Un gran desafío del compliance penal es evitar riesgos a la armonización entre la protección de la información de tu empresa y el derecho a la privacidad de los trabajadores.   La creciente complejidad de los mercados y la velocísima innovación tecnológica en el entorno de los negocios y las empresas abre la puerta grande a una figura necesaria y conveniente, la cual ha dejado de ser sólo cosmética. Nos referimos al compliance legal, que es ejercido por los denominados compliance officer. Estos profesionales se distinguen por un ascenso vertiginoso en la lista de las profesiones más requeridas. Su responsabilidad consiste esencialmente en implementar y ejecutar medidas para el cumplimiento regulatorio y normativo, es decir, gestionar y supervisar el cumplimiento a través de la identificación de riesgos, el análisis de cambios estatutarios y reguladores, la determinación de medidas preventivas y correctivas, la validación de capacitación de directivos y empleados, las revisiones periódicas y la actualización de procedimientos y procesos internos. Una responsabilidad estratégica, sobre todo si consideramos que el Derecho Penal Económico (también conocido como Derecho Penal de Empresa) cobra vigencia anunciando que el solo cumplimento de la legislación civil, mercantil o de comercio ya no es suficiente para enfrentar los mercados competitivos. En México, las organizaciones –como personas jurídicas o morales– están obligadas a adaptarse a la era del compliance en aras de prevenir actos de responsabilidad penal corporativa por posibles delitos cometidos por sus representantes, administradores y/o empleados cuando tal conducta delictiva se realice con motivo de actividades corporativas, por cuenta, provecho o exclusivo beneficio de la corporación, y no se haya ejercido sobre ellos el debido control en el ámbito organizacional. Uno de los desafíos fundamentales del compliance penal es la evitación o minimización de estos riesgos para no perder la armonización entre la indispensable protección de la información corporativa –confidencial o reservada– y el derecho a la privacidad de los trabajadores, derechos éstos garantizados por la Constitución mexicana al establecer que las comunicaciones privadas son inviolables. Sin embargo, surge un dilema: ¿hasta dónde la empresa puede, en su objetivo de evitar el mal uso de información corporativa o para proteger el debido control organizacional, acceder a los contenidos de los dispositivos electrónicos proporcionados a sus trabajadores para sus actividades laborales, sin violar sus derechos a la privacidad? La revisión y el monitoreo del contenido de las comunicaciones es considerada legalmente válida siempre y cuando se hayan establecido cláusulas expresas en los contratos laborales por medio de las cuales el trabajador conceda la anuencia o autorización para ello, es decir, advertido expresamente el empleado de que el uso de los equipos debe tener propósitos exclusivamente laborales, y que la inspección sea efectuada por los representantes, apoderados legales o encargados de las áreas de auditoría interna o compliance de la empresa, de conformidad con los principios y normas del derecho laboral. La Ley Federal del Trabajo en México dispone que, entre otras, son obligaciones de los trabajadores:
  • Cumplir las disposiciones de las normas de trabajo que les sean aplicables, desempeñar el servicio bajo la dirección del patrón o de su representante, a cuya autoridad estarán subordinados en todo lo concerniente al trabajo.
  • Ejecutar el trabajo con la intensidad, cuidado y esmero apropiados y en la forma, tiempo y lugar convenidos.
  • Observar buenas costumbres durante el servicio.
  • Adicionalmente existe la prohibición categórica a los trabajadores de usar los útiles y herramientas suministrados por el patrón, para objeto distinto de aquel a que están destinados para efectos laborales.
La revisión y el monitoreo de los patrones del contenido de las comunicaciones de sus empleados podría complementarse con políticas internas, código de ética laboral y/o cualquier anuencia expresa del trabajador al patrón durante el tiempo de duración de la relación laboral. Pero quedando claro y documentado el conocimiento del empleado de que deberá destinar tales equipos –computadora, celular, correos electrónicos, internet, etc.– al objeto de sus actividades laborales. Los legítimos controles del patrón están justificados, toda vez que existe la posibilidad del indebido o mal uso de computadoras, correos electrónicos y celulares proporcionados a los trabajadores, situación que podría generar o dar lugar a conductas negativas, dolosas e ilícitas; por ejemplo:
  • Daños en los sistemas informáticos de la empresa.
  • Participación en actividades ilícitas en nombre de la empresa.
  • Revelación de secretos comerciales o secretos industriales de la empresa.
  • Divulgación de comunicaciones e información reservada a la corporación.
