Articles Tagged with: martinez-carande
LA DECLARACIÓN RESPONSABLE CONTRA LA CORRUPCIÓN ADMINISTRATIVA.

La Comunidad de Madrid ha presentado una batería de medidas para la reactivación económica, entre las que destaca la implantación de la declaración responsable, con el objetivo de agilizar la burocracia. De la declaración responsable se habla poco, tal vez por no ser un mecanismo del excesivo agrado del político ni del burócrata, que siempre han preferido tener el control previo y continuo de todo lo que se mueve en su ámbito.

Así, su regulación en nuestro derecho administrativo es tardía y no se recoge, en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, hasta la reforma introducida en 2009 con motivo de la transposición de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior. Tarde, y por imposición de Europa, pero ya tenemos entre nosotros esta maravillosa figura que, utilizada convenientemente, puede librar al administrado, especialmente en el ámbito del emprendimiento,  de la losa que supone ajustar su ritmo de actuación al de la administración pública. Todos conocemos proyectos viables y prometedores que han muerto en los despachos públicos, debido al aburrimiento de sus promotores y financiadores ante los innumerables trámites, plazos y dilaciones padecidos, que lograban que pasara la oportunidad y pereciera la esperanza de sacarlos adelante.

Para solucionar dichas trabas existen diversas figuras, empleadas más frecuentemente de lo que sería deseable. Así, para los pequeños trámites, los pagos de facilitación» (facilitating payments), que son pagos o regalos de pequeña cuantía hechos a funcionarios (en el ámbito privado también se dan) para conseguir favores, acelerar un trámites administrativo u obtener permisos o licencias. Para los grandes expedientes, es más utilizado el sistema de la “comisión”, de la que existen todo tipo de modalidades, habiendo adquirido gran notoriedad la conocida como “3 per cent”. Estas figuras, con mayor o menor aceptación, según los países y territorios, constituyen una lacra para la democracia, a la que es necesario combatir sin descanso.

Pues bien, el mecanismo de la declaración responsable viene a solucionar, en gran medida, ambos problemas. Frente a la lentitud administrativa, se impone el ritmo del administrado, que se libera de los plazos y trámites previos, sujetándose simplemente a la revisión posterior de las actuaciones realizadas bajo la cobertura de dicha declaración. Por otra parte, se estimula a la administración a actuar de forma rápida y diligente, para supervisar, a posteriori, la actuación del administrado, garantizando su ajuste a Derecho y al contenido de la declaración, so pena de que prescriban los plazos de inspección y, eventualmente, de sanción.

Frente a la corrupción administrativa, la posibilidad de actuar sin intermediación previa de un político o funcionario, con la potestad para agilizar o paralizar un proyecto con contenido económico, priva a éstos de cualquier posibilidad de exigir “mordidas” y, al empresario o administrado, de todo interés en ofrecerlas.

Se puede objetar que, por vía de supervisión, son posibles las actuaciones deshonestas de los que forman parte del aparato burocrático. Y es cierto, pero dichas posibilidades se restringen extraordinariamente, en cuanto sólo van a poder ser realizadas por acción, no por mera omisión como sucedía sin ellas (el expediente se dejaba “descansar” en el cajón hasta que se “engrasara” al responsable de su tramitación). Además, los cauces de revisión de cualquier sanción administrativa, que pudiera ser utilizada como mecanismo de coerción del administrado de forma torticera, limitan la posibilidad de utilizarlos de forma corrupta.

Demos la bienvenida, pues, a la difusión de esta figura, y esperemos que su uso se generalice, en beneficio de la eficacia y corrección de la actuación administrativa.

La ley de Secretos Empresariales y el Compliance.

El pasado miércoles entró en vigor la Ley 1/2019, de 20 de febrero, de Secretos Empresariales, transposición de la Directiva UE 2016/943 de Secretos Comerciales.

La nueva Ley es relevante, en materia de Compliance, en relación con los tipos penales recogidos en los artículos 278 y 279 del Código Penal, relativos al apoderamiento y revelación de secretos de empresa, dentro de los delitos contra el mercado y los consumidores. El alcance de dichos preceptos, con un contenido difuso y de elaboración jurisprudencial,  queda ahora delimitado por el concepto de secreto empresarial regulado en la Ley.

La Ley define el secreto empresarial por la concurrencia de tres condiciones:

  • Que la información sea secreta, es decir, no generalmente conocida en el sector.
  • Que tenga un valor empresarial, real o potencial, precisamente por ser secreta.
  • Que su carácter secreto haya sido protegido por su titular.

Es importante no confundir el secreto empresarial con los derechos de propiedad intelectual o industrial, que recaen sobre creaciones que son públicas y están dotados de mecanismos de protección específicos.

Así, el concepto de secreto de empresa comprenderá aquellos secretos de naturaleza técnica o industrial no patentables, los relativos a la actividad comercial (fondo de comercio, precios y condiciones de servicio, planes de marketing y expansión…) y los relativos al Know-How (como la organización productiva y laboral). Estos elementos, fundamentales para la competitividad de las empresas, son especialmente vulnerables por diversos motivos.

En primer lugar, por ser especialmente codiciados por la competencia. Pero, además, por la dificultad que entraña su protección. La organización, procesos y planes de producción y ventas de la empresa  no sirven de nada si se guardan en una caja fuerte, y su implementación implica necesariamente su conocimiento por un número elevado de personas de la organización. Lo anterior, unido a la necesidad, en muchos casos, de hacer partícipes de los secretos a terceros y al alto grado de movilidad del personal de las empresas, convierte la seguridad en un auténtico quebradero de cabeza.

Desde el punto de vista del Compliance penal, se nos plantean dos cuestiones relevantes:

  • Evitar cualquier conducta que pudiera ser constitutiva de obtención de secretos empresariales de terceros.
  • Proteger nuestra información, evitando que pueda ser revelada a terceros y, en el caso de que esto sucediera, haciéndola susceptible de protección en el ámbito penal.

Respecto a lo primero, va a ser fundamental el compromiso ético de directivos y gerentes en el respeto de los pactos de confidencialidad respecto a la información de terceros, así como en el uso de información de procedencia dudosa, que pudiera suponer una ventaja competitiva. Y ello, porque dicho uso implica el riesgo de incurrir de lleno en los tipos penales relativos al descubrimiento de secretos.

Respecto a lo segundo, se requiere un cambio importante en la forma de tratar la información propia. Porque, como dice la Ley, la información empresarial secreta solo tiene tal carácter si es protegida por la empresa. Eso supone la adopción de medidas que van más allá de la firma de compromisos de confidencialidad y la aplicación de medidas de seguridad informática.

Será necesario, fundamentalmente, clasificar nuestra información, distinguiendo entre la que tiene carácter confidencial y la que carece de él. También habrá que establecer los protocolos de acceso y uso de la información que previamente hayamos calificado como secreta. Así, para la efectividad de las leyes que protegen  los secretos empresariales, es inexcusable una actuación proactiva de los sujetos titulares del bien jurídico protegido. La propia Ley excluye del ámbito de su protección aquella información que las empresas no se molesten en proteger.

En conclusión, la Ley parece oportuna y necesaria, y ofrece una protección que puede desplegar sus efectos.  Pero solo en tanto en cuanto se genere en las empresas un cambio de cultura respecto a la importancia de nuestros activos inmateriales, y de los ajenos, y la necesidad de esforzarse en su salvaguarda. Para ello deberemos integrar esta tarea entre los planes de seguridad y, por supuesto, los de Compliance.

Oficinas anticorrupción: la quinta rueda del carro.

La alarma social producida por los casos de corrupción en España y su repercusión en los medios de comunicación, ha motivado la proliferación de iniciativas de todo tipo para tratar de atajarla. En este artículo nos vamos a centrar en una de ellas: la Autoridad independiente de integridad pública, incluida en una reciente iniciativa legislativa de un grupo parlamentario.

La citada Autoridad se define como un “ente de Derecho Público dotado de personalidad jurídica propia y plena capacidad pública y privada, y actuará con plena independencia orgánica y funcional respecto de las Administraciones Públicas en el desarrollo de su actividad y para el cumplimiento de sus fines.” La música suena bien pero, como veremos a continuación, no es oro todo lo que reluce.

Vamos a analizar someramente (el espacio no nos da para más) algunos aspectos de su organización y funciones:

–          En cuanto a su ámbito de actuación, se limita al sector público estatal, permitiendo la posibilidad de que proliferen agencias de todo tipo, tanto autonómicas como locales, abriendo así la puerta a los reinos de taifas y los conflictos de competencias en la lucha contra la corrupción. Si rememoramos la frase “divide y vencerás”, la corrupción ya ha dado el primer paso para vencer a quienes la combaten, dividiéndolos antes de que comience la batalla.

–          El nombramiento de su Presidente tampoco es una cuestión menor. “Se realizará por el Congreso de los Diputados por mayoría de 3/5 entre candidatos propuestos por los grupos parlamentarios entre personas de reconocido prestigio en posesión de un título superior y más de diez años de experiencia profesional en materias análogas o relacionadas con las funciones de la Autoridad”. A la vista de la experiencia en la designación por parte de nuestro Parlamento de los miembros de otros órganos como el Tribunal Constitucional y los vocales del Consejo General del Poder Judicial, el nombramiento del Presidente de este organismo, encargado de perseguir la corrupción, entre otros, de los partidos políticos cuyos diputados van a designarle, promete ser épica.

–          En cuanto a sus funciones, es una profusa mezcla de churras con merinas donde cabe de todo: iniciativas normativas, tutela de derechos, informes preceptivos en materia legislativa y en la designación de cargos públicos, facultades de la inspección de servicios, formación de empleados públicos, control presupuestario, tramitación de denuncias, competencia sancionadora, etc. Como podemos comprobar, se ha envidado a la grande sin mirar las cartas que tenemos en la mano y, sobre todo, sin pensar detenidamente en las que pueden tener otros órganos existentes en la administración, que ya ejercen las funciones descritas.

Con ser lo anterior preocupante, lo verdaderamente llamativo es la propia concepción del organismo. Porque agencias independientes se han creado en los últimos años para toda clase de materias: protección de datos, vivienda, medioambiente, etc. La diferencia fundamental entre aquellas y la Autoridad independiente de integridad pública es que las primeras tienen, como no podía ser de otra forma, tratándose de órganos de la administración, competencias en el ámbito puramente administrativo.

En cambio, este ente pretende nada menos que erigirse en Autoridad en cuestiones que entran plenamente dentro del ámbito penal. Así, el proyecto de ley, le otorga competencias para investigar o inspeccionar “el uso irregular de fondos públicos”, o “sancionar infracciones” de las establecidas en la propia ley, entre las que se encuentran nada menos que “los hechos que puedan ser constitutivos de delito o o infracción administrativa, en particular delitos contra la Administración Pública o contra la Hacienda Pública”.

El disparate legislativo no puede ser mayor, y demuestra que nuestros nuevos legisladores se han lanzado a dictar leyes sin haberse molestado en leer las ya vigentes. Porque nuestra Constitución y nuestras leyes atribuyen la potestad para sancionar conductas tipificadas como delitos, en exclusiva, a los jueces y tribunales. En este sentido basta con recordar el  art. 23.1 de la LOPJ, según el cual “corresponderá a la jurisdicción española el conocimiento de las causas por delitos y faltas cometidos en territorio español o cometidos a bordo de buques o aeronaves españolas”. Y los tribunales que ejercen dicha jurisdicción ya tienen como colaboradores a órganos como la fiscalía y las fuerzas de seguridad, sin que quepa atribuirle ninguna potestad independiente a la supuesta Autoridad anticorrupción.

Este “pequeño” obstáculo no le pasa del todo desapercibido a los promotores de la iniciativa que, en el apartado dedicado a la delimitación de funciones, establecen: “en el supuesto de que la autoridad judicial iniciase un procedimiento para determinar la relevancia penal de unos hechos que constituyan a la vez el objeto de actuaciones de investigación de la Autoridad Independiente de Integridad Pública, esta deberá cesar en su actuación tan pronto sea requerida por dichas autoridades o tenga conocimiento del inicio de cualquier procedimiento por parte de aquellas.” ¡Faltaría más!

Lo que parecen haber olvidado los autores de la iniciativa es que, en nuestro ordenamiento, cuando algún órgano administrativo, en el ejercicio de sus funciones, detecta una actividad susceptible de ser constitutiva de delito, debe abstenerse inmediatamente de actuar, pasando el tanto de culpa a la jurisdicción penal competente sin necesidad de requerimiento alguno. La creación de un órgano administrativo, que investigue y sancione ilícitos penales, es una patada en toda regla al principio constitucional de separación de poderes.

Se puede objetar a los argumentos anteriores que el invento no es nuevo y, por ejemplo, lleva funcionando algunos años en sitios como Cataluña, donde existe la Oficina Antifrau de Catalunya. A ello hay que responder que la Oficina Antifrau no pretende constituirse como Autoridad sancionadora sino que, por el contrario, se configura como un órgano con aspiraciones más modestas, y cuyas actuaciones de investigación deben cerrarse en cuanto se aprecien indicios de delito, momento en el que se trasladarán a la autoridad judicial o al ministerio fiscal.

En cualquier caso, y a pesar de sus limitadas pretensiones, las cifras de la Agencia Antifrau de Catalunya no invitan al optimismo. Como botón de muestra, y según los datos publicados por la misma, en 2016 se recibieron 174 denuncias y se llevaron a cabo 17, sí, diecisiete actuaciones de investigación. Notable logro, teniendo en cuenta que su presupuesto es de algo más de 5 millones de euros, lo que arroja un coste por cada actuación de investigación de unos 300.000 €. Por cierto, solo 3 de dichas actuaciones acabaron con una comunicación a la fiscalía.

Lo verdaderamente asombroso es que, la propia Agencia, reconoce tener 147, sí, ciento cuarenta y siete, investigaciones pendientes de resolver. Si continúan al ritmo de 2016, se pondrán al día dentro de casi una década, en el poco probable caso de que no entre ninguna más.

En suma, que la famosa Autoridad independiente de integridad pública, si se llegara a constituir, lleva el camino de convertirse en un nuevo elefante burocrático, donde gastar dinero público y colocar gente. Y todo para añadir confusión a la lucha contra la corrupción, y ser el sumidero por donde se pierdan, hasta la prescripción de los delitos, las denuncias que deberían ponerse en manos de los órganos judiciales independientes, que ya existen, y que tienen atribuida por Ley la represión de las conductas corruptas.

Lo anterior no quiere decir que no se dicten nuevas normas para la persecución de los actos que tanto daño hacen a la credibilidad de nuestras instituciones y a la propia democracia. Pero se trata de tomar medidas legislativas meditadas y ajustadas al ordenamiento vigente, requisitos imprescindibles para su eficacia. Esta supuesta Autoridad independiente se asemeja más, usando las palabras de Shakespeare, a “un cuento contado por un idiota lleno de ruido y furia”.

Análisis de riesgo en los modelos de compliance: criterios objetivos de valoración.

El artículo 31.bis 5 del Código Penal exige que los modelos de compliance cumplan el requisito de “identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”, esto es, la necesidad de un adecuado mapa de riesgos penales de la organización, como base del modelo.

Podemos afirmar que la fiabilidad de un mapa de riesgo penal está absolutamente condicionada por la calidad de los imputs obtenidos para su elaboración. En este sentido, no podemos fiarlo a las percepciones subjetivas de los miembros de la organización entrevistados para su elaboración. Y ello por dos razones:

–          Por el desconocimiento de dichos sujetos de los tipos penales y sus implicaciones. No parece muy razonable esperar que, un director comercial, pueda darnos la medida del riesgo del delito de corrupción entre particulares dentro de su empresa, cuando seguramente no conoce los elementos del tipo delictivo.

–          Por la percepción negativa de muchos de los responsables de la empresa a reconocer que, en su área concreta, radican riesgos relevantes. En este sentido, nuestra experiencia nos muestra, por ejemplo, cómo se tiende a considerar que, si los directivos de una empresa son buenos en su gestión operativa, lo serán igualmente en el aspecto ético. Experiencias como el caso Volkswagen son una evidencia palmaria de que las cosas no suceden así.

