Compliance Penal
Siguiendo con el post anterior, en el que comenzamos a definir las fases que integran un Programa de Compliance Penal, una vez que la empresa ha definido y desarrollado su Código Ético, es el momento de definir la composición del Equipo de Compliance ¿Debe ser un órgano colegiado o unipersonal? En el caso de grupos empresariales, ¿debe ser un órgano único para todo el grupo o para cada una de las denominaciones sociales que integran el grupo? ¿Debe externalizarse?
Para comenzar, decir que cuando hablamos de Equipo de Compliance nos referimos al órgano de la persona jurídica que va a “hacer funcionar” el Programa de Compliance previamente desarrollado. Se trata por tanto del órgano descrito en el artículo 31 bis. 2 2º del Código Penal, que establece que la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado debe ser confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.
Hago esta matización, porque una cosa es quién diseña el Programa de Compliance y otra, quien lo hace funcionar. Es posible que sean el mismo órgano, pero también es posible que en el diseño participen otros profesionales además del Equipo de Compliance, pensemos por ejemplo en profesionales externos. Una vez diseñado, es el Equipo de Compliance quien se hará responsable de velar por su funcionamiento. Nosotros nos vamos a centrar en este último supuesto, que es el descrito en el artículo 31 bis.2 2ª del Código Penal.
Órgano Colegiado o Unipersonal
El Código Penal no establece nada al respecto, y la reciente circular 1/2016 de la Fiscalía General del Estado establece que dependiendo del tamaño de la persona jurídica podrá estar constituido por una o varias personas, con la suficiente formación y autoridad. Este último aspecto es vital en cualquier sistema de Compliance, las personas responsables deben tener peso en la empresa. He visto en muchos casos, en la pequeña y mediana empresa- que constituye más del 90 % de nuestro tejido empresarial-, como se ha puesto al frente de Sistemas de Gestión de Protección de Datos o Prevención de Blanqueo de Capitales a personas con escaso peso en la organización que, si bien ponen toda su voluntad, se estrellan contra un muro, porque sus decisiones no están investidas de autoridad alguna. Por ello es fundamental la formación, pero sobre todo la autoridad. La formación se puede apoyar en profesionales externos, pero si no hay autoridad no hay nada que hacer.
Volviendo, a la decisión si ha de ser un órgano colegiado o unipersonal, va a depender, como comentábamos antes, de las dimensiones de la empresa. En opinión de Applicalia, si la empresa tiene una mínima estructura es recomendable un órgano colegiado en el que estén presentes las unidades operativas de la empresa. La idea es que todas las áreas y departamentos sean partícipes del Programa de Compliance Penal y que no se trate de “algo que se lleva desde los departamentos legales” y de la que el resto de la organización no tiene la mínima idea de su existencia.
En el caso de grupos empresariales, ¿debe ser un órgano único para todo el grupo o para cada una de las denominaciones sociales que integran el grupo?
Aquí es muy importante distinguir si es un grupo empresarial cuyas empresas se encuentran ubicadas en territorio nacional, o nos encontramos ante un grupo empresarial internacional en la que la matriz se sitúa en España y las filiales se encuentran en el extranjero, ya que aquí entrarían en juego varios ordenamientos jurídicos.
Es una cuestión compleja y depende de cada caso concreto, pero siempre hay que analizar previamente el grado de autonomía de las empresas del grupo respecto a la matriz para ver si gozan o no de plena autonomía y capacidad de iniciativa y control.
En el caso de grupos empresariales ubicados en España, si existe un grado de vinculación con la central para la toma de decisiones, en opinión de Applicalia, lo deseable sería crear un Equipo de Compliance para todo el grupo, con mini-equipos o responsables en cada una de las empresas del grupo. Si el grado de autonomía es muy intenso quizá sería más viable la creación de un Equipo de Compliance para cada una de las empresas, y establecer una cadena de reporte con la central sobre el funcionamiento del Programa de Compliance.
Si el grupo empresarial tiene alcance internacional, la cuestión se complica aún más, ya que entran en juego otros ordenamientos jurídicos. En este caso, siempre y cuando exista cierto grado de vinculación con la central, lo deseable es crear un órgano de compliance para todo el grupo y Equipos de Compliance para cada una de las filiales, coordinados y supervisados por el órgano de la central. Aconsejamos leer, por la similitud de la materia, otro de nuestros post Programas de Prevención de Delitos en empresas multinacionales
Externalización del Equipo de Compliance
Este aspecto es tratado en la Circular 1/2016 de la Fiscalía General del Estado, al establecer que el Equipo de Compliance (Oficial de Cumplimiento) debe ser un órgano de la persona jurídica. La razón fundamental es la necesidad de tener un contacto diario con el funcionamiento de la organización. Esto no significa que tenga que realizar todas y cada una de las tareas asociadas al funcionamiento del sistema, sino que se puede apoyar en otras áreas o departamentos de la empresa, o en expertos externos. Lo que no se puede hacer es dejar en manos de externos el funcionamiento del Programa de Compliance, los externos pueden tener un papel importante en el diseño inicial del sistema, pero no en el funcionamiento, ya que es necesario estar en el día a día de lo que ocurre en la empresa.
Lo expuesto anteriormente, son conclusiones basadas en nuestra experiencia, pero no puede generalizarse, ya que siempre hay que estar a cada caso concreto.