Antes del 10 abril, empresas con más de 50 trabajadores tienen que comunicar el responsable del Canal Ético.
logo-audidat-2024.png
INTEGRA
AUDITORÍA SIN COSTE
CONTACTO
CONTACTO

Chief Compliance Officer: cómo afecta a tu empresa y qué exige la normativa penal

En este artículo hablamos sobre:

Chief Compliance Officer: cómo afecta a tu empresa y qué exige la normativa penal

La figura del Chief Compliance Officer ha cobrado una relevancia sin precedentes en el tejido empresarial español tras las profundas reformas legislativas que han modificado el paradigma de la responsabilidad corporativa. En el actual entorno regulatorio nacional y europeo, el control interno de las compañías exige perfiles profesionales altamente especializados y con una autoridad real e indiscutible dentro del organigrama. La designación de un oficial de cumplimiento ha dejado de ser una mera formalidad estética o un sello de prestigio para convertirse en una exigencia estructural clave, indispensable para operar con seguridad jurídica en mercados regulados y bajo la lupa constante de diversas autoridades administrativas, fiscales y judiciales.

Ignorar la necesidad ineludible de estructurar este rol directivo expone a la organización a consecuencias devastadoras en el ámbito de la responsabilidad penal de las personas jurídicas. Sin una supervisión independiente, constante y dotada de recursos reales, los tribunales de justicia interpretan automáticamente que existe un grave defecto de organización y una falta de cultura ética. Esta omisión estructural acarrea la imputación directa de la empresa y la exposición a multas económicas que pueden alcanzar fácilmente los cinco millones de euros, además de penas accesorias catastróficas como la clausura de locales, la prohibición para contratar con la Administración Pública o incluso la disolución definitiva de la mercantil infractora.

Para mitigar estas severas amenazas legales, los órganos de administración necesitan establecer sistemas preventivos sólidos que no se limiten a simples manuales teóricos, sino que se materialicen en procedimientos de control diario rigurosos. Implementar un modelo de Compliance penal certificado y auditado proporciona el marco metodológico necesario para garantizar que las operaciones corporativas se desarrollen dentro de la estricta legalidad. Audidat diseña estos esquemas organizativos de prevención asegurando que el responsable interno cuente con los protocolos, la autoridad y las evidencias documentales necesarias para proteger integralmente el patrimonio y la reputación de la entidad.

El rol del Chief Compliance Officer en el esquema corporativo preventivo

Audidat implementa Compliance penal mediante metodologías testadas conforme a la norma UNE 19601 y el estándar ISO 37301, y un equipo de consultores especializados en el entorno regulatorio con profundo expertise en los preceptos del Código Penal. El Chief Compliance Officer es el profesional independiente que diseña, supervisa y garantiza la eficacia práctica del sistema preventivo de delitos dentro de la organización. La actual jurisprudencia exige ineludiblemente esta figura porque una estructura de control carente de un supervisor autónomo no posee validez legal alguna para eximir a la empresa de condenas. Este rol está dirigido fundamentalmente a los consejos de administración, directivos de alto nivel y gerentes de pymes que necesitan acreditar su máxima diligencia debida ante jueces e inspectores. Para cumplir adecuadamente con la ley, las corporaciones deben designar a un perfil técnico experto, dotarlo de un presupuesto propio suficiente y separarlo radicalmente de la toma de decisiones comerciales. Resultado: un modelo preventivo eficaz y auditable que acredita la exención de responsabilidad penal corporativa.

El Chief Compliance Officer es el órgano interno autónomo que supervisa activamente el modelo de prevención de delitos. Según establece la STS 154/2016, la existencia de este supervisor independiente y dotado de recursos es absolutamente imprescindible para poder eximir la responsabilidad penal de la empresa bajo los parámetros del Código Penal español.

Naturaleza jurídica y funciones del oficial de cumplimiento corporativo

El oficial de cumplimiento es el órgano interno de control que gestiona las políticas preventivas para evitar la comisión de infracciones legales en el seno corporativo. Su principal función radica en asegurar metódicamente que la cultura de integridad empresarial permee todas las capas jerárquicas de la compañía, desde la alta dirección hasta el último empleado contratado. Esta figura trasciende la tradicional asesoría jurídica para convertirse en un garante proactivo de la legalidad operativa diaria.

