Posición de Garante, Relación de Agencia, Compliance Officer, acción y omisión, dolo y negligencia.
Casos relevantes de los últimos años.

Por Abg. Gianfranco Barchiesi.

Dall-E: imagen abstracta que representa el papel de un Compliance Officer en un entorno corporativo, enfatizando temas de responsabilidad legal y gobernanza corporativa.

Gianfranco Barchiesi es abogado de la Universidad de Mendoza y ex alumno del IAE, especialista en cumplimiento normativo y temas a fin. Como becario del DAAD se encuentra actualmente realizando una investigación doctoral en Alemania sobre la “adaptación de los programas de compliance de multinacionales a la realidad local en terceros países”. LinkedIn: https://www.linkedin.com/in/gianfranco-barchiesi/

Introducción

La posibilidad de una sanción judicial desvela a muchos responsables de cumplimiento.[1] El trabajo ya de por sí implica un contacto permanente con el delito, en tanto trata de su prevención, detección y reacción. La naturaleza misma del programa de cumplimiento impide otorgar garantías de la efectividad de la tarea y naturalmente surge un miedo, el fantasma de no conseguir evitar el próximo caso o de no ser capaces de detectarlo y reaccionar a tiempo. De que cuando la justicia lo descubra antes que nosotros, alguna debilidad en el programa sea interpretada como una complicidad y acabar pagando por inequidades ajenas. Quizás un error del pasado nos espera en el futuro.

¿Cómo demostrar que nuestros esfuerzos son genuinos?¿Cómo asegurarnos de que nuestro compromiso con la legalidad quede en evidencia, si ese es el caso, y protegernos de una sanción?El enfoque basado en riesgos implica focalizar la atención en lo prioritario, compliance no puede vigilarlo y controlarlo todo.[2] Esto es harto sabido. Pero cómo prevenir que este enfoque en lo prioritario y las limitaciones propias de todo programa no acabe señalando en dirección del CCO.

El siguiente artículo puede dividirse en dos partes. La primera parte intenta brindar una explicación completa y simplificada de la cuestión de la responsabilidad penal del CCO. Se presenta el problema desde el origen de la posición de garante, su delegación hasta el CCO y su responsabilidad penal y civil por acción y omisión.

En su segunda parte, expone casos prácticos de los últimos años de relevancia para ejemplificar la doctrina. En algunos de los casos expuestos, aunque no involucró al CCO, se presenta algún modelo, principio o dinámica de responsabilización que podría eventualmente repercutir contra el CCO. El criterio aquí ha sido abarcativo, tratando de no dejar nada fuera. Los casos no responden todas estas preguntas, pero aportan una perspectiva práctica, tangible del problema. Estudiar los casos del último tiempo nos señalan el camino de qué sanciones son esperables para el futuro.

Quien se encuentre en un apuro puede saltar a la conclusión para un resumen de las ideas principales.

CopilotGenerated. Una espada de Damócles.

PRIMERA PARTE

Compliance, Gobierno Corporativo y la Fuente de Responsabilidad Penal.

El programa de compliance es capaz de influir la responsabilidad penal de la empresa, pero también puede impactar sobre la responsabilidad penal de las personas individuales. Para estudiarla, debemos ir al origen mismo de estas.

En razón del principio general de no dañar, el empresario se encuentra de manera originaria en un rol de garantía.[3]Este deber se extiende a una obligación de no violar la ley. Sin embargo, el empresario no puede controlar la conducta de los individuos y garantizar su comportamiento legal. Es por ello que su responsabilidad se limita a organizar la empresa de modo tal que cumpla con la ley.[4]

Si consideramos que la empresa está constituida por un conjunto de individuos que no ejercen directamente la administración comenzamos a adentrarnos en las dificultades que entraña este deber de garantía.[5] El directorioes el responsable de la administración y la delega en un gerente o CEO, administrador directo y cotidiano de la compañía. Esta compleja estructura no es obligatoria, no se verifica en todas las sociedades y la calidad de accionista, director y gerente se pueden superponer.

CopilotGenerated. Relaciones de agencia.

Estas delegaciones constituyen relaciones de agencia que se superponen unas sobre otras en este entramado societario. Una relación de agencia consiste en el deber de actuar priorizando los intereses del accionista por sobre los propios, a la vez que cumple con las órdenes de su superior. Cuando este interés de la sociedad entra en conflicto con los propios afloran los llamados“problemas de agencia”, que derivan en gastos, como auditorías y controles, para mitigar estos conflictos.[6]El programa de compliance puede considerarse un costo de agencia, en tanto trata de alinear el comportamiento de los empleados con el interés del principal, quien tiene el deber de organizar la empresa de forma tal que cumpla con la ley.

