Solo contenido riguroso.
Sin spam. Sin promociones.
Solo contenido riguroso.
Sin spam. Sin promociones.
Supóngase que una empresa relativamente grande comete un delito.
Antes de que el asunto ni siquiera alcance los tribunales, el daño se podrá seguir produciendo de forma continuada.
En el mejor de los casos, solo habrá un grave retraso entre la conducta delictiva y la denuncia ante el poder judicial.
El problema, sin embargo, no encuentra una solución inmediata en sede judicial. Las diligencias probatorias vienen revestidas de una gran complejidad: además de extensas se hallan repletas de tecnicismos.
Se realizan múltiples entradas y registros, van apareciendo cajas y cajas de archivos contables y se interrogan a decenas o centenares de testigos. Los tomos crecen en número y simultáneamente van surgiendo diversas piezas separadas.
De esta forma, se acaba construyendo una causa penal de inmensa complejidad. La justicia tarda mucho en poder materializarse, y el poder judicial debe asumir unos costes económicos exacerbados.
Ante la previsión de semejante desolador escenario se idea un medio privado/semiprivado que pretende salvar la mayoría dificultades directamente desde la raíz: la propia empresa, por medio de los programas de compliance.
El compliance penal brota como el medio ideal para prevenir la comisión de delitos o, como mínimo, para investigarlos. Todo ello sin salir de la misma empresa donde han tenido lugar.
Si bien no ha puesto un punto final a las causas complejas, al menos se ha configurado como un intento de facilitar el trabajo a la justicia.
El compliance es una forma de autorregulación que ocurre en el seno de las empresas y que persigue que la actuación de la sociedad se ciña al ordenamiento jurídico.
La noción es, naturalmente, anglosajona. La traducción de «to be in compliance with the law» es «actuar de conformidad al Derecho».
La definición de este concepto ha sido expuesta de forma muy sucinta, pero lo cierto es que existen diversas interpretaciones. Es totalmente ajeno al objeto de esta entrada la realización de un análisis de la noción ideal del compliance. Por ello, a continuación se expone una de las definiciones más amplias y completas advertidas (Sota, 2018):
«el Compliance define a aquel sistema normativo interno de gestión empresarial, tendente a evitar que la empresa y sus miembros incurran en riesgos legales y de vulneración de la normativa de la empresa, pero también que orienta la actuación de la empresa y sus funcionarios hacia una determinada cultura de integridad, de la cual la cultura de cumplimiento forma parte; y, cuando lo que se quiere evitar o prevenir son los riesgos penales, estaremos frente a un Compliance penal».
Lascuraín Sánchez, brevemente, definiría el compliance como (cit. por Sota, 2018):
«una serie de estrategias normativas, aplicativas e institucionales dirigidas a evitar que en el ejercicio de la actividad social se cometan delitos a favor de la empresa».
De todo ello extraemos que el compliance es un sistema ubicado en el seno de la empresa, cuyo fin es asegurar que la empresa cumpla con la normativa vigente (o, en un sentido negativo, evitar que la quebrante) y, a la vez, orientar a la sociedad hacia el establecimiento de una cultura empresarial favorable a la ley.
Como apunta García Cavero (cit. por Sota, 2018), las funciones del compliance se pueden resumir en dos categorías (o, si se quiere, hasta tres):
- Función de prevención de delitos: erradicar o reducir las infracciones penales.
- Función de confirmación de la normativa penal: si se fracasa en el punto anterior, mostrar una actitud de fidelidad al derecho, y tratar de mitigar los daños ocasionados. Ello abarcaría también la implantación de mecanismos y procedimientos para detectar cuáles son las infracciones y comunicarlas a las autoridades (Arocena, 2017).
- Una tercera, cosechada por Sota (2018), sería el «coadyuvar en el fomento de una cultura de cumplimiento de la legalidad».
El objetivo del compliance no es, exactamente, evitar castigos penales. Empuja a las empresas a cumplir con la legislación habiente, sea esta administrativa, laboral, societaria o penal (Nieto, 2013).
Debe irse un paso por delante del delito. Por tanto, las políticas empresariales deberían prohibir conductas que se encuentren en la «zona previa de los tipos penales».