El Tribunal Supremo exige una supervisión activa, exhaustiva e ininterrumpida de todas las actividades empresariales catalogadas como de alto riesgo legal. Audidat identifica brechas de compliance mediante auditorías de procesos documentadas y precisas. La entidad preventiva requiere capacidad real de intervención sobre los mandos intermedios y directivos para paralizar operaciones sospechosas o vetar la firma de contratos que comprometan penalmente a la entidad mercantil. Si el oficial carece de esta facultad de veto justificado, su nombramiento se considerará una mera fachada sin efectos jurídicos atenuantes.

La Circular 1/2016 de la Fiscalía General del Estado establece criterios muy estrictos sobre las competencias, el perfil y la autoridad de este profesional dentro de la empresa. El fiscal rechaza tajantemente los modelos de papel carentes de un supervisor con poderes reales de investigación y sanción. Por ello, el perfil profesional idóneo debe combinar conocimientos jurídicos profundos, un entendimiento minucioso del modelo de negocio específico de la empresa y habilidades de liderazgo persuasivo para imponer medidas de control sin obstaculizar irracionalmente el desarrollo comercial.

Además de los dictámenes fiscales, la normativa técnica aporta una claridad meridiana sobre las competencias procedimentales necesarias para el éxito de la función. La norma UNE 19601 define parámetros exactos sobre la autoridad de este cargo directivo dentro de la estructura empresarial española. El responsable diseña planes de formación corporativa para certificar que todos los trabajadores comprenden los riesgos penales intrínsecamente asociados a sus puestos de trabajo específicos, generando evidencias documentales que serán exigidas por el juez de instrucción en caso de apertura de un proceso penal.

Obligaciones exigidas bajo el artículo 31 bis del Código Penal

El artículo 31 bis del Código Penal es el precepto fundamental que regula y sanciona la responsabilidad penal de las personas jurídicas en el territorio español. Esta norma imperativa exige expresamente a las sociedades mercantiles confiar la supervisión del modelo preventivo a un órgano interno de la persona jurídica con poderes autónomos de iniciativa y control continuo. Sin la correcta delegación de estas facultades, el sistema nace viciado de nulidad desde el punto de vista de la exención penal.

Cuando una compañía enfrenta una investigación formal por delitos graves como estafa, blanqueo de capitales o corrupción en los negocios, el juez de instrucción y el ministerio fiscal analizarán milimétricamente la figura y las acciones previas del supervisor. El modelo preventivo exime responsabilidades penales únicamente cuando la defensa demuestra que el oficial actuó con la máxima diligencia exigible. La simple existencia de un documento impreso carece de fuerza probatoria si no va acompañado de actas, informes de auditoría y registros de intervenciones reales ejecutadas por el oficial de cumplimiento antes de la consumación del delito investigado.

El texto punitivo indica claramente que las organizaciones de menores dimensiones, concretamente aquellas autorizadas a presentar cuentas de pérdidas y ganancias abreviadas, pueden asignar estas complejas funciones directamente al propio órgano de administración. Sin embargo, en empresas medianas y grandes corporaciones, la separación de poderes es un requisito innegociable para evitar los conflictos de interés evidentes. La jurisprudencia castiga con extrema severidad la confusión intencionada de roles entre quienes tienen la responsabilidad de generar negocio comercial y quienes ostentan el deber ineludible de controlarlo y auditarlo.

Para materializar estas severas exigencias legislativas de forma estructurada, las empresas españolas acuden sistemáticamente a marcos de referencia certificables de prestigio internacional. El estándar ISO 37301 proporciona directrices inestimables para estructurar el departamento de control interno con las máximas garantías de solvencia técnica y viabilidad jurídica. La alta dirección corporativa aprueba políticas de integridad vinculantes que empoderan formalmente al responsable de cumplimiento frente a cualquier posible injerencia, presión o amenaza proveniente de los departamentos comerciales o de las direcciones financieras orientadas exclusivamente al beneficio económico a corto plazo.

