Por Norberto J. de la Mata Barranco

 

La única alusión indirecta al órgano de cumplimiento, al que ya en la entrada de 3 de junio de 2016 se referían en este blog los profesores Lascuraín y Nieto, en el marco de lo que representa un “compliance penal”, la encontramos en los apartados 2.2ª y 4ª, 3 y 5.4º del art. 31 bis del Código Penal introducidos mediante Ley Orgánica 1/2015. En ninguno de ellos se utiliza estrictamente este concepto ni se definen ni su estructura ni sus funciones. El Código se limita a señalar que el modelo de organización y gestión que, en su caso, permitirá la exención de responsabilidad de la persona jurídica implicada en la comisión de un delito (art. 31 bis 2) cuando en él haya intervenido su representante legal o quien esté autorizado para tomar decisiones en su nombre u ostente facultades de organización y control dentro de ella (art. 31 bis 1 a) tendrá que haber confiado su supervisión a un “órgano de la persona jurídica con poderes autónomos o que tenga encomendada legalmente la función de supervisar la eficacia de sus controles internos” (art. 31 bis 2.2ª), que “no habrá omitido o ejercido de modo insuficiente, son os s para la normativa española son, y al margen de los antecedentes remotos de los años veinte en Estados Unidos parpa sp” (art. 31 bis 2.4ª) y a quien deberá “informarse de posibles riesgos e incumplimientos” (art. 31 bis 5.4º). Se explica también que dicho “órgano” no será necesario (aunque sí el modelo de organización y gestión de prevención idóneo) en personas jurídicas de pequeñas dimensiones. Y se omite toda referencia a él en relación a delitos cometidos por quienes estén sometidos a la autoridad de los responsables anteriormente citados. Éstas son las únicas referencias legales que se tienen para interpretar lo que implica y se exige de la figura, a la que en el apartado 5.4 de la Circular de la Fiscalía General del Estado 1/2016 se denomina “oficial de cumplimiento” (apartado 5.4.).

Junto a estos referentes, y al aludir también el art. 31 bis 2.2ª a un órgano que tenga “legalmente” encomendada la función de supervisar la eficacia de los controles internos de la persona jurídica, cabe tomar además en consideración en nuestro ámbito interno no penal el art. 28 RD 217/2008, que regula la función del “responsable de cumplimiento normativo” en el ámbito de las empresas que prestan servicios de inversión, el art. 26 Ley 10/2010 y su “representante” ante el Servicio ejecutivo de la Comisión de prevención del Blanqueo de capitales e Infracciones monetarias o el art. 193.2 vde la Ley del Mercado de Valores sobre las “unidades” que en las empresas que prestan servicios de inversión han de garantizar el cumplimiento normativo. Igualmente, la Norma 5ª tanto de la Circular 6/2009 como de la Circular 1/2014, ambas de la Comisión Nacional del Mercado de Valores, que regulan tales “unidades”. Asimismo, el art. 529 ter 1 b) Ley de Sociedades de Capital que, en el funcionamiento de las Sociedades de capital, exige que la supervisión de los sistemas internos de control sea asumida por el propio Consejo de administración. Y finalmente, aunque sus funciones no sean exactamente las mismas, la Recomendación 46 en relación con el Apartado III.3.4.3 del Código Unificado de buen gobierno de las sociedades cotizadas publicado por la Comisión Nacional del Mercado de Valores en febrero de 2015 sobre las comisiones de auditoría o comisiones especializadas del consejo de administración que asuman funciones internas de control y gestión de riesgos.

En todo caso, como recuerda la doctrina, ni la figura está regulada penalmente, ni existe un estatuto orgánico definido ni una configuración legal clara y unificada sobre competencias y deberes.

