Por Juan Antonio Lascuraín y Adán Nieto
Los programas de cumplimiento constituyen la herramienta de gestión que permite el ejercicio del debido control dentro de una organización con el fin de que esta actúe dentro de la legalidad y de sus compromisos éticos o autorregulatorios. En esta entrada vamos a preguntarnos de dónde salen – más poéticamente: de dónde manan – los elementos que componen un sistema de cumplimiento normativo. Se trata de una cuestión de sistema de fuentes en la que se plantean sus problemas tradicionales de legitimidad de la regulación y de eficacia en los objetivos regulatorios. Singularmente en la determinación de lo permitido, de la barrera que separa la prudencia de la imprudencia con relevancia penal, en ámbitos especializados y de riesgo permitido surge la cuestión del quién y del cómo en la configuración de tal baremo, de cómo combinar la intervención de lo público, en cuanto instancia que ha de determinar el balance de los intereses en juego, y lo privado, cuya aportación puede ser decisiva para precisar los presupuestos fácticos de la intervención normativa y para adaptar el baremo a una realidad muy plural.
Un peculiar sistema de fuentes: la autorregulación regulada
Si en materia de tráfico rodado la diligencia viene detalladamente descrita por normas públicas y en el área médica es el consenso de los especialistas el determinante (lex artis) – sometido finalmente a control judicial, claro -, por poner dos ejemplos distantes, el cumplimiento normativo nos está deparando estrategias interesantes para la determinación de su adecuación y suficiencia normativa a través de la idea de autorregulación (y por lo tanto privada) regulada (pública).
Como se verá, estamos ante un sistema de fuentes muy peculiar, porque su punto de partida es la autorregulación, que consiste básicamente en que cada organización se confeccione su propio programa de cumplimiento atendiendo a sus peculiares riesgos y características. Este traje a medida que se hace cada empresa es después controlado por el ordenamiento, por los jueces penales, que tienen que decidir cuándo se comete un delito propio de la persona jurídica: si el programa es realmente adecuado para cumplir con su objetivo de impedir los delitos individuales desde la corporación. Pero la intervención pública no se limita al control judicial. Cuando el legislador deja a las organizaciones que se autorregulen – que se doten de sus propias normas que después se van a evaluar con la amenaza de graves consecuencias jurídicas negativas – suele utilizar lo que se denomina autorregulación regulada, fórmula cada vez más empleada en el derecho administrativo. El propio legislador u otros organismos públicos, como agencias administrativas, dan indicaciones más o menos precisas con el fin de orientar a las empresas en la confección de sus programas de cumplimiento. La estructura que podemos encontrarnos en esa regulación del cumplimiento normativo no es solamente la de imposición de ciertas reglas, sino frecuentemente la de principios o metanormas junto con recomendaciones o normas de soft law.
Además de este primer rasgo, lo que caracteriza al sistema de fuentes en materia de cumplimiento normativo es la tendencia a que la colaboración entre sujetos privados y entidades públicas sea constante y dinámica: a que se produzca un diálogo abierto de cara a la producción de normas o estándares que orienten a las empresas u otro tipo de organizaciones. Normalmente este fruto no tiene contenidos obligatorios, ni su seguimiento estricto determina que el programa de cumplimiento esté correctamente implementado, por mucho que proporcione una fuerte presunción al respecto que no existe con la misma fuerza en sentido contrario: que la falta de observancia del estándar suponga un cumplimiento defectuoso.
La ley como primera fuente de cumplimiento normativo
En primer lugar, será la propia ley u otra norma general la que establezca los parámetros de los programas de cumplimiento. Es la regulación (pública) de la autorregulación (privada). Se trata de una técnica de regulación en la que el legislador ofrece un marco genérico con una serie de principios básicos o, yendo más lejos, con pautas o directrices más específicas que después las organizaciones concernidas deben concretar, atendiendo a sus propias características de tamaño y actividad a partir de su propio análisis de riesgos.
En relación a los programas de cumplimiento penal, que atienden al fin de detectar y prevenir, los legisladores de varios países (España, Perú, Chile, Argentina), siguiendo el modelo del derecho italiano y del art. 6 del Decreto Legislativo 231/2001, establecen los elementos básicos de un programa de cumplimiento al hilo de la regulación de la responsabilidad penal – o administrativa – de las personas jurídicas. En Perú, por ejemplo, las previsiones de la Ley 30424 en sus art. 17 y ss. se han completado por un reglamento, aprobado por Decreto Supremo 002-2019-JUS.