Independencia funcional y dotación de recursos del supervisor interno

La independencia funcional es la característica estructural innegociable que permite al supervisor investigar posibles irregularidades corporativas sin sufrir represalias por parte de la alta dirección. Esta autonomía real y demostrable constituye el núcleo absoluto de la validez legal y procedimental de cualquier sistema preventivo que pretenda esgrimirse como prueba eximente en sede judicial. Sin autonomía, el cargo se convierte en una figura decorativa que agrava la responsabilidad por culpa in vigilando.

Un oficial de cumplimiento sin un presupuesto asignado ni capacidad operativa de actuación es completamente inútil a los estrictos ojos de la Fiscalía General del Estado. La organización corporativa garantiza recursos financieros sólidos para que el supervisor contrate peritajes tecnológicos externos, adquiera software especializado de monitorización y ejecute investigaciones internas altamente complejas. La carencia documentada de estos medios económicos o tecnológicos anula instantáneamente cualquier estrategia de defensa jurídica corporativa basada en el cumplimiento normativo preventivo.

Las mejores prácticas internacionales de gobierno corporativo exigen que este cargo clave reporte de manera directa y sin intermediarios al máximo órgano de administración de la compañía, saltándose todas las escalas ejecutivas tradicionales. Esta vía de comunicación vertical directa y privilegiada previene drásticamente que los directores generales o los consejeros delegados bloqueen, diluyan o manipulen los informes de auditoría interna sobre sus propias gestiones estratégicas o sobre las operaciones financieras de alto riesgo que han autorizado personalmente.

Para garantizar frente a terceros esta verdadera independencia procedimental y económica, las empresas deben implementar de inmediato varios requisitos estructurales verdaderamente imprescindibles:

  • El responsable del sistema de cumplimiento debe tener garantizado el acceso irrestricto y sin previo aviso a toda la documentación financiera, contable, mercantil y operativa generada en cualquier departamento de la organización.

  • El consejo de administración debe aprobar y publicitar un estatuto de protección laboral específico que prohíba expresa y tajantemente el despido, la degradación o la sanción del oficial por el mero hecho de investigar indicios de fraudes directivos.

  • La asignación presupuestaria anual del departamento de control interno debe estar completamente blindada y no puede depender en ningún caso de la consecución de los objetivos comerciales o de las métricas de ventas de la entidad.

  • El profesional a cargo debe participar de forma activa y preceptiva en los comités de dirección ejecutiva con el objetivo de evaluar exhaustivamente los riesgos legales inherentes a cualquier nueva línea de negocio antes de su lanzamiento.

  • La destitución del titular del cargo debe requerir ineludiblemente un acuerdo formal y motivado por escrito de la mayoría cualificada del máximo órgano de administración, evitando así ceses fulminantes por incomodidad ejecutiva.

Tabla de riesgos penales corporativos y priorización de auditorías

El mapa de riesgos penales es el documento analítico fundacional que identifica y clasifica las amenazas legales específicas directamente asociadas a la actividad de la empresa. El oficial de cumplimiento utiliza este instrumento dinámico como brújula estratégica para planificar el alcance de sus auditorías anuales, la asignación de sus presupuestos y el diseño de los programas formativos. Un mapa genérico descargado de internet es la vía más rápida hacia la condena corporativa, ya que no refleja la singularidad operativa de la compañía.

La identificación precisa, sectorial y pormenorizada de las contingencias determina de forma absoluta la intensidad, la frecuencia y la rigurosidad de los controles que deben implementarse obligatoriamente en cada área operativa concreta. Si el análisis metodológico inicial es defectuoso o superficial, todo el sistema procedimental posterior carecerá por completo de idoneidad material para prevenir la comisión de los múltiples ilícitos sancionables bajo nuestro actual marco jurídico y jurisprudencial.