Cuando se transfiere la responsabilidad de administración, se crea una relación de agencia y se transfiere también la posición de garante, conservando solo una posición de supervisión.[7]Quedan así superpuestas dos dimensiones de responsabilidad en cabeza del directorio.[8]

En principio, si no hay una obligación de instaurar un programa de compliance, no podría sancionarse al directorio por no implementarlo. Pero en verdad sí existe en muchos casos una obligación indirecta de establecer un programa de compliance, toda vez que es el único modelo de administración generalmente aceptado para cumplir este rol de garante. Queda así tácitamente consagrada la obligación de desarrollar un programa siempre que no se logre cumplir con este rol de garante de otro modo.

Entre estos deberes hay uno en particular que destaca y es el deber de generar un canal de información desde las bases de la empresa e incluso más allá, incluyendo terceras partes y cualquier stakeholder, hasta la cúspide de la organización. Su propósito es que inconductas severas lleguen a conocimiento de la dirección de manera directa, habilitando su acceso a la esfera de conocimiento de la dirección e impidiendo que el flujo de esta información sea bloqueado por el management u otro sujeto.

La decisión de implementar o no un programa de cumplimiento corresponde generalmente a los directivos, quienes lo delegan en un CCO. En esta delegación, una vez más, se crea una relación de agencia, se transmite la posición de garante y se conserva un deber de supervisión en el directorio.[9]Debe el directorio entonces ejercer una vigilancia sobre esta tarea, reaccionando a la información que vaya recibiendo de compliance, principalmente reportes y denuncias que requieran una reacción de su parte y atento al caso de que hayan deficiencias manifiestas en la función.[10] Si no ejerce esta tarea de supervisión o si la delegación es insuficiente, el directorio puede incurrir en responsabilidad civil por los daños que esto pueda causar. Esta responsabilidad puede acabar siendo penal si en estas omisiones hay una contribución directa a un delito, por ejemplo, si se le transmite que un empleado jerárquico está cometiendo un delito y el directorio opta por encubrirlo y no actuar.

Una correcta delegación comienza con la selección de una persona idónea para el cargo, con las aptitudes necesarias para llevar a cabo la tarea. Incluye la delegación de autoridad suficiente y los recursos necesarios, en proporción a la empresa y los riesgos a mitigar, para llevar a cabo esta tarea.[11] Esa delegación de autoridad no puede ser puramente formal, sino que debe estar acompañada de un respaldo permanente a los objetivos de compliance, incluida dentro del llamado tone from the top. La efectiva y correcta delegación es requisito para que el CCO pueda considerarse responsable penalmente.

La Responsabilidad Penal del CCO

Hasta aquí se ha visto cómo en cabeza del CCO acaban superpuestos dos deberes. Por un lado, un deber de actuar en interés del socio al configurarse una relación de agencia, por otro lado, un rol de garante, que recibe de forma derivada por su mandato y de forma derivada del directorio. Ocupa además un papel especial el desarrollo de un canal de información, para que conductas ilegales puedan llegar a conocimiento de la alta dirección.[12]

La posición del CCO no es igual a la de ningún otro empleado o manager. A esta persona se la pone en un rol especial de custodio de la legalidad internamente y frente a terceros, siendo ese un carácter esencial de su puesto. Tanto esta posición de garante, sus particularidades y la responsabilidad penal que pueda derivar de la misma sonomisiones en la que incurren la mayoría de los códigos penales y que dan lugar a una incertidumbre de punibilidad.[13] Esta circunstancia demanda a su vez una interpretación benigna de la ley, en honor al principio in dubio pro reo.

El rol de garante actúa reforzando el deber de actuar y habilitando una amplia órbita de omisiones a eventualmente configurar una responsabilidad penal. Por un lado, el rol de garante actúa ampliando aquellos actos que el CCO está obligado a implementar en la empresa. Por otro lado,podría actuar disminuyendo los requisitos de dolo eventual, dado que la posición de garante obligaría a su titular a figurarse las posibles consecuencias penales de sus omisiones.[14] Es por ello esencial esta consideración especial de la posición del CCO que lo distingue de otros miembros de la organización.[15] La posición de garante no amplia en cambio los nexos de causalidad entre omisión y acto delictivo, siendo esta una de las principales dificultades a la hora de configurar una responsabilidad penal en cabeza del CCO. Esto es, demostrar que la omisión contribuyó de un modo esencial a la comisión del delito.[16]

Vale subrayar en primer lugar, que el simple acaecimiento de un ilícito por un empleado de la compañía no basta para generarle responsabilidad, ya que él no está en posición de garantizar el comportamiento legal de todos los integrantes.[17]Su responsabilidad consiste en actuar conforme a la especial posición de confianza en la que se lo ha colocado y a la correcta administración del programa de cumplimiento en razón de las tareas y facultades efectivamente delegadas y a los medios y autoridad realmente conferidos.[18]Quedaría por tanto violada su posición de garantía cuando no cumpla en realizar estos actos que se le han encomendado especialmente. Esta afirmación es muy amplia y es imperioso profundizar en qué clase de omisiones pueden dar lugar a responsabilidad penal.

