Para la Fiscalía
el régimen de exención se aplica tanto a los supuestos de
responsabilidad penal de la persona jurídica por delitos de los
representantes legales y directivos (art. 31bis.1.a) CP) como para el caso
de los delitos de empleados y dependientes (art. 31bis.1.b) CP).
¿QUÉ
ES EL “COMPLIANCE PROGRAM” O SUPERVISIÓN DEL FUNCIONAMIENTO Y DEL
CUMPLIMIENTO DEL MODELO DE PREVENCIÓN?
Son las medidas
de vigilancia y control idóneas para prevenir delitos o para reducir
de forma significativa el riesgo de su comisión.
¿QUIÉN
HACE EL COMPLIANCE PROGRAM? ¿QUIÉN ES EL COMPLIANCE OFFICER?
Es un órgano
de la persona jurídica con poderes autónomos de iniciativa
y de control o que tenga encomendada legalmente la función de supervisar
la eficacia de los controles internos de la persona jurídica (el
Compliance Officer).
SUPUESTOS
DE EXENCIÓN DE RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS.
Los supuestos
de exención de responsabilidad penal de las personas jurídicas
son:
-
Que el órgano
de administración haya adoptado y ejecutado con eficacia, antes
de la comisión del delito, un Compliance Program que incluyan las
medidas de vigilancia y control idóneas para prevenir delitos o
para reducir de forma significativa el riesgo de su comisión.
-
Que la supervisión
del funcionamiento y del cumplimiento del modelo de prevención implantado
haya sido confiada a un órgano de la persona jurídica con
poderes autónomos de iniciativa y de control o que tenga encomendada
legalmente la función de supervisar la eficacia de los controles
internos de la persona jurídica (el Compliance Officer).
-
Que los autores
individuales hayan cometido el delito eludiendo fraudulentamente el Compliance
Program.
-
Que no se haya
producido una omisión o un ejercicio insuficiente de sus funciones
de supervisión, vigilancia y control por parte del Compliance Officer.
Si los anteriores
presupuestos solamente pueden ser objeto de acreditación parcial,
esta circunstancia será valorada a los efectos de atenuación
de la pena.
REQUISITOS
QUE DEBEN CUMPLIR LOS COMPLIANCE PROGRAMMES
Los requisitos
que deben cumplir los Compliance Programmes son los siguientes:
-
Identificarán
las actividades en cuyo ámbito puedan ser cometidos los delitos
que deben ser prevenidos.
-
Establecerán
los protocolos o procedimientos que concreten el proceso de formación
de la voluntad de la persona jurídica, de adopción de decisiones
y de ejecución de las mismas con relación a aquéllos.
-
Dispondrán
de modelos de gestión de los recursos financieros adecuados para
impedir la comisión de los delitos que deben ser prevenidos.
-
Impondrán
la obligación de informar de posibles riesgos e incumplimientos
al organismo encargado de vigilar el funcionamiento y observancia del modelo
de prevención.
-
Establecerán
un sistema disciplinario que sancione adecuadamente el incumplimiento de
las medidas que establezca el modelo.
-
Realizarán
una verificación periódica del modelo y de su eventual modificación
cuando se pongan de manifiesto infracciones relevantes de sus disposiciones,
o cuando se produzcan cambios en la organización, en la estructura
de control o en la actividad desarrollada que los hagan necesarios.
a. Medidas
de vigilancia y control idóneas para prevenir delitos.
Se exige al
órgano de administración que haya adoptado y ejecutado con
eficacia, antes de la comisión del delito, un Compliance Program,
el cual debe contener las medidas de vigilancia y control idóneas
para prevenir delitos o para reducir de forma significativa su comisión.
b. Procedimientos
eficaces de gestión del riesgo que permitan identificar, gestionar,
controlar y comunicar los riesgos reales y potenciales.
