Guardado
¿Qué regulación tiene el compliance officer?
La LO 1/2015, de 30 de marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, entre otras modificaciones, establece que, para eximirse de su posible responsabilidad criminal por delitos cometidos por sus gestores, empleados o dependientes, los órganos de administración de las empresas deben de haber adoptado y ejecutado, antes de la comisión de dicho delito, un modelo de organización y gestión que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza que el cometido.
La exención de responsabilidad penal para las empresas va a depender, además, de que este programa de cumplimiento normativo penal esté gestionado por un responsable, el compliance officer, cuyas funciones y responsabilidades, en principio, debemos deducir del propio Código Penal.
Cuatro son las referencias legales:
- 1.- La que se contiene en el artículo 31 bis, número 2, condición 2ª CP, cuando se señala que la
supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado tiene que ser confiada a un órgano de la persona jurídica
y, además, ese mismo precepto añade que dicho órgano tiene que tener poderes autónomos de iniciativa y de control.
- 2.- La que se refiere a las funciones del órgano de cumplimiento normativo penal cuando, en el artículo 31 bis, número 2, condición 4ª CP, se señala que la exención de responsabilidad operará siempre que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control.
- 3.- En el artículo 31 bis, número 5, requisito número 4 CP, se dice que es obligatorio que los modelos de organización y gestión impongan informar de posibles riesgos e incumplimientos al
organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
- 4.- En el art. 31 bis número 3 dice que, en las personas jurídicas de pequeñas dimensiones, es decir, las que estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada, las funciones de supervisión podrán ser asumidas directamente por el órgano de administración.
A partir de estas referencias pueden deducirse algunas de las tareas o funciones que en una empresa debe cumplir la persona u órgano encargado de cumplimiento normativo penal y debe tenerse en cuenta también la Circular 1/2016, de la FGEº, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del código Penal efectuada por Ley Orgánica 1/2015, que hace un estudio pormenorizado de la figura de los requisitos legales del Compliance officer.
¿Qué funciones tiene el responsable de cumplimiento normativo penal?
Las tareas del responsable de cumplimiento normativo penal o Compliance Officer penal son:
- 1. La gestión del modelo, es decir, la supervisión del funcionamiento y cumplimiento del modelo, así como la vigilancia y control del personal sometido al mismo.
- 2. La información y formación a los directivos, trabajadores y empleados de la empresa acerca de la existencia del modelo y su contenido, y, finalmente, la revisión y la actualización del mismo.
- 3. La revisión y modificación del modelo de prevención. Si las normas legales que rigen el funcionamiento de la empresa, el del sector de actividad en el que ésta opera o las condiciones ambientales de la empresa cambian, el programa ya no puede tener la misma validez, en términos de adecuación y eficacia. Cualquier variación en el mapa de riesgos obliga a revisar y, en su caso, modificar el programa.
- 4. También es posible que la empresa le encomiende la gestión del canal de denuncias o sistema interno de información, como lo denomina la L 2/2023, de 20 de febrero de protección del informante, incluso la dirección de las investigaciones internas en caso de comunicación de alguna información irregular.
Debe recordarse que en las personas jurídicas de pequeñas dimensiones, es decir, las que estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada, las funciones del oficial de cumplimiento podrán ser asumidas directamente por el órgano de administración (art. 31 bis 3 CP).
¿Cómo se compone el órgano responsable de cumplimiento normativo?
¿Órgano unipersonal o colectivo?
El texto del art. 31 bis CP se refiere a un órgano de la empresa, no a un organismo de la persona jurídica, lo que no descarta la posibilidad de que sea un órgano unipersonal o uno colectivo.
Deberá ser la empresa la que debe de decidir, a la vista de sus características o particularidades, qué tipo de órgano se adapta mejor a sus necesidades.
¿Órgano de funciones exclusivas?
