Articles Tagged with: compliance penal
La Norma UNE 19601, ¿guinda del pastel de compliance?

El pasado jueves se publicó la esperada norma UNE 19601 “Sistemas de gestión de compliance penal”. Sin perjuicio de su análisis en profundidad en post posteriores, llama poderosamente la atención el título con el que se presenta: “norma que establece los requisitos para implantar un sistema de gestión de compliance penal”.

Analicemos dicho aspecto bajo el prisma de las fuentes del Derecho de nuestro ordenamiento jurídico. Estas no son otras que la ley (en sus diversas manifestaciones), la costumbre y los principios generales del Derecho, como fuentes directas, y la jurisprudencia como fuente indirecta. Pues bien, no hace falta ser un experto en Derecho para ver que las normas de certificación aprobadas por organismos privados, nacionales o internacionales, no están recogidas en nuestro sistema de fuentes.

En consecuencia, podemos afirmar, sin temor a equivocarnos, que la UNE 19601 no puede establecer los requisitos para implantar un sistema de gestión de compliance penal, porque la facultad para establecerlos corresponde al legislador, que ya lo ha hecho en el artículo 31.bis 5. Del Código Penal. Y no solo eso, sino que carece de cualquier eficacia en orden a desarrollar, interpretar y, mucho menos, modificar o restringir, los requisitos exigibles a un modelo de gestión de compliance.

Dicho lo anterior, cabe preguntarse sobre los efectos que puede desplegar la certificación de un modelo de gestión de riesgos penales. La respuesta a esta pregunta ya la dio la Circular 1/2016 de la Fiscalía General del Estado, al señalar, en su apartado 5.6., que ”las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, en modo alguno acreditan la eficacia del programa”. Poco cabe añadir a tan rotunda manifestación, que expresa la posición del órgano que constitucionalmente tiene atribuida la misión  de “promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley”.

De lo expuesto no se deduce que la certificación de un sistema de gestión no sea conveniente o útil, sino que hay que ponerla en su justo sitio. Según la misma Circular 1/2016, las certificaciones “podrán apreciarse como un elemento adicional más” de la observancia de que el modelo cumple los requisitos necesarios para su eficacia. Es decir, la Fiscalía atribuye a la certificación del modelo el carácter de prueba, lo que no es poco, en principio. Pero hay que reseñar que dicha prueba no tiene un valor especial respecto a cualquier otro de los medios de prueba de nuestro Derecho. Y ello lo deja muy claro la Circular, al señalar que las certificaciones no sustituyen la valoración de la eficacia del programa, que “de manera exclusiva compete al órgano judicial”. Así, la opinión del juez no va a verse limitada, condicionada o predeterminada por la certificación, cuya hipotética validez puede ser destruida por cualquier otra prueba.

Y así, lo que deben tener claro los operadores jurídicos y los sujetos que implanten un sistema de compliance es que un sistema certificado conforme a la UNE 19601 puede no ser válido (aunque es menos probable) y, por el contrario, un modelo no certificado puede ser perfectamente válido y desplegar todos sus efectos. Esto es muy importante reseñarlo para evitar dos problemas que puede plantear la aprobación de la “Norma”. Por un lado, la sensación de falsa seguridad que podría generar, en una persona jurídica, el disponer de un sistema certificado. Y por otro, las trabas que puede suponer, a la hora de decidir la implantación de un sistema de compliance, pensar que la no certificación del mismo va en menoscabo de su validez.

En conclusión, las certificaciones pueden ser una buena guinda para un programa de compliance, pero si el pastel es malo, no habrá guinda que lo arregle.

Oficinas anticorrupción: la quinta rueda del carro.

La alarma social producida por los casos de corrupción en España y su repercusión en los medios de comunicación, ha motivado la proliferación de iniciativas de todo tipo para tratar de atajarla. En este artículo nos vamos a centrar en una de ellas: la Autoridad independiente de integridad pública, incluida en una reciente iniciativa legislativa de un grupo parlamentario.

La citada Autoridad se define como un “ente de Derecho Público dotado de personalidad jurídica propia y plena capacidad pública y privada, y actuará con plena independencia orgánica y funcional respecto de las Administraciones Públicas en el desarrollo de su actividad y para el cumplimiento de sus fines.” La música suena bien pero, como veremos a continuación, no es oro todo lo que reluce.

Vamos a analizar someramente (el espacio no nos da para más) algunos aspectos de su organización y funciones:

–          En cuanto a su ámbito de actuación, se limita al sector público estatal, permitiendo la posibilidad de que proliferen agencias de todo tipo, tanto autonómicas como locales, abriendo así la puerta a los reinos de taifas y los conflictos de competencias en la lucha contra la corrupción. Si rememoramos la frase “divide y vencerás”, la corrupción ya ha dado el primer paso para vencer a quienes la combaten, dividiéndolos antes de que comience la batalla.

