Los riesgos de la mensajería efímera y su impacto en los programas de Compliance

0
1090

Por Viviana Chávez Bravo

Asociada Principal del Estudio Echecopar

A la fecha son varias las aplicaciones que permiten a los usuarios enviar mensajes efímeros -esto es, mensajes que se eliminan luego de ser abiertos por el receptor- o mensajes que se autodestruyen una vez transcurrido cierto tiempo desde su envío. Si bien inicialmente los servicios de mensajería efímera fueron utilizados principalmente para el intercambio de mensajes en el contexto social -específicamente ganaron el interés de los adolescentes durante el confinamiento por la pandemia del COVID 19-, a la fecha estos son utilizados por usuarios de toda edad y no solo en el contexto social, sino también a la hora de hacer negocios. Asimismo, algunos de dichos servicios de mensajería permiten también el envío de mensajes encriptados, esto es, mensajes cuya recuperación resulta difícil, sino imposible.

Desde la perspectiva de las empresas, este tipo de aplicaciones se presentan como alternativas muy atractivas a fin de intercambiar información altamente sensible de manera segura y más rápida -en relación, por ejemplo, a los servicios de envío seguro de correos electrónicos. Imaginemos el caso de un equipo de una empresa de innovación, que viene trabajando en un proyecto: podrá ver en estas aplicaciones una excelente opción para compartir con sus compañeros información relacionada al proyecto de manera ágil, sin la preocupación de que esta pudiera ser de acceso por parte de terceros no autorizados -desde hackers, hasta competidores que vean en el espionaje empresarial un medio para lograr sus objetivos.

Ahora bien, esto que puede presentarse como una ventaja para los negocios, despierta la preocupación de las autoridades, siendo que su uso podría obstaculizar el ejercicio de sus funciones. A manera de ejemplo, optar por el uso de estas aplicaciones para el intercambio de información empresarial podría limitar la capacidad de las empresas para atender requerimientos de información formulados por dichas autoridades y/o cumplir con obligaciones de transparencia. En efecto, siendo que los mensajes que son objeto de intercambio se eliminan (de manera inmediata tras su envío o transcurrido un breve periodo) y/o se encuentran encriptados, no podrían ser recuperados a fin de ser puestos en conocimiento de las autoridades, limitando así el acceso por parte de estas a parte de la información. Y lo anterior solo pensando en las dificultades que, desde el plano de la legalidad —esto es, asumiendo que las empresas utilizan los servicios de mensajería efímera para el intercambio lícito de comunicaciones—, su uso podría suponer.

Sin embargo, estos servicios bien podrían ser utilizados para encubrir intercambios de información que sean en sí mismos ilícitos y/o que podrían revelar la comisión de prácticas ilegales. Al respecto, planteamos dos ejemplos que, a su vez, se refieren a dos de los principales riesgos legales que enfrentan las empresas en la actualidad: (i) la comisión de prácticas anticompetitivas y (ii) la comisión de prácticas corruptas.

En el caso (i), a través de los servicios de mensajería efímera, empresas competidoras podrían intercambiar información altamente sensible y/o llevar a cabo coordinaciones con el objeto o efecto de incurrir en prácticas anticompetitivas (por ejemplo, acuerdos de precios, reparto de mercado, coordinaciones en el marco de licitaciones, entre otros similares). En lo que respecta a (ii), a través de las aplicaciones con mensajería efímera, las empresas podrían tomar contacto con funcionarios públicos a fin de coordinar la entrega de beneficios en su favor y/o en favor de terceros (por ejemplo, personas de su grupo familiar o social) a cambio de realizar determinados actos (u omitir su realización).

Es sabido que la persecución de ilícitos como los indicados en (i) y (ii) es, por naturaleza, muy difícil (por decir lo menos). Sin embargo, el uso de aplicaciones con mensajería efímera solo hace que esta tarea sea aún más compleja.

Sobre los riesgos que el uso de aplicaciones efímeras tienen en los negocios ya se han pronunciado algunas autoridades alrededor del mundo —principalmente, en Estados Unidos—, siendo la Securities Exchange Commission («SEC») la que más ha mostrado su preocupación sobre el particular. En un requerimiento sin precedentes, exigió a los bancos de Wall Street revisar los celulares de una docena de los más altos ejecutivos para determinar la frecuencia con la que utilizaban este tipo de plataformas para llevar a cabo negocios. Tras reconocer ante dicha autoridad el incumplimiento de las normas sobre preservación de información, 11 empresas acordaron pagar —en conjunto— multas por más de US$ 1.1 billones[1].