La finalidad, en palabras de Nieto, no es que la sociedad se desplace en el «filo de la navaja, sino que cumpla con lo dispuesto en los códigos éticos» (Nieto, 2013).
La posible responsabilidad penal de las personas jurídicas se encuentra en el art. 31 bis del Código Penal español. Efectivamente, este artículo sí hace varias referencias al compliance (por mucho que no emplee este término exactamente). Ahora bien, no puede pasarse por alto que en ningún momento se impone como una obligación.
En virtud de este artículo, las personas jurídicas serán penalmente responsables de los delitos cometidos por los empleados, cuando se hubieran incumplido los deberes de supervisión, vigilancia y control (letra b).
Esto último se concreta con el punto 4º del mismo artículo. La persona jurídica quedará exenta de responsabilidad si previamente había adoptado y ejecutado un modelo de organización y gestión. Volveremos a ello más adelante.
Igualmente, habrá responsabilidad si el actor es un miembro de los órganos directivos (letra c), a menos que se cumplan las siguientes condiciones (31.2 bis): se han adoptado y ejecutado modelos preventivos de vigilancia y control y se ha supervisado su funcionamiento y cumplimiento; y los autores han delinquido eludiendo estos sistemas de control, sin que haya existido una omisión o ejercicio insuficiente por parte de estos últimos.
Tanto en un caso como en otro (tanto si la persona física es un administrador o un subordinado), el compliance es la única salida de la que dispone la empresa para poder descargarse de toda responsabilidad.
¿Hay una obligación? No, pero es altamente recomendable.
Las personas jurídicas pueden ser responsables penalmente de los actos cometidos por sus directivos e, incluso, empleados. La introducción de esta posibilidad, en España, es muy reciente.
No fue hasta el 2010, con la reforma del Código Penal, que se integró el art. 31 bis, acerca de la autoría de las personas jurídicas. La última reforma relevante, en este sentido, fue la del 2015, que añadió varios artículos a continuación.
La responsabilidad penal de las personas jurídicas ya ha sido tratada en un artículo anterior. Por ello, tan solo se citarán 3 líneas que resumen una de las ideas principales de la publicación:
«Las personas jurídicas son sujetos que forman parte de la realidad social, que tienen una gran capacidad de dañar a la sociedad y que, por tanto, se concluye que deben ser responsables de sus actos».
El compliance se vale de recursos normativos de diversa naturaleza: jurídico-penales, jurídico no-penales y de especies varias (Arocena, 2017).
Todas aquellas normativas que establezcan la obligación de adoptar controles internos. Esta fuente no se ciñe únicamente al Derecho penal, pues existen también sanciones de naturaleza administrativa que deben ser tenidas en cuenta. Por ejemplo:
Si el lector desea ahondar más en este campo, un buen comienzo es el art. 71 de la Ley de Contratos del Sector Público. En esta disposición se establece por qué motivos se puede imponer una prohibición de contratar. Para ello, enlista las infracciones más relevantes previstas en la legislación administrativa.
El objetivo detrás de un buen gobierno corporativo, apunta Nieto (2013), es evitar los abusos de poder dentro de las corporaciones. A tales efectos, se construyen sistemas de balance de poder en el gobierno y de control de los subordinados sobre los directivos.
Declaran los compromisos que la empresa asume, y los establecen como de obligado cumplimiento.
Interesa que no se limiten a cumplir la ley. Cualquier tendencia hacia la infracción debería ser paralizada mucho antes de que se llegue a materializar. Por tanto, interesa prohibir aquellas conductas que estén en la «zona previa» de los tipos penales (Nieto, 2013).
Se hace referencia a las normas ISO, UNE, DIN, etc. Son certificados que garantizan la buena calidad de los productos y servicios ofrecidos.
La obtención de estos certificados requiere que la empresa se ajuste a lo requerido por estos. Por tanto, las políticas sociales devienen imprescindibles para lograr el mentado objetivo.
El tipo de actividad realizado por la persona jurídica determinará cuál o cuáles son los certificados más apropiados. Los hay de calidad de productos, de gestión ambiental, de personas (que avalan la experiencia y profesionalidad del personal), de riesgos y seguridad, etc.