–          El nombramiento de su Presidente tampoco es una cuestión menor. “Se realizará por el Congreso de los Diputados por mayoría de 3/5 entre candidatos propuestos por los grupos parlamentarios entre personas de reconocido prestigio en posesión de un título superior y más de diez años de experiencia profesional en materias análogas o relacionadas con las funciones de la Autoridad”. A la vista de la experiencia en la designación por parte de nuestro Parlamento de los miembros de otros órganos como el Tribunal Constitucional y los vocales del Consejo General del Poder Judicial, el nombramiento del Presidente de este organismo, encargado de perseguir la corrupción, entre otros, de los partidos políticos cuyos diputados van a designarle, promete ser épica.

–          En cuanto a sus funciones, es una profusa mezcla de churras con merinas donde cabe de todo: iniciativas normativas, tutela de derechos, informes preceptivos en materia legislativa y en la designación de cargos públicos, facultades de la inspección de servicios, formación de empleados públicos, control presupuestario, tramitación de denuncias, competencia sancionadora, etc. Como podemos comprobar, se ha envidado a la grande sin mirar las cartas que tenemos en la mano y, sobre todo, sin pensar detenidamente en las que pueden tener otros órganos existentes en la administración, que ya ejercen las funciones descritas.

Con ser lo anterior preocupante, lo verdaderamente llamativo es la propia concepción del organismo. Porque agencias independientes se han creado en los últimos años para toda clase de materias: protección de datos, vivienda, medioambiente, etc. La diferencia fundamental entre aquellas y la Autoridad independiente de integridad pública es que las primeras tienen, como no podía ser de otra forma, tratándose de órganos de la administración, competencias en el ámbito puramente administrativo.

En cambio, este ente pretende nada menos que erigirse en Autoridad en cuestiones que entran plenamente dentro del ámbito penal. Así, el proyecto de ley, le otorga competencias para investigar o inspeccionar “el uso irregular de fondos públicos”, o “sancionar infracciones” de las establecidas en la propia ley, entre las que se encuentran nada menos que “los hechos que puedan ser constitutivos de delito o o infracción administrativa, en particular delitos contra la Administración Pública o contra la Hacienda Pública”.

El disparate legislativo no puede ser mayor, y demuestra que nuestros nuevos legisladores se han lanzado a dictar leyes sin haberse molestado en leer las ya vigentes. Porque nuestra Constitución y nuestras leyes atribuyen la potestad para sancionar conductas tipificadas como delitos, en exclusiva, a los jueces y tribunales. En este sentido basta con recordar el  art. 23.1 de la LOPJ, según el cual “corresponderá a la jurisdicción española el conocimiento de las causas por delitos y faltas cometidos en territorio español o cometidos a bordo de buques o aeronaves españolas”. Y los tribunales que ejercen dicha jurisdicción ya tienen como colaboradores a órganos como la fiscalía y las fuerzas de seguridad, sin que quepa atribuirle ninguna potestad independiente a la supuesta Autoridad anticorrupción.

Este “pequeño” obstáculo no le pasa del todo desapercibido a los promotores de la iniciativa que, en el apartado dedicado a la delimitación de funciones, establecen: “en el supuesto de que la autoridad judicial iniciase un procedimiento para determinar la relevancia penal de unos hechos que constituyan a la vez el objeto de actuaciones de investigación de la Autoridad Independiente de Integridad Pública, esta deberá cesar en su actuación tan pronto sea requerida por dichas autoridades o tenga conocimiento del inicio de cualquier procedimiento por parte de aquellas.” ¡Faltaría más!

Lo que parecen haber olvidado los autores de la iniciativa es que, en nuestro ordenamiento, cuando algún órgano administrativo, en el ejercicio de sus funciones, detecta una actividad susceptible de ser constitutiva de delito, debe abstenerse inmediatamente de actuar, pasando el tanto de culpa a la jurisdicción penal competente sin necesidad de requerimiento alguno. La creación de un órgano administrativo, que investigue y sancione ilícitos penales, es una patada en toda regla al principio constitucional de separación de poderes.

Se puede objetar a los argumentos anteriores que el invento no es nuevo y, por ejemplo, lleva funcionando algunos años en sitios como Cataluña, donde existe la Oficina Antifrau de Catalunya. A ello hay que responder que la Oficina Antifrau no pretende constituirse como Autoridad sancionadora sino que, por el contrario, se configura como un órgano con aspiraciones más modestas, y cuyas actuaciones de investigación deben cerrarse en cuanto se aprecien indicios de delito, momento en el que se trasladarán a la autoridad judicial o al ministerio fiscal.

