Grado de responsabilidad de los compliance officers según los criterios de Estados Unidos

Cada vez más acciones en contra de CCO (caso de Eugene Mason) ha borrado la línea entre la función tradicional de asesoramiento de los oficiales de cumplimiento de aquellos con funciones de control, que son funciones reservadas a la alta administración.

De los casos en cuestión la responsabilidad por la actividad de supervisión de los oficiales de cumplimiento parece extenderse a toda la organización. Haciendo surgir a unos atajadores de la responsabilidad surgida por la negligencia de los principales pese a las precauciones que se pudiesen tomar.

 Sin embargo el criterio adoptado en Judy Wolf peca por el otro extremo, por considerar que un oficial de cumplimiento que alteró en forma intencional documentos antes de una revisión de las autoridades regulatorias no merece sanción alguna.

En el término medio de estos dos criterios extremos, se podría aplicar el criterio de la regla del buen hombre de negocios, bajo la cual el Sr. Masón no hubiese recibido sanción por haber actuado de buena fe y con razonable diligencia, a diferencia de Wolf que debería haber sido sancionado por no haber obrado con ninguno de los referidos criterios.  

Disímiles criterios de la FTC y el DoJ para evaluar las políticas de las compañías como morigerador de las multas a ser aplicadas.

Criterio de la FTC con Morgan Stanley en cuanto a la procedencia de su programa de seguridad interno de manejo de información como eximente de aplicación de multas por filtración de datos personales de sus clientes.  

En Estados Unidos la FTC (Federal Trade Commission) con competencia en varias de las cuestiones relacionadas con la protección de datos personales, ha cerrado una investigación que involucraba a una empresa financiera, Morgan Stanley, en la cual uno de sus empleados pasó información de los clientes a una página web personal y a sus dispositivos personales. 

La razón para no aplicar sanción alguna radicó en que el organismo regulador consideró que la firma investigada había adoptado una programa de seguridad interno de riesgo de manejo de información, y por haber solucionado rápidamente el problema de configuración de los controles de acceso que permitió al empleado acceder a datos del cliente. Sin embargo se tuvo en cuenta a las políticas internas implementadas para proteger a la empresa del robo interno de información personal. 

En tal sentido la empresa investigada había establecido e implementado una política autorizando a los empleados a acceder solo a aquellos datos personales necesarios para cumplir con un requerimiento del negocio, controlaba el tamaño y frecuencia de las transferencias de datos por parte de sus empleados, y prohibía a los empleados el uso de USB u otros dispositivos para transportar datos, y bloqueaba el acceso de los empleados a aplicaciones o sitios de Web de alto riesgo.   

Criterio del Department of Justice en materia de antitrust
Las multas millonarias aplicadas por el DOJ en las investigaciones de antitrust se vieron atenuadas ante  la evaluación de los programas de ética y compliance que regían en las empresas sujetas a investigación. En la teoría, cualquier empresa que se declara culpable de una violación puede recibir un atenuante en la evaluación de su culpabilidad si puede demostrar que existía un programa de ética y compliance vigente al momento de la infracción y que era efectivo conforme se pautan en los Lineamientos de Imposición de Multas. En tal sentido, la referida resolución exige para que un programa de ética y compliance sea considerado como efectivo, y por ende pasible de permitir la reducción de las sanciones a aplicarse, la organización deberá (i) realizar auditorías para prevenir y detectar conductas delictuales, y (ii) promover una cultura organizacional que promueva el obrar ético junto con un compromiso a respetar la ley. 

Pese a la aparente simple interpretación de los recaudos aplicables a los referidos programas, en la práctica es de muy difícil cumplimiento los requisitos mencionados. 
En tal sentido, es criterio sostenido por los funcionarios intervinientes en estas investigaciones, que una compañía no puede recibir un premio por tener un programa efectivo si el referido programa no sirvió para evitar el referido delito. Agregando que la aplicación restrictiva de estos beneficios de reducción de multa, solo se hará efectiva cuando los esfuerzos en el cumplimiento de estas políticas, vayan más allá, reflejando de alguna manera esfuerzos genuinos para cambiar la cultura de la empresa. Es decir una visión hacia el futuro y no hacia el pasado. El referido criterio se encuentra avalado en la aplicación de reducción de recientes multas, como en el caso Barclay Bank PLC, que estuvo involucrado en la manipulación del precio del dólar y del euro en el mercado de cambios. 
De lo expuesto se debe concluir que el hecho de contar con un programa de ética y compliance no garantiza la reducción de aquellas multas de las cuales podrían ser pasible una empresa por violación a normas de defensa de la competencia, sino que debe acreditar el logro de un cambio de cultura corporativa en todos los niveles como prioridad institucional. 
Sin dudas que este último criterio para la evaluación de programas de compliance como causa justificante para la reducción de multas, podría también resultar de aplicación para aquellas faltas vinculadas con la normas de la Foreign Corruption Practice Act.

Es evidente que en los casos de compras y adquisiciones de compañías que contienen como activos los datos personales de clientes los mismos deben ser cuidadosamente tratados.

La privacidad, y puntualmente los datos personales, están recibiendo cada vez mayor atención por parte de los legisladores y los organismos reguladores encargados de velar por su protección. 

En tal sentido, recientemente la autoridad de protección de datos personales de Bavaria (Alemania) ha sostenido que los datos personales no son iguales a cualquier activo que pueda llegar a formar parte en una operación de adquisición de una compañía. Sino que para que sea procedente y válida su transferencia es necesario contar con la aceptación por parte del titular del referido dato, es decir el cliente. 

Es más el no cumplir con dichos recaudos, bajo el régimen bávaro de protección de datos personales origina multas de hasta Euros 300.000.

El criterio adoptado no es una cuestión baladí y formal desde el momento que dichos activos tienen un valor cada vez más incrementado dado que permite a través de los mismos dirigir publicidad personalizado a cada uno de dichos titulares (profiling). 

Asimismo este no es el primer caso en que se discute la referida cuestión, puesto que en otro caso relevante en el otro lado del Atlántico en Estados Unidos, también han surgido restricciones en la transferencia de datos personales, como en el caso de la venta de la fallida empresa RadioShack. En dicha oportunidad los reguladores encontraron la oposición de la transferencia de la base de datos de sus clientes al comprador, por existir una promesa en las política de privacidad de RadioShack de no vender dicha información a ningún tercero. 

De lo expuesto, y de otras consideraciones adicionales, que no pueden explicarse por lo limitado del presente trabajo,  se desprende que la protección de datos personales es una nueva área a ser consideradas en los procesos de auditoría o due diligence que involucren compra venta de compañías. 

Interesante explicación sobre los 5 errores más comunes de compliance vinculados con las políticas de lavado de dinero

http://blog.volkovlaw.com/2015/08/the-5-most-common-aml-compliance-program-deficiencies/

Palabras de inicio.

El inicio de cualquier actividad por iniciativa propia genera esperanzas futuras acerca de los gloriosos éxitos que pueden ser alcanzados en dicha labor comenzada. 

En este caso puntual apunta a ir generando espacios de discusión para transitar todos aquellos escalones que sean necesarios para tratar de desterrar la corrupción de nuestra sociedad, que ha paralizado el crecimiento y desarrollo de Argentina como Nación. 

Esperando que el presente blog se vuelva desactualizado y de poco interés en el plazo más breve, por haber alcanzado aquellos logros mínimos que permitan considerar a Argentina como un país libre de corrupción.