Por Paula Honisch y Alejandra Freire.
Introducción. Alcance y contexto
El pasado mes de septiembre el Departamento de Justicia de EEUU (DOJ por sus siglas en inglés) publicó una nueva actualización de la “Evaluation of Corporate Compliance Programs” —a la que denominaremos en este trabajo como Guía para la Evaluación de Programas de Cumplimiento Corporativo—1 en el contexto de la Ley de Prácticas Corruptas en el Extranjero (FCPA).
Vale recordar que esta guía fija las pautas que los fiscales considerarán para evaluar los Programas de Compliancias -quienes lo harán en dos momentos claves: uno, al momento del delito presunto y dos, al momento de la resolución de caso- y por lo tanto, es de especial interés, también para las empresas al momento de diseñar un Programa y de monitorear internamente su funcionamiento.
Las principales modificaciones introducidas en esta oportunidad, y sobre las que nos centraremos en este trabajo, se refieren a la utilización de inteligencia artificial (en adelante IA) tanto en las operaciones propias de la empresa como en su programa de cumplimiento o integridad (en adelante PdI).
El avance de nuevas tecnologías y especialmente de la IA en los últimos tiempos ha generado que tanto el sector público como el sector privado incorporen herramientas de IA para mejorar y fortalecer sus procesos de gestión de datos. En consecuencia, los PdI no han sido ajenos a esas prácticas, incluyendo esas herramientas en la búsqueda de perfeccionar las tareas de identificación de riesgos, de conductas de incumplimiento, gestión de denuncias, monitoreo y evaluación de las políticas y procedimientos que integran el PdI y su posterior revisión y actualización.
Hasta el momento no se han identificado datos que permitan evaluar el avance real de la implementación de IA en programas de integridad a nivel global. No obstante, sí se puede mencionar, por ejemplo, que en España el 50% de los compliance officers indican que las herramientas basadas en IA tienen un alto impacto en su trabajo y que deben establecerse políticas para regular su uso y nombrar responsables de su implementación.2
En línea con esa necesidad, a nivel global ha habido distintos tipos de avance en materia de regulación en torno al uso de la IA. En la Unión Europea se aprobó en junio el Reglamento (UE) 2024/1689 sobre inteligencia artificial3. En Latam la regulación es más incipiente, pero podemos mencionar algunos ejemplos, como la ley de promoción del uso de la IA de Perú que establece la obligación de cumplir con estándares de seguridad basados en riesgos para su desarrollo e implementación y desarrollo ético4, en Argentina5, Colombia6, Chile7 y Brasil8 se han presentado proyectos para su tratamiento por parte del poder legislativo para mencionar algunos ejemplos.
Actualización de la Guía DOJ
Ahora sí, en relación específicamente a la Guía, vale indicar que toma el concepto de inteligencia artificial desarrollado en el Memorando M-24-10 sobre “Fomento de la gobernanza, la innovación y la gestión de riesgos para el uso de inteligencia artificial por parte de las agencias” elaborado por la Oficina de Gestión y Presupuesto del Gobierno de EEUU, publicado en marzo de 20249.
La definición es amplia e incluye sistemas que son autónomos, parcialmente autónomos y no autónomos, y que funcionan con y sin supervisión humana.
Así, en los términos de la Guía un sistema de inteligencia artificial tiene las características de:
- Realizar tareas en las que se presentan circunstancias que son variables y no se pueden prever, sin que tenga una supervisión humana que sea significativa y/o que tenga la capacidad de aprender de la experiencia y en base a esa experiencia mejorar en el desarrollo de las tareas asignadas.
- Cuando es desarrollado en software y/o hardware que realiza tareas que necesita de la percepción, cognición, planificación, aprendizaje o comunicación similares a las que realizaría una persona humana.
- Cuando es diseñado para pensar o actuar como una persona humana.
- Cuando contiene un conjunto de técnicas, incluido el aprendizaje automático, diseñado para aproximarse a una tarea cognitiva.
