La implantación de un modelo de Prevención Penal en las empresas como salvaguarda de la responsabilidad de la persona jurídica y de sus administradores es uno de los últimos “hit” jurídicos. Lo cierto es que más allá de exageraciones y oportunismos, estamos ante un buen concepto que aporta valor en la cultura de gobernanza empresarial y que actualiza o revitaliza algo tan clásico y descuidado como la abogacía preventiva. En cualquier caso, lejos de ser muy puristas o excesivamente técnicos, conviene poner de manifiesto una serie de ideas claras sobre lo que implica, lo que es o no es, y su contenido más práctico para la empresa:
- El artículo 31 bis del Código Penal reformado en 2015 es la piedra angular de este movimiento sísmico que apunta con ir cambiando paradigmas en la definición de la responsabilidad empresarial. Desde ahí devienen otras modificaciones normativas (Ley General Tributaria, Ley de Sociedades de Capital, Ley de Seguridad Social, Ley Concursal…) impactadas por ese novedoso tratamiento de la responsabilidad.
- El citado artículo dispone la responsabilidad de la persona jurídica quebrando el principio antropocéntrico del derecho penal más tradicional e incluso atropellando el principio de intervención mínima tan característico del mismo. Y lo hace estableciendo que esa responsabilidad surge por los actos de sus representantes o de personas autorizadas o vinculadas a ella (proveedores, filiales, por ejemplo) que le generan beneficio directo o indirecto. Y al mismo tiempo articula un mecanismo muy “mercantil” y poco penal (en la forma y contenidos y en su descripción) para tener la posibilidad de atenuar o hasta exonerarse de la posible pena: la implantación de un modelo de prevención penal adecuado en la compañía.
- El compliance vela por el cumplimiento de las normas impuestas a la empresa por el ordenamiento jurídico y también se extiende al ámbito ético y a los valores y principios asumidos por ella como parte de su identidad.
- El compliance no puede decirse de momento que sea una salvaguarda automática de la responsabilidad empresarial, ni supone directamente una eximente salvo que cumpla con los requisitos establecidos en el Código Penal y así lo verifique el juzgador.
- Se discute y debate si estamos ante una inversión real de la carga de la prueba (siendo el acusado quien debe probar su nivel de cumplimiento), una quiebra de la presunción de inocencia, un exceso de carga a la tarea de la fiscalía por ser ella la que debe probar en sentido contrario… Pero la realidad es que la jurisprudencia (Sentencias del TS de febrero y junio del 2016) actualmente en aplicación de la nueva legalidad se inclina a una tarea de validación y valoración de la virtualidad y requisitos del compliance. Esto es, a comprobar si la empresa lo tiene, si es adecuado y completo y partir de ahí determinar su posible valor eximente y clarificar la cadena de responsabilidades.
- El compliance es para todas las sociedades, no para el IBEX o para las grandes compañías; y debe ser personalizado y adecuado a cada una de ellas y sus circunstancias, sus riesgos particulares y los de su sector. Por tanto, hay que ser cautos con los estándar y con los servicios paquetizados.
- Un modelo de prevención legal ayuda a prevenir, detectar y gestionar riesgos y se concreta en un conjunto de procedimientos que, convenientemente documentados y ejecutados, evidencian la diligencia debida en la empresa y articulan el buen gobierno de la misma en alineación con valores y principios definidos. Tiene una fase de diagnóstico, otra de implantación y otra de seguimiento y verificación; pero no puede ser un “alto” en el camino para la empresa sino parte de ese mismo camino, por tanto más que ejecuciones e implantaciones exprés son muy recomendables aquellos procesos que se integren en la operativa de la empresa, se adapten a sus tiempos y se interioricen por su directivos y su personal como parte consustancial de su trayectoria y organización.
- Se concreta en acciones y medidas que se integran en el día a día de la empresa y que requieren la interacción y el compromiso de todos para su eficacia: análisis de riesgos, código ético, reglamento disciplinario, protocolo de toma de decisiones (actuaciones del órgano de administración), canal ético o de denuncias, sistema de gestión financiera, protocolo de relaciones con terceros vinculados, protocolo de selección y contratación, concienciación y formación interna, protocolo de seguimiento y evaluación del modelo… son los elementos que conforman el modelo pero que también suponen un conjunto necesario de prácticas de garantía y solvencia empresarial.
