GuíaBurros: Compliance E-Book

Introducción

El mundo de los negocios y de las empresas está cada vez más regulado por un conjunto de normas nacionales e internacionales que no para de crecer y de actualizarse. La necesidad de controlar el cumplimiento de toda esa normativa y evitar las malas praxis (lo que se puede traducir como un actuar negativo o insuficiente) que llevan a la imposición de sanciones, conduce definitivamente a las empresas a prevenir los riesgos legales que conlleva su actividad, cuidando así no solo de su buena marcha y éxito de sus actividades de negocio, sino también de su reputación, que tan importante es salvaguardar para no perder clientes.

De otro lado, se han producido una multitud de sucesos de corrupción política y económica en las que se han visto envueltas muchas empresas, situación esta que hace necesario controlar los procedimientos de control de cumplimiento normativo, y alimentar a las empresas en la intención de desarrollar su actividad con arreglo no solo a la normativa, sino también a la ética, a la honestidad y a la transparencia.

Estos dos fenómenos, la complejidad del conjunto normativo y el elevado número de casos de corrupción con las consecuentes pérdidas de empleo de sus trabajadores y de expectativas de negocio para sus accionistas y proveedores, han propiciado la creación de unos protocolos de prevención como el arma más idónea para evitar el incumplimiento del ordenamiento jurídico y en general las malas prácticas: el compliance, o más bien, las distintas clases de compliance, pues para cada área podríamos hablar de compliance tributario y fiscal, penal, laboral, etc.

Qué es el compliance o cumplimiento normativo

La vida de las empresas atraviesa diversas etapas y vicisitudes en el desarrollo de su actividad. Esta actividad no está exenta de riesgos legales a los que tienen que enfrentarse y que pueden ser generados por la actividad de los trabajadores, los directores y demás personas que cooperan con la empresa para obtener su fin social.

El cumplimiento normativo o compliance es el remedio para que todos los que participan en el proceso productivo eviten los riesgos que puedan producirse, haciéndoles cumplir todas las normas legales, para lo que se crean mecanismos idóneos de prevención.

Con la implantación del compliance se trata de hacer un esquema detallado de la estructura de la empresa y de su actividad, e identificar los riesgos en los que podemos incurrir en el desarrollo de nuestra actividad. Así, el compliance se compondrá de un conjunto de mecanismos, herramientas y procesos de control para evitar (o al menos paliar) aquellos riesgos, y de este modo prevenir la comisión de un delito o un incumplimiento normativo de cualquier orden, evitando la condena penal, las multas, indemnizaciones, sanciones administrativas, condena de cierre de local, pérdida de reputación, etc.

En España aún no es obligatoria la implantación del compliance, pero sin embargo, las grandes compañías ya llevan varios años creando los controles y las herramientas de gestión en sus empresas, generalmente a través de una persona o un equipo de personas.

Ciertamente, a partir de la modificación del código penal en el año 2010, la Ley Orgánica 1/2015, en las que se estableció primero y se afianzó después la responsabilidad penal de las personas jurídicas con la inclusión del programa de compliance, la Directiva 1/2016 de la Fiscalía General del Estado que potencia la existencia de canales de denuncias, y la Directiva 1937/2019, que protege a los denunciantes de las posibles represalias, ha propiciado que muchas empresas vean la necesidad de tener constituido un programa de compliance para el debido cumplimiento del ordenamiento jurídico, y evitar las cuantiosas sanciones inherentes a los procedimientos penales.

Naturalmente, no solo la responsabilidad penal de las empresas es el motivo por el que las empresas se preocupan de desarrollar programas de compliance, puesto que hay otras materias que conviven diariamente con el hacer empresarial, tales como la Ley Orgánica de Protección de Datos, la normativa sobre la competencia, la correspondiente a la normativa sobre la información y de los consumidores y usuarios y la referente al comercio electrónico, entre otras. Es fundamental que todos los integrantes de la empresa, cumplan, no solo con el ordenamiento jurídico, como es obvio, sino también con los códigos éticos que puedan implantar las empresas con sus proveedores y clientes, entendiendo como código ético de una empresa aquel conjunto de “normas” o directrices que redacta y recoge aquella con el fin de marcar y regular todos los comportamientos de las personas que forman parte de la organización.

A modo de ejemplo y con el fin de que se entienda qué es un código ético, resaltamos el de Apple, por ser una empresa que todo el mundo conoce y el cual recoge lo siguiente: “Apple exige a sus proveedores que ofrezcan condiciones de trabajo seguras, traten a sus trabajadores con dignidad y respecto, actúen de forma justa y ética, y sigan prácticas responsables en términos medioambientales donde fabriquen productos o realicen servicios para Apple1”.

¿Y quién hace que este sistema del compliance funcione?

