¿Cumplimiento Normativo como autorregulación?

¿Debe considerarse en España un Programa de Cumplimiento Normativo como una forma de autorregulación? Coincido con Ivó Coca Vila[1] en la respuesta: No. ¿Por qué? Coca lo explica nítidamente: “El Derecho Penal no puede resistir en modo alguno su integración directa a partir de sistemas normativos privados”. Es decir, “el Derecho penal sólo puede emanar del Estado”, por lo que una regulación privada o interna lo que aportaría sería una disolución de la pena en “un sistema en el que los sujetos privados deciden qué es y qué no es delito y en donde el reproche inherente a aquélla se evapora sin más en un sistema sancionatorio regido por el principio de oportunidad”. El autor piensa que ni tan siquiera es “susceptible de legitimación un sistema sancionatorio administrativo en el que la realización de las infracciones y su castigo dependa de sistemas regulatorios privados, al menos, tal y como se ha configurado el papel del Estado en los procesos de autorregulación” del Código Penal español. No puedo estar más de acuerdo.

La respuesta anterior sirve para fraguar la contestación a la cuestión: ¿Corporate Compliance en España como forma de autorregulación? A la vista de los últimos ajustes y reformas de la Ley Penal española, opino que el legislador español pone tierra de por medio respecto a una posible autorregulación en materia de responsabilidad penal de las personas jurídicas. Siguiendo a Coca Vila, ni el Estado español “pretende colaborar en dichos procesos” de autorregulación, “ni ha previsto marcos generales sobre los que la empresa pueda” autorregularse, “ni, en definitiva, otorga efectos jurídicos a sistemas privados de gestión de riesgos”. En opinión de Ivó, “el único parámetro orientativo que se ha molestado en prefijar es que los programas deben ser eficaces”. Por lo anterior, cabe concluir que los programas de cumplimiento no es una forma de autorregulación penal, mal que les pese a intereses consultores privados liderados por algunas entidades de certificación y asociaciones o corporaciones profesionales.

Llegados a este punto, cabe preguntarse si el legislador español, de alguna manera, exige al tejido empresarial la implantación y ejecución de un corporate compliance y he llegado a la conclusión que un programa de cumplimiento no es un sistema de autorregulación de la empresa: ¿qué es desde la óptica jurídica? Coca Vila responde que el programa de cumplimiento es realmente Derecho estatal, ya que “lo que se busca es que sea la propia empresa la que asuma los importantes costes de interpretar y concretar” ese Derecho, “positivizándolo en un cuerpo pseudo-normativo”. Dicho de otra forma, “los programas de Cumplimiento son la herramienta fundamental para la positivización[2] de las medidas necesarias” de cara a cumplir con el Derecho Penal, otorgando a la empresa “incentivos” para que “formule” “cómo se organiza, señalando cuáles son los riesgos que corre y cómo va a prevenirlos” (Fuente de la imagen: pixabay). 

________________________________________________________

[1] Coca Vila, Ivó. ¿Programas de Cumplimiento como forma de autorregulación regulada? En: Criminalidad de empresa y compliance. Prevención y reacciones corporativas. Jesús María Silva Sánchez (Director) (pp. 43-73). Barcelona: Atelier. 2013 

[2] Dar carácter positivo.

Cómo elegir una buena formación en Compliance

Fuente de la imagen: mvc archivo propio

Si eres follower de este sitio, conoces que en España las personas jurídicas son sujetos del Derecho Penal desde diciembre de 2010, por lo que pueden pasar por las horcas caudinas de un proceso penal y, por derivación, ser condenadas a penas considerables. Como consecuencia de lo anterior, las sociedades mercantiles y otras entidades jurídicas se encuentran expuestas sobremanera a todas las consecuencias que se derivan de un proceso penal. Con la entrada de la reciente Ley 1/2015 de 30 de marzo de reforma del Código Penal, en vigor el 1 julio de 2015, han proliferado por doquier cursos, jornadas e incluso congresos, organizados por entidades variopintas, desde instituciones universitarias, hasta colegios profesionales, pasando por bufetes de abogados, consultoras, escuelas de negocio y otros centros de formación, ofreciendo el conocimiento en las modalidades presenciales y on line. Todo eso está muy bien siempre que la enseñanza que se ofrezca sea de calidad, por lo que el perfil de los docentes, profesores, tutores y ponentes es fundamental. En este año transcurrido desde la entrada en vigor de la última Reforma del Código Penal, nos hemos encontrado de todo, desde congresos nacionales plagados exclusivamente de magistrados hasta cursos de formación organizados por despachos donde sus socios ponen relativos "cachés" y son impartidos on line por auxiliares. 

