Més del 80% de les empreses catalanes no compleixen amb la Llei 2/2023
El passat dimecres dia 13 de març es complia un (1) any des que l’Oficina Antifrau de Catalunya (d’ara endavant, Oficina Antifrau o OAC) assumia les competències per a la protecció de les persones alertadores conforme a la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informen sobre infraccions normatives i de lluita contra la corrupció (d’ara endavant, Llei 2/2023 o la Llei), convertint-se així en l’Autoritat Independent autonòmica pionera a nivell estatal.
Com a Autoritat Independent, l’OAC va assumir, entre d’altres, les funcions de gestionar el canal extern de denúncies, adoptar mesures de protecció de les persones alertadores, ser el Registre dels responsables dels canals interns d’informació i exercir la potestat sancionadora.
Amb motiu del seu primer aniversari, l’OAC ha compartit un resum de les dades en relació a les seves funcions, que es detallen a continuació:
- Des que se li van atorgar aquestes competències, l’OAC ha rebut 420 denúncies, remetent 153 d’elles a entitats competents. A més, és destacable que, durant els dos (2) primers mesos de 2024, es van rebre 202 denúncies, representant un augment del 60% en comparació amb el mateix període de 2023, en què es van rebre 126.
- L’OAC també ha experimentat un augment considerable en les peticions de protecció de persones alertadores, amb un total de 35 sol·licituds rebudes des de març de 2023: 29 peticions durant l’any 2023 i 6 més fins a febrer de 2024. Aquestes mesures de protecció s’han sol·licitat principalment per persones amb vincles directes amb els fets denunciats.
- D’altra banda, en relació amb les competències de l’OAC pel que fa al Registre de responsables del Sistema Intern d’Informació (d’ara endavant, SII), s’han rebut només un total de 1.514 inscripcions fins a desembre de 2023, tant d’ens públics com privats. Això contrasta amb les dades de l’Institut d’Estadística de Catalunya, que informen que, a 1 de gener de 2023, el nombre d’empreses amb més de 50 treballadors i, per tant, subjectes a la Llei 2/2023, assolien la xifra total de 8.337.
És important recordar que l’article 8.3 de la Llei 2/2023 estableix l’obligació de notificar a l’Autoritat Independent de Protecció de l’Informant, en aquest cas, a l’OAC, el nomenament del responsable del Sistema Intern d’Informació (d’ara endavant, SII) en el termini dels deu (10) dies hàbils següents. Per consegüent, partint de la base que les empreses amb més de 50 treballadors són subjectes obligats per la Llei 2/2023, les dades suggereixen que aproximadament un 82% de les empreses catalanes no compleixen amb aquesta obligació.
En resum, la publicació de les dades per part de l’Oficina Antifrau revela la tendència de les entitats subjectes a la Llei 2/2023 a l’oblit de l’obligació de comunicar el nomenament del responsable del seu SII a l’Autoritat Independent o de complir amb les exigències de comptar amb el SII de conformitat amb la Llei 2/2023. Tot i que és cert que l’atenció sol centrar-se en l’obligació principal establerta per la Llei, que correspon amb la implementació dels sistemes interns d’informació, no es pot ignorar el conjunt de responsabilitats addicionals imposades per aquesta normativa. En aquest sentit, amb la finalitat de facilitar la implementació del Registre de responsables del SII, l’Oficina Antifrau ha posat en marxa un servei de consultes que ha atès més de 300 sol·licituds, i es proporciona informació addicional a través del seu lloc web, incloent preguntes freqüents per aclarir dubtes fonamentals.
Finalment, cal destacar que des del Departament de Compliance de Molins Defensa Penal s’ofereix l’assessorament integral en el disseny i gestió externa del SII, en concordança amb totes les obligacions aplicables; així com la intervenció en el desenvolupament d’aquest, amb la finalitat d’assegurar la correcta resolució i investigació de les possibles situacions que poguessin tenir lloc des del Departament d’Investigacions Internes.
Departament de Compliance de Molins Defensa Penal.
La funció compartida de Legal & Compliance a Espanya i als Estats Units. És possible la unificació en la mateixa persona o departament?
Tot i el llarg recorregut de la responsabilitat penal de la persona jurídica, tant als Estats Units com, en menor mesura, a Espanya, i del desenvolupament de diferents normes i estàndards autoreguladors en matèria de compliment ètic i normatiu, no existeix avui dia una obligació legal explícitament positivitzada que resolgui la problemàtica associada a la possibilitat o correcció de combinar les funcions legals i de Compliance en una mateixa persona o departament.
En aquest sentit, s’han estudiat les diferents posicions sostingudes per la normativa, les autoritats públiques, la doctrina acadèmica i els principals estàndards i marcs de referència internacionals, tant als Estats Units com a Espanya, amb la finalitat d’arribar a una conclusió que doni més llum sobre la correcta configuració de la funció de Compliance.
En primer lloc, convé analitzar de manera general les principals problemàtiques associades a la combinació de funcions legals i de Compliance que poden dificultar la persecució dels objectius que qualsevol Sistema de Compliance ha de perseguir (prevenció, detecció i reacció eficaç davant d’incompliments normatius). Aquestes problemàtiques són, entre d’altres, les següents
- Possibles conflictes d’interès;
- Col·lisió en el desenvolupament de les seves funcions (“què es pot fer” davant de “què s’ha de fer, malgrat que es pugui”);
- Pèrdua del secret advocat-client.
