IV.-COMPOSICIÓN DEL ÓRGANO RESPONSABLE DE CUMPLIMIENTO NORMATIVO.
1.- Órgano unipersonal o colectivo:
El texto del art. 31 bis CP se refiere a un órgano de la empresa, no a un organismo de la persona jurídica, lo que NO descarta la posibilidad de que sea un órgano unipersonal o uno colectivo.
Deberá ser la Alta direcciona o Gerencia, a la visita de propia NATURALEZA E IDIOSINCRASIA de la organización la que debe de decidir, conforme sus características o particularidades, qué tipo de órgano se adapta mejor a sus concretas necesidades. El órgano unipersonal hace más sencilla y ágil la toma de decisiones y personaliza mejor, en una determinada figura, la autoridad de la función. Pero el órgano colegiado puede integrarse por especialistas de distintas áreas de la gestión (jurídica, auditoría, financiera, recursos humanos), abarcando un mayor y mejor conocimiento del negocio y de la empresa. Incluso, puede dar cabida en él a personas independientes, ajenas a la empresa, lo que puede garantizar mejor la independencia.
En principio, podríamos pensar que sólo cabe la posibilidad de elección entre un órgano colegiado o unipersonal y que ésta decisión dependerá de manera directamente proporcional al tamaño de la organización; sin embrago existen en la práctica otros factores que también habrá que tener en cuenta. Por ejemplo, no son pocas las organizaciones que cuentan ya con un DPO (Data Protector Officer) encargado de supervisar el cumplimiento de la normativa en materia de Protección de Datos, con un Oficial de Cumplimiento de la normativa en materia de prevención de blanqueo de capitales, o con una asesoría jurídica interna que entre sus funciones se encuentre la de velar por el cumplimiento de la legislación propia del sector. Todos ellos profesionales que sin duda podrán colaborar en la supervisión del sistema de prevención de delitos. También se da el caso de de grandes organizaciones, con una cultura del cumplimiento normativo madura y muy interiorizada en su actividad diaria, que podrán hacer uso de recursos y políticas ya creadas, en las que bastará la asignación a los mismos de las funciones propias establecidas por el CP; y también existen sociedades o compañías de menor tamaño que deban generar nuevos puestos de trabajo porque parten de cero en lo que a las políticas de cumplimiento normativo se refiere.
- Outsourcing: ¿Órgano interno o función externalizada?
Aparentemente, nada se opone en el texto de la ley a que, como en otros ámbitos de la gestión empresarial, el servicio se externalice. Sin embargo, la sensación es que no es ese el espíritu de la Ley; y que el legislador está más bien pensando en un control interno, encomendado y gestionado a personal doméstico, de la propia organización cuando, ex art. 31 bis 2, condición 2ª CP, se dice –LITERALMENTE– que debe ser un «órgano de la persona jurídica».
Ello no impide, pues, la posibilidad de integrar en el órgano de supervisión y control a una persona independiente, ajena a la empresa, porque, primero, eso puede garantizar mejor la independencia del órgano; y, segundo, puede complementar los conocimientos específicos para desempeñar la labor que, por sí, no puedan aportar los miembros internos de la empresa.
Concluyendo:
La externalización no parece es un sistema válido, atendiendo a lo dispuesto en el CPy a la interpretación dada por la Fiscalía General de Estado en su Circular 1/2016; toda vez que es indispensable un profundo conocimiento de la organización así como un contacto diario con el funcionamiento de la misma, condiciones con las que NO contaría una empresa o profesional externo. No obstante lo anterior, hay funciones relacionadas con el Órgano de Cumplimiento que sí pueden ser externalizadas o cuya externalización será recomendable.
La Fiscalía se refiere, en este punto, a las funciones relacionadas con la formación o el canal de denuncias, cuya externalización puede garantizar mayores niveles de independencia y confidencialidad. Asimismo es altamente recomendable la externalización de las auditorías a las que debe someterse el propio sistema de cumplimiento normativo, más aún cuando las certificaciones sobre la idoneidad del modelo pueden apreciarse de forma positiva (aunque no determinante) por los Jueces que en su día deban valorar la eficacia del propio sistema. Sin olvidarnos que no existe una única solución y que habrá que analizar las características propias de cada organización, una solución válida –en un porcentaje elevado de PYMES e incluso en grandes corporaciones– será la creación de un Órgano de Cumplimiento hibrido o mixto, dirigido por un único Compliance Officer pero que cuente con el apoyo continuo tanto de recursos internos como externos que garanticen la eficacia del sistema.
- Estructura organizativa. ¿Órgano de funciones exclusivas?
Se trata de un tema que más dudas suscitan es la estructura organizativa, es decir, el lugar en el que se va a posicionar el oficial de cumplimiento. El CP establece dos opciones, o bien un órgano con poderes autónomos de iniciativa y control; o bien un órgano que tenga legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica (artículo 31bis.2.2º del Código Penal). El legislador ha optado, pues, por la conjunción disyuntiva o; y no por la conjunción copulativa y. Por lo tanto, bastara la constitución de uno u otro para la obtención de la exoneración de responsabilidad.
Sin embargo, la realidad de la estructura de estos órganos es la –necesaria y obligatoria– dependencia jerárquica del órgano de administración: Esto se debe a que, atendiendo a normativa mercantil, éste es quien tiene la potestad exclusiva de establecer la política de control y gestión de riesgos (art. 529 ter b de la Ley de Sociedades de Capital). Por consiguiente, las entidades que cuenten con una Comisión de Auditoría podrán optar por que la propia Comisión se convierta en este órgano, ya que ésta tiene atribuida legalmente la función de «supervisar la eficacia del control interno de la sociedad» (artículo 529 quaterdecies 4.b LSC.