Ello no quiere decir que las entrevistas a los responsables de la organización no tengan valor para el mapa de riesgos. Por el contrario, son un elemento que nos van a permitir conocer datos que se escapan a las frías cifras y a las evidencias documentales de la estructura, operativa y resultados empresariales. Además, nos darán pistas esenciales sobre la existencia de una cultura de cumplimiento.

Pero deben ser complementarias de los factores objetivos de riesgo, que deben ser fijados a priori, en función de las características de la organización evaluada. Por ejemplo, el factor tamaño va a ser un factor esencial en la casi totalidad de los tipos delictivos. Así, en una empresa con un volumen de facturación elevado y operaciones en diversos países, el riesgo fiscal va a estar presente, cualquiera que sea la percepción subjetiva del Director Financiero. Luego podrá ser moderado por las medidas de prevención existentes y las evidencias de cumplimiento, pero no podemos valorarlo basándonos en preguntas del tipo “¿cree usted que el grado de cumplimiento fiscal de la empresa es adecuado?”, como frecuentemente hemos visto hacer.

Junto a la dimensión de la empresa, que deberá ser valorada, a su vez,  de distinta forma para cada delito específico (el número de empleados no tiene la misma ponderación para valorar el riesgo de delitos contra los derechos de los trabajadores que para el delito de falsedad contable) habrá que ponderar factores como la actividad, riesgo geográfico, riesgo histórico o relaciones con stakeholders, entre otros.

Ésta es la línea seguida por la circular 1/2016 de la Fiscalía General del Estado, al señalar que el análisis “identificará y evaluará el riesgo por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones, etc., tomando en consideración variables como el propósito de la relación de negocio, su duración o el volumen de las operaciones”.

Si bien los criterios señalados en la Circular nos marcan la línea a seguir, hay que señalar que son criterios procedentes de la normativa de prevención de blanqueo de capitales y, por tanto, no comprenden la totalidad del espectro de los delitos imputables a las personas jurídicas.

Podemos afirmar que, una valoración  de riesgos fundamentada en criterios contrastables y cuantificables, es la piedra angular de un plan de prevención de riesgos penales. Solo así tendremos los elementos de juicio necesarios para adoptar las medidas idóneas para minimizar el riesgo. Y ello, a su vez, nos permitirá probar, en caso de producirse un ilícito en la empresa, que concurren las circunstancias para exonerar de responsabilidad a la misma, al acreditarse la adecuación del programa “para prevenir el concreto delito que se ha cometido”, y la “idoneidad entre el contenido del programa y la infracción”, en los términos de la Circular 1/2016 citada.

En conclusión, podemos afirmar que un mapa de riesgos basado en criterios y evidencias rigurosos y cuantificables es la base del éxito de un programa de compliance, siguiendo el conocido aforismo “lo que no se puede medir no se puede controlar”.

El Reglamento Europeo de Protección de Datos y las medidas de seguridad: ¿autorregulación, desregulación o abandono?

Sobre el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Reglamento Europeo de Protección de Datos para entendernos, se han vertido ya ríos de tinta, especialmente en las cuestiones más o menos novedosas relativas a la regulación del consentimiento, la privacidad por diseño y por defecto, los nuevos derechos, como la portabilidad de datos, o la figura del delegado de protección de datos.

Si bien es cierto que estas cuestiones tienen gran trascendencia (unas más que otras), se echa de menos literatura jurídica sobre un aspecto clave para el éxito o el fracaso en la garantía de los derechos de los titulares de los datos. Nos referimos a las normas relativas a la seguridad en el tratamiento de datos dentro de la UE.

En este apartado, el Reglamento, en su artículo 32, establece la obligación para el responsable y el encargado del tratamiento de “aplicar las  medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”. Esto no resulta especialmente problemático y en términos muy parecidos se expresa el actual artículo 9 de nuestra LOPD.

El problema surge en la forma en que se van a materializar en la práctica los mecanismos efectivos de garantía de la seguridad de los datos. Porque la LOPD, a través de su reglamento de desarrollo, establecía una panoplia de medidas de seguridad, en función de la clasificación de los datos, que marcaba la senda a seguir por empresas y organizaciones en la protección de los datos que tratan. En cambio, el Reglamento europeo apenas aporta unos pocos criterios que deben cumplir los responsables del tratamiento, algunos tan imprecisos como  “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”, y otros tan rigurosos como “el cifrado”, sin especificar qué datos deben cifrarse.

Con el fin de dar una cierta seguridad a los obligados, el Reglamento se remite a dos mecanismos específicos de prueba de la eficacia de las medidas de seguridad adoptadas: los códigos de conducta y las certificaciones.

Pues bien, respecto a los primeros, es decir a los códigos aprobados por asociaciones y organismos representativos de cada sector, no son nada nuevo,  pues ya estaban regulados por nuestra LOPD en su artículo 32. La prueba de su ineficacia es que, en los diecisiete años de vigencia de la Ley, se han aprobado apenas catorce códigos en algunos sectores aislados como el sanitario, cobros, seguros de automoción, y poco más.

Respecto a las certificaciones, los problemas que pueden plantearse son aún mayores dada la imprecisión de los criterios para determinar quién puede certificar y qué se puede certificar. Y aunque en el mundo de las certificaciones hay ejemplos de entidades rigurosas, hemos asistido en los últimos años a una pérdida de credibilidad del sector que nos hace dudar seriamente de su capacidad para garantizar la protección del derecho fundamental a la protección de los datos personales de los ciudadanos. Bien puede aplicarse al mismo la frase que precedía la entrada al infierno de Dante: “abandonad toda esperanza los que entráis aquí”.