Amb caràcter general, tant les autoritats com la doctrina acadèmica nord-americana i espanyola en la matèria, recomanen que ambdues funcions es trobin, en la mesura del possible, separades.
D’una banda, en relació amb la normativa espanyola, el Codi Penal, a l’article 31 bis 2.2º, estableix com a requisit, als efectes d’obtenir una eximent de responsabilitat penal, que s’ha de confiar la supervisió del funcionament i del compliment del Sistema de Compliance a un òrgan de la persona jurídica amb poders autònoms d’iniciativa i control. Així també ho preveu la Fiscalia General de l’Estat que, mitjançant la Circular 1/2016 sobre la responsabilitat penal de les persones jurídiques després de la reforma del Codi Penal a través de la Llei Orgànica 1/2015, del 30 de març, estableix que, a els efectes d’assegurar els nivells màxims d’autonomia i evitar qualsevol conflicte d’interès, ha d’existir una separació operacional entre l’òrgan de govern i els integrants de la funció de Compliance.
Així doncs, a Espanya, encara que no hi ha una previsió normativa expressa que prohibeixi que la funció de Compliance i de legal recaiguin sobre una mateixa persona o departament, aquesta combinació no resulta recomanable des de la perspectiva d’assegurar la valoració com a eficaç del Sistema de Compliance.
D’altra banda, de la mateixa manera, als Estats Units tampoc no es troba positivitzada aquesta qüestió. Tot i això, la majoria de les resolucions i recomanacions d’autoritats judicials i altres autoritats públiques, com l’Office of Inspector General (OIG), s’han decantat clarament per la necessitat d’establir una separació entre els dos rols. Així, la U.S. Sentencing Guidelines 2023, al Capítol 8º determina que la funció de Compliance s’ha de delegar en individus de l’alta direcció els quals disposin de recursos i autoritat apropiats i d’accés directe als òrgans de govern.
A més, és comú que, en el marc de l’emissió, per part de l’OIG, d’un State Settlement Agreement and Release s’imposi a les companyies, com va passar amb l’acord d’integritat corporativa aconseguit per PFIZER INC. el 2009, la designació d’un Compliance Officer que reuneixi certs requisits entre els quals es destaca que no hagi de ser el General Counsel o el Chief Financial Officer, ni estar-hi subordinat.
Sembla clar, en aquest sentit, que cal concloure que la funció de Compliance i la funció de legal són complementàries, però no equivalents, comportant seriosos beneficis que ambdues funcions es trobin, en la mesura del possible, desagregades. Addicionalment, als efectes d’assegurar la col·laboració correcta entre ambdós rols, es recomana
- incloure la funció de legal en els reports de la funció de Compliance a l’òrgan de govern, sempre que no la involucrin; i
- notificar a la funció de legal aquelles qüestions que puguin suposar algun tipus de responsabilitat per a la persona jurídica, garantint en tot moment l’autonomia de la funció de Compliance.
Si no fos possible implementar una separació funcional absoluta entre les funcions de legal i de Compliance, caldria
- establir una línia de report vertical directa de qüestions en matèria de Compliance a l’òrgan de govern, per part de la funció de Compliance.
- assegurar que la funció de Compliance disposa de recursos propis, independents de la funció de legal; i
- contractar assessors externs per al desenvolupament de determinades qüestions que puguin implicar un conflicte d’interessos (per exemple, la gestió del canal ètic o de denúncies.
Autors: Guillem Gómez i Annia Alventosa.
Departament de Compliance de Molins Defensa Penal.
Què és el canal ètic?
Els canals ètics, han adquirit una gran rellevància des de la recent i nova publicació de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció (d’ara endavant Llei 2/2023).
Si bé la Llei 2/2023 ha impulsat que totes les empreses espanyoles de més de cinquanta (50) empleats/des comptin amb un sistema d’informació de forma obligada, el canal ètic ja era una eina indispensable i clau per a qualsevol Sistema de Compliance, en tant és un requisit de l’article 31 bis 5.2 del Codi Penal espanyol per als “models d’organització i gestió”. Així mateix, també es tracta d’un element essencial de qualsevol norma tècnica en Compliance a nivell nacional i internacional. És més, existeix fins i tot la norma ISO 37002:2021 relativa a sistemes de gestió de canals de denúncies (whistleblowing management systems).
En aquest sentit, el canal ètic podria definir-se com el mitjà pel qual les organitzacions permeten canalitzar consultes o denúncies que guardin relació amb sospites de comportaments infractors o males praxis dins d’aquestes. Així mateix, el canal possibilita que l’organització sigui coneixedora, respectant l’anonimat, d’irregularitats, incompliments, infraccions, o, vulneracions de la legislació vigent o la normativa interna de l’organització (com el Codi Ètic i altres polítiques i protocols) per part dels empleats/des, o fins i tot per tercers que amb ella es relacionen.