El primer criterio es que un simple error en el desarrollo del programa de cumplimiento no puede dar lugar a responsabilidad penal. La comisión de errores de buena fe es parte de todo ejercicio profesional, siempre que el mismo no sea severo, evidente e irrazonable.Solo quien incurra en negligencia severa en el desarrollo del programa de cumplimiento viola su posición de garante. Si dicha omisión deriva en la comisión de un delito, solo allí habrá responsabilidad penal.[19] Debe evitarse por tanto caer en tecnicismos, exigiendo medidas demasiado específicas que exceden las buenas prácticas normales y habituales, evidentes e indiscutidas en el área.[20]

Un experto debe tener también la libertad de aplicar las medidas que considera apropiadas para las circunstancias, en honor al enfoque basado en riesgos y a la autorregulación regulada, aún cuando la revisión de otro experto pueda diferir posteriormente. Esto incluye la posibilidad de desviarse de las buenas prácticas siempre que sea razonable, debida y suficientemente justificado. Caso contrario los programas vendrían “enlatados”. El desarrollo de un programa no es la aplicación ciega y directa de un estándar y debe respetarse el criterio del artesano a cargo de la tarea.[21]

El panorama es distinto cuando de las circunstancias se observa claramente áreas de la empresa que presentan un riesgo desmedido, espacios que demandan la introducción de medidas urgentes, sujetos que presentan una conducta dolosamente ilegal o fallas específicas y concretas en la estructura. Se demanda aquí del CCO la introducción expedita de medidas y la comunicación de la situación a la jerarquía cuando las circunstancias lo ameriten. Ante circunstancias e indicios concretos y de envergadura la potencial responsabilidad del CCO aumenta significativamente. Una vez más, debemos evitar observar fantasmas en los rincones y evaluar razonablemente si estos indicios son evidentes y de envergadura a la hora de determinar una posible responsabilidad penal del CCO. Incluso a la hora de responder a estos casos, el CCO tiene el derecho a equivocarse. Lo que no puede hacer es no responder, responder manera evidentemente irrazonable o no informar. Estas últimas conductas son las que darán lugar a responsabilidad penal.[22]

Evaluar la responsabilidad penal de la empresa, pero también del CCO, requiere por lo tanto que después del hecho delictivo se evalúe el programa y las acciones del CCO tomadas antes del hecho delictivo. Esta evaluación debe hacerse considerando el contexto y la información disponible en aquel momento y no caer en la tentación de analizarlo con “el diario del lunes”, considerando datos que son evidentes hoy pero que posiblemente no lo eran al momento de los hechos.Luego del delito hay datos disponibles que pueden señalar las decisiones tomadas en el pasado como insensatas o imprudentes, pero al momento de la toma de decisiones esa información estaba ausente y esta supuesta imprudencia era algo incierto. Por este motivo, solo aquellas decisiones a todas luces severamente irrazonables en relación al riesgo creado, evaluado esto al momento que fueron tomadas, configuran una violación al deber de garantía.

De lo dicho surgen algunos consejos prácticos de central importancia:

Desarrollar un sistema de reportes de inconductas deja de ser algo 100% opcional y pasa a ocupar un rol primordial. Si se opta por no implementarlo, es necesario reemplazarlo por otro mecanismo de acceso a la autoridad cuando se detecta una inconducta.
En esta misma línea de ideas, en necesario brindarle al CCO la posibilidad de reportar al directorio, al menos en casos urgentes. De lo contrario, incurriría en una falencia el directorio por no permitirlo o el CCO por no identificar esta necesidad.
Esto va de la mano con una independencia del CCO. No puede ocupar un rol de garante si no tiene un grado de libertad para apartarse de las inconductas que identifique y reportarlas a la máxima jerarquía.
Se observa la clara centralidad de los informes que el CCO debe elevar al directorio. Con ellos cumple con su deber de informar y comunicar y el directorio con su deber de supervisión.
Si llegado el caso es necesario evaluar la conducta del CCO o del directorio, la investigación se basará en los documentos que haya a disposición. Es por ello central que todos los aspectos del programa, de comunicación y de informe sean debidamente documentados.