La fijación de los elementos del cumplimiento por parte del legislador viene también de la mano de leyes sectoriales, como las que se ocupan del blanqueo de capitales, la protección de datos, la protección de la seguridad higiene en el trabajo o el abuso de mercado. De nuevo, en estrategia de autorregulación regulada, las leyes en todos estos ámbitos ofrecen los criterios básicos para que los sujetos obligados por estas materias implementen medidas de detección y prevención de irregularidades internas. El objetivo de partida de estas normas no es penal – no están encaminadas directamente a que la persona jurídica se organice de manera virtuosa para evitar la responsabilidad penal -, mas indirectamente no cabe duda de que las directrices que aquí marca el legislador son esenciales para saber qué es un buen programa de cumplimiento normativo en blanqueo de capitales, abuso de mercado, protección de datos, etc.
Las recomendaciones de los organismos públicos
Aunque no siempre va a ser fácil de distinguir entre una regla vinculante y una orientación o recomendación, un segundo camino que ha conducido a la estandarización son las recomendaciones realizadas por organismos públicos, tanto nacionales como internacionales. Estas directrices son soft law y se centran normalmente en aspectos determinados del cumplimiento normativo. Destaca en esta producción la OCDE, que ha publicado documentos muy importantes acerca de los programas de integridad (su recomendación sobre integridad pública) o de diligencia debida para la prevención de vulneraciones graves de derechos humanos.
En el Reino Unido, la Bribery Act – ley anticorrupción con una relevante aplicación extraterritorial – no contiene ningún indicación expresa acerca de las medidas de cumplimiento para la prevención de la corrupción – y cuyo incumplimiento da lugar a la responsabilidad penal de la persona jurídica (section 7) -, pero con el objeto de dar seguridad jurídica a sus destinatarios el Ministerio de Justicia aprobó en 2010 la Guidance about procedures which relevant comercial organisations can put into place to prevent personas associeted wiht them from bribing.
En realidad, este método de directrices fue inaugurado en nuestro ámbito en Estados Unidos por las Organizational Sentencing Guidelines, aprobadas en 1990, documento que pone los cimientos del cumplimiento normativo no solo en los Estados Unidos sino en realidad en todo el mundo con sus pautas acerca de qué se entiende por un Effective Compliance and Ethics Program (§ 8B2.1).
En Argentina las disposiciones que contiene la Ley 27.401 en sus art. 22 y ss. (“programas de integridad”) se han completado a través de “lineamientos” (“Lineamientos de Integridad para la mejor cumplimiento de lo establecido en los artículos 22 y 23 de la Ley 27.401 de Responsabilidad Penal de Personas Jurídicas”) confeccionados por el Ministerio de Justicia y Derechos Humanos (resolución 27/2018). Estos lineamientos “tienen como objetivo brindar una guía técnica a empresas, organizaciones de la sociedad civil, otras personas jurídicas, agencias estatales, operadores del sistema de justicia, etc. a fin de que cuenten con herramientas de interpretación que permitan ajustar su estructura y sus procesos a efectos de prevenir, detectar y remediar hechos de corrupción, así como para implementar Programas de Integridad adecuados y evaluarlos de acuerdo a pautas técnicas objetivas”.
En España, las agencias autonómicas de integridad pública, y muy especialmente la Oficina Antifraude de Cataluña, están desempeñando también una importante labor de orientación y seguridad con la publicación de guías y estándares en diversas áreas del cumplimiento normativo o de integridad pública, como por ejemplo la evitación de los conflictos de intereses, la prevención de la corrupción en la contratación, el análisis de riesgos, etc.
Tampoco deben olvidarse, por ejemplo las directrices que publican las agencias de protección de datos, esenciales para articular las políticas y el cumplimiento normativo en este sector o, por dar un último ejemplo, las que publican los supervisores del mercado de valores, imprescindibles en el cumplimiento normativo frente al abuso de mercado. Estas directrices complementan los criterios de autorregulación que contienen las leyes de protección de datos o del mercado de valores. En una novedosa variante de la relación entre ley y reglamento, la ley fija los criterios de organización genéricos que deben adoptar las empresas obligadas por la normativa y es después la administración pública encargada de supervisar su cumplimiento la que va concretando ciertos estándares de conducta. La Comisión Europea parece sumarse a esta tendencia legislativa en su proyecto de directiva sobre diligencia debida para la prevención de vulneraciones graves de derechos humanos.