Un dels objectius principals del canal ètic és l’enfortiment de la cultura de la informació i integritat en les organitzacions, com a mecanisme per a prevenir i detectar amenaces a l’interès públic i privat. D’aquesta manera, es mostra el compromís amb els empleats/des i parts interessades, generant confiança i demostrant que els assumptes i preocupacions que es comuniquin seran processats apropiadament.
El canal ètic pot tenir diferents formats, sempre complint amb els requisits establerts en la Llei 2/2023, de 20 de febrer, per exemple:
- Un programari creat i habilitat per a tal ús. És l’opció més popular.
- Un formulari en la web.
- Una adreça de correu postal.
- Una línia de telèfon.
A més de les esmentades modalitats, la citada Llei 2/2023, de 20 de febrer, preveu diferents configuracions, com pot ser, la reunió presencial a sol·licitud del comunicant.
Més enllà de l’obligació legal, la implantació d’un canal ètic significa també un avantatge competitiu davant el públic intern o extern de l’organització, ja que, a grans trets, i entre altres:
- Determina una imatge de transparència, en tant que es permet una comunicació lliure i confidencial, entre les baixes i altes esferes de l’organització, projectant-se la capacitat de la mateixa de fer front adequadament als conflictes que se suscitin.
- Representa una mostra de compromís, posant en alci els valors ètics de l’organització i establint mecanismes efectius per a evitar possibles irregularitats.
- Redueix els costos reputacions i econòmics, ja que detectar anticipadament els incompliments redueix considerablement el seu impacte.
- Manté un creixement sòlid i equilibrat en l’organització.
- Fomenta un clima laboral basat en el respecte i l’ètica.
En conclusió, el canal ètic és un element vital de prevenció en les organitzacions, ja que ningú coneix millor les irregularitats que es cometen en les mateixes que els qui estan dins, de manera que comptar amb un instrument que permeti comunicar aquests fets es presenta com un gran benefici per a qualsevol organització, que haurà d’esforçar-se a fomentar el seu ús i dur a terme un procediment de gestió adequat.
Departament de Compliance de Molins Defensa Penal.
La formació i sensibilització en Compliance
A l’últim #ComplianceKeys realitzem un breu comentari sobre un dels elements més importants que configuren un Sistema de Compliance: el Codi Ètic o Codi de Conducta (ComplianceKeys20).
En aquest #ComplianceKeys21, seguim la mateixa línia que l’anterior, i tractarem una altra qüestió igualment essencial respecte de la configuració d’un correcte Sistema de Compliance: la formació i sensibilització en matèria de Compliance.
En primer lloc, és destacable esmentar que la formació i sensibilització de la plantilla en matèria de Compliance ja ha estat objecte de controvèrsia al panorama legal, de manera que la Fiscalia, a la Circular 1/2016 de 22 de gener, sobre la responsabilitat penal de les persones jurídiques conforme a la reforma del Codi Penal efectuada per Llei Orgànica 1/2015, ja va recalcar la seva rellevància, afirmant que “els models d’organització i gestió no només tenen per objecte evitar la sanció penal de l’empresa sinó promoure’n una veritable cultura ètica empresarial”. També, el Tribunal Suprem, a la Sentència de 29 de febrer de 2016, indica que s’haurà de desenvolupar un model de formació en riscos penals que transmeti als empleats i directius el model o programa de prevenció de riscos penals implementat a l’empresa. Per tal de promoure aquesta cultura ètica empresarial, caldrà dur a terme accions de formació i sensibilització.
Així mateix, els estàndards normatius en matèria de Compliance, com ho són la UNE 19601 i ISO 37001, ens parlen, entre moltes altres qüestions, de la importància de dissenyar una formació adequada i eficaç perquè els empleats i empleades comuniquin els riscos de Compliance, posant el focus en la necessitat de formar la plantilla sobre el risc penal i la manera d’evitar-ho. Així, doncs, s’entén la formació com un element essencial de qualsevol sistema de gestió d’organitzacions, configurant-se com el canal a través del qual el personal de l’organització pren consciència sobre la cultura de compliment normatiu.
Amb la formació corresponent a Compliance es pot posar fi a l’existència de situacions irregulars que s’han anat “normalitzant” a l’organització i amb el pas dels anys han esdevingut pràctiques habituals comunament acceptades pels empleats, clients i proveïdors, com passa amb determinats comportaments constitutius de corrupció. Amb freqüència, aquests no són percebuts com una cosa negativa.
Per què és important la formació i la sensibilització en l’organització?
Dissenyar i implementar un sistema de Compliance és important, sobretot per mitigar els riscos, però no serà eficient si els directius i empleats no el coneixen i no ho entenen com a útil i avantatjós per a l’organització. És fonamental que la plantilla conegui els principis i valors bàsics en què se sustenta la seva organització, i, sobretot, les pautes bàsiques de comportament i de diligència que siguin aplicables a la feina quotidiana del dia a dia.
A més, els empleats tenen el dret a ser informats de totes aquelles obligacions que els siguin imposades a la seva activitat professional en virtut del deure de l’empresari de vetllar pel compliment de la legalitat i d’aclarir les possibles infraccions comeses.
Cal, per tant, que es facin accions mitjançant formació, conscienciació i sensibilització amb l’objectiu d’aconseguir el canvi efectiu a les operatives i a la consciència de la plantilla.
Com ha de ser una formació adequada i eficaç?
L’objectiu d’un programa o pla de formació ha de ser assegurar que tota la plantilla és competent per complir el seu rol professional i el compromís que tenen amb el Compliance.
Així, una bona formació és aquella que aconsegueix sensibilitzar i transmetre cultura de compliment, i per això s’ha de configurar de la manera següent:
- Elaborar-se a mida de les obligacions i els riscos de Compliance de la plantilla, en relació amb els seus rols i responsabilitats, i centrar-se, quan calgui, en les mancances de coneixement.
- Pràctica i comprensible per als diferents grups d’interès i sensibilitat dels destinataris.
- Estar alineada amb les polítiques internes i la realitat de l’organització.
- Ser rellevant per a la feina diària que s’exerceix.
- Estar actualitzada a les normes internes i externes que siguin aplicables.
- Atractiva i amena.
Com aconseguir una formació i sensibilització efectiva?
Ètica i Compliance són temes complexos, i la veritat és que no hi ha cap mètode que garanteixi èxits per als esforços de l’àrea de Compliance. Ara bé, sens dubte cal una combinació entre formació, incentius, cultura i monitoratge, de manera que l’èxit residirà a determinar el mix adequat per a cada organització.
Per tant, el millor mètode versarà en un desenvolupament correcte d’estratègia de formació i sensibilització sobre els valors i les polítiques internes de l’organització. En qualsevol cas, l’estratègia de formació i sensibilització s’ha de dissenyar sempre a mida de l’organització i les necessitats concretes en un moment donat.
Quina és la finalitat de la sensibilització i formació de la plantilla?
Un correcte Sistema de Compliance ha de tenir com a objectiu no només prevenir i detectar de manera eficaç les males praxis o conductes en l’organització, sinó que també ha de contribuir a crear una veritable cultura ètica, compromesa amb el compliment de les normes internes i externes a les que estigui subjecta. És vital que tota la plantilla interioritzi els valors i els principis de l’organització, comptant així amb eines per prendre bones decisions. Tot això es pot aconseguir amb un adequat pla de formació a Compliance, elaborat a la mida de cada organització.
En definitiva, el Sistema de Compliance no té cap sentit, ni efecte, si la plantilla (des de consellers i directius a empleats) no el coneixen, ja que és clar que “el que no es coneix, no es comunica”.
Departament de Compliance de Molins Defensa Penal.
El Codi Ètic ¿es tracta d’un element fonamental del sistema de gestió de Compliance?
El Codi Ètic podria definir-se com la constitució normativa d’una organització, això és la norma fonamental de la qual es desprenen totes les altres. Serà, així mateix, l’ànima de l’organització, un document en el qual es recullin els principis i valors que han de presidir en ella, i que hauran de complir tots i cadascun dels integrants d’aquesta.
Funcionalment, el Codi Ètic és una eina molt útil per a la direcció empresarial, l’objectiu de la qual és assegurar que els empleats i empleades compleixin amb la normativa a la qual es troba subjecta l’organització i que realitzin la seva activitat conforme als valors que aquesta ha establert i que constitueixen l’essència de la cultura corporativa.
És important que el Codi Ètic estigui viu, que no sigui un simple document o proclamació de bones intencions, i que sigui vinculant tant per a empleats i empleades com per als directius i directives de l’organització. No solament a aquests, sinó que ja és una pràctica habitual que tercers, especialment col·laboradors i proveïdors, també es trobin vinculats al compliment dels principis fonamentals del Codi Ètic (en major o menor mesura i, a vegades, a través d’un concret Codi de Conducta per a tercers i/o de clàusules contractuals específiques).
Per a poder proclamar els principis fonamentals de l’organització, és altament recomanable que el Codi Ètic empresarial es publiqui a la pàgina web i sigui accessible a tercers.
Pel que fa al seu contingut, el Codi Ètic ha de ser capaç d’oferir pautes, orientacions i ésser la sinergia de tota la multiregulació sectorial existent i que apliqui a la concreta organització. Això és, ha de contenir els principis sobre els quals es desenvolupi la normativa interna i específica de l’organització.
En qualsevol cas, i malgrat que sigui vinculant per als integrants de l’organització, fins i tot tercers i es pengi a la web, perquè el Codi Ètic sigui veritablement un codi, i, a més, ètic, és inexcusable que se sustenti en l’estructura vertical de l’organització, que arribi a totes les àrees d’aquesta. Això no es pot aconseguir sense la participació activa de l’òrgan d’administració i direcció de l’organització, a través del que es diu un adequat tone from the top.
Aquests òrgans de direcció són els que han de promoure la veritable cultura de compliment. Per a pretendre una gestió del risc eficient, és necessari influir en l’alta direcció, generant una cultura d’organització que tendeixi a l’observança absoluta de l’ordenament jurídic.
En conseqüència d’això, pot ser recomanable l’establiment d’un sistema de retribució qualitatiu per donar compliment al Codi Ètic, i en general per l’observança de la normativa en matèria de Compliance. Aquest requisit s’imposa en la majoria dels ordenaments (els Estats Units, Itàlia, Xile) i també s’apunta en les normes tècniques de Compliance nacionals i internacionals.