En cualquier caso, y a pesar de sus limitadas pretensiones, las cifras de la Agencia Antifrau de Catalunya no invitan al optimismo. Como botón de muestra, y según los datos publicados por la misma, en 2016 se recibieron 174 denuncias y se llevaron a cabo 17, sí, diecisiete actuaciones de investigación. Notable logro, teniendo en cuenta que su presupuesto es de algo más de 5 millones de euros, lo que arroja un coste por cada actuación de investigación de unos 300.000 €. Por cierto, solo 3 de dichas actuaciones acabaron con una comunicación a la fiscalía.

Lo verdaderamente asombroso es que, la propia Agencia, reconoce tener 147, sí, ciento cuarenta y siete, investigaciones pendientes de resolver. Si continúan al ritmo de 2016, se pondrán al día dentro de casi una década, en el poco probable caso de que no entre ninguna más.

En suma, que la famosa Autoridad independiente de integridad pública, si se llegara a constituir, lleva el camino de convertirse en un nuevo elefante burocrático, donde gastar dinero público y colocar gente. Y todo para añadir confusión a la lucha contra la corrupción, y ser el sumidero por donde se pierdan, hasta la prescripción de los delitos, las denuncias que deberían ponerse en manos de los órganos judiciales independientes, que ya existen, y que tienen atribuida por Ley la represión de las conductas corruptas.

Lo anterior no quiere decir que no se dicten nuevas normas para la persecución de los actos que tanto daño hacen a la credibilidad de nuestras instituciones y a la propia democracia. Pero se trata de tomar medidas legislativas meditadas y ajustadas al ordenamiento vigente, requisitos imprescindibles para su eficacia. Esta supuesta Autoridad independiente se asemeja más, usando las palabras de Shakespeare, a “un cuento contado por un idiota lleno de ruido y furia”.

La lista oficial de PEPs: ni está ni se la espera.

En el magnífico foro organizado por Control Capital Net, el pasado 29 de junio, sobre sobre “Gestión de Riesgos en la Prevención del Blanqueo de Capitales” pregunté, a los representantes del Tesoro, si existía algún proyecto para la elaboración de una lista oficial de Personas con Responsabilidad Pública (los PRPs o PEPs) lo que fue contestado de forma negativa.

La cuestión no es menor, dada la relevancia que tiene identificar a los PEPs para impedir de forma eficaz el blanqueo derivado de la corrupción pública, tanto en el ámbito internacional como el interno. Así parece considerarlo nuestra Ley 10/2010, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, que  les dedica dos de los catorce artículos artículos que regulan las obligaciones de diligencia debida. Pues bien, una vez plasmada en la ley la obligación de someter a medidas de diligencia reforzada a los responsables de la “res publica”, lo deseable sería que, por parte del regulador, se  llevaran a cabo las actuaciones para su implementación efectiva. La tarea no parece inabordable, especialmente en lo que se refiere a los PEPs domésticos, habida cuenta de que se trata de cargos públicos cuyo nombramiento es objeto de publicación en diarios oficiales.

Desde el punto de vista de la privacidad, no debe haber  ningún obstáculo al tratamiento de los datos, pues la propia Ley 10/2010 habilita en su artículo 15 a los propios sujetos obligados, e incluso a “terceros colaboradores”, a crear sus propias listas. Mucho menos desde el punto de vista de las dificultades técnicas para su creación y mantenimiento, ya que se han abordado cuestiones infinitamente más complejas, como el Fichero de Titularidades Financieras.

Lo notable es que el artículo anime a los sujetos obligados a una tarea para la que no disponen de medios ni se esté dispuesto a facilitárselos. No imagino a los sujetos del sector inmobiliario o a los marchantes de arte (si me apuran ni al sector financiero) en la tarea de localizar a quienes “desempeñen o hayan desempeñado funciones públicas importantes en el Estado español, tales como los altos cargos de acuerdo con lo dispuesto en la normativa en materia de conflictos de intereses de la Administración General del Estado”, fichando al “alto personal de las fuerzas armadas” o identificando a “los concejales y demás altos cargos” de San Bartolomé de Tirajana, municipio que, como todos sabemos, tiene más de 50.000 habitantes (concretamente 56.698).

La única opción es acudir a las listas elaboradas por “colaboradores”, por cierto sin ninguna garantía de fiabilidad, a que se refiere el artículo 15 de la Ley, que se prestarán a “colaborar” con nosotros siempre que pasemos previamente por caja, lo que es inviable para los sujetos obligados con multitud de clientes o con pequeña capacidad de gestión o financiera.

En fin, seguiremos aconsejando a los sujetos obligados que identifiquen a los PEPs haciéndoles firmar en el KYC que reconocen serlo (cosa que la mayoría de ellos no saben). Y crucemos los dedos para que, quienes no lo hagan, no aparezcan implicados en ninguno de los casos de corrupción que, con más frecuencia de la deseada, salpican la política nacional.

