Introducción. Alcance y contexto
El pasado mes de septiembre el Departamento de Justicia de EEUU (DOJ por sus siglas en inglés) publicó una nueva actualización de la “Evaluation of Corporate Compliance Programs” —a la que denominaremos en este trabajo como Guía para la Evaluación de Programas de Cumplimiento Corporativo—1 en el contexto de la Ley de Prácticas Corruptas en el Extranjero (FCPA).
Vale recordar que esta guía fija las pautas que los fiscales considerarán para evaluar los Programas de Compliancias -quienes lo harán en dos momentos claves: uno, al momento del delito presunto y dos, al momento de la resolución de caso- y por lo tanto, es de especial interés, también para las empresas al momento de diseñar un Programa y de monitorear internamente su funcionamiento.
Las principales modificaciones introducidas en esta oportunidad, y sobre las que nos centraremos en este trabajo, se refieren a la utilización de inteligencia artificial (en adelante IA) tanto en las operaciones propias de la empresa como en su programa de cumplimiento o integridad (en adelante PdI).
El avance de nuevas tecnologías y especialmente de la IA en los últimos tiempos ha generado que tanto el sector público como el sector privado incorporen herramientas de IA para mejorar y fortalecer sus procesos de gestión de datos. En consecuencia, los PdI no han sido ajenos a esas prácticas, incluyendo esas herramientas en la búsqueda de perfeccionar las tareas de identificación de riesgos, de conductas de incumplimiento, gestión de denuncias, monitoreo y evaluación de las políticas y procedimientos que integran el PdI y su posterior revisión y actualización.
Hasta el momento no se han identificado datos que permitan evaluar el avance real de la implementación de IA en programas de integridad a nivel global. No obstante, sí se puede mencionar, por ejemplo, que en España el 50% de los compliance officers indican que las herramientas basadas en IA tienen un alto impacto en su trabajo y que deben establecerse políticas para regular su uso y nombrar responsables de su implementación.2
En línea con esa necesidad, a nivel global ha habido distintos tipos de avance en materia de regulación en torno al uso de la IA. En la Unión Europea se aprobó en junio el Reglamento (UE) 2024/1689 sobre inteligencia artificial3. En Latam la regulación es más incipiente, pero podemos mencionar algunos ejemplos, como la ley de promoción del uso de la IA de Perú que establece la obligación de cumplir con estándares de seguridad basados en riesgos para su desarrollo e implementación y desarrollo ético4, en Argentina5, Colombia6, Chile7 y Brasil8 se han presentado proyectos para su tratamiento por parte del poder legislativo para mencionar algunos ejemplos.
Actualización de la Guía DOJ
Ahora sí, en relación específicamente a la Guía, vale indicar que toma el concepto de inteligencia artificial desarrollado en el Memorando M-24-10 sobre “Fomento de la gobernanza, la innovación y la gestión de riesgos para el uso de inteligencia artificial por parte de las agencias” elaborado por la Oficina de Gestión y Presupuesto del Gobierno de EEUU, publicado en marzo de 20249.
La definición es amplia e incluye sistemas que son autónomos, parcialmente autónomos y no autónomos, y que funcionan con y sin supervisión humana.
Así, en los términos de la Guía un sistema de inteligencia artificial tiene las características de:
Es necesario aclarar que esa definición no incluye la automatización de procesos ni otras tareas que se ejecuten por reglas definidas por personas humanas o que el aprendizaje consista en repetir lo observado exactamente de la misma forma, sin realizar cambios ni toma de decisiones.
Implicancia para las empresas
La Guía actualizada continúa basándose en las mismas tres preguntas fundamentales que ya se habían definido. Éstas son las que serán consideradas por los fiscales y en base a las cuales comenzarán el proceso de evaluación de los PdIs. Por lo tanto, son estas preguntas las que deben ser tenidas en cuenta al momento de diseñar, ejecutar y evaluar un programa de integridad.