Cuando entre los autores se utilizan para referirse a la figura las expresiones “oficial de cumplimiento”, “responsable de cumplimiento”, “órgano de supervisión”, “órgano de vigilancia”, etc., debemos entender que estamos ante un mismo concepto. Ha sido más frecuente la utilización de la expresión “de cumplimiento”, que es la que más tradición ha tenido en el ámbito anglosajón (el compliance de los textos americanos). Por otra parte, que se hable o no de “órgano” no impide que éste pueda tener carácter individual y no colectivo. En tal sentido, cuando no se utiliza la expresión “órgano”, sino el referente individual, normalmente sin  intencionalidad alguna más allá de la pura opción terminológica, se habla de “responsable”, “encargado”, “coordinador”, “instructor”, “oficial o directivo” (officer) o bien de “oficial o director jefe” (chief officer).

Lo que se busca con cada una de las distintas expresiones es la descripción que  mejor defina la labor que incumbe al cargo. Y esta labor es la de supervisar o vigilar la eficacia del modelo de prevención de delitos adoptado en la empresa de modo autónomo y con capacidad competencial suficiente. Las funciones específicas que tenga este “órgano de cumplimiento” varían mucho en la práctica y dependen de cada entidad, tanto de su dimensión como del ámbito en que desarrolla su actividad como incluso de la política que se desee adoptar al respecto.

Nieto Martín distingue tres modelos de compliance: uno, con el que se puede identificar el sistema americano, en el que el órgano encargado de controlar los modelos de organización y gestión tendentes a prevenir la comisión de delitos se configura como sección o departamento de cumplimiento bajo dependencia directa del Consejo de administración; otro, que cabría identificar con el de la regulación italiana, en el que existe un órgano de cumplimiento absolutamente independiente incluso del Consejo de administración; y un tercero en el que el órgano de cumplimento matriz se integra con responsables de cumplimiento sectoriales en medio ambiente, trabajadores, etc.. Pero puede haber, por supuesto, numerosos modelos intermedios, porque en definitiva lo que realmente importa es que las funciones de supervisión las ejerza un órgano autónomo con capacidad y competencia funcional suficientes para poder garantizar la eficacia de los protocolos de prevención. El Código Penal español, a salvo de cuanto se irá matizando, no impone modelo alguno.

Exige el art. 31 bis 2.1ª del Código que los modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir la comisión de delitos sean adoptados y ejecutados por el órgano de administración. Y al mismo tiempo, en su art. 31 bis 2.2ª, que la supervisión de su funcionamiento y cumplimiento haya sido “confiada” a un órgano autónomo o a quien tenga legalmente encomendada la función de supervisión.

Parece lógico, no obligatorio, que sea entonces el propio Consejo de administración quien nombre al órgano de cumplimiento. A instancias de la Dirección general o de quien en cada estructura jurídico-empresarial tenga la máxima competencia para realizar propuestas del máximo nivel.

Cuando el Código penal español menciona el “órgano de cumplimiento”, sólo dice que el modelo de organización y gestión ha de confiar al mismo su seguimiento (art. 31 bis 2.2ª) y que a él ha de imponerse la obligación de informar de “riesgos e incumplimientos” (art. 31 bis 5.4º). Siempre con “poderes autónomos de iniciativa y control”. Pero, ello no significa que no tenga relación alguna de dependencia orgánica. Depende de “la propiedad”, que es la que retribuirá económicamente su función, la que adoptará y ejecutará el protocolo de prevención, la que establecerá el correspondiente sistema sancionatorio. Y en tal sentido actúa por delegación.

El Código español trata además, en primer lugar, de conciliar esa autonomía con la dimensión de la empresa, admitiendo que en las que puedan presentar cuenta de pérdidas y ganancias abreviada sea el propio órgano de administración correspondiente el que desarrolle la supervisión y vigilancia requeridas (art. 31 bis 4). En segundo lugar, distingue la exención de responsabilidad cuando el delito se cometa por representantes legales o por quienes tienen facultad de organización y control en la persona jurídica de cuando se comete por quienes están sometidos a las personas anteriores. En el primer caso dirá que la misma es posible con los requisitos del apartado 2 (donde incluye el organismo autónomo de supervisión). En el segundo dirá que es posible cuando se disponga de un modelo de organización y gestión que no tiene por qué incluir dicho organismo (apartado 5).