A la hora de elegir una formación en esta materia, hay que escrutar con alma de Sherlock Holmes el plan de estudio, que entiendo debe ser eminentemente práctico, la metodología, en directo y en diferido, y el claustro de profesores. En este último apartado, es un valor siempre que dicha relación contenga algún magistrado pero no deben ser exclusivamente profesionales de la carrera judicial, puesto que entonces la visión será parcial, ni tienen por qué ser “jueces estrella”. El valor del claustro se encuentra en perfiles especializados en Derecho, Economía o Empresa, y si disponen de doble titulación mejor, junto a una experiencia contrastada. Los perfiles directivos de grandes empresas o multinacionales son interesantes, pero téngase en cuenta que el altísimo porcentaje de PYMEs en el país de referencia exige el profundo conocimiento de ese tejido empresarial específico, por lo que aquellos perfiles que trabajan en la mediana o pequeña empresa, ya sea en sus equipos directos o como staffs, aportarán un grado en la formación que será valorado por el alumnado. Igualmente, se apreciará si el ponente ha publicado sobre cumplimiento normativo.

Por lo anterior, el claustro no tiene que ser extensísimo y sí cualitativamente importante desde la practicidad. ¡Ojo! Porque se suele utilizar una larga relación de “figuras” para enganchar la contratación del alumnado. En muchos casos, estos fichajes estrella o no aparecen, porque actúan de consejo asesor del máster, experto, curso, jornadas o congresos, o dan una clase magistral y “punto pelota”. Lo que necesita el participante es que se le enseñe a realizar un corporate compliance, a analizar los riesgos, a poner en marcha el programa… Práctica, práctica y más práctica, puesto que la teoría ya se sabe donde está. En este sentido, profesionales con experiencia en la implantación y seguimiento de estos programas, con formación reglada en Derecho, Economía, Empresariales, valorándose dobles titulaciones y experticias previas en Compliance, son los más recomendados. Y si se acompaña de un miembro de la carrera judicial también conocedor de estas lides, tendremos un equipo docente, formado por dos o, a lo sumo, tres profesores, de primerísima calidad. ¡Ah! No olvidar que también tienen que disponer de madera de formador, condición en todo caso necesaria.

Ejemplo de Política de Compliance

En 2010 editábamos el texto “Política de Compliance”, donde se describía lo que entendíamos como política de compliance en el marco del cumplimiento normativo. Aportamos hoy un ejemplo de redacción (Fuente de la imagen: pixabay).

Ejemplo de Código Ético

En 2011 editábamos el texto “El código Ético del Compliance”, donde se describía lo que entendíamos como código ético en el marco del cumplimiento normativo. Aportamos hoy un ejemplo de redacción (Fuente de la imagen: pixabay).

Ejemplo de Corporate Compliance

A continuación se ofrece el índice de un ejemplo de confección de una propuesta de Corporate Compliance, plan de prevención que contiene los elementos esenciales de un Compliance, dentro de los cuales se cuentan la evaluación de riesgos penales, los procedimientos de prevención, la figura del Compliance Officer y sus atribuciones en el caso concreto, el establecimiento de los cauces adecuados de información entre el Compliance Officer y los demás integrantes de la organización (Fuente de la imagen: pixabay).

Después de la descripción de la situación de hecho, que contiene los antecedentes así como la justificación del Corporate Compliance y de la delineación del ámbito de análisis y actuación, con la concreción del objetivo, la planificación de actuaciones, los recursos humanos y técnicos para la elaboración de la propuesta y la temporalización de la realización del entregable, se procede a la elaboración de la propuesta de Plan de Prevención de Riesgos Penales, que consta de ocho apartados: contexto de riesgos, descripción de la actividad la empresa, identificación de riesgos, evaluación de riesgos, procedimientos de prevención, el oficial de cumplimiento o compliance officer, el plan de formación y los cauces de información entre compliance, organización y entorno.

En Descripción de la Actividad, se cuenta la tipología de empresa, las partes interesadas, la política comercial, las áreas de actividad, los canales de distribución, el ámbito territorial de actuación, las relaciones con la Administración Pública, la calidad y Mejora Continua, el proceso productivo, los flujos económicos y divisiones involucradas, la estructura organizativa, datos económicos y financieros y el entorno regulatorio. En el capítulo de Identificación de Riesgos, se identifican los Riesgos Comerciales, de la División de Recursos Humanos, los Sistemas de Información, Legal/Auditoría y División Financiera. Seguidamente se entra en la fase de Evaluación de Riesgos, con el Análisis individual de cada riesgo y el preceptivo Mapa de riesgos. En cuanto a los Procedimientos de Prevención, se trabaja en los Mecanismos de control vigentes, Código Ético y la Política de Compliance. 

