A propósito de una conversación relacionada con la nueva Ley de Delitos Económicos nos surgió la duda acerca de siexiste expresamente una obligación legal que me ordene someterme a las regulaciones internas de terceros relacionadoscon mi actividad. Lo anterior, considerando que, en caso de ser efectivo, esto implica que debo leer, conocer y aplicartodas las políticas y manuales de mis clientes y, eventualmente, de otros terceros.
En ese sentido, y al menos en cuanto toca a una relación contractual con clientes o contrapartes en un pie de igualdad denegociación, resulta razonable sostener que si yo suscribo un contrato con un tercero, en el cual se menciona expresamente mi completa oposición a la comisión de delitos al interior de mi organización, y cuento con un modelo deprevención vivo, controlado y actualizado regularmente, no debiese ser un imperativo el tener que someterme a laautorregulación de mis partes relacionadas.
Además de ser en cierta manera un tanto extremo exigir a todas las empresas que comulguen con cada una de las obligaciones internas de sus relacionados, que comúnmente dependen además de las necesidades, lógicas y técnicas jurídicas de cada regulación de origen, es tremendamente costoso —en términos de tiempo y eficiencia— pensar que cadacompañía tiene que someterse, pura y simplemente, a todas y cada una de las políticas y manuales que conforman elModelo de Prevención de Delitos de los terceros relacionados, sorteando de manera simultánea su potencial aplicación yvelando además para estar atento a las posibles modificaciones de cada uno de tales modelos (en servidores computacionales ajenos, e incluso, a veces extranjeros), que es lo que usualmente se pide aceptar, ex ante, en tal tipo de regulaciones.
Si bien la “obligación” referida precedentemente se inserta en el contexto de los elementos que debe contener un modelo de prevención de delitos, de acuerdo a lodispuesto en el artículo 3 N° 3 de la Ley N° 20.393, en la práctica se observa que estas obligaciones, prohibiciones y sanciones principalmente versan sobre elestablecimiento de prohibiciones específicas relativas a ciertos temas (e.g., realizar pagos de facilitación, adoptar decisiones mediando conflictos de interés no declarados,realizar actividades ilícitas en el contexto de la ejecución del contrato) y el cumplimiento de obligaciones tendientes a informar cualquier situación sospechosa a través delos canales de denuncia establecidos, entre otros puntos. Pero el problema, también práctico, radica en que la manera de abordar el cómo se implementan estasobligaciones, prohibiciones y sanciones para quienes contratan con otro ha consistido, por lo general, en el supuesto deber de tener que aceptar, como se señalaba, puray simplemente, la totalidad de un determinado Modelo de Prevención de Delito que se impone al otro, como condición de la celebración del respectivo contrato.
En consecuencia, y reflexionando sobre la real implementación de la nueva Ley de Delitos Económicos, resulta en cierto grado inviable, y, a su vez, excesivo, pensar quetodas las empresas deberán firmar las regulaciones internas de sus terceros relacionados y aceptarlas a fardo cerrado. Sin perjuicio de lo anterior, la no incorporación decláusulas relativas al cumplimiento del modelo de prevención de delitos sí podrían acarrear al proveedor riesgos al momento de acreditar el cumplimiento de sus deberesde dirección y supervisión, sobre todo cuando lo que esté en cuestionamiento, eventualmente, sea la responsabilidad de la persona jurídica por actos delictivos cometidosen el contexto de la relación contractual proveedor/cliente.
Desde una perspectiva práctica, cabe hacer presente que una situación grave y relevante que implique la comisión de un ilícito requerirá abordar las potencialescontingencias penales como una primera prioridad, lo que permitirá mitigar tempranamente los eventuales riesgos contractuales referidos al incumplimiento de estascláusulas.
Así las cosas, hoy día resulta fundamental revisar los contratos con mis terceros relacionados y no descansar en que existe una cláusula tipo idéntica en todos estos y quedebe ser aceptada de manera automática o sine qua non para celebrar el contrato. Pensamos que se pueden establecer puntos de base esenciales, de objetivoscomunes, con miras a salvaguardar los bienes jurídicos protegidos en la Ley N° 20.393, como son las obligaciones, prohibiciones y sanciones ya comentadas, y afinarcontractualmente los puntos relevantes para ambas partes, pero ello no significa que deba obligatoriamente someterme a la regulación interna de mis proveedores yclientes.
Por cierto, como parte de tales bases esenciales, los controles mediante los contratos y monitoreo del correcto cumplimiento de los servicios acordados en este serán unacoraza importante en el eventual caso que dicho tercero cometa un delito en el contexto de las funciones materia de mi contrato.