- El plazo y la forma de implantación debe adaptarse a la empresa que tiene que interiorizar que no se trata de una tarea para un tiempo sino de una forma de ser y de hacer para siempre en la que está llamada a implicarse y aplicar recursos adecuados. Estructuralmente conlleva cambios hasta el punto de dotarse de responsables de compliance (compliance officer), siendo deseable un órgano colegiado antes que unipersonal, adecuadamente preparado, formado (formación jurídica) y dotado de presupuesto, independencia y autonomía, además de una alta posición jerárquica. Será el encargado de dinamizar la “cultura compliance” y activar la contribución de todos (departamentos y terceros vinculados) para el buen fin del sistema. En las pymes y micro pymes cabe ubicarlo en el órgano de administración e incluso externalizar total o parcialmente sus funciones.
- La competitividad y la internacionalización empresarial son los grandes motores que van a terminar por empujar a todas las empresas a esta misión-vocación (si el tratamiento legal no es suficiente “motivación” ya). Y es que las relaciones con empresas de determinados países (cada vez más) o la expansión y posicionamiento en ciertos Estados (EEUU, Reino Unido, Francia…) ya llevan aparejada esta exigencia. Y en España, aun con su indudable soporte legal, también conlleva diferenciación competitiva.
- Compliance es hacer bien las cosas y poder acreditarlo en el caso de los “accidentes” a los que esta expuesta la actividad empresarial por el hecho de “circular” en el mercado. El seguro de administradores y directivos es un complemento e incluso parte integrante del propio compliance, pero no lo sustituye, al revés, los mayores efectos de un seguro de estas características se desplegarán en una empresa donde el compliance sea una realidad mínimamente justificable. El propio modelo de prevención debe verificar que la compañía cuenta con un seguro de directivos adecuado (además de la gerencia de riesgos correspondientes revisando la situación de coberturas de la empresa). Una empresa sin compliance se asimila a un coche circulando sin seguro.
- Hay un listado de delitos atribuibles a las personas jurídicas y algunos parecen alejados de la realidad de una pyme o micropyme cualquiera (los relacionados con la droga o la violencia), pero muchos están muy cerca de la “habitualidad” de cualquier actividad económica (accidentes laborales, delitos fiscales, seguridad social…). Prevenir, detectar y gestionar estas situaciones supone la justificación profunda del compliance.
- Contar con una certificación tampoco es la garantía final pero sí añade valor y credibilidad al modelo implantado, esto es, refuerza su condición de prueba de diligencia debida. La normalización cristalizada recientemente en materia de sistema de gestión de compliance (ISO 19601) y antisoborno (37001) también constituye un excelente mecanismo de “control del controlador”, es decir, de autitoría externa e independiente del sistema implantado y del funcionamiento del compliance y sus responsables. Y con ello igualmente se atiende a uno de sus requisitos intrínsecos: verificación, seguimiento y validación del modelo.
En definitiva, el compliance o la implantación de un sistema de prevención legal en la empresa es mucho más que una opción voluntaria a tenor de lo dispuesto en el Código Penal (y alcanza la categoría de recomendación necesaria y saludable) pero no llega a ser todavía esa “patente de corso” o panacea que algunos quieren hacer ver. Y ello porque requiere una validación judicial y una valoración del modelo como prueba de diligencia debida. Pero sin tal modelo (además de desaprovechar una eficaz herramienta competitiva y organizativa), si la empresa no dispone o desarrolla tal sistema de prevención, la prueba se torna mucho más incierta y peligrosa para la empresa siendo ya cierta la responsabilidad penal de la propia persona jurídica y abundando gravemente en el riesgo y ventura de los administradores y directivos de las mismas y de otro personal relacionado. Estamos en el principio de una evolución que hace un guiño a la responsabilidad objetiva empresarial, concreta el nivel de diligencia empresarial y ofrece certidumbres sobre cómo enfrentar el camino de riesgos que jalona la vocación emprendedora y la responsabilidad directiva.