actualidad cumplen

Compliance Penal y seguridad jurídica.

Por María Ana Fernández de Prada Alfín, abogada especialista en Compliance

 

El pasado mes de marzo, con motivo de la celebración del III Encuentro de la Asociación de Profesionales de Cumplimiento Normativo (CUMPLEN), al cual tuve el gusto y la suerte de asistir, recibí información sobre futuras iniciativas normativas de interés, en relación al mundo del Compliance –expuestas, en el citado evento, por una Autoridad representante del Ministerio de Justicia– y cuya aprobación estaba prevista para un futuro próximo (escribo “estaba”, por cuanto todavía no se había producido el conocido cambio de Gobierno en España; ignoro, pues, qué sucederá al respecto, a partir de ahora). Me llamó poderosamente la atención el hecho de que, entre ellas, no figurara ni una sola dirigida a proporcionar seguridad jurídica –en el ámbito, sobre todo, del Compliance Penal–, tanto a las personas jurídicas, respecto a su información de Compliance, como a los profesionales pertenecientes al ámbito del Cumplimiento Normativo, con especial mención de los llamados compliance officers.

Esta situación me parece seriamente preocupante, pues, aunque en repetidas ocasiones he oído decir y he leído que el Compliance Penal ha venido a España para quedarse, yo me cuestiono seriamente si el Compliance Penal, quedándose, va a ser un éxito o un fracaso. A día de hoy, dada la situación de grave inseguridad jurídica existente en el ámbito del Compliance Penal, considero –siento tener que decirlo– que este puede fracasar y sería un grave error fiar su éxito a la dureza de las penas establecidas en el Código Penal para castigar a las personas jurídicas (no hay más que observar lo que sucede respecto a las personas físicas: se siguen cometiendo delitos por parte de personas físicas, con independencia de la mayor o menor dureza de las penas aplicables a ellas). Más aún, en mi opinión, si el Compliance Penal no ha fracasado ya ha sido, en buena medida, gracias a la actitud positiva de no pocas empresas en relación a él y a la valentía –de momento– de los profesionales de Cumplimiento Normativo, con especial mención, nuevamente, de los compliance officers que trabajan en el seno de las compañías y que son quienes se encuentran en posición más precaria, en términos de inseguridad jurídica y desprotección. Una situación, a mi entender, insostenible.

 

No es mi intención, créanme, generar un halo de pesimismo en torno al Compliance Penal. Antes al contrario, lo que deseo es, modestamente, ayudar, en la medida que me resulte posible, a que el Compliance triunfe en España, ya que comparto que ha venido para quedarse y puede contribuir muy positivamente a elevar el nivel ético y de cumplimiento en nuestro país, que es algo altamente deseable y beneficioso para todos. Precisamente por ello me ha parecido necesario plantear la situación actual con realismo, y deseo exponer una serie de consideraciones sobre Compliance Penal y la necesidad urgente de que nuestros Legisladores completen su actual e insuficiente –siento decirlo– regulación y aporten al mismo la tan necesaria seguridad jurídica, de la que hoy carece. Concretamente, en lo que resta de artículo explicaré la necesidad de que el Legislador proteja al máximo la información de Compliance de las personas jurídicas, dejando para un próximo artículo el análisis de la figura del compliance officer.

 

Lo primero que procede, pues, es determinar con exactitud qué es, en nuestro ordenamiento jurídico, el Compliance Penal. Tal como está regulado en el artículo 31 bis y siguientes del Código Penal, el Compliance Penal consiste en la oportunidad que el Legislador otorga a las personas jurídicas, para que, mediante la prevención, en el ámbito de su actividad, de los delitos imputables a ellas, puedan acogerse a una eximente o, en su caso, a una atenuante de responsabilidad criminal, en el supuesto de que tuviera lugar la comisión de algún o algunos de tales delitos. De este modo, el Código Penal contempla y regula el Compliance por y para las personas jurídicas, en interés de ellas y sólo de ellas. El Compliance, pues, no posee la menor finalidad ni función pública; ni es, en términos estrictos, de interés público, aun cuando sus efectos, al fin y a la postre, puedan resultar beneficiosos para la sociedad. El Compliance, en sí mismo, es de riguroso interés privado.

 

De este modo, el Código Penal deja constancia del carácter voluntario que el Compliance tiene para las personas jurídicas (hasta el punto de que, durante la

tramitación, en las Cortes Generales, de la Ley Orgánica 1/2015, de 30 de marzo, que modificó el Código Penal, se eliminó la consideración como delito de la falta de implantación del Compliance en las empresas que, en un principio, había sido incluida en el proyecto de la citada ley), lo cual me parece un acierto por parte del Legislador, ya que, para que el Compliance tenga éxito en el seno de una empresa (u otras entidades que también puedan tener responsabilidad penal, aunque, permítanme que haga referencia, ante todo, a las compañías mercantiles), necesariamente ha de ser voluntario.

 

El Compliance triunfará en la actividad de las empresas, en la medida en que éstas, verdaderamente, deseen tener implantado en su seno el sistema de prevención de riesgos penales regulado en el artículo 31 bis del Código Penal. Un Compliance forzoso, al fin y a la postre, no podría funcionar. Paso a explicar por qué.