* Francisca Franzani es directora del grupo de Compliance de Albagli Zaliasnik y Andrés Illanes es gerente de Asuntos Corporativos de Bodegas San Francisco.
az | albagli zaliasnik, firma de abogados líder en el área del Compliance, junto a Ceptinel, expertos en el sector RegTech, desarrollaron una innovadora plataforma destinada a entregar una solución tecnológica y eficiente para sus clientes.
De este modo nació Portal Ético, un canal de denuncia externo que contribuye de manera efectiva a la promoción de mejores prácticas en materia de cumplimiento, prevención y gestión del riesgo legal.
¿Qué es Portal Ético?
Es un canal de denuncias automatizado que proporciona alertas en casos de denuncias de colaboradores, proveedores y clientes. El usuario define el formulario de denunciante en función de opciones predefinidas. Una vez que se registra una denuncia se envía una alerta al administrador, quien inmediatamente puede comenzar el procedimiento de gestión del caso.
“Dada la necesidad de la incorporación de canales de denuncias como mecanismo para las empresas con el objetivo de prevenir y detectar malas prácticas en su interior, az junto a Ceptinel crearon una alianza estratégica con miras a unir la tecnología de primer nivel con la visión experta legal”, explicó Francisca Franzani, directora del grupo compliance de albagli zaliasnik.
Francisca agrega que un proceso seguro, expedito y cercano dirigido a todos los colaboradores, a diferencia de otros mecanismos de denuncias, permite efectuar un servicio completo a pequeñas, medianas y grandes empresas que aspiran a las buenas prácticas y a la sostenibilidad corporativa a largo plazo.
Por su parte Katherine Hellman, Chief Product Officer en Ceptinel, indica que “Portal Ético es un servicio imperativo bajo el modelo de prevención del delito, con el cual posicionarás a tu empresa en un alto nivel de compromiso con el cumplimiento, la ética y la responsabilidad social“.
“El desafío es construir canales de denuncia que inspiren confianza a los trabajadores para alzar la voz cuando la integridad de la empresa corra peligro”, concluye Florencia Fuentealba, asociada de albagli zaliasnik.
Una de las herramientas claves en la implementación de un Programa de Compliance es el contar con algún canal de reporte y consulta para los trabajadores de una empresa, con el fin de que puedan alertar sobre situaciones sospechosas y/o irregulares y que puedan también resolver situaciones a las que se enfrentan que pudieran estar reñidas con la ética.
Así, los canales de denuncia juegan un papel importante, en la medida que se relacionan directamente con el propósito de la ética, la transparencia y la legitimidad de las empresas, todos factores indispensables para su viabilidad en el largo plazo.
Sin embargo, el desafío no termina con solo contar con un canal de denuncias, sino que debe ir acompañado de un trabajo por parte de la empresa en la que se tome en consideración:
Su madurez organizacional y estructura.
Capacidad de generar protocolos de investigación que se respeten y con tiempos de respuesta oportunos.
Asimismo, el mayor desafío dice relación con la confianza que inspira la herramienta, de manera que sea un canal al que los miembros de la empresa sientan que pueden recurrir sin temor a represalias.
De esta forma los canales de denuncia deben ser percibidos como una herramienta cercana y confiable, mediante los cuales los colaboradores sientan que al reportar un incumplimiento están ayudando a fortalecer la cultura corporativa de ética e integridad. Denunciar un incumplimiento no puede ser visto como una deslealtad hacia sus pares, sino en como la forma que las empresas pueden mejorar.
Igualmente, se debe intentar procesar e investigar todo tipo de denuncias, aun cuando puedan parecer inverosímiles, aun cuando por falta de pruebas no sea posible confirmar la ocurrencia de los hechos. El descartar denuncias “de plano” (exceptuando aquellas que por ejemplo no tienen relación con el programa de compliance o que no constituyan una infracción) podría generar frustración en quienes denuncian, haciéndolos sentir poco escuchados, mermando la percepción que tienen de la empresa y poniendo en tela de juicio la confianza del canal.
Dentro de las formas de generar confianza y asegurar que no existan represalias, está el contar con un canal de denuncias que permita reportes anónimos, siendo una buena práctica contar con alguna plataforma externa que no permita a la empresa “rastrear” quién pudo haber denunciado. Una buena alternativa en este sentido es el Regtech, que permite a las empresas cumplir con las obligaciones regulatorias de forma 100% digital, automatizada y de bajo costo.
El éxito del sistema radica en que se valore la denuncia como algo positivo, tendiente a mejorar el funcionamiento de la empresa y a adecuar su actuar con el propósito y valores de la compañía, rompiendo una cultura que estigmatiza al denunciante por un errado entendimiento de “lealtad de grupo”.