El enfoque multidisciplinar en materia de corporate compliance.

El nuevo marco legal en el que se encuadra el “corporate compliance” en España tiene tintes de revolución, por cuanto supone la introducción en el campo del Derecho, fundamentalmente del Derecho Penal, de nuevos elementos distintos a los que tradicionalmente se han manejado por los juristas. Nos referimos a las herramientas de análisis de riesgos y gestión de los mismos.

En efecto, el elemento clave de los sistemas de prevención del riesgo penal es el mapa de riesgos, base para el plan de medidas que debe cerrar el gap entre el riesgo existente y el riesgo asumible. Y los elementos para elaborar dicho mapa no están en el Código Penal. Es cierto que las conductas tipificadas como delito van a ser los “puntos geodésicos”, que deben  delimitar el terreno donde van a operar las herramientas de prevención. Pero, no lo es menos, que la identificación y graduación de los riesgos exige la aplicación de criterios extrajurídicos de la más variada índole, abarcando desde la estructura organizativa o las dimensiones del sujeto de riesgo a su proyección geográfica, la índole de su actividad o su abanico de stakeholders.

Por otra parte, el Código Penal nos permite delimitar el campo de riesgos, pero no arroja ninguna luz sobre las medidas que deben abordarlo. Salvo dos herramientas concretas, como son el canal de denuncias, “whistle blowing procedure”, y el régimen sancionador, nada nos dice sobre cómo abordar la multiplicidad de riesgos y grados del mismo que se presentan ante nuestra organización.

En este aspecto será necesario utilizar determinadas herramientas dispersas por la legislación sectorial como, por ejemplo, la protección de datos, en particular desde el moderno enfoque de las privacy impact assessment (pia) para los riesgos contra la intimidad. Y, por supuesto, otras que no tienen la naturaleza de norma jurídica, pero cuya eficacia para la prevención de riesgos es evidente, como la normativa ISO. A título de muestra, a nadie se le oculta la potencialidad de la ISO 14000 como medida de prevención del delito ecológico. En suma, la panoplia de instrumentos que deben manejarse para un Modelo de Prevención del Riesgo Penal es muy amplia. Su aprovechamiento es la clave de la robustez del sistema, que habrá de someterse a una dura prueba en la fase de prevención del delito y, si llega el caso, como elemento de exculpación de la persona jurídica.

Consecuencia de lo anterior, es la necesidad de contar con profesionales polivalentes para un  enfoque adecuado de los sistemas de prevención. Abordarlos desde la óptica puramente jurídica está abocado al fracaso, pues supone adentrarse en una selva, en la que la propia continuidad de negocio de nuestros clientes está en juego, sin brújula que nos oriente y sin machete que nos permita desbrozar los obstáculos. Las opciones no pueden ser más que dos: o bien la de abrir la mente e hincar los codos para adquirir experiencia en sistemas de gestión, reinventándonos en profesionales multitarea, capaces de abordar la materia desde diversos flancos, o bien la de formar equipos multidisciplinares, que trabajen conjuntamente en la resolución del nuevo reto. Pongámonos a ello.

 

El compliance officer: una misión para titanes.

La figura del compliance officer está adquiriendo gran relevancia tras la reforma del Código Penal de 2015. Se debate en los foros económicos y profesionales sobre las características, formación y tareas de los llamados a desempeñar este trabajo y proliferan los cursos, máster y hasta postgrados dirigidos a ellos.

Sin embargo, parece haber cierta confusión sobre la figura. Así, están desde quienes consideran que el compliance officer es el responsable de una especie de departamento de cumplimiento (como el CISO lo es de gestionar la seguridad informática o el responsable de calidad el sistema de gestión de calidad)  a aquellos que afirman que su función básica es implantar el programa de compliance.

Para aclarar su naturaleza debemos acudir al Código Penal que, en su artículo 31 bis 2., regula dos aspectos básicos: su función y sus poderes.

En cuanto a su función, se dispone que es la “supervisión del funcionamiento y el cumplimiento del modelo de prevención”. Ello supone, por una parte, que no es preciso que el compliance officer haya implantado el modelo de prevención pero, por otra, que es responsable de velar porque dicho modelo cumpla la totalidad de los requisitos que, para su eficacia, recoge el 31 bis 5.

En cuanto a sus poderes, deberá disponer de “poderes autónomos de iniciativa y control” respecto al órgano de administración de la sociedad, lo que implica dotarle de garantías frente a represalias y de acceso ilimitado a la información de la sociedad, puesto que es evidente que no se puede controlar aquello que se desconoce.