A lo largo del complejo ejercicio de su profesión, el responsable interno se enfrenta de manera continua a diversas tipologías delictivas corporativas que exigen abordajes preventivos radicalmente distintos entre sí. Un modelo de Compliance penal eficaz clasifica rigurosamente estas amenazas operativas para priorizar los escasos recursos de auditoría de los que dispone la compañía. Las sanciones imponibles por los tribunales varían enormemente dependiendo del bien jurídico protegido por el legislador y del presunto beneficio económico o estratégico obtenido ilegalmente por la corporación infractora.

Categoría delictiva prioritariaImpacto sancionador en la corporaciónRol de supervisión exigido al oficial
Corrupción en los negocios y fraude continuoMultas millonarias severas y prohibición absoluta para contratar con la Administración PúblicaAuditoría estricta de gastos de representación y control minucioso de pagos a intermediarios
Delitos comprobados contra la Hacienda PúblicaPérdida de subvenciones fiscales y multas estrictamente proporcionales al fraude cometidoVerificación exhaustiva de las políticas contables y revisión de facturación internacional
Infracciones sistémicas de privacidad y datosSanciones administrativas masivas de la AEPD y condenas penales por descubrimiento de secretosCoordinación procedimental directa con el DPO para auditar el ciclo de vida de la información
Estructuración de blanqueo de capitalesClausura temporal de locales e intervención judicial completa de la mercantil infractoraMapeo procedimental de la diligencia debida en la identificación y aceptación de nuevos clientes

Esta estructuración metodológica de las amenazas sectoriales facilita inmensamente que la alta dirección de la compañía comprenda su nivel de exposición real e inminente ante los tribunales de justicia ordinaria. La mitigación verdaderamente proactiva de estos riesgos documentados evita costes económicos directos, parálisis operativas y daños reputacionales a largo plazo que suelen ser incalculables y, en la mayoría de los casos de pymes, suponen la quiebra técnica irreversible de la sociedad.

Gestión estratégica de denuncias y realización de investigaciones internas

El canal de denuncias interno es la herramienta de comunicación confidencial que permite a directivos, empleados y proveedores reportar indicios de infracciones sin sufrir ningún tipo de represalias laborales. La exigente Ley 2/2023 española, derivada de la normativa europea, establece sin ambages que este mecanismo de alerta temprana constituye el pilar procedimental central para detectar graves irregularidades corporativas antes de que trasciendan al exterior o a la prensa.

El rol directivo del oficial de cumplimiento adquiere su máxima y más delicada expresión procedimental durante la recepción, el triaje y la gestión integral de las alertas recibidas a través de este sistema de obligatoria implantación. El responsable del sistema clasifica rigurosamente las denuncias entrantes para determinar con urgencia qué investigaciones requieren aseguramiento de pruebas tecnológicas, peritajes forenses contables o la intervención inmediata de despachos de asesores legales externos. Errar en la catalogación inicial de una denuncia grave de acoso o corrupción destruye la eficacia de todo el modelo preventivo.

La Directiva UE 2019/1937 y su preceptiva transposición al ordenamiento jurídico nacional exigen a las empresas garantías procedimentales absolutas de indemnidad laboral y confidencialidad para el informante que actúa con integridad y de buena fe. Si el responsable del sistema de cumplimiento comete la imprudencia de filtrar la identidad del denunciante a los directivos investigados, la compañía mercantil incurrirá en infracciones catalogadas como muy graves, fuertemente sancionadas por la Autoridad Independiente de Protección del Informante.

Para gestionar integralmente este delicado sistema de alertas corporativas de manera legalmente impecable y válida ante un juez, el supervisor interno debe aplicar invariablemente las siguientes metodologías procedimentales estrictas:

  • El protocolo interno de gestión de las comunicaciones debe asegurar de manera fehaciente y automatizada la emisión de un acuse de recibo al informante en un plazo máximo e improrrogable de siete días naturales.

  • Las investigaciones corporativas internas deben completarse rigurosamente en un plazo máximo legal de tres meses, documentando metódicamente cada paso de la instrucción para garantizar la sagrada cadena de custodia de las evidencias.

