Empieza el año 2020.
La primera reflexión jurídica que quiero compartir en este nuevo año es que celebramos el décimo aniversario de la introducción en España de la responsabilidad penal de las personas jurídicas. Parece que fue ayer, pero ha transcurrido ya una década desde entonces. Ahora hablamos del compliance 2.0
10 años de trayectoria, y a pesar de ello el compliance en España sigue siendo un campo lleno de incertidumbres.
La regulación legal del Código Penal sigue siendo escueta, como no puede ser de otra forma en una norma penal. Sin embargo, carecemos en España de instrumentos como el Guidelines Manual de la United States Sentencing Comission, cuyo capítulo 8 está destinado íntegramente a las organizaciones, con una parte específica (la §8B2.1.) dedicada a los Effective Compliance and Ethics Program.
Es cierto que disponemos de las Circulares de la Fiscalía General del Estado, la más reciente de las cuales, la Circular 1/2016, aborda determinadas cuestiones prácticas y dogmáticas sobre la responsabilidad penal de las personas jurídicas que son interesantes.
Pero no disponemos de una jurisprudencia madura que nos detalle las características que deben reunir los programas de compliance para ser efectivos. El grado de avance en este aspecto es bastante limitado.
No obstante, avanzamos. Y vamos mejorando. Los programas de compliance en España están alcanzando cierto grado de madurez, cada vez son más robustos y homologables con las experiencias de países con mayor tradición en compliance, lo que nos permite hablar de un compliance 2.0 que contrasta con las primeras experiencias de programas de cumplimiento normativo que comenzaron a implantarse del año 2010 en adelante.
Algunas características del compliance 2.0 son las siguientes:
- La utilización de la tecnología. Los primeros programas de cumplimiento normativo eran prácticamente artesanales. Hoy en día, se utiliza la tecnología para detectar riesgos penales, se están desarrollando sistemas de inteligencia artificial predictivos y se utilizan programas avanzados para el seguimiento de la política de compliance de las compañías con tecnologías de sellado de tiempo.
- La existencia de marcos de referencia generalmente aceptados en políticas de compliance. Cuando en 2010 se introduce la responsabilidad penal de las personas jurídicas cada uno hacía lo que podía, o lo que sabía. Hoy constituyen referencias ineludibles para un buen programa de compliance las normas UNE-ISO 19600:2015 sobre sistemas de gestión de compliance, la UNE 19601 sobre sistemas de gestión de compliance penal y la UNE 19602 sobre compliance tributario. Constituyen estándares generalmente aceptados sobre las características que deben reunir los programas de cumplimiento normativo para ser efectivos.
- El desarrollo de una política de compliance más amplia. Los programas actuales de cumplimiento normativo no se limitan tan sólo a prevenir la comisión de los delitos que pueden dar lugar a responsabilidad penal de las personas jurídicas, sino que tienen un alcance mucho más ambicioso, abordando cuestiones como la protección de datos, la prevención del blanqueo de capitales, el compliance tributario o la mejora del gobierno corporativo de las empresas.
- La implantación del compliance ad intra. Este es un concepto que ha venido desarrollando el Magistrado del Tribunal Supremo Vicente Magro Servet en varias Sentencias del Tribunal Supremo sobre compliance. Según el Juez, la comisión de delitos en el ámbito corporativo tiene una perspectiva ad extra (la víctima del delito sería un tercero, lo que puede dar lugar a responsabilidad penal de la empresa) y una perspectiva ad intra (la víctima del delito sería la propia empresa y el responsable del delito un directivo o trabajador de la empresa). Los primeros programas de compliance tenían tan sólo una perspectiva ad extra, pero la prevención ad intra cada vez está adquiriendo más importancia. Ya que se hace el esfuerzo por evitar que la empresa incurra en responsabilidad penal, hagámoslo también para que la empresa no sea víctima de las malas prácticas de sus directivos o trabajadores que sean constitutivas de delito.
- Las auditorías de compliance. Los programas de cumplimiento normativo van cumpliendo años, y por tanto cada vez son más necesarias las auditorías de compliance, al objeto de verificar si además de disponer de un compliance program, la empresa ha implantado una verdadera cultura corporativa de cumplimiento normativo, y si el plan se ha ido actualizando.
- Las investigaciones de compliance. Cuando se detecta un incumplimiento de compliance en una empresa, tiene una importancia capital desarrollar una investigación interna cuidadosa, respetuosa con los derechos fundamentales y que pueda tener validez, llegado el caso, ante un Tribunal.
- Los procesos de due diligence. Tanto para incorporar personas en la organización, fundamentalmente en puestos directivos, como para la selección de los proveedores y los socios de negocio con los que se opera en el mercado. En muchos casos se están desarrollando también procesos de due diligence con clientes, que llevan a rechazar aquellos clientes que no cumplen con los estándares de compliance de la organización.
- La formación en compliance. Fundamental para todos los miembros de la organización, y especialmente para el compliance officer. En el compliance 2.0 es impensable un programa de cumplimiento normativo que no vaya acompañado de un programa de formación a todos los miembros de la organización.
Comienza una década muy interesante para el compliance en España. Los programas de cumplimiento normativo de las empresas cada vez son más robustos y ambiciosos. Nuestra jurisprudencia irá avanzando hacia una mayor concreción de los requisitos que deben reunir los programas de compliance para ser efectivos en orden a la exención o atenuación de la responsabilidad penal en las empresas. Y el avance de los sistemas de compliance hará que la ética en los negocios se convierta en un requisito para poder hacer buenos negocios.
Feliz 2020.
El Blog de Derecho de Alejandro Pérez 