Finalment, i no precisament menys important, cal assenyalar, malgrat que el Codi Penal espanyol no apel·la a la formació entre els requisits establerts per a un “model d’organització i gestió” en el seu article 31 bis 2º, l’experiència demostra la importància de la formació i sensibilització continuada com un element essencial per a garantir la vivència del Compliance, i en el que concerneix a aquest article, del Codi Ètic i els seus principis.
La formació i sensibilització periòdica i sobrevinguda és una manera de garantir un correcte funcionament del Codi Ètic i de l’estructura i normativa de Compliance.
En qualsevol cas, les mesures de formació i sensibilització són eines summament eficients en la mesura en què suposen un estalvi de costos per a l’organització, això és, com més es garanteixi la vivència i el compliment del Codi Ètic, menys costos necessitarà l’organització per a desenvolupar controls per tal de de garantir el seu compliment.
Departament de Compliance de Molins Defensa Penal.
Òrgan de Compliance, intern o extern?
En els últims #ComplianceKeys s’ha ofert una breu anàlisi d’algunes de les principals característiques d’una prominent figura de tot Sistema de Compliance: l’òrgan de Compliance. Així, en les anteriors publicacions s’han tractat qüestions com ara la seva configuració com a òrgan unipersonal o col·legiat (ComplianceKeys17) o les seves principals funcions i responsabilitats (ComplianceKeys18).
En el present ComplianceKeys es tractarà una altra qüestió igualment essencial respecte aquest òrgan: la seva configuració com un òrgan intern o extern respecte a la persona jurídica en qüestió.
En primer lloc, ha d’assenyalar-se que, de la mateixa forma que succeís respecte altres característiques relatives a l’òrgan de Compliance, la regulació jurídic-penal en la present matèria és relativament parca. Així, únicament s’estableix en l’article 31 bis 2.2a del Codi Penal que: “la supervisió del funcionament i del compliment del model de prevenció implantat ha estat confiada a un òrgan de la persona jurídica […]”.
D’aquesta manera, el Codi Penal únicament estableix que els òrgans de govern de les persones jurídiques (per ser sobre qui recau originalment el deure de prevenir delictes en les entitats que dirigeixen) han d’assignar el deure de supervisar el funcionament i compliment del Sistema de Compliance a un òrgan de la persona jurídica.
La redacció del present precepte, en fer referència a “un òrgan de la persona jurídica” podria semblar indicativa que les funcions i responsabilitats (ComplianceKeys18) dels òrgans de Compliance només poden ser desenvolupades per òrgans interns. No obstant això, la interpretació pràctica d’aquest precepte no ha estat tan restrictiva.
Com pot observar-se en la Circular de la Fiscalia General de l’Estat 1/2016, si bé ha de designar-se a un òrgan intern de la persona jurídica que exerceixi una funció de supervisió general del Sistema de Compliance, això no implica que aquest òrgan hagi d’exercir per si mateix totes les tasques que caracteritzen a la funció de Compliance d’una persona jurídica.
És més, s’estableix expressament en l’esmentada Circular que tampoc existeix cap inconvenient en què les persones jurídiques puguin recórrer a la contractació externa de les diferents activitats en matèria de Compliance.
Així doncs, a mode de conclusió, d’una lectura conjunta de l’article 31 bis 2.2a del Codi Penal i de la seva interpretació continguda en la Circular 1/2016 de la Fiscalia General de l’Estat pot adduir-se que, si bé, les persones jurídiques han de comptar necessàriament amb un òrgan intern responsable de la funció de Compliance amb la finalitat de disposar d’un Sistema de Compliance que es pugui considerar eficaç, això no implica que totes i cadascuna de les tasques que integren aquesta funció hagin de ser exercides per aquest òrgan.
És més, ha de tenir-se en consideració que l’externalització d’algunes de les responsabilitats de la funció de Compliance (com podrien ser, entre altres qüestions, l’anàlisi dels riscos jurídic-penals associats a les activitats que desenvolupi una entitat, el desenvolupament de determinada normativa interna, l’execució de formacions, entre altres) pot suposar un major benefici que el seu desenvolupament intern. Això, simplement per motiu de l’objectivitat i coneixement especialitzat dels quals pot gaudir un tercer extern a la persona jurídica en qüestió.
Departament de Compliance de Molins Defensa Penal.
Les funcions i responsabilitats del Compliance Officer
En l’últim #ComplianceKeys (ComplianceKeys17) es va realitzar una breu introducció a una de les característiques bàsiques dels òrgans de Compliance: la seva possible configuració com a òrgans unipersonals (per exemple, mitjançant la figura del Compliance Officer) o com a òrgans col·legiats (per exemple, com un Comitè d’Ètica i Compliance).
Aprofundint en les característiques d’aquesta rellevant figura per a tot Sistema o Programa de Compliance, en el present ComplianceKeys18 s’oferiran unes breus pinzellades respecte les principals funcions i responsabilitats que aquest òrgan ha d’assumir, tenint en compte que posteriorment serà cada organització la que acabi de definir les seves concretes funcions.
Aquesta qüestió de caràcter bàsic ofereix una certa complexitat en la posada en pràctica. Això, en la mesura que el marc regulador gairebé no es pronuncia sobre aquest tema. En aquest sentit, l’article 31 bis .2 del Codi Penal únicament estableix que: “la supervisió del funcionament i del compliment del model de prevenció implantat ha estat confiada a un òrgan de la persona jurídica […]”.
Respecte a aquesta succinta referència cal destacar un aspecte primordial: l’òrgan de Compliance és l’encarregat de la supervisió i impuls del funcionament i compliment del Programa o Sistema de Compliance, però no de la prevenció de delictes o del propi Sistema de Compliance en si mateix.
En aquest context, diferents membres de les organitzacions hauran de participar en la funció de Compliance, això és, en el funcionament dels mecanismes de prevenció i control que conformen els Programes o Sistemes de Compliance (per exemple, en els circuits de compres o de pagaments, mitjançant la realització d’auditories, entre altres).
Així doncs, l’òrgan de Compliance no és l’encarregat del compliment en la pràctica del Programa o Sistema de Compliance, només de la seva supervisió i de l’impuls per al seu bon funcionament. En aquest sentit, el compliment recau sobre tots i cadascun dels membres que conformen una organització (amb independència de la seva posició jeràrquica o les seves funcions en l’entitat).
Com és usual en matèria de Compliance, l’autoregulació, normes tècniques i la pràctica professional han vingut a cobrir el buit regulador respecte a la qüestió de quines funcions i responsabilitats han d’assumir els òrgans de Compliance.
Sense ànim exhaustiu, algunes de les principals funcions i responsabilitats que segons els estàndards i les best practices en la matèria han d’assumir els òrgans de Compliance són les següents (i que en moltes ocasions poden externalitzar-se íntegrament o en part):
- Analitzar els riscos que, en abstracte, poden afectar una organització (a través del que es coneix generalment com a Informes de riscos, ja siguin aquests penals –el més freqüent- o que abastin altres matèries de Compliance com a blanqueig de capitals, tax, etc.).
- Dirigir el desenvolupament i implementació del Programa o Sistema de Compliance (liderant el desenvolupament de normativa interna tenint en consideració les característiques i riscos de l’organització).
- Gestionar el Canal Ètic o de denúncies i, en el seu cas, dirigir les recerques internes que poguessin haver de dur-se a terme (ha de destacar-se que aquesta qüestió és susceptible de variar en gran manera en cada diferent organització).
- Assegurar l’adequació a l’organització del Programa o Sistema de Compliance (analitzant canvis legislatius, responent davant canvis d’activitat de la pròpia organització, etc.).
- Activitats de formació, sensibilització i comunicació en matèria de Compliance (amb la finalitat d’assegurar, crear o mantenir la cultura ètica empresarial i l’eficàcia de determinats controls de l’organització).
- Entre altres funcions (com podrien ser l’execució de determinats controls, la representació de la persona jurídica davant autoritats, la representació en el marc de processos judicials, etc.).
D’altra banda, amb la finalitat de garantir la seva imparcialitat, i en relació amb les responsabilitats que poguessin derivar del desenvolupament de les seves activitats, no sol ser recomanable que l’òrgan de Compliance assumeixi funcions decisòries (per exemple, en matèria de sanció d’un determinat membre del personal com a resultat d’una recerca interna).
Com a conclusió i recapitulació de l’anterior, pot establir-se que l’escàs marc normatiu respecte les funcions de l’òrgan de Compliance fa necessari acudir als estàndards d’autoregulació (com podrien ser els estàndards UNE 19601 o ISO 37301), així com les best practices en la matèria. A més, ha de tenir-se en compte que no hi haurà dos òrgans de Compliance que realitzin exactament les mateixes funcions: aquestes han d’adaptar-se a la concreta realitat de les organitzacions de les quals formin part.
Òrgan de Compliance: ¿unipersonal o col·legiat?
Havent analitzat en els anteriors #ComplianceKeys l’estat de la responsabilitat penal de les persones jurídiques en el pla internacional, en les següents publicacions es tornarà a adoptar un enfocament nacional i s’analitzaran algunes qüestions relatives als principals elements que conformen els Sistemes de Compliance.
En aquest sentit, de conformitat amb l’article 31 bis 2. 2ª del Codi Penal i també de tota norma tècnica nacional i internacional en Compliance, un dels elements essencials per a l’eficàcia de tot Sistema de Compliance és “l’Òrgan de Compliance”.
La normativa juridicopenal és relativament parca respecte a les característiques d’aquest Òrgan. El citat precepte només estableix que la supervisió del funcionament i compliment del Sistema de Compliance ha de confiar-se a un òrgan de la persona jurídica amb poders autònoms d’iniciativa i de control o que tingui encomanada legalment la funció de supervisar l’eficàcia dels controls interns de la persona jurídica.
En aquest sentit, les persones jurídiques que decideixin adoptar un Sistema de Compliance hauran d’acordar diverses decisions respecte la configuració de l’Òrgan de Compliance: Ha de designar-se a una persona individual o ha de nomenar-se a un òrgan col·legiat? Qui ha de constituir l’Òrgan de Compliance? Quines funcions ha de tenir l’Òrgan de Compliance?
