Jurisprudència recent del Tribunal Suprem sobre Compliance – Compliance Keys #24
#Compliancekeys24
Després de més de (10) deu anys des de la introducció de la responsabilitat penal de les persones jurídiques en el Codi Penal espanyol, el Tribunal Suprem ha tingut l’oportunitat de pronunciar-se respecte qüestions amb afectació en matèria de Compliance en nombroses i diverses ocasions.
Així, en el present ComplianceKeys24 s’oferirà un llistat de les sentències més rellevants del Tribunal Suprem en matèria de Compliance dels últims dos (2) anys:
| Jurisprudència del Tribunal Suprem en matèria de Compliance | ||
| Any | Sentència | Qüestions destacades |
| 2022 | STS 36/2022, de 20 de gener | El Tribunal Suprem condemna a la persona jurídica i al seu administrador per un delicte d’estafa. Entén el Tribunal que no existeix doble condemna pel mateix fet (bis in idem) en tant l’administrador no és el soci propietari del capital social de la persona jurídica. En conseqüència, la condemna no suposa una doble penalitat. |
| STS 56/2022, de 24 de gener | El Tribunal Suprem analitza les facultats d’accés de l’empresari al correu corporatiu dels treballadors. En particular, l’Alt Tribunal desestima el recurs de cassació presentat per a entendre que el registre sobre el correu electrònic corporatiu dels treballadors que presumptament havien comès irregularitats vulnera els seus drets de privacitat, en tant la mesura de control empresarial s’havia realitzat obviant les garanties necessàries. | |
| STS 264/2022, de 18 de març |
Desestima la possibilitat de fer penalment responsable a una societat unipersonal en atenció al seu caràcter plenament instrumental. Concretament, el Tribunal entén que, atès que la societat compta amb un únic soci i administrador, el patrimoni del qual es confon i es dilueix amb el de la persona jurídica, no pot condemnar-se a aquesta. S’al·lega que la persona jurídica manca d’un desenvolupament organitzatiu suficient que la diferenciï de la persona física. En conseqüència, no pot aplicar-se l’article 31 bis del Codi Penal donada la impossibilitat de diferenciar entre la persona física (soci i administrador) de la persona jurídica i la inviabilitat d’implantar en aquesta un programa de compliment normatiu. |
|
| STS 747/2022, de 27 de juliol |
El Tribunal Suprem exclou la condemna de la persona jurídica en virtut del principi del non bis in idem en tant es tracta d’una societat unipersonal que correspon al cent per cent (100%) a la persona física condemnada. En particular, l’Alt tribunal entén que quan el condemnat penalment com a persona física és titular exclusiu de la societat, no resulta possible sancionar també a la persona jurídica. |
|
| STS 792/2022, de 29 de setembre | Aborda i manté, principalment per aspectes processals, la imposició de la suspensió d’activitats a una empresa per un termini de dos (2) anys per la comissió d’un delicte contra els drets dels treballadors a l’empara dels articles 129.3 i 33.7.c) del Codi Penal. | |
| STS 813/2022, de 14 d’octubre | Advoca per la necessitat d’implementar programes de compliment normatiu / Sistemes de Compliance en les empreses també per a evitar i prevenir el frau intern i el perjudici econòmic per a les empreses. | |
| 2023 | STS 1014/2022, de 13 de gener de 2023 |
El Tribunal Suprem, a mode d’apunt, es pronuncia en la present resolució respecte l’eficàcia dels Sistemes de Compliance per a evitar aquelles conductes delictives de les quals les companyies poden ser víctimes. En aquest sentit, els Sistemes de Compliance no solament mitigarien les conductes que poden generar una possible responsabilitat penal corporativa, sinó que dificulten el que l’Alt Tribunal denomina “autoposada en perill”. Així doncs, el Tribunal Suprem considera que, si bé, les conductes jutjades no poden suposar la responsabilitat penal de la persona jurídica (es tracta de delictes d’apropiació indeguda, els quals no són susceptibles de generar l’atribució de responsabilitat penal de la persona jurídica conforme l’article 31 bis del Codi Penal), dels quals a més hauria estat víctima la pròpia persona jurídica (un club esportiu), aquestes podrien haver-se evitat amb mesures de control destinades a evitar l’abús de relacions personals (mitjançant controls relatius a apoderaments, per exemple). En aquest sentit, també, Sentència de l’Audiència Provincial de Madrid 90/2023, de 22 de febrer de 2023. |
| STS 89/2023, de 10 de febrer |
En la present resolució el Tribunal Suprem resol en cassació respecte el famós “Cas Pescanova”. Entre altres qüestions en matèria de responsabilitat penal de les persones jurídiques, destaca l’anàlisi que en la present sentència es duu a terme respecte l’element del “benefici directe o indirecte”, exigit tant en els supòsits de la lletra a) (delictes comesos per directius) com en els propis de la lletra b) (delictes comesos per treballadors) de l’article 31 bis del Codi Penal, per a atribuir responsabilitat penal a les persones jurídiques. Assenyala el Tribunal Suprem que, en realitat, allò que l’article 31 bis del Codi Penal exigeix, com a element indispensable perquè pugui assentar-se la responsabilitat penal de la persona jurídica, no és que la mateixa hagi obtingut a conseqüència dels delictes comesos en el seu nom o pel seu compte un benefici real, directe o indirecte, sinó que aquells fets delictius s’haguessin comès “en benefici” d’aquesta. Així doncs, les persones jurídiques poden resultar condemnades per conductes delictives que, fins i tot, els hagin causat algun tipus de perjudici, quan originalment s’haguessin dut a terme amb la finalitat de reportar-li alguna classe de benefici, directe o indirecte. |
|
| STS 321/2023, de 9 de maig |
El Tribunal Suprem, en la present decisió, estima el recurs del Ministeri Fiscal en el sentit que la responsabilitat penal de la persona jurídica no exclou la responsabilitat penal individual, això és, dels autors materials de les conductes delictives. En aquest sentit, el Ministeri Fiscal i l’Alt Tribunal convenen que el sistema de responsabilitat penal de les persones jurídiques complementa al de les persones físiques, però no el substitueix. No es tracta de decidir si les conseqüències penals han de ser assumides per la persona natural o per la jurídica, sinó si, a més de la persona física, ha de sancionar-se penalment a l’entitat pel compte de la qual va actuar. Procedirà aquesta doble sanció quan es donin les condicions establertes en l’article 31 bis del Codi Penal. Finalment, estableix que solament si es pogués identificar a la persona jurídica amb el responsable penal (supòsits d’entitats de molt reduïdes dimensions, per exemple) caldria renunciar a una de les condemnes (la de la persona jurídica) per a no lesionar la prohibició de ne bis in idem (castigar dues vegades a una mateixa persona, pels mateixos fets, amb el mateix fonament). |
|
Departament de Compliance de Molins Defensa Penal.
Compliance penal, què es? Compliance Keys #23
El terme Compliance pot ser definit com a compliment normatiu, o compliment d’allò que s’ha de complir. L’abast del compliment normatiu que una determinada entitat ha d’assegurar pot ser molt ampli, tant com la totalitat de normes i regulacions aplicables a la seva concreta activitat.
Ara bé, moltes vegades s’empra el terme Compliance penal per a fer referència a aquelles estructures de compliment que les entitats adopten per a evitar la comissió de delictes en el seu si, sota el terme “Sistemes de Compliance penal”. Això és, l’objectiu principal de Compliance es basa en la prevenció de delictes.
Els Sistemes de Compliance penal, també denominats “Programes o Models de Prevenció de Delictes o de Riscos Penals”, tenen el seu origen, principalment, en la reforma del Codi Penal produïda mitjançant la Llei orgànica 5/2010, de 22 de juny.
Aquesta reforma del Codi Penal va introduir, per primera vegada a Espanya, la responsabilitat penal de les persones jurídiques. De forma resumida, això implica que, en determinats casos, quan es comet un delicte en una determinada entitat, podrà respondre penalment tant la concreta persona física que duu a terme el delicte, com també l’entitat a la qual pertany o representa.
Atès que els Sistemes de Compliance penal tenen origen en aquesta reforma del Codi Penal, en general, estan dissenyats per a complir amb els requisits que l’article 31 bis del Codi Penal exigeix per a evitar la responsabilitat penal de les persones jurídiques. Això és:
- Adoptar i executar de manera eficaç del Sistema de Compliance penal abans de la comissió del delicte;
- Designar un òrgan de Compliance;
- Identificar les activitats que poden suposar un risc delictiu;
- Adoptar protocols i procediments per a evitar tals riscos;
- Gestionar els recursos financers de manera adequada per a impedir tals riscos;
- Establir mecanismes per a informar de possibles riscos i incompliments;
- Sancionar adequadament l’incompliment del Sistema de Compliance penal;
- Revisar i tenir actualitzat el Sistema de Compliance
D’aquesta manera, els Sistemes de Compliance penal busquen regular les activitats socials de l’entitat per a assegurar el compliment normatiu i, per extensió, complir amb els requisits de l’article 31 bis del Codi Penal per a així eludir l’eventual responsabilitat penal per a la persona jurídica que podria ocasionar la comissió de determinats delictes en les seves activitats (per exemple, delictes d’estafa; publicitat enganyosa; frau fiscal; delictes contra els recursos naturals i el medi ambient; suborn; etcètera).