La persona
jurídica deberá establecer, aplicar y mantener procedimientos
eficaces de gestión del riesgo que permitan identificar, gestionar,
controlar y comunicar los riesgos reales y potenciales derivados de sus
actividades de acuerdo con el nivel de riesgo global aprobado por la alta
dirección de las entidades, y con los niveles de riesgo específico
establecidos
c. Los Compliance
Programmes deben ser claros, precios, eficaces y redactados por escrito.
A criterio
de la Fiscalía, los Compliance Programmes deben ser claros, precios,
eficaces y redactados por escrito; toda vez que deben estar perfectamente
adaptados a la empresa y a sus concretos riesgos, rechazando el que las
compañías se limiten a adaptar –o directamente copiar– otros
Compliance Programmes ya elaborados para otras empresas, a fin de reducir
costes.
d. Altos
estándares éticos.
Los protocolos
y procedimientos de formación de la voluntad de la persona jurídica,
de adopción y de ejecución de decisiones deben garantizar
altos estándares éticos, de manera singular en la contratación
y promoción de directivos y en el nombramiento de los miembros de
los órganos de administración
Aunque la comisión
del delito puede interpretarse como una inicial muestra de la ineficacia
del modelo, lo cierto es que no puede descalificarse por ello automáticamente
un Compliance Program por inefectivo. El delito no invalida necesariamente
el Compliance Program, que puede haber sido diseñado e implementado
adecuadamente sin llegar a tener una eficacia absoluta
e. Recursos
financieros adecuados para dotar de eficacia a los Compliance Programmes.
Atribución
de los recursos financieros adecuados para dotar de eficacia a los Compliance
Programmes y evitar comisión de los delitos que deben ser prevenidos.
f. Canales
de denuncia de incumplimiento internos o de actividades ilícitas.
Los Compliance
Programmes, además de tener eficacia preventiva, deben posibilitar
la detección de conductas criminales. También deben establecerse
canales de denuncia de incumplimiento internos o de actividades ilícitas,
garantizando la protección del denunciante, dada la singularidad
de este tipo de denuncias y las eventuales consecuencias de, que de la
misma, puedan plantearse los denunciantes.
g. Sistema
disciplinario que sancione el incumplimiento del Compliance Program.
Se exige el
establecimiento de un sistema disciplinario que sancione el incumplimiento
del Compliance Program.
h. Regular
los plazos y el procedimiento de revisión.
Un adecuado
Compliance Program tiene que regular los plazos y el procedimiento de revisión,
al margen de su fiscalización cuando se den circunstancias que puedan
influir en el mapa de riesgos contemplado (p.e.: modificaciones del CP
que afecten a la actividad de la persona jurídica).
EL COMPLIANCE
OFFICER
La Fiscalía
considera que el Compliance Officer que supervise el Compliance Program
deberá ser creado específicamente para asumir dicha función
salvo en aquellas entidades en las que, por ley, ya se encuentra previsto
para verificar la eficacia de los controles internos de riesgos de la persona
jurídica (p.e.: empresas de servicios de inversión).
El Compliance
Officer debe disponer de poderes autónomos de iniciativa y control;
y, dependiendo del tamaño de la empresa, podrá estar constituido
por una o varias personas, pero con la suficiente formación y autoridad.
El CP no establece
las funciones que debe desarrollar el Compliance Officer pero, según
la Fiscalía, deberá de participar en la elaboración
del Compliance Program y asegurar su buen funcionamiento, estableciendo
sistemas apropiados de auditoría, vigilancia y control, debiendo
contar con personal con los conocimientos y experiencia profesional suficientes,
disponer de los medios técnicos adecuados y tener acceso a los procesos
internos, información necesaria y actividades de las entidades para
garantizar una amplia cobertura de la función que se le encomienda.
La Fiscalía remite, a título ilustrativo, a la Norma 5ª
de las Circulares 6/2009 y 1/2014 de la Comisión Nacional del Mercado
de Valores para definir el contenido de la función del Compliance
Officer.