En el apartado Oficial de Cumplimiento, se acota el concepto jurídico para después describir el puesto de Compliance Officer y detallar las funciones del puesto. En el apartado Plan de Formación, se argumenta su finalidad, formalización y modalidad de Impartición, Comunicación y Concienciación y Sensibilización. En el punto Cauces de información entre Compliance, Organización y Entorno, se describe la comunicación Interna, el Canal de información y el Procedimiento general de denuncias. Para terminar, se acompaña en el apartado Anexos contenido de los cuestionarios, material de trabajo de cálculo de riesgos, así como unas propuestas de redacción de Código Ético y Política de Compliance.

Compliance Officer y Delegado de Protección de Datos

Recientemente, se han publicado en el Diario Oficial de la Unión Europea dos normativas en materia de Protección de Datos Personales. Por un lado, el REGLAMENTO (UE) 2016/679 del PARLAMENTO EUROPEO y del CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE Reglamento general de protección de datos (si quieres acceder al documento, clickea AQUÍ). Y por otro, la DIRECTIVA (UE) 2016/680 del PARLAMENTO EUROPEO y del CONSEJO de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (si quieres acceder al documento clickea AQUÍ). 

Con este nuevo escenario europeo de protección de datos, la Unión Europea pretende unificar y modernizar la normativa sobre protección de datos, reforzando el control de la ciudadanía sobre sus datos personales y al tejido empresarial cultivar al máximo las congruencias de un mercado único, sujetando los trámites burocráticos y favoreciéndose de una mayor confianza de los interesados. El alcance del Reglamento es general y su eficacia inmediata, aplicándose directamente pero entiendo que en convivencia con la todavía vigente Ley Orgánica de Protección de Datos (LOPD), en el ámbito español. Ya en el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos española (LOPD) se definía el “responsable de seguridad” como la persona encargada de coordinar y controlar el cumplimiento de las medidas de seguridad contempladas en el Documento de Seguridad. 

El nuevo Reglamento (UE) 2016/679 define el “delegado de protección de datos” como la persona que dispone de cualidades profesionales, en específico, conocimiento experto de la Ley, práctica en protección de datos personales y capacidad de cumplir con las actividades asignadas, debiendo ser capaz de demostrar el cumplimiento que rigen el tratamiento de los datos. Son funciones de este nuevo perfil profesional en materia de protección de datos, la información y el asesoramiento al responsable o encargado de sus obligaciones, actuar de interlocutor ante la Agencia Española de Protección de Datos (AEPD), supervisar el cumplimiento del Reglamento, la implementación y aplicación de las políticas y del Reglamento, la formación de los colaboradores, las auditorías que procedan, información de los interesados y las solicitudes de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), asesoramiento en la realización de la Evaluación de Impacto en la Protección de Datos (PIA), presentación de solicitudes de autorización o consulta previas así como la respuesta a las solicitudes de la autoridad de control, prestando en todo momento su cooperación. 

En cuanto a la oportunidad de esta figura, será necesaria ante el tratamiento realizado por una autoridad u organismo público (a excepción de los tribunales que actúan a título judicial), para actividades básicas de tratamientos que, en virtud de su naturaleza, alcance o sus efectos requieran un seguimiento regular y sistemático de los interesados a gran escala o de categorías especiales de datos. Cabe preguntarse si el delegado de protección de datos debe encontrarse en la plantilla de la institución (personal propio) o ser un tercero prestador de esos servicios. En mi opinión, puede estar en plantilla o ser un tercero, incluso ante un grupo de empresas o corporación empresarial, podría ser común a todos sus miembros. Lo que sí se debe cumplir es que sea una figura independiente y que reporte a la Dirección. Finalmente, también cabría plantearse si las funciones del delegado de protección de datos, pueden ser absorbidas por el Oficial de Cumplimiento o Compliance Officer de una institución. Si meditamos las funciones desgranadas en el párrafo anterior, la respuesta no puede ser otra que afirmativa (Fuente de la imagen: pixabay).