No obstant això, delimitar el Sistema de Compliance al compliment estrictament penal pot comportar un greu problema de prevenció, detecció i correcció dels incompliments i conductes indesitjades. En aquest sentit, un Sistema de Compliance penal comporta endarrerir notablement les línies de defensa de la persona jurídica, la qual cosa resulta en un marge de reacció i correcció molt més reduït.
En canvi, els Sistemes de Compliance transversals o de compliment normatiu general tenen un abast molt més ampli que els Sistemes de Compliance estrictament penal. L’objectiu d’aquests sistemes és gestionar el compliment normatiu per a prevenir tota classe d’incompliments que, per descomptat, inclouen també els incompliments de la normativa penal, la qual cosa permet una millor gestió dels riscos d’incompliment normatiu i anticipar, d’una forma més primerenca, la materialització de delictes en el si d’una entitat.
Departament de Compliance de Molins Defensa Penal
La formació i sensibilització en Compliance
A l’últim #ComplianceKeys realitzem un breu comentari sobre un dels elements més importants que configuren un Sistema de Compliance: el Codi Ètic o Codi de Conducta (ComplianceKeys20).
En aquest #ComplianceKeys21, seguim la mateixa línia que l’anterior, i tractarem una altra qüestió igualment essencial respecte de la configuració d’un correcte Sistema de Compliance: la formació i sensibilització en matèria de Compliance.
En primer lloc, és destacable esmentar que la formació i sensibilització de la plantilla en matèria de Compliance ja ha estat objecte de controvèrsia al panorama legal, de manera que la Fiscalia, a la Circular 1/2016 de 22 de gener, sobre la responsabilitat penal de les persones jurídiques conforme a la reforma del Codi Penal efectuada per Llei Orgànica 1/2015, ja va recalcar la seva rellevància, afirmant que “els models d’organització i gestió no només tenen per objecte evitar la sanció penal de l’empresa sinó promoure’n una veritable cultura ètica empresarial”. També, el Tribunal Suprem, a la Sentència de 29 de febrer de 2016, indica que s’haurà de desenvolupar un model de formació en riscos penals que transmeti als empleats i directius el model o programa de prevenció de riscos penals implementat a l’empresa. Per tal de promoure aquesta cultura ètica empresarial, caldrà dur a terme accions de formació i sensibilització.
Així mateix, els estàndards normatius en matèria de Compliance, com ho són la UNE 19601 i ISO 37001, ens parlen, entre moltes altres qüestions, de la importància de dissenyar una formació adequada i eficaç perquè els empleats i empleades comuniquin els riscos de Compliance, posant el focus en la necessitat de formar la plantilla sobre el risc penal i la manera d’evitar-ho. Així, doncs, s’entén la formació com un element essencial de qualsevol sistema de gestió d’organitzacions, configurant-se com el canal a través del qual el personal de l’organització pren consciència sobre la cultura de compliment normatiu.
Amb la formació corresponent a Compliance es pot posar fi a l’existència de situacions irregulars que s’han anat “normalitzant” a l’organització i amb el pas dels anys han esdevingut pràctiques habituals comunament acceptades pels empleats, clients i proveïdors, com passa amb determinats comportaments constitutius de corrupció. Amb freqüència, aquests no són percebuts com una cosa negativa.
Per què és important la formació i la sensibilització en l’organització?
Dissenyar i implementar un sistema de Compliance és important, sobretot per mitigar els riscos, però no serà eficient si els directius i empleats no el coneixen i no ho entenen com a útil i avantatjós per a l’organització. És fonamental que la plantilla conegui els principis i valors bàsics en què se sustenta la seva organització, i, sobretot, les pautes bàsiques de comportament i de diligència que siguin aplicables a la feina quotidiana del dia a dia.
A més, els empleats tenen el dret a ser informats de totes aquelles obligacions que els siguin imposades a la seva activitat professional en virtut del deure de l’empresari de vetllar pel compliment de la legalitat i d’aclarir les possibles infraccions comeses.
Cal, per tant, que es facin accions mitjançant formació, conscienciació i sensibilització amb l’objectiu d’aconseguir el canvi efectiu a les operatives i a la consciència de la plantilla.
Com ha de ser una formació adequada i eficaç?
L’objectiu d’un programa o pla de formació ha de ser assegurar que tota la plantilla és competent per complir el seu rol professional i el compromís que tenen amb el Compliance.
Així, una bona formació és aquella que aconsegueix sensibilitzar i transmetre cultura de compliment, i per això s’ha de configurar de la manera següent:
- Elaborar-se a mida de les obligacions i els riscos de Compliance de la plantilla, en relació amb els seus rols i responsabilitats, i centrar-se, quan calgui, en les mancances de coneixement.