- Cuando es diseñado para actuar racionalmente, ya sea a través de un software inteligente o un robot incorporado que logra objetivos utilizando la percepción, la planificación, el razonamiento, el aprendizaje, la comunicación, la toma de decisiones y la puesta en práctica.
Es necesario aclarar que esa definición no incluye la automatización de procesos ni otras tareas que se ejecuten por reglas definidas por personas humanas o que el aprendizaje consista en repetir lo observado exactamente de la misma forma, sin realizar cambios ni toma de decisiones.
Implicancia para las empresas
La Guía actualizada continúa basándose en las mismas tres preguntas fundamentales que ya se habían definido. Éstas son las que serán consideradas por los fiscales y en base a las cuales comenzarán el proceso de evaluación de los PdIs. Por lo tanto, son estas preguntas las que deben ser tenidas en cuenta al momento de diseñar, ejecutar y evaluar un programa de integridad.
Esas tres preguntas consisten en responder si:
- ¿Está bien diseñado el programa de integridad de la empresa?
- ¿El Programa cuenta con los recursos y la capacidad necesarios para funcionar de manera eficaz?
- ¿El Programa funciona en la práctica?
A continuación, presentaremos algunas de las principales características y/o prácticas que, de acuerdo a la Guía, deberían considerarse para responder estos interrogantes incluyendo el impacto que podría tener la utilización de la inteligencia artificial y el procesamiento de datos, como ser:
a) Gestión de riesgos: Las empresas deben contar con procedimientos que les permitan identificar riesgos emergentes que afectan al perfil de riesgo propio de la empresa.
En ese sentido y en particular respecto de la gestión de riesgos para garantizar el cumplimiento de la normativa vigente, se incorporan aspectos a considerar relacionados con la utilización de nuevas tecnologías, la evaluación del impacto de la IA para cumplir leyes penales y otros riesgos empresariales.
En la guía se recomienda considerar el posicionamiento de la empresa en relación a la utilización de IA en su actividad comercial y también respecto del programa de cumplimiento. Por lo tanto, se indica que, en caso de que se admitiese su uso, debiera evaluarse cuáles serían las medidas mitigantes y los controles para garantizar su uso responsable y para capacitar a los colaboradores.
b) Políticas y procedimientos: Las empresas deben contar con un Código de Conducta y otras políticas y procedimientos para gestionar y mitigar sus riesgos. Entre esas políticas y procedimientos ahora se establece que las organizaciones deben elaborar procesos que permitan identificar, analizar y gestionar los riesgos emergentes relacionados a la utilización de nuevas tecnologías y el cumplimiento normativo respecto de la regulación vigente, debiendo estar todas esas políticas y procedimientos accesibles a todos los colaboradores.
c) Capacitación y comunicaciones: Ese eje continúa siendo clave para la eficacia de un PDI. Se establece al respecto que las políticas y los procedimientos deben ser comunicados a los colaboradores y que debe diseñarse un plan de capacitación basado en riesgos y que considere las particularidades de sus destinatarios. Además, debe procurarse que se aborden situaciones que se hubieren presentado en la empresa y las lecciones aprendidas, evaluándose la efectividad de las capacitaciones dictadas.
A su vez, para garantizar el efectivo cumplimiento de las políticas y procedimientos y prevenir la toma de decisiones equivocadas, se recomienda que las empresas cuenten con canales de consulta a través de los cuales los colaboradores puedan evacuar dudas sobre situaciones que se presenten y la puesta en práctica de las políticas y procedimientos.
d) Mejora continua, pruebas periódicas y revisión: Este es otro punto clave para la evaluación de los PDI. Pues, por un lado, debe partirse de la base de que ningún programa de integridad, por más efectivo que sea, podría prevenir la totalidad de las conductas que podrían implicar algún tipo incumplimientos tanto por parte de sus colaboradores como de sus terceras partes. Por otro lado, pues debe considerarse que a lo largo de la vida de la empresa irán emergiendo nuevos riesgos (y/o con la madurez del programa se identificarán riesgos que antes no se visibilizaban), irán cambiando sus relaciones con terceros, el giro de sus negocios y la legislación aplicable. Por lo tanto, todas estas situaciones son las que harán mandatorio que el PdI también deba ir adaptándose y madurando, adecuándose a los nuevos riesgos identificados, considerando las lecciones aprendidas, las conductas indebidas que no fue posible prevenir, los cambios en el entorno de relaciones con terceros y la normativa vigente, para promover la mejora continua de su Programa y de sus esfuerzos para promover una cultura de compliance.
