organizational values and culture. Geo. J. Legal Ethics, 25, 961. Recuperado de https://cclg.
rutgers.edu/wp-content/uploads/25GeoJLegalEthics961.pdf
• KPMG, The time has come. The KPMG Survey of Sustainability Reporting 2020, KPMG IMPACT
(2020), https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2020/11/the-time-has-come.pdf
• Kotter, J. P. (2008). Corporate culture and performance. Simon and Schuster.
• La Fábrica de Pensamiento, Definición e implantación de Apetito de Riesgo, Instituto de

Auditores Internos, accesible en https://auditoresinternos.es/uploads/media_items/apetito-de-
riesgo-libro.original.pdf
• Lagarde, C. (2015) “Ethics and Finance: Aligning Financial Incentives with Social Objectives”
• Langevoort, D. C. (2017). Cultures of compliance. Am. Crim. L. Rev., 54, 933
• Laufer, W. S. (1999). Corporate liability, risk shifting, and the paradox of compliance. Vand.L.Rev.,
52, 1341.
• Layne, N. (4 de mayo de 2017). Former MoneyGram executive settles closely watched U.S.
money laundering case. Reuters.
• Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de
noviembre, del Código Penal [Internet], artículo 31 bis. Boletín Oficial del Estado, núm 77, 31 de
marzo de 2015. Disponible en https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-3439
• MAB (mercado alternativo bursátil): Guía de buenas prácticas de las entidades emisoras en el
mercado alternativo bursátil. Mayo 2015.
• Marra, A. (2016) Legal Project Management. Rasche.
• Martin, S L, (2015) Compliance Officers: more Jobs, more responsibility, mode liability, 29 Notre
Dame J.L. Ethics &Pub Ploy 169
• Melé, D. (2009), Business ethics in action: seeking human excellence in organizations, Palgrave
Macmillan
• Melé, Domènec (2015), Ética en dirección de empresas. Calidad humana para una buena
gestión. Pearson Educación.
• Michael, M. L. (2006). Business ethics: The law of rules. Business Ethics Quarterly, 16(4), 475-504.
BIBLIOGRAFÍA
• Microsoft (2018) Standards of Supplier conduct. Recuperado de: https://www.microsoft.com/

en-us/procurement/supplier-conduct.aspx?activetab=pivot%3aprimaryr4
• Ministerio de Economía y Empresa de España (2019), Sanciones financieras internacionales:

cuestiones generales y Procedimientos especiales en materia de no proliferación, accesible en
https://www.tesoro.es/sites/default/files/sanciones_financieras_internacionales._cuestiones_
generales_y_procedimientos_especiales_en_materia_de_no_proliferacion_1.pdf
• Ministerio de Justicia del Reino Unido, (2011) Guidance about procedures which relevant
commercial organisations can put into place to prevent persons associated with them from
bribing (section 9 of the Bribery Act 2010). Accesible en https://www.justice.gov.uk/downloads/
legislation/bribery-act-2010-guidance.pdf
• MONEYVAL (Committee of Experts on the Evaluation of anti-money laundering measures and

the financing of terrorism), 2020, Annual Report 2020. Accesible en https://rm.coe.int/annual-
report-2020-eng-final/1680a429f5
• Mont, J., (2015), Parsing the difference between GRC & ERM, Compliance Week.
• Montero, D (2018), Extracto adaptado de su obra Kickback: Exposing the Global Corporate
Bribery Network Recuperado de: https://longreads.com/2018/11/20/the-second-half-of-
watergate-was-bigger-worse-and-forgotten-by-the-public/
• Nash, L. (1990), Good Intentions Aside: A Manager’s Guide to Resolving Ethical Problems,
Harvard Business School Press.
• Neiger, B. (2015), Succesfull Compliance for efficient organisations with ISO 19600:2014.
• Nestlé. El Código de Proveedores de Nestlé. Recuperado de https://empresa.nestle.es/es/

