María Concepción Rayón Ballesteros
Profesora de la Universidad Complutense de Madrid. Abogada y mediadora. Doctora en Derecho y Licenciada en Ciencias Políticas y de la Administración
La responsabilidad penal de las personas jurídicas y de las empresas se introdujo en el ordenamiento jurídico español en 2010, con los cambios en nuestro Código Penal operados por la Ley Orgánica 5/2010, de 22 de junio.
La reforma dejó dudas sobre algunos de sus elementos y sobre la eficacia de un Programa de Compliance. Por eso desde 2015 contamos con un nuevo articulado en el Código Penal, tras la Ley Orgánica 1/2015, de 30 de marzo, que establece que las empresas pueden quedar exentas de responsabilidad penal si han implantado de forma efectiva un programa de cumplimiento con los requisitos del Código Penal.
Efectivamente, el nuevo texto legal permite eximir de responsabilidad penal a las empresas bajo los siguientes requisitos:
- Que el Consejo de Administración haya adoptado e implantado, con anterioridad a la comisión del delito, un modelo de organización, gestión y control (el modelo) adecuado para prevenir delitos del tipo cometido.
- La supervisión del modelo se encomienda a un órgano de supervisión con poderes independientes de iniciativa y control. El Código acepta que, en las pequeñas y medianas empresas, el Consejo de Administración pueda cumplir esta función directamente.
- Los autores individuales del delito cometieron la infracción eludiendo el modelo de forma intencionada y fraudulenta.
- El órgano de vigilancia no ha descuidado sus funciones de supervisión y control. Si el delito es cometido por una persona subordinada, la empresa deberá acreditar que tenía efectivamente implantado un modelo organizativo y de gestión adecuado para prevenir delitos del mismo tipo que el cometido, con anterioridad a la comisión del delito.
Aunque el Código Penal ya precisa el contenido de estos planes de cumplimiento para que sean eficaces, además resultan relevantes otras normas como las siguientes:
- Gestión del Riesgo. Técnicas de apreciación del riesgo (UNE-EN 31010:2011)
- Sistema de Gestión de Compliance Penal (UNE 19601:2017) que constituye el pilar sobre el que se asientan los sistemas de Compliance que tratan de adecuarse al Código Penal Español. Establece los requisitos para poner en marcha un sistema de gestión de Compliance
- Sistema de Gestión Antisoborno (UNE-ISO 37001:2017) que aporta las recomendaciones necesarias para ayudar a la empresa a combatir el soborno y promover una cultura empresarial ética.
- Gestión de la Seguridad de la Información (ISO 27001:2017) que busca concretar la gestión en el ámbito de la seguridad de la información.
- Sistema de Gestión de Compliance Tributario (UNE 19602:2019) que indica los requisitos específicos para el cumplimiento de la normativa tributaria española y comunitaria y la gestión de riesgos.
- La Directiva Europea, 2019/1937 de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión que impone la obligación para todas las empresas, públicas o privadas, que cuenten con más de 50 trabajadores en plantilla, o aquellas que sean requeridas para ello por su actividad o nivel de riesgo (como sucede en temas relacionados con la salud pública o el medio ambiente) de implementar cauces y procedimientos internos de denuncia, seguimiento y tramitación de las denuncias e incidencias que se planteen. Esta obligación ser efectiva a partir del próximo día 17 de diciembre de 2021.
Para que el programa de cumplimiento penal tenga eficacia deberá referirse a los siguientes aspectos:
- Evaluación de riesgos para identificar las actividades dentro de la empresa que puedan representar un riesgo;
- Políticas, procedimientos y controles para prevenir, mitigar y/o sancionar los riesgos penales detectados;
- Sistema de gestión financiera para prevenir la comisión de los delitos identificados;
- Obligación de informar al responsable/comité de cumplimiento de cualquier riesgo potencial o actividad no conforme (es decir, necesidad de implementar canales de denuncia);
- Canal de denuncias para que se puedan comunicar las incidencias que puedan plantearse
- Sistema disciplinario para sancionar cualquier violación del modelo de gestión.
- Verificación periódica y cambios en el modelo si se descubren violaciones significativas, o si hay cambios significativos en la organización, estructura de control o actividades de la corporación.
Hay que destacar que el programa de cumplimento o Compliance Program consta de varios elementos relacionados entre sí, como son el Código Ético o de buenas prácticas, el Canal de Denuncias, el protocolo de actuación para investigaciones internas, los controles generales y específicos, el catálogo de medidas tendentes a evitar el incumplimiento de las normas por parte de los miembros de una empresa, así como el régimen sancionador para el incumplimiento de las medidas contenidas en el programa.
De esta forma los programas de cumplimiento se convierten en la forma de instaurar la cultura del cumplimiento en la empresa y serán prueba relevante en el proceso penal, como cualquier prueba documental, siempre que cumpla los requisitos establecidos en las normas que regulan las garantías procesales y los derechos fundamentales y se aporten al procedimiento en el momento procesal oportuno.
El programa de cumplimiento se aportará al proceso como prueba documental integrado por sus mapas de riesgos y sus análisis y evaluaciones, con su desarrollo de su Código Ético, con los archivos de las formaciones y los datos de las informaciones facilitadas a los trabajadores, con los archivos de todos los controles efectuados y las fechas, con el diseño y la forma de funcionamiento del Canal de Denuncias, con los registros de actividad realizado por el órgano de cumplimiento, con el resultado de las investigaciones internas llevadas a cabo, entre otras informaciones relevantes, y todo ello perfectamente datado y calendarizado para conocer las fechas efectivas de los controles y análisis efectuados.
El ordenamiento jurídico español no define la figura del Compliance Officer u Oficial de Cumplimiento. Tampoco se definen claramente sus funciones o atribuciones, ni sus poderes para hacer cumplir sus pautas de actuación. Hay que destacar que en la Circular de la Fiscalía General del Estado 1/2016 si aparecen como notas características de actuación su autonomía, su independencia y su imparcialidad que son elevadas a condiciones sine qua non para las finalidades que debe perseguir. De las indicaciones que se contienen en dicha Circular de la Fiscalía General del Estado podemos deducir que se tratar de un órgano muy importante dentro de la persona jurídica, creado específicamente por la misma y designado por su órgano de administración, para asumir las funciones inherentes a su cargo sobre la planificación, implementación y supervisión de los Programas de Cumplimiento. Su vinculación concreta con la empresa podrá ser interna o externa, por externalizarse el servicio.
Entre las responsabilidades del Compliance Officer podemos encontrar las siguientes: elaborar los manuales internos, procedimientos y controles, asesorar en materia de cumplimiento normativo, supervisar y gestionar los esfuerzos de los diferentes departamentos para el cumplimiento de la legislación vigente, analizar cambios estatutarios y reguladores, velar y vigilar el cumplimiento del sistema de prevención de riesgos, controlar internamente a todos los miembros de la empresa para que no se cometan infracciones de dicho sistema de prevención de riesgos, denunciar y proponer sanciones para aquellas personas que hayan infringido ese código de conducta penal, evitar la existencia de riesgos penales en la empresa, monitorizar y actualizar periódicamente el plan de cumplimiento y reportar sobre posibles incumplimientos, asegurar la formación apropiada en materia reguladora de todo el personal, programar las auditorías para la comprobación del funcionamiento del sistema de control, actuar como enlace entre los organismos reguladores y las unidades de negocio de la entidad, y, lo más importante, documentar todo aquello que pueda constituir una prueba de que se ha actuado diligentemente en la prevención y vigilancia de delitos.
El Compliance Officer deberá ejercer sus funciones con poderes autónomos de iniciativa y control evitando posibles conflictos de intereses con la actuación de los órganos de administración y de dirección de la empresa. Además, desempeña sus funciones de supervisión, vigilancia y control y el incumplimiento de las mismas podría generar su responsabilidad penal o incluso contractual o laboral.
Así pues, la conclusión que debemos obtener de lo indicado es que todas las empresas deben identificar cuidadosamente, mediante una evaluación de riesgos adaptada y a su medida y específica para su sector de actividad y su volumen de negocio, las actividades que desempeña tanto en su central como en sus filiales locales, para evitar que se comentan delitos en su seno. Para ello resulta determinante adoptar un programa de cumplimiento eficiente o Compliance Program e incorporar la figura del Oficial de Cumplimiento o Compliance Officer, asi como establecer un canal de denuncias que será obligatorio a partir del próximo día 17 de diciembre de 2021.
Referencias bibliográficas
El delito contable y la necesidad de implementar Programas de Cumplimiento Penal en la empresa para evitar su comisión
Rayón Ballesteros, María Concepción y Santos Jaén, José Manuel
Anuario jurídico y económico escurialense, ISSN 1133-3677, Nº. 54, 2021, págs. 95 a 155.
Cuestiones controvertidas sobre la responsabilidad de las personas jurídicas en el proceso penal y la eficacia de los programas de cumplimiento
María Concepción Rayón Ballesteros
Foro: Revista de ciencias jurídicas y sociales, ISSN 1698-5583, Vol. 22, Nº. 1, 2019 (Ejemplar dedicado a: El derecho procesal en España y en Brasil), págs. 233-246
Los programas de cumplimiento penal: origen, regulación, contenido y eficacia en el proceso
María Concepción Rayón Ballesteros, María Pérez García
Anuario jurídico y económico escurialense, ISSN 1133-3677, Nº. 51, 2018, págs. 197-222
Cuestiones clave de las once primeras sentencias del Tribunal Supremo sobre la responsabilidad penal de la persona jurídica
María Concepción Rayón Ballesteros, Eduardo Pesquera
Revista de derecho y proceso penal, ISSN 1575-4022, Nº. 50, 2018, págs. 279-307
Información de la autora
ORCID: https://orcid.org/0000-0002-7362-2885
Correo: mcrayon@ucm.es