Y más aún en cuanto que los ingresos de las certificadoras van a provenir precisamente de las empresas y entidades que tienen la obligación de cumplir las medidas de seguridad. En el conflicto entre el interés de las empresas y entidades por tratar los datos personales de los ciudadanos con el mayor beneficio propio y el menor coste de seguridad, y el de los ciudadanos en que sus datos se traten con el máximo respeto a sus derechos, el árbitro va a recibir sus emolumentos de las primeras.

Paradójicamente, el propio Reglamento, tras regular las certificaciones, dispone que serán de carácter voluntario y que “no limitarán la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento”. Ciertamente, para ese viaje no hacían falta alforjas.

En fin, que el Reglamento europeo parece haber optado en esta materia por una desregulación que no invita al optimismo. Recordemos, sin ir más lejos, las pésimas consecuencias de la  dejación por la Administración del mandato de la LOPD de gestionar el censo promocional y las listas de exclusión de publicidad (las famosas Listas Robinson), que dio lugar a que no hubiera forma efectiva de librarse de comunicaciones comerciales en nuestro domicilio.

Habrá que estar al desarrollo del Reglamento por las autoridades de los estados miembros, pero lo cierto es que el contenido del mismo, a priori, hace temer por la seguridad de nuestros datos y por la seguridad jurídica de quienes tienen la obligación de tratarlos con ajuste a derecho. Nubes de tormenta se ciernen sobre nuestra privacidad y sólo un desarrollo normativo riguroso y adecuado podrá disiparlas.

La lista oficial de PEPs: ni está ni se la espera.

En el magnífico foro organizado por Control Capital Net, el pasado 29 de junio, sobre sobre «Gestión de Riesgos en la Prevención del Blanqueo de Capitales» pregunté, a los representantes del Tesoro, si existía algún proyecto para la elaboración de una lista oficial de Personas con Responsabilidad Pública (los PRPs o PEPs) lo que fue contestado de forma negativa.

La cuestión no es menor, dada la relevancia que tiene identificar a los PEPs para impedir de forma eficaz el blanqueo derivado de la corrupción pública, tanto en el ámbito internacional como el interno. Así parece considerarlo nuestra Ley 10/2010, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, que  les dedica dos de los catorce artículos artículos que regulan las obligaciones de diligencia debida. Pues bien, una vez plasmada en la ley la obligación de someter a medidas de diligencia reforzada a los responsables de la “res publica”, lo deseable sería que, por parte del regulador, se  llevaran a cabo las actuaciones para su implementación efectiva. La tarea no parece inabordable, especialmente en lo que se refiere a los PEPs domésticos, habida cuenta de que se trata de cargos públicos cuyo nombramiento es objeto de publicación en diarios oficiales.

Desde el punto de vista de la privacidad, no debe haber  ningún obstáculo al tratamiento de los datos, pues la propia Ley 10/2010 habilita en su artículo 15 a los propios sujetos obligados, e incluso a “terceros colaboradores”, a crear sus propias listas. Mucho menos desde el punto de vista de las dificultades técnicas para su creación y mantenimiento, ya que se han abordado cuestiones infinitamente más complejas, como el Fichero de Titularidades Financieras.

Lo notable es que el artículo anime a los sujetos obligados a una tarea para la que no disponen de medios ni se esté dispuesto a facilitárselos. No imagino a los sujetos del sector inmobiliario o a los marchantes de arte (si me apuran ni al sector financiero) en la tarea de localizar a quienes “desempeñen o hayan desempeñado funciones públicas importantes en el Estado español, tales como los altos cargos de acuerdo con lo dispuesto en la normativa en materia de conflictos de intereses de la Administración General del Estado”, fichando al “alto personal de las fuerzas armadas” o identificando a “los concejales y demás altos cargos” de San Bartolomé de Tirajana, municipio que, como todos sabemos, tiene más de 50.000 habitantes (concretamente 56.698).

La única opción es acudir a las listas elaboradas por “colaboradores”, por cierto sin ninguna garantía de fiabilidad, a que se refiere el artículo 15 de la Ley, que se prestarán a “colaborar” con nosotros siempre que pasemos previamente por caja, lo que es inviable para los sujetos obligados con multitud de clientes o con pequeña capacidad de gestión o financiera.

En fin, seguiremos aconsejando a los sujetos obligados que identifiquen a los PEPs haciéndoles firmar en el KYC que reconocen serlo (cosa que la mayoría de ellos no saben). Y crucemos los dedos para que, quienes no lo hagan, no aparezcan implicados en ninguno de los casos de corrupción que, con más frecuencia de la deseada, salpican la política nacional.

El enfoque multidisciplinar en materia de corporate compliance.

El nuevo marco legal en el que se encuadra el “corporate compliance” en España tiene tintes de revolución, por cuanto supone la introducción en el campo del Derecho, fundamentalmente del Derecho Penal, de nuevos elementos distintos a los que tradicionalmente se han manejado por los juristas. Nos referimos a las herramientas de análisis de riesgos y gestión de los mismos.

En efecto, el elemento clave de los sistemas de prevención del riesgo penal es el mapa de riesgos, base para el plan de medidas que debe cerrar el gap entre el riesgo existente y el riesgo asumible. Y los elementos para elaborar dicho mapa no están en el Código Penal. Es cierto que las conductas tipificadas como delito van a ser los “puntos geodésicos”, que deben  delimitar el terreno donde van a operar las herramientas de prevención. Pero, no lo es menos, que la identificación y graduación de los riesgos exige la aplicación de criterios extrajurídicos de la más variada índole, abarcando desde la estructura organizativa o las dimensiones del sujeto de riesgo a su proyección geográfica, la índole de su actividad o su abanico de stakeholders.