  • Daños y violación a los bienes patrimoniales, comerciales o reputacionales de la organización.
En síntesis, podemos afirmar que el patrón en todo momento tiene el derecho de supervisar, controlar, auditar y revisar contenidos, comunicaciones e información almacenada en las computadoras, dispositivos tecnológicos, servidores, correos electrónicos y sistemas informáticos en general, siempre y cuando dichos equipos sean propiedad –o estén dados en arrendamiento– de la empresa, exista consentimiento previo del empleado y justificación en el contexto de la relación laboral. El compliance legal busca favorecer las buenas prácticas corporativas como el establecimiento de reglas claras en materia de uso de las herramientas o equipos laborales, el conocimiento de las políticas internas sobre el acceso a internet y correos electrónicos en y desde el centro de trabajo, y el establecimiento de políticas adecuadas de protección de datos y manejo de información, sin que ello implique la injustificada violación del derecho a la privacidad de las comunicaciones privadas de los trabajadores. En caso de que se actualice el riesgo corporativo por la comisión de un delito en o desde la empresa por parte de algún administrador, representante y/o empelado, susceptible de originar una acusación contra la empresa por responsabilidad penal de la persona moral o jurídica, la forma de proteger precisamente a la corporación para excluirla o atenuarle las sanciones penales es a través de la previa adopción del compliance penal por medio de diversas medidas a continuación enunciadas, pero no limitativas:
  • Implementar un debido control organizacional en y desde la empresa conforme a la naturaleza de la administración, tamaño y operación del negocio. El alcance de estas obligaciones que conlleva el deber de “debido control” estará sujeto, de modo general, a las dimensiones de la empresa.
  • Gestionar modelos de prevención de delitos, así como supervisar su cumplimiento y eficacia concreta en los procesos de administración y operación del negocio.
  • Divulgar entre el personal de la empresa el contenido del programa de prevención penal, lo que incluye documentar el debido conocimiento y capacitación necesaria a todos los integrantes de la empresa, así como su consentimiento para la práctica de revisiones, auditorías y monitoreo a las comunicaciones privadas contenidas en los equipos o herramientas proporcionadas para el trabajo.
  • Actualización de las políticas compliance, por medio de mecanismos que permitan en el tiempo apreciar desajustes u omisiones en los modelos preventivos y de actuación cotidiana, sobre todo en el caso de la comisión de delitos en y desde la empresa.
  • Gestión del canal de denuncias o whistleblower. El canal de denuncias es el sistema a través del cual se reciben las noticias de posibles comportamientos irregulares, indebidos o con relevancia penal, por parte de los propios trabajadores de la organización o del exterior (clientes, proveedores y público en general), independientemente de si la denuncia es anónima o nominal, así como el procedimiento interno para dar seguimiento y atención a tales noticias.
  • Selección e integración de un equipo de asesores externos especialistas en compliance legal.
  • Mapeo de riesgos, definición de planes de contingencia y reacción ante la comisión de delitos en y desde la empresa por causas de un indebido control organizacional.
La finalidad es introducir cambios en el comportamiento del personal en la organización y comunicarles las bondades de la cultura del cumplimiento regulatorio y normativo, fundamentalmente la mejora o elevación del grado de competitividad en los mercados nacionales e internacionales.   A manera de conclusión
  • La práctica del compliance es clave para conceder ventaja competitiva duradera en las organizaciones ante la complejidad del mercado.
  • La implementación del compliance legal no es sólo moda, es una necesaria disciplina y un sistema que requieren ser integrados en la estrategia, objetivos y cultura de la organización.
  • La ejecución del compliance penal no es un gasto, es una inversión para hacer patente la necesidad de dotar de una nueva estructura organizacional y de una cultura corporativa basada en el cumplimiento y colaboración en y desde la empresa con medidas de vigilancia y control idóneas para prevenir delitos o reducir los riesgos de su comisión.
Bienvenida la era del compliance y los compliance officers a las empresas, donde la regulación y autorregulación corporativa requerirán una venturosa integración interdisciplinaria para adoptar las mejores prácticas que permitan un debido gobierno corporativo, la protección de datos personales, la aplicación de políticas anticorrupción y el cumplimiento de normas del derecho laboral, derecho informático y derecho penal, respectivamente. Recordemos que las “Leyes son para tu bien, o no son leyes”[1].
[1]Requena, Leyes para tu Bien®.
  Contacto: Correo: [email protected] Twitter: @requena_cr Facebook: Carlos Requena Página personal: Carlos Requena   Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.