El incremento en el uso de estas nuevas tecnologías para el intercambio de información, así como la creciente preocupación respecto de este tema por parte de las autoridades, también supone —o debería suponer— un llamado de atención a las empresas, a fin de que adviertan que están enfrentando nuevos riesgos a resultas de ello y, en consecuencia, adopten las medidas de control que correspondan.

Por supuesto, mucho va a depender de la empresa de la que se trate y de la realidad de su negocio. En lo que respecta al riesgo de libre competencia, por ejemplo, no es lo mismo una empresa que se desenvuelve en un mercado altamente concentrado y en el que existe homogeneidad en los productos o servicios ofertados —esto es, un mercado en el que existen condiciones que facilitan la comisión de prácticas anticompetitivas—, que aquella empresa que participa en un mercado con un sin número de ofertantes y en el que la oferta de cada uno de estos es variada, pues el riesgo de arribar a acuerdos anticompetitivos —sirviéndose del intercambio de mensajería efímera— en este último escenario es muy bajo. Situación similar ocurre con el riesgo de corrupción, al que también nos hemos referido en párrafos precedentes. No será lo mismo una empresa cuya interacción con funcionarios públicos es intensa y frecuente (por ejemplo, porque es una empresa cuyo giro de negocio es la venta de productos o prestación de servicios al Estado), que aquella empresa que solo en contadas oportunidades debe realizar gestiones ante entidades públicas.

No obstante lo anterior, lo que resulta innegable es que los riesgos derivados del uso de estas nuevas tecnologías impactan —en mayor o menor medida— en cualquier organización, y estas deben ser conscientes de que es así a fin de implementar las medidas de prevención y/o mitigación que resulten necesarias conforme a su realidad. Ahora bien, la pregunta es, ¿acaso las empresas ya han identificado, como parte de sus riesgos, los derivados del uso de mensajería efímera? Nos atrevemos a decir que, salvo algunas excepciones, la respuesta es no. Sin embargo, esto es algo que, poco a poco, tendrá que cambiar.

Cada vez son más las empresas que —acertadamente— encuentran en los programas de Compliance el modo de enfrentar los riesgos legales propios de su negocio. Buscando simplificar —a los efectos de este artículo— un concepto por demás amplio y complejo, el Compliance suele ser utilizado para hacer referencia a estructuras implantadas al interior de una organización con el objetivo de prevenir y/o mitigar riesgos de incumplimiento del marco legal y/u otros estándares a los que esta se encuentra expuesta. Se trata de un conjunto de herramientas —que incluyen políticas, procedimientos, controles financieros, entre otros— que guían la actuación de la empresa hacia el cumplimiento.

A efectos de implementar un programa de Compliance idóneo —esto es, que efectivamente sirva para prevenir o, en su defecto, mitigar riesgos—, el primer paso consiste en identificar las actividades, operaciones y/o procesos que suponen una mayor exposición a la comisión de ilícitos, así como identificar las conductas que pueden incrementar o crear nuevos riesgos. A esto se le conoce como identificación de riesgos. Es preciso anotar que la identificación de riesgos no es un ejercicio que se realiza una única vez, cuando se decide implementar un programa de Compliance, sino cada cierto tiempo y/o en cada oportunidad en la que ocurra algún cambio (interno o externo a la organización) que así lo exija.

En lo que respecta al tema objeto de este artículo, la intensificación en el uso de aplicaciones de mensajería efímera para el intercambio de comunicaciones en el ámbito de los negocios, por ejemplo, constituye una circunstancia que debería merecer una revisión del ejercicio de identificación de riesgos realizado por las empresas, a fin de que sea incluida como un factor que incrementa el riesgo de exposición a la comisión de determinados ilícitos. Las empresas no deberían esperar a que el riesgo se materialice para empezar a prestar atención a este tema; sino que, más bien, deberían tener un enfoque preventivo y proactivo. En ese sentido se ha pronunciado ya la SEC hace un tiempo, precisamente a propósito de reflexionar sobre los nuevos riesgos que supone el incremento en el uso de dispositivos electrónicos en los negocios en general y, en particular, sobre el uso de servicios de mensajería efímera[2].

Al reconocer el uso intensivo de aplicaciones de mensajería efímera como un factor que puede coadyuvar a la materialización de riesgos —específicamente, de la comisión de ilícitos—, la empresa estará en posición de implementar controles adecuados que busquen prevenir o mitigar los citados riesgos. Dichos controles, dependiendo de la realidad de la organización, podrán ir desde la absoluta prohibición del uso de los servicios de mensajería efímera para efectos del negocio, hasta el uso de dichos servicios bajo determinadas reglas aplicables.