- Pràctica i comprensible per als diferents grups d’interès i sensibilitat dels destinataris.
- Estar alineada amb les polítiques internes i la realitat de l’organització.
- Ser rellevant per a la feina diària que s’exerceix.
- Estar actualitzada a les normes internes i externes que siguin aplicables.
- Atractiva i amena.
Com aconseguir una formació i sensibilització efectiva?
Ètica i Compliance són temes complexos, i la veritat és que no hi ha cap mètode que garanteixi èxits per als esforços de l’àrea de Compliance. Ara bé, sens dubte cal una combinació entre formació, incentius, cultura i monitoratge, de manera que l’èxit residirà a determinar el mix adequat per a cada organització.
Per tant, el millor mètode versarà en un desenvolupament correcte d’estratègia de formació i sensibilització sobre els valors i les polítiques internes de l’organització. En qualsevol cas, l’estratègia de formació i sensibilització s’ha de dissenyar sempre a mida de l’organització i les necessitats concretes en un moment donat.
Quina és la finalitat de la sensibilització i formació de la plantilla?
Un correcte Sistema de Compliance ha de tenir com a objectiu no només prevenir i detectar de manera eficaç les males praxis o conductes en l’organització, sinó que també ha de contribuir a crear una veritable cultura ètica, compromesa amb el compliment de les normes internes i externes a les que estigui subjecta. És vital que tota la plantilla interioritzi els valors i els principis de l’organització, comptant així amb eines per prendre bones decisions. Tot això es pot aconseguir amb un adequat pla de formació a Compliance, elaborat a la mida de cada organització.
En definitiva, el Sistema de Compliance no té cap sentit, ni efecte, si la plantilla (des de consellers i directius a empleats) no el coneixen, ja que és clar que “el que no es coneix, no es comunica”.
Departament de Compliance de Molins Defensa Penal.
El Codi Ètic ¿es tracta d’un element fonamental del sistema de gestió de Compliance?
El Codi Ètic podria definir-se com la constitució normativa d’una organització, això és la norma fonamental de la qual es desprenen totes les altres. Serà, així mateix, l’ànima de l’organització, un document en el qual es recullin els principis i valors que han de presidir en ella, i que hauran de complir tots i cadascun dels integrants d’aquesta.
Funcionalment, el Codi Ètic és una eina molt útil per a la direcció empresarial, l’objectiu de la qual és assegurar que els empleats i empleades compleixin amb la normativa a la qual es troba subjecta l’organització i que realitzin la seva activitat conforme als valors que aquesta ha establert i que constitueixen l’essència de la cultura corporativa.
És important que el Codi Ètic estigui viu, que no sigui un simple document o proclamació de bones intencions, i que sigui vinculant tant per a empleats i empleades com per als directius i directives de l’organització. No solament a aquests, sinó que ja és una pràctica habitual que tercers, especialment col·laboradors i proveïdors, també es trobin vinculats al compliment dels principis fonamentals del Codi Ètic (en major o menor mesura i, a vegades, a través d’un concret Codi de Conducta per a tercers i/o de clàusules contractuals específiques).
Per a poder proclamar els principis fonamentals de l’organització, és altament recomanable que el Codi Ètic empresarial es publiqui a la pàgina web i sigui accessible a tercers.
Pel que fa al seu contingut, el Codi Ètic ha de ser capaç d’oferir pautes, orientacions i ésser la sinergia de tota la multiregulació sectorial existent i que apliqui a la concreta organització. Això és, ha de contenir els principis sobre els quals es desenvolupi la normativa interna i específica de l’organització.
En qualsevol cas, i malgrat que sigui vinculant per als integrants de l’organització, fins i tot tercers i es pengi a la web, perquè el Codi Ètic sigui veritablement un codi, i, a més, ètic, és inexcusable que se sustenti en l’estructura vertical de l’organització, que arribi a totes les àrees d’aquesta. Això no es pot aconseguir sense la participació activa de l’òrgan d’administració i direcció de l’organització, a través del que es diu un adequat tone from the top.
Aquests òrgans de direcció són els que han de promoure la veritable cultura de compliment. Per a pretendre una gestió del risc eficient, és necessari influir en l’alta direcció, generant una cultura d’organització que tendeixi a l’observança absoluta de l’ordenament jurídic.
En conseqüència d’això, pot ser recomanable l’establiment d’un sistema de retribució qualitatiu per donar compliment al Codi Ètic, i en general per l’observança de la normativa en matèria de Compliance. Aquest requisit s’imposa en la majoria dels ordenaments (els Estats Units, Itàlia, Xile) i també s’apunta en les normes tècniques de Compliance nacionals i internacionals.