Por otra parte, es muy importante señalar que el compliance officer está incluido dentro de las figuras a las que el Código atribuye la virtualidad de dar lugar a responsabilidad penal de las personas jurídicas, lo que implica que dicha responsabilidad puede recaer sobre él a su vez. Así lo establece el artículo 31 bis 1 en su letra a) tal y como señala la Circular 1/2016 de la Fiscalía General del Estado en su punto 2.3.

Por último, es necesario destacar la relevancia que, tanto la Circular 1/2016 como el Tribunal Supremo en sus dos recientes, y únicas, sentencias sobre responsabilidad penal corporativa, dan a la implantación de una cultura ética empresarial como requisito para la eficacia de los planes de compliance. Cultura ética que deberá verse reflejada en la cúspide directiva de la organización.

De todo lo expuesto se deduce claramente que la figura del compliance officer no puede homologarse a la de un técnico que supervisa el cumplimiento de una serie de indicadores del sistema de prevención, sino que debe supervisar el cumplimiento de estándares éticos en todos los niveles de la empresa, incluyendo a la alta dirección. Así, para desempeñar la función de compliance officer, será imprescindible estar en posesión de una experiencia y bagaje profesionales al menos asimilable a la de los componentes del órgano de administración que van a estar sujetos a su supervisión.

Al igual que los jugadores de fútbol no respetan a un entrenador que no haya jugado antes, por mucho título que tenga, resulta ilusorio pensar que los administradores de las empresas se van a someter al control de un empleado sin un bagaje profesional amplio, armado solamente de un título de compliance officer. Ningún CEO que se precie pondrá a  disposición de un recién contratado sus planes de negocio, estados contables, procedimientos de actuación, etc. y someterá su actuación a la fiscalización del mismo, salvo que el compliance officer sea una persona con una experiencia acreditada y peso específico.

La tarea del compliance officer se perfila así como ciertamente difícil. Y no tanto por las dificultad técnica que supone conocer una serie de materias cuyo contenido está disperso en múltiples normas, sino, sobre todo, porque siempre que se plantee un dilema ético en el ámbito empresarial le va a corresponder estar en el ojo del huracán, defendiendo normalmente la postura menos ventajosa para la obtención de los objetivos económicos de la compañía.

Pues bien, para salir airosos en esa difícil misión de velar por el control de la existencia de una cultura ética, en un entorno donde las presiones por conseguir resultados serán muy fuertes, unido a la responsabilidad directa que recae sobre sus hombros, se requerirán una serie de cualidades, formación, experiencia profesional, autoridad y personalidad, que no están al alcance de todos. ¡Suerte en su tarea!

Sigma Corporate imparte una jornada de formación en COEBA

El miércoles 13 de abril se ha celebrado en Badajoz la primera jornada técnica de compliance penal, organizada por la Confederación de Organizaciones Empresariales de la Provincia de Badajoz (COEBA). En ella se han abordado las reformas del Código Penal, que entraron en vigor el julio del pasado año.

La jornada ha dado respuesta a las cuestiones que plantea para los empresarios el nuevo régimen de atribución de responsabilidades del Código Penal, que puede suponer la imputación de los administradores, directivos y gerentes, así como de las propias empresas en su condición de personas jurídicas, si se llegara a producir un delito en el ejercicio de su actividad.

Ha sido presentada por D. Emilio Doncel, presidente de COEBA que ha introducido el nuevo marco normativo que se plantea al empresariado regional.

En ella han intervenido los socios de la empresa consultora Sigma Corporate, D. José María Ruiz Téllez y D. Juan Luis Martínez-Carande Corral. Los ponentes han abordado los requisitos para la imputación penal de las empresas, así como los modelos  de prevención de delitos, que permiten la exención de responsabilidad de las mismas así como de sus directivos.

Por su parte D. Mónica Barroso Bravo, delegada en Extremadura de AENOR, ha presentado el certificado Iuriscert, de sistemas de prevención de delitos, implantado en empresas como el Banco de Santander.

El notable interés que ha despertado la jornada, traducido en una notable asistencia de empresarios y profesionales, pone de manifiesto que el empresariado extremeño no es ajeno a las tendencias que abogan por imponer una cultura ética empresarial, que garantice la transparencia y honestidad en los mercados y los derechos de los usuarios y consumidores.

“Panama papers”: no todo vale.

La filtración de los papeles de Panamá ha ocasionado un revuelo mundial, donde se ha centrado el foco de atención de los medios en las personas que ostentaban la titularidad de las sociedades off shore creadas por el despacho Mossack Fonseca.

Curiosamente, prácticamente nadie se ha fijado en un aspecto básico, el origen de la información, que no es otro que la comisión de un delito de intrusión informática, tipificado como tal en nuestro ordenamiento y en la totalidad de los ordenamientos de los países desarrollados.