De igual manera, es fundamental que la empresa comunique los resultados de las investigaciones que lleva a cabo, entregando información de los casos, medidas adoptadas y los aprendizajes.
Finalmente, la manera en la que se gestionan las denuncias y/o reportes será un reflejo de la manera en que las empresas se comprometen con sus programas de compliance y la importancia que estos realmente tienen dentro de una organización.
Para obtener más información sobre estos temas pueden contactar al equipo Compliance de az:
Desde hace más de dos décadas que nuestro país cuenta con una ley marco que protege la privacidad de la información de las personas y regula su tratamiento. Sin embargo, actualmente no existe una autoridad exclusiva con facultades de fiscalización y sanción en relación al uso de datos personales.
Es así como, dependiendo de quiénes realizan el tratamiento de dicha información, existen diferentes organismos que regulan la forma y condiciones en la cual se efectúa su uso: Servicio Nacional del Consumidor (Sernac), la Comisión para el Mercado Financiero (CMF), la Superintendencia de Salud, Corte de Apelaciones (en caso de interposición de un recurso de protección), Ministerio Público o Fiscalía Nacional Económica.
“Hoy podemos ver que en Chile existe una ley deficiente que no tiene un estándar internacional en materia de protección de datos y, por otra parte, hay demasiadas entidades intervinientes con diversos criterios respecto a un mismo tema, lo que genera una dispersión normativa”, asegura Edmundo Varas, director de Tax & Legal en KPMG Chile. Agrega que “a nivel internacional, como es el caso de la Unión Europea, los montos de sanciones impuestas por parte de autoridades de protección de datos van desde los €60.000 hasta los €204 millones y el negocio de los datos personales puede alcanzar alrededor de USD 3.100 mm”.
Tras la evolución de la tecnología, sumado a la masividad del e-commerce, las redes sociales, las aplicaciones móviles y la innovación (como sería el desarrollo del open banking y la insurtech), se ha evidenciado la necesidad de modernizar la actual legislación en esta materia, con el fin de resguardar de una forma más eficiente la información de las personas y facilitar el desarrollo de nuevos negocios que tengan como base a los mismos. Así cobra gran importancia el proyecto de ley, en discusión desde 2017, que busca perfeccionar las normas relativas al tratamiento de los datos personales, asegurando que ello se realice con estricto apego a los estándares internacionales.
La iniciativa, entre otras cosas, crea una autoridad de control denominada “Agencia de Protección de Datos Personales”, dirigida por una corporación pública, encargada de velar por la protección de los derechos y libertades de los titulares de datos, y de regular y fiscalizar el tratamiento de estos. Además, dota al país de una legislación moderna y flexible y mejora los estándares legales.
“Actualmente los titulares de los datos están tomando mayor conciencia de la importancia de ellos y cada vez es más común que concurran con sus reclamos ante la entidad que realiza el tratamiento, la autoridad gubernamental competente e incluso directamente ante tribunales de justicia a través de un recurso de protección”, señala Edmundo.
Pero no solo las personas, las empresas también están cada día más conscientes de la importancia de tener mecanismos adecuados para el tratamiento lícito de los datos personales. Algunas están aplicando criterios que vienen desde su casa matriz, mientras que otras ya se encuentran ajustando sus políticas de acuerdo al nuevo proyecto de ley. Un ejemplo de ello es el acuerdo marco entre la Asociación de Bancos e Instituciones Financieras de Chile (ABIF), BancoEstado y Fintech Chile que establece estándares de responsabilidad y mecanismos de captura de datos de clientes.
“Creo que existen las condiciones necesarias para que los distintos actores del mercado puedan desarrollar planes o proyectos de tratamiento de datos personales adecuados”, señala Edmundo. “Algunas empresas consideran esto como un tema relevante para efectos de compliance desde el punto de vista de buenas prácticas y gobiernos corporativos”.
Para cumplir con la actual normativa y ejecutar un correcto uso de los datos, el experto recomienda asesorarse con profesionales que se dediquen a la materia. “En KPMG Chile, por ejemplo, nos hemos especializado en asesorías que comprenden tanto la evaluación como la implementación de programas y oficinas de tratamiento de datos, considerando el marco legal, tecnológico y de compliance. Lo anterior, teniendo siempre en cuenta el General Data Protection Regulation (GDPR) de la Unión Europea y el nuevo proyecto de ley sobre datos personales, para permitir y facilitar el negocio y los proyectos de nuestros clientes”, comenta Varas.