La carencia de unos mecanismos de gestión y control básicos (como los ahora mencionados) supone ya de por sí un gran óbice a la implantación de sistemas de compliance.
Si ni siquiera hay medios para prevenir la infracción de normas administrativas, difícilmente se lograría instaurar de forma acertada un sistema de prevención de delitos. Tratar de hacer algo así sería como «empezar a construir la casa por el tejado» (Nieto, 2013).
Dentro del compliance penal, un programa de cumplimiento es lo siguiente (Pérez, 2018):
«Protocolo integrado estatuoria, orgánica y jerárquicamente en las personas jurídicas, que las mismas se autoimponen voluntariamente (…), con la finalidad de controlar y aminorar los riesgos de que la empresa incurra en responsabilidad criminal».
En otras palabras, el programa de cumplimiento es probablemente el instrumento más ideal para implementar las medidas de control y vigilancia necesarias para evitar la comisión de infracciones legales.
La norma ISO 19.600/2014 brinda los puntos principales que toda sociedad debería seguir con el fin de implementar un sistema de compliance eficaz.
Esta es la ISO vigente en el momento de redacción de este artículo, aunque recientemente ha sido aprobada la ISO 37.301/2021, que reemplazará la anterior. Ahora bien, los siguientes puntos son válidos sean o no la última versión.
Pérez (2018) nos indica las fases que este estándar (19.600/2014) contiene:
Como se advertía anteriormente, la exención de las personas jurídicas dependerá de si estas adoptaron y ejecutaron eficazmente un modelo de organización y gestión (31.4 bis CP) con anterioridad a la comisión del delito. Este modelo se concreta en el punto 5 del artículo, por el que se establecen los requisitos básicos a cumplir:
1.º Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3.º Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6.º Realizar una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
Siguiendo las indicaciones de Arocena (2017), el programa de cumplimiento se desenvuelve en las siguientes fases:
1) Formulación.
Se lleva a cabo un análisis de riesgos, en el que la empresa evalúa las actividades que mayores peligros generan. Clemente y Álvarez (2011) hablan de la «Evaluación de Riesgos Penales»y el consiguiente«Plan de Actuación para la Neutralización de Riesgos Penales».
2) Implementación.
Se instruye a los operarios de los distintos sectores de la empresa, entre otras medidas. La finalidad de esta fase es instaurar todas aquellas medidas que puedan neutralizar los riesgos detectados.
3) Asimilación.
Cursos y actividades con el objetivo de que quienes participen en los sectores de riesgo conozcan todo acerca del programa y las medidas del mismo.
4) Consolidación.
Sistema de incentivos y sanciones para promover el cumplimiento del programa.
5) Balance de su aplicación.
La empresa debería controlar que el programa se esta aplicando adecuadamente, y que este es funcional y efectivo. Es recomendable que el examen sea realizado por entidades externas.
6) Mejoramiento.
Los datos obtenidos permitirían implementar mejoras allí donde sea necesario.
El análisis de riesgos mencionado en el punto anterior, según la Comisión Nacional de los Mercados y la Competencia (2020), debería señalar, como mínimo:
- Las áreas y procesos de negocio, y las personas más expuestas a posibles infracciones.
- La probabilidad de que realmente se produzca alguna infracción.
- El impacto que dicha infracción tendría.
Una vez se ha producido un hecho delictivo, se realiza un «juicio de idoneidad» sobre el programa.
En primer lugar, se examina la «eficacia en abstracto» de el mentado programa, así como su efectiva implementación. Esta fase conlleva observar si los empleados han sido formados, si existe un canal de denuncias, etc. (Nieto, 2013).
En otras palabras, se estaría analizando si la empresa goza de las estructuras básicas del sistema de cumplimiento. Fallar este paso significaría que no han tenido lugar conductas tendentes a la prevención y control de crímenes (Nieto, 2013).
En segundo lugar, se estudia si alguna de las medidas habientes tenía el objeto de impedir los hechos acaecidos (o similares). De ser así, conviene encontrar una explicación al porqué de su fallo en el caso concreto (Nieto, 2013).