Si al CCO se le obstaculizan estos extremos, es decir, no se le permite informar, no se le da libertad de acción, se le cierran avenidas de información, etc. no hay un verdadero rol de garante o el mismo se verá muy limitado. Su condición de garante está condicionada a estas circunstancias.

Santiago Armas Estevarena y Ricardo Darín en “Argentina 1985”

Los antecedente norteamericanos más recientes parecen acompañar la doctrina continental aquí expuesta. Desde un punto de vista práctico, resoluciones futuras podrían inspirarse en estos casos para evaluar la responsabilidad penal del CCO.

Veamos primero qué dicen las autoridades regulatorias norteamericanas sobre el tema. Si bien no se trata de una responsabilización necesariamente penal, la SEC manifiesta que solamente hay tres casos en que buscan sanciones contra el CCO:23

Cuando el personal de compliance ha estado involucrado en la inconducta.
Cuando han brindado información falsa al órgano regulador.
Cuando hay una falla total en el cumplimiento de su rol como oficial de cumplimiento.

Estas tres categorías se condicen en gran medida con lo que profesa la doctrina, la cual es ligeramente más precisa, en línea con los extremos antes expuestos. Para el primer supuesto no hay nada que agregar, ya que no interviene aquí su rol de garante o conductas omisivas sino una participación directa en el hecho. Para el segundo y tercer supuesto, debemos considerar todas las circunstancias antes expuestas. “Falla total” queda incluida como negligencia severa y evidente, pero hay muchos casos que quedarían también incluidos en esta categoría sin constituir un fallo total. El caso de “información falsa” demuestra un dolo de parte del CCO. En ambos casos deberá demostrarse el nexo causal con el hecho delictivo.

SEGUNDA PARTE

Caso McDonald’s

En diciembre de 2019 la empresa detecta que su CEO Steve Easterbrookse había involucrado en una relación con una empleadaviolando el código de conducta. En virtud de este caso llega a un acuerdo con la empresa por su desvinculación a cambio del pago de 40 Mill U$S.24 Luego de una investigación interna, la empresa descubre que este no fue el único caso y busca recuperar el dinero pagado en virtud del acuerdo, alegando que Mr. Easterbrook había mentido.25 Finalmente la SEC sanciona a Mr. Easterbrook por 400.000 U$S por haber mentido a la empresa en el acuerdo, este le devuelve 105.000 U$S a McDonald’s y la SEC demanda a McDonald’s por no haber hecho público el acuerdo al que llegó en su oportunidad.26 Se trata de un caso muy interesante, con múltiples enseñanzas en lo que hace a acuerdos de desvinculación, clawbacks y decisiones discrecionales.27Hasta aquí el caso no tiene ninguna relación con potenciales sanciones al CCO.

Se pone interesante en verdad cuando se analiza el comportamiento del jefe de recursos humanos David Fairhurst, a quien se lo sanciona en 2023 en un fallo judicial por haberle ocultado información al directorio respecto del comportamiento del CEO Easterbrook.28 Dicho de otro modo, se lo sancionó por encubrirlo.Llama la atención su silencio ante la multitud de RedFlags y que, a pesar de los múltiples indicios de lo que estaba pasando, no tomó medidas.29

Concretamente se dice que tenía la obligación “implementar, de buena fe, los sistemas de información a fin de obtener la información necesaria para hacer su tarea y reportar al CEO y al directorio” y que “no puede conscientemente ignorar las Red Flags indicando que la corporación iba a sufrir un daño”.Vemos como se consagra en cabeza del manager de recursos humanos la obligación de establecer canales de comunicación sobre la inconducta, un deber que, tal como se mencionó anteriormente, tiene una jerarquía especial y se comparte con el CCO en su ámbito de competencia.Esto significa establecer de buena fe, es decir, lo mejor posible, canales de información, líneas de denuncia y reporte, que le permitan enterarse de lo que sucede en la empresa, detectar inconductas para poder reaccionar. Respecto de la negligencia, haber ignorado las Red Flags como se hizo constituye a todas luces una negligencia severa. No queda acreditada su complicidad y nexo con el hecho delictivo y no habría responsabilidad penal, pero sí un daño porque impidió el reporte a la SEC derivando en multas y, por lo tanto,en una responsabilidad civil.30

Para el CCO, el caso resulta interesante porque la misma responsabilidad podría caberle si encubriese el accionar ilegal de miembros de la compañía, imitando el accionar del gerente de recursos humanos. Si el CCO no establece canales de comunicación o ignora las Red Flags podría recibir esta misma condena civil.