Tampoco aclara la ley si el órgano de cumplimiento normativo debe de estar dedicado en exclusiva a esa labor. Pero a la hora de presentarse ante un juzgado o tribunal y de intentar convencer a dichos órganos jurisdiccionales de la bondad del programa de prevención, un órgano dedicado en exclusiva a dicha labor dice más de lo en serio que la empresa se toma estos compromisos en favor de la prevención de los delitos.
¿Órgano interno o función externalizada?
Aparentemente, nada se opone en el texto de la ley a que, como en otros ámbitos de la gestión empresarial, el servicio se externalice. Sin embargo, la sensación es que el legislador está más bien pensando en un control interno, encomendado y gestionado a personal de la propia empresa cuando en el art. 31 bis 2, condición 2ª CP, se dice que debe ser un "órgano de la persona jurídica".
Ello no impide la posibilidad de integrar en el órgano de supervisión y control a una persona independiente, ajena a la empresa, porque, primero, eso puede garantizar mejor la independencia del órgano y, segundo, puede complementar los conocimientos específicos para desempeñar la labor que, por sí, no puedan aportar los miembros internos de la empresa.
¿Tiene responsabilidad penal y civil en el ejercicio de su cargo?
Con respecto a la responsabilidad penal, si se considera que el compliance officer es garante secundario de vigilancia y control, es necesario delimitar bajo qué presupuestos puede darse la posible responsabilidad penal.
Los requisitos apuntados mayoritariamente por la doctrina son:
- 1.- Que omita un delito que se podía impedir, tolerándolo o favoreciendo su comisión , no denunciando la irregularidad ante la dirección o no abriendo la correspondiente investigación para esclarecer comportamientos de dudoso riesgo penal.
- 2.- Que el delito pertenezca a la actividad empresarial y, en concreto, que corresponda al grupo de los que es garante el empresario.
- 3.- Que se le haya asignado explícitamente al responsable de cumplimiento como riesgo penal objeto de control. Será esencial el contrato formalizado y el propio programa de cumplimiento para discernir qué riesgos penales se contenían.
- 4.- Para su sanción penal se habrá de estar al tipo subjetivo del delito. En los delitos que sólo contemplen su comisión dolosa —la inmensa mayoría, en este ámbito— el obrar imprudente, es decir, una mera infracción del deber de cuidado, sería atípica. Ello conduce a identificar y probar el dolo en el actuar del responsable de cumplimiento para poder ser sancionado penalmente.
Sobre esta cuestión se ha pronunciado la Circular 1/2016, de la FGEº. Señala que el oficial de cumplimiento puede con su actuación delictiva transferir la responsabilidad penal a la persona jurídica a través de la letra a) del art. 31 bis.1 CP, puesto que, está incluido entre las personas que ostentan facultades de organización y control dentro de la misma. Por otro lado, puede ser una de las personas de la letra a) que al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la persona jurídica. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado, por comisión por omisión del art. 11 CP cuando conociendo el delito no lo evita. Finalmente, si el oficial de cumplimiento omite sus obligaciones de control, la persona jurídica en ningún caso quedará exenta de responsabilidad penal (condición 4.ª del art. 31 bis.2 CP).
Sin embargo, concluye que "la exposición personal al riesgo penal que posee el oficial de cumplimientono es superior a la de otros directivos de la persona jurídica . Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones, puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos, especialmente dada su responsabilidad en relación con la gestión del canal de denuncias y siempre que la denuncia se refiera a hechos que se están cometiendo y que, por tanto, el oficial de cumplimiento pueda impedir con su actuación".
Lo que sí debe hacer el compliance officer es investigar el hecho delictivo en cuanto lo conozca, bien por un canal de denuncias, bien por otra vía. Debe preconstituir la prueba de que o bien comunicó al órgano de administración lo que estaba ocurriendo, o bien puso los hechos en conocimiento de la justicia o la policía. Pero en ambos casos debe tener acreditado a quién lo envía y cuándo.