Finalment, i no precisament menys important, cal assenyalar, malgrat que el Codi Penal espanyol no apel·la a la formació entre els requisits establerts per a un “model d’organització i gestió” en el seu article 31 bis 2º, l’experiència demostra la importància de la formació i sensibilització continuada com un element essencial per a garantir la vivència del Compliance, i en el que concerneix a aquest article, del Codi Ètic i els seus principis.
La formació i sensibilització periòdica i sobrevinguda és una manera de garantir un correcte funcionament del Codi Ètic i de l’estructura i normativa de Compliance.
En qualsevol cas, les mesures de formació i sensibilització són eines summament eficients en la mesura en què suposen un estalvi de costos per a l’organització, això és, com més es garanteixi la vivència i el compliment del Codi Ètic, menys costos necessitarà l’organització per a desenvolupar controls per tal de de garantir el seu compliment.
Departament de Compliance de Molins Defensa Penal.
Pau Molins: “No sona estrany que Villarejo acusi Rajoy de l’operació Catalunya, però s’ha de provar”
Pau Molins ahir a Catalunya Ràdio reconeix que ha estat un “calvari” presentar la querella de l’expresident del Barça Sandro Rosell, víctima de la #operacióCatalunya, contra l’excomissari Villarejo. “A Madrid tenen la sensació que això és un tema de quatre indepes. I no és veritat. Hauria d’interessar a tots els unionistes, constitucionalistes i demòcrates. No és una qüestió de color polític, sinó de respecte a l’estat de dret”.
La confessió del fiscal del judici de Lola Flores per defraudar Hisenda: “Va ser escollida com a exemple, segur”
Trenta anys després del judici de Lola Flores per defraudar a Hisenda, La Sexta analitza el cas amb el nostre soci director de l’Oficina de Madrid Luis Jordana de Pozas Gonzálbez que va ser el fiscal que el va investigar.
Podeu veure la notícia completa aquí.
Òrgan de Compliance, intern o extern?
En els últims #ComplianceKeys s’ha ofert una breu anàlisi d’algunes de les principals característiques d’una prominent figura de tot Sistema de Compliance: l’òrgan de Compliance. Així, en les anteriors publicacions s’han tractat qüestions com ara la seva configuració com a òrgan unipersonal o col·legiat (ComplianceKeys17) o les seves principals funcions i responsabilitats (ComplianceKeys18).
En el present ComplianceKeys es tractarà una altra qüestió igualment essencial respecte aquest òrgan: la seva configuració com un òrgan intern o extern respecte a la persona jurídica en qüestió.
En primer lloc, ha d’assenyalar-se que, de la mateixa forma que succeís respecte altres característiques relatives a l’òrgan de Compliance, la regulació jurídic-penal en la present matèria és relativament parca. Així, únicament s’estableix en l’article 31 bis 2.2a del Codi Penal que: “la supervisió del funcionament i del compliment del model de prevenció implantat ha estat confiada a un òrgan de la persona jurídica […]”.
D’aquesta manera, el Codi Penal únicament estableix que els òrgans de govern de les persones jurídiques (per ser sobre qui recau originalment el deure de prevenir delictes en les entitats que dirigeixen) han d’assignar el deure de supervisar el funcionament i compliment del Sistema de Compliance a un òrgan de la persona jurídica.
La redacció del present precepte, en fer referència a “un òrgan de la persona jurídica” podria semblar indicativa que les funcions i responsabilitats (ComplianceKeys18) dels òrgans de Compliance només poden ser desenvolupades per òrgans interns. No obstant això, la interpretació pràctica d’aquest precepte no ha estat tan restrictiva.
Com pot observar-se en la Circular de la Fiscalia General de l’Estat 1/2016, si bé ha de designar-se a un òrgan intern de la persona jurídica que exerceixi una funció de supervisió general del Sistema de Compliance, això no implica que aquest òrgan hagi d’exercir per si mateix totes les tasques que caracteritzen a la funció de Compliance d’una persona jurídica.
És més, s’estableix expressament en l’esmentada Circular que tampoc existeix cap inconvenient en què les persones jurídiques puguin recórrer a la contractació externa de les diferents activitats en matèria de Compliance.
Així doncs, a mode de conclusió, d’una lectura conjunta de l’article 31 bis 2.2a del Codi Penal i de la seva interpretació continguda en la Circular 1/2016 de la Fiscalia General de l’Estat pot adduir-se que, si bé, les persones jurídiques han de comptar necessàriament amb un òrgan intern responsable de la funció de Compliance amb la finalitat de disposar d’un Sistema de Compliance que es pugui considerar eficaç, això no implica que totes i cadascuna de les tasques que integren aquesta funció hagin de ser exercides per aquest òrgan.