Por otra parte, el Código Penal nos permite delimitar el campo de riesgos, pero no arroja ninguna luz sobre las medidas que deben abordarlo. Salvo dos herramientas concretas, como son el canal de denuncias, “whistle blowing procedure”, y el régimen sancionador, nada nos dice sobre cómo abordar la multiplicidad de riesgos y grados del mismo que se presentan ante nuestra organización.

En este aspecto será necesario utilizar determinadas herramientas dispersas por la legislación sectorial como, por ejemplo, la protección de datos, en particular desde el moderno enfoque de las privacy impact assessment (pia) para los riesgos contra la intimidad. Y, por supuesto, otras que no tienen la naturaleza de norma jurídica, pero cuya eficacia para la prevención de riesgos es evidente, como la normativa ISO. A título de muestra, a nadie se le oculta la potencialidad de la ISO 14000 como medida de prevención del delito ecológico. En suma, la panoplia de instrumentos que deben manejarse para un Modelo de Prevención del Riesgo Penal es muy amplia. Su aprovechamiento es la clave de la robustez del sistema, que habrá de someterse a una dura prueba en la fase de prevención del delito y, si llega el caso, como elemento de exculpación de la persona jurídica.

Consecuencia de lo anterior, es la necesidad de contar con profesionales polivalentes para un  enfoque adecuado de los sistemas de prevención. Abordarlos desde la óptica puramente jurídica está abocado al fracaso, pues supone adentrarse en una selva, en la que la propia continuidad de negocio de nuestros clientes está en juego, sin brújula que nos oriente y sin machete que nos permita desbrozar los obstáculos. Las opciones no pueden ser más que dos: o bien la de abrir la mente e hincar los codos para adquirir experiencia en sistemas de gestión, reinventándonos en profesionales multitarea, capaces de abordar la materia desde diversos flancos, o bien la de formar equipos multidisciplinares, que trabajen conjuntamente en la resolución del nuevo reto. Pongámonos a ello.

 

El compliance officer: una misión para titanes.

La figura del compliance officer está adquiriendo gran relevancia tras la reforma del Código Penal de 2015. Se debate en los foros económicos y profesionales sobre las características, formación y tareas de los llamados a desempeñar este trabajo y proliferan los cursos, máster y hasta postgrados dirigidos a ellos.

Sin embargo, parece haber cierta confusión sobre la figura. Así, están desde quienes consideran que el compliance officer es el responsable de una especie de departamento de cumplimiento (como el CISO lo es de gestionar la seguridad informática o el responsable de calidad el sistema de gestión de calidad)  a aquellos que afirman que su función básica es implantar el programa de compliance.

Para aclarar su naturaleza debemos acudir al Código Penal que, en su artículo 31 bis 2., regula dos aspectos básicos: su función y sus poderes.

En cuanto a su función, se dispone que es la “supervisión del funcionamiento y el cumplimiento del modelo de prevención”. Ello supone, por una parte, que no es preciso que el compliance officer haya implantado el modelo de prevención pero, por otra, que es responsable de velar porque dicho modelo cumpla la totalidad de los requisitos que, para su eficacia, recoge el 31 bis 5.

En cuanto a sus poderes, deberá disponer de “poderes autónomos de iniciativa y control” respecto al órgano de administración de la sociedad, lo que implica dotarle de garantías frente a represalias y de acceso ilimitado a la información de la sociedad, puesto que es evidente que no se puede controlar aquello que se desconoce.

Por otra parte, es muy importante señalar que el compliance officer está incluido dentro de las figuras a las que el Código atribuye la virtualidad de dar lugar a responsabilidad penal de las personas jurídicas, lo que implica que dicha responsabilidad puede recaer sobre él a su vez. Así lo establece el artículo 31 bis 1 en su letra a) tal y como señala la Circular 1/2016 de la Fiscalía General del Estado en su punto 2.3.

Por último, es necesario destacar la relevancia que, tanto la Circular 1/2016 como el Tribunal Supremo en sus dos recientes, y únicas, sentencias sobre responsabilidad penal corporativa, dan a la implantación de una cultura ética empresarial como requisito para la eficacia de los planes de compliance. Cultura ética que deberá verse reflejada en la cúspide directiva de la organización.

De todo lo expuesto se deduce claramente que la figura del compliance officer no puede homologarse a la de un técnico que supervisa el cumplimiento de una serie de indicadores del sistema de prevención, sino que debe supervisar el cumplimiento de estándares éticos en todos los niveles de la empresa, incluyendo a la alta dirección. Así, para desempeñar la función de compliance officer, será imprescindible estar en posesión de una experiencia y bagaje profesionales al menos asimilable a la de los componentes del órgano de administración que van a estar sujetos a su supervisión.

Al igual que los jugadores de fútbol no respetan a un entrenador que no haya jugado antes, por mucho título que tenga, resulta ilusorio pensar que los administradores de las empresas se van a someter al control de un empleado sin un bagaje profesional amplio, armado solamente de un título de compliance officer. Ningún CEO que se precie pondrá a  disposición de un recién contratado sus planes de negocio, estados contables, procedimientos de actuación, etc. y someterá su actuación a la fiscalización del mismo, salvo que el compliance officer sea una persona con una experiencia acreditada y peso específico.