Si bien no es objeto del presente artículo plantear cómo es que este nuevo escenario de riesgos deberá ser afrontado por las empresas —toda vez que además, según ya ha sido indicado, eso dependerá de las muy particulares características de cada una de ellas—, sí lo es compartir algunas ideas preliminares. A modo de ejemplo, en el caso de empresas en las que el uso de dichos servicios pudiera dar lugar al incumplimiento de una obligación legal (por ejemplo, una obligación de retención de comunicaciones y/o de transparencia), la mejor medida será prohibir el uso de los servicios de mensajería efímera o, en su defecto, limitarlo al intercambio de comunicaciones puntuales.

En el caso de empresas en las que el uso de dichos servicios no sea susceptible de colocarlas en una posición de incumplimiento del marco legal, más sí pudiera incrementar su riesgo de exposición a la comisión de ilícitos, lo que correspondería sería implementar controles que limiten su uso y garanticen que se realice dentro de los límites legales. En efecto, en estos casos, impedir su uso no se presentaría como una medida proporcional, pues no se puede negar la utilidad que el uso de estos servicios de mensajería efímera tiene en los negocios —la posibilidad de intercambiar información sensible de manera segura y ágil—; sin embargo, sí resulta importante establecer límites adecuados a esos efectos, conforme a las necesidades de la organización.

Retomando los ejemplos planteados en párrafos precedentes, en el caso de empresas particularmente expuestas al riesgo de comisión de prácticas anticompetitivas (acuerdos entre competidores), una alternativa sería prohibir —a través de una política— el uso de servicios de mensajería efímera para el intercambio de comunicaciones con terceros ajenos a la organización (específicamente, con competidores). Así, en estos casos, el uso de dichos servicios de mensajería efímera se reservaría, exclusivamente, al intercambio de comunicaciones al interior de la organización.

En lo que respecta al riesgo de comisión de prácticas corruptas, una medida de control adecuada —sobretodo para aquellas empresas que interactúan con frecuencia con funcionarios públicos— sería limitar o impedir —a través de políticas— el intercambio de comunicaciones con funcionarios públicos usando servicios de mensajería efímera, estableciendo que todo intercambio con ellos se realice a través de medios oficiales (por ejemplo, correos electrónicos institucionales).

Otra medida complementaria a las antes anotadas sería la realización de sesiones de entrenamiento al personal de la empresa, en las que se profundice sobre los riesgos que podría traer consigo el uso de servicios de mensajería efímera en incumplimiento de las políticas establecidas. Sobre este punto, es importante no perder de vista la importancia de que las personas llamadas a aplicar las políticas en su día a día comprendan el porqué de estas. Esto hace la diferencia entre una política que queda guardada en un cajón y una política que es interiorizada por los empleados y cuyas disposiciones guían su actuación, lo que permite en última instancia garantizar la plena efectividad de un programa de Compliance.

Es preciso recordar que la implementación de programas de Compliance —además de constituirse en una herramienta fundamental para la prevención de riesgos legales— ha sido reconocida por diversas legislaciones como un medio a fin de lograr la reducción y/o exención de la sanción[3]. Ahora bien, a fin de que sirva a esos efectos, se requiere que el programa en cuestión sea idóneo para prevenir los riesgos legales. En lo que respecta al tema bajo análisis, un programa de Compliance que no reconozca los riesgos que el uso de aplicaciones de mensajería efímera supone, que no cuente con medidas para su prevención (por ejemplo, políticas, entrenamientos, entre otros) y/o en el que no se desplieguen los esfuerzos necesarios para verificar que las medidas establecidas se cumplan, probablemente no servirá a efectos de lograr una exención de responsabilidad o la atenuación de una potencial multa en caso de comisión de una práctica ilícita facilitada por el uso de la citada tecnología.

Al respecto, la Fiscal General Adjunta del Departamento de Justicia de los Estados Unidos, Lisa O. Monaco, emitió en el mes de setiembre de 2022 un memorándum que busca dar lineamientos en relación a cómo los fiscales deberán analizar, entre otros aspectos, la solidez de los programas de Compliance de las empresas. En dicho memorándum, la citada Fiscal resalta los retos que supone para las empresas el uso de servicios de mensajería efímera, y refiere que el modo en el cual las empresas manejen el uso de este tendrá un impacto en la evaluación de la efectividad del programa de Compliance[4].

A propósito de comentar lo establecido en dicho memorándum, funcionarios de la SEC y del Departamento de Justicia de los Estados Unidos[5] se refirieron a cuáles eran sus expectativas en relación con las políticas de las compañías sobre servicios de mensajería efímera, advirtiendo que medidas de control poco robustas sobre el particular podrían impedir que las empresas obtengan los beneficios de reducción de la pena en caso sean objeto de una investigación.