Compliance y Regalos de Empresa

Qué son los regalos y las invitaciones de proveedores, acreedores… de una empresa: ¿cortesía o corrupción? Algunos expertos apuntan que dependiendo de la intencionalidad del que lo realiza, será educación o soborno. Obviamente, esos pequeños obsequios o agasajos que se reciben de terceros en fechas señaladas, podrían considerarse detalles de trato, cultura o simple urbanidad. Sin embargo, coincido con aquellos versados en estas lides que sentencian que cualquier presente, dádiva… que pretendan realizarte con la intención de obtener algo a cambio, es un soborno en toda regla, con independencia de si es un ramo de flores, un bolso de la firma vuitton, un viaje a las Bahamas o un jaguar (por poner algunos ejemplos desgraciadamente tan actuales en mi país) y por más que se pretenda argumentar lo contrario. En todo caso, a veces, si no se regulan estas políticas, puede surgir la arbitrariedad de la frontera que separa lo legal de lo ilegal, situación de la que también se aprovechan los de siempre.

Pero no nos hemos caído del guindo ahora, con el rosario de casos de corrupción que asola España, y también es justo reconocer que la reciprocidad de regalos entre empresas es un hábito comercial arraigado en mi país, a veces como técnica relacional para consolidar y reforzar la confianza en la actividad empresarial. Por lo anterior, no cabe duda que la política de regalos e invitaciones de la organización es un área sensible que debe contemplarse en el programa de cumplimiento normativo, valorando la costumbre pero anteponiendo siempre la ética y la moralidad y siguiendo muy de cerca los resortes de control para detectar esas actuaciones enormes y siempre inadecuadas. 

A título orientativo y no excluyente, se enumeran algunos de los aspectos riesgosos a tener en cuenta en el corporate compliance. Por ejemplo, la existencia o no de unas políticas concretas escritas y debidamente comunicadas en esta materia; censurar la práctica habitual no regulada; que dichas acciones no sólo sean legales, sino también moralmente aceptadas; valor alegórico o poco notable de los agasajos; devolución inmediata de los obsequios recibidos que no cumplan con la política de la empresa y no signifique ofensa en la cultura del oferente; no enviar agasajos que, aunque se encuentren aceptados en la política empresarial, puedan generar trances relacionales, (lo que se conoce como conflicto de intereses); etc. (Fuente de la imagen: Pixabay),

Blanqueos, abogados, compliances y secretos

El delito de blanqueo de capitales tiene prevista la responsabilidad penal de las personas jurídicas, por lo que debe formar parte de un programa de cumplimiento normativo. En opinión de Jorge, el oficial de cumplimiento debe conocer las medidas de prevención para poder crear un marco de controles adecuado a la normativa administrativa, salvando la responsabilidad a la organización. En España, la Ley 10/2010 de Prevención el Blanqueo de Capitales y la Financiación del Terrorismo, así como su desarrollo reglamentario, no sanciona la efectiva comisión de un delito, sino la falta de adopción de medidas de prevención, siendo sólo aplicable a determinados sujetos, con una extensa normativa, implicando sanciones de naturaleza administrativa y conllevando la creación de las Unidades de Inteligencia Financiera (UIFs, en España el SEPBLAC) para intercambio de información entre distintos países. Los sujetos obligados, además de identificar al cliente de manera formal, deberán tener identificados a todos los titulares reales (personas que ejerzan el control efectivo, que ostente el 25% o más de la sociedad…). 

Dentro de los sujetos obligados, me ha llamado la atención el conflicto de intereses de profesionales como son los letrados/abogados, ya que le normativa de aplicación dice explícitamente que en caso de detectarse una operación como sospechosa, deberá hacerse la comunicación al SEPBLAC, por lo que se configura una obligación de informar, junto a la abstención del sujeto obligado de ejecutar cualquier operación respecto de la que exista indicio o certeza de estar relacionada con el blanqueo, sin haber efectuado previamente la comunicación prevista en dicho artículo (con las debidas excepciones relacionadas con la posibilidad de entorpecer la persecución del delito o cuando la abstención no sea posible). Sin embargo, en aquellos casos en los que la actuación de un letrado se limite a analizar la posición jurídica de su cliente, a defenderlo en procesos judiciales o a asesorarlo sobre incoación o la forma de evitar un proceso, prima el deber de mantener el secreto profesional. Ahora bien, si lo que se solicita del abogado es su participación activa en alguna de las formas previstas en la norma (por ejemplo, realización de transacciones, constitución de entidades jurídicas…), no existe el deber del secreto profesional (Fuente de la imagen: pixabay).