Copilot Generated. No Red Flags around.

Caso Activision Blizzard

La empresa ha estado en las noticias todo el 2023 por su adquisición de parte de Microsoft por 75 Bill U$S,31 pero en 2022 salió a la luz un caso de inconductas que merece atención. El caso debe ser leído en consonancia con el anterior.

En un primer momento la empresa de videojuegos llega a un acuerdo por 18 Mill U$S con la EEOC (Equal Employment Opportunity Commission) en 2022 por casos de acoso sexual dentro de la compañía. Las empleadas de la compañía venían quejándose durante años de un clima laboral abiertamente hostil, plagado de acoso sexual, malos tratos y hasta un posible caso de violación, de los cuales el CEO Bobby Kotick estuvo al tanto durante años.32

Vinculado a este caso, en 2023 la empresa recibe una sanción de la SEC por 35 Mill U$S por violar sus deberes de información a los accionistas y la protección de whistleblowers. Para la compañía, la posibilidad de atraer talento es un riesgo latente importante, y al no desarrollar mecanismos de información de inconductas adecuado falla en asegurar un clima de trabajo capaz de atraer y retener el personal. La falta de mecanismos de información también impide identificar situaciones que exijan un reporte. Por último, el modo por el que se acordaban las desvinculaciones implicaba también una violación a las normas de protección al whistleblower. Todas estas fallas la hicieron merecedora de una sanción.33

En este caso no se sanciona a ninguna persona individual pero cabe preguntarse, si al gerente de recursos humanos de McDonald’s se lo sancionó civilmente por esta misma conducta, posiblemente se pudiese haber iniciado una demanda civil contra el CCO en el caso Activision Blizzard. El directorio entendió que las inconductas no atravesaban toda la compañía ni eran sistemáticas, basándose en la información errónea e incompleta que le habría aportado el CEO. Si el CCO hubiese desarrollado los canales de información correctos hubiese podido informar correctamente al directorio, que hubiese podido tomar cartas en el asunto. Puesto así, el CCO solo sería responsable si era su obligación reportar directamente el directorio. Dado que la información estaba en manos del CEO y este no la reportó el directorio, es contra él que deberían dirigirse las demandas civiles. El caso está en una zona gris.

Caso First American Bank

En este caso tampoco se sanciona al CCO, pero una vez más se observan deficiencias en los canales de comunicación, los cuales pueden dar lugar a responsabilidad del CCO. En este caso, la empresa sufrió un ataque informático en 2014, que detecta recién en 2018. Ésta cumple con su obligación de reportarlo a la SEC, pero recién cuando el hecho se hizo público en 2019. Sin embargo, mientras el equipo de informática reparaba el fallo descubre que el caso era más grave de lo previsto. El equipo omite informar esto último al sector respectivo, quedando el reporte realizado ante la SEC desactualizado.34 El caso termina en una multa por reporte incompleto y tardío en 2021.35

En este caso posiblemente no haya responsabilidad del CCO considerando que el caso no indica mala fe de su parte, sino imperfecciones comprensibles, errores permisibles. Surge, sin embargo, la obligación de reforzar los mecanismos de información porque si no se actúa un nuevo caso sí podría interpretarse como una mala fe.

CopilotGenerated.Canales de información.

Caso Mylan

En otro caso similar de canales de comunicación deficientes, el equipo legal de Mylan detecta que la empresa puede recibir una importante multa por haber clasificado incorrectamente su producto estrella, los “EpiPens”, como una droga genérica. Este “error” resultó en sobrecargos al sistema de seguros de salud e importantes ganancias para la compañía.36 Sin embargo, omiten comunicarle el caso al sector contable, que era el responsable en esa empresa de hacer los reportes ante la SEC. Recién cuando la empresa llega a un acuerdo por casi 500.000 U$S reportan el asunto frente los accionistas.

El caso ilustra la importancia de combatir el aislamiento de las áreas dentro de las empresas, donde la información puede quedarse “atascada” y no llegar a quienes la necesitan. El CCO no es el único responsable de establecer estos canales de comunicación. En este caso la responsabilidad recae más sobre el comité de riesgos que sobre el área de compliance, pero la moraleja es la misma.37

Caso Solarwinds

Hace dos meses se expusieron los puntos de contacto entre compliance y IT en este newsletter y se hizo mención de este caso.38 El mismo trata de uno de los ataques informáticos más importantes del que se tenga registro, donde quedaron afectados múltiples empresas y organismos públicos desde 2019, con una demanda interpuesta por la SEC el año pasado.39

