El 23 de septiembre de 2024 se ha producido una actualización de las conocidas Guidelines del Departamento de Justicia de los Estados Unidos de América respecto de la valoración de los programas de Compliance [Evaluation of Corporate Compliance Programs (ECCP)]. La revisión anterior se produjo en marzo de 2023, por lo que una actualización tan seguida sólo puede justificarse por algún evento “disruptivo” – este calificativo no lo utilizamos por casualidad, como veremos más adelante – que reclame un análisis de urgencia. Ese evento probablemente sea la irrupción de la Inteligencia Artificial en el ámbito corporativo del último año y medio.
Vaya por delante la especial relevancia que tiene esta Guía (Guidelines). Como bien es sabido, la Fiscalía federal goza de una importante discrecionalidad a la hora de determinar si investiga o presenta acusación contra una determinada persona física y jurídica. Ciertamente, las Guidelines para dictar Sentencias en esta materia (las conocidas Organizational Sentencing Guidelines) tienen una importancia notable, pero el número de sentencias que se dictan respecto de personas jurídicas (organizaciones) es bastante exiguo en Estados Unidos. Sin embargo, la cantidad de decisiones de investigación o acusación que diariamente tienen que tomar los fiscales federales estadounidenses respecto de personas jurídicas es mucho mayor. De ahí que, en la práctica estadounidense, se siga muy cerca las actualizaciones de las referidas Guidelines del Departamento de Justicia (donde se encuadra la Fiscalía Federal).
Así las cosas, esta última revisión se ha centrado fundamentalmente en (i) la utilización de datos y tecnología relacionada con diversos elementos de los programas de Compliance, (ii) la integración de las lecciones aprendidas de diversas empresas y, en fin, (iii) la revisión de los sistemas de reporting. De estos tres ámbitos, el más decisivo ha sido el primero. Por un lado, se han centrado en los riesgos generados por nuevas tecnologías y, por otro lado, ha versado sobre la utilización, por parte de las compañías, de diversos tipos de tecnología como parte de su programa de Compliance y controles correspondientes. Ya en marzo de 2024 la Deputy Attorney General, Lisa Monaco, requirió a la división penal del Departamento de Justicia para que “incorporara un análisis (assessment) dentro del ECCP de los riesgos disruptivos que genera la tecnología – incluyendo riesgos asociados a la Inteligencia Artificial –”.
En primer lugar, en el Epígrafe de Análisis de Riesgos (Risk Assessments), se han introducido cuestiones que tratan de evaluar cómo aborda la empresa la tecnología, incluyendo la Inteligencia Artificial. Asimismo, también se pregunta sobre si la empresa ha tomado en cuenta esos riesgos. El ECCP indica lo siguiente a este respecto: “los fiscales deberán tener en cuenta la tecnología (especialmente la nueva tecnología) que la empresa y sus empleados utilizan para llevar a cabo los negocios de la empresa, y si la empresa ha llevado a cabo un análisis de riesgos relativo a la utilización de dicha tecnología, así como si se han adoptado las medidas adecuadas para mitigar cualquiera riesgos asociados con el uso de dicha tecnología”.
En segundo lugar, se ha añadido un nuevo Epígrafe sobre “Gestión de los Riesgos Emergentes para asegurar el cumplimiento de la legislación aplicable”. En este Epígrafe se introducen 10 preguntas centradas en la gestión del riesgo de Compliance derivado de la tecnología emergente, incluyendo la Inteligencia Artificial:
1.- ¿Tiene la empresa un proceso para identificar y gestionar los riesgos emergentes, tanto internos como externos, que pueden repercutir potencialmente en la capacidad de la empresa para cumplir con el Derecho, incluyendo los riesgos relacionados con el uso de las nuevas tecnologías?
2.- ¿Cómo valora la compañía el posible impacto de las nuevas tecnologías, como la Inteligencia Artificial, en su capacidad con las leyes penales?
