LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 06:50:56

LegalToday

Por y para profesionales del Derecho

El «sistema interno de información»: la próxima gran obligación para toda persona jurídica o física con más de 49 trabajadores

Profesor de Compliance Penal y Seguridad Internacional de la Universidad Loyola. Codirector del Compliance Advisory LAB.

El Compliance Advisory LAB elabora un informe que analiza pormenorizadamente el Anteproyecto de Ley de Protección al Informante. El examen comprende los principales aspectos y ventajas de esta futura norma, pero incluye el estudio de otras cuestiones de gran relevancia para las empresas sobre las que alerta, como las dificultades para compatibilizar su cumplimiento con las exigencias de los sistemas de compliance o la existencia de varios puntos críticos con implicaciones penales, tanto para el futuro «responsable del sistema interno de información» como para la propia defensa de la persona jurídica (p.ej.: el acceso judicial al «libro-registro» de comunicaciones de la organización).

Esta futura norma es manifestación de una tendencia que va a generar un importantísimo cambio de paradigma en la gestión de riesgos (penales y administrativos) en empresas, fundaciones, asociaciones, etc. De hecho, el Anteproyecto contempla como sujetos obligados del sector privado a cualquier empresario o persona jurídica que tenga más de 49 trabajadores por lo que afectará a una parte sustancial de tejido corporativo y contexto empresarial español. El anteproyecto contempla las siguientes obligaciones:

• Configurar y adoptar unos adecuados «sistemas internos de información»

• Aplicar mecanismos efectivos de protección al informante y  prohibición de represalias.

• Designar a un responsable del sistema interno de información, que debe ser un directivo de la propia organización.

Entre otros aspectos, el informe avisa de la trascendencia de los efectos de un precepto del Anteproyecto referido a la llevanza del libro-registro de comunicaciones recibidas e investigaciones internas desarrolladas. El precepto recoge la controvertida afirmación de que «a petición razonada de la Autoridad judicial competente, mediante auto, y en el marco de un procedimiento judicial y bajo la tutela de aquélla, podrá accederse total o parcialmente al contenido…». Sin duda, se trata de un artículo podría comprometer gravemente el «derecho a la no autoincriminación» de la persona jurídica -sometida investigación- por contemplar que un juzgado pueda acceder a su contenido de manera total o parcial.

Como se expone en el informe, la jurisprudencia española está reconociendo la titularidad del «derecho a la no autoincriminación» a las personas jurídicas cuando se dan requerimientos judiciales de aportación de documentos en investigaciones que le afectan. La problemática surge con la concreta interpretación que, desde determinados tribunales, se está haciendo de la no autoincriminación para las personas jurídicas, haciéndolo pender de que la llevanza del documento requerido no sea obligatoria en virtud de una disposición. Se trata de un enfoque que, por ejemplo, sí evita la obligación de entregar documentos generados en los sistemas de compliance (no obligatorios por ley), pero que no protegería aquellos generados durante la futura ejecución de estos nuevos «sistema internos de información», máxime cuando se prevé la facultad de acceso judicial. No obstante, existen voces autorizadas que alertan de ello y defienden -de manera rigurosa- que el derecho a la no autoincriminación en un proceso contra la persona jurídica ampara la negativa a la aportación de cualquier evidencia que pudiera servir para incriminarla, pues no debemos de olvidar que es la acusación, no la defensa, quien tiene la carga de acreditar los presupuestos fácticos que conforman la infracción o delito.

Asimismo, el informe aborda la nueva figura del responsable del sistema interno de información, que sopone un punto especialmente sensible y, en muchos casos, determinará cambios en el diseño institucional de la persona jurídica. La identificación de este responsable debe realizarla el órgano de administración o de gobierno de cada ente.

Aunque el responsable del sistema sea un órgano colegiado, éste órgano tiene que delegar sobre uno de sus miembros las facultades de gestión del sistema interno de información y de tramitación de expedientes de investigación. Este sujeto debe ser un alto directivo de la entidad, que asumirá exclusivamente dichas funciones y que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma, tratando en todo caso de evitar posibles situaciones de conflicto de interés.

Y es que, las autoridades son buenas conocedoras de las complejidades asociadas a la atribución de responsabilidades cuando intervienen órganos colegiados que detentan determinadas funciones dentro de escenarios corporativos, muy particularmente en el terreno jurídico-penal o de estrategias consistentes en tratar de derivar funciones a profesionales de la abogacía externos con la idea de que, llegado el caso, se alegue la aplicación del «legal privilege» del abogado «defensor». Por ello, en el Anteproyecto se asigna -con claridad meridiana- las concretas tareas de gestión del sistema y tramitación del expediente de investigación a una persona física, que será directa e inmediatamente responsable y que, además, ha de ser directivo de la propia persona jurídica. Esto sitúa claramente al responsable en una posición análoga al responsable del canal de denuncias en el marco de los sistemas de compliance (por ello contempla la posibilidad de compatible las funciones). Sobre ello, se traen a colación la siguiente afirmación de la Fiscalía General del Estado (Circular  1/2016):

«…la exposición personal al riesgo penal del oficial de cumplimiento no es superior a la de otros directivos de la persona jurídica. Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones, puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos, especialmente dada su responsabilidad en relación con la gestión del canal de denuncias y siempre que la denuncia se refiera a hechos que se están cometiendo y que, por tanto, el oficial de cumplimiento pueda impedir con su actuación.»