Lo más interesante es que de manera conjunta a la empresa, la SEC demanda al CISO responsable de informática de la empresa.40 La demanda deriva de que ambos, empresa y manager, afirmaban estar siguiendo un estricto estándar de seguridad informática NIST cuando sabían que no era así, constituyendo esto un engaño a los inversores. Esto consta en las comunicaciones internas de la empresa, ya que otros empleados habían manifestado la falsedad de esta afirmación y que, en verdad, no se estaba siguiendo este estándar. La empresa simplemente ignoró durante años las Red Flags de riesgo de seguridad informática.41

El caso pone el foco en otros profesionales, como el CCO, que también aseguran ciertas medidas de mitigación del riesgo. Dicho de otro modo, está la posibilidad de que la SEC demande en los mismos términos al CCO, en el caso de que se demuestre que no se implementan todas las medidas que maliciosamente dice implementar.42 Afirmaciones evidentemente maliciosas como esta pueden derivar en responsabilidad civil e incluso penal, si de su omisión resulta un delito.

Caso Binance

En 2023, Binance llega a un acuerdo por 4.3 Bill U$S con el DOJ, la FinCEN, la OFAC y la CFTC por violar leyes de prevención de lavado, en lo que fue una de las multas más importantes del año.43 Para poder operar dentro de los Estados Unidos, la plataforma tiene una versión local específica para ese mercado, en donde deben operar quienes ostenten dicha nacionalidad. El método de detección por defecto era la localización de la dirección IP del cliente. En verdad, la empresa asistía a estos clientes en Estados Unidos la posibilidad de ocultar su verdadera ubicación para poder operar con la versión internacional de la plataforma. La empresa se declara culpable de no mantener un verdadero programa de cumplimiento.44

El caso resulta especialmente relevante porque incluye una sanción de parte de la CFTC por 1,5 Mill U$S contra el CCO Samuel Lim, quien no había implementado un verdadero programa de prevención para estos riesgos.45 Se trataba de un programa de papel, cuando en verdad la empresa estaba colaborando activamente con sus clientes para violar la ley. Al parecer, el Chief Compliance Officer lo era solo de nombre y amerita una multa considerando lo crítico del puesto que ocupa dentro de una organización. La sanción se impuso para transmitir un fuerte mensaje a los profesionales del compliance.46 Los Compliance Officers son considerados “gatekeepers” del sistema para mantener su integridad y serán responsabilizados en caso de omitir las medidas requeridas para evitar las inconductas. Vemos en este tema un claro caso de omisión negligente severa que dió lugar a multas, ilegalidades y posiblemente también delitos. Si la delegación de facultades al CCO se hizo de manera correcta, le podría caber una responsabilidad penal por sus omisiones.

CopilotGenerated. ¿Problemas?Nada de qué preocuparse.

Caso Two Point Capital

En este caso se sanciona al CCO John B. McGowan, que era también el CEO, por no adaptar el programa de compliance durante 10 años. En el caso en cuestión, el código de ética no era otra cosa más que una copia del modelo provisto por la una organización profesional de comercio. El material ni siquiera estaba pensando para ser utilizado por asesores de inversiones sino por la organización profesional en sí misma, para guiar la conducta de sus miembros. Tampoco hubo entrenamiento de compliance de ninguna clase en la empresa.47 El caso muestra claramente cómo el uso de un código de ética genérico o un programa que es ostensiblemente ornamental no bastan para cumplir requisitos regulatorios y pueden resultar en una sanción.

Se trata de una omisión negligente muy severa que de haber resultado en un delito podría generar responsabilidad penal del CCO.

Caso Money Gram

En 2017 el CCO de la empresa llegó a un acuerdo por 250.000 U$S por severas negligencias existentes en el programa de cumplimiento.48 El CCO no reportó los incumplimientos que caían bajo su órbita de conocimiento, ni tomaba medidas de debida diligencia contra traders riesgosos. En principio se buscaba una sanción de 1 Mill U$S pero llegó a un acuerdo de 250.000 U$S.

Al parecer se trata de una sanción administrativa. Sin embargo, si pudiese probarse una conexión entre las omisiones y los delitos, podría concluirse una violación del deber de garante y una responsabilidad penal para el CCO.

Caso Meadow/Teixeira

En junio de 2023, la SEC sancionó a un bróker de Nueva York, Jordan Meadow, por insider trading. Junto a él se sancionó también al CCO de una empresa de pagos, Steven Teixeira, quien estaba personalmente involucrado en la inconducta ya que él obtenía la información a través de la notebook de su novia.49 Vemos así un caso de involucramiento directo de un CCO en la inconducta.