Parece evidente que si se pretende que sea eficaz, el órgano, que en definitiva lo es de control, ha de tener la mayor autonomía posible. Y ello será más factible cuanto más directamente dependa del máximo órgano de administración de la empresa. Sólo así será capaz de controlar la actuación de todos los departamentos, la actuación de todos los responsables de organización, control y representación de la entidad. Pero, nunca podrá ser independiente del Consejo de administración (o de quien asuma su función), como puede entenderse pretende la regulación italiana, porque ni en la normativa española existe un órgano público autónomo de control, ni una estandarización oficial que permita el control por profesionales internos o externos. Téngase en cuenta que la propia normativa penal permite que la función de supervisión del cumplimiento del modelo preventivo pueda ser asumida por el órgano mismo de administración.

Esto no quiere decir, como en ocasiones se ha entendido, que en personas jurídicas de pequeñas dimensiones no deba existir órgano de cumplimiento alguno o que para excluir la responsabilidad de delitos cometidos por empleados y no por directivos tampoco sea necesaria su exigencia. Desde el momento en que exista un modelo de organización y gestión adecuado para prevenir delitos ha de existir un órgano de control encargado de su cumplimiento; otra cosa es que este órgano no tenga por qué ser diferente del órgano de administración (que también puede serlo de cumplimiento). Pero es que cuando sí lo sea (en grandes empresas y para garantizar el control de administradores y altos directivos), el mismo órgano de supervisión a que se refiere el art. 31 bis 2.2ª podrá realizar el resto de tareas de control del funcionamiento del modelo de gestión: esto es, podrá asumir la responsabilidad del cumplimiento. No se necesita, y a ello se aludía antes, un órgano de supervisión (que controle la actuación de altos directivos) y un órgano de cumplimiento (que controle otro tipo de actuación). Un responsable de cumplimiento -un órgano de cumplimiento- debe existir (o, mejor, es deseable que exista, en cuanto no hay obligación legal salvo en los supuestos administrativos expresamente así regulados) y da igual cómo se articule su funcionalidad: actuación única, actuación conjunta con un órgano de supervisión diferenciado (no necesaria), actuación conjunta con otros órganos de control de riesgos, con comités de ética, etc. o incluso actuación incluida (en entidades de pequeña dimensión) en lo que es la administración de una empresa.

Lo que sí se ha de garantizarse es que, al margen de la dependencia que pueda tener, según los casos, el órgano posea “poder de iniciativa y de control”, capacidad de acceso a todo tipo de información y documentación de la entidad, capacidad para desarrollar autónomamente investigaciones internas y capacidad para practicar todo tipo de prueba que pueda entender necesaria para comprobar la eficacia del modelo preventivo adoptado.

La dependencia que tenga el Órgano de cumplimiento del órgano de administración correspondiente no impide que deba exigirse a la persona jurídica que le conceda autonomía plena en ejercicio de su labor. Como señala el Código, “poderes autónomos” de iniciativa y de control (art. 31 bis 2.2ª).

Esto ha de implicar total capacidad para poder realizar actuaciones al margen incluso de intereses que pueda tener la entidad ajenos a lo que sea la eficacia del modelo de organización y gestión adoptado. Capacidad para actuar con criterios propios y deudores únicamente de la correcta ejecución de dicho modelo. Capacidad para poder soportar presiones incluso del propio órgano de dirección. Capacidad para prescindir de toda instrucción que se pueda recibir y que vaya en detrimento de una correcta supervisión.

Para ello es necesario, en primer lugar, garantías laborales que aseguren una posición reforzada de quienes formen parte del Órgano: por ejemplo, con mandatos determinados de duración no susceptibles de reducción temporal salvo por causas de revocación legítimas, tasadas y reflejadas documentalmente, garantías frente a posibles despidos (no sólo improcedentes, sino también objetivos), cobertura jurídica de la propia entidad en caso de que se necesite.

Es necesario, en segundo lugar, que se le dote económicamente de forma adecuada para garantizar apoyos administrativos, informáticos y operacionales y equipamientos. Siempre en el contexto de las posibilidades de la entidad en la que se presta el servicio.