Esas tres preguntas consisten en responder si:
A continuación, presentaremos algunas de las principales características y/o prácticas que, de acuerdo a la Guía, deberían considerarse para responder estos interrogantes incluyendo el impacto que podría tener la utilización de la inteligencia artificial y el procesamiento de datos, como ser:
a) Gestión de riesgos: Las empresas deben contar con procedimientos que les permitan identificar riesgos emergentes que afectan al perfil de riesgo propio de la empresa.
En ese sentido y en particular respecto de la gestión de riesgos para garantizar el cumplimiento de la normativa vigente, se incorporan aspectos a considerar relacionados con la utilización de nuevas tecnologías, la evaluación del impacto de la IA para cumplir leyes penales y otros riesgos empresariales.
En la guía se recomienda considerar el posicionamiento de la empresa en relación a la utilización de IA en su actividad comercial y también respecto del programa de cumplimiento. Por lo tanto, se indica que, en caso de que se admitiese su uso, debiera evaluarse cuáles serían las medidas mitigantes y los controles para garantizar su uso responsable y para capacitar a los colaboradores.
b) Políticas y procedimientos: Las empresas deben contar con un Código de Conducta y otras políticas y procedimientos para gestionar y mitigar sus riesgos. Entre esas políticas y procedimientos ahora se establece que las organizaciones deben elaborar procesos que permitan identificar, analizar y gestionar los riesgos emergentes relacionados a la utilización de nuevas tecnologías y el cumplimiento normativo respecto de la regulación vigente, debiendo estar todas esas políticas y procedimientos accesibles a todos los colaboradores.
c) Capacitación y comunicaciones: Ese eje continúa siendo clave para la eficacia de un PDI. Se establece al respecto que las políticas y los procedimientos deben ser comunicados a los colaboradores y que debe diseñarse un plan de capacitación basado en riesgos y que considere las particularidades de sus destinatarios. Además, debe procurarse que se aborden situaciones que se hubieren presentado en la empresa y las lecciones aprendidas, evaluándose la efectividad de las capacitaciones dictadas.
A su vez, para garantizar el efectivo cumplimiento de las políticas y procedimientos y prevenir la toma de decisiones equivocadas, se recomienda que las empresas cuenten con canales de consulta a través de los cuales los colaboradores puedan evacuar dudas sobre situaciones que se presenten y la puesta en práctica de las políticas y procedimientos.
d) Mejora continua, pruebas periódicas y revisión: Este es otro punto clave para la evaluación de los PDI. Pues, por un lado, debe partirse de la base de que ningún programa de integridad, por más efectivo que sea, podría prevenir la totalidad de las conductas que podrían implicar algún tipo incumplimientos tanto por parte de sus colaboradores como de sus terceras partes. Por otro lado, pues debe considerarse que a lo largo de la vida de la empresa irán emergiendo nuevos riesgos (y/o con la madurez del programa se identificarán riesgos que antes no se visibilizaban), irán cambiando sus relaciones con terceros, el giro de sus negocios y la legislación aplicable. Por lo tanto, todas estas situaciones son las que harán mandatorio que el PdI también deba ir adaptándose y madurando, adecuándose a los nuevos riesgos identificados, considerando las lecciones aprendidas, las conductas indebidas que no fue posible prevenir, los cambios en el entorno de relaciones con terceros y la normativa vigente, para promover la mejora continua de su Programa y de sus esfuerzos para promover una cultura de compliance.
Respecto de la eficacia de los controles, si bien la evaluación va a depender del tamaño y la complejidad de la empresa, la guía menciona, por ejemplo, que algunas empresas realizan encuestas a sus colaboradores para evaluar la implementación de los controles y/o realizan auditorías periódicas sobre el funcionamiento de los controles.
En este sentido se señala que, en el caso de que la empresa utilice nuevas tecnologías como IA tanto en sus operaciones comerciales como en su programa de integridad, debe realizar monitoreos sobre su funcionamiento que permitan detectar y corregir en su caso decisiones que ha tomado la herramienta de IA que sean contrarias a los valores de la empresa.