Caso Meredith Simmons

Como CCO de un asesor de inversiones, a Simmons le solicitan en 2016 que informe los procedimientos de debida diligencia llevados a cabo en relación a una determinada inversión. El jefe le aclaró que temía una inspección. Simmons no llevó a cabo los procedimientos encargados oportunamente y cuando cayó la inspección en 2017 no tuvo mejor idea que realizar el informe luego de la adquisición y predatarlo para que parezca anterior a la misma. Cuando se lo indagó sobre la fecha del mismo, intentó engañar a los delegados de la SEC. Finalmente terminó con una demanda en su contra con una multa de 25.000 U$S.50 Vemos en este caso un accionar activo de parte del CCO y no una mera omisión de su parte. Este accionar puede constituir un delito y derivar en responsabilidad penal.

Caso Christiana Care

Christiana Care es una empresa de servicios de salud que incurrió en el pago de sobornos mediante la concesión de prestaciones gratuitas a médicos a cambio de recomendaciones. La empresa prestaba su personal a médicos a cambio de que recomendara a esta prestadora, y luego cargaba estos costos en programas públicos de salud.51 Por este motivo la empresa recibió en enero de 2024 una sanción de 42.5 Mill U$S.52

En 2017 el CCO de la empresa, Ronald Sherman, había detectado la inconducta y la reportó internamente. La compañía respondió tomando represalias en su contra, por lo que optó por reportar la inconducta ante el programa de denuncias53 y recompensas de la SEC. En virtud de la denuncia el CCO recibió una recompensa de 12,1 Mill U$S.54

Aunque no es propiamente un caso de sanción al CCO, el asunto expone los conflictos internos que tiene el CCO y las alternativas de las que dispone. Debe evitarse un análisis superficial que llegue a la conclusión de que la solución es denunciar externamente a la compañía. Esta puede ser una estrategia arriesgada. Las empresas son el empleador del CCO y necesitan poder confiar en él para comunicarle las inconductas. Si el management teme que use esa información para obtener externamente una recompensa será difícil generar esa confianza. Hay quienes consideran que la denuncia ante la SEC debería requerir primero acudir a los canales internos.

Conclusión

Una lectura en profundidad de cada uno de los casos es irremplazable. Solo así se pueden extraer verdaderas enseñanzas para evaluar el riesgo de sanciones.

Dicho esto, partimos por señalar la posición de garante que ocupa el CCO dentro de la empresa. El primer garante es el empresario, quien encarga la administración en el directorio, delegando sobre él el rol de garante, quien lo delega a su vez en el CCO. Estas delegaciones entrañan a su vez relaciones de agencia. Queda así el CCO como responsable no solo de actuar en interés de los accionistas, sino también como garante del desarrollo y administración de un programa de cumplimiento. Ocupa un rol destacado aquí la construcción de un canal de comunicación que permita que las inconductas entren en la esfera de conocimiento de la alta dirección.

Incurrirá él en responsabilidad penal cuando en violación a este deber de garantía incurra en una omisión negligente severa y evidente en el desarrollo del programa, que dé lugar a un delito penal. Esto no significa que cualquier error derive en responsabilidad penal ni que el CCO no puede aplicar su criterio, sino todo lo contrario. Lógicamente será también responsable cuando sus omisiones estén directamente dirigidas a posibilitar el accionar delictivo.

El directorio conserva un deber de supervisión sobre esta actividad y tiene el deber de intervenir si hay indicios de una violación de este deber por el CCO. Caso contrario, también puede incurrir en la misma responsabilidad penal.

Los casos presentados en la segunda parte señalan en esta misma dirección. De ellos debemos destacar:

