Prevención de delitos
El pasado 22 de enero fue publicada la esperada Circular 1/2016, sobre la responsabilidad de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. Lo dispuesto en esta Circular reviste especial trascendencia, puesto que se establecen los criterios de la fiscalía ante un procedimiento penal dirigido contra una persona jurídica, criterios que junto con los de los Jueces, son los realmente relevantes, ya que en sede judicial es donde se valorará la verdadera eficacia e idoneidad de un Programa de Prevención de Delitos.
Dicho esto, vamos a pasar a analizar, desde nuestro punto de vista los aspectos más destacados de la Circular en relación con las condiciones y requisitos los modelos de organización y gestión. En entradas posteriores analizaremos otros aspectos contemplados en la Circular.
Para comenzar, los “Corporate Compliance Programas” deben ser modelos para cumplir con la legalidad en general y no únicamente para la prevención penal. De lo que se trata es de los programas estén enfocados a conseguir en las empresas una cultura corporativa de respeto a la Ley, promoviendo una verdadera ética empresarial donde la comisión de un delito sea una excepción y la exención de la pena sea una consecuencia natural de esta cultura. Es decir, un programa de prevención de delitos perfectamente diseñado al que se asignen cuantiosos recursos, no sería efectivo si paralelamente la empresa incumple la normativa de protección de datos de carácter personal, prevención de riesgos laborales o prevención de blanqueo de capitales.
En cuanto a los requisitos concretos, pasamos a enumerarlos a continuación, pero antes es necesario destacar que la Fiscalía no considera que la comisión de un delito invalide de manera automática el programa de prevención, ya que la idoneidad en el articulado del Código Penal se establece con carácter relativo, admitiendo como eficaz un programa que “reduzca de forma significativa” el riesgo de comisión de un delito.
Pasamos a analizar los requisitos:
- Los modelos de organización y gestión deben ser claros, precisos, eficaces, redactados por escrito y adaptados a la empresa y a sus riesgos.
- Deben establecer procedimientos eficaces de gestión del riesgo, que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades.
- Deben existir aplicaciones informáticas que controlen de manera exhaustiva los procesos internos de negocio de la empresa. Es decir, la aplicación central de la empresa ha de ser mínimamente robusta y ha de haber sido debidamente auditada.
- Los protocolos y procedimientos de formación de la voluntad de la persona jurídica, de adopción y de ejecución de decisiones, deben garantizar estándares éticos, de manera singular en la contratación y promoción de directivos y en el nombramiento de los miembros de los órganos de administración.
- El modelo debe tener además de eficacia preventiva, eficacia detectiva, siendo el canal de denuncias uno de los elementos claves del modelo. El canal de denuncias deberá garantizar la confidencialidad de la información y, sobre todo, la protección específica del denunciante, contando con una regulación específica.
- El modelo debe establecer un Código de Conducta en el que se establezca de manera concreta las obligaciones de directivos y empleados.
- El modelo debe establecer un sistema disciplinario adecuado que sancione el incumplimiento del Código de Conducta. Las infracciones más graves serán las constitutivas de delitos, pero además se contemplarán las conductas que contribuyan a impedir o dificultar el descubrimiento de delitos, así como la infracción específica de poner en conocimiento del órgano de control los incumplimientos detectados.
- El modelo debe establecer plazos y procedimientos para verificar de manera periódica la eficacia del modelo. Además, será revisado de forma inmediata ante cambios que puedan alterar significativamente el perfil de riesgo de la empresa.
A la vista de lo expuesto, estas son nuestras reflexiones:
- Para el diseño del modelo de organización y gestión, pueden ser de gran ayuda normas como la ISO 19600 o la ISO 31000 para la gestión del riesgo, ya que establecen conceptos como el liderazgo y compromiso de la dirección, el establecimiento de roles y responsabilidades, la formación y la concienciación, la necesidad de documentación, el establecimiento de procedimientos, la evaluación del desempeño o la mejora continua, requisitos que encontramos en los criterios comentados anteriormente. Incluso, podría ser una referencia estándares como la ISO 20000 o la ISO 27001 en relación a las aplicaciones informáticas, o esta última también para acreditar la confidencialidad del canal de denuncias.
- El hecho de contar con certificaciones no es un seguro para evitar la responsabilidad penal, lo importante es que el sistema sea eficaz e idóneo. Las normas pueden ser una guía para desarrollar el sistema, pero quienes van a valorar el modelo son los jueces y fiscales y no una entidad de certificación.
- Para el Análisis de Riesgos, es de vital importancia que estén presentes especialistas en derecho penal, que conozcan los delitos que pueden generar responsabilidad penal, puesto que los riegos a analizar son los penales.
- Finalmente decir, que el hecho contar con un sistema diseñado no es suficiente, al final es la propia empresa la que tiene que comprometerse con lo establecido en el programa, teniendo muy presente que la única manera de hacer negocios es cumpliendo con las leyes y las normas aplicables.