En mi opinión, la Circular 1/2016 de la Fiscalía General del Estado (FGE) debe ser utilizada a partir de ahora como un marco de referencia en la evaluación de los programas de compliance de las empresas españolas por varios motivos:
1. Supone una guía de actuación para los más de 2.000 fiscales existentes en España según la Memoria de 2015.
2. Contiene criterios uniformes que los fiscales deben aplicar en los procesos penales contra empresas.
3. Es el único marco de referencia existente en la actualidad que interpreta la reforma del Código Penal de 2015 desde la óptica acusatoria.
4. Es de gran utilidad para las empresas, ya que, además de ayudarles a conocer el "manual del adversario", les permite adaptar sus modelos de compliance a los criterios que se aplicarían en una eventual imputación. En lenguaje de estudiantes: les permite saber las "preguntas del examen".
Dejando para otro foro el apasionante debate que suscitan las cuestiones técnicas y procesales que la Circular analiza, voy a enunciar en esta primera entrega los aspectos que, en mi opinión, más afectan a los modelos de organización y gestión de las grandes empresas, dejando para sucesivas entregas el análisis más detallado de cada uno de ellos.
Directivos con obligaciones de control
La Fiscalía entiende que se produce una ampliación del círculo de personas capacitadas para transferir la responsabilidad penal a la persona jurídica, y los divide en tres grupos:
1. Los representantes legales.
2. Las personas autorizadas a tomar decisiones en nombre de la empresa.
3. Las personas que ostentan facultades de organización y control
El Compliance Officer quedaría integrado en esta tercera categoría, por lo que esta circunstancia deberá ser tenida en cuenta en el diseño y evacuación del modelo de compliance y de la estructura de control.
Responsabilidad penal de los directivos
En la Circular se indica que la nueva exigencia de que el incumplimiento del deber de control haya sido grave determina que, junto a la empresa, el directivo que omite el control también puede responder por un delito, bien doloso, en comisión por omisión, bien gravemente imprudente, lo que traslada la conducta de los directivos con obligaciones de control.
De esta manera se hace eco de los criterios establecidos en varias sentencias del Tribunal Supremo en las que se establece la responsabilidad penal del directivo que:
1. Tiene obligaciones de control y vigilancia sobre sus subordinados
2. Tiene autoridad sobre los mismos
3. Puede evitar el delito, directamente o a través de sus superiores
4. Conoce el riesgo o la ejecución del acto antijurídico del subordinado
5. No ejerce sus facultades de control o no actúa para evitar el delito
Responsabilidad penal del Compliance Officer
La Fiscalía entiende que el Compliance Officer puede ser una de las personas que, al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la empresa. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado.
En cualquier caso, la exposición personal al riesgo penal del Compliance Officer no es superior a las de otros directivos de la empresa.
Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones:
1. Puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos.
2. Especialmente a causa de su responsabilidad en relación a la gestión del canal de denuncias.
3. Siempre que la denuncia se refiera a hechos que se están cometiendo.
4. Y que, por tanto, el Compliance Officer puede impedir con su actuación.
Por ello será muy importante que las funciones de control del Compliance Officer estén claramente definidas en el modelo de Compliance, en su contrato y en la descripción del puesto de trabajo.
Beneficio directo o indirecto
La sustitución del término "provecho" por el de "beneficio directo o indirecto" permite extender la responsabilidad penal a las empresas que persigan:
1. Beneficios a través de otras sociedades, entre las que, en mi opinión se incluirían los proveedores críticos.
2. Beneficios consistentes en un ahorro de costes
3. Beneficios estratégicos
4. Beneficios intangibles
5. Beneficios reputacionales
Esta interpretación confirma la tesis mantenida en nuestros cursos de Compliance, en nuestra metodología y en nuestra aplicación informática, sobre la necesidad de identificar y mantener un control continuado sobre los proveedores considerados críticos en materia de compliance. Es decir, aquéllos que podrían cometer un delito en nombre y en beneficio de la empresa.
Prevención de conductas imprudente
Los comportamientos que pueden generar responsabilidad penal para la empresa pueden ser dolosos o imprudentes. En la circular de la Fiscalía se recuerda que sólo cuatro grupos de conductas imprudentes son susceptibles de general responsabilidad penal para las empresas:
1. Las insolvencias punibles
2. Los delitos contra los recursos naturales y el medio ambiente
3. El delito de blanqueo de capitales
4. Los delitos de financiación del terrorismo
Esta información debe ser aprovechada por las empresas y sectores con un riesgo inherente alto en alguno de estos cuatro puntos, ya que así saben donde tienen que concentrar su esfuerzos de prevención y formación.