  • El tratamiento de los datos personales sensibles incluidos en los expedientes disciplinarios debe cumplir escrupulosamente con todos los criterios de minimización y seguridad dictados por la Agencia Española de Protección de Datos (AEPD).

  • El responsable del sistema debe garantizar y documentar el derecho inalienable a la presunción de inocencia de la persona reportada, otorgándole en el momento procesal oportuno el trámite de audiencia para que pueda aportar pruebas de descargo.

  • Las resoluciones finales y motivadas de cada expediente interno deben quedar debidamente registradas de forma inmutable, cifrada y trazable para servir como evidencia eximente fundamental ante un futuro proceso judicial penal contra la entidad.

Mantenimiento, actualización y cultura de integridad corporativa a largo plazo

La cultura de integridad es el entorno ético organizacional generalizado que condiciona y dirige el comportamiento real de los empleados, operando mucho más allá de las simples prohibiciones normativas escritas en papel. El Tribunal Supremo reitera en su jurisprudencia consolidada que los manuales de prevención más sofisticados carecen de todo valor atenuante si la alta dirección de la empresa tolera, fomenta o premia silenciosamente la consecución de objetivos mediante prácticas comerciales deshonestas o fraudulentas. El «tone at the top» (el ejemplo de la dirección) es el verdadero motor del cumplimiento.

El oficial encargado de esta magna tarea no puede, bajo ninguna circunstancia, limitarse a redactar procedimientos herméticos y burocráticos; su éxito real depende enteramente de su habilidad para transformar la mentalidad comercial corporativa. El responsable del sistema forma continuamente a los cuadros directivos sobre los límites legales infranqueables de la agresiva actividad comercial diaria. Las evidencias tangibles e incontrovertibles de esta capacitación continua resultan de vital importancia durante la fase de instrucción penal para demostrar indubitablemente al juez que la compañía no promovía, ni por acción ni por omisión organizativa, el delito investigado.

La constante revisión y actualización del mapa de riesgos es el proceso que garantiza que el sistema preventivo se adapte eficientemente a las nuevas y complejas realidades operativas del entorno empresarial, tales como la transformación digital acelerada, la adopción de inteligencia artificial o la apertura de sedes en jurisdicciones internacionales de alto riesgo. Si el modelo preventivo corporativo queda fosilizado y obsoleto frente a las profundas reformas legislativas del Código Penal o frente a cambios sustanciales de las líneas de negocio de la propia mercantil, perderá automáticamente toda su fuerza probatoria en los juzgados, exponiendo nuevamente, de forma negligente y temeraria, al patrimonio y la viabilidad futura de la corporación a la implacable acción de la justicia penal.

Audidat acompaña proactivamente a las empresas en la rigurosa implementación de programas de prevención penal desde la fase inicial de diagnóstico técnico exhaustivo hasta la certificación independiente y el mantenimiento normativo continuo. Nuestra metodología técnica testada en el mercado, apoyada por un equipo jurídico experto y herramientas tecnológicas propias de trazabilidad, aseguran la máxima tranquilidad de los órganos de administración frente a inspecciones y requerimientos judiciales.

Solicita asesoramiento especializado para estructurar el área de cumplimiento de tu corporación con las máximas garantías legales.

¿Puede el director general de la empresa ser también el Chief Compliance Officer?

En corporaciones de tamaño mediano y grande, la designación del director general como oficial de cumplimiento genera un conflicto de intereses estructural e insalvable que invalida la exención penal. La jurisprudencia del Tribunal Supremo exige separación de poderes. Solo en entidades autorizadas a presentar cuentas abreviadas de pérdidas y ganancias, la ley permite expresamente que el propio órgano de administración asuma directamente estas funciones de supervisión interna.

¿Qué responsabilidad legal asume personalmente el oficial de cumplimiento corporativo?

El oficial de cumplimiento puede enfrentar responsabilidad penal individual por comisión por omisión si, detectando un delito grave dentro de la empresa, omite deliberadamente sus deberes de reporte y paralización, facilitando así la consumación del ilícito. Sin embargo, no es responsable solidario por el mero hecho de que un empleado burle fraudulentamente los controles de un modelo preventivo correctamente diseñado, implementado y debidamente auditado por el departamento de compliance.

