Por Adán Nieto Martín
Origen
Los programas de cumplimiento son herramientas de gestión válidas en cualquier tipo de organización, pública o privada, desde empresas, fundaciones, partidos políticos a administraciones públicas o compañías religiosas. Su función es que directivos, empleados e incluso terceros que se relacionan con la organización, como proveedores o socios de negocio, respeten las normas legales que regulan su actividad o los compromisos éticos o autorregulatorios que ésta haya asumido.
El cumplimiento normativo se funda en la capacidad de autorregulación que toda organización tiene. En el caso de las empresas, organizaciones donde más arraigo tiene la implantación de programas de cumplimiento, lo que caracteriza a la función de cumplimiento normativo frente a otras tradicionales como asesoría jurídica, es que se dota de normas propias, de controles, de mecanismos de investigación de las violaciones e incluso de sanciones para asegurar el cumplimiento con la legalidad.
En la cultura empresarial y jurídica de muchos países el cumplimiento normativo viene asociado a la responsabilidad penal ex crimen de las personas jurídicas. Sin embargo, son fenómenos diversos. Para entender correctamente el desarrollo de los programas de cumplimiento deben distinguirse dos fases. La primera es aquella en la que aparecen las funciones de cumplimiento. En diversos sectores de la organización empresarial las empresas, por diversas razones, fueron adoptando controles internos y otras medidas de autorregulación y nombrando responsables sectoriales. Los sectores donde aparecen funciones de cumplimiento son muy variados: medio ambiente, protección de los trabajadores, blanqueo de capitales, protección de datos, mercado de valores, planes de igualdad etc.. Estos controles internos y medidas de autorregulación están ligados a diferentes formas de intervención administrativa, que generalmente no guardan ninguna relación con el derecho penal. También desde las últimas décadas del siglo XX la responsabilidad corporativa y la ética de empresa comienzan a extenderse e implantarse en muchas organizaciones. Se trata en este caso de una autorregulación voluntaria, pero que también genera sus propios responsables, como los comités o los oficiales de ética.
Los programas de cumplimiento aparecen en una segunda fase, en la que se sistematizan y coordinan todas estas funciones de cumplimiento que estaban desperdigadas en el interior de la organización. En este momento aparecen también los oficiales y, en las empresas más grandes, los departamentos de cumplimiento, cuya función es coordinar y supervisar la correcta ejecución de estas diversas funciones.
En la mayoría de los países, la introducción de la responsabilidad penal de las personas jurídicas ha sido el factor que ha desencadenado el tránsito de las funciones del cumplimiento a los programas. A partir de los años noventa del pasado siglo, pero sobre todo en las primeras décadas del siglo XX, las normas que establecen la responsabilidad penal de las personas jurídicas describen los elementos comunes o transversales a las diversas funciones de cumplimiento. El Capítulo 8 de las Guidelines for sentencing organizations fue paradigmático, pero también lo fue en la UE el art. 6 del d. leg. 231 Italiano o la Bribery Act. Todas estas normas han tenido una influencia considerable en la UE y Latinoamérica.
Estas prescripciones, aunque centradas en la prevención de delitos, pusieron de relieve los elementos básicos y comunes a las diversas funciones de cumplimiento por lo que sirvieron para conectar y coordinar distintas islas del archipiélago preventivo. La descripción que hacen las normas penales, o los estándares y guías ligados a la responsabilidad penal de las empresas, no innovan demasiado. Sin embargo, tienen la virtud de sistematizar elementos comunes que de alguna manera estaban ya “en el aire”. La agrupación de las distintas funciones de cumplimiento en un departamento creado ad hoc y con un responsable al frente, el oficial de cumplimiento o el chief compliance officer, les ha dado mayor peso y visibilidad dentro de las empresas, sobre todo cuando este se sitúa entre los puestos de alta dirección o al menos en estrecha conexión con ellos.