Gestión de denuncias y protección de denunciantes: Por supuesto que en la guía se señala el deber que tienen las empresas de contar con canales que permitan la formulación de denuncias respecto de incumplimientos de las políticas y procedimientos que integran el programa de integridad, así como de tener un procedimiento para la gestión de esas denuncias. El procedimiento debe permitir las denuncias anónimas y con reserva de identidad, las investigaciones sobre los hechos denunciados deben ser independientes, objetivas, deben documentarse adecuadamente, ser llevadas adelante por personal capacitado y en un plazo razonable.
Asimismo, se exige que se implementen medidas proactivas para crear un ambiente de trabajo sin temor a represalias ante la formulación de una denuncia y mecanismos de protección de denunciantes y que las empresas evalúen la eficacia de su canal de denuncias a los efectos de identificar patrones de conducta o señales de alerta sobre los incumplimientos y tomar medidas para prevenir que se repitan en el futuro.
e) Debida diligencia de terceras partes y gestión de relaciones: la empresa debe aplicar mecanismos de debida diligencia basados en riesgos respecto de sus relaciones con terceras partes como ser consultores, distribuidores, proveedores, socios externos, de acuerdo al modelo de negocio y prácticas comerciales propias de la empresa.
Asimismo, se establece que también deben contar con herramientas que le permitan gestionar esas relaciones como el establecimiento de incentivos de cumplimiento disciplinarios o financieros, supervisión, auditorías, capacitación, y con señales de alerta que permita implementar tratamientos acordes a los riesgos que cada tercero pudiera representar.
f) Fusiones y adquisiciones (M&A): se debe realizar una debida diligencia integral cuando se inicia un proceso de adquisición o fusión a los efectos de identificar y evaluar los riesgos de integridad y en su caso evitar que incumplimientos detectados en la empresa a adquirir o con la cual se va a fusionar continúen con posterioridad, como así también diseñar un mecanismo de implementación o integración del programa de integridad con posterioridad a la adquisición o fusión empresarial.
g) Compromiso de la alta dirección y la gerencia media: La guía enfatiza en que la eficacia de un programa de integridad requiere, del compromiso de la alta gerencia y de los mandos medios. Ese compromiso opera como condición necesaria para que pueda transmitirse y generarse una cultura ética en el desarrollo de las actividades de la empresa.
Para ello la alta gerencia y mandos medios deben transmitir y difundir en términos claros los estándares de integridad de la empresa, dar el ejemplo con sus propias acciones y transmitir a los colaboradores que los objetivos de la empresa se deben alcanzar actuando en cumplimiento de esos estándares de integridad. Asimismo, deben involucrarse y estar informados sobre los incumplimientos y denuncias realizadas y tomar medidas de mejora continua del programa.
h) Autonomía y recursos: Las áreas responsables de integridad deben contar con la autonomía suficiente, personal con conocimiento y experiencia y recursos adecuados (incluidas herramientas de análisis de datos y nuevas tecnologías) que les permita llevar adelante las acciones tendientes a diseñar, ejecutar y evaluar las políticas y procedimientos en materia de integridad.
i) Incentivos y gestión de consecuencias: En la Guía continúa enfatizándose la importancia de que los programas de integridad deban tener incentivos para fomentar el cumplimiento y desalentar el incumplimiento de las políticas y procedimientos de la empresa, ya sean disciplinarios, financieros como ser compensaciones, recompensas o bonificaciones, o laborales como sistemas de promoción y ascenso. Los sistemas de incentivos por otra parte deben aplicarse en forma uniforme y sus decisiones ser transparentes. Un ejemplo de incentivos positivos es establecer sistemas de compensación para los colaboradores que actúen de acuerdo a los estándares de integridad de la empresa, y en los casos en los que las personas beneficiarias de esos incentivos se encuentren involucradas o sean responsables de conductas contrarias al PdI la empresa puede solicitar la devolución de la compensación .
j) Comunicaciones internas: La Guía hace referencia a la utilización de aplicaciones de mensajería, dispositivos personales y plataformas de comunicaciones y la necesidad de que las empresas cuenten con políticas y procedimientos sobre el uso de esas herramientas de acuerdo al perfil de riesgo y que permitan la conservación de los datos e información almacenada.
Esos procedimientos deben contener reglas sobre privacidad, seguridad y uso, ya sea que la empresa otorga esos dispositivos, aplicaciones o plataformas o sean de propiedad de los colaboradores.