libreria-documentos/documents/publicaciones/codigo-de-proveedores-de-nestle.pdf
• Niebuhr, R. (1966). El hombre moral y la sociedad inmoral: un estudio sobre ética y política.
Ediciones Siglo Veinte.
• Nieto Martín, A. (2013) “Cosmetic Use and Lack of Precision in Compliance Programs: Any
Solution?” Revista EUCRIM. Accesible en https://biblioteca.corteidh.or.cr/tablas/r16761.pdf
• Nieto Martín, A (2015). Manual de cumplimiento penal en la empresa, Ed. Tirant.
• Obra colectiva dirigida por Alfonso Martínez-Echevarría y García de Dueñas (2015), Gobierno
Corporativo: la estructura del órgano de gobierno y la responsabilidad de los administradores.
Editorial Thomson Reuters Aranzadi.
• Obra colectiva dirigida por Santiago Hierro Anibarro (2014), Gobierno corporativo en sociedades
no cotizadas. Marcial Pons, Ediciones Jurídicas y Sociales.
• OCDE (2010). Global forum on competition. Roundtable on collusion and corruption in public
procurement. Accesible en https://www.oecd.org/competition/cartels/46235884.pdf
BIBLIOGRAFÍA
• OCDE (2010), Guía de Buenas Prácticas sobre Controles Internos, Ética y Cumplimiento
de Normas. Accesible en http://www.cca.org.mx/ps/funcionarios/cursos/inemp/archivos/
AnexoBHerramientasGuiaBuenasPracticasOCDE.pdf
• OCDE (2011), Líneas Directrices para Empresas Multinacionales, accesible en https://www.oecd.

org/daf/inv/mne/MNEguidelinesESPANOL.pdf.
• OCDE, UNODC y Banco Mundial (2013), Ética, anticorrupción y elementos de cumplimiento.

Manual para empresas. Accesible en https://www.oecd.org/investment/anti-bribery/Etica-
Anticorrupcion-Elementos-Cumplimiento.pdf
• OCDE (2015), Informe de la OCDE sobre Cohecho Internacional. Análisis del delito de cohecho
de servidores públicos extranjeros. Disponible en http://www.oecd.org/publications/informe-
de-la-ocde-sobre-el-soborno-internacional-9789264226654-es.htm
• OCDE (2018), La integridad pública desde una perspectiva conductual: El factor humano como
herramienta anticorrupción, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing,
Paris. Disponible en https://www.oecd.org/gov/la-integridad-publica-desde-una-perspectiva-
conductual-9789264306745-es.htm
• OCDE (2019), Lavado de activos y financiación del terrorismo – Manual para inspectores
y auditores fiscales, accesible en https://www.oecd.org/ctp/crime/lavado-de-activos-y-
financiacion-del-terrorismo-manual-para-inspectores-y-auditores-fiscales.pdf
• OCDE (2017), Recomendación del consejo de la OCDE sobre integridad pública, disponible en
https://www.oecd.org/gov/ethics/recomendacion-sobre-integridad-es.pdf
• OCDE (2000), Reducing the Risk of political failure: challengues for regulatory compliance.
Accesible en https://www.oecd.org/gov/regulatory-policy/46466287.pdf
• OCDE (2014), Regulatory Enforcement and Inspections, OECD Best Practice Principles for
Regulatory Policy, OECD Publishing, Paris, disponible en https://www.oecd.org/gov/regulatory-
enforcement-and-inspections-9789264208117-en.htm
• Oficina de Naciones Unidas contra la droga y la delincuencia (UNODC), 2011.Estimating illicit