La tarea del compliance officer se perfila así como ciertamente difícil. Y no tanto por las dificultad técnica que supone conocer una serie de materias cuyo contenido está disperso en múltiples normas, sino, sobre todo, porque siempre que se plantee un dilema ético en el ámbito empresarial le va a corresponder estar en el ojo del huracán, defendiendo normalmente la postura menos ventajosa para la obtención de los objetivos económicos de la compañía.

Pues bien, para salir airosos en esa difícil misión de velar por el control de la existencia de una cultura ética, en un entorno donde las presiones por conseguir resultados serán muy fuertes, unido a la responsabilidad directa que recae sobre sus hombros, se requerirán una serie de cualidades, formación, experiencia profesional, autoridad y personalidad, que no están al alcance de todos. ¡Suerte en su tarea!

El sistema disciplinario en los modelos de compliance.

Una de las cuestiones más espinosas que plantea el régimen de responsabilidad penal de las personas jurídicas, a raíz de la reforma operada por la Ley Orgánica 1/2015 de reforma del Código Penal, es el requisito del artículo 31. Bis 5, según el cual los modelos de organización y gestión “establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo”.

Del precepto se infiere que la aplicación del poder sancionador general que la legislación española reconoce al empresario, en el artículo 58 del Estatuto de los Trabajadores, no es suficiente para exonerar a la empresa de responsabilidad penal, porque en ese caso no tendría sentido el contenido del artículo 31. Bis 5, sino que habrá que ir más allá.

El problema estriba en el riesgo de colisión entre el sistema disciplinario establecido en el modelo de compliance y el sistema disciplinario regulado en la normativa laboral, tanto en las disposiciones generales como en los convenios colectivos aplicables. No parece razonable que la adopción de un plan de compliance, que no debemos olvidar que no tienen carácter obligatorio, suponga para las empresas una habilitación general para establecer, sobre unas tablas en blanco, un listado de infracciones y sanciones contra el modelo de prevención. Por el contrario, habrá que tratar de conciliar el sistema sancionador del modelo con los principios y normas del derecho laboral.

Dentro de este marco, podemos distinguir dos tipos de conductas sancionables en relación con los modelos de prevención.

En primer lugar, la comisión de conductas tipificadas como delito en el ámbito de la empresa, que no ofrecen ninguna duda. La jurisprudencia y doctrina laboral son claras en la consideración de que la realización de hechos delictivos en el ámbito laboral supone una vulneración clara de la buena fe contractual y, en consecuencia, constituye una causa clara de despido disciplinario tipificada en el artículo 54.2 d) del ET.

Consecuentemente, el régimen sancionador en materia de incumplimiento de la obligación genérica de abstenerse de realizar conductas delictivas, se materializará en el despido disciplinario del autor del delito, así como de todos aquellos que, intencionadamente, colaboren con él o le encubran.

En segundo lugar, se plantea la habilitación para sancionar la vulneración de las medidas específicas de detección y prevención de delitos que establezca el modelo. En este aspecto entendemos que para la aplicación del sistema sancionador será necesario que el directivo o trabajador haya sido informado específicamente de las obligaciones impuestas por el modelo, de modo que la transgresión de las mismas constituya un supuesto de desobediencia o indisciplina, expresamente recogido en el apartado 2.b) del artículo 54 del ET.

De lo expuesto se deduce que el ordenamiento jurídico laboral, no plantea un problema insoluble para el establecimiento de un sistema disciplinario que, conforme a las directrices de la Circular 1/2016 de la Fiscalía General del Estado y las recientes sentencias del Tribunal Supremo, debe ser parte esencial del modelo de compliance, como medio para hacer efectiva una cultura ética empresarial, incompatible con conductas permisivas de actos delictivos.

Sigma Corporate imparte una jornada de formación en COEBA

El miércoles 13 de abril se ha celebrado en Badajoz la primera jornada técnica de compliance penal, organizada por la Confederación de Organizaciones Empresariales de la Provincia de Badajoz (COEBA). En ella se han abordado las reformas del Código Penal, que entraron en vigor el julio del pasado año.

La jornada ha dado respuesta a las cuestiones que plantea para los empresarios el nuevo régimen de atribución de responsabilidades del Código Penal, que puede suponer la imputación de los administradores, directivos y gerentes, así como de las propias empresas en su condición de personas jurídicas, si se llegara a producir un delito en el ejercicio de su actividad.

Ha sido presentada por D. Emilio Doncel, presidente de COEBA que ha introducido el nuevo marco normativo que se plantea al empresariado regional.

En ella han intervenido los socios de la empresa consultora Sigma Corporate, D. José María Ruiz Téllez y D. Juan Luis Martínez-Carande Corral. Los ponentes han abordado los requisitos para la imputación penal de las empresas, así como los modelos  de prevención de delitos, que permiten la exención de responsabilidad de las mismas así como de sus directivos.

Por su parte D. Mónica Barroso Bravo, delegada en Extremadura de AENOR, ha presentado el certificado Iuriscert, de sistemas de prevención de delitos, implantado en empresas como el Banco de Santander.

El notable interés que ha despertado la jornada, traducido en una notable asistencia de empresarios y profesionales, pone de manifiesto que el empresariado extremeño no es ajeno a las tendencias que abogan por imponer una cultura ética empresarial, que garantice la transparencia y honestidad en los mercados y los derechos de los usuarios y consumidores.

“Panama papers”: no todo vale.

