Aplicación de la UNE 19601: ¿Es necesario implantar un software de Compliance en un despacho o en una empresa?
10 de noviembre de 2017
Aplicación de la UNE 19601: ¿Es necesario implantar un software de Compliance en un despacho o en una empresa?
Cuando se habla de compliance penal en el ámbito de la empresa, se hace referencia a la función que se encarga de identificar, asesorar, alertar, monitorear y reportar todos aquellos riesgos de cumplimiento dentro de dichas empresas u organizaciones, esto es, el riesgo existente de ser sancionado como consecuencia de algún incumplimiento legal y, en concreto, penal.
Por tanto, de lo que se trata es de establecer un sistema o una serie de mecanismos adecuados para dilucidar y evitar todas aquellas contingencias que, en un momento determinado, puedan provocar que la empresa o sus órganos de supervisión incurran en responsabilidad penal por la comisión de algún tipo delictivo.
Respecto a esto, cabe destacar, además de la norma UNE 19601 -que se analizará más adelante-, otros dos textos legales aplicables en la materia: el Código Penal y la Circular 1/2016 de la Fiscalía General del Estado.
Con la reforma del Código Penal, a través de la Ley Orgánica 1/2015, se ha incidido en la potenciación de la regulación de la responsabilidad penal de las personas jurídicas -introducida en el ordenamiento español por la Ley Orgánico 5/2010-. En este sentido, el artículo 31 bis, en su apartado quinto, contiene una serie de requisitos que deben observar los modelos de organización y gestión, para que dicha organización pueda ser eximida de responsabilidad penal por las actuaciones de sus empleados. De este modo, deberán identificarse las actividades que puedan derivar en actos delictivos; se determinarán y concretarán los protocolos o los procedimientos a través de los cuales se forma la voluntad de la persona jurídica, se adopten y se ejecuten las decisiones; será necesario la disposición de los modelos de organización de recursos financieros adecuados para evitar la comisión de infracciones delictivas que deben ser prevenidas; se comunicarán los posibles riesgos e incumplimientos al organismo que se encargue de la vigilancia de los modelos de prevención; deberá establecerse un sistema de responsabilidad disciplinaria que opere sancionando el incumplimiento de las medidas establecidas por el modelo; y por último, el modelo deberá ser objeto de verificación periódica y, eventualmente, ser modificado.
Por otro lado, la Circular 1/2016 de la Fiscalía General del Estado complementa lo dispuesto en el Código Penal, al fijar los requisitos que debe respetar un programa eficaz del cumplimiento, entre los que se pueden señalar, por ejemplo, la redacción de los programas por escrito; su claridad, precisión y eficacia; la necesidad de adaptación a la situación y riesgos de la empresa; el establecimiento de determinados sistemas o mecanismos de control, gestión, identificación del riesgo, tanto el real como el potencial; la implantación, en empresas de cierto tamaño, de sistemas informáticos de control de los procedimientos internos; la creación de específicos canales destinados a la comunicación y denuncia de incumplimientos de carácter interno o de actividades ilícitas; la redacción y determinación de un código ético; la planificación y ejecución de cursos de formación en la materia tanto para directivos como para empleados; o la verificación y supervisión de la eficacia del modelo de prevención.
Una vez presentado el ámbito normativo principal sobre el que versa la materia, parece una obligación aludir igualmente a la norma UNE 19601. Con fecha de 17 de mayo de 2017, la Asociación Española de Normalización -o AENOR- publicó la referida norma UNE 19601, que se encarga de regular la adopción de mecanismos o procedimientos de compliance penal, vinculando dichos sistemas a lo dispuesto tanto en el Código Penal, como en la mencionada Circular de la Fiscalía General del Estado.
Si bien la norma pretende elaborar una serie de directrices o de instrucciones sobre gestión empresarial que certifiquen el cumplimiento de la exégesis dimanada de la normativa reguladora de la materia, en la propia dicción de la UNE 19601 se advierte de que la mera implantación de la misma no conlleva directamente la exención o exoneración de la posible responsabilidad adquirida en vía penal. En este sentido, el cumplimiento de los mandatos de la norma no parece obligado y, por tanto, tampoco necesario. Aunque resulta obligado señalar que su cumplimiento puede ser certificado por un tercero independiente -AENOR- y que, según dispone la Circular 1/2016, esto podrá valorarse favorablemente, como un elemento adicional de la eficacia de los modelos adoptados.
En cuanto al contenido, la norma, concretamente aplicable en el marco de los sistemas de gestión y control sobre todos los riesgos de carácter penal, fija todos aquellos requisitos y todas aquellas instrucciones que garanticen la existencia de modelos alineados con las exigencias dimanadas del contexto penal para los sistemas de gestión y control para la prevención y detección de infracciones delictivas. Es aplicable para cualquier organización legalmente constituida, independientemente de la clase, el tamaño, la naturaleza, la incardinación en el sector público o la pertenencia al sector privado, con o sin ánimo de lucro, y sin importar la actividad que desempeñe. Igualmente, es aplicable para el control de las acciones desarrolladas por todo el personal o por los socios, actuando bien siguiendo determinadas instrucciones de la entidad, en representación de la misma o en su beneficio.
De esta manera, la norma UNE también contempla, en la misma línea que el Código Penal y la Circular, una serie de principios que deben regir en las organizaciones, a saber: se deben identificar, valorar y analizar la totalidad de los riesgos penales; se debe garantizar la disposición de los recursos económicos suficientes y adecuados para alcanzar los objetivos; deben implementarse procesos para la comunicación de conductas que puedan revestir un cariz delictivo; deben adoptar un régimen disciplinario eficaz ante los incumplimientos del sistema de gestión; debe realizarse una supervisión del sistema por un órgano con competencias destinadas al efecto; y debe crearse una cultura que integre todo lo referente a los sistemas de control y de gestión de compliance.
En definitiva, si bien parece que las disposiciones de la norma UNE 19601 no son una exigencia propiamente dicha, resulta obvio que para adoptar y respetar los criterios contenidos en el Código Penal y, dado el caso, beneficiarse de la correspondiente exención de responsabilidad, lo más inteligente sería implementar algún tipo de sistema de compliance penal.