Un aspecto clave de responsabilización, denominador común que cruza los primeros casos, son las líneas de información dentro de la empresa. El CCO entre otros tiene esta responsabilidad y vemos que, en determinados casos, su omisión ha derivado en sanciones contra otros miembros del management. Eventualmente estas demandas podrían ir en su contra. Se ve esto claramente en el caso McDonald’s y Activision Blizzard. El caso First American Bank demuestra imperfecciones en los canales de comunicación, pero sin configurar necesariamente una responsabilidad penal. El caso Mylan va también en este sentido.
Pasa a un primer plano que el CCO sea capaz de reportar a la más alta jerarquía, así sea en situaciones de emergencia. También debe garantizársele independencia en su accionar y una estructura para documentar los actos y pasos que va dando.
En el caso Solarwinds se afirma la introducción de estándares informáticos que nunca estuvieron en vigor y cuyas deficiencias estaban en boca de todos. Falencias de este tipo podrían dar lugar a responsabilidad penal del CCO, si afirmara el despliegue de una infraestructura de compliance que en los hechos es inexistente.
En varios casos se ve una ausencia total de medidas de compliance, con un responsable de cumplimiento ausente. Si a esta persona se le delegaron correctamente las facultades, estaría incurriendo en severas negligencias que de facilitar un delito podrían dar lugar a responsabilidad penal. Esto se ve por ejemplo en el caso Binance, Two Point Capital y Money Gram.
En el caso Meadow/Teixiera el CCO está directamente involucrado en la inconducta y no es necesario profundizar en la violación del deber de garantía. En el caso de Meredith Simmons hay un accionar activo y es el propio CCO quien también está involucrado en la conducta.
El caso Christiana Care es la llama. Demuestra las verdaderas presiones y conflictos que acechan al CCO y cómo actuar internamente para no incurrir en responsabilidad personal. Acudir a las autoridades es una cuestión discutida y polémica que admite posiciones contrarias.

1 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 301; Bermejo/Montiel, “Compliance Officers “tras las rejas”?”, en Saccani/Morales Oliver, “Tratado de Compliance”, p. 188.

2 SEC/DOJ, FCPA Resource Guide, p. 60.

3 Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 523-524; Bermejo/Montiel, “Compliance Officers “tras las rejas”?”, en Saccani/Morales Oliver, “Tratado de Compliance”, p. 210.

4 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 313 ss.

5 Difusión de hecho, no de derecho.

6 Jensen/Meckling, “Theory of the Firm: Managerial Behavior, Agency Costs and Ownership Structure”, Journal of financial Economics 3 (1976), 305-360.

7 Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 524.

8 Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 525.

9 Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 344 ss.

10 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 307 ss.

11 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 310 ss.; Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 527.

12 Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 530.

13 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 302.

14 Sobre un requisito de dolo más estricto, Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 531-541.

15 Lascuraín Sánchez, “Salvar al Oficial Ryan”, en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 304 ss.

16 Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 350 ss; Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 540-541.

17 García Cavero, “Criminal Compliance”, p. 105.

18 García Cavero, “Criminal Compliance”, p. 109; Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 340-341.

19 Ciertas omisiones son difícilmente vinculables al acaecimiento de un delito, fundamentalmente aquellas vinculadas a la prevención. En cambio aquellas relacionadas a la detección y reacción pueden vincularse más fácilmente a un delito. Dopico Gómez-Aller, “Posición de Garante del Compliance Officer por Infracción del “Deber de Control”: una Aproximación Tópica”, en en Mir Puig/Corcoy Bidasolo/Gómez Martín, “Responsabilidad de la Empresa y Compliance”, p. 350-351.; A su vez, la responsabilidad varía según el estadío del programa en que se encuentre Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 531-534.

20 Sobre la heterorregulación técnica, Bermejo/Montiel, “Compliance Officers “tras las rejas”?”, en Saccani/Morales Oliver, “Tratado de Compliance”, p. 198-199.

21 Jüttner, “Die Kunst Erfolgreicher Compliance”, p. 27.

22 Sobre la falta de reporte de una inconducta, ver Bermejo/Montiel, “Teoría y Praxis del Criminal Compliance”, p. 534 nota 89.

23 https://www.sec.gov/news/speech/grewal-remarks-nyc-bar-association-compliance-institute-102423.

24https://www.wsj.com/articles/sec-charges-ex-mcdonalds-ceo-with-misleading-statements-over-his-firing-11673278633.

25https://www.wsj.com/articles/mcdonalds-former-ceo-says-he-should-keep-his-multimillion-dollar-severance-11600479337?mod=article_inline.

26https://www.wsj.com/articles/sec-charges-ex-mcdonalds-ceo-with-misleading-statements-over-his-firing-11673278633.

27 https://www.linkedin.com/posts/gianfranco-barchiesi_compliance-clawback-activity-7025779650127626240-UgEk.

28 https://www.restaurantbusinessonline.com/leadership/delaware-court-hands-big-loss-mcdonalds-former-hr-chief.

29https://www.linkedin.com/posts/gianfranco-barchiesi_compliance-recursoshumanos-activity-7030853081097457664-g2ad/.

30 https://www.radicalcompliance.com/2023/01/26/a-double-whammy-of-accountability/; https://www.radicalcompliance.com/2023/01/29/duty-of-oversight-part-ii/.

31 https://en.wikipedia.org/wiki/Acquisition_of_Activision_Blizzard_by_Microsoft.

32 https://www.wsj.com/articles/activision-videogames-bobby-kotick-sexual-misconduct-allegations-11637075680.