Aunque no se trata exactamente de recomendaciones con carácter general, las agencias y supervisores públicos pueden contribuir a la estandarización del cumplimiento normativo a través de mecanismos de consulta. Es el caso en los Estados Unidos con los Opinion Releases del Departamento de Justicia norteamericano (DOJ). Este procedimiento permite a cualquier corporación que por sus negocios se enfrenta a una potencial responsabilidad bajo la Foreign Corrupt Practices Act “obtener una opinión del Fiscal General acerca de si una determinada conducta futura sería conforme a la política del Departamento”. En otras palabras, las opiniones responden a consultas por parte de empresas que deseen cumplir la ley y actuar de manera respetuosa en materia de compliance. Como estas consultas posteriormente se hacen públicas, suponen en realidad un catálogo de buenas prácticas.
Estrategias privadas
Otros estándares que han contribuido a establecer qué es un buen programa de cumplimiento normativo provienen del sector privado. En la historia del cumplimiento normativo fueron esenciales las recomendaciones de la Defense Industry Initiative: desde mediados de los años 80 del pasado siglo las empresas de armamento establecieron unos estándares de cumplimiento para combatir la corrupción y el fraude en la contratación pública de material de defensa, uno de los sectores donde aquellos males eran más frecuentes. Igualmente son muy conocidos en España los estándares de Farmaindustria, que también fijan un programa de cumplimiento común anticorrupción para las compañías farmacéuticas. Asimismo, en materia de blanqueo de capitales es conocida la labor del Wolfsberg Banking Group, que desde los años 90 viene estableciendo normas de autorregulación para sus miembros, que renuevan anualmente en el Wolfsberg Forum.
Estas iniciativas privadas se articulan a través de las acciones colectivas como instrumento de colaboración. Las empresas de un determinado sector se agrupan y fijan unos criterios comunes de cumplimiento que se comprometen asumir, creando mecanismos de supervisión – e incluso estableciendo sanciones – para asegurar el efectivo seguimiento de estos estándares. El Banco Mundial recomienda vivamente la creación de este tipo de acciones colectivas en la lucha contra la corrupción y pide además que adopten la forma de colaboración público – privada; esto es, que en el colectivo no sólo estén las empresas, sino que también puedan pertenecer al mismo organismos públicos.
Las acciones colectivas son especialmente importantes cuando un determinado tipo de conductas delictivas (significativamente la de corrupción) no constituye un problema aislado de una o de unas pocas empresas, sino que es una práctica extendida a todo un sector, como pudiera ser el trabajo infantil en la industria de la confección, la corrupción en el comercio exterior o la utilización de dádivas a los médicos por parte de la industria farmacéutica. Es difícil que una empresa en solitario se resista a estas prácticas por la fuerte desventaja competitiva que ello supondría. Si en un determinado país la contratación pública va inexorablemente ligada al pago de sobornos, la empresa que decida en solitario no pagar más, simplemente quedará expulsada del juego en beneficio del resto. En este contexto, solo las empresas más fuertes económicamente o que tengan una ventaja competitiva adicional (vgr. una tecnología que abarata significativamente los costes) pueden plantearse seriamente cumplir diferenciadamente con la legalidad. Las empresas menos fuertes, en cambio, se verán avocadas a la ilegalidad y con ello a generar graves daños a los competidores leales y a la sociedad, y a soportar los riesgos legales y reputacionales que implica la comisión de hechos delictivos en ámbitos cada vez más regulados como la corrupción. La puesta en marcha de una acción colectiva, con el compromiso entre las empresas del sector de eliminar una determinada práctica irregular, condenará al disidente a ser un free rider con elevadas probabilidades de ser detectado y sancionado, y a ser él el expulsado del mercado.
Como ya hemos señalado, el Banco Mundial es uno de los principales impulsores de las acciones colectivas contra la corrupción a través de su programa Figthing Corruption Through Collective Action. Las ha definido como “un proceso de cooperación estable entre diversos intereses, que incrementa el impacto y la credibilidad de los comportamientos individuales, integrando a los actores individuales dentro de una alianza entre organizaciones similares que estabiliza las reglas de juego entre competidores”. Y ha subrayado que resultan particularmente adecuadas cuando las autoridades públicas resultan débiles e incapaces de asentar una determinada normativa, como la de lucha contra la corrupción; para las relaciones comerciales en lugares donde los propios gobiernos pueden ser los principales interesados en tolerar una práctica que les permite enriquecerse.