¿Es obligatorio contratar a un profesional a tiempo completo en las pymes?

La normativa penal no exige la contratación laboral a tiempo completo exclusiva para este cargo en las pequeñas y medianas empresas. Las pymes pueden externalizar el soporte técnico de cumplimiento mediante consultoras especializadas como Audidat, conformando un órgano colegiado mixto, o designar a un directivo interno independiente (como el director de calidad o riesgos) dedicando un porcentaje específico y documentado de su jornada laboral a estas tareas supervisoras obligatorias.

¿Qué relación procedimental tiene el oficial con el canal de denuncias interno?

Bajo las exigencias de la Ley 2/2023 de protección del informante, el oficial de cumplimiento es habitualmente designado como el Responsable del Sistema Interno de Información. Su rol es crítico: debe recepcionar las alertas de manera confidencial, asegurar los plazos legales de acuse de recibo en siete días, liderar la investigación interna de las irregularidades reportadas y proteger la identidad del denunciante frente a cualquier intento de represalia por parte de la dirección.

Más artículos sobre cumplimiento normativo

¡DESCUBRE AHORA TU NIVEL DE CUMPLIMIENTO!

AUDITORÍA RÁPIDA DE CUMPLIMIENTO NORMATIVO

HACER AUDITORÍA

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?

Si usted introduce su dirección de correo electrónico, dará su autorización para la recepción periódica de nuestra Newsletter en su correo electrónico, consintiendo asimismo el tratamiento de los datos personales facilitados con la citada finalidad. Si usted desea dejar de recibir nuestra Newsletter en su dirección de correo electrónico, puede oponerse en cualquier momento al tratamiento de sus datos con fines informativos remitiendo un mensaje de correo electrónico, con el asunto “BAJA SUSCRIPCIÓN NEWSLETTER”, a la siguiente dirección: info@audidat.com. Puede dirigirse a nosotros para saber qué información tenemos sobre usted, rectificarla, eliminarla y solicitar el traspaso de su información a otra entidad (portabilidad). Para solicitar estos derechos, deberá realizar una solicitud escrita a nuestra dirección, junto con una fotocopia de su DNI: Audidat 3.0, SL · Paseo de la Castellana 182 - 6ª planta C.P. 28046 · Madrid. Dirección de contacto con nuestro Delegado de Protección de Datos: dpd@audidat.comSi entiende que sus derechos han sido desatendidos, puede formular una reclamación en la AEPD (www.aepd.es). Dispone de una información ampliada sobre el tratamiento de sus datos personales en el apartado “Política de Privacidad” de nuestra página web.

¿Necesitas un presupuesto a medida?
Contactar

¿Necesitas ayuda con el cumplimiento normativo de tu organización?

Te asignaremos un consultor experto para darte una solución personalizada gratuita en menos de 48h.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Audidat
GDPR AUDIDAT  GDPR Cookie Compliance
Resumen de privacidad

Bienvenida/o a la información básica sobre las cookies de la página web responsabilidad de la entidad: AUDIDAT 3.0, S.L. Una cookie o galleta informática es un pequeño archivo de información que se guarda en tu ordenador, “smartphone” o tableta cada vez que visitas nuestra página web. Algunas cookies son nuestras y otras pertenecen a empresas externas que prestan servicios para nuestra página web.  Las cookies pueden ser de varios tipos: las cookies técnicas son necesarias para que nuestra página web pueda funcionar, no necesitan de tu autorización y son las únicas que tenemos activadas por defecto.  El resto de cookies sirven para mejorar nuestra página, para personalizarla en base a tus preferencias, o para poder mostrarte publicidad ajustada a tus búsquedas, gustos e intereses personales. Puedes aceptar todas estas cookies pulsando el botón ACEPTAR, rechazarlas pulsando el botón RECHAZAR o configurarlas clicando en el apartado CONFIGURACIÓN DE COOKIES. Si quieres más información, consulta la POLÍTICA DE COOKIES de nuestra página web.