COMPLIANCE: HOJA DE RUTA PARA EXONERAR A LA EMPRESA DE RESPONSABILIDAD PENAL
Salvador Silvestre
Área de Compliance Penal de GOVERTIS (DEUXTIC)
Índice:
1.- ¿Por qué el Compliance?
2.- La Hoja de Ruta
2.1.- Mapeo de riesgos penales
2.2.- Identificar procesos y controles existentes.
2.3.- Elaboración del Modelo de Prevención Penal (MPP)
2.3.1.- Establecer protocolos que concreten el proceso de formación de voluntad de la persona jurídica.
2.3.2.- Recursos Financieros
2.3.3.- Canal ético y sistemas de denuncias
2.3.4.- Sistema disciplinario
2.3.5.- Verificación periódica del modelo
2.3.6.- Formación
3.- La prueba. La acreditación de que el modelo es eficaz e idóneo
4.- Conclusiones
1.- ¿POR QUÉ EL COMPLIANCE?
Para bien o para mal, todo ha cambiado para la empresa con la consagración de la responsabilidad penal que fue introducida ya por Ley Orgánica 5/2010 de 22 de junio y que la Ley Orgánica 1/2015 de 30 de marzo ha pretendido aclarar. Estas reformas del Código Penal suponen un cambio conceptual de calado, pues conlleva la desaparición del principio de derecho penal clásico con el que siempre habíamos convivido “Societas delinquere non potest”.
El artículo 31 bis del Código Penal establece:
- En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:
- a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
- b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
La influencia del derecho anglosajón es la que ha inspirado esta reforma, EEUU ha ido marcando la pauta desde la famosa sentencia del Tribunal Supremo norteamericano de 1909, New York Central & Hudson River Railroad v. United States, en la que por primera vez se declaró la responsabilidad penal de una persona jurídica. A nivel europeo, podríamos decir que la inspiración para reformar el Código Penal en esta materia procede principalmente de Francia e Italia.
Esta modificación tan importante, la verdad, no se percibía en la calle ni en la realidad empresarial, los escasos procedimientos dirigidos contra personas jurídicas, la insuficiente repercusión mediática hacían que la empresa desconociera absolutamente que podía ser investigada y sancionada penalmente, lo cual, me hizo recordar lo que un amigo Juez me trasladó hace tiempo respecto a que la sociedad tarda una década en asimilar reformas del Código Penal, tenía toda la razón…
Con la Ley Orgánica 1/2015 y la nueva reforma del Código Penal, en vigor desde julio de 2015, surge la posibilidad de que la empresa pueda quedar exenta de responsabilidad penal, desde entonces, la vorágine de información en prensa, artículos, cursos, sobre “Compliance Penal” etc… demuestra que los operadores jurídicos están preparados para el cambio y la empresa que quiera preservarse también lo ha de estar.
¿Por qué es necesario entonces implantar un Plan de Compliance en la empresa?
Es la única forma de evitar que la empresa pueda ser declarada responsable penalmente, evitando que se le puedan imponer las sanciones previstas en el artículo 33.7 del Código Penal: multa, disolución de la persona jurídica, suspensión de actividades, clausura de locales y establecimientos, inhabilitación para contratar con el sector público, o la intervención judicial. En este punto, es importante tener en cuenta que los Seguros de Responsabilidad Civil no cubren la responsabilidad penal ni la civil derivada del delito.
Asimismo, también es la única la forma de preservar a la organización, a sus representantes y administradores de imputaciones penales, garantizando su continuidad y sostenibilidad, lo cual estaría alineado y formaría parte de la estrategia de mejora continua (Ciclo de Deming) de cualquier compañía.
Por otro lado, el Compliance Penal otorgaría otra serie de beneficios a nivel empresarial, desde el punto de vista de la contratación pública, por ejemplo, irá adquiriendo mayor importancia disponer de un plan de Compliance sobre todo si tenemos en cuenta que la Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE señala que:
«Art.57.6. Todo operador económico que se encuentre en alguna de las situaciones contempladas en los apartados 1 y 4 podrá presentar pruebas de que las medidas adoptadas por él son suficientes para demostrar su fiabilidad pese a la existencia de un motivo de exclusión pertinente. Si dichas pruebas se consideran suficientes, el operador económico de que se trate no quedará excluido del procedimiento de contratación. A tal efecto, el operador económico deberá demostrar que ha pagado o se ha comprometido a pagar la indemnización correspondiente por cualquier daño causado por la infracción penal o la falta, que ha aclarado los hechos y circunstancias de manera exhaustiva colaborando activamente con las autoridades investigadoras y que ha adoptado medidas técnicas, organizativas y de personal concretas, apropiadas para evitar nuevas infracciones penales o faltas. Las medidas adoptadas por los operadores económicos se evaluarán teniendo en cuenta la gravedad y las circunstancias particulares de la infracción penal o la falta. Cuando las medidas se consideren insuficientes, el operador económico recibirá una motivación de dicha decisión. (…)».