No es fácil, sin embargo, generar una acción colectiva. Muchas empresas son reticentes a colaborar alegando que este tipo de acuerdos podía ser considerado como una práctica restrictiva de la competencia. Es además frecuente que en el sector exista un alto grado de desconfianza que impida un acuerdo generalizado. Por estas razones las acciones colectivas han tenido éxito cuando una autoridad pública, una organización internacional o una ONG logra reunir a un grupo de empresas para que lidere el proyecto o convence para ello a la entidad líder del sector. Para garantizar la eficacia del acuerdo y la confianza de las empresas en que todas cumplirán las reglas del juego será necesario que el programa de cumplimiento colectivo contenga una serie de elementos estructurales. El primero de ellos es un código ético o de conducta en el que se describan con suficiente detalle las normas que las empresas se comprometen a cumplir. El segundo requisito es una autoridad común que supervise su efectivo cumplimiento y pueda realizar advertencias o recomendaciones. Los acuerdos más avanzados, como el de Farmaindustria, otorgan además poderes sancionadores a esta autoridad. En los últimos tiempos, algunas de estas acciones colectivas utilizan la técnica de la certificación. La entidad supervisora tiene capacidad para inspeccionar el comportamiento de las empresas y certificar que se adaptan a los estándares comunes. Una manera óptima de legitimar el acuerdo y darle mayor credibilidad es, en fin, permitir que los stakeholders afectados por la actividad de la empresa participen en la implementación de la acción y su desarrollo.
Parcialmente diferente de la fórmula pura de las acciones colectivas es otra forma de estandarización bien interesante que aparece en la legislación italiana. El artículo 6.3 del Decreto Legislativo 231 anima a las “asociaciones representativas de los entes” sometidos a responsabilidad a que establezcan modelos de prevención de delitos comunes para los asociados. Estos modelos tipo son comunicados al Ministerio de Justicia y al del ramo competente para que pueden plantear observaciones en un plazo de treinta días acerca de su idoneidad. Esta forma de regular y crear contenidos orientativos para los programas de cumplimiento ha producido frutos muy interesantes y que constituyen una referencia, como las Linee Guida de Cofindustria (la asociación de la patronal italiana).
En la legislación sobre protección de datos encontramos un mecanismo hasta cierto punto similar, aunque centrado en este sector: los códigos de conducta regulados por la sección 5 del capítulo IV del Reglamento (UE) 2016/679, de Protección de Datos, y los que se refieren el art. 38 de la LO 3/2818, de Protección de Datos Personales y Garantía de Derechos Digitales. El mecanismo que se establece es, por una parte, similar al de las acciones colectivas, en cuanto que se elaboran por empresas o asociaciones, pero, por otra, pueden ser promovidos por las propias entidades supervisoras. Asimismo, los promotores de estos códigos de conducta – en realidad, programas de cumplimiento para la protección de datos – pueden someterlos de manera voluntaria a la opinión de los supervisores con el fin de verificar si se adaptan a las previsiones normativas que se establecen para estos códigos en el Derecho de la Unión (art. 41.2 del Reglamento).
Esta clase de códigos tipo son de gran enorme importancia a la hora de calibrar la responsabilidad penal de las personas jurídicas en el marco del art. 31 bis del Código Penal. La intervención de la Administración en la confección de los programas de cumplimiento incrementa la calidad de la autorregulación, pero sobre todo su legitimidad en cuanto que garantiza la presencia de los intereses públicos. Ya advertimos al comienzo de esta entrada que el problema de la especificación de los programas de cumplimiento es principalmente un problema de legitimidad. Los jueces, los fiscales o la Administración pueden desconfiar de que la empresa se haya dotado de un sistema verdaderamente eficaz en la prevención del delito y no prioritariamente atento a las necesidades productivas. La intervención de un tercero independiente, y que represente los intereses públicos, como es el caso de la propia Administración, representa la mejor de las soluciones a este problema.
La estandarización de las entidades normalizadoras
La última de las fuentes de cumplimiento normativo podría ser la constituida por los estándares de las asociaciones de normalización (ISO y UNE). Estas asociaciones son privadas, aunque son reconocidas como tales normalizadoras por la Administración y cuentan entre sus socios con instituciones públicas. Las reglas que establecen responden a un consenso técnico – ámbito que incluye modelos de organización empresarial – y son de cumplimiento voluntario. La pregunta es si este fruto es válido para definir la diligencia en el cumplimiento y específicamente la diligencia penal: si estos estándares lo son técnicos y políticamente neutrales o si, en cambio, no hay garantía de que no respondan a intereses de parte ajenos a la valoración pública. Esta pregunta requiere la reflexión específica que ofrecemos en nuestra entrada ¿Qué valor tienen los estándares ISO/UNE para los programas de cumplimiento?.
Foto: Jordi Valls