En el compliance penal existen dos grandes tipos de programas de cumplimiento (Nieto, 2013; Sota, 2018):
1) Aquellos que priorizan buscar un «clima de respeto a la legalidad y valores éticos», a través de la formación.
2) Aquellos cuyo fundamento es la vigilancia, y que se decantan por medidas de control.
Estos últimos llevan a cabo medidas como el acceso a los correos electrónicos, el registro de llamadas y otras medidas que suponen un control muy cercano a la actividad de los miembros de la empresa.
Huelga decir que este modelo de vigilancia se acerca peligrosamente a la vulneración de derechos fundamentales (intimidad, secreto de las comunicaciones…).
Luego, es preferible decantarse por un sistema basado en la confianza y la prevención. De hecho, la legislación española procura promover programas basados en la ética empresarial y, en general, en elementos propios de la prevención, no del control (Nieto, 2013).
En efecto, «un sistema basado en valores éticos es más legítimo y, por tanto, más eficaz» (Sota, 2018).
Algunas de las medidas introducidas anteriormente merecen una mayor atención, por lo que a continuación se expondrán algunos detalles adicionales.
Es recomendable el nombramiento formal de un Compliance Officer o Responsable de Cumplimiento y Prevención Penal. Esta figura realiza diversas tareas, en su mayoría relacionadas al plan de prevención de delitos (Clemente y Álvarez, 2011).
Así, se encargaría de la implementación, seguimiento y control de efectividad del mismo.
También propondría las mejoras necesarias, añadiría nuevas medidas en caso de ser pertinente, y reportaría los resultados obtenidos de forma periódica (Clemente y Álvarez, 2011).
La empresa deberá cuidarse de dotar al oficial de recursos suficientes para que pueda ejercer sus funciones de forma satisfactoria.
En las personas jurídicas de mayor tamaño, se aconseja incrementar el esfuerzo preventivo y agregar un Comité de Cumplimiento y Prevención Penal (Clemente y Álvarez, 2011).
La discusión doctrinal se divide en dos posturas distintas.
Por un lado, hay quienes se sitúan a favor de entender el oficial como un delegado de la vigilancia. A través de la delegación de funciones el directivo descarga parte de sus deberes y responsabilidades en una figura externa (Montaner, 2015). Por lo tanto, ante cualquier quebrantamiento de la legalidad, el oficial de compliance asumiría la responsabilidad por no haberse cuidado de la efectiva ejecución del programa de prevención.
Por otro lado, también se ha interpretado que el cargo de Compliance Officer no conlleva una delegación de funciones. Contrariamente, se trataría de un «sujeto profesional que realiza un encargo». En este caso, el empresario no estaría traspasando sus competencias en materia de cumplimiento (Montaner, 2015).
Si el empresario prescinde de implementar un sistema de sanciones, se expone a que la realización de conductas ilícitas o riesgosas quede totalmente impune. La consecuencia más inmediata de semejante situación sería la pérdida de eficacia del programa de cumplimiento (CNMC, 2020).
Con la implementación de sanciones disciplinarias, la empresa lograría dar la imagen de no tolerar conductas ilícitas (Clemente y Álvarez, 2011).
Las posibles sanciones a imponer vendrían determinadas por el convenio colectivo correspondiente. Por lo general, se incluiría el despido o la suspensión, además de otras medidas como la inhabilitación para el ascenso o el desplazamiento a otro centro de trabajo.
Los empleados deberían gozar de cierta seguridad jurídica, de modo que puedan ser conscientes cuando una conducta acarrea o podría acarrear una sanción. A tales efectos, es recomendable instaurar un sistema disciplinario transparente y eficaz (CNMC, 2020), al que los subordinados puedan acceder con facilidad.
Las denuncias internas pueden ser anónimas o confidenciales.
El anonimato solo se puede entender en un marco basado en el control y la vigilancia, mientras que la confidencialidad parte de un fundamento basado en la confianza y el respeto (Nieto, 2013). De ser ello posible, será preferible la segunda opción.
En todo caso, debe hacerse hincapié en la importancia de proteger al denunciante frente a posibles represalias. A tales efectos, convendrá siempre tener todos los datos incriminatorios a buen recaudo.
El programa de prevención podrá tratar de estimular la denuncia interna, ya sea imponiéndola como una obligación, o estimulándola a través de incentivos.
Nada de lo expuesto puede impedir con absoluta seguridad que se vaya a cometer un delito o, al menos, una infracción.
Existe la posibilidad de que un administrador o empleado encuentre la forma de sortear todas las medidas de prevención y actuar a su antojo, o bien el programa no abarca adecuadamente todos los riesgos.
Las posibilidades son varias y diversas. La cuestión es la siguiente: ante un delito, ¿cómo deberá proceder la empresa?
Antes de denunciar los hechos, o durante el mismo procedimiento legal, la empresa podrá colaborar con la justicia realizando labores de investigación.
Por lo tanto, es recomendable que conjuntamente al plan de compliance, se disponga de un programa de investigación interna. Un protocolo interno que establezca por qué motivos comenzar una investigación y cómo proceder adecuadamente.
El objetivo: recabar todos los datos posibles sobre los hechos acaecidos, para luego tomar las decisiones adecuadas. Este proceso podría aligerar la responsabilidad de la empresa, pues el cooperar con los tribunales sirve de atenuante (art. 31 quater CP).
Todo lo relativo a las investigaciones internas será abarcado en la próxima publicación, en un mes a partir de este mismo escrito. Por lo tanto, aquí tan solo se hace una breve referencia al tema.
Las personas jurídicas son sujetos que gozan de autonomía y forman parte de la realidad social. Como tales, tienen la capacidad de llevar a cabo conductas ilícitas a través de sus administradores y empleados. Ante tal tesitura, el Código Penal opta por hacer a las sociedades responsables penalmente de las mentadas conductas.
El art. 31 bis y siguientes contienen las especificidades necesarias, pero lo destacable es que prácticamente la única posibilidad de sortear la respuesta penal es haber adoptado un plan de compliance penal efectivo y funcional.
Este consiste en un programa de cumplimiento o de prevención y control de delitos. Con semejante plan se implementan las medidas adecuadas para evitar la materialización de actos delictivos.
El fundamento del plan es un mapa de riesgos donde se exponen los principales peligros de la actividad empresarial. Lo siguiente es señalar aquellas medidas que sirvan para neutralizar el riesgo, con su pertinente implementación.
Las medidas empleadas podrán estar basadas en un modelo de control y de vigilancia, o en un modelo basado en la confianza. Suele ser preferible la segunda opción.
La implementación de estas incluye la formación de empleados y directivos: si se desconocen las medidas, difícilmente pueda actuarse de acorde a las mismas.
A través de un sistema de denuncias interno, los empleados tienen la posibilidad de delatar hechos delictivos que estén en su conocimiento. La empresa, gracias a este sistema, puede comenzar investigaciones internas para esclarecer los hechos y así, finalmente, denunciar los hechos a la justicia.
Última revisión: 15/11/2020.
André Sota, P. (2018). Compliance penal y su función en la atribución de responsabilidad penal/administrativa de las personas jurídicas. Advocatus (37), 91-110. Recuperado de: Ulima.
Arocena, G. (2017). Acerca del denominado “criminal compliance”. Revista Crítica Penal y Poder (13), 128-145. Recuperado de: Revistes UB.
Clemente, I. y Álvarez, M. (2011). Responsabilidad penal de la persona jurídica en la LO 5/2010: incertidumbres y llamado por la seguridad jurídica. Actualidad Jurídica de Uría Menéndez (28), 26-47. Recuperado de: Dialnet.
Comisión Nacional de los Mercados y la Competencia (2020). Guía de programas de cumplimiento en relación con la defensa de la competencia, 1-22. Recuperado de: CNMC.
Montaner, R. (2015). El criminal compliance desde la perspectiva de la delegación de funciones. Estudios Penales y Criminológicos (35), 733-782. Recuperado de: Revistas USC.
Nieto, A. (2013). Problemas fundamentales del cumplimiento normativo en el derecho penal. Compliance y teoría del derecho penal, 171-200. Recuperado de: Unifr
Pérez, M. (2018). Los programas de cumplimiento penal: origen, regulación, contenido y eficacia en el proceso. Anuario Jurídico Económico Escurialense (51), 197-222. Recuperado de: Dialnet.