3-. ¿Se ha integrado la gestión de riesgos relativos a la utilización de la Inteligencia Artificial en las estrategias generales de gestión del riesgo empresarial?
4.- ¿Cómo está la empresa abordando las consecuencias negativas o no deseadas que se derivan del uso de dicha tecnología, tanto en sus operaciones comerciales como en su programa de Compliance?
5.- ¿Cómo está la empresa mitigando el posible abuso (tanto intencionado como negligente) de dichas tecnologías, incluyendo a los insiders de la empresa?
6.- En la medida en la que la empresa emplea la Inteligencia Artificial – o tecnología similar – en sus negocios o en su programa de Compliance, ¿existen controles para monitorizar y asegurar su veracidad, fiabilidad y utilización en cumplimiento de la legislación aplicable y el código de conducta de la empresa?
7.- ¿Existen controles para asegurar que la tecnología es utilizada sólo para la finalidad deseada?
8.- ¿Cuál es el criterio de referencia para la toma de decisiones por un ser humano cuando se valora la Inteligencia Artificial?
9.- ¿Cómo se monitoriza y aplica la responsabilidad sobre el uso de la Inteligencia Artificial?
10.- ¿Qué formación proporciona la empresa a sus empleados en relación con el uso de tecnologías emergentes como la Inteligencia Artificial?
En relación con todo ello, el ECCP indica: «Si la empresa está utilizando nuevas tecnologías como la IA en sus operaciones comerciales o programa de cumplimiento, ¿la empresa monitorea y prueba las tecnologías para poder evaluar si funcionan según lo previsto y son coherentes con el código de conducta de la empresa? ¿Con qué rapidez puede la empresa detectar y corregir decisiones tomadas por la IA u otras nuevas tecnologías que sean incompatibles con los valores de la empresa?”
En tercer lugar, se hace referencia a la expectativa que tiene el Departamento de Justicia de que las políticas y procedimientos de los programas de Compliance de las empresas se actualicen debidamente para reflejar el uso que hacen de la tecnología. Así, se espera que las empresas supervisen e implementen políticas y procedimientos «que reflejen y aborden el espectro de riesgos que a los que se enfrenta la empresa; incluidos los cambios en el panorama legal y regulatorio y en el uso de nuevas tecnologías«.
En cuarto lugar, el ECCP introduce algunas cuestiones relativas a la gestión de datos por parte de terceros. En este sentido, indica: “¿La función del proceso de gestión de terceros permite la revisión de los proveedores de manera adecuada? ¿Cómo aprovecha la empresa los datos disponibles para evaluar el riesgo del proveedor mientras dura la relación con el proveedor?»
En quinto lugar, la actualización ahora objeto de comentario se centra en garantizar que las empresas tengan en cuenta la integración de datos en fusiones y adquisiciones (M&A). Así, se introducen las siguientes cuestiones novedosas: «¿La empresa tiene en cuenta la migración o combinación de sistemas críticos de planificación de recursos empresariales como parte del proceso de integración? ¿En qué medida las funciones de cumplimiento y gestión de riesgos desempeñaron un papel en el diseño y ejecución del Estrategia de integración?«
Finalmente, en la importante Epígrafe de “Autonomía y Recursos” se incluyen nuevas cuestiones para que los fiscales evalúen (i) si el personal de Compliance tiene acceso a los datos que necesitan, (ii) si tiene este acceso «a tiempo» (timely manner) y (iii) si la empresa está «aprovechando adecuadamente las herramientas de análisis de datos para ser más eficientes en las operaciones de cumplimiento y medir la eficacia de los componentes de los programas de cumplimiento«. En este sentido se indica: «¿Cómo gestiona la empresa la calidad de sus fuentes de datos? ¿Cómo mide la empresa la exactitud, precisión o recuperación de los modelos de análisis de datos que utiliza?» En el Apartado «Asignación proporcional de recursos», se abordan las siguientes cuestiones: «¿Cómo se comparan los activos, recursos y tecnología disponibles para el cumplimiento y la gestión de riesgos con aquellos disponibles en otras partes de la empresa? ¿Existe un desequilibrio entre la tecnología y los recursos utilizados por la empresa para identificar y aprovechar oportunidades de mercado y la tecnología y los recursos utilizados para detectar y mitigar los riesgos?” Esta ponderación de recursos y tecnología dedicada a una y otras actividades es un indicador muy sencillo y efectivo de cuánta importancia otorga la empresa al cumplimiento de la legalidad.