El Compliance
Officer debe ser un órgano propio de la persona jurídica
–según la Fiscalía, creado «ad hoc» al efecto–,
pero sin que ello signifique que deba realizar todas las tareas configuradoras
de su función ya que algunas de estas tareas pueden realizarse por
otros órganos, internos (p.e.: departamento de prevención
de riesgos o el departamento de prevención de blanqueo de capitales)
o externos (p.e.: la gestión del canal de denuncias o la formación
de los directos en materia del Compliance Program). Lo importante, según
la Fiscalía, es que existe un órgano responsable de la función
de cumplimiento normativo.
Además,
el Compliance Officer también deberá vigilar al propio órgano
de administración y, por otra parte, se deberán prever mecanismos
de control para gestionar los conflictos de intereses que puedan surgir
entre el órgano de administración y el Compliance Officer.
Finalmente,
en relación con la responsabilidad penal del Compliance Officer,
la Fiscalía señala que éste puede, con su actuación
delictiva, transferir la responsabilidad penal a la persona jurídica
a través del supuesto previsto en el art. 31bis.1.a) CP, porque
al ostentar facultades de organización y control, está incluido
en ese supuesto. Además, la omisión del control al subordinado
puede llevarle a él mismo a ser penalmente responsable del delito
cometido por el subordinado. De hecho, según el criterio de la Fiscalía,
si es el Compliance Officer quien omite gravemente el deber de control,
la persona jurídica, en ningún caso, quedará exenta
de responsabilidad penal.
EL RÉGIMEN
ESPECIAL DE LAS PERSONAS JURÍDICAS DE PEQUEÑAS DIMENSIONES
PYMES.
El art. 31bis.3
CP contiene un régimen especial para las personas jurídicas
de pequeñas dimensiones, consideradas como tales, con arreglo a
un criterio contable, aquellas sociedades autorizadas a presentar cuenta
de pérdidas y ganancias abreviada. La única especialidad
que el Legislador dispensa a estas entidades consiste en eximirlas del
cumplimiento de la condición segunda del apartado anterior, de modo
que las funciones del Compliance Officer las desempeñe directamente
el órgano de administración. Se mantiene, por lo tanto, la
obligación de adoptar los Compliance Programmes, con los requisitos
contemplados en el art. 31bis.5 CP.
Las personas
jurídicas de pequeñas dimensiones podrán demostrar
su compromiso ético mediante una razonable adaptación a su
propia dimensión de los requisitos formales del art. 31bis.5 CP,
en coherencia con las menores exigencias que estas sociedades tienen también
desde el punto de vista contable, mercantil y fiscal. La Fiscalía
aconseja, atendiendo a las especiales características de estas sociedades,
extremar la prudencia en su investigación, a fin de evitar una inconstitucional
situación en base al principio de que "nadie puede ser juzgado dos
veces por el mismo delito", «non bis in ídem».
ADECUACIÓN
Y EFICACIA DE LOS COMPLIANCE PROGRAMMES.
La Fiscalía
afirma que no es tarea fácil definir unos criterios uniformes aplicables
a los diferentes tipos de sociedades, habida cuenta de su distinta organización,
modelos de negocio, naturaleza y extensión de sus transacciones,
sus productos o servicios o sus clientes. No obstante lo cual, sí
proporciona unos primeros criterios interpretativos que tienen como objetivo
valorar la adecuación y eficacia de los Compliance Programmes.
Dichos criterios
son los siguientes:
-
La regulación
de los Compliance Programmes debe interpretarse de manera que el régimen
de RPPJ no quede vacío de contenido y sea de imposible apreciación
en la práctica. Ha de evitarse, por lo tanto, que la mera adopción
de los Compliance Programmes constituya un salvoconducto para la impunidad
de la persona jurídica blindándola, no solo por los actos
de las personas de menor responsabilidad en la empresa sino también
por los de quienes la administran, representan y hasta diseñan y
vigilan la observancia de tales programas.
