NEWSLETTER 1 de abril de 2015 Barcelona/Madrid La principal novedad de la reforma del Código Penal es que definitivamente coloca a los programas de compliance o cumplimiento normativo como una de las principales armas para luchar contra la criminalidad empresarial. La clave es que estos progresos se considerarán como eximente de una potencial condena a la sociedad. Pero no cualquier programa de compliance penal será válido. Buena parte del nuevo artículo 31 bis se dedica a fijar las principales características que debe tener un programa de este tipo. Así, se da un paso definitivo respecto a la reforma de 2010, cuando la normativa se quedó a medias al contemplar la conveniencia de adoptar esta clase de programas preventivos pero no dio ningún tipo de guía. Ahora hay que reconocer que la nueva reforma sitúa definitivamente a España en la órbita de los países que se encuentran a la cabeza en la lucha contra la criminalidad empresarial, entre los que el líder sigue siendo EEUU. No hay que olvidar que su preocupación por la ética empresarial se ha traducido en medidas desde hace décadas y que escándalos como Enron o Worldcom han servido para remover conciencias e intensificar la persecución de delitos en el seno de las empresas. En cuanto a los programas de compliance que deberán implantar a partir de ahora las empresas españolas, ya sea por convencimiento o conveniencia, en la reforma del Código Penal no se establece un formato específico. Es lo mismo que ocurre en EEUU. Precisamente la experiencia en el país norteamericano ha marcado parte de las decisiones del legislador español y de EEUU deberíamos importar algunas fórmulas cuya eficacia ha quedado sobradamente probada, como veremos más adelante. 1. Reconocimiento del posible efecto eximente del correcto ejercicio de los deberes de control en todas las vías de imputación de responsabilidad penal a una persona jurídica. Como es sabido, hasta el día de hoy ha habido cierto debate sobre cuáles son los efectos que puede producir sobre la responsabilidad de la persona jurídica la implantación y adecuado desarrollo de un programa de compliance, es decir, de detección y prevención de delitos. En efecto: aunque la ley en su redacción originaria dejaba claro que la adopción e implementación temprana de un programa de cumplimiento producía un efecto eximente en el caso de delitos cometidos por empleados de la empresa, sin embargo no decía nada sobre si también podía producirse ese efecto en el caso de delitos cometidos por administradores y representantes. Con el texto de la reforma queda claro que si la empresa adopta e implementa un programa de cumplimiento con los (exigentes) requisitos y condiciones que recoge la ley, el efecto eximente se extenderá a cualquier posible supuesto de responsabilidad de la persona jurídica, incluidos los delitos de los administradores y representantes de la empresa. Para que se produzca ese efecto eximente para la persona jurídica, aunque se haya demostrado que alguno de sus administradores, representantes o empleados ha cometido un delito en beneficio de la empresa, el nuevo texto legal establece los siguientes requisitos (art. 31 bis 2). Previa adopción y eficaz implantación de un modelo de organización y gestión idóneo para prevenir delitos como el cometido, o para reducir de forma significativa el riesgo de su comisión; Organismo de vigilancia: la supervisión del funcionamiento y del cumplimiento de dicho modelo debe haber sido confiada a un órgano con poderes autónomos de iniciativa y de control dentro de la empresa; De esta manera, la figura del compliance officer queda definitivamente institucionalizada. Los autores individuales hubiesen cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención; y Diligencia del organismo de vigilancia: la exención está supeditada a que este organismo no hubiese omitido o ejercido insuficientemente sus funciones de supervisión, vigilancia y control. 2. Contenido de un programa de cumplimiento Tras un período de cierta inseguridad jurídica, el legislador ha optado por definir cuáles son los elementos imprescindibles de un programa de cumplimiento o compliance. A tal efecto, la reforma recién aprobada ha incorporado, con mínimas modificaciones, la regulación del sistema italiano (Decreto Legislativo italiano 231/2001). Así, un Modelo de organización y gestión deberá reunir los siguientes requisitos: Risk assessment: identificar las actividades en cuyo ejercicio puedan cometerse en beneficio de la empresa. Protocolos y procedimientos: la empresa debe disponer protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos. Protocolos de gestión de activos y gestión financiera: el modelo debe contener protocolos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Deberes de reporte: debe imponerse la obligación de informar de posibles riesgos e incumplimientos al organismo de vigilancia. Sistema disciplinario: el modelo debe contar con un sistema disciplinario para prevenir y sancionar el incumplimiento de sus reglas. Monitorización: debe contemplarse la verificación periódica del programa de cumplimiento, así como la modificación del modelo cuando surjan indicios que revelen la necesidad de readaptarlo o mejorarlo. Hay que destacar que estas obligaciones de contar con programas de prevención para evitar una condena se extienden a todo tipo de empresas, aunque para las pymes la reforma acepta la ausencia de ese órgano autónomo de supervisión. Pese al paso que ha dado la nueva reforma del Código Penal, hay que criticar que aquí la normativa ha sido más timorata que en otros países a la hora de guiar la actuación de las compañías. Por ejemplo, mientras en EEUU se apuesta tanto por un sistema de incentivos como por un sistema de medidas disciplinarias para favorecer la implantación eficaz de los programas de compliance en el seno de las empresas, en España el legislador se ha decantado sólo por mencionar las medidas punitivas a nivel interno. Aunque tampoco se hace mención expresa en la nueva reforma del Código Penal, la formación continua de todos los empleados y directivos es requisito indispensable para lograr esos modelos eficaces que exige la normativa. En cualquier caso, hay que valorar otros claros “aciertos” de la reforma, como es el hecho de que se fomenten los sistemas de información de posibles incumplimientos. Una de las plataformas que se ha demostrado más eficaz es, precisamente, el canal de denuncia, con larga tradición en otros países y que en España ya han implantado compañías de todos los tamaños debido a su utilidad para proteger a cultura de la empresa. Conclusiones Con la reforma, el legislador incentiva de modo definitivo que las empresas adopten modelos de organización y gestión que permitan la detección, prevención y sanción de conductas delictivas cometidas en beneficio de la propia persona jurídica. La reforma del Código Penal ha aumentado la seguridad jurídica, y lo ha hecho en varias direcciones: por una parte, resolviendo la polémica sobre el alcance la exención de responsabilidad penal a la persona jurídica por ejercicio del “debido control”; por otra, concretando los elementos con los que debe contar un programa de cumplimiento, etc. En cuanto a las características de los programas de compliance, todo lo que se exige a partir de ahora viene siendo exigido en países como EEUU1. La principal conclusión que se puede extraer es que tienen que estar adaptados a la realidad de la empresa y ello por las siguientes razones: Se exige un diagnóstico sobre los riesgos a los que se enfrenta la empresa; por nuestra experiencia previa, un mapa de riesgos eficaz es el que aborda todas aquellas actividades internas o externas que pueden constituir un riesgo en cada departamento o área de negocio. Los protocolos y procedimientos que se implanten deberán ser apropiados para prevenir los riesgos detectados: No se trata de crear decenas de normas que ahoguen a los profesionales en su día a día sino de adecuar su actuación a una seria de protocolos. En este sentido, cabe recomendar especialmente la revisión de todas aquellas normas implantadas a nivel internacional por compañías multinacionales, con el objetivo de que se adecúen a los requisitos nacionales. El resto de las características básicas (contar con modelos de gestión de los recursos financieros “adecuados para impedir la comisión de los delitos”, disponer de sistemas para informar de posibles riesgos e incumplimientos y establecer un sistema disciplinario) también deberán reflejar la idiosincrasia propia de cada compañía. En definitiva, un programa de compliance no debe tener como principal fin evitar la condena de una empresa por los posibles delitos que puedan cometer sus administradores, directivos y empleados sino canalizar la cultura interna de una compañía. Todo programa que no parta de esta premisa estará condenado al fracaso. El cosmetic compliance no lleva a ninguna parte, como hemos repetido en muchas ocasiones. Con la nueva reforma del Código Penal, tenemos en la mano una oportunidad de 1 http://www.ussc.gov/guidelines-manual/2014/2014-chapter-8 contribuir a que nuestras empresas sean también un ejemplo dentro de una sociedad que exige cada vez más ética y transparencia. Nieves Briz Socia responsable de programas de cumplimiento en JAUSAS nbriz@jausaslegal.com En colaboración con: