Del ingenio al estándar en los programas de compliance penal
Se ha pasado del modelo de organización y gestión del artículo 31 bis del Código Penal al sistema de gestión UNE 19601
En España hemos empezado a comprender que el concepto compliance va mucho más allá del Código penal y el compliance penal. Compliance es -o debe ser- un mecanismo organizativo que permita conocer el total de obligaciones a las que se enfrenta una persona jurídica y que a su vez establezca los procedimientos y medidas de control necesarios para detectar, prevenir y, en su caso, reaccionar ante los riesgos de incumplir con esas obligaciones, ya sean éstas de carácter público o privado, de naturaleza sancionadora o contractual, imperativas o asumidas voluntariamente, etc.
Resulta aun así común que, también en España, al hablar de compliance, casi de forma instintiva nuestra mente se dirija al ámbito del Derecho penal y la responsabilidad penal de las personas jurídicas. Es comprensible, pues dentro de los ámbitos donde resulta especialmente relevante contar con estructuras de compliance, el penal ocupa un lugar destacado, al enfrentarse las organizaciones, no sólo a multas e inhabilitaciones que pueden ser decisivas en su cuenta de resultados, sino a un especial daño reputacional derivado de la pena de banquillo o telediario aplicada a la persona jurídica.
Los profesionales en este ámbito sabemos, igualmente, que con la entrada en vigor de la reforma del Código penal de 2010, y muy especialmente con la reforma de 2015, la existencia de estructuras de compliance en las organizaciones no sólo es fundamental para evitar el delito corporativo, sino que son imprescindibles para sostener, si se produjera el delito, que la organización, si bien no pudo evitarlo, estableció las medidas que estaban a su alcance para que no se produjera y, en su caso, para minimizar sus efectos. Y en esta tarea, acometida generalmente -pero no sólo- por profesionales del Derecho, ciertamente han ido apareciendo metodologías y estructuras más o menos desarrolladas pero, en general, hemos ido desarrollando planes de prevención penal o modelos de prevención de delitos como buenamente hemos creído razonable. Me atrevería a decir que los modelos de organización y gestión de los que habla del artículo 31 bis han ido creciendo a golpe de necesidad e ingenio, dando lugar en muchos casos a auténticas obras de arte (también a programas incalificables), pero en los que no existe una pauta, ni unidad, ni mínimos, ni, en general, una estructura y metodología identificable que permita al mercado y a los operadores jurídicos reconocer -medir- la capacidad de los mismos para lograr sus fines, más allá de la confianza que pueda generar la firma de consultoría.
Precisamente, para tratar de poner fin a esta dispersión, hace ya algunos meses que se publicó en España el estándar nacional UNE 19601 sobre Sistemas de Gestión de Compliance Penal. El estándar UNE, como su propia introducción reza, "viene a establecer un marco de referencia completo que no sólo permite disponer de sistemas de gestión de compliance penal alineados con las exigencias del Código Penal español, sino completarlos con los estándares internacionales en materia de compliance que contribuyen a cincelar sus contenidos e incrementar su eficacia". En otras palabras, el estándar tiene el objetivo, al menos, de desarrollar en profundidad las elementales exigencias dispuestas en el artículo 31 bis de nuestro Código, especialmente lo referido al órgano de compliance del artículo 31 bis 2.2ª y a la estructura mínima del modelo del artículo 31 bis 5, y hacerlo siguiendo reconocidas prácticas internacionales en el ámbito de la autorregulación empresarial. Ciertamente, su objetivo final es aún más ambicioso, pretendiendo servir como metodología para diseñar sistemas para la prevención, detección y reacción del delito en otros ordenamientos jurídicos e, incluso, por su natural relación con el estándar internacional ISO 19600, extender su metodología y estructura para la creación de superestructuras de compliance que contemplen el -a veces- inabarcable abanico de obligaciones y riesgos de incumplimiento a los que se enfrenta una organización en el día a día.
No en vano, la estructura de este estándar español se basa en la reconocida estructura ISO de alto nivel, adoptada con su actual diseño en normas tan reconocidas en el ámbito mercantil como la ISO 9001 sobre sistemas de gestión de calidad, ISO 14001 sobre sistemas de gestión ambiental o ISO 27001 sobre sistemas de gestión de seguridad de la información. Los dos primeros estándares, que vivieron su edad de oro en los años 90, resurgen ahora -con las imprescindibles actualizaciones- como base para el establecimiento de nuevos sistemas de gestión organizativa, como los de seguridad de la información o de compliance penal.
En mi opinión, la utilización de estructuras de alto nivel ISO para diseñar un sistema de gestión de compliance penal que arroje luz sobre los modelos de organización y gestión del Código penal español supone, a todas luces, un acierto de nuestro normalizador y del Comité que desarrolló el estándar, cuyo presidente fue el tristemente fallecido ex Fiscal General del Estado, D. Manuel Maza.
Por un lado, porque dan respuesta al legislador penal, cuya voluntad ha sido precisamente la de regular los mínimos de una estructura organizativa destinada a la prevención del delito, pero ha preferido dejar en el ámbito de la autorregulación el detalle o desarrollo de dichos modelos en las organizaciones. Una suerte de prudencia legislativa que, si bien ha encontrado posicionamientos enfrentados en nuestra doctrina, permite a las empresas y otras organizaciones (también partidos políticos, ONGs clubes de fútbol, etc.) adoptar el modelo que mejor se adapte a su estructura organizativa de forma razonable y proporcional, elementos que se perciben constantemente a lo largo del estándar UNE.
Por otro lado, el desarrollo de esta norma es un acierto porque permite a las organizaciones disponer, o exigir a sus firmas de confianza, que sigan una metodología y estructura común para los modelos de organización y gestión que el artículo 31 bis del Código penal 'sugiere' tener a las personas jurídicas, ya que una vez que sigan los elementos de este estándar de compliance, serán fácilmente reconocibles no sólo en el ámbito nacional sino también en el internacional.
Por último, es indudable que disponer de esta norma de autorregulación va a permitir a los operadores jurídicos identificar buenos modelos de organización y gestión y huir del denominado paper compliance, y los programas de cumplimiento 'al peso'. Es una constante en el ámbito ISO que la documentación de los sistemas tiende a ser la mínima necesaria, siendo lo relevante la efectiva implementación del sistema en el día a día de la organización, gestionando procesos de riesgo, ejecutando las medidas de control planificadas y generando eventuales registros de funcionamiento. Además, pero no menos importante, el diseño de los modelos de organización y gestión del artículo 31 bis conforme al estándar UNE 19601 permite acudir a procesos reglados de auditoría de tercera aparte y la eventual emisión de certificados acreditados de conformidad sobre la existencia y funcionamiento real de dichos modelos en las organizaciones, verificaciones a las que desde instancias judiciales como la presidencia de la Audiencia Nacional ya se han referido como elementos de prueba pre-pericial, otorgándoles máxima relevancia probatoria en un eventual proceso penal.
En definitiva, se puede decir que el gran reto inmediato de las organizaciones -también de las firmas de asesoramiento y consultoría en esta materia- es adaptar los modelos de organización gestión recogidos en el artículo 31 bis Código Penal y que han ido desarrollando estos últimos años, al estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal, que ofrece estructura, metodología, reconocimiento internacional y seguridad jurídica para las empresas y los operadores jurídicos en el ámbito de la responsabilidad penal de las personas jurídicas.
Jorge Alexandre González. Abogado. Doctor en Derecho penal. Compliance Manager en EQA