Reflexiones finales:
La guía recientemente actualizada continúa teniendo el mismo abordaje que en su versión anterior.
No obstante, dado que el avance de las nuevas tecnologías es inevitable y también su implementación por parte de las empresas tanto en sus procesos productivos o de prestación de servicios como en el ámbito de los programas de integridad, es que en esta última versión se pone especial énfasis en esta realidad.
Como se indicó, las regulaciones tanto en el uso y desarrollo de herramientas de IA como en materia de protección de datos personales ha ido avanzando (aunque aún quede camino por recorrer). Por lo tanto, las empresas es un tema que también deberán abordar y la guía del DOJ brinda pautas que podrían considerar, de la misma manera en que lo harán los fiscales.
Así, las empresas a la hora de diseñar, ejecutar y evaluar su programa de integridad deberán tener en cuenta los riesgos emergentes asociados con la utilización de herramientas de IA, promoviendo una cultura ética y transparente en el giro de sus negocios. Deberán integrar en sus políticas y procedimientos reglas sobre el uso de la IA de manera responsable y ética, ello con el objeto de minimizar posibles incumplimientos y garantizar la confidencialidad y seguridad de los datos.
En la Guía se destaca la importancia de la gestión de riesgos, la capacitación, la mejora continua y la debida diligencia en las relaciones con terceros. Por otro lado, el compromiso de la alta dirección y los mandos medios es esencial para asegurar que los estándares de integridad establecidos en los PdIs se implementen en todas las operaciones de la empresa.
1 La que puede encontrarse en https://www.justice.gov/criminal/criminal-fraud/page/file/937501
2 Ver https://www.ineaf.es/tribuna/inteligencia-artificial-y-compliance/
3 Ver https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R1689
4 Ver https://wb2server.congreso.gob.pe/spley-portal-service/archivo/MTE2MTkw/pdf
5 Ver https://www.diputados.gov.ar/diputados/vmoralesg/proyecto.html?exp=2505-D-2023 https://www4.hcdn.gob.ar/dependencias/dsecretaria/Periodo2024/PDF2024/TP2024/0805-D-2024.pdf
6 Ver https://www.camara.gov.co/inteligencia-artificial-1
7 Ver https://www.camara.cl/legislacion/proyectosdeley/tramitacion.aspx?prmID=16416&prmBOLETIN=15869-19
8 Ver https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
9 El memorándum se puede consultar en https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf
Esta Comisión tiene por finalidad identificar, analizar y evaluar estrategias para el diseño e implementación de un programa de cumplimiento, con la particularidad de poner el foco en el ser humano. Los programas de compliance son cada vez más sofisticados y, en teoría, perfectos, pero requieren un cambio corporativo cultural en el que el factor humano es central, pero naturalmente imperfecto. Las neurociencias complementadas por otras disciplinas como la psicología, la genética, la biología, la medicina, el derecho, la antropología y otras, son herramientas que permiten evaluar diferentes opciones a la hora de tender puentes entre un programa de compliance y el ser humano.
Reviví las actividades de esta comisión aquí
Esta Comisión se propone analizar aquellos aspectos de compliance vinculados a los datos personales y la privacidad, así como explorar los problemas morales vinculados a los datos, los algoritmos y las prácticas correspondientes, buscando las mejores soluciones tanto desde el punto de vista organizacional, como desde una perspectiva ética.
Reviví las actividades de esta comisión aquí
Esta Comisión surge con el fin de visibilizar y generar conciencia sobre las múltiples temáticas que refieren a la diversidad. Su objetivo es generar espacios de aprendizaje conjunto, reflexión, intercambio, debate y análisis de estas cuestiones, con foco principal en aspectos concernientes a ética y compliance, así como también promocionar y promover una cultura de respeto por la diversidad dentro de nuestra sociedad.
Esta Comisión se propone como objetivo incentivar y motivar a los concurrentes a una discusión entre pares sobre temas de defensa de la competencia, con foco en compliance y sobre la base de la normativa vigente.
Se propone un espacio para compartir experiencias y conocimiento, generando encuentros con dinámicas y temáticas atractivas, brindando, además, herramientas para la mejor implementación de los principios de competencia en el área de compliance.