financial flows resulting from drug trafficking and other transnational organized crimes.
Research report. Accesible en https://www.unodc.org/documents/data-and-analysis/Studies/
Illicit_financial_flows_2011_web.pdf
• Oftedal, E (2015), The financing of jihadi terrorist cells in Europe, FFI-rapport 2014/02234,
Norwegian Defence Research Establishment (FFI), accessible en https://ffi-publikasjoner.
archive.knowledgearc.net/bitstream/handle/20.500.12242/1103/14-02234.pdf
• OICU-IOSCO (2003) The function of Compliance Officer. Study on What the Regulations of
the Member’s Jurisdictions Provide for the Function of Compliance Officer. SRO Consultative
committee of the International Organization of Securities Commissions.
• Paine, L. S. (1994). Managing for organizational integrity. Harvard Business Review, 72(2), 106-
117. Recuperado de https://hbr.org/1994/03/managing-for-organizational-integrity
BIBLIOGRAFÍA
• R. H. Girgenti, T.P. Hedley. (2013), Gestión del riesgo de fraude e irregularidades empresariales.
KPMG. Ed. McGraw-Hill.
• Red flag group (2019). The first 90 days in Compliance. (2019). Recuperado de: https://insights.
redflaggroup.com/articles/the-first-90-days-in-Compliance
• Reglamento delegado (UE) 2017/65/UE del Parlamento Europeo y del Consejo en lo relativo a
los requisitos organizativos y las condiciones de funcionamiento de las empresas de servicios
de inversión y términos definidos a efectos de dicha directiva.
• Reuters (4 de abril de 2017). Former MoneyGram executive settles closely watched U.S.
money laundering case. Recuperado de https://www.reuters.com/article/us-moneygram-intl-
moneylaundering-idUSKBN1802P3
• Rho, H-K. (2018) The Compliance Role: A Proposal for Improved Understanding, IACA Research
paper series No.3.
• Robinson, A.A (2008), Corporate culture as a basis for the criminal liability of coporations. United
Nations Special Representative of the Secretary – General on Human Rights and Business.
• Rooke & Torbert (2005:3), Seven Transformations of Leadership, Harvard Business Review
• Schein, E. H. (2004). Organizational culture and leadership (3ª edición). Estados Unidos: Jossey-
Bass
• Schwartz, M. (2001). The nature of the relationship between corporate codes of ethics and
behaviour. Journal of Business Ethics, 32(3), 247-262.
• Schwartz, M. S. (2002). A code of ethics for corporate code of ethics. Journal of Business Ethics,
41(1-2), 27-43.
• SEBPLAC, Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e

Infracciones Monetarias (2013). Recomendaciones sobre las medidas de control interno para la
prevención del blanqueo de capitales y de la financiación del terrorismo. Accesible en https://
www.sepblac.es/wp-content/uploads/2018/03/recomendaciones_sobre_medidas_de_control_
interno_pbcft.pdf
• Shepardson, D. (11 de mayo de 2017). Volkswagen U.S. unit names Compliance Officer
after diesel scandal. Reuters. Recuperado de: https://www.reuters.com/article/volkswagen-
emissions/volkswagen-u-s-unit-names-Compliance-officer-after-diesel-scandal-idUSL1N1ID1SJ
• Stevens, B. (2008). Corporate ethical codes: Effective instruments for influencing behavior.
• Suárez Barcia, L. (2018). Curso de ciberseguridad y el rol del Compliance Officer. ICEMD-ESIC.
Recuperado de: https://www.icemd.com/digital-knowledge/articulos/curso-de-ciberseguridad-
y-el-rol-del-Compliance-officer/
• Svhein, E. H. (1991), La cultura empresarial y el liderazgo.
BIBLIOGRAFÍA
• The Institute of Risk Management (2012), p.7, Risk culture: Under the microscope. Disponible en
https://www.theirm.org/media/885907/Risk_Culture_A5_WEB15_Oct_2012.pdf.
• The Institute of Risk Management (2018), From the cube to the rainbow double helix: a risk
practitioner’s guide to the COSO ERM Frameworks, pp 4-5, disponible en www.theirm.org
• Thomson, P.C. (1984) Círculos de Calidad. Cómo hacer que funcionen. Editorial Norma.
• Treviño, L. K., & Brown, M. E. (2007). Ethical leadership: A developing construct. Positive
organizational behavior, 101-116.
• Treviño, L. K., Weaver, G. R., Gibson, D. G., & Toffler, B. L. (1999). Managing ethics and legal
compliance: What works and what hurts. California Management Review, 41(2), 131-151.
• Treviño, L.K. y Brown, M.E. (2004), Managing to be Ethical: Debunking five business ethics myths,
Academy of Management Executive, vol. 18, no. 2.
• Treviño, L.K., Waver, G. y Reynolds, S. (2006), Behavioral Ethics in Organizations: A Review,