Si, en lugar de preconstituir la prueba, el compliance officer decide eliminar los efectos o instrumentos del delito, podría situarle en el terreno del delito de encubrimiento del artículo 451 CP.
Igualmente, si sabe que se va a cometer un delito y deja de dar traslado al órgano de administración, posibilita que el delito se cometa. En este caso, si no tenía facultad directa de corregir es cómplice, si la tenía es cooperador necesario.
El TS, en su STS 89/2023 de 10 de febrero, Rec. 5765/2020 estudia la responsabilidad penal del auditor de cuentas, que podría extrapolarse a la figura del compliance officer, y explica que el auditor no es un garante ni custodio de nada. No es la figura que tiene que garantizar que va a encontrar todo lo ilícito que existe en el seno de la empresa. Dice que para que incurra en responsabilidad penal tiene que haber una actuación dolosa. Tiene que haber un conocimiento del delito y una cooperación, en forma de coparticipación con los autores. Y, además, un silencio cooperador, es decir, a sabiendas de que existe no lo reporta, cooperando así en la continuación delictiva.
En cuanto a la responsabilidad civil, los elementos necesarios para que exista son: el incumplimiento, el daño, la relación de causalidad entre ambos y la culpa.
Con respecto al daño, puede ser patrimonial, no patrimonial, incluso reputacional. Puede producirse a los propios bienes de la empresa o incluso a sus derechos. Podría ser el caso de la imposibilidad de utilizar un programa de cumplimiento que se le requiera a la entidad en sus relaciones contractuales, o ante un tribunal para que le sirva de eximente o atenuante.
Ese daño debe provenir de un incumplimiento de una obligación preexistente. Es decir, debe haber una relación de causalidad entre ambos. En este punto es importante saber qué relación tiene el oficial de cumplimiento con la empresa. Si no existe un contrato entre ellos, o su actuación excede de sus funciones establecidas contractualmente, la responsabilidad será extracontractual por la vía del art. 1902 CC. Si hay contrato, puede ser laboral del art. 1 ET o civil del art. 1544 ET. Si es laboral, la jurisprudencia indica que no todo error, o fallo del trabajador da lugar a una indemnización de daños y perjuicios. Cuando interviene dolo o culpa grave del trabajador, surge responsabilidad indemnizatoria contractual ex art. 1101 CC. En cambio, cuando la culpa no es tan cualificada o no tiene entidad suficiente, se dejaría abierta la potestad disciplinaria del empresario por la vía del art. 58 ET. Si lo que se firma es un contrato mercantil, no existe un contrato específico como tal, no tiene regulación, por lo que no tiene requisitos de forma, incluso puede ser verbal. Generalmente suele usarse el contrato de arrendamiento de servicios. El incumplimiento puede derivar de las obligaciones establecidas en ese contrato, por ejemplo, puede responder por violación del deber de sigilo, o del deber de custodia de documentos. Pero también le obliga el deber general de buena fe contractual del artículo 1258 del Código Civil, aunque no esté especificado en dicho contrato.
Como último requisito, el incumplimiento debe ser por culpa del compliance officer, es decir, que para evitar la responsabilidad civil tiene que acreditar que ha actuado diligentemente. El problema es que no hay un patrón de diligencia exigible para estos profesionales, puesto que no hay un estatuto que regule esa figura, como sí ocurre en el caso de los abogados, por ejemplo. Los tribunales civiles, para otros profesionales, han tomado las normas ISO y UNE como orientativas para valorar ese grado de diligencia.
Recuerde que...
- • El compliance officer se encarga de la supervisión del funcionamiento y cumplimiento del modelo, así como la vigilancia y control del personal sometido al mismo.
- • También es posible que la empresa le encomiende la detección de los comportamientos delictivos.
- • Deberá ser la empresa la que debe decidir, a la vista de sus características o particularidades, qué tipo de órgano de compliance se adapta mejor a sus necesidades.