El oficial del cumplimiento en la empresa o compliance officer es una figura nueva y cada vez más extendida en el tejido empresarial, seguramente porque cada vez es más necesario asegurar el cumplimiento del conjunto de las normas que regulan la vida de la empresa en todas sus facetas, prevenir riesgos y malas praxis, aunque es importante decir que la legislación española no recoge esta figura (lo que sí hacen muchas legislaciones extranjeras donde el compliance está mucho más regulado y avanzado, más que nada porque fue donde el compliance nació, mientras que España ha importado esta figura por la necesidad de dejar dotadas también a sus empresas de una seguridad jurídica, principalmente por la gran internacionalización de los negocios de hoy en día y por el gran número de empresas extranjeras con sede en España).

La tarea del compliance officer implica la supervisión, vigilancia y control de todos los integrantes de la empresa, así como del consejo de administración u órganos directivos, asesorándolos para que se cumpla con toda la normativa, evitando riesgos con los controles de prevención que se establezcan, e imponiendo el cumplimiento de las obligaciones y protocolos acordados.

Es importante resaltar que el compliance officer tiene una gran responsabilidad, hasta el punto de que existen ya algunas sentencias que sancionan por incumplimiento de su responsabilidad al compliance officer.

Como no podría ser de otra forma, para que el compliance officer pueda actuar correctamente debe tener autonomía dentro de la empresa y un poder tal que pueda tomar decisiones que impliquen un cambio de rumbo de la empresa. Si fuera de otra forma, no se vería libre de poder exponer que se está empezando a elaborar un delito dentro de la empresa, por ejemplo. Así, al igual que un responsable de prevención de riesgos laborales, que debe tener cierta libertad para exponer puntos a mejorar o desarrollar en la empresa en cuanto a seguridad de los trabajadores, el compliance officer debe tener así mismo esa independencia, pero también el poder para hacer los cambios necesarios. No olvidemos que, en ocasiones, esos cambios deben ser inmediatos porque a veces se detectan delitos cuando estos ya están muy avanzados en su comisión y es necesario tomar cartas en el asunto a la mayor brevedad y sin dilación alguna, con el fin de evitar —o al menos paliar— la responsabilidad de la empresa en la comisión de ese delito. Esta figura, por lo general, también se ocupa de la formación de los trabajadores, de investigar una posible comisión de un delito e incluso de proponer sanciones a aquel trabajador que haya incumplido…

1. Si el lector tiene interés en conocer un poco más qué son los códigos éticos de las empresas, los puede buscar en Internet, ya que en principio dichos códigos son publicados por las empresas como un medio más de publicidad, haciendo valer normalmente su respeto a los derechos de los trabajadores, al medio ambiente y a sus clientes, además de otras actuaciones consideradas respetuosas con toda la cadena de producción, incluso en cuanto a sus proveedores y colaboradores. Esto es así hasta el punto de que muchas empresas se obligan a que sus proveedores o subcontratas, por ejemplo, cumplan con su código ético, e incluso que tengan también uno propio para no dejar nada al azar y que su responsabilidad quede impoluta a todos los niveles.

¿Qué ventajas tiene implantar el compliance en la empresa o negocio?

Las ventajas de implantar un sistema de compliance son muchas y muy importantes. Si implantamos un sistema para gestionar el cumplimiento del ordenamiento jurídico en todas sus diversas facetas —laboral, penal, administrativo, fiscal, etc., así como (¿por qué no?) de los códigos éticos— evitaremos malas prácticas, tanto de empleados como de personal de dirección; con ello conseguiremos la exención de la responsabilidad penal de la empresa, incluso exonerando a esta de una sanción de índole penal, reputacional…, o logrando atenuarla. Al mismo tiempo evitaremos cometer errores, evitando las sanciones de índole administrativa, en especial las de la normativa de la ley y el reglamento general de protección de datos.

El tener un buen sistema de compliance refuerza su reputación ante la administración, los clientes, los inversionistas, los proveedores, y facilita su expansión ordenada en el mercado, ayudando a obtener con más facilidad vías de financiación. Así mismo, es obvio que la empresa estará mejor considerada por sus proveedores y clientes, al gozar de más confianza, con lo que será más competitiva y tendrá ventaja si ha de concurrir a concursos públicos y licitar con otras empresas que carezcan de un sistema de compliance. Aunque las pymes o pequeñas empresas, además de los autónomos, no tienen obligación de tener un sistema de compliance, deberán conocer qué es y cómo funciona un sistema de compliance, y en muchos casos deberán contar con un buen cumplimiento normativo en el caso de que quieran contratar con grandes empresas, porque puede que les impongan pasar por este filtro para formalizar su relación comercial.

Así, implantar un sistema de compliance evita que los partícipes en la empresa, ya sean trabajadores o directivos, puedan incumplir la normativa y las directrices internas.

El sistema de compliance refuerza su reputación ante la administración, los clientes, los inversionistas, y los proveedores, y facilita su expansión ordenada en el mercado, ayudando a obtener con más facilidad vías de financiación.

El compliance facilita las relaciones comerciales con otras compañías que ya hayan implantado un sistema de compliance similar, ayudando así a la extensión empresarial.