És més, ha de tenir-se en consideració que l’externalització d’algunes de les responsabilitats de la funció de Compliance (com podrien ser, entre altres qüestions, l’anàlisi dels riscos jurídic-penals associats a les activitats que desenvolupi una entitat, el desenvolupament de determinada normativa interna, l’execució de formacions, entre altres) pot suposar un major benefici que el seu desenvolupament intern. Això, simplement per motiu de l’objectivitat i coneixement especialitzat dels quals pot gaudir un tercer extern a la persona jurídica en qüestió.
Departament de Compliance de Molins Defensa Penal.
Les funcions i responsabilitats del Compliance Officer
En l’últim #ComplianceKeys (ComplianceKeys17) es va realitzar una breu introducció a una de les característiques bàsiques dels òrgans de Compliance: la seva possible configuració com a òrgans unipersonals (per exemple, mitjançant la figura del Compliance Officer) o com a òrgans col·legiats (per exemple, com un Comitè d’Ètica i Compliance).
Aprofundint en les característiques d’aquesta rellevant figura per a tot Sistema o Programa de Compliance, en el present ComplianceKeys18 s’oferiran unes breus pinzellades respecte les principals funcions i responsabilitats que aquest òrgan ha d’assumir, tenint en compte que posteriorment serà cada organització la que acabi de definir les seves concretes funcions.
Aquesta qüestió de caràcter bàsic ofereix una certa complexitat en la posada en pràctica. Això, en la mesura que el marc regulador gairebé no es pronuncia sobre aquest tema. En aquest sentit, l’article 31 bis .2 del Codi Penal únicament estableix que: “la supervisió del funcionament i del compliment del model de prevenció implantat ha estat confiada a un òrgan de la persona jurídica […]”.
Respecte a aquesta succinta referència cal destacar un aspecte primordial: l’òrgan de Compliance és l’encarregat de la supervisió i impuls del funcionament i compliment del Programa o Sistema de Compliance, però no de la prevenció de delictes o del propi Sistema de Compliance en si mateix.
En aquest context, diferents membres de les organitzacions hauran de participar en la funció de Compliance, això és, en el funcionament dels mecanismes de prevenció i control que conformen els Programes o Sistemes de Compliance (per exemple, en els circuits de compres o de pagaments, mitjançant la realització d’auditories, entre altres).
Així doncs, l’òrgan de Compliance no és l’encarregat del compliment en la pràctica del Programa o Sistema de Compliance, només de la seva supervisió i de l’impuls per al seu bon funcionament. En aquest sentit, el compliment recau sobre tots i cadascun dels membres que conformen una organització (amb independència de la seva posició jeràrquica o les seves funcions en l’entitat).
Com és usual en matèria de Compliance, l’autoregulació, normes tècniques i la pràctica professional han vingut a cobrir el buit regulador respecte a la qüestió de quines funcions i responsabilitats han d’assumir els òrgans de Compliance.
Sense ànim exhaustiu, algunes de les principals funcions i responsabilitats que segons els estàndards i les best practices en la matèria han d’assumir els òrgans de Compliance són les següents (i que en moltes ocasions poden externalitzar-se íntegrament o en part):
- Analitzar els riscos que, en abstracte, poden afectar una organització (a través del que es coneix generalment com a Informes de riscos, ja siguin aquests penals –el més freqüent- o que abastin altres matèries de Compliance com a blanqueig de capitals, tax, etc.).
- Dirigir el desenvolupament i implementació del Programa o Sistema de Compliance (liderant el desenvolupament de normativa interna tenint en consideració les característiques i riscos de l’organització).
- Gestionar el Canal Ètic o de denúncies i, en el seu cas, dirigir les recerques internes que poguessin haver de dur-se a terme (ha de destacar-se que aquesta qüestió és susceptible de variar en gran manera en cada diferent organització).
- Assegurar l’adequació a l’organització del Programa o Sistema de Compliance (analitzant canvis legislatius, responent davant canvis d’activitat de la pròpia organització, etc.).
- Activitats de formació, sensibilització i comunicació en matèria de Compliance (amb la finalitat d’assegurar, crear o mantenir la cultura ètica empresarial i l’eficàcia de determinats controls de l’organització).
- Entre altres funcions (com podrien ser l’execució de determinats controls, la representació de la persona jurídica davant autoritats, la representació en el marc de processos judicials, etc.).
D’altra banda, amb la finalitat de garantir la seva imparcialitat, i en relació amb les responsabilitats que poguessin derivar del desenvolupament de les seves activitats, no sol ser recomanable que l’òrgan de Compliance assumeixi funcions decisòries (per exemple, en matèria de sanció d’un determinat membre del personal com a resultat d’una recerca interna).