Por todo lo expuesto, considero que la implantación de un modelo de prevención penal (MPP) es necesaria para garantizar la supervivencia y continuidad de la empresa y es un modelo de gestión que le da prestigio, otorga seguridad jurídica y le ayuda a preservar su reputación.
2.- LA HOJA DE RUTA
El órgano de administración de la empresa tiene un papel esencial puesto que es quien debe impulsar la implantación del modelo antes de la comisión del delito.
El artículo 31 bis del Código Penal, en este sentido, establece:
“(…) 2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;
2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;
3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y
4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª
En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.»
Recordemos que en la regulación de 2010 disponer de los planes de prevención penal era contemplado solo como atenuante, de forma que ahora, los beneficios de implantarlo son muy evidentes a efectos de responsabilidad de la empresa.
El artículo 31 bis. 5 establece los requisitos que el modelo debe cumplir para conducir a la exoneración de responsabilidad penal:
“(…) 5. Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.”
2.1.- El Mapeo de riesgos penales.
La primera acción relevante para evitar caer en el copiado de otros programas elaborados por otras empresas -que igual nada tiene que ver con el sector de la empresa en cuestión y que en la práctica carecería de eficacia – sería identificar y analizar los riesgos penales relevantes que afectan a la empresa, distinguiendo los riesgos propios del negocio o actividad que desarrolla la empresa de los riesgos comunes que afectarían a cualquier clase de organización
En definitiva, identificar riesgos y establecer medidas y pautas de control para poder neutralizarlos.
Hay que tener en cuenta que la Circular de la Fiscalía 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015 considera que no son idóneos los manuales de prevención de delitos o programas de Compliance copiados de otras empresas, extremo que ya puso de manifiesto la Fiscalía General del Estado en su anterior Circular 1/2011, entrando a analizar que dichas prácticas no enervaban la responsabilidad penal de la empresa pudiendo resultar un mero maquillaje que nada tiene que ver con el cambio cultural y ético que supone el Compliance.
2.2.- Identificar procesos y controles existentes.
La segunda acción consistiría en analizar e identificar los mecanismos internos de control con los que cuenta ya la empresa para hacer frente a los riesgos detectados, de acuerdo con el principio de eficiencia en los recursos empresariales.
El Modelo de Prevención Penal (MPP) no debe concebirse como algo aislado del resto de áreas de cumplimiento legal de la empresa, es decir, todas aquellas políticas, manuales y procedimientos existentes deben servir para evaluar donde pueden existir riesgos penales (procesos de gestión de la seguridad de la información y protección de datos, de gestión de RRHH, prevención y blanqueo de capitales, comercial y marketing, property rights, etc…)
2.3.- Elaboración del Manual de Prevención Penal.
Entrando a analizar el objetivo del plan, a juicio de la Fiscalía, el modelo ha de ser idóneo para prevenir delitos y para detectarlos. Sin embargo, la comisión de un delito en el futuro no conduciría automáticamente a considerar el programa como ineficaz.
A continuación destacaré brevemente los aspectos esenciales requeridos en el Código Penal:
2.3.1.- Establecer protocolos que concreten el proceso de formación de voluntad de la persona jurídica.
Estos procedimientos deben garantizar altos estándares éticos en la contratación y promoción de directivos, pues no se puede olvidar que es el órgano de administración quien está obligado a adoptar y ejecutar con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión. El objetivo que ha pretendido el legislador es evitar la toma de decisiones imprudentes o dolosas en la compañía.
2.3.2.- Recursos Financieros.
La tarea de gestión de estos recursos supondrá inicialmente que la empresa deba controlar sus recursos financieros para evitar la comisión de delitos. Controlar los flujos económicos constituye la forma básica de prevención, y ahí está el ejemplo de la Sarbanes-Oxley Act de 2002 en EEUU.
Adicionalmente, se debería tener asignada una partida presupuestaria para abordar estas cuestiones de forma que se pueda comprobar el compromiso real de la empresa con el cumplimiento y con el modelo adoptado pues debe ser revisable para que la implantación sea eficaz y no quede desactualizada.
2.3.3.- Canal ético y sistemas de denuncias.
El modelo debe contemplar la posibilidad de cumplir con la obligación de informar de posibles riesgos e incumplimientos por parte de las personas que trabajan en la compañía. Se debe arbitrar una solución para cumplir con esto pero garantizando la protección específica del denunciante y garantizando la confidencialidad. Asimismo, sin que la denuncia ponga en riesgo su continuidad en la empresa. En mi opinión, el hecho de que un tercero externo de confianza (Ombudsmann) reciba estas notificaciones podría facilitar el funcionamiento real del sistema.
Aunque no es objeto de análisis ahora, en la elaboración de este canal de denuncias se debe garantizar el cumplimiento de la normativa en materia de protección de datos personales y convendría tener presente los criterios de la Agencia Española de Protección de Datos (AEPD) sobre la “Creación de sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”), informe emitido por el Gabinete Jurídico de la Agencia donde se decanta por prohibir las denuncias anónimas.
2.3.4.- Sistema disciplinario.
Es necesario contemplar un sistema de sanciones disciplinarias derivado del incumplimiento de MPP conforme a la regulación laboral. Infringir el modelo debe tener consecuencias para Directivos y empleados, de lo contrario resultaría completamente ineficaz.
