Estamos de enhorabuena, por fin se ha publicado la esperada Circular 1/2016, de la Fiscalía General del Estado, sobre la responsabilidad de las personas jurídicas tras la reforma del Código Penal. Dicha Circular era muy necesaria para aclararnos un poco cómo gestionar todo ésto de los Programas de Compliance. Pues nuestro querido legislador nos soltó una "perlita" con la pasada modificación el mes de Julio del CP y su ambigua redacción del artículo 31 bis del CP, donde se introdujeron los programas de Compliance. Pero han habido muchas dudas de cual iba a ser la eficacia real en España de dichos programas y como implantarlos.
Ya hemos hablado en entradas anteriores, que tras la mencionada reforma los Programas de Compliance se configuran como una eximente a la responsabilidad penal de las personas jurídicas y, por tanto, es muy importante conocer cuales van a ser las directrices de la Fiscalia para aplicar o no dicha eximente.
La Circular ya dice que objeto del proceso penal se extiende ahora también y de manera esencial a valorar la idoneidad del programa de cumplimiento adoptado por la corporación. Pero que el objeto de los programas de Compliance no es evitar una sanción penal, sino promover una cultura ética empresarial. Las empresas deben establecer programas para cumplir la legalidad en general, no sólo la legalidad penal. Y que por lo tanto la comisión de un delito sea un acontecimiento accidental y la exención de la pena, sea una consecuencia natural a esa cultura del cumplimiento normativo y los valores éticos por encima de todo. Pues no se deben establecer programas de compliance únicamente como seguros para eludir el reproche penal, debido a que ese no es el sentido de los mismos.
Diez conclusiones de la Circular :
- El art. 31 bis extiende el valor eximente de los modelos de organización y control a los dos títulos de imputación de la responsabilidad penal de la persona jurídica: delitos cometidos por sus administradores y dirigentes y delitos cometidos por los subordinados Y la Circular establece que " única diferencia del doble régimen de exención de las personas jurídicas, se recoge en la condición 3.ª del apartado 2 que solo es predicable de los delitos cometidos por los sujetos del apartado a). Esta condición no se contempla para los subordinados,lo que permite a la persona jurídica eludir su responsabilidad en los supuestos de la letra b) simplemente acreditando que su modelo era adecuado, sin necesidad de probar que el dependiente había actuado fraudulentamente. En el modelo establecido debe acreditarse que el sujeto encargado de la vigilancia y control incumplió gravemente sus deberes, pero no es exigible recíprocamente a la persona jurídica que para eximirse de responsabilidad pruebe que el dependiente burló fraudulentamente el modelo de control"
- Señala que los programas de Compliance no pueden ser una "plantilla" o algo estandarizado. Que son programas muy complejos, que deben tener un enfoque totalmente interdisciplinar y que deben adaptarse a las necesidades y particularidades de cada empresa."No basta la existencia de un programa, por completo que sea, sino que deberá acreditarse su adecuación para prevenir el concreto delito que se ha cometido, debiendo realizarse a tal fin un juicio de idoneidad entre el contenido del programa y la infracción. Por ello, los modelos de organización y gestión deben estar perfectamente adaptados a la empresa y a sus concretos riesgos"
- Los programas de Compliance deben basarse en el análisis y gestión de riesgos "La persona jurídica deberá establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo específico establecidos. Para ello el análisis identificará y evaluará el riesgo por tipos de clientes, países o áreas geográficas".
- Que exista un programa de Compliance y se cometa un delito no conlleva obligatoriamente que el programa sea totalmente ineficaz.
- "El oficial de cumplimiento debe necesariamente ser un órgano de la persona jurídica, lo que facilitará el contacto diario con el funcionamiento de la propia corporación. Ello no implica que este órgano deba desempeñar por sí todas las tareas que configuran la función de cumplimiento normativo, que pueden ser realizadas por otros órganos o unidades distintos al específico de cumplimiento normativo, como la unidad de riesgos, la unidad de control interno, el servicio de prevención de riesgos laborales o el de prevención del blanqueo. Lo esencial será que exista un órgano supervisor del funcionamiento general del modelo, que deberá establecer claramente el responsable de las distintas funciones y tareas. Pero tampoco existe inconveniente alguno en que una gran compañía pueda recurrir a la contratación externa de las distintas actividades que la función de cumplimiento normativo implica. (...) Lo verdaderamente relevante a los efectos que nos ocupan es que la persona jurídica tenga un órgano responsable de la función de cumplimiento normativo".
- El órgano de cumplimiento normativo deben tener los máximos niveles de autonomía, "los modelos deben prever los mecanismos para la adecuada gestión de cualquier conflicto de interés que pudiera ocasionar el desarrollo de las funciones del oficial de cumplimiento, garantizando que haya una separación operacional entre el órgano de administración y los integrantes del órgano de control que preferentemente no deben ser administradores, o no en su totalidad".
- En cuanto a la responsabilidad de el oficial de cumplimiento "el oficial de cumplimiento puede con su actuación delictiva transferir la responsabilidad penal a la persona jurídica a través de la letra a) puesto que, como se ha dicho, está incluido entre las personas que ostentan facultades de organización y control dentro de la misma. Por otro lado, puede ser una de las personas de la letra a) que al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la persona jurídica. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado. Finalmente, si el oficial de cumplimiento omite sus obligaciones de control, la persona jurídica en ningún caso quedará exenta de responsabilidad penal (condición 4ª del art. 31 bis 2). La exposición personal al riesgo penal del oficial de cumplimiento no es superior a la de otros directivos de la persona jurídica.Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones, puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos, especialmente dada su responsabilidad en relación con la gestión del canal de denuncias y siempre que la denuncia se refiera a hechos que se están cometiendo y que, por tanto, el oficial de cumplimiento pueda impedir con su actuación".
- En las pequeñas empresas las funciones del oficial de cumplimiento las puede desempeñar directamente el órgano de administración. Pero se mantiene, la obligación de adoptar los modelos de organización y gestión, con los requisitos contemplados en el apartado 5. Y las características de los modelos de organización y control de estas personas jurídicas de pequeñas dimensiones deberán acomodarse a su propia estructura organizativa.
- Subraya la importancia de el anonimato en los canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa. Estableciendo así una regulación protectora para el denunciante ( whistleblower), garantizando que no sufra represalias. Pero no concreta como hacerlo.
- Establece además 9 puntos para valorar la eficacia de los programas de Compliance (que en otra entrada analizaremos).
Podría continuar buen rato más pero creo que esto ya ha quedado bastante largo. Otro día continuamos otro rato.
No hay comentarios:
Publicar un comentario