Respecto de la eficacia de los controles, si bien la evaluación va a depender del tamaño y la complejidad de la empresa, la guía menciona, por ejemplo, que algunas empresas realizan encuestas a sus colaboradores para evaluar la implementación de los controles y/o realizan auditorías periódicas sobre el funcionamiento de los controles.
En este sentido se señala que, en el caso de que la empresa utilice nuevas tecnologías como IA tanto en sus operaciones comerciales como en su programa de integridad, debe realizar monitoreos sobre su funcionamiento que permitan detectar y corregir en su caso decisiones que ha tomado la herramienta de IA que sean contrarias a los valores de la empresa.
Gestión de denuncias y protección de denunciantes: Por supuesto que en la guía se señala el deber que tienen las empresas de contar con canales que permitan la formulación de denuncias respecto de incumplimientos de las políticas y procedimientos que integran el programa de integridad, así como de tener un procedimiento para la gestión de esas denuncias. El procedimiento debe permitir las denuncias anónimas y con reserva de identidad, las investigaciones sobre los hechos denunciados deben ser independientes, objetivas, deben documentarse adecuadamente, ser llevadas adelante por personal capacitado y en un plazo razonable.
Asimismo, se exige que se implementen medidas proactivas para crear un ambiente de trabajo sin temor a represalias ante la formulación de una denuncia y mecanismos de protección de denunciantes y que las empresas evalúen la eficacia de su canal de denuncias a los efectos de identificar patrones de conducta o señales de alerta sobre los incumplimientos y tomar medidas para prevenir que se repitan en el futuro.
e) Debida diligencia de terceras partes y gestión de relaciones: la empresa debe aplicar mecanismos de debida diligencia basados en riesgos respecto de sus relaciones con terceras partes como ser consultores, distribuidores, proveedores, socios externos, de acuerdo al modelo de negocio y prácticas comerciales propias de la empresa.
Asimismo, se establece que también deben contar con herramientas que le permitan gestionar esas relaciones como el establecimiento de incentivos de cumplimiento disciplinarios o financieros, supervisión, auditorías, capacitación, y con señales de alerta que permita implementar tratamientos acordes a los riesgos que cada tercero pudiera representar.
f) Fusiones y adquisiciones (M&A): se debe realizar una debida diligencia integral cuando se inicia un proceso de adquisición o fusión a los efectos de identificar y evaluar los riesgos de integridad y en su caso evitar que incumplimientos detectados en la empresa a adquirir o con la cual se va a fusionar continúen con posterioridad, como así también diseñar un mecanismo de implementación o integración del programa de integridad con posterioridad a la adquisición o fusión empresarial.
g) Compromiso de la alta dirección y la gerencia media: La guía enfatiza en que la eficacia de un programa de integridad requiere, del compromiso de la alta gerencia y de los mandos medios. Ese compromiso opera como condición necesaria para que pueda transmitirse y generarse una cultura ética en el desarrollo de las actividades de la empresa.