Estos son, únicamente, dos puntos del amplio elenco de cuestiones que se tratan detalladamente en el informe. Se trata de un documento que resulta de particular interés para abogados corporativos, compliance officer, asesores legales, analistas de riesgos, órganos colegiados con funciones vinculadas al compliance y para los futuros responsables del denominado sistema de información interna. Igualmente, puesto que el incumplimiento de las exigencias previstas en la norma implicarán la imposición de sanciones de gran envergadura para empresario o persona jurídica (pueden alcanzar los 300.000€ para personas físicas y 1.000.000€ en el caso de personas jurídicas), el objeto de este informe concierne tanto a la alta dirección como a miembros de consejos de administración.

El informe ha sido redactado por el jurista, Rafael Aguilera Gordillo, codirector del Compliance Advisory LAB, director del posgrado de Especialización en Compliance de la Universidad Loyola y doctor en la materia. Asimismo, Aguilera autor del Manual de Compliance Penal en España (Thomson Reuters Aranzadi, 2ªEdición, 2022), es miembro académico de la Anti-Corruption Academic Initiative de la Oficina de Naciones Unidas contra la Droga y el Delito (UNODC); codirector del posgrado para LatAm sobre Responsabilidad Penal de las Personas Jurídicas, Forensic y Sistemas de Compliance en Marcos Internacionales y Nacionales de la Universidad de Valladolid y es miembro del cuerpo docente de distintos posgrados, como el curso profesionalizante de Compliance Officer de la Universidad de Deusto y el posgrado sobre Fundamentos del Compliance de la Universitat Oberta de Catalunya.

En la esfera internacional, ha sido nombrado academic visitor del prestigioso Centre for Socio-Legal Studies de la Facultad de Derecho de la Universidad de Oxford (siendo designado, nuevamente, para el próximo año); ha intervenido como experto en Compliance y Penal Corporativo en foros tan prestigiosos como la Cumbre de Alto Nivel sobre Educación y Estado de Derecho de Naciones Unidas –donde fue participante de la sesión «Crime Prevention and Criminal Justice»– o el XIV Congreso Internacional de Naciones Unidas sobre Prevención del Crimen y Justicia Penal (el más importante de este campo a escala mundial), ha sido delegado del CSLS de la Universidad de Oxford en el Congreso de la Internacional Network for Delivery Regulation (INDR) sobre modelos regulatorios, compliance y regulación ética y ha sido miembro de la dirección académica del I Congreso Internacional ICT Derecho y Criminología en la Nueva Era Digital.

Es investigador del proyecto «Retos Investigación» I+D+i del Ministerio de Ciencia, Innovación y Universidades sobre las «Consecuencias sociales y normativas de la robótica y las tecnologías de mejora humana (Exphilrob)» junto con investigadores expertos en ética, psicología, sociología y economía conductual del Consejo Superior de Investigaciones Científicas (CSIC). Es Miembro del Grupo de Investigación DECOMESI: Grupo de Investigación «Derecho Común Europeo y Estudios Internacionales» (SEJ-399); grupo multidisciplinar que aglutina a investigadores del área de Derecho Público y RRII, etc.

Rafael Aguilera fue uno de los primeros doctores de España en realizar una investigación que comprendía tanto el análisis del vigente régimen de responsabilidad penal de las personas jurídicas y requisitos de los modelos de prevención de delitos regulados en el año dos mil quince como un estudio sobre la fundamentación analítica de este tipo de responsabilidad (proponiendo una profunda actualización de las bases sociojurídicas de conocido como delito corporativo), que es pionero por la utilización del «nuevo institucionalismo», la «teoría de juegos» y la «modelización» para el estudio del riesgo penal, el risk management, el diseño de los sistemas de compliance y el esclarecimiento de la atribución de la responsabilidad penal corporativa. Es autor de multitud de publicaciones, de la que puede destacarse el Manual de Compliance Penal en España, libro que se encuentra en su segunda edición y que se ha convertido en una herramienta muy extendida para el estudio de la materia.

Entre otros títulos, posee el Máster en Derecho Penal de la Universidad de Sevilla e Instituto Interuniversitario de Criminología, el Máster de Derecho Público de la Universidad de Córdoba, el diploma de Especialización para Abogados de la Escuela de Práctica Jurídica del Colegio de Abogados de Córdoba y el certificado de aptitud profesional para el ejercicio de la abogacía (CAP) del Consejo General de la Abogacía Española. Asimismo, detenta el título de perito experto en Compliance, la certificación de compliance Cescom y la acreditación de Internationally Certified Compliance Professional de la Federación Internacional de Asociaciones de Compliance.

Este report es el último de un conjunto de textos amplios y específicos que se desarrollan en el marco del Compliance Advisory LAB, un laboratorio auspiciado por Grant Thornton, codirigido por Rafael Aguilera y Fernando Lacasa (socio responsable de Forensic de la firma). Puede accederse al contenido íntegro de este último report del Compliance Advisory LAB en el siguiente enlace.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.