Journal of Management, Vol. 32 No. 6.
• U.S. Department of Justice (2020). Evaluation of Corporate Compliance Programs. Recuperado

de: https://www.justice.gov/criminal-fraud/page/file/937501/download
• UNE 19601:2017, Sistemas de Gestión de Compliance penal Requisitos con orientación para su
uso. Disponible en www.aenor.es.
• UNE-ISO 19600:2015, Sistemas de gestión de Compliance. Directrices. Disponible en www.

aenor.es.
• UNE-ISO/IEC 20000. Sistema de Gestión de Servicios de TI Tecnologías de la información.

Disponible en www.aenor.es.
• UNE-ISO 31000:2018, Gestión del riesgo. Directrices. Disponible en www.aenor.es.
• ISO 9001:2015 Sistemas de Gestión de Calidad. Requisitos. Disponible en https://www.iso.org/

standard/62085.html
• ISO 14001:2015. Sistema de Gestión Ambiental. Requisitos y con orientación para su uso.
Disponible en https://www.iso.org/standard/60857.html
• ISO 22301:2019 Seguridad y resiliencia. Sistema de Gestión de la Continuidad del Negocio.

Requisitos. Disponible en https://www.iso.org/standard/75106.html
• ISO 26000:2010 Responsabilidad Social. Disponible en https://www.iso.org/standard/42546.

html
• ISO 27001:2022. Seguridad de la Información, Ciberseguridad y protección de la privacidad -

Sistemas de Gestión de la Seguridad de la Información. Requisitos. Disponible en https://www.
iso.org/standard/82875.html
BIBLIOGRAFÍA
• ISO 27018:2019 – Tecnología de la Información. Técnicas de seguridad. Código de práctica para

la protección de información de identificación personal en nubes públicas que actúan como
procesadores de información personal. Disponible en https://www.iso.org/standard/76559.
html
• ISO 37001:2016 – Sistemas de Gestión Antisoborno. Requisitos y orientaciones de uso.

• UNE-ISO 37002:2021. Sistemas de gestión de denuncia de irregularidades. Directrices.

• ISO 37301:2021. Sistemas de gestión de Compliance. Requisitos con orientación para su uso.
• UNESPA: Guía de buen gobierno de las entidades aseguradoras (Actualización 2015).
• US Bureau of Labor Statistics (2018). Occupational Employment and Wages, May 2018 https://
www.bls.gov/oes/current/oes131041.htm#top
• US Sentencing Commission Compliance Guidelines. Disponible en: http://www.ucdmc.ucdavis.

edu/compliance/pdf/ussg.pdf.
• Voss, A (2021), Fixing the GDPR: Towards Version 2.0. Position Paper. Disponible en https://
www.axel-voss-europa.de/wp-content/uploads/2021/05/GDPR-2.0-ENG.pdf
• Walsh, J. H. (2002), Speech by SEC Staff: What makes Compliance a profession?. (NRS Symposium
on the Compliance Profession, Miami Beach)
• Weaver, G. R. (2001). Ethics programs in global businesses: Culture's role in managing ethics.
• Weaver, G. R., Treviño, L. K., & Cochran, P. L. (1999). Integrated and decoupled corporate social
performance: Management commitments, external pressures, and corporate ethics practices.
Academy of Management Journal, 42(5), 539-552.
• Whish, R y Bailey D. (2012), Competition Law, Oxford University Press.