En el present ComplianceKeys es buscarà, succintament, donar llum a una de les qüestions plantejades anteriorment: alguns factors que cal tenir en compte en el moment d’optar per constituir un Òrgan de Compliance unipersonal (ja sigui sota la denominació de Compliance Officer, responsable de Compliance, entre altres) o col·legiat (mitjançant un Comitè de Compliance, d’Ètica, etc.). En tot cas, aquesta segona opció no obsta al fet que, dins dels membres de l’òrgan col·legiat, es nomeni un Compliance Officer.
Com s’ha introduït, la regulació establerta sobre això en el Codi Penal no ofereix resposta respecte la present (i altres) qüestió. Després d’acudir a la Circular de la Fiscalia General de l’Estat 1/2016, sobre la responsabilitat penal de les persones jurídiques, pot concloure’s que la vaguetat de la regulació és intencional. Aquesta vaguetat buscaria dotar de llibertat a les persones jurídiques per a configurar els seus Òrgans de Compliance d’una forma que s’adapti a la seva grandària, activitat i recursos.
Concretament, l’esmentada Circular estableix el següent: “[…] la norma s’està referint a un òrgan de compliment (oficial de compliment o compliance officer) que, depenent de la grandària de la persona jurídica, podrà estar constituït per una o per diverses persones, amb la suficient formació i autoritat”.
Doncs bé, la decisió de configurar l’Òrgan de Compliance com a unipersonal o col·legiat serà de caràcter estratègic, havent-se de tenir en compte que cada opció té els seus avantatges i inconvenients.
De manera il·lustrativa, a continuació, es mostraran de forma esquemàtica alguns dels avantatges i inconvenients comunament associats a cadascuna de les opcions:
Opció | Avantatges | Inconvenients |
Òrgan unipersonal | + Major agilitat en l’adopció de decisions.
+ En general, major responsabilitat i compromís al recaure la funció de Compliance en una sola persona. + En general, menor necessitat de recursos. + Identificació del Sistema de Compliance en un individu que, d’estar correctament escollit, pot generar major confiança en els membres de la persona jurídica. |
– Major possibilitat d’existència (o, si és el cas, de rellevància) de conflictes d’interès)
– Adopció de decisions rellevants en matèria de Compliance de forma no consensuada, per un únic individu. – Possibilitat que la càrrega de treball generada per la funció de Compliance sigui de difícil assumpció per un únic individu. |
Òrgan col·legiat | + Adopció de les decisions en matèria de Compliance de forma consensuada.
+ Major facilitat de tramitació de comunicacions que eventualment afectaran a un membre de l’Òrgan de Compliance. + Possibilitat de constituir l’Òrgan de Compliance incorporant perfils tècnics de caràcter complementari (legal, IT, laboral). + Opció atractiva per entitats de mitjana grandària que no tinguin els recursos per contractar a una persona que específicament es dediqui al desenvolupament de la funció de compliment però gaudeixin d’un Sistema de Compliance de certa complexitat. |
– Presa de decisions i execució de les mateixes més lentament (dificultat per convocar reunions, adoptar determinades decisions conflictives, reaccionar en front de situacions urgents, etc.).
– Possible configuració d’un òrgan col·legiat amb perfils directius executius (conflictes d’interès).
|
A més, convé recordar que el Codi Penal preveu la possibilitat que, en persones jurídiques de petites dimensions, la funció de Compliance recaigui directament sobre el seu òrgan d’administració.
Amb la finalitat de recapitular les diferents qüestions tractades en el present article, les conclusions que han d’extreure’s són que cada entitat serà lliure de triar, en funció de la seva grandària, del sector en el qual opera, de la naturalesa de les seves activitats, tenint en consideració els avantatges i desavantatges associats a la decisió, la configuració del concret Òrgan de Compliance que liderarà el desenvolupament i supervisió del seu Sistema de Compliance.
Departament de Compliance de Molins Defensa Penal.
L’informe i el mapa de riscos penals
#ComplianceKeys16
Tot Programa o Sistema de Compliance està compost per un conjunt d’elements que solen estar sempre presents amb independència de l’objecte o l’abast del Programa o Sistema en qüestió. Parlem, per exemple, d’elements com disposar d’un òrgan o responsable intern de Compliance, un mecanisme de comunicació intern, formació, etcètera.
Entre aquests elements innegociables, trobem l’informe i el mapa de riscos penals. Ara bé, la veritat és que, en atenció a l’objecte i a l’abast concret del Programa o Sistema de Compliance, l’informe i mapa de riscos pot ampliar-se més enllà dels riscos penals, incorporant també altres riscos de Compliance (tax; blanqueig de capitals; medi ambient; entre altres).
L’article 31 bis 5.1 del Codi Penal requereix que els Programes o Sistemes de Compliance comptin amb una avaluació dels riscos penals: “Identificaran les activitats en l’àmbit de les quals puguin ser comesos els delictes que han de ser previnguts”. Per part seva, la secció 4.6 de l’ISO 37301 de Sistemes de gestió de Compliance i la secció 6.2 de la UNE 19601 de Sistemes de gestió de Compliance penal també exigeixen la identificació i avaluació dels riscos.