Si bien este es un tema que aún no ha sido materia de evaluación y/o discusión por parte de las autoridades peruanas, es de esperar que apliquen criterios similares a los antes indicados.

Por lo antes señalado, más allá de las medidas que se adopten —sean las planteadas en términos generales en este artículo u otras—, lo importante es que cada empresa sea consciente que enfrenta un nuevo escenario de riesgos como resultado del uso de los servicios de mensajería efímera, que se trata de un tema que en otras jurisdicciones ha despertado la preocupación de las autoridades (siendo cuestión de tiempo que lo mismo ocurra con las autoridades peruanas) y que, en ese sentido, corresponde hacer los esfuerzos necesarios a fin de implementar las medidas de prevención que correspondan según sus necesidades (mientras más pronto, mejor).

 


Referencias: 

[1] A fin de relevar la gravedad que esta situación supone para el mercado financiero, el Presidente de la SEC, Gary  Gensler, señaló que: «Las finanzas, en última instancia, dependen de la confianza. Al no cumplir con sus obligaciones de mantenimiento de registros y libros, los participantes del mercado a los que hemos acusado hoy no han podido mantener esa confianza». Traducción simple de: “Finance, ultimately, depends on trust. By failing to honor their recordkeeping and books-and-records obligations, the market participants we have charged today have failed to maintain that trust.” Texto tomado de: https://www.sec.gov/news/press-release/2022-174

[2] En relación a la importancia de tener una aproximación proactiva se pronunció el Director de la División de Enforcement de la SEC en el año 2021, en los siguientes términos: «Un enfoque proactivo de Compliance requiere que los participantes del mercado no esperen al inicio de una acción de enforcement para implementar políticas y procedimientos adecuados para preservar estas comunicaciones y anticipar estos retos emergentes. Necesitan estar pensando y atendiendo activamente los varios riesgos de cumplimiento que surgen del incremento en el uso de dispositivos personales, nuevos medios de comunicación y otros desarrollos tecnológicos como las aplicaciones de mensajería efímera». Traducción simple de: «A proactive compliance approach requires market participants to not wait for an enforcement action to put in place appropriate policies and procedures to preserve these communications and anticipate these emerging challenges. (…)You need to be actively thinking about and addressing the many compliance issues raised by the increased use of personal devices, new communications channels, and other technological developments like ephemeral apps». Discurso de Gurbir S. Grewal, Director de la División de Enforcement, de fecha 6 de octubre de 2021, disponible en: https://www.sec.gov/news/speech/grewal-pli-broker-dealer-regulation-and-enforcement-100621

[3] Conforme al artículo 17 de la Ley N° 30424, que regula la responsabilidad de las personas jurídicas por la comisión de delitos, las empresas que hubieran cometido delitos de corrupción, lavado de activos y financiamiento del terrorismo, colusión y/o tráfico de influencia, pero que hubieran implementado programas de Compliance idóneos con anterioridad, quedarán exentas de responsabilidad. Asimismo, si bien la Ley de Represión de Conductas Anticompetitivas (Decreto Supremo N° 030-2019-PCM) no lo reconoce expresamente así, la autoridad de libre competencia (el INDECOPI) ha señalado en la Guía de Programa de Cumplimiento de las Normas de Libre Competencia (disponible en: https://cdn.www.gob.pe/uploads/document/file/2131129/Gu%C3%ADa%20de%20Programas%20de%20Cumplimiento%20de%20las%20Normas%20de%20Libre%20Competencia.pdf?v=1629901602) que la implementación efectiva de un programa de Compliance en libre competencia podrá ser valorado como un atenuante de responsabilidad.

[4] En el memorandum de fecha 15 de setiembre de 2022, sobre «Further Revisions to Corporate Criminal Enforcement Policies Following Discussions with Corporate Crime Advisory Group», la fiscal Lisa O. Monaco señaló que: «Cómo las empresas gestionan el uso de dispositivos personales y plataformas de mensajería de terceros puede impactar en la evaluación que el fiscal realice sobre la efectividad del programa de compliance de una corporación (…)». Traducción simple de: «How companies address the use of personal devices and third-party messaging platforms can impact a prosecutor’s evaluation of the effectiveness of a corporation’s compliance program, as well as the assessment ofa corporation’s cooperation during a criminal investigation».

[5] Estas declaraciones fueron realizadas en el marco de 40 Conferencia Internacional sobre FCPA – Foreign Corrupt Practices Act, que se llevó a cabo en Washington en setiembre de 2022.