Materiales CESCOM 2023.

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Materiales CESCOM 2023.

Cargado por

Copyright:

Formatos disponibles

Materiales para

© ASCOM. Prohibida la distribución o reproducción total o

Módulo 1 • Introducción a la función de Compliance en las organizaciones 11

Módulo 2 • La relación entre ética y Compliance 45

Módulo 3 • Norma ISO 37301. Sistemas de gestión de Compliance. Requisitos 77

3.3. Objeto y campo de aplicación 81

3.5. Contexto de la organización 83

Módulo 4 • Buenas prácticas de la función de Compliance 103

Módulo 5 • Responsabilidad social y buen gobierno corporativo 148

Módulo 6 • El Compliance Officer 207

Módulo 7 • Gestión de riesgo de Compliance 239

7.2. El papel estratégico de la gestión de riesgos y cómo abordarla 241

7.3. Definición de riesgos de Compliance 245

7.4. Gestión de riesgo de Compliance según la norma ISO 31000 248

7.5. Resumen del módulo 267

Módulo 8 • Normativa interna de las organizaciones 269

8.2. Código de conducta, políticas y procedimientos 271

8.3. Autorregulación y Compliance 288

8.4. Prevención de conflictos de intereses 296

8.5. Procedimientos de diligencia debida 308

8.6. Resumen del módulo 322

Módulo 9 • Canales de denuncia e investigaciones 324

9.2. Denuncia de irregularidades: antecedentes y definiciones 326

9.3. Regulación de los canales de denuncias en España y en la UE 331

9.4. Canales de denuncias externos 333

9.5. Canales de denuncias internos 335

9.6. Derechos del denunciante y denunciado 340

9.7. ISO 37002 - Sistemas de gestión de la denuncia de irregularidades. Directrices 345

9.8. Proceso de gestión del canal de denuncias 355

9.9. Medidas disciplinarias e incentivos 364

9.10 Resumen del módulo 366

Módulo 10 • Comunicación, formación y sensibilización 368

10.2. Comunicación 370

10.3. Formación 379

10.4. Sensibilización 390

10.5. Resumen del módulo 391

Módulo 11 • Monitorización de Compliance 393

11.2. Procedimientos internos de monitorización 396

11.3. Plan de monitorización de Compliance 403

11.4. Ejecución de la monitorización 405

11.5. Resumen del módulo 412

Módulo 12 • Prevención del riesgo penal de las personas jurídicas 413

12.2. La responsabilidad penal de la persona jurídica en el Código Penal español 422

12.3. Diseño e implantación de un modelo de organización y gestión eficaz para la 443

12.5. Resumen del módulo 480

Módulo 13 • Prevención del soborno y de la corrupción 482

13.2. Principales aspectos de un programa de Compliance anticorrupción 487

13.3. Resumen del módulo 512

Módulo 14 • Prevención del blanqueo de capitales y financiación del terrorismo 514

14.2. Antecedentes y conceptos 516

14.3. La regulación sobre la prevención del blanqueo de capitales 529

14.4. Organismos relacionados con la prevención del blanqueo de capitales, la 537

14.6. Normativa española en materia de prevención del blanqueo de capitales y 552

14.7. Procedimiento sancionador 589

14.8. Resumen del módulo 594

Módulo 15 • Defensa de la competencia 596

15.2. Contexto normativo 598

15.3. Conceptos básicos en materia de defensa de la competencia 604

15.4. Diseño e implantación de un programa de Compliance de defensa de la 630

15.5. Resumen del módulo 635

Módulo 16 • Prevención del abuso de mercado 637

16.2. Información privilegiada 639

16.3. Manipulación de mercado 650

16.4. Comunicación de operaciones sospechosas de abuso de mercado 654