En tercer lugar, es necesario que se garantice funcionalmente su actuación. Esto es, que se le sitúe dentro de la entidad en una situación que le permita realizar investigaciones, obtener pruebas, verificar controles, etc., sin traba alguna, sin necesidad de autorizaciones expresas y sin conflictos competenciales con otras direcciones o jefaturas.

Claro está que el Órgano de cumplimiento no lo controla todo. Y no lo hace, en primer lugar y sobre todo, porque él no tiene que estar en lo que es la dinámica económica (productiva o de servicios) diaria de la empresa. En segundo lugar, porque no es un responsable de prevención de riesgos (de la naturaleza que sea, ambiental, laboral, financiera, etc.). Finalmente, porque, y es algo que no puede olvidarse, va a actuar siempre (en nuestro actual modelo y a salvo de posibles reformas que estandaricen, protocolicen, externalicen y vinculen a organismos oficiales su actuación) por esa delegación que supedita la toma de decisiones ejecutivas al órgano de dirección correspondiente.

Es necesario insistir en que el órgano de cumplimiento no es quien adopta el modelo de organización y gestión idóneo para prevenir delitos. Lo adopta el órgano de administración o quien asuma la dirección de la entidad (p. ej., socio unipersonal). Que además no sólo lo adopta, sino que también es quien debe ejecutarlo. Así lo exige explícitamente el art. 31 bis 2.1ª.

El Órgano de cumplimiento lo que hace es vigilar su correcta ejecución, alertando de riesgos, notificando incumplimientos e informando de posibles déficits que hagan ineficaz o deficitario el modelo adoptado. Por supuesto, lo que sí será posible, como señala la Circular de la Fiscalía, es que “participe” en la elaboración del modelo preventivo (bien directamente, bien a través de su contacto con aquellas personas a quienes se haya podido externalizar la redacción del documento de organización y gestión de prevención de delitos) o que incluso redacte el texto que incorpore el modelo, que habrá de someter al órgano con capacidad para adoptarlo.

Aceptado como óptimo el diseño propuesto por la entidad, originario o modificado en base a las propuestas correctoras que sigan a la comunicación de los déficits detectados, sus funciones serán en síntesis dos.

En primer lugar, la de conseguir la mayor difusión del modelo favoreciendo su implementación real, informando, formando y asesorando Y, en segundo lugar, la de vigilar el seguimiento del modelo, comprobar su cumplimiento y denunciar riesgos o infracciones. Esto es, asegurar su eficacia.

La idea de vigilancia o supervisión hace referencia, por una parte, a la comprobación de la actualidad normativa del protocolo (teniendo en cuenta las reformas legislativas que se vayan produciendo con incidencia penal), su adecuación a la actividad empresarial y su vigencia en relación con la distribución de funciones y la estructura orgánica de la persona jurídica. Por otra, al modo en que se implementan mecanismos de actuación dentro de cada departamento para un correcto funcionamiento. Pero, téngase en cuenta que, al igual que no puede exigírsele a él la adopción del modelo de gestión, tampoco puede exigírsele la adopción de medidas ejecutivas que garanticen dicha eficacia; él no se ocupa de la ejecución de aspectos concretos de cumplimiento porque no tiene (o, mejor, puede no tener) competencias ejecutivas, que en su caso requerirían la compatibilización con otro cargo de responsabilidad ejecutiva: así, cuando la labor de cumplimiento se asigne a un órgano de administración del máximo rango.

Y, como antes se decía, el Órgano de cumplimiento no lo controla todo. Su función preventiva ha de asociarse únicamente a la del buen desarrollo del Modelo en lo que concierne a la adopción de medidas idóneas para prevenir delitos y evitar la responsabilidad de la persona jurídica por su comisión. No es quien tiene que controlar los niveles de emisión contaminante, los metros construidos en relación con la máxima densidad permitida o que el trabajador disponga de un entorno ambiental que garantice una salud laboral adecuada. Sí es quien tendrá que advertir si hay protocolos de actuación que garanticen comportamientos idóneos para evitar responsabilidades penales y comprobar la información facilitada al efecto.


foto JJBose