La responsabilidad penal de las personas jurídicas ha servido también para extender el cumplimiento normativo a nuevas áreas y actividades. A medida que crecen los delitos por los que las personas jurídicas pueden ser hechos responsables, la necesidad de cumplimiento normativo se hace omnipresente en todas las actividades de la empresa y deja de esta focalizada en sectores en los que existían obligaciones administrativas previas. Ademas el cumplimiento penal, en muchos ámbitos, no es sino el colofón lógico del cumplimiento en materias como la prevención de riesgos laborales o el medio ambiente.
En lo que sigue se expondré con algo más de detalle esta evolución, que podría describirse como el paso de las funciones al programa.
Evolución
La aparición de las funciones de cumplimiento está estrechamente ligada a la aparición en los Estados Unidos de las agencias administrativas, durante la época del Progressivism, el New Deal y posteriormente a partir de la IIGM durante el desarrollo del administrative state. Ya en los años treinta la recién creada SEC impuso a las empresas cotizadas y a los intermediarios financieros el establecimiento de controles internos, con el fin de evitar conductas como el inisder trading. En esta primera fase las funciones de cumplimiento responden a la capacidad de supervisión de las agencias estatales, que podían, por ejemplo, denegar la licencia para ejercer como intermediario financiero si no existían controles adecuados o imponer sanciones administrativas o civil penalities. En este escenario, los contenidos del cumplimiento normativo se fijan con frecuencia por las agencias supervisoras a través de guías o recomendaciones, pero también a través de normas de obligado cumplimiento. En la UE este factor ha tenido un peso diferente. Las agencias independientes tienen una configuración y poder distintos, al menos en términos cuantitativos que a las americanas. No obstante, y pese a ello, en sectores como el mercado de valores, la normativa antitrust o la protección de datos, se han ido impulsando la implantación de controles modelo, como parte del ejercicio de los poderes de supervisión.
El derecho de la contratación pública utilizó también el cumplimiento normativo, como herramienta para la prevención de los fraudes en la contratación. En la pequeña historia del cumplimiento normativo es particularmente relevante la aparición de la Defense Industry Initiative on Business Ethics and Conduct. Se trata de una iniciativa empresarial originada por los fraudes de la industria armamentística en sus contratos con el Departamento de Defensa en los años finales de la guerra fría. El Ministerio de Defensa empezó a exigir que las empresas que participaban en licitaciones públicas contaran con programas de cumplimiento. En el sector sanitario pronto se adoptó también una estrategia similar para prevenir el fraude. El sistema de debartmen o listas negras del Banco Mundial responde, en materia de contratación pública, a una idea similar. Las empresas que realizan algún tipo de fraude en contratos financiados con los fondos del banco incluyen en una prohibición temporal o definitiva de volver a contratar, que en el caso de prohibición temporal puede ser levantada si la empresa implanta un problema de cumplimiento y mejora su cultura de control. En la normativa europea de contratación pública los programas de cumplimiento juegan también un papel relevante con el fin de permitir a las empresas cuyos directivos han sido sancionados por delitos relacionados con la corrupción volver a participar en licitaciones públicas.
La legislación sobre blanqueo de capitales fue un detonante importante en la conformación de las funciones de cumplimiento. En Estados Unidos la Ley de Secretos Bancarios enumeraba ya las obligaciones de autorregulación de las empresas de manera muy parecida a lo que representa hoy el estándar común de los programas de cumplimiento. Las primeras reglas sobre las medidas de control de blanqueo de capitales fueron adoptadas a mediados de los 80 por el Comité de Supervisores Bancarios de Basilea. A partir de 1989, el GAFI (FATF) empieza a emitir sus recomendaciones que después se han ido trasladando a la legislación nacional y europea en esta materia.
En materia de protección de datos o de prevención de riesgos laborales encontramos una forma similar de establecer el cumplimiento normativo. Las normas administrativas en estos sectores establecen con bastante grado de detalle en ocasiones, los controles que las organizaciones y empresas deben disponer.
Esta forma de intervención administrativa es la denominada autorregulación regulada y es también utilizada en otros sectores como la prevención de riesgos laborales, la protección de datos, el mercado de valores o el medio ambiente. Los objetivos que persigue la regulación pública se consiguen utilizando la capacidad de autorregulación de las organizaciones. Las normas administrativas contienen metanormas, que describen las líneas generales de las normas que las empresas han de adoptar y es frecuente también que contengan sanciones administrativas, para las organizaciones que no las implementan o lo hacen de manera defectuosa.
Una forma singular y moderna de impulsar la implantación de programas de cumplimiento por parte de agencias o órganos administrativos es denominado cumplimiento cooperativo. Se trata de una técnica de enforcement que altera la relación tradicional que existe entre las empresas y las agencias administrativas o los cuerpos de inspección. En vez de fundamentar la inspección en una estrategia policial, tendente a descubrir irregularidades y sancionar, el cumplimiento cooperativo trata de establecer un clima de confianza entre los supervisores y los sujetos obligados con el fin de que se comuniquen con lealtad los problemas que pueden tener para cumplir con una determinada regulación o las dudas que le surgen al interpretarla. Los programas de cumplimiento normativo dentro de esta nueva estrategia constituyen una herramienta para crear ese clima de confianza, de buena relación, entre la agencia administrativa y las empresas que supervisan. En Estados Unidos esta forma de supervisión fue acogida por la agencia competente en materia de medio ambiente, la famosa EPA. La OCDE recientemente dentro de su política contra el fraude fiscal realizado por las grandes corporaciones está impulsando también una estrategia similar, que ya encuentra reflejo positivo en algunos ordenamientos. El tax compliance que se ha desarrollado con fuerza en los últimos años es una manifestación más del cumplimiento cooperativo.
Como puede apreciarse tras esta breve historia, las funciones de cumplimiento e incluso los programas de cumplimiento estaban ya presentes en muchas empresas antes de que se vincularan a la responsabilidad penal de las personas jurídicas. Ello tuvo lugar por primera vez con la aprobación en 1992 de las Guidelines for sentencing organizations, un texto cuya naturaleza jurídica es discutida, pero que consideraba que contar con un programa de cumplimiento eficaz podía implicar una importante rebaja en la pena. El Capítulo 8 de las Directrices se inspiró fundamentalmente en el modelo propuesto por la Defense Industry Initiative que estaba ya extendido en muchas empresas norteamericanas. Una parte importante de la doctrina considera que las Guidelines fueron todo un triunfo del lobby empresarial. De hecho, unos años antes la Foreing Corrupt Practices Act de 1977 no consideró oportuno dar relevancia a las medidas de cumplimiento a la hora de establecer o calibrar la responsabilidad penal de las personas jurídicas. La implantación de los controles internos que requiere este ley no conlleva ningún tipo atenuación, sino que, al contrario, su no implantación da lugar a una sanción independiente.
La aparición de las Directrices marcó un punto de inflexión en la reflexión acerca del fundamento de la responsabilidad penal de las personas jurídicas. Muchos autores comenzaron a mantener que su responsabilidad derivaba de un hecho propio, de una culpabilidad propia, que se traducía en un defecto de organización o en una mala cultura corporativa. El D. leg. 231 de 2001 en Italia y después la Bribery Act en el Reino Unido se hicieron eco de esta idea. A partir de la primera década del siglo XXI la mayoría de los países que introducen la responsabilidad penal de las personas jurídicas, consideran de algún modo que el epicentro de su responsabilidad consiste en la no implantación o implantación incorrecta de programas de cumplimiento. Este hecho es el que, como explicaba anteriormente, ha llevado a identificar cumplimiento normativo y responsabilidad penal de personas jurídicas como fenómenos paralelos. Hemos comprobado que no es así.
Profesor Adán, muchas gracias por esta interesante entrada de blog. Tengo una pregunta: ¿Sería acaso que el último estadio de los programas de cumplimiento a la fecha serían los que desarrollan una función de cumplimiento «integradora», esto al incorporar a los stakeholders (y no solo a los shareholders) dentro del mismo; por ejemplo, en la toma de decisiones o como forma de controles dentro de la organización? Lo pregunto porque me recuerda un reciente artículo que publicó en el que incidía la legitimidad sobre la legalidad en la función de cumplimiento, recogiendo un poco las ideas de Coffee, Braithwaite. Muchas… Ver más »
[…] https://almacendederecho.org/una-breve-historia-del-cumplimiento-normativo […]