-
Los Compliance
Programmes no solo tienen por objeto evitar la sanción penal de
la empresa sino promover una verdadera cultura ética empresarial.
Por eso, la clave para valorar su verdadera eficacia no radica tanto en
la existencia de un programa de prevención sino en la importancia
que tiene en la toma de decisiones de sus dirigentes y empleados y en qué
medida es una verdadera expresión de su cultura de cumplimiento.
-
Las certificaciones
sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones
evaluadoras y certificadoras de cumplimiento de obligaciones, mediante
las que se manifiesta que un modelo cumple las condiciones y requisitos
legales, podrán apreciarse como un elemento adicional más
de su observancia pero en modo alguno acreditan la eficacia del programa,
ni sustituyen la valoración que de manera exclusiva compete al órgano
judicial.
-
Cualquier Compliance
Program eficaz depende del inequívoco compromiso y apoyo de la alta
dirección de la compañía. El comportamiento y la implicación
del órgano de administración y de los principales ejecutivos
son claves para trasladar una cultura de cumplimiento al resto de la compañía.
Por el contrario, su hostilidad hacia los Compliance Programmes, la ambigüedad,
los mensajes equívocos o la indiferencia ante su implementación
traslada a la compañía la idea de que el incumplimiento es
solo un riesgo que puede valer la pena para conseguir un mayor beneficio
económico. Por lo tanto, la responsabilidad de la sociedad no puede
ser la misma si el delito lo comete uno de sus administradores o un alto
directivo que si lo comete un empleado.
-
Aunque cabe un
beneficio indirecto de la persona jurídica, la responsabilidad corporativa
no debe valorarse igual en los supuestos en los que la conducta criminal
redunda principalmente en beneficio de la sociedad que en aquellos otros
en que dicho beneficio resulta secundario o meramente tangencial al perseguido
por el delincuente. Se valorará de manera especial que los Compliance
Programmes establezcan altos estándares éticos en la contratación
y promoción de directivos y empleados y su aplicación en
el caso concreto.
-
Si bien la detección
de delitos no está expresamente incluida en la enunciación
ni en los requisitos de los Compliance Programmes, forma parte, junto con
la prevención, de su contenido esencial, de tal manera que la capacidad
de detección de los incumplimientos supondrá un elemento
sustancial de la eficacia del Compliance Program.
-
La comisión
de un delito no invalida automáticamente el Compliance Program,
pero también es cierto que este puede quedar seriamente en entredicho
a tenor de la gravedad de la conducta delictiva y su extensión en
la corporación, el alto número de empleados implicados, la
baja intensidad del fraude empleado para eludir el modelo o la frecuencia
y duración de la actividad criminal.
-
El comportamiento
de la corporación en relación con anteriores conductas es
relevante para deducir la voluntad de cumplimiento de la persona jurídica
y en qué medida el delito representa un acontecimiento puntual y
ajeno a su cultura ética o, por el contrario, evidencia la ausencia
de tal cultura, desnudando el modelo de organización como un mero
artificio exculpatorio.
-
Las actuaciones
llevadas a cabo por la persona jurídica tras la comisión
del delito han de ser igualmente evaluadas (p.e.: la adopción de
medidas disciplinarias contra los autores o la inmediata revisión
del Compliance Program para detectar sus posibles debilidades, introduciendo
en su caso las necesarias modificaciones). Del mismo modo, la restitución,
la reparación inmediata del daño, la colaboración
activa con la investigación o la aportación al procedimiento
de una investigación interna, sin perjuicio de su consideración
como atenuantes, revelan indiciariamente el nivel de compromiso ético
de la sociedad y pueden permitir llegar a la exención de la pena.
CIRCULAR 1/2016
DE LA FISCALÍA GENERAL DEL ESTADO, SOBRE LA RESPONSABILIDAD PENAL
DE LAS PERSONAS JURÍDICAS CONFORME A LA REFORMA DEL CÓDIGO
PENAL EFECTUADA POR LEY ORGÁNICA 1/2015.
Circular 1/2016
de la Fiscalía General del Estado (en adelante, la Fiscalía),
sobre la responsabilidad penal de las personas jurídicas conforme
a la reforma del Código Penal (en adelante, CP) efectuada por Ley
Orgánica 1/2015, fechada el 22 de enero de 2016, en la que se imparten
instrucciones a los Fiscales para valorar la eficacia de los Compliance
Programmes en las empresas que, tras la reforma de la Ley Orgánica
1/2015, de 30 de marzo (en adelante, LO 1/2015), se configuran como una
eximente de la responsabilidad penal de las personas jurídicas (en
adelante, RPPJ).
Esta Circular
debe complementarse con la anterior Circular 1/2011, relativa a la responsabilidad
Penal de las Personas Jurídicas conforme a la reforma del CP efectuada
por Ley Orgánica número 5/2010 (de fecha 1 de junio de 2011).
Hay que tener
presente que, no obstante tener las Circulares de la Fiscalía un
valor orientativo, no vinculante, sí sirven en cambio de instrumento
para unificar criterios de interpretación de las normas que, en
no pocos casos, son seguidas por la jurisprudencia.
De hecho, esta
Circular 1/2016 resulta especialmente interesante a la vista de la escasa
incidencia práctica que ha tenido la RPPJ en el ámbito jurisprudencial,
y ello sin perjuicio del inminente Acuerdo del Pleno del Tribunal Supremo
sobre la cuestión.
La Fiscalía
efectúa en este primera apartado una introducción respecto
de la modificación del CP operada por la LO 1/2015, poniendo de
manifiesto la crítica doctrinal existente hacia la primera regulación
de la RPPJ de 2010 por resultar incompleta y confusa, toda vez que, a pesar
de haber transcurrido más de cinco años, apenas hay pronunciamientos
jurisprudenciales sobre la materia. Según la Fiscalía, a
tenor del Preámbulo de LO 1/2015, la finalidad de la misma es aclarar
el modelo establecido en 2010, incorporando una completa regulación
de los Compliance Programmes.
La referida
LO 1/2015 acomete una importante modificación del art. 31bis, reforma
parcialmente el art. 66 bis e introduce tres nuevos artículos, 31ter,
31quater y 31quinquies que, con la única novedad de extender en
este último el régimen de la RRPJ a las sociedades mercantiles
públicas, reproducen el contenido de los apartados 2º, 3º,
4º y 5º del art. 31bis original.
LA NORMA
UNE 19601 SISTEMAS DE GESTIÓN DE COMPLIANCE PENAL.
Alineada con
el Código Penal, establece los requisitos para implantar un sistema
de gestión de compliance penal con el objetivo de prevenir la comisión
de delitos y reducir el riesgo penal en las organizaciones y con ello,
favorecer una cultura ética y de cumplimiento. Las organizaciones
que implanten correctamente este modelo estandarizado pueden llegar a ver
atenuada su responsabilidad penal o incluso ser eximidas, al demostrar
la debida diligencia y las mejores prácticas a la hora de prevenir
y detectar la comisión de delitos en su seno. La UNE 19601, elaborada
con la participación y el consenso de destacados expertos representativos
de la abogacía y de los diferentes grupos de interés del
ámbito del compliance penal, será certificable por una tercera
parte independiente.
Tras casi dos
años de trabajo y fruto del consenso de destacados expertos representativos
de los diferentes grupos de interés del ámbito del compliance
penal, la Asociación Española de Normalización (AENOR),
ha publicado la Norma española UNE 19601 Sistemas de gestión
de compliance penal.
Esta Norma,
desarrollada en el seno de la entidad responsable del desarrollo de las
normas técnicas en España, establece los requisitos para
implantar, mantener y mejorar continuamente un sistema de gestión
de compliance penal en las organizaciones con el objetivo de prevenir la
comisión de delitos en su seno y reducir el riesgo penal, a través
del impulso de una cultura ética y de cumplimiento.
La UNE 19601
responde al nuevo escenario y al elevado interés por el compliance
penal tras la reforma del Código Penal de 2010 que introduce en
el derecho español la responsabilidad penal de las personas jurídicas;
pero sobre todo da respuesta a la última reforma del Código
Penal de 2015 que indica que las personas jurídicas que hayan implantado
modelos de prevención de delitos y cumplan una serie de requisitos
pueden llegar a ser eximidas de responsabilidad penal.
La UNE 19601
desarrolla requisitos que responden a lo indicado por el Código
Penal para los modelos de gestión y prevención de delitos
pero también va más allá, incorporando las buenas
prácticas en materia de compliance, mundialmente aceptadas.
Entre los requisitos,
la Norma establece que las organizaciones deben:
-
Identificar, analizar
y evaluar los riesgos penales.
-
Disponer de recursos
financieros, adecuados y suficientes para conseguir los objetivos del modelo.
-
Usar procedimientos
para la puesta en conocimiento de las conductas potencialmente delictivas.
-
Adoptar acciones
disciplinarias si se producen incumplimientos de los elementos del sistema
de gestión.
-
Supervisar el
sistema por parte del órgano de compliance penal.
-
Crear una cultura
en la que se integren la política y el sistema de gestión
de compliance.
Sistemas de gestión
del cumplimiento y sistemas de gestión anticorrupción
Esta Norma
ha sido elaborada dentro del subcomité técnico de Normalización
de UNE, el CTN 307/SC1 Sistemas de gestión del cumplimiento y sistemas
de gestión anticorrupción, en el que han participado 36 vocales,
expertos representativos de los diferentes grupos de interés del
ámbito del compliance penal; entre estos, se encuentran las principales
Asociaciones para la función de compliance ASCOM y CUMPLEN, empresas,
AA.PP., consultoras y despachos de abogados, universidades, las ONG’s Transparencia
Internacional y la Red Española del Pacto Mundial de Naciones Unidas,
asociaciones de consumidores o sindicatos.
Este grupo
ya venía trabajando desde 2013 en proyectos de normalización
internacional como la Norma ISO 37001 sobre sistemas de gestión
antisoborno. Requisitos con orientación para su uso, publicada en
octubre de 2016. Este documento ha sido incorporado recientemente al catálogo
español de normas como UNE-ISO 37001, tras adoptar la traducción
oficial al español de la norma por parte de ISO (Organización
Internacional de Normalización).
El sistema
que establece la UNE 19601 presenta la denominada estructura de Alto Nivel,
común a todas las normas internacionales ISO de sistemas de gestión,
con lo que es integrable en otros sistemas de gestión; por ejemplo,
en los descritos en la Norma UNE-ISO 19600 Sistemas de gestión de
compliance. Directrices o en la UNE-ISO 37001.
La mera implantación
de la Norma UNE 19601 no conllevará la exoneración o atenuación
automática de la responsabilidad penal de la persona jurídica,
pero sí puede constituir un elemento fundamental para acreditar
que ésta actuó de forma diligente antes de la comisión
del delito y que empleó las mejores prácticas, conforme a
modelos estandarizados y consensuados para crear una cultura de prevención
que redujera de forma significativa el riesgo de su comisión.
Esta norma
será certificable por una tercera parte independiente; un modo de
asegurar que se aplica eficazmente. La Circular 1/2016 de la Fiscalía
General del Estado sobre la reforma del Código Penal considera que
las certificaciones podrán ser valoradas como un elemento adicional
de la eficacia de los modelos a la hora de eximir de responsabilidad penal
a las personas jurídicas que hayan implantado modelos para la prevención
de delitos.
Este documento
está dirigido a todo tipo de organizaciones, independientemente
de su tipo, tamaño, naturaleza o actividad y del sector al que pertenezca
(privado, público, con o sin ánimo de lucro). Además,
puede ser utilizada en otras jurisdicciones distintas a la española
y por organizaciones no españolas.
|