Naturalmente, para obtener estos beneficios y ventajas tendremos que realizar previamente un estudio de la actividad de la empresa y un mapa de los riesgos que esa actividad pueda generar en el ordenamiento jurídico, estableciéndolos con claridad y detalle.

Una vez se obtenga el mapa completo de los riesgos de la actividad, tendremos que establecer los sistemas y protocolos para evitarlos, y un responsable dentro de la empresa para dirigir el sistema, mantenerlo vigente y formar e informar a trabajadores y directivos sobre el cumplimiento del ordenamiento jurídico y las normas internas de la empresa.

Mención especial merece el compliance penal.

Como hemos venido diciendo, se trata de dar cumplimiento al ordenamiento jurídico, en este caso específicamente a la legislación penal, evitando a través del establecimiento de protocolos, normativa interna, códigos éticos, procedimientos sancionadores, canales de denuncia y programas de prevención y formación, que los empleados puedan incurrir en la comisión de delitos, evitando así mismo las consecuentes perdidas económicas, de imagen, de reputación y confianza de clientes y proveedores.

Se trata en definitiva de cumplir con el ordenamiento jurídico para evitar la responsabilidad penal de la empresa como persona jurídica, así como los perjuicios derivados del incumplimiento, tales como sanciones penales, multas, cese de actividad, etc. Los empleados de la empresa serán individualmente responsables penalmente, y si el ilícito penal cometido es uno por el cual responde la empresa, esta, para eludir su responsabilidad penal, tendrá que acreditar que cuenta con un sistema de compliance idóneo y suficientemente eficaz.

Antes de la reforma del código penal del año 2010, no existía en el texto medida alguna para extender la responsabilidad penal a los trabajadores de la empresa, y exonerar consecuentemente a las empresas.

La Ley Orgánica 5/2010 implantó en nuestro ordenamiento jurídico la responsabilidad penal de la personas jurídicas, básicamente para intentar combatir los delitos de corrupción económica al tiempo de acercar nuestra legislación al resto de países desarrollados.

La Ley Orgánica 1/2015 incorporó la mejor técnica en la regulación de la responsabilidad penal de las personas jurídicas, aclarando el modelo establecido en el año 2010 que consagraba una responsabilidad directa o autónoma de la persona jurídica.

Las modificaciones incorporadas en el código penal, más concretamente en el artículo 31 bis y la regulación completa de los modelos de organización y gestión cuyo cumplimiento puede exonerar la responsabilidad penal de la persona jurídica, obligó a la Fiscalía General del Estado a interpretar el alcance de la normativa contenida en el Código Penal.

Efectivamente, la reforma se centra en la redacción dada al artículo 31 bis de Código Penal, que establece que “las personas jurídicas serán penalmente responsables: a) de los delitos cometidos en nombre o por cuenta de las mismas y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente como integrantes de un órgano de la persona jurídica están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de las misma”. Añade el citado artículo en su apartado b), que también las personas jurídicas serán penalmente responsables, “de los delitos cometidos en el ejercicio de las actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes estando sometidos a la autoridad de las persona físicas mencionadas en el párrafo anterior han podido realizar los hechos por haberse incumplido gravemente por aquellos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso”.

Si el fundamento de la imputación es la defectuosa organización societaria y esta se configura como elemento del tipo o define su culpabilidad, la acusación deberá probar, además de la comisión del delito por las personas físicas, que la infracción se ha cometido como consecuencia del ineficiente control de la persona jurídica. Por otro lado, si la imputación de la persona jurídica se basa en la conducta delictiva de sus dirigentes o en el incumplimiento de sus obligaciones de control sobre los subordinados, esto será lo único que deba probar la acusación.

La gerencia de la empresas, los consejos de administración, etc., están obligados a constituir en sus empresas sistemas de compliance, y si incumplieran esa obligación, si la sociedad fuera responsable penal de algún delito cometido en su ámbito empresarial, habrán de responder frente a sus socios y accionistas. Es por ello que los programas de control constituyen una referencia para medir las obligaciones de las personas físicas con mayores responsabilidades en la corporación como indicaba la circular 1/2011, pero será la persona jurídica la que deberá acreditar que tales programas eran eficaces para prevenir el delito.

A partir de la Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal efectuada por la Ley Orgánica 1/2015, las certificaciones conforme a la norma ►UNE 19601 sobre la idoneidad del modelo de prevención de delitos expedidas por empresas certificadoras, pueden constituir un eximente de la responsabilidad penal de la empresa.

La reforma del artículo 31 bis no altera el sistema establecido en el año 2010 de supeditar la responsabilidad penal de la persona jurídica a su expresa previsión en los correspondientes tipos de la parte especial del Código. Tras la reforma, la responsabilidad de las personas jurídicas se circunscribe al siguiente catálogo de delitos del Código Penal, al que hay que añadir el delito de contrabando, conforme dispone el art. 2.6 de la LO 12/1995, de 12 de diciembre, de represión del contrabando, modificada por la LO 6/2011:

Las personas jurídicas responden de 34 delitos, y más allá de estos, solo puede haber responsabilidad penal de las personas físicas.