Tampoco aclara CP si el órgano de cumplimiento normativo debe de estar dedicado, en exclusiva, a esa labor.
Tres son las posibilidades:
- Encomendarle (como hemos referido) estas funciones a la Comisión de Auditoría, al menos en las empresas que están obligadas a tener dicha Comisión, esto es, la sociedades anónimas cotizadas (véanse, los arts. 529 terdecies, Ley de Sociedades de Capital, LSC).
El propio texto legal parece prever esa posibilidad al señalar que la supervisión del funcionamiento y del cumplimiento del modelo de prevención se le puede confiar a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica (art. 31 bis.2, condición 2ª CP). Y la Comisión de Auditoría, en el art. 529 quaterdecies, núm. 4, apartado b), LSC tiene precisamente encomendada la tarea de «supervisar la eficacia del control interno de la sociedad«.
Por otra parte, sus miembros deben ser consejeros no ejecutivos nombrados por el consejo de administración, dos de los cuales, al menos, deberán ser consejeros independientes y uno de ellos será designado teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o en ambas, lo que les otorga, sin ninguna duda un perfil idóneo para desempeñar esa tarea en la medida en que gozan de una mínima independencia para desarrollar su tarea.
Por otro lado, entre las competencias que la LSC (art. 529 quaterdecies) señala que debe de tener como mínimo, algunas se asemejan bastante a las funciones del órgano de cumplimiento penal; por ejemplo, informar a la Junta General de Accionista, sobre las cuestiones que se planteen en su seno en materia de su competencia; supervisar la eficacia del control interno de la sociedad, la auditoría interna y los sistemas de gestión de riesgos, incluidos los fiscales, así como discutir con el auditor de cuentas las debilidades significativas del sistema de control interno detectadas en el desarrollo de la auditoría; supervisar el proceso de elaboración y presentación de la información financiera preceptiva, etc.
- Encomendar la tarea al Responsable de Auditoría Interna. De nuevo, algunas de las funciones del responsable de auditoría interna son –perfectamente– homologables con las del responsable de cumplimiento penal.
- Otorgar funciones exclusivas a un órgano ad hoc, específico.
Legalmente es posible cualquiera de las tres indicadas opciones (sin duda lo es la de la Comisión de Auditoría, de forma expresa); y deberá de ser el órgano de Administración de la organización el que, a la vista de sus particulares características y necesidades, como decisión operacional y estratégica, tome la decisión última de acumular las funciones en otro de los existentes órganos o comisiones; o designe uno dedicado, en exclusiva, a esta nueva función.
=èOJO: Ahora bien, y en el momento de presentarse ante un órgano judicial y de intentar nuestro abogado convencer al juzgador de la bondad del programa de prevención, un órgano dedicado en exclusiva a dicha labor dice más de lo en serio que la organización se toma estos compromisos en favor de la prevención de los delitos.
V.-COMPLIANCE OFFICER Y SU RESPONSABILIDAD PENAL.
Esta importante figura, sin duda, en el seno de la organización es garante secundario de vigilancia y control: Por ello es necesario concretar las bases que pueden sustentar una eventual responsabilidad penal.
- Que omita un delito que se podía impedir, tolerándolo o favoreciendo su comisión, no denunciando la irregularidad ante la dirección empresarial; o no abriendo la correspondiente investigación para esclarecer comportamientos de dudoso riesgo penal.
- Que el delito pertenezca a la actividad empresarial y, en concreto, que corresponda al grupo de los que es garante el empresario.
- Que se le haya asignado, explícitamente, al responsable de cumplimiento como riesgo penal objeto de control. Será esencial el contrato formalizado y el propio programa de cumplimiento para discernir qué riesgos penales se contenían.
- Habrá de estar al tipo subjetivo del delito. En los delitos que sólo contemplen su comisión dolosa, el obrar imprudente, es decir, una mera infracción del deber de cuidado, sería atípica. Ello conduce no sólo a identificar, si no a probar el dolo en el actuar del responsable de cumplimiento para poder ser sancionado penalmente.
Sobre esta cuestión, como ya hemos tenido ocasión de ver, se ha pronunciado FGE, Circular 1/2016, º Señala que el oficial de cumplimiento puede, con su actuación delictiva, transferir la responsabilidad penal a la persona jurídica a través de la letra a) del art. 31 bis 1 CP, puesto que, está incluido entre las personas que ostentan facultades de organización y control dentro de la misma. Por otro lado, puede ser una de las personas de la letra a) que al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la persona jurídica. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado. Finalmente, si el oficial de cumplimiento omite sus obligaciones de control, la persona jurídica en ningún caso quedará exenta de responsabilidad penal, condición 4.ª del art. 31 bis 2 CP.
Sin embargo, concluye que «la exposición personal al riesgo penal que posee el oficial de cumplimiento NO es superior a la de otros directivos de la persona jurídica. Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su concreta posición y funciones, puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos, especialmente dada su responsabilidad en relación con la gestión del canal de denuncias y siempre que la denuncia se refiera a hechos que se están cometiendo y que, por tanto, el oficial de cumplimiento pueda impedir con su actuación.
Antonio Castillo Jiménez.
Licenciado en Ciencias del Trabajo. Licenciado en Derecho
Abogado. Director/Jefe de Seguridad Privada.
Profesor Seguridad Privada. Perito Judicial Seguridad Privada.
