Las obligaciones de compliance no son solo para grandes corporaciones. Analizamos qué exigencias aplican realmente a la empresa familiar del middle-market y cómo implementarlas sin burocracia innecesaria.
La palabra compliance genera una mezcla de confusión y resistencia en la mayoría de los empresarios del middle-market español. Confusión porque no está claro qué obligaciones aplican a su empresa específica. Resistencia porque se percibe como una carga burocrática diseñada para grandes corporaciones que, aplicada al middle-market, solo genera costes y papeles.
Ambas reacciones son comprensibles pero peligrosas. Las obligaciones de compliance son reales, las consecuencias de incumplirlas son severas y, con un enfoque pragmático, su implementación no tiene por qué ser ni costosa ni disruptiva.
Desde la reforma del Código Penal de 2015, las personas jurídicas — incluidas las empresas familiares — pueden ser penalmente responsables de delitos cometidos por sus directivos o empleados. La implementación de un programa de compliance penal adecuado puede eximir o atenuar la responsabilidad penal de la empresa.
¿Es obligatorio? Técnicamente, no. Pero la ausencia de un programa de compliance puede agravar la responsabilidad de la empresa si un directivo o empleado comete un delito. Y en un proceso de venta, el comprador evaluará la existencia y calidad del programa como parte de su due diligence.
Un programa de compliance penal básico para una empresa del middle-market incluye: mapa de riesgos penales, código ético, canales de denuncia, protocolo de actuación ante denuncias y formación periódica. No necesita ser un documento de 200 páginas; necesita ser efectivo.
Toda empresa que trate datos personales — es decir, prácticamente todas — debe cumplir con el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales.
Las obligaciones principales incluyen: registro de actividades de tratamiento, análisis de riesgos, medidas de seguridad técnicas y organizativas, contratos con encargados del tratamiento, procedimientos para el ejercicio de derechos de los interesados y, en determinados casos, designación de un Delegado de Protección de Datos.
Las sanciones por incumplimiento pueden alcanzar los 20 millones de euros o el 4% de la facturación global. No es un riesgo teórico: la Agencia Española de Protección de Datos ha impuesto sanciones significativas a pymes en los últimos años.
Las empresas de determinados sectores — inmobiliario, hostelería, asesoría fiscal y contable, comercio de bienes de alto valor — están sujetas a la Ley de Prevención del Blanqueo de Capitales. Las obligaciones incluyen: identificación de clientes, análisis de operaciones sospechosas, comunicación al SEPBLAC y conservación de documentación.
La Ley 2/2023 de protección del informante obliga a todas las empresas con 50 o más trabajadores a disponer de un canal interno de denuncias. El canal debe garantizar la confidencialidad del denunciante, establecer un procedimiento de gestión de las denuncias y proteger al informante frente a represalias.
Las empresas con 50 o más trabajadores deben disponer de un plan de igualdad registrado. Las empresas con entre 50 y 100 trabajadores tuvieron que tenerlo implementado desde marzo de 2022.
Toda empresa con trabajadores debe tener un plan de prevención de riesgos laborales, realizar evaluaciones de riesgos y formar a sus empleados en materia de seguridad laboral. Las sanciones por incumplimiento pueden ser especialmente severas si se produce un accidente.
No todas las obligaciones tienen el mismo nivel de riesgo. La priorización debe basarse en la probabilidad de una inspección, la gravedad de las sanciones y la relevancia para el negocio.
Para la mayoría de las empresas del middle-market, las prioridades por orden son: protección de datos (sanciones elevadas y probabilidad real de inspección), prevención de riesgos laborales (consecuencias graves en caso de accidente), plan de igualdad y canal de denuncias (obligaciones recientes con plazos ya vencidos), compliance penal (protección ante riesgos de responsabilidad penal corporativa).
Un programa de compliance no necesita ser perfecto desde el primer día. Necesita existir y ser efectivo. Es mejor tener un programa básico implementado y funcionando que un programa perfecto en desarrollo perpetuo.
El compliance no debería ser un departamento aparte ni un sistema paralelo. Debe integrarse en los procesos de gestión existentes: los controles financieros deben incluir la verificación de cumplimiento fiscal y de blanqueo, los procesos de recursos humanos deben integrar la igualdad y la prevención de riesgos, la gestión de clientes y proveedores debe incluir la protección de datos.
La formación en compliance no debe ser una sesión anual teórica que nadie recuerda. Debe ser práctica, adaptada a la realidad de cada puesto y centrada en los riesgos reales que cada persona puede encontrar en su trabajo diario.
Un programa de compliance bien implementado no es solo una protección contra riesgos. Es una ventaja competitiva:
En procesos de venta. El comprador que encuentra un programa de compliance funcional durante la due diligence valora la profesionalidad de la gestión y reduce los descuentos por riesgo.
En relaciones con grandes clientes. Los grandes clientes corporativos exigen cada vez más que sus proveedores cumplan con estándares de compliance. Tener un programa implementado puede ser la diferencia entre ganar o perder un contrato.
En la atracción de talento. Los profesionales cualificados prefieren trabajar en empresas que operan con estándares éticos claros. El compliance es un indicador de madurez organizativa.
En Blue Mountain, la implementación de programas de compliance es una de las primeras medidas que adoptamos en las empresas que adquirimos. No como un ejercicio burocrático, sino como una expresión de nuestra filosofía de gestión: las empresas que operan dentro de la ley y con estándares éticos claros son empresas más sostenibles, más valoradas y más atractivas para todos los stakeholders.
El compliance no es un coste. Es una inversión en la sostenibilidad de la empresa. Y como toda buena inversión, se paga sola con el tiempo.
Si es abogado, asesor fiscal o gestor y acompaña a un cliente, podemos ser su interlocutor.
Véase también: La IA en la empresa tradicional.
Si desea explorar una posible colaboración o trasladarnos una oportunidad de inversión, le invitamos a ponerse en contacto con nosotros. Garantizamos absoluta confidencialidad en todas nuestras conversaciones.