Reviví las actividades de esta comisión aquí
Esta Comisión nuclea profesionales vinculados con estas actividades (incluyendo bancos, compañías financieras, bursátiles y aseguradoras), para trabajar en diversas temáticas tales como prevención de lavado de dinero, fintech, cumplimiento regulatorio, gobierno corporativo y toda otra cuestión que pudiera surgir a nivel contextual y tengan efectos o impacto en alguna de las industrias mencionadas.
Esta Comisión tiene por objetivo identificar las áreas de riesgo, analizar el contexto normativo y las tendencias doctrinarias y jurisprudenciales, a efectos de brindar pautas de conducta que permitan a directores, gerentes y oficiales de cumplimiento adoptar acciones para prevenir y/o mitigar las consecuencias penales de su actividad. Además, se analizan y desarrollan temáticas inherentes al ámbito del derecho penal, siempre desde una perspectiva eminentemente práctica y vinculadas con cuestiones de compliance (vg. investigaciones internas, procesos judiciales, validez probatoria en juicio, etc.).
Esta Comisión invita a profesionales de compliance y funcionarios a explorar las alternativas de aplicación de las buenas prácticas de compliance corporativo en el ámbito estatal. La comisión es, a su vez, un espacio de reflexión teórica sobre public compliance y un grupo de estudio sobre las mejores prácticas en la materia, en organismos públicos y empresas estatales. Asimismo, funciona como un ámbito de networking genuino e intercambio de experiencias entre expertos en anticorrupción y compliance, practicantes recién llegados a la disciplina y funcionarios de todos los niveles y poderes del Estado.
Esta Comisión aborda los temas concernientes a compliance en la industria farmacéutica y dispositivos médicos, en un ámbito profesional de confianza que auspicia el debate abierto de problemáticas de interés común.
Reviví las actividades de esta comisión aquí
Esta Comisión propone ser un lugar de encuentro de los profesionales que se desarrollan en prácticas vinculadas con la prevención, detección y respuesta al fraude en las organizaciones. La comisión trabaja activamente para desarrollar y compartir entre pares las mejores prácticas del mercado en materia anti-fraude y anti-corrupción.
Esta Comisión propone una dinámica teórico-práctica, cuyo alcance se vincula con las cuestiones metodológicas que coadyuvan a la implementación de un sistema de gestión, mediante la aplicación de uno o más estándares tales como –por ejemplo- ISO 19600, ISO 31.000, la implementación de una nueva normativa, o el diseño e implementación de planes de acción específicos. La Comisión se focaliza en aspectos de la gestión y en la resolución de los diversos problemas que se presentan en la realidad de las empresas (ya sean públicas o privadas y sin importar la actividad a la cual se dedican).
El Propósito de esta Comisión es permear la perspectiva de Sostenibilidad en la gestión estratégica del Compliance, profundizando la interrelación virtuosa que existe entre ambas disciplinas. Pretende ser un espacio no sólo de difusión y divulgación de temas vinculados a la Sostenibilidad, sino además -y especialmente- un catalizador de iniciativas que la promuevan entre todos los grupos de interés del ecosistema de la AAEC.
Esta Comisión invita a todas a aquellas personas con interés en promover buenas prácticas de Sostenibilidad a ser parte e involucrarse activamente en las distintas acciones que se lleven adelante.
Reviví las actividades de esta comisión aquí
El objetivo de esta comisión consiste en tomar temas de interés o estudio de la AAEC y presentarlos para conversación, discusión y reflexión, desde la perspectiva de distintos marcos conceptuales, integrando los puntos de vista de varias comisiones de estudio. En este sentido, esta comisión propone una actividad con la característica de transversalidad.
La Comisión contribuirá de este modo a generar espacios de actualización, reflexión, o debate sobre diversos temas que son de interés de la AAEC por encontrarse dentro del marco conceptual de su trabajo. Los temas podrán ser cuestiones sobre las que la AAEC desea generar conciencia o cultura ética o temas de actualidad de la agenda del país, de la región o incluso a nivel mundial.