Se entiende que la prevención de los comportamientos dolosos exige una gran inversión en medidas de control y detención, mientras que la prevención de los comportamientos imprudentes exige destinar más recursos a la información, la formación y la sensibilización.
Perímetro de control
En relación a las personas sometidas a la autoridad de los directivos con obligaciones de control, la Fiscalía interpreta que:
1. Sólo tienen que operar en el ámbito de dirección, supervisión, vigilancia o control de dichos directivos.
2. No es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil.
Por lo tanto, quedan incluidos:
1. Los autónomos
2. Los trabajadores subcontratados, es decir, los trabajadores de los proveedores
3. Los empleados de empresas filiales
4. Siempre que se hallen integrados en el perímetro de su dominio social
Se entiende que si hay un vínculo laboral entrarían en el perímetro de control los empleados de la empresa, y si hay un contrato mercantil podrían entrar:
1. Los proveedores críticos
2. Los clientes críticos
3. Los concesionarios
4. Los franquiciados
Valoración de la idoneidad del modelo de organización y gestión
La Circular establece los siguientes criterios para valorar la idoneidad de un programa de Compliance:
1. La carga de la prueba de la idoneidad del programa de compliance corresponde a la empresa
2. El objetivo del modelo no debe ser evitar la sanción penal sino promover una verdadera cultura de cumplimiento en la empresa. No son un seguro para prevenir la responsabilidad penal.
3.Debe estar adaptado a la tipología de delitos que tiene prevenir, que son los que aparecen con mayor probabilidad de comisión en el mapa de riesgos.
4. El programa de compliance debe ser robusto. Si puede ser sorteado o neutralizado fácilmente por los subordinados no será idóneo ni eficaz.
5. Es importante el programa de compliance esté debidamente auditado.
6. No son idóneos los programas de compliance copiados de otras empresas, ya que muy probablemente no se adaptarán a la actividad de la empresa.
7. Se valorará la existencia de aplicaciones informáticas que controlen con la máxima exhaustividad los procesos internos de negocio
8. Los protocolos y procedimientos de formación de la voluntad de la persona jurídica deben garantizar altos estándares éticos en el proceso de toma de decisiones.
9. Para ello deberán aplicarse también protocolos de contratación y promoción de directivos y de nombramiento de los miembros de los órganos de administración, en los que se apliquen los criterios de idoneidad fijados por la normativa sectorial, la trayectoria profesional y los antecedentes del directivo.
10. Tendrá una importancia decisiva la detección y la denuncia del delito por la propia empresa a la autoridad competente como ruta directa hacia la exención de responsabilidad.
11. Eficacia preventiva que posibilite la detección de delitos, mediante canales de denuncia que garanticen la confidencialidad y eliminen el riesgo de represalias.
Valoración de la eficacia del modelo de organización y gestió
La Circular establece los siguientes criterios para valorar la eficacia de un programa de Compliance:
1. El programa de compliance no debe plantearse como un salvoconducto para la impunidad de la empresa.
2. El programa de compliance debe tener por objeto promover una verdadera cultura de cumplimiento.
3. Las certificaciones sobre la idoneidad del modelo expedidas por empresas o asociaciones evaluadoras y certificadoras podrán apreciarse como un elemento adicional más de su observancia pero en modo alguno acreditan la eficacia del programa.
4. Debe existir un inequívoco compromiso y apoyo de la alta dirección, que ejemplifique una cultura de cumplimiento, sin recompensar, consentir ni tolerar el incumplimiento.
5. El programa de compliance debe exigir altos estándares éticos en la contratación y promoción de directivos y empleados.
6. Se valorará también las actuaciones llevadas a cabo por la persona jurídica tras la comisión del delito, siendo muy relevantes la adopción de medidas disciplinarias y la inmediata revisión del programa de compliance.
7. Se valorará de forma negativa el retraso en la denuncia, así como la ocultación del delito y la actitud obstructiva o no colaboradora con la justicia.
Esta es una primera aproximación a los puntos que considero con mayor impacto en los programas de compliance de las grandes empresas. Queda ahora un largo camino para extraer muchas más conclusiones que puedan ser útiles para preparar a las empresas en el doble objetivo de implantar una cultura de cumplimiento real y de estar preparadas para acreditar los esfuerzos realizados en el cumplimiento de la ley.