Al tiempo que salían a la palestra los titulares de las cuentas, dirigentes políticos de todo el mundo, como Hollande, y organismos fiscales, como nuestra AEAT, hacían pública sus intenciones de usar la información obtenida por el hacker para investigar a los titulares de las sociedades. Y ello sin cuestionarse la procedencia de los datos ni la necesidad de respetar las garantías de procedimiento que nuestro ordenamiento jurídico establece para los ciudadanos, así como el principio de que la administración debe actuar con sometimiento pleno a la Ley y el Derecho. No debemos olvidar que la ley penal considera las pruebas obtenidas de forma ilegítima “manzanas podridas” que no tienen, con alguna excepción puntual en el derecho comparado, valor probatorio alguno.

Cierto que los papeles de Panamá ponen de manifiesto lagunas en los mecanismos de prevención del fraude, como la laxitud en la  catalogación de los paraísos fiscales (según la OCDE, solo existen actualmente dos en el mundo: Naurú y Niué). También la necesidad de reforzar los mecanismos antiblanqueo en sectores como el deportivo donde, por ejemplo, nuestra normativa no considera a los clubes e intermediarios deportivos sujetos de riesgo específico.

Pero, por eso mismo, no se pueden rebajar las exigencias normativas en materia de prevención del blanqueo y el fraude y, al mismo tiempo, afilar los cuchillos para perseguirlo utilizando mecanismos ilegítimos, como el fruto de los delitos informáticos. Porque si legitimamos las actuaciones al margen de la ley de los ciberdelincuentes, convertidos en justicieros por obra y gracia de la prensa, nos quedamos sin argumentos para defender los derechos fundamentales de sus víctimas.

Formación, la gran olvidada en los modelos de compliance del Código Penal.

Tras la reforma del Código Penal por la Ley Orgánica 1/2015, se ha criticado la sobriedad en la regulación de los modelos de prevención que han de operar como eximentes de la responsabilidad penal corporativa, básicamente tomada del modelo italiano, regulado por el Decreto Legislativo 321/2001. Dichas críticas tal vez pequen de excesivas, dada la dificultad de definir de una forma más precisa un modelo que, por las propias características de cualquier modelo de gestión, deberá estar dotado de un carácter dinámico y evolutivo, lo que puede entrar en colisión con una regulación más detallada. No obstante, hay que reseñar que el estado del arte en materia de compliance no es el mismo en 2015 que en la época en que fue aprobado el Decreto italiano y se  podría haber hecho un esfuerzo mayor al delimitar los requisitos de los sistemas de compliance.

Un punto clave es la necesidad de formación y concienciación de los responsables de la ejecución del modelo, no contemplada en el artículo 31. Bis 5º del Código, como sí lo hace, por ejemplo,  la reciente norma ISO 19600, que establece las directrices de los sistemas de compliance y dedica su apartado 7.2 a la “competencia y formación”, destacando los siguientes aspectos:

–          La necesidad de que la organización asegure la competencia de las personas afectadas por el proceso de compliance.

–          Fundamenta dicha competencia en la educación, formación o experiencia adecuadas.

En realidad, para apreciar la necesidad de formación no es necesario acudir a normas extrajurídicas, porque muchas de las normas de nuestro ordenamiento que tienen que ver con materias de cumplimiento en organizaciones, le dedican algún precepto.

Así, el  Real Decreto 1720/2007 que aprueba el reglamento de la Ley Orgánica 15/1999 de protección de datos de carácter personal, en su artículo 89.2, dispone que “El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”

El artículo 29 de la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo establece quelos sujetos obligados adoptarán las medidas oportunas para que sus empleados tengan conocimiento de las exigencias derivadas de esta Ley” añadiendo que “estas medidas incluirán la participación debidamente acreditada de los empleados en cursos específicos de formación permanente”.

Por su parte la Ley 31/1995 de prevención de riesgos laborales dedica su artículo 19  a la Formación de los trabajadores obligando al empresario a “garantizar que cada trabajador reciba una formación teórica y práctica, suficiente y adecuada, en materia preventiva”.

Cierto que el concepto de formación en materia penal es ajeno a nuestro ordenamiento, pero no lo es menos que el mismo concepto de derecho penal preventivo lo era hasta hace cinco años. Y, si las diversas normas dictadas en materia regulatoria la incluyen, hubiera sido conveniente incardinarla dentro de los requisitos del artículo 31 bis 5º. Porque sin una formación adecuada no es posible garantizar la competencia de los administradores, directivos y empleados para cumplir con el papel que tienen asignado en la efectiva implementación de los sistemas.

En este sentido, tanto la Fiscalía General del Estado, a través de la Circular 1/2016, como el Tribunal Supremo, en la Sentencia subordinan la eficacia del plan de compliance a la existencia de una cultura ética en la organización. Y no parece posible crear una cultura de cumplimiento si se desconoce la materia que ha de constituir el substrato la misma.