Para ello la alta gerencia y mandos medios deben transmitir y difundir en términos claros los estándares de integridad de la empresa, dar el ejemplo con sus propias acciones y transmitir a los colaboradores que los objetivos de la empresa se deben alcanzar actuando en cumplimiento de esos estándares de integridad. Asimismo, deben involucrarse y estar informados sobre los incumplimientos y denuncias realizadas y tomar medidas de mejora continua del programa.
h) Autonomía y recursos: Las áreas responsables de integridad deben contar con la autonomía suficiente, personal con conocimiento y experiencia y recursos adecuados (incluidas herramientas de análisis de datos y nuevas tecnologías) que les permita llevar adelante las acciones tendientes a diseñar, ejecutar y evaluar las políticas y procedimientos en materia de integridad.
i) Incentivos y gestión de consecuencias: En la Guía continúa enfatizándose la importancia de que los programas de integridad deban tener incentivos para fomentar el cumplimiento y desalentar el incumplimiento de las políticas y procedimientos de la empresa, ya sean disciplinarios, financieros como ser compensaciones, recompensas o bonificaciones, o laborales como sistemas de promoción y ascenso. Los sistemas de incentivos por otra parte deben aplicarse en forma uniforme y sus decisiones ser transparentes. Un ejemplo de incentivos positivos es establecer sistemas de compensación para los colaboradores que actúen de acuerdo a los estándares de integridad de la empresa, y en los casos en los que las personas beneficiarias de esos incentivos se encuentren involucradas o sean responsables de conductas contrarias al PdI la empresa puede solicitar la devolución de la compensación .
j) Comunicaciones internas: La Guía hace referencia a la utilización de aplicaciones de mensajería, dispositivos personales y plataformas de comunicaciones y la necesidad de que las empresas cuenten con políticas y procedimientos sobre el uso de esas herramientas de acuerdo al perfil de riesgo y que permitan la conservación de los datos e información almacenada.
Esos procedimientos deben contener reglas sobre privacidad, seguridad y uso, ya sea que la empresa otorga esos dispositivos, aplicaciones o plataformas o sean de propiedad de los colaboradores.
Reflexiones finales:
La guía recientemente actualizada continúa teniendo el mismo abordaje que en su versión anterior.
No obstante, dado que el avance de las nuevas tecnologías es inevitable y también su implementación por parte de las empresas tanto en sus procesos productivos o de prestación de servicios como en el ámbito de los programas de integridad, es que en esta última versión se pone especial énfasis en esta realidad.
Como se indicó, las regulaciones tanto en el uso y desarrollo de herramientas de IA como en materia de protección de datos personales ha ido avanzando (aunque aún quede camino por recorrer). Por lo tanto, las empresas es un tema que también deberán abordar y la guía del DOJ brinda pautas que podrían considerar, de la misma manera en que lo harán los fiscales.
Así, las empresas a la hora de diseñar, ejecutar y evaluar su programa de integridad deberán tener en cuenta los riesgos emergentes asociados con la utilización de herramientas de IA, promoviendo una cultura ética y transparente en el giro de sus negocios. Deberán integrar en sus políticas y procedimientos reglas sobre el uso de la IA de manera responsable y ética, ello con el objeto de minimizar posibles incumplimientos y garantizar la confidencialidad y seguridad de los datos.
En la Guía se destaca la importancia de la gestión de riesgos, la capacitación, la mejora continua y la debida diligencia en las relaciones con terceros. Por otro lado, el compromiso de la alta dirección y los mandos medios es esencial para asegurar que los estándares de integridad establecidos en los PdIs se implementen en todas las operaciones de la empresa.
1 La que puede encontrarse en https://www.justice.gov/criminal/criminal-fraud/page/file/937501
2 Ver https://www.ineaf.es/tribuna/inteligencia-artificial-y-compliance/
3 Ver https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R1689
4 Ver https://wb2server.congreso.gob.pe/spley-portal-service/archivo/MTE2MTkw/pdf
5 Ver https://www.diputados.gov.ar/diputados/vmoralesg/proyecto.html?exp=2505-D-2023 https://www4.hcdn.gob.ar/dependencias/dsecretaria/Periodo2024/PDF2024/TP2024/0805-D-2024.pdf
6 Ver https://www.camara.gov.co/inteligencia-artificial-1
7 Ver https://www.camara.cl/legislacion/proyectosdeley/tramitacion.aspx?prmID=16416&prmBOLETIN=15869-19
8 Ver https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
9 El memorándum se puede consultar en https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf
