prevencion penal y compliance

Prevención Penal y Compliance

Un nuevo reto para las empresas y sus ‘stakeholders’

El pasado 1 de julio entró en vigor plenamente la Reforma del Código Penal, y con ésta, la nueva regulación relativa a la Responsabilidad Penal de las Personas Jurídicas; así como de sus administradores y representantes legales. De esta forma, se les puede condenar por haber incumplido gravemente los “deberes de supervisión, vigilancia y control” sobre la actividad de sus trabajadores, en relación con diversos delitos. Destacamos, entre otros, delitos como la estafa, la publicidad engañosa, el fraude, la corrupción, el blanqueo de capitales, los delitos informáticos o los que atacan a la propiedad intelectual. Es por ello que la prevención penal y el compliance corporativo se vuelven esenciales para el desarrollo del negocio; como forma de mitigar o eludir completamente la responsabilidad penal.

En materia de Derecho Digital o Derecho de las Nuevas Tecnologías, toman especial relevancia los ‘Delitos Informáticos’, como los ataques contra los sistemas de información (‘black hacking‘ y daños informáticos) y la interceptación de datos electrónicos (secreto de las comunicaciones); así como la elaboración o distribución de software destinado a facilitar la ejecución de estos delitos (espionaje informático), todo ello de acuerdo con lo establecido en la Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información (cuyo plazo de transposición vence el próximo 04 de septiembre de 2015).

Todos estos nuevos aspectos que afectan a la responsabilidad corporativa se encuentran en las modificaciones del Código Penal ya realizadas por la Ley Orgánica 5/2010, de 22 de junio; y el Proyecto de Reforma del Código Penal, del 20 de septiembre de 2013, que acaba de entrar en vigor. Es en el nuevo artículo 197 quinquies del Código Penal donde se recoge expresamente la Responsabilidad de la Persona Jurídica con respecto a estos delitos.

Con carácter general, esta nueva regulación que afecta a las personas jurídicas se enfrenta a un principio clásico del liberalismo europeo: La sociedad no puede delinquir (“Societas delinquere non potest”). Así pues, mediante esta decisión, sin duda, el legislador se ha inspirado en el Derecho norteamericano; así como en la legislación actual de diversos países europeos, tales como Portugal, Francia, Holanda o Italia. Desde la famosa sentencia del Tribunal Supremo norteamericano New York Central & Hudson River Railroad v. United States, de 1909 -en la que por primera vez se declara la responsabilidad penal de una persona jurídica-, la importancia del presente tema ha ido en auge, tanto desde la perspectiva jurídica como desde la económica y la del management o gestión empresarial.

Pero, al margen de ello, desde el momento en que nuestro legislador ha optado por atribuir este tipo de responsabilidad a las personas jurídicas, interesa analizar esa normativa, su interpretación y alcance, con lo cual, se hace necesario comenzar por el renombrado artículo 31 bis, apartado primero, del Código Penal, que al regular la responsabilidad de la persona jurídica por conductas realizadas por los empleados, alude al ejercicio del «debido control», y, en su cuarto apartado, se configura como atenuante, la adopción de «medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse».

De este modo, la prueba del debido control y de la adopción correcta de las medidas de prevención y detección de delitos, deviene tarea fundamental de las empresas u organizaciones que pretendan tal efecto atenuante o eximente, sobre las que recaerá la carga probatoria. Es por ello que resulta necesario delimitar los elementos que debe de cumplir un eficaz Programa de Prevención Penal. Podemos partir de diversos documentos, que nos ayudarán a orientar la tarea propuesta:

  • En primer lugar, encontramos la Circular 1/2011, de la Fiscalía General del Estado, relativa a la responsabilidad penal de las personas jurídicas, en la cual que los programas de autorregulación corporativa, no constituyen ni el fundamento de la imputación de la persona jurídica, ni el sustrato de una pretendida culpabilidad de empresa, atribuyéndoles relevancia en orden a servir de instrumento para evaluar el contenido real del mandato del que es titular el gestor o representante, y aquello que integra el control debido de la actividad, por lo que concluye que no bastará un mero maquillaje de la empresa, para obtener el efecto atenuante previsto en los artículos preceptuados anteriormente.
  • En segundo lugar, disponemos de los precedentes que implican las US Federal Sentencing Guidelines for Corporations de 1991, modificadas en 2004 y en 2010, a su vez, complementadas con la Sarbanes Oxley Act del año 2002 (en adelante, FS Guidelines), en relación con la implementación de un «Effective Compliance and Ethics Program», que al elaborar las normas o pautas para las sentencias penales en el proceso penal federal de ese país, establece como posible atenuante de la pena, la existencia de un programa de cumplimiento efectivo (mediante un particular sistema de reducción de la puntuación de la culpabilidad, ajeno a la tradición jurídica europea).
  • En tercer lugar, debe mencionarse también, la UK Bribery Act de 2010, que entró en vigor el 1 de julio de 2011, y que permite la persecución de compañías internacionales con presencia en el Reino Unido, si éstas o sus socios se hallan involucrados en casos de corrupción, salvo que puedan acreditar fehacientemente que han implementado procedimientos adecuados de prevención al respecto, entre los que destaca una completa evaluación del riesgo penal.

A tenor de todo lo expuesto, podemos ver claramente cómo la línea legislativa de los países comentados, entre otros, avanza sobre el argumento que refuerza la importancia vital de estos programas de cumplimiento normativo en materia penal (compliance penal). Así pues, las pautas generales que deben cumplirse, para que los Programas de Prevención Penal sean efectivos, se podrían resumir en los siguientes aspectos:

  1. El programa de cumplimiento deberá constar por escrito, persiguiendo establecer una cultura de cumplimiento dentro de la organización.
  2. El diseño de un programa de cumplimiento requiere analizar el riesgo penal de la empresa (determinando la probabilidad de que se produzcan, y la responsabilidad que llevan aparejada), por razón de su actividad y también por razón de su propio modelo de organización (lo que en inglés se denomina ‘risk mapping’).
  3. Una vez identificadas las áreas y conductas de riesgos, el plan de cumplimiento debe incluir un sistema de control para reducir el riesgo de la comisión del delito.
  4. Debe establecerse, además, un adecuado sistema de información que permita descubrir la comisión de delitos, con ese fin, el programa de cumplimiento debe no sólo regular los cauces para canalizar las denuncias acerca de posibles hechos delictivos, sino también establecer mecanismos que faciliten o incentiven la comunicación e investigación de conductas delictivas a los órganos de vigilancia de la empresa en concreto.
  5. Consiguientemente, la persona jurídica, si quiere estar correctamente representada en el proceso, resulta esencial que elija a la persona física adecuada, elección que debiera recaer en el “Chief Compliance Officer”, en tanto que empleado, es mejor conocedor del programa y, por ello, más adecuado para ostentar la representación de la persona jurídica.
  6. Deben fijarse, adicionalmente, programas y actuaciones de formación, debido a que cualquier sistema de control preventivo requiere el conocimiento del contenido por parte de los empleados y de los mandos intermedios, así como la alta dirección de la empresa, para lo cual han de recibir la formación correspondiente con carácter periódico.
  7. Por ende a lo anterior, debe de implantarse la revisión y actualización del programa de cumplimiento, en base a labores de seguimiento o monitoreo, auditoría interna y evaluación de los resultados que dichos informes arrojan.

En este mismo sentido, las auditorías integran todo un conjunto de estudios realizados de forma interna, o al margen de la autoridad judicial, encargados de detectar las actividades llevadas a cabo dentro de la sociedad, y que puedan producir algún riesgo legal, actuando como un mecanismo indispensable en el programa de “compliance”.

Llegados a este punto final, cabe recordar que cada programa de cumplimiento deberá ajustarse a las particularidades del caso concreto. No existen modelos generales para ello, ni es posible precisar cuál es el valor que nuestros tribunales concederán a la existencia y aplicación de los programas de cumplimiento y prevención penal en una empresa, a la hora de enfrentarse a un proceso penal contra una persona jurídica. Ahora bien, su adecuada implementación debería producir un claro efecto preventivo y, a su vez, una mayor ética empresarial, siendo éste último, el activo más relevante a obtener.

Por Albert Castellanos

Governance, Compliance & Risk Management

Imagen de cabecera de Thomas Lefebvre en Unsplash.com