El estándar oficial de prevención penal
La Norma UNE 19601 sobre sistemas de gestión de compliance penal, que ha sido publicada recientemente por la Asociación española de normalización UNE, fija un lenguaje común en cuanto a sistemas de organización y gestión para la prevención, detección y gestión de riesgos penales.
Transcurrido el periodo de consulta pública, anunciado en el Boletín Oficial del Estado el 2 de febrero de 2017, el pasado día 18 de mayo finalmente se publicó la Norma UNE 19601 sobre sistemas de gestión de compliance penal. Es el texto que emite la Asociación española de normalización UNE, que tiene atribuidas capacidades para desarrollar normas de unificación de criterios, según Real Decreto 2200/1995, modificado por el posterior Real Decreto 1072/2015. Se trata, pues, del estándar oficial que ha sido largamente esperado y fija un lenguaje común en cuanto a sistemas de organización y gestión para la prevención, detección y gestión de riesgos penales.
El origen del estándar
España fue país miembro en las iniciativas de normalización internacional sobre compliance impulsadas por ISO, contribuyendo a la elaboración de los conocidos estándares ISO 19600 sobre Compliance Management Systems, e ISO 37001 sobre Anti-Bribery Management Systems. En este contexto, se quiso aprovechar estas experiencias para incorporar buenas prácticas internacionales a un estándar español que diese cobertura a los requisitos de nuestro Código Penal en materia de responsabilidad penal de las personas jurídicas. Por este motivo, tanto la estructura como los contenidos de la norma española son equiparables a los internacionales, aunque con las lógicas adaptaciones a nuestro entorno normativo y necesidades. Tal circunstancia no sólo facilita la eventual comprensión del modelo por operadores internacionales, sino también migrar a una superestructura de compliance que cubra también otras materias (competencia, protección de datos, etc) o establecer un sistema específico de gestión anti-soborno.
Cambio de mentalidad
La Norma UNE regula un "sistema de gestión" en el ámbito del compliance penal. Esto explica que la mayor parte de sus requisitos se encuentren vinculados unos con otros, lo cual les otorga sentido individual y de conjunto. No es un mero listado de componentes a implantar, sino que los componentes deben estar relacionados para que actúen de manera coordinada. Esto precisará cierto cambio de mentalidad, dado que no se puede evaluar la conformidad con los requisitos mediante un simple check-list de sus elementos, sino valorando también la correcta interrelación entre ellos. Por ello, toda implantación mecánica del sistema de gestión resultará infructuosa si no se analizan cuidadosamente las circunstancias de cada organización y se definen correctamente las interrelaciones de sus elementos de acuerdo con ellas. Obviamente, la Norma UNE recurre al principio de proporcionalidad, lo que dará lugar a sistemas de gestión variados pero igualmente robustos.
Estándar exigente y voluntario
Puesto que incorpora buenas prácticas internacionales sobre compliance, la Norma UNE es un estándar exigente. No se quiso producir una norma modesta, pues su objetivo era definir una herramienta capaz de poner en valor los esfuerzos de las organizaciones comprometidas con una gestión responsable, y convertirse en patrón a seguir en aquellas otras decididas a iniciar una senda de mejora. Todo ello no hubiera sido posible con un texto mediocre y distanciado de las exigencias que concurren en los mercados internacionales. Lamentablemente, no todas las organizaciones estarán en disposición de cubrir los requisitos del estándar español, aunque les servirá de guía para esbozar planes de mejora y evolucionar correctamente con el transcurso del tiempo.
En cualquier caso, la aplicación del estándar español es voluntaria, con lo cual no agota las posibilidades de defensa de aquellas organizaciones que no puedan o quieran adaptarse a sus exigencias.
Aspectos básicos
El contenido de la Norma UNE se distribuye en 10 capítulos que tratan materias críticas: el objeto de la norma, donde señala su finalidad; la referencia a otros estándares de consulta; el necesario análisis de las circunstancias de la organización, como actividad fundamental para diseñar y mantener un sistema de gestión adecuado a las mismas; el ejercicio del liderazgo en materia de prevención penal por parte del órgano de gobierno, el órgano de compliance penal y la alta dirección; la planificación de las actividades que se precisará desarrollar, como la evaluación de los riesgos penales, por ejemplo; el soporte que necesitará el sistema de gestión para su adecuada operación, como son el establecimiento de una adecuada cultura organizativa, las actividades de formación y concienciación, dotación de recursos, etc; la correcta operación del sistema fijando controles financieros, no financieros y procedimientos de diligencia debida; la evaluación del desempeño mediante reportes de compliance penal; y finalmente la mejora continua del sistema de gestión.
Todos estas estas cuestiones vienen acompañadas de buenas prácticas a desarrollar, lo que permite descender el sistema de gestión a elementos muy concretos.
Requisitos y recomendaciones
La mayor parte del contenido de la Norma UNE son requisitos, esto es, aspectos que deben ser necesariamente implantados para recibir una evaluación de conformidad con su contenido. Sin embargo, también incorpora recomendaciones que, sin ser exigibles, ayudan mucho a la aplicación práctica del estándar. Destacan sus anexos, que incluyen sugerencias sobre el modo de desarrollar los procesos de diligencia debida (frente al personal y frente a terceros), o el contenido de cláusulas contractuales de salvaguarda, por ejemplo.
Algunas cuestiones críticas
Al ser una norma exigente, la Norma UNE aborda materias que, siendo fundamentales (la prevención, detección y reacción ante delitos), son también muy sensibles. Así, por ejemplo, asegurar que el esquema de incentivos del personal que participa en actividades expuestas a riesgo penal no amenaza los objetivos de prevención penal; o que personas ajenas a la organización tengan acceso a su canal de denuncias. También trata el control penal en entidades participadas, contemplando diferentes opciones según se disponga o no de control sobre ellas. Es conveniente conocer de antemano estos y otros aspectos para valorar la proximidad a los requisitos de la Norma UNE y los esfuerzos que supondrá cumplir con ellos.
Adecuación a sus contenidos
En la actualidad, muchas organizaciones disponen ya de modelos de prevención de delitos. La Norma UNE no implica su sustitución, pero si asegurar que contemplan sus requisitos. Una comparativa del modelo implantado respecto de los requisitos del estándar español es un ejercicio apropiado para las organizaciones que quieran aproximarse al estándar oficial y eventualmente obtener una certificación de conformidad. Es un ejercicio prudente, para conocer los eventuales aspectos a modificar, pues tal vez no puedan o quieran acometerse, o precisen un dilatado tiempo de implantación.
Norma certificable
La Norma UNE 19601 es un estándar certificable, de modo que puede obtenerse un certificado de conformidad con su contenido tras un proceso de evaluación de una entidad independiente. Pero ni el estándar español ni ningún estándar internacional de compliance otorgan garantía absoluta de que no se hayan producido incidentes o no vayan a producirse, aun siendo idóneos para reducir la probabilidad de que esto suceda. A pesar de su elevado nivel de exigencia, no priva la libre valoración de prueba que asiste a las autoridades judiciales en España, que atenderán a la realidad y efectividad del modelo de organización y gestión en el ámbito penal. Toda organización que quiera alinearse al estándar español debe asumir que la defensa penal no constituye su objetivo, siendo la mera consecuencia de la aplicación real y efectiva de sus requisitos.
Baremo de diligencia debida
Puesto que recoge las prácticas que se debaten en los foros internacionales sobre compliance, la Norma UNE 19601 se convierte en un excelente baremo para medir la diligencia debida de una organización y su equipo directivo en el ámbito de la prevención de los delitos aplicables a las personas jurídicas. Por este motivo, la propia Norma señala su posible utilización a tales efectos en el ámbito judicial.
Alain Casanovas socio de KPMG Abogados y miembro coordinador del grupo ad-hoc de elaboración de la norma UNE 19601