Por tanto, consideramos que, con independencia de su ausencia en el Código Penal, en la práctica, la acreditación del conocimiento de sus deberes y responsabilidades en materia de compliance por la cúpula directiva y el resto de la organización va a ser un pilar básico para que pueda operar la exención de responsabilidad de las personas jurídicas.

El ciberespacio y el blanqueo de capitales: asignatura pendiente.

Las cifras de negocio que se mueven en el ciberespacio han adquirido proporciones de vértigo. Como muestra, la facturación de Amazon el año pasado, que superaba los 100.000 millones de $ o la de Alibaba en una sola jornada, el pasado día de los solteros en China, que alcanzaba 14.300 millones de $, lo mismo que el Corte Inglés durante todo el año anterior.

Además, junto a las operaciones de comercio electrónico, que llevan aparejado  un tráfico físico de mercancías, han adquirido una importancia creciente operaciones que nacen y mueren en la nube, careciendo de soporte material, y que mueven enormes flujos monetarios entre millones de usuarios de distintos países.

Y no hablamos solo de contenidos en principio inocuos, como la venta de música o apps, sino de aspectos como el juego o el contenido para adultos, que encuentran en Internet el medio perfecto para su desarrollo. En este sentido, la Brigada de Delitos Telemáticos de la Guardia Civil ya advertía en un informe de 2012 que las apuestas por internet “generan un potencial creciente para el blanqueo de capitales y otras actividades delictivas” y de la falta de regulación efectiva que permita la lucha contra esas prácticas.

Existen además operaciones sobre las que la ausencia de referencias oficiales es casi absoluta, como el trading o intermediación de contenidos digitales, donde los operadores canalizan el tráfico web desde consumidores a proveedores de contenidos a cambio de una comisión. En suma, asistimos a un escenario en que los negocios en la Red están adquiriendo una madurez y sofisticación a la que no pueden permanecer ajenas las autoridades monetarias.

Hace pocos días, me comentaba un operador de tráfico en Internet que habían tenido que abandonar sus operaciones en un país latinoamericano, al comprobar como un recién llegado al mercado absorbía el tráfico de contenidos, sin otra explicación que la utilización de la empresa intermediaria para el encubrimiento de actividades de blanqueo y desvío de fondos hacia Europa bajo una cobertura legal.

Frente a esta realidad, contemplamos como el ciberespacio sigue ausente de los catálogos de operaciones de riesgo publicados por las diversas autoridades antiblanqueo. En ellos generalmente se identifican las operaciones sospechosas de encubrimiento de blanqueo en función de la actitud del cliente, sus vínculos familiares, la naturaleza del contrato o el ajuste a mercado de las retribuciones. Y esos aspectos pueden ser muy adecuados en operaciones presenciales, pero no tienen ninguna efectividad en el mundo virtual, donde el cliente es una IP, la familia no existe, el contrato es un click y el precio de las operaciones carece de referencias.

El desconocimiento existente todavía en el mundo financiero, jurídico y, especialmente, en la administración pública, sobre el ciberespacio, explica la situación en la que nos encontramos en materia antiblanqueo. Pero parece necesario que nos pongamos las pilas, porque no podemos limitarnos a perseguir el rastro de los billetes de lotería premiados mientras el mundo del juego se mueve en servidores y plataformas de pago radicados en paraísos fiscales. De lo contrario, nos exponemos a transitar por caminos que los grandes delincuentes han abandonado hace tiempo al considerarlos obsoletos.

La implementación práctica de los canales de denuncias.

Los mecanismos de denuncias internas en las empresas, o “whistleblowing”, de gran tradición en el ordenamiento anglosajón, no han sido objeto de un desarrollo específico en el ordenamiento continental europeo, aunque han sido tratados en alguna regulación, especialmente en relación con la protección de la privacidad de denunciantes y denunciados o la prevención del blanqueo de capitales.

En España es con la reforma de 2015, operada por la L.O. 1/2015, cuando expresamente se impone la obligatoriedad del canal de denuncias, al menos como requisito necesario para la exención de la responsabilidad penal corporativa. Efectivamente el nuevo artículo 31.bis en su apartado 5 dispone que Los modelos de organización y gestión deberán cumplir los siguientes requisitos:

(…)

4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.”

Nuestro ordenamiento no contiene una regulación detallada de las características que han de reunir los canales éticos. Por otra parte, la experiencia en España de este tipo de canales es escasa, lo que nos proporciona pocos antecedentes prácticos para la adopción de una elección sobre la forma de ponerlo en práctica.