Com a conclusió i recapitulació de l’anterior, pot establir-se que l’escàs marc normatiu respecte les funcions de l’òrgan de Compliance fa necessari acudir als estàndards d’autoregulació (com podrien ser els estàndards UNE 19601 o ISO 37301), així com les best practices en la matèria. A més, ha de tenir-se en compte que no hi haurà dos òrgans de Compliance que realitzin exactament les mateixes funcions: aquestes han d’adaptar-se a la concreta realitat de les organitzacions de les quals formin part.
Òrgan de Compliance: ¿unipersonal o col·legiat?
Havent analitzat en els anteriors #ComplianceKeys l’estat de la responsabilitat penal de les persones jurídiques en el pla internacional, en les següents publicacions es tornarà a adoptar un enfocament nacional i s’analitzaran algunes qüestions relatives als principals elements que conformen els Sistemes de Compliance.
En aquest sentit, de conformitat amb l’article 31 bis 2. 2ª del Codi Penal i també de tota norma tècnica nacional i internacional en Compliance, un dels elements essencials per a l’eficàcia de tot Sistema de Compliance és “l’Òrgan de Compliance”.
La normativa juridicopenal és relativament parca respecte a les característiques d’aquest Òrgan. El citat precepte només estableix que la supervisió del funcionament i compliment del Sistema de Compliance ha de confiar-se a un òrgan de la persona jurídica amb poders autònoms d’iniciativa i de control o que tingui encomanada legalment la funció de supervisar l’eficàcia dels controls interns de la persona jurídica.
En aquest sentit, les persones jurídiques que decideixin adoptar un Sistema de Compliance hauran d’acordar diverses decisions respecte la configuració de l’Òrgan de Compliance: Ha de designar-se a una persona individual o ha de nomenar-se a un òrgan col·legiat? Qui ha de constituir l’Òrgan de Compliance? Quines funcions ha de tenir l’Òrgan de Compliance?
En el present ComplianceKeys es buscarà, succintament, donar llum a una de les qüestions plantejades anteriorment: alguns factors que cal tenir en compte en el moment d’optar per constituir un Òrgan de Compliance unipersonal (ja sigui sota la denominació de Compliance Officer, responsable de Compliance, entre altres) o col·legiat (mitjançant un Comitè de Compliance, d’Ètica, etc.). En tot cas, aquesta segona opció no obsta al fet que, dins dels membres de l’òrgan col·legiat, es nomeni un Compliance Officer.
Com s’ha introduït, la regulació establerta sobre això en el Codi Penal no ofereix resposta respecte la present (i altres) qüestió. Després d’acudir a la Circular de la Fiscalia General de l’Estat 1/2016, sobre la responsabilitat penal de les persones jurídiques, pot concloure’s que la vaguetat de la regulació és intencional. Aquesta vaguetat buscaria dotar de llibertat a les persones jurídiques per a configurar els seus Òrgans de Compliance d’una forma que s’adapti a la seva grandària, activitat i recursos.
Concretament, l’esmentada Circular estableix el següent: “[…] la norma s’està referint a un òrgan de compliment (oficial de compliment o compliance officer) que, depenent de la grandària de la persona jurídica, podrà estar constituït per una o per diverses persones, amb la suficient formació i autoritat”.
Doncs bé, la decisió de configurar l’Òrgan de Compliance com a unipersonal o col·legiat serà de caràcter estratègic, havent-se de tenir en compte que cada opció té els seus avantatges i inconvenients.
De manera il·lustrativa, a continuació, es mostraran de forma esquemàtica alguns dels avantatges i inconvenients comunament associats a cadascuna de les opcions:
| Opció | Avantatges | Inconvenients |
| Òrgan unipersonal | + Major agilitat en l’adopció de decisions.
+ En general, major responsabilitat i compromís al recaure la funció de Compliance en una sola persona. + En general, menor necessitat de recursos. + Identificació del Sistema de Compliance en un individu que, d’estar correctament escollit, pot generar major confiança en els membres de la persona jurídica. |
– Major possibilitat d’existència (o, si és el cas, de rellevància) de conflictes d’interès)
– Adopció de decisions rellevants en matèria de Compliance de forma no consensuada, per un únic individu. – Possibilitat que la càrrega de treball generada per la funció de Compliance sigui de difícil assumpció per un únic individu. |
| Òrgan col·legiat | + Adopció de les decisions en matèria de Compliance de forma consensuada.