La filtración de los papeles de Panamá ha ocasionado un revuelo mundial, donde se ha centrado el foco de atención de los medios en las personas que ostentaban la titularidad de las sociedades off shore creadas por el despacho Mossack Fonseca.

Curiosamente, prácticamente nadie se ha fijado en un aspecto básico, el origen de la información, que no es otro que la comisión de un delito de intrusión informática, tipificado como tal en nuestro ordenamiento y en la totalidad de los ordenamientos de los países desarrollados.

Al tiempo que salían a la palestra los titulares de las cuentas, dirigentes políticos de todo el mundo, como Hollande, y organismos fiscales, como nuestra AEAT, hacían pública sus intenciones de usar la información obtenida por el hacker para investigar a los titulares de las sociedades. Y ello sin cuestionarse la procedencia de los datos ni la necesidad de respetar las garantías de procedimiento que nuestro ordenamiento jurídico establece para los ciudadanos, así como el principio de que la administración debe actuar con sometimiento pleno a la Ley y el Derecho. No debemos olvidar que la ley penal considera las pruebas obtenidas de forma ilegítima “manzanas podridas” que no tienen, con alguna excepción puntual en el derecho comparado, valor probatorio alguno.

Cierto que los papeles de Panamá ponen de manifiesto lagunas en los mecanismos de prevención del fraude, como la laxitud en la  catalogación de los paraísos fiscales (según la OCDE, solo existen actualmente dos en el mundo: Naurú y Niué). También la necesidad de reforzar los mecanismos antiblanqueo en sectores como el deportivo donde, por ejemplo, nuestra normativa no considera a los clubes e intermediarios deportivos sujetos de riesgo específico.

Pero, por eso mismo, no se pueden rebajar las exigencias normativas en materia de prevención del blanqueo y el fraude y, al mismo tiempo, afilar los cuchillos para perseguirlo utilizando mecanismos ilegítimos, como el fruto de los delitos informáticos. Porque si legitimamos las actuaciones al margen de la ley de los ciberdelincuentes, convertidos en justicieros por obra y gracia de la prensa, nos quedamos sin argumentos para defender los derechos fundamentales de sus víctimas.

La aplicación de controles de compliance a la Administración.

La presencia en los medios de comunicación de casos de corrupción política se ha convertido en una constante en España. Poco se habla, sin embargo, del papel que desempeñan en la corrupción los empleados públicos, que ejercen cuotas de poder nada desdeñables. No podemos obviar que la actuación de la administración no es posible sin la participación directa o indirecta de funcionarios públicos. Y no solo en los procedimientos de gasto, que exigen informes técnicos de los funcionarios, determinantes para la elección del contratista (evaluación de mejoras, soluciones técnicas, etc.), sino en expedientes como los urbanísticos (sujetos a informes de planeamiento, planes, estudios o licencias) y en todo tipo de actividades económicas sujetas a regulación o autorización administrativa.

El riesgo de la desviación de poder para fines distintos al interés general está contemplado de una manera patente en nuestras leyes. Buen ejemplo son las normas sobre incompatibilidades de funcionarios públicos o la regulación de sus causas de abstención y recusación para evitar el conflicto de interés.

Pero la realidad se ha empeñado en demostrarnos que estos controles con insuficientes para atajar en el origen los casos de corrupción pública, lo que hace necesario introducir nuevas medidas que permitan cerrar el cerco sobre los corruptos. Y podemos apuntar dos líneas de actuación principales:

          Por una parte, extender a determinados puestos de la escala administrativa los controles que se exigen a determinados cargos públicos, como las declaraciones de patrimonio o la consideración de personas expuestas en materia de prevención de blanqueo de capitales. Ello le pondría las cosas más difíciles a esa minoría de funcionarios incluidos en la cesta de las manzanas podridas.

          Por otra, establecer canales de denuncia eficaces para que la gran mayoría de funcionarios honrados puedan impedir la comisión de delitos en el ámbito público sin exponerse a represalias, garantizando que los hechos denunciados serán investigados y, en su caso, enjuiciados y castigados.

Por último, habrá que crear organismos de control interno eficaces. Existen precedentes en algunas administraciones, como la Oficina Antifrau de la Generalitat de Cataluña. Pero dado que los resultados de la misma no son muy alentadores, hay que plantearse la participación en ellas de órganos ajenos a la propia administración, fundamentalmente del ámbito del Poder Judicial. En este sentido hay precedentes como la designación, en materia de prevención de blanqueo de capitales, de un miembro del Ministerio Fiscal para velar por el correcto funcionamiento del Fichero de Titularidades Financieras.

Con estas medidas no se pretende desviar la atención de los políticos, responsables principales de los más sonados casos de prevaricación, cohecho o tráfico de influencias, sino de poner también la mira en otros sujetos de riesgo, que podrían haberlos evitado. Porque la corrupción pública es muy difícil de producirse sin la participación cómplice o el silencio culpable de los funcionarios que deben tramitar, informar y fiscalizar los expedientes viciados.

No se trata tampoco de extender una sombra de sospecha sobre los profesionales encargados de la gestión de nuestros intereses comunes, sino de proporcionarles herramientas para, precisamente, poder despejar cualquier sombra de duda sobre su actuación. Porque cuando desde la Administración se incrementan las exigencias en materia de cumplimiento para empresas e instituciones privadas, no está de más que comience por cubrir las desnudeces propias. Será la mejor forma de conseguir que los ciudadanos no sigamos preguntándonos, como en la antigua Roma “¿Quis custodiet ipsos custodes?”.