En todo caso, existen unas cuestiones de mínimos, que serán de aplicación a cualquier tipo de canal ético que se implemente:

  1. La ley legitima, con carácter general, de la existencia de estos canales, con independencia de lo que establezcan otras disposiciones  que pudieran estar vigentes (nos referimos a los convenios colectivos, fundamentalmente, y a algunos intentos sindicales por deslegitimarlos)
  2. El canal deberá estar abierto, al menos, a la totalidad de empleados y directivos. En este sentido, existen ejemplos de empresas que lo reducen al ámbito interno (fundamentalmente canalizando las denuncias por la intranet) si bien suelen tener abierto a terceros otros canales, como el SAC.
  3. Existe una clara tendencia a inadmitir las denuncias anónimas, si bien en el caso de que éstas fueran acompañadas de indicios o pruebas claras de ilícitos penales, la tendencia debe ceder ante el principio básico de defensa de la legalidad y la protección de la empresa frente a responsabilidades derivadas del ilícito denunciado.
  4. Deberán respetarse los derechos fundamentales de denunciantes y denunciados, mediante el establecimiento de un régimen de garantías para denunciantes y deninciados (no represalias, confidencialidad y protección de datos).

 

A la hora de poner en marcha un canal ético habrá que decidir fundamentalmente dos cuestiones:

 

  1. La apertura o no del canal de denuncias a terceros ajenos al ámbito interno de la empresa (clientes, proveedores, etc.). A favor de la apertura del canal está el argumento de dotar al mismo de mayor credibilidad y establecer un marco más extendido de protección, haciendo partícipes a stakeholders externos a la empresa de un papel en nuestro sistema de prevención. En contra, juega el aspecto de que el canal  puede ser utilizado por terceros como cauce de denuncia de cuestiones ajenas al mismo, dificultando su gestión.

 

  1. La forma de gestión del mismo, interna o externa. Los pros y contras fundamentales de una y otra son los siguientes:
  • – La gestión interna permite un mayor control al responsable, si bien plantea mayores problemas a la hora de garantizar la confidencialidad y exige una serie de requisitos (cualificación, dedicación, protección de datos, independencia y ausencia de conflictos de interés) que pueden ser complicados de garantizar con los recursos disponibles internamente.
  • – La gestión externa garantiza una mayor confidencialidad de las denuncias y un tratamiento mñas profesionalizado, siendo su principal inconveniente la falta de control del mismo por parte de la empresa responsable que, en caso de mal funcionamiento, no va a poder eludir su responsabilidad.

 

En cualquier caso, las diversas opciones son susceptibles de control y revisión, si procede, para garantizar el correcto funcionamiento del sistema.

Juan Luis Martínez-Carande Corral

La Fiscalía ante el Corporate Compliance y los modelos de prevención: Circular 1/2016

El 22 de enero se publicaba la Circular 1/2016 de la Fiscalía General del Estado sobre la Responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015.

La Fiscalía trata numerosas cuestiones relativas a los títulos de imputación, responsabilidad y exención, así como sobre los modelos de organización y gestión regulados en el artículo 31.bis. 5, eximentes de la responsabilidad penal corporativa.

Sobre este último punto es interesante resaltar, en primer lugar, el enfoque de la Fiscalía, que no se centra en el aspecto procedimental y de gestión del modelo sino en un aspecto mucho más interesante: el objetivo de que el modelo cree una cultura creíble de cumplimiento y ética corporativa que garantice la eficacia del mismo.

Así, la Circular pone en cuestión la “compra” de modelos de compliance en el mercado especializado, que no van a constituir un salvoconducto que vacíe de contenido la responsabilidad penal corporativa. En este sentido, lanza un auténtico torpedo a la línea de flotación de las certificaciones en materia de compliance, diciendo expresamente que “en modo alguno acreditan la eficacia del programa”, cuestión que deja exclusivamente en manos del órgano judicial.

Eso no significa que los sistemas de gestión no tengan todo el valor que les atribuye el Código sino que, para que constituyan una verdadera eximente, va a ser mucho más importante acreditar la eficacia real del modelo que su corrección formal y procedimental. Y donde verdaderamente se va a poner de manifiesto esa eficacia es en la capacidad del modelo para detectar los incumplimientos y dar una firme respuesta ante ellos, como expresiones del compromiso de la dirección contra el delito.

Ello no quiere decir que no haya que articular modelos documentados, puesto que la propia circular exige que estén escritos, y habla específicamente de herramientas informáticas de control. La clave estará en poner la lupa en la construcción de un mapa de riesgos adecuado a cada empresa, que permita detectar las brechas de riesgo,  y un efectivo abanico de medidas que permitan reducirlo a niveles mínimos, manifestando así la voluntad efectiva de la cúpula directiva de actuar contra las conductas ilícitas en el ámbito empresarial.

Juan Luis Martínez-Carande Corral