En què consisteix l’elaboració d’un informe i mapa de riscos penals? De forma molt resumida, elaborar un informe i un mapa de riscos penals consisteix a analitzar les activitats, l’estructura organitzativa i les relacions amb tercers, això és, l’ecosistema d’una determinada organització, amb l’objectiu de detectar i prioritzar, a través d’una avaluació, quins són els riscos penals als quals s’exposa una determinada organització per les seves concretes activitats.
Això resulta molt important, perquè l’avaluació i priorització dels riscos penals marcarà el posterior desenvolupament i implementació del Programa o Sistema de Compliance. En conseqüència, no pot fer-se una anàlisi etèria o copiar l’informe i el mapa d’un tercer, en tant cada organització s’enfronta als seus propis riscos penals. Per exemple, res té a veure els riscos penals d’una empresa constructora dels d’una empresa del sector farmacèutic. Fins i tot entre organitzacions del mateix sector l’informe i el mapa de riscos pot diferir notablement segons la dependència de la contractació pública, els països en els quals s’operi, la cadena de subministrament, etcètera.
Quan ha d’elaborar-se l’informe i el mapa de riscos penals? Generalment, té lloc durant les fases inicials de disseny del Programa o Sistema de Compliance, en tant permet realitzar un estudi en profunditat de les activitats i l’estructura organitzativa de l’organització. A més, l’adopció de polítiques, procediments i altres mecanismes de control ha de realitzar-se sobre la base dels riscos detectats, especialment en aquells riscos valorats amb una major criticitat.
No obstant això, l’informe i el mapa de riscos penals ha d’estar vigent en tot moment, per la qual cosa haurà de ser revisat de manera periòdica i s’haurà d’actualitzar degudament quan existeixin motius interns o externs que puguin provocar un canvi en la identificació o la valoració dels riscos penals. Per exemple, el llançament d’una nova línia de negoci, l’adquisició d’una empresa, canvis en la legislació aplicable, sancions o incompliments rellevants, entre altres motius.
D’aquesta manera, l’informe i el mapa de riscos penals es configura com un element clau en tot Programa o Sistema de Compliance, que ha de tenir lloc en un estadi inicial del seu disseny i que ha de revisar-se i actualitzar-se adequadament.
Departament de Compliance de Molins Defensa Penal.
Responsabilitat penal de les persones jurídiques als Estats Units i el Canadà
#ComplianceKeys15
Tanquem el cicle de #ComplianceKeys sobre l’estat de la regulació de la responsabilitat penal de les persones jurídiques en diferents països amb l’anàlisi del Canadà i els Estats Units.
Abans d’entrar a valorar l’estat actual d’aquesta qüestió, convé assenyalar que molts situen els Estats Units com el lloc d’origen de la responsabilitat corporativa per infraccions comeses en el seu si, principalment arran del cas New York Central & Hudson River Railroad vs. United States.
A més, és segurament el país amb major recorregut i aplicació pràctica respecte a la responsabilitat corporativa i als Sistemes de Compliance, principalment a través de sancions i acords extrajudicials amb el Departament de Justícia (U.S. Department of Justice [DOJ]) o la Comissió del mercat de valors (U.S. Securities Exchange Commission [SEC]). És el cas, per exemple, dels acords aconseguits amb ORACLE i amb DANSKE BANK durant l’any 2022 amb l’U.S. Securities Exchange Commission (SEC).
Per part seva, el Canadà compta també amb una regulació de la responsabilitat corporativa. En particular, existeix una previsió legal, concretament, en el Codi Penal, que determina la responsabilitat de naturalesa penal per a les persones jurídiques en el si de les quals s’hagi comès un delicte.
D’aquesta manera, tant el Canadà com els Estats Units compten amb un cos normatiu que recolza l’aplicació de la responsabilitat penal corporativa, per exemple, a través de la Foreign Corrupt Practices Act (FCPA) als Estats Units, o el Codi Penal i la Corruption of Foreign Public Officials Act (CFPOA) en el cas del Canadà, així com una aplicació judicial i sancionadora ferma que desenvolupa aquesta qüestió, en la qual cal destacar les Sentencing Guidelines als Estats Units o el cas Canadian Dredge and Dock Co. Vs. The Queen al Canadà.
No obstant això, la principal diferència de la regulació de la responsabilitat corporativa entre tots dos països radica en el fet que als Estats Units regeix el principi respondeat superior, la qual cosa suposa una aplicació més àmplia o més automàtica de la responsabilitat penal corporativa. En canvi, al Canadà, per poder atribuir responsabilitat de naturalesa penal a les persones jurídiques, han de complir-se la totalitat de requisits recollits en el codi penal canadenc, la qual cosa comporta una aplicació més limitada.
A continuació, s’adjunta un resum de l’estat de la qüestió en els diferents països analitzats.
País | Naturalesa de la responsabilitat | Llistat tancat o obert de delictes / infraccions | Possibilitat legal d’exempció per disposar de Compliance |
Canadà | Penal | Llistat obert | Es preveu en determinades lleis, com en la normativa anti-blanqueig de capitals. |
Estats Units | Penal | Llistat obert | No regulada |
Molins Compliance.