Programas de Compliance (programas de cumplimiento normativo penal)

¿Qué son los programas de Compliance?

El CP se refiere a ellos como: "modelos de organización y gestión".

A falta de una definición legal, se puede conceptuar el plan de prevención de riesgos penales como un modelo de actuación implantado en una persona jurídica para la prevención y gestión de los riesgos penales, de acuerdo a las necesidades de cada una de ellas.

Es conveniente diferenciar entre el plan de prevención de riesgos penales propiamente dicho y el programa de cumplimiento normativo o corporate compliance. Este último contiene al primero. Así, el programa de cumplimiento normativo recoge el plan de prevención y, además, los principios generales y las políticas de la sociedad ante los riesgos penales, el ámbito y los responsables de su aplicación y las actividades de control y supervisión para su correcta aplicación.

¿Qué requisitos legales de organización y gestión tienen?

Los modelos de organización y gestión deberán reunir las siguientes condiciones mínimas previstas legalmente en el art. 31 bis 5 CP:

• 1.ª Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
• 2.ª Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
• 3.ª Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
• 4.ª Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
• 5.ª Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
• 6.ª Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

El TS aún no ha entrado a interpretar estos requisitos, pero sí ha sido contundente en la primera sentencia condenatoria a personas jurídicas, STS 154/2016 de 29 de febrero 2016, Rec. 10011/2015 dejando claro que la presencia de "adecuados mecanismos de control" suponen la existencia de una causa de justificación que le exime de responsabilidad, porque este requisito forma parte de los elementos objetivos del tipo.

Así, la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal (incluido el supuesto del anterior art. 31 bis.1 parr. 1º CP y hoy de forma definitiva a tenor del nuevo art. 31 bis. 1 a) y 2 CP, tras la reforma operada por la LO 1/2015), ha de partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una "cultura de respeto al Derecho", como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran, que habría de manifestarse en alguna clase deformas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos, tendentes a la evitación de la comisión por éstos de delitos, como posibles antecedentes de esa responsabilidad de la persona jurídica.

Y ello más allá de la eventual existencia de modelos de organización y gestión que, cumpliendo las exigencias concretamente enumeradas en el actualart. 31 bis2 y 5 CP, podrían dar lugar a la concurrencia de la eximente en ese precepto expresamente prevista.

La FGEº, por su parte, en la Circular 1/2016 estudia de forma pormenorizada cada uno de estos requisitos legales, desmenuza el contenido que debe tener un programa de cumplimiento normativo penal y define cuáles deben ser los criterios a tener en cuenta para valorar la eficacia de estos programas.

¿Qué contenido tiene un programa de cumplimiento normativo penal?

Conforme a las exigencias legales anteriores, veamos cuál debe ser el contenido de un programa de complimiento normativo.

Una estructura tipo es la siguiente:

• 1. Introducción: la sociedad definirá los objetivos del programa, y la normativa aplicable para la definición del modelo.
• 2. Ámbito de aplicación: se deberán indicar las sociedades que están sujetas al cumplimiento del programa.
• 3. Antecedentes: recogerá aquellas acciones que se han llevado a cabo con anterioridad a la aprobación y difusión del programa para el control interno o en materia de riesgos penales, como podría ser la distribución del código ético entre los trabajadores o de las políticas relacionadas con procedimientos de la sociedad.
• 4. Plan de prevención de riesgos penales, con el siguiente contenido:
  • a) Mapa de riesgos. (requisito legal 1º delart. 31 bis 5 CP) Consiste en identificar cuáles son los posibles delitos que la persona jurídica tiene riesgo de cometer, tanto los propios de la actividad concreta a la que se dedica, como los comunes, es decir, cualquier posible delito.

    Además de analizar qué delitos pueden cometerse del catálogo de los que puede ser responsable una persona jurídica (el llamado hard law), el plan de prevención también puede analizar aquellas infracciones administrativas que conllevan importantes sanciones (soft law). Como punto de referencia se puede acudir a las enumeradas en el art. 71.1.b) Ley 9/2017, de 8 de noviembre, vigente a partir del 9 de marzo de 2018.

    Una vez identificados es necesario llevar a cabo una priorización de los mismos, en base a la criticidad del riesgo. Para ello se analizará la probabilidad de ocurrencia y el impacto que pueda tener en la persona jurídica.

  • b) Mapa de procesos. Consiste en identificar los procesos en los que pueden cometerse los delitos inventariados en el mapa de riesgos.
  • c) Plan de acción (requisito legal 3º delart. 31 bis 5 CP) que recoja, entre otros, los siguientes aspectos:
    • • Riesgo Penal derivado del delito que potencialmente puede materializarse en la sociedad.
    • • Observación/Debilidad detectada en la organización relacionada con los mecanismos de control establecidos para la mitigación del Riesgo Penal.
    • • Recomendación/Oportunidad de mejora establecido para la mitigación de la posible consecuencia asociada al riesgo penal que pueda sucederse.
    • • Persona responsable que va a liderar la puesta en marcha de la acción, o bien departamento/área encargado de la misma.
    • • Plazo previsto para la implantación de la acción definida.

  Se debe disponer en todo momento de las evidencias documentales que permitan en un futuro poder demostrar la buena diligencia en materia de prevención de riesgos penales por parte de la persona jurídica.

• 5. Comunicación y Difusión del programa (formación e información): Es fundamental que tanto los responsables del modelo como el resto de la organización conozcan la normativa aplicable. Por ello en este apartado se definirá la vía de difusión del programa entre los trabajadores de la sociedad.
• 6. Canal de denuncias para asegurar el correcto cumplimiento del modelo, se deberán establecer vías de denuncia en caso de que un miembro de la sociedad detecte incumplimiento de dicho modelo por parte de otra persona de la organización (requisito legal 4º del art. 31 bis 5). Se regulan en la L 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que los denomina sistemas internos de información.
• 7. Modelo de respuesta (requisitos legales 2º y 5º del art. 31 bis 5 CP): tiene como finalidad la correcta formación de la voluntad de la empresa respecto a las acciones a emprender en caso de posible comisión de un delito o riesgo de que se cometa, o incumplimiento del programa de cumplimiento, para la defensa de sus intereses teniendo en cuenta la normativa legal y su situación procesal.
• 8.- Revisiones periódicas y actualización del programa (requisito legal 6º del art. 31 bis 5 CP): tras las revisiones periódicas que se realicen sobre el modelo, como resultado de cambios en la organización o actividad de la sociedad, así como por cambios en la normativa legal aplicable, el modelo debe ser actualizado. Deberán quedar definidos los órganos encargados de establecer y aprobar dichas actualizaciones así como los encargados de realizar su comunicación al personal de la empresa.

En definitiva, contribuye a elaborar un programa "idóneo para prevenir delitos o para reducir de forma significativa el riesgo de su comisión", como exige el Código Penal.

¿Cómo se mide su eficacia?

A falta de jurisprudencia, para saber si un programa de compliance es o no eficaz contamos con los siguientes criterios:

• • El AAN 51/2022, de 7 Febrero Rec.427/2021 que revoca el sobreseimiento de las actuaciones contra CAIXABANK y REPSOL, aunque provisional, por ser una resolución instructora, ofrece pistas de cómo valorar los programas de cumplimiento en los motivos alegados por la fiscalía en su recurso, que han sido estimados por la Audiencia Nacional.
• • Los criterior recogidos en la Circular 1/2016 de la FGEº