Resumen ejecutivo
El año 2023 fue el de la consolidación del compliance como función estratégica empresarial y el de los grandes cambios legislativos con impacto en el mercado inmobiliario y laboral. La **Ley Whistleblower** (Ley Orgánica 2/2023) estableció la obligación de canales de denuncia para más de 200.000 empresas españolas. La **Ley de Vivienda** transformó el mercado de alquiler. Y el **AI Act** europeo avanzó decisivamente en su tramitación, con la aprobación del texto final en preparación y las primeras interpretaciones sobre su alcance y consecuencias.
En BMC, el departamento legal consolidó su práctica de compliance digital, protección de datos e IA, con más de 30 proyectos de implementación de sistemas de compliance en el año.
Principales destacados
La Ley Whistleblower fue el hito legislativo más relevante del año en el ámbito del compliance empresarial. La obligación de disponer de canales internos de denuncia se extendió a todas las empresas con 50 o más trabajadores, con plazos diferenciados según el tamaño. BMC desarrolló un servicio estructurado de implementación de sistemas de información (canales de denuncia), incluyendo la redacción del reglamento de gestión, la selección y configuración de la plataforma tecnológica, la designación del responsable del sistema y la formación de los usuarios.
La Ley de Vivienda generó una oleada de asesoramiento jurídico para propietarios individuales, grandes tenedores y fondos de inversión inmobiliaria. Las zonas de mercado tensionado, declaradas en varias ciudades por sus respectivas comunidades autónomas, introdujeron restricciones significativas sobre las rentas en los nuevos contratos. La distinción entre grandes tenedores (propietarios de 5 o más inmuebles en zonas tensionadas) creó nuevas categorías jurídicas con obligaciones específicas que afectaban a muchos inversores particulares.
La preparación para el AI Act fue la tarea de compliance proactivo más relevante del año. Aunque el Reglamento no fue formalmente aprobado hasta agosto de 2024, el texto acordado por el Parlamento Europeo en junio de 2023 ya era suficientemente detallado para iniciar los análisis de impacto. Las empresas que utilizaban IA en recursos humanos, crédito, videovigilancia o gestión de infraestructuras críticas iniciaron sus inventarios de sistemas y sus análisis de categorización por nivel de riesgo.
Análisis de áreas de práctica
Protección de datos: La AEPD acumuló sanciones de 7,8 millones de euros en 2023. Las áreas de mayor actividad sancionadora fueron el tratamiento de datos sin base jurídica, las transferencias internacionales de datos (especialmente hacia EE. UU. tras el establecimiento del Data Privacy Framework en julio) y el incumplimiento de los derechos de los interesados. El Data Privacy Framework UE-EE. UU. resolvió temporalmente la incertidumbre jurídica sobre las transferencias transatlánticas, aunque su solidez a largo plazo seguía siendo objeto de debate.
Compliance laboral y ESG: La consolidación del compliance de sostenibilidad como disciplina jurídica fue uno de los rasgos más relevantes del año. Las empresas obligadas a presentar el informe CSRD iniciaron los procesos de análisis de doble materialidad, identificación de stakeholders y recopilación de datos ESG. La vinculación entre el compliance ESG y la política de remuneración de los directivos comenzó a generalizarse en los grandes grupos.
Derecho concursal: El año 2023 vio la aplicación de los nuevos mecanismos de reestructuración pre-concursal introducidos por el Texto Refundido de la Ley Concursal. Los planes de reestructuración (equivalente a los Schemes of Arrangement anglosajones) ofrecieron nuevas herramientas para gestionar situaciones de dificultad financiera sin necesidad de acudir al concurso.
Cambios regulatorios
La Directiva CS3D (Directiva de Diligencia Debida en Sostenibilidad Empresarial, Directiva 2024/1760, en tramitación durante 2023) anticipó las próximas obligaciones de due diligence en derechos humanos y medio ambiente para las grandes empresas. Las empresas comenzaron a prepararse para los requisitos que aplicarían a partir de 2027.
Nuestros servicios de compliance y derecho empresarial se consolidaron como referencia en el asesoramiento sobre whistleblowing, ESG y protección de datos.
Perspectivas
El año 2024 traería la aprobación definitiva del AI Act, el inicio de las obligaciones CSRD para la primera oleada y las primeras sanciones específicas en materia de IA y protección de datos biométricos.
Nuestro equipo de derecho laboral y compliance lideró el acompañamiento de los clientes en la implementación de los nuevos requisitos de compliance, combinando rigor jurídico con soluciones prácticas adaptadas a cada organización.