+ Major facilitat de tramitació de comunicacions que eventualment afectaran a un membre de l’Òrgan de Compliance. + Possibilitat de constituir l’Òrgan de Compliance incorporant perfils tècnics de caràcter complementari (legal, IT, laboral). + Opció atractiva per entitats de mitjana grandària que no tinguin els recursos per contractar a una persona que específicament es dediqui al desenvolupament de la funció de compliment però gaudeixin d’un Sistema de Compliance de certa complexitat. |
– Presa de decisions i execució de les mateixes més lentament (dificultat per convocar reunions, adoptar determinades decisions conflictives, reaccionar en front de situacions urgents, etc.).
– Possible configuració d’un òrgan col·legiat amb perfils directius executius (conflictes d’interès).
|
A més, convé recordar que el Codi Penal preveu la possibilitat que, en persones jurídiques de petites dimensions, la funció de Compliance recaigui directament sobre el seu òrgan d’administració.
Amb la finalitat de recapitular les diferents qüestions tractades en el present article, les conclusions que han d’extreure’s són que cada entitat serà lliure de triar, en funció de la seva grandària, del sector en el qual opera, de la naturalesa de les seves activitats, tenint en consideració els avantatges i desavantatges associats a la decisió, la configuració del concret Òrgan de Compliance que liderarà el desenvolupament i supervisió del seu Sistema de Compliance.
Departament de Compliance de Molins Defensa Penal.
L’informe i el mapa de riscos penals
#ComplianceKeys16
Tot Programa o Sistema de Compliance està compost per un conjunt d’elements que solen estar sempre presents amb independència de l’objecte o l’abast del Programa o Sistema en qüestió. Parlem, per exemple, d’elements com disposar d’un òrgan o responsable intern de Compliance, un mecanisme de comunicació intern, formació, etcètera.
Entre aquests elements innegociables, trobem l’informe i el mapa de riscos penals. Ara bé, la veritat és que, en atenció a l’objecte i a l’abast concret del Programa o Sistema de Compliance, l’informe i mapa de riscos pot ampliar-se més enllà dels riscos penals, incorporant també altres riscos de Compliance (tax; blanqueig de capitals; medi ambient; entre altres).
L’article 31 bis 5.1 del Codi Penal requereix que els Programes o Sistemes de Compliance comptin amb una avaluació dels riscos penals: “Identificaran les activitats en l’àmbit de les quals puguin ser comesos els delictes que han de ser previnguts”. Per part seva, la secció 4.6 de l’ISO 37301 de Sistemes de gestió de Compliance i la secció 6.2 de la UNE 19601 de Sistemes de gestió de Compliance penal també exigeixen la identificació i avaluació dels riscos.
En què consisteix l’elaboració d’un informe i mapa de riscos penals? De forma molt resumida, elaborar un informe i un mapa de riscos penals consisteix a analitzar les activitats, l’estructura organitzativa i les relacions amb tercers, això és, l’ecosistema d’una determinada organització, amb l’objectiu de detectar i prioritzar, a través d’una avaluació, quins són els riscos penals als quals s’exposa una determinada organització per les seves concretes activitats.
Això resulta molt important, perquè l’avaluació i priorització dels riscos penals marcarà el posterior desenvolupament i implementació del Programa o Sistema de Compliance. En conseqüència, no pot fer-se una anàlisi etèria o copiar l’informe i el mapa d’un tercer, en tant cada organització s’enfronta als seus propis riscos penals. Per exemple, res té a veure els riscos penals d’una empresa constructora dels d’una empresa del sector farmacèutic. Fins i tot entre organitzacions del mateix sector l’informe i el mapa de riscos pot diferir notablement segons la dependència de la contractació pública, els països en els quals s’operi, la cadena de subministrament, etcètera.
Quan ha d’elaborar-se l’informe i el mapa de riscos penals? Generalment, té lloc durant les fases inicials de disseny del Programa o Sistema de Compliance, en tant permet realitzar un estudi en profunditat de les activitats i l’estructura organitzativa de l’organització. A més, l’adopció de polítiques, procediments i altres mecanismes de control ha de realitzar-se sobre la base dels riscos detectats, especialment en aquells riscos valorats amb una major criticitat.
No obstant això, l’informe i el mapa de riscos penals ha d’estar vigent en tot moment, per la qual cosa haurà de ser revisat de manera periòdica i s’haurà d’actualitzar degudament quan existeixin motius interns o externs que puguin provocar un canvi en la identificació o la valoració dels riscos penals. Per exemple, el llançament d’una nova línia de negoci, l’adquisició d’una empresa, canvis en la legislació aplicable, sancions o incompliments rellevants, entre altres motius.
D’aquesta manera, l’informe i el mapa de riscos penals es configura com un element clau en tot Programa o Sistema de Compliance, que ha de tenir lloc en un estadi inicial del seu disseny i que ha de revisar-se i actualitzar-se adequadament.
Departament de Compliance de Molins Defensa Penal.