Pasando ya al segundo bloque de cuestiones relevantes, el ECCP refuerza la expectativa que tiene el Departamento de Justicia de que las empresas aprendan no ya solo de sus propias experiencias, sino del mercado y de sus pares en su sector. Así, en el Epígrafe sobre el diseño de políticas y procedimientos, se introducen las siguientes cuestiones: «¿Existe un proceso para actualizar las políticas y procedimientos con la finalidad de reflejar las lecciones aprendidas ya sea de los problemas anteriores de la propia empresa ya sea de los problemas de otras empresas que operan en su mismo sector y/o región geográfica? ¿Existe un proceso para actualizar las políticas y procedimientos de cara a abordar los riesgos emergentes, incluidos los asociados con el uso de nuevas tecnologías?” Finalmente, aunque se trate de un detalle menor, el Departamento de Justicia ha cambiado su anterior declaración programática de que «Cualquier programa de cumplimiento bien diseñado contiene políticas y procedimientos...» por la siguiente: «Cualquier programa de cumplimiento bien diseñado aplica políticas y procedimientos«. De esta forma se enfatiza la necesidad de que las políticas y procedimientos sean de aplicación efectiva para poder afirmar que se trata de un programa de cumplimiento eficaz. Finalmente, y relacionado con lo anterior, el Epígrafe anteriormente denominado “Formación y Orientación” ha pasado a denominarse “Formación y Comunicación”. En este Epígrafe, se han agregado cuestiones relativas a si la formación «abordó las lecciones aprendidas de los problemas de cumplimiento a los que se enfrentan otras empresas que operan en el mismo sector y/o región geográfica«.
Concluyendo ya con el último bloque, coincidiendo con los recientes cambios de política que el Departamento de Justicia ha llevado a cabo respecto de los incentivos y recompensas para los denunciantes, el ECCP acentúa la importancia de los mecanismos para denunciar, así como de los incentivos de la denuncia. Y ello lo hace en el Epígrafe “Estructura de presentación de denuncias confidenciales y proceso de investigación”. En concreto, los fiscales deberán preguntarse si las empresas fomentan la denuncia de irregularidades o si, por el contrario, llevan a cabo prácticas que las desincentivan. En este sentido, deben observar cómo las empresas evalúan si los empleados están dispuestos a denunciar. En línea con ello, se añade un Apartado sobre «Compromiso con la protección de los denunciantes y contra las represalias» en el que se pregunta si las empresas tienen políticas contra las represalias, formación sobre dichas políticas, normativa relacionada con las denuncias (internas y externas) y las posibles represalias. De igual manera, los fiscales deben prestar a atención a si los empleados que denunciaron son tratados de manera diferente a aquellos que no lo hicieron a la hora de aplicar sanciones disciplinarias.
En definitiva, el Departamento de Justicia está adoptando diversos parámetros para hacer frente a los retos que las nuevas tecnologías representan en el ámbito del Compliance. Asimismo, están revisando sus criterios para determinar qué conductas corporativas son las que permiten afirmar que una compañía cuenta con un sistema de Compliance robusto. Esta actualización no es sólo relevante para las empresas españolas que, de una u otra manera, están relacionadas con la jurisdicción estadounidense, sino para cualquier empresa de nuestro ámbito nacional puesto las directrices estadounidenses terminan arribando, también de una u otra forma, al ordenamiento español – ya sea en la forma de hard law, ya sea en la forma de soft law –.