 

La herramienta fundamental de trabajo, en un sistema de Compliance, que está muy por encima de ninguna otra, es la información veraz acerca de la actividad de la empresa. La detección de los riesgos penales en el ámbito de la actividad de una compañía y su adecuada prevención sólo es posible si el personal de la empresa, a todos los niveles y cada uno en la medida que le corresponda, proporciona a los profesionales de Cumplimiento Normativo que diseñen el modelo de Compliance (o sistema de gestión, si prefieren) o que lo actualicen y cuyo cumplimiento supervisen, la información necesaria para ello. Esta cuestión es tan sumamente importante que, de hecho, si el flujo constante de información desde las direcciones o servicios de una empresa hacia su departamento de Compliance se detuviera, sea cual fuere la razón de ello, éste último se quedaría, literalmente, parado. No podría trabajar en absoluto.

 

La fuente de información útil para la labor de Compliance, pues, reside en los directivos y restantes trabajadores de la empresa, a través de las entrevistas y consultas que el profesional de Cumplimiento Normativo realiza, cotidianamente con ellos y ellos, en su caso, con él (nótese que no incluyo, en este caso, el canal de denuncias, el cual facilita conocer la existencia de hipotéticas incidencias puntuales de Compliance, pero no sirve para recabar información, habitualmente, sobre la actividad de la empresa y sus riesgos y medidas preventivas). De este modo, para que al profesional de Compliance -sea el compliance officer, sea un asesor externo– se le proporcione tal información, es imprescindible que sea contemplado por los directivos y resto de empleados de la compañía como lo que es, como lo que debe ser: Un compañero más y una ayuda, para ellos y para la empresa. Esto es algo que el profesional de Cumplimiento debe lograr, en buena medida, por sí mismo y que no se puede forzar en absoluto, como es evidente. Por ello, si la herramienta fundamental de Compliance es la información veraz, la base esencial de todo sistema de Compliance, que se ha de proteger y cuidar al máximo, es la relación de confianza entre los miembros de la empresa y los profesionales de Cumplimiento Normativo, con especial mención de los compliance officers. La confianza es lo que hace posible que el personal de la empresa “se abra” al profesional de Cumplimiento Normativo, bien con el objeto de proporcionarle la información veraz que necesita para su labor, bien para dejarse asesorar por él (esto es especialmente importante, en el caso de los administradores y órganos directivos de las compañías).

 

Con objeto de lograr, pues, el buen fin de la función de Compliance, es absolutamente necesario que la confidencialidad de la información perteneciente a las personas jurídicas acerca de sus riesgos penales y su prevención sea protegida legalmente y de modo absoluto, esto es, frente a terceros, pertenezcan estos al ámbito público o al privado, incluyendo también, por tanto, a todo tipo de autoridades y funcionarios públicos. Debe proporcionarse una absoluta tranquilidad a las personas jurídicas, en relación a la seguridad de su información de Compliance, a la que absolutamente nadie debe poder acceder sin su consentimiento. Incluso dentro de las propias compañías, la información de Compliance debe ser gestionada con prudencia y precaución por parte de los profesionales de Cumplimiento Normativo, de modo que acceda a ella, en cada momento, únicamente quien deba acceder, según los casos. No se debe olvidar nunca que el Compliance es y debe ser voluntario, por lo que resulta preciso proporcionar una total seguridad jurídica a las personas jurídicas, en el sentido expuesto.

 

Asimismo y en consecuencia, para proteger y garantizar al máximo la confidencialidad de la información de Compliance y la antedicha relación de confianza entre el personal de las empresas y los profesionales que presten algún servicio relacionado con el Cumplimiento Normativo, es imprescindible sujetar a estos últimos a secreto profesional; no sólo a los asesores externos en materia de Compliance, sino también a los compliance officers internos de las compañías, a quienes gestionen programas, bases de datos y servidores externos que contengan información sobre riesgos penales de las empresas y su prevención y a quienes efectúen labores de auditoría de sistemas de Compliance y/o de la actuación del compliance officer en el ejercicio de su cargo. Lo que conlleva, además, la lógica necesidad de proteger legal y totalmente, frente a todos, aquellas herramientas de trabajo de los profesionales de Compliance que contengan información sobre riesgos penales y su prevención.

 

Finalmente, existe otra poderosa razón que explica la necesidad de proteger de modo absoluto la información de Compliance. Consiste en la garantía, a favor de las personas jurídicas, de su derecho de defensa y restantes derechos fundamentales reconocidos en el artículo 24 de la Constitución de 1978, por cuanto la Sala de lo Penal del Tribunal Supremo ya ha dejado sentado, a nivel jurisprudencial, que las personas jurídicas deben gozar de los mismos derechos y garantías procesales que las personas físicas (algo que también considero un acierto, pues es justo que sea así). Resultaría, por tanto, extraño y contradictorio que el Estado, que ha otorgado a las personas jurídicas la oportunidad de acogerse a una eximente o, en su caso, atenuante de responsabilidad criminal a través del Compliance Penal, quisiera, al mismo tiempo, aprovechar la información de Compliance, en el ámbito del proceso penal, para perseguirlas y castigarlas (castigo que es, precisamente, lo que el Compliance intenta evitar, mediante la prevención o reducción significativa de la posibilidad de comisión de delitos imputables a las personas jurídicas). Ruego se me perdone por el atrevimiento de decirlo, pero no me parecería honesto por parte del Estado pretender algo así... Supondría, al fin y a la postre, convertir el Compliance en una trampa para las personas jurídicas, en lugar de una ayuda para ellas (que es lo que debe ser y lo que explica que las empresas estén haciendo el esfuerzo de implantar sistemas de Compliance en su seno). Tengo la esperanza de que esto no suceda y ruego, con humildad, a los tres Poderes del Estado que, cada uno en su ámbito, realice los esfuerzos que sean necesarios para evitarlo, sin dejar pasar más tiempo, en pro del éxito del Compliance en España.

 

Imagen cedida por Liam Tucker (Unsplash).