2.3.5.- Verificación periódica del modelo.
Asimismo, en relación a la necesidad de verificar y auditar el plan, aunque no se contempla plazo ni procedimiento de revisión, lo bien cierto es que la obligación impone de forma meridiana que un modelo de prevención adecuado debe ser revisado. La correcta operatividad del modelo exige periódicamente su actualización, al margen de que evidentemente la concurrencia de circunstancias, que influyan en el análisis de riesgos, conllevaría su revisión inmediata.
2.3.6.- Formación.
Por último, la comunicación y difusión adecuada del MPP a todos los afectados resultaría fundamental. Se ha de establecer una solución de comunicación interna y de formación que deviene absolutamente necesaria para garantizar el éxito del modelo.
3.- LA PRUEBA. LA ACREDITACIÓN DE QUE EL MODELO ES EFICAZ E IDÓNEO
En la práctica y una vez estemos en sede judicial, aventuro que la cuestión que más polémica conllevará será el poder acreditar que el modelo es idóneo de acuerdo con lo dispuesto en la Circular de la Fiscalía 1/2016, donde se considera que la carga de la prueba de la idoneidad del modelo correspondería a la empresa.
Reproduzco en este sentido lo que la Fiscalía General del Estado reflexiona al analizar la cuestión por su indudable trascendencia jurídica:
“(…) No resulta sencillo conceptuar adecuadamente la naturaleza jurídica de la exclusión de responsabilidad penal de la persona jurídica pues, en los últimos dos siglos, el Derecho Penal ha venido construyendo las referencias dogmáticas a la antijuridicidad, la culpabilidad o la sobre la base de comportamientos individuales, no colectivos (…) Ahora bien, partiendo de que el art. 31 bis establece un sistema de responsabilidad indirecta o vicarial conforme al cual el fundamento de la responsabilidad penal de la persona jurídica descansa en un hecho ajeno, y no en un hecho propio, la comisión del delito por las correspondientes personas físicas en las condiciones que exige el precepto determinará la transferencia de responsabilidad a la persona jurídica. Ello comporta que con el delito de la persona física nace también el delito de la persona jurídica la cual, no obstante, quedará exenta de pena si resulta acreditado que poseía un adecuado modelo de organización y gestión.”
La forma de acreditar que el modelo es eficaz e idóneo, en mi opinión, es ponerlo en práctica, incluirlo en el “ADN” de la empresa. Para ello, la ayuda de un software permitirá acreditar la totalidad de las cuestiones y requisitos exigidos por el artículo 31 bis. De hecho, se valorará la existencia de aplicaciones informáticas que controlen los procesos internos del negocio. De igual modo, las certificaciones sobre la idoneidad del modelo expedido por terceros se consideran, a juicio de la Fiscalía, un elemento adicional más de la adecuación del modelo.
Como prueba de lo conflictiva que resulta esta cuestión debo mencionar las recientes Sentencias del Tribunal Supremo STS 154/2016 de fecha 29 de febrero y la de 16 de marzo de 2016 sobre la presunción de inocencia de la empresa, y respecto a que “el juicio de autoría” de la empresa exigirá a la acusación probar dos extremos: Por un lado, la comisión del hecho delictivo cometido por la persona física y por otro, acreditar que efectivamente había un defecto en el modelo de prevención.
4.- CONCLUSIONES
Por último, y al efecto de resumir las ideas fuerza, manejadas en este post, podemos concluir lo siguiente:
1.- Las reformas en el Código Penal producidas en España desde 2010 y concretamente desde julio de 2015 hacen que la adopción de un modelo de prevención penal (MPP) sea la única forma de evitar que la empresa pueda ser condenada penalmente. No obstante, el objetivo no debería ser evitar la sanción penal sino promover una cultura del cumplimiento en la empresa.
2.- La implantación de un modelo de prevención penal es necesaria para garantizar la supervivencia y continuidad de la empresa. A mayor abundamiento, es un modelo de gestión que le da prestigio, ayudando a preservar su reputación.
3.- El modelo debe estar adaptado a la actividad de la empresa, a sus propios riesgos y no resultarán idóneos los modelos copiados de otras empresas.
4.- La elaboración del modelo debe establecer protocolos que concreten el proceso de formación de voluntad de la persona jurídica, contemplar recursos financieros, disponer de un canal ético y sistemas de denuncias, contener un sistema disciplinario y articular una verificación periódica del modelo así como promover su adecuada comunicación y difusión.
5.- La empresa debe poder estar en disposición de acreditar que el MPP es eficaz, para ello, la utilización de aplicaciones informáticas que controlen los procesos internos del negocio resultará de gran ayuda a tal fin y a la misión de su actualización.
Bibliografía:
- Circular de la Fiscalía 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015.
- Circular 1/2011 de la Fiscalía General del Estado relativa a la responsabilidad penal de las personas jurídicas.
- Guía Confederación de Comercio de Catalunya.
- Temarios curso Compliance de Pascal- Pedro Martínez Carrión del Centro de Estudios Financieros.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
