¿Es útil el Sistema de Compliance que tengo en mi empresa?
Los que nos dedicamos al Compliance, y por tanto nos ocupamos de, entre otras actividades, identificar y clasificar los riesgos penales a los que se enfrentan las empresas, asesorándolas en el establecimiento de mecanismos internos de prevención, gestión y control de los mismos, oímos con harta frecuencia la conocida frase de “Sí, en la empresa cumplimos y tenemos un Compliance desde hace…”, desde cuando sea. ¡Perfecto! Primer objetivo cumplido. Pero, desde que lo tenéis ¿qué habéis hecho en materia de Compliance? Y es aquí donde muchas veces no obtenemos ninguna respuesta y, precisamente, cuándo los profesionales del sector debemos entrar en juego.
La esencia, y a su vez el objetivo, de contar con un Modelo de Prevención de Delitos o un Sistema de Compliance no es, al fin y al cabo, nada muy diferente a lo que buscamos en nuestro día a día empresarial: por un lado, establecer una filosofía corporativa que recoja los valores y principios éticos que guiarán la actuación de la empresa e implantar una verdadera cultura de cumplimiento en ella. Y por otro, estar lo mejor preparados posible por si en algún momento ocurre un problema. Estar listos para protegernos y dar una respuesta adecuada ante la adversidad.
Estamos hablando de reaccionar y proteger a la persona jurídica ante cualquier delito que se haya cometido en su seno y del que ésta pudiera ser penalmente responsable. En definitiva, hablamos de aquello tan clásico de “prevenir antes que curar.”
Si tenemos un Sistema de Compliance desde hace años, pero en todo este tiempo no hemos llevado a cabo ninguna actuación para tenerlo al día, sino que lo hemos dejado guardado en un cajón por si algún día lo necesitábamos, tenemos un problema porque, seguramente, disponemos de un Sistema de Compliance obsoleto y de poca utilidad.
Dicho de otra forma, no solo es altamente recomendable contar con un Sistema de Compliance, cómo os comentábamos a principios de año (https://molins.eu/staging01/la-obligatoriedad-del-compliance/), sino que éste debe estar actualizado, revisado y completamente adaptado a las características y a las necesidades de la empresa. Es decir, debemos mantener el Sistema de Compliance útil.
En el apartado 5 del artículo 31 bis del Código Penal ya se establece la necesaria verificación periódica del Sistema y, por tanto, la conveniente actualización de éste. En este mismo sentido, la UNE-ISO 37301 fundamenta la idoneidad, adecuación y eficacia de los citados modelos en un proceso de revisión que permita su verificación y mejora y la Circular 1/2016 de la Fiscalía General del Estado afirma que un adecuado modelo de organización debe contemplar expresamente los plazos y procedimientos de las verificaciones periódicas.
Asimismo, conviene no olvidar que la revisión también se configura como un requisito a cumplir en caso de existir una infracción relevante, una eventual modificación en la persona jurídica, en su estructura de control o en su actividad.
La persona jurídica es un ente en constante cambio y su Sistema de Compliance debe evolucionar con ella. Precisamente por este motivo, debemos mantenerlo vivo y bajo un seguimiento periódico para que se acompase al ritmo al que se desarrolla la empresa.
Hecha esta constatación y clarificada la necesidad de tener un Sistema de Compliance al día, ¿qué podemos hacer para que así sea?
Primeramente, tenemos que analizar si el Sistema de Compliance está adecuadamente diseñado, es decir, si cumple con el Código Penal y, en su caso, con los estándares nacionales e internacionales en materia de Compliance. En segundo lugar, debemos comprobar que éste se ha implementado correctamente.
Si nos encontramos ante un Sistema de Compliance como al que nos referíamos anteriormente, aquél que se guardó en el cajón poco después de adoptarse y durante unos años, muy probablemente carecerá de una buena implementación ya que, por falta de atención, recursos o interés, habrá quedado desfasado.
En este caso, es esencial recuperar la base ya existente, aprovechar el trabajo realizado y, a partir de ahí, seguir construyendo para contar con un Sistema actualizado. Debemos asignar y dedicar esfuerzos (económicos, humanos, etc.) de forma constante para mantenerlo vigente y útil.
Recientemente, en el Auto de 29 de julio de 2021, en el que el Juzgado Central de Instrucción nº 6 dicta el sobreseimiento provisional de Caixabank y Repsol – investigadas por un presunto delito de cohecho (artículo 427 bis del Código Penal) y por un presunto delito de revelación de secretos (artículo 197 quinquies del Código Penal) –, el Tribunal afirma como fundamento que:
“[Caixabank] puso de manifiesto que existen multitud de controles y normas vigentes en la entidad en la fecha de los hechos y que eran conocidos por los empleados. […] Caixabank aporta un Modelo de Prevención de Delitos que se actualiza y mejora de manera continua”.
En este mismo sentido, y refiriéndose a Repsol, el Tribunal asegura que:
“La entidad contaba con un Modelo de Prevención de Riesgos instaurado […] y desarrolla las actualizaciones de dicho modelo en los años sucesivos a través de una verificación periódica y constante”.
Conviene destacar que, en este caso, Caixabank aporta documentalmente su Matriz de riesgos realizada en 2011 y hasta cinco versiones actualizadas de la misma (2012, 2016, 2019, 2020 y 2021), quedando patente la actualización y mantenimiento de su Modelo de Prevención de Delitos acorde con la evolución de la entidad y los cambios normativos.
Finalmente, el Tribunal concluye que ”no se trata tan solo de acreditar la existencia de un Sistema de prevención que impidió la comisión del delito, sino que deberán establecerse qué medidas concretas podrían haber evitado precisamente la comisión del delito investigado”.
En definitiva, no se trata únicamente de contar con un Sistema de Compliance, sino que éste debe estar implementado y actualizado, debiéndose revisar periódicamente para que incluya los controles adecuados y vigentes que prevenga aquellos delitos susceptibles de ser cometidos en el seno de la persona jurídica y generar responsabilidad penal.
Clara Camps Rocabert, abogada del Departamento de Compliance de Molins Defensa Penal.