Novedades de la proyectada Norma UNE 19601 para el sistema español de compliance penal

• Autor: Matilde Fourey González
• Páginas: 83-95

Page 83

compliance, buen gobierno corporativo y derecho penal

La compliance penal hizo una tímida pero trascen-dental aparición en 2010, y las vicisitudes posteriores demuestran que había llegado para quedarse.

Antes de entrar en materia, parece prudente comenzar por clarificar el concepto, pues la amplitud de lo que engloba el término compliance en su sentido literal tiende a difuminar su contenido, que necesita ser tangible para ser útil. La compliance o cumplimiento normativo es y debe ser un desideratum predicable de todos los que conforman la sociedad, individuos o agentes como las personas jurídicas y los organismos que, sin personalidad, funcionan de tal manera que su impacto trasciende la individualidad de quienes los componen. Sin embargo, aunque el cumplimiento normativo es exigible a personas físicas y jurídicas por igual, el término compliance en su acepción técnico-jurídica no se refiere al comportamiento de los seres humanos -o no de forma directa-, sino al de las personas jurídicas y entes sin personalidad. A modo de ejemplo, el concepto de compliance fue definido en 2015 por la OCDE como «las funciones, recursos y procedimientos implementados por una compañía para cumplir con las leyes y regulaciones que le son aplicables» (traducción libre de la definición contenida en la p. 9 del informe llamado Corporate Governance and Business Integrity. A Stocktaking of Corporate Practices).

La importancia de las empresas en la configuración de nuestra realidad y la evidencia de su huella en la economía contemporánea puso sobre la mesa la necesidad de convertirlas en sujetos normativos de primer orden, bajo el mismo título que las personas físicas. Los fallos puestos de manifiesto por casos como Enron / Worldcom hicieron tambalear los fundamentos de la economía liberal, construida sobre premisas que fueron reconsideradas a la luz de las nefastas distorsiones del mercado creadas por determinados comportamientos anticompetitivos y fraudulentos. Con ello se inició un proceso de atribución de responsabilidades jurídicas que debía superar las obligaciones formales a que las empresas estaban sometidas y que hasta entonces pretendían gobernar los grandes hitos de su existencia: creación e inscripción, obligaciones genéricas de actuación en el tráfico jurídico, insolvencia, liquidación y muerte. Se trata de una tendencia que ha pervivido hasta ahora, como puede extraerse fácilmente de las tres primeras frases del Yates Memo, de 9 de septiembre de 2015: «Fighting corporate fraud and other misconduct is a top priority of the Department of Justice. Our nation’s economy depends on effective enforcement of the civil and criminal laws that protect our financial system and, by extension, all our citizens».

El primer paso en la normalización de la actividad corporativa recayó en las entidades financieras, pero la intensidad de esta tendencia creció de for-

Page 84

ma exponencial con el diseño de las obligaciones anticorrupción derivadas de la Foreign Corrupt Practices Act («FCPA») estadounidense desde finales de los años 70. El impacto de esta ley en la homogeneización normativa internacional ha sido evidente, no solo como consecuencia de la extraterritorialidad de sus disposiciones, sino también del consenso global que ya entonces la arropaba, y que resulta manifiesto a través del florecimiento de normas de soft law tales como las Reglas de conducta de la Cámara de Comercio Internacional para combatir la extorsión y la corrupción (cuya génesis se remonta a 1977) o la posterior Convención de la OCDE para combatir el cohecho de servidores públicos extranjeros en transacciones comerciales internacionales (1997). Con ello, las personas jurídicas no solo ocuparon el foco regulatorio (contable y financiero), sino que se fueron evidenciando como sujetos directos idóneos de las disposiciones de carácter jurídico-penal, en un ámbito material que se ha ido dilatando con el paso del tiempo.

La idea subyacente a esta nueva regulación no fue que las empresas respondieran de forma objetiva por los efectos dañosos derivados de su actividad, como ocurre en materia de productos defectuosos, sino impulsar su autorregulación y su organización responsable. Decía al inicio de este artículo que la compliance no se refiere directamente al comportamiento humano, pues sus obligaciones tienen por destinatario a la persona jurídica, pero es evidente que son los individuos que la componen los que deberán ejecutarlas. Y, para permitir la correcta organización interna de la persona jurídica y su fiscalización por terceros, deberán documentar su diligencia en programas de cumplimiento o compliance programs. Con ellos ha cristalizado el concepto de compliance (penal) y los sistemas de gestión de riesgos penales a los que está dedicado este artículo.

La compliance penal no se agota con el cumplimiento de las disposiciones de carácter penal, pero estas, sin duda, aglutinan los conceptos esenciales de los que se nutren los compromisos corporativos. No está pensada para escudar a la persona jurídica de responsabilidad penal -tampoco en España; ya lo adelantaba la Fiscalía General del Estado en su Circular 1/2016-, sino para fomentar una organización responsable e inspirar la ética de los negocios en cada uno de los actos que realicen las personas físicas que componen la compañía. En este sentido, la compliance y el buen gobierno corporativo son conceptos cuyos ámbitos se superponen parcial-

mente: el primero está centrado en el cumplimiento legal, el segundo tiende más genéricamente hacia la transparencia y la sostenibilidad de la actividad económica empresarial, pero ambos comparten un interés por el asentamiento de ética corporativa. Y esta, inevitablemente, llama a la doctrina penal como materia que reúne el mayor consenso sobre el bien y el mal, lo que está permitido y lo que no, lo que es ético y lo que no lo es.

No debemos perder de vista que, en la realidad globalizada en la que nos desenvolvemos, la compliance y el buen gobierno corporativo son tanto más deseables cuanto más internacionalmente aceptados e implementados. Y, si aún es tarea pendiente encontrar un concepto de «ética fundamental» cuyo contenido sea admisible por todo ser humano, con más razón lo es hallar un consenso respecto de lo que constituyen prácticas empresariales deseables a nivel global. No sorprende, así, que las normas con vocación internacional extraigan sus criterios de minimis de la regulación jurídico-penal, abriendo la puerta a que esta disciplina sea la que rija la organización e implementación de los sistemas de cumplimiento de las personas jurídicas. Esta interdependencia entre compliance, buen gobierno corporativo y Derecho penal queda perfectamente ilustrada en la conclusión alcanzada por

D. Ángel Gurría, entonces Secretario General de la OCDE, el 2 de diciembre de 2014: «The prevention of business crime should be at the centre of corporate governance».

Sin duda, la Norma UNE 19601 sobre Sistemas de Gestión de Compliance Penal se inscribe en esta tendencia a la homogeneización de estándares y buenas prácticas. Para ello, desarrolla las particularidades de la compliance penal en España partiendo de los criterios y estructura sentados en 2015 por la Organización Internacional para la Normalización («ISO») en su genérica norma 19600 sobre Sistemas de Gestión de Compliance y replicados desde entonces, por ejemplo, en la ISO UNE 37001.

Cabe subrayar la solidez progresiva que ha adquirido el consenso internacional sobre la necesidad de mundializar estándares, y que queda perfectamente ilustrada con un rápido vistazo a los miembros de ISO: 162 entidades nacionales de normalización, correspondientes a 162 países. Con sus normas, ni vinculantes ni de carácter legal, ISO y UNE ponen al alcance de las empresas el poder alinearse con estándares globalmente aceptados de todo tipo, sin necesidad de esperar al dictado de detallada regulación legal sectorial.

Page 85

La norma une 19601 (versión sometida a información pública en el boe de 8 de febrero de 2017)

Consideraciones generales sobre la norma

La UNE 19601 viene a colmar una laguna característica de la compliance penal española, que nació huérfana de directrices que canalizaran las incertidumbres de las corporaciones en cuanto a la implementación de las disposiciones del Código Penal. No ha sido esta la tendencia en otros países en los que se han impuesto obligaciones de autocontrol a las empresas: la FCPA viene acompañada de la resource guide emitida conjuntamente por la División Criminal del Departamento de Justicia y la División de Ejecución de la Comisión de Bolsa y Valores de Estados Unidos; el Decreto Legislativo 231/2001 italiano del que bebe directamente nuestro artículo 31 bis CP vino de la mano de las linee guida emitidas poco después por Confindustria, y la UK Bribery Act dispone de una guidance ad hoc. Sin embargo, el Código penal español fue modificado en 2010 y de nuevo en 2015 sin apoyo adicional, ya fuera legal, regulatorio o en forma de buenas prácticas que permitieran a las empresas traducir a nivel operativo las expectativas importadas e impuestas por el artículo 31 bis del Código Penal.

Puesto que la Circular 1/2016 contenía una negativa expresa a llenar ese vacío, la Norma UNE 19601 será la primera guía española sobre gestión corporativa de riesgos penales. Es fruto del debate y del consenso alcanzado en el seno del subcomité técnico número 307 de la Agencia Española de Norma-lización y Certificación (AENOR), que se dedica a la normalización en materia de gestión de riesgos vía el establecimiento de directrices de diseño e implantación de sistemas corporativos para ello. En el...