Ampliando el alcance del Compliance
La aparición del Compliance en la esfera penal o su vinculación con grandes casos mediáticos estimula su difusión.
11 abril, 2024
3 min
Hoy, 1 de julio de 2015, entra en vigor la modificación del Código penal que se aprobó el pasado mes de marzo, aclarando el papel clave de los modelos de prevención penal en las empresas y los importantes efectos jurídicos que producen. Hay quienes dicen que la nueva redacción del artículo 31 bis se limita a zanjar dudas acerca de lo que ya era obvio -el rol jurídico de los modelos de prevención penal -, mientras que otros señalan que es realmente un cambio de paradigma en esta regulación.
Al margen de interpretaciones, queda ya fuera de toda duda la necesidad de dotarse de modelos de prevención penal para evitar la responsabilidad penal de la empresa. Es más, la pasividad de sus administradores al respecto, que son quienes deben impulsarlos, sólo cabe interpretarse en clave de negligencia e incrementa su exposición a la responsabilidad personal. El Código penal sigue la misma senda que recorrieron antes otros ordenamientos en Derecho Comparado, exhortando a las empresas a la prevención y lucha contra las actividades delictivas que puedan cometerse en su seno. Para este objetivo de política criminal, la presencia de modelos organizativos y de control que prevengan tales actividades es esencial y, por eso, se recompensa su existencia y aplicación práctica.
El artículo 57 de la Directiva 2014/24/UE sobre contratación pública, por ejemplo, obliga a excluir de los procedimientos de contratación a aquellos operadores que hayan incurrido en ciertos ilícitos penales, pudiendo ser redimidos cuando demuestren haber adoptado las medidas técnicas, organizativas y de personal concretas, apropiadas para evitar nuevas infracciones penales o faltas. Es un buen ejemplo –muy reciente, además- de la creciente importancia que se otorga a los modelos de prevención penal.
El Código penal vigente no sólo promueve disponer de estos modelos, sino que establece los requisitos que han de contemplar:
1. Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2. Establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3. Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4. Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5. Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6. Disponer de procesos de verificación periódica (del modelo) así como de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
A partir del próximo mes de agosto encontrarás en la Serie de test publicados en este blog los que hacen referencia a la evaluación de estas condiciones. Si comparamos la redacción literal de estos requisitos con lo recomendado en los estándares nacionales o internacionales más conocidos sobre la materia comprobaremos que no son inhabituales, aunque también veremos que el nivel de concreción de nuestra regulación no es comparable con ellos.
Obviamente, el Código penal no es el lugar apropiado donde regular detalladamente esta materia técnica, lo cual no significa que nos hallemos huérfanos de directrices para interpretar los conceptos relativamente amplios que recoge. De hecho, los marcos de referencia sobre sistemas de Compliance para prevención penal, en general, o del soborno, en particular, son los más abundantes y desarrollados tanto en otros países como por las plataformas internacionales.
Del mismo modo que nuestro ordenamiento ha terminado acogiendo la responsabilidad penal de la persona jurídica y reconociendo la importancia de los modelos de prevención penal, previsiblemente adoptará una interpretación de sus requisitos alineada con las buenas prácticas que vienen reconociéndose internacionalmente desde hace años. De hecho, la norma UNE en desarrollo sobre modelos de prevención penal se basa en la estructura de alto nivel de los modelos de gestión ISO/CASCO y considera las buenas prácticas reflejadas en el estándar global de Compliance ISO 19600 –incorporado recientemente en España como norma UNE– así como las contempladas en la norma ISO 37001 sobre sistemas de prevención del soborno.
Con todo ello, es ilusorio pensar que los modelos de prevención penal meramente formales, enfocados simplemente a preconstituir prueba, vayan a proteger a las empresas y sus administradores de la imputación penal, por mucho que contemplen los requisitos exigidos por el artículo 31 bis. Es relevante, además, que tales requisitos vengan avalados por las buenas prácticas organizativas y de control que apuntalen su efectividad. Por otra parte, la batería de controles asociados a dichos modelos, y recogidos en lo que se conoce como “matrices de riesgos y controles” pueden ser evaluados por terceros independientes no sólo desde la perspectiva de la adecuación de su diseño sino también de su efectividad, de forma análoga a lo que desde hace años viene haciéndose en otros ámbitos de la empresa.
Recordemos, por ejemplo, que existen procedimientos de auditoría que permiten este tipo de revisiones técnicas, como pueda ser el recogido por la norma ISAE 3000 del International Auditing and Assurance Standards Board (IAASB), que concluyen con una opinión del auditor acerca de su razonabilidad. Así pues, existen actualmente recursos suficientes no sólo para valorar la robustez de las medidas organizativas del modelo de prevención penal, sino también del diseño y